德国立场文件——信息安全
德国立场文件
代表:李奕贤
国家:德意志联邦共和国
学校:北京石油附中
议题:信息安全
总述
随着信息安全面临的挑战越来越大,世界各国都高度重视信息安全问题。美国、俄罗斯、英国等世界强国从国家安全的高度制定了信息安全战略。顺应这一潮流,德国也于2011年2月公布《德国信息安全战略》,作为指导德国信息安全建设的纲领性文件。本文将就该战略出台的背景、主要内容、主要特点等作简要的分析。借以分析德国现在的信息安全状况。
一、背景
(一)互联网是信息安全治理的重要目标,是世界信息社会面临的重大挑战
互联网是20世纪人类文明的辉煌成果。但是,随着互联网逐步成为全球性资源,信息安全面临着前所未有的挑战。互联网成为信息安全治理的起点与重要目标。联合国经济合作与开发组织(OECD)在1992年即制定了信息安全指南,要求政府与企业设置防火墙以抵御外部黑客侵入内部信息。2002年,经济合作与开发组织理事会通过了新的信息安全指南,强调信息安全人人有责。2003年,联合国大会第五十七届会议通过《创造全球信息安全文化》的决议。根
据决议附件规定,创造全球信息安全文化的要点包括“意识、责任、反应、道德、民主、风险评估、安全设计和实施、安全管理、再行评估”等九个相辅相成的方面。同年12月联合国召开了信息社会世界峰会日内瓦阶段会议,通过《建设信息社会:新千年的全球性挑战》的原则宣言,也称《日内瓦原则宣言》。2005年信息社会世界峰会突尼斯阶段会议颁布的《信息社会突尼斯议程》重申日内瓦阶段会议阐述的原则,即互联网已发展成为面向公众的全球性设施,其治理应成为信息社会日程的核心议题,互联网的安全性和稳定性必须得到维护。联合国国际电信联盟2007年综合年度报告把保障信息安全列为七大战略目标之一。目前,国际电信联盟正在努力制定促进信息安全的一项国际框架———全球信息安全议程。
(二)大国相继制定信息安全战略、政策,加强信息安全建设
信息安全问题是信息时代世界各国所面临的重大挑战。为了应对日益频繁的信息安全事件,维护国家信息安全,世界各国,尤其是美国、俄罗斯、法国、英国等信息化大国相继出台了国家信息安全战略,成立信息安全机构,出台预警方案,加强信息安全维护力量的建设,防范和遏制信息对国家安全所造成的威胁。美国是较早从国家战略的高度重视信息安全建设的国家。从克林顿政府开始,美国就着手信息安全领域的战略部署,主要以国家重要信息基础设施的防护为主。小布什政府强化信息反恐的主题,体现出攻防兼备的特点,将信息安全提升至国家安全的战略高度。奥巴马政府更注重信息安全,组建信息司令部,成立网军,采取了军民并重、攻防兼备的新方针。俄罗斯、法
国、英国等国家也逐步将信息与信息安全纳入国家安全战略。2002年,俄罗斯安全委员会通过了《国家信息安全学说》,阐明了俄罗斯在信息信息安全方面的立场、观点和基本方针,视信息安全为国家面临的重大挑战和外交政策的优先任务。2008年,法国参议院发布名为《信息防御与国家安全》的报告,明确提出信息信息安全已成为国家安全密不可分的一部分,并于2009年成立了具有国家级权限的“信息与信息安全局”。2009年,英国也公布了国家《信息安全战略》,提出了英国信息安全战略目标并宣布成立“信息安全办公室”和“信息安全行动中心”,以领导、协调和推进《信息安全战略》的落实。
(三)德国政府历来重视信息化建设,重视信息安全
德国是信息化大国,历来非常重视信息化建设。1999年制定的《21世纪德国信息社会》(简称“D21”)是该国首个信息化战略行动计划。进入新世纪后,德国制定了《2006年德国信息社会行动纲领》,对信息化建设的主要方面提出了明确的目标,强调要通过政府创造环境,实行政府与产业界及社会各界的合作,形成向信息社会转移的体制和机制。瑏瑠为了确保国家信息化的进一步发展,2010年,德国又制定了《2010年德国信息社会行动纲领》。通过制定和实施信息化发展战略,德国信息化获得了较快的发展。现在大约70%的德国人都在使用互联网,许多业务流程和管理任务都需要信息技术支持才能进行。作为信息化大国,德国政府也历来重视信息信息安全。2001年,德国政府就计划成立了保护德国互联网免受
他国黑客攻击的预警系统。2005年,德国政府进一步制定了全国性的信息技术安全计划,建立了电脑紧急情况应对中心,加强全国电脑及信息安全。2008年,德国政府批准了一项颇受争议的反恐法案以加强对互联网的监管。该法案允许警方在特别授权的情况下,通过向嫌疑人发送带有木马病毒的匿名电子邮件来实现对该嫌疑人电
脑的监控,目的是防止恐怖分子利用互联网向德国发动攻击,保证德国互联网安全,便于警方调查、追踪嫌疑人。2010年11月,德国政府启动“数字德国2015”战略,目标包括提升每个公民、企业和政府部门在数字世界的安全和信任感。推动德国政府不断升级信息安全防控有两个动因,一是黑客及电脑病毒侵袭,二是反恐需要。最新数据显示,德国19%的互联网用户没有安装杀毒软件,而有45%的互联网用户没有安装防火墙。而且多数用户是在出现问题、造成损失后,才想到提高安全标准。德国加强信息监管的另一个重要动因是反恐的需要。德国内政部国务秘书奥古斯特·哈宁说:“互联网对于德国非常重要,因为德国处于全球的危险区域之中,任何时候都可能成为恐怖分子袭击的目标。”另据《西德意志报》报道,针对德国政府部门的电子刺探事件数量有所增加。2010年1月至9月间,德国的间谍防范系统发现了1600起针对政府部门电脑和大型计算机的信息入侵行为,几乎是2009年同期的一倍。“入侵者”尝试获取德国内政、军事和经济数据。在以上国际国内背景下,德国政府推出了本国首个国家信息安全战略———《德国信息安全战略》。总体上看,该战略在确保信息安全的创新思想方面,可能不能与美国
及英国的信息安全战略同日而语,但就德国的实际需要而言,该战略可圈可点。
二、主要内容
《德国信息安全战略》明确阐述了德国政府制定该战略的现实依据、基本原则、战略目的及目标措施等等。
(一)现实依据
《德国信息安全战略》首先明确了制定该战略的重要意图与现实依据,即面对日益复杂多变的信息安全形势,确保德国信息安全。德国政府认为21世纪是互联网的世纪,维护信息空间的有效性以及信息数据的完整性、可靠性和机密性成为至关重要的问题。信息空间包括所有通过互联网进入的信息基础设施,是超国界的。德国社会经济生活领域目前已对信息高度依赖。德国重要的公共基础设施、企业和民众都依赖互联网的信息数据与沟通技术。信息技术产品及其组件出现故障、信息基础设施崩溃或遭到严重的信息攻击,都可能给德国的各个领域造成严重影响。从国内与国际形看,确保信息安全已成为德国政府、企业和社会面临的重要战。这些挑战需要德国政府采取积极的应对措施。该战略同时对德国面临的信息技术威胁现状进行了评估,明确了德国信息安全总体形势及其特点。评估认为,鉴于信息基础设施日益增长的复杂性和脆弱性,德国信息安全形势仍然十分严峻,德国公共和私营部门以及整个社会都可能受到信息技术故障的影响。评估明确指出德国信息安全形势的特点:第一,近年来对德国信息基础设施的攻击日益频繁复杂,肇事者更加专业,攻击来自德国境内外;
第二,鉴于信息空间的高度开放,攻击者更有可能利用系统漏洞开展隐秘性攻击;第三,应对复杂的恶意软件和信息攻击的技术相当有限;第四,通常攻击不会暴露攻击者的身份和背景,也难以找到发起攻击的源头;第五,行业信息系统发展的趋势是以标准组件为基础的,并把组件连接到信息空间,这主要是出于经济方面的考虑,因此会产生新的漏洞。对“震网”病毒(Stuxnet)的研究经验表明,重要的工业基础设施也会成为信息攻击的目标。
(二)框架条件
《德国信息安全战略》明确了德国确保信息安全的框架条件,即加强国内与国际合作,国内外政策措施兼顾。该战略认为,这是确保信息安全、加强执法和保护重要信息基础设施的需要。首先,在信息世界里,国家、企业和社会责任共担,只有它们像伙伴一样一起采取行动完成任务,信息安全战略才可能成功。其次,信息技术系统是相互关联的全球信息,其他国家发生的信息基础设施事故也可能间接地影响到德国。因此,加强信息安全还需要制定与执行国际行为规则、标准和规范。只有国内外政策措施兼顾,才能真正维护信息安全。信息安全可以通过优化框架条件来得到加强,这一框架条件是与盟友和合作伙伴开展合作的最低标准。打击快速增长的信息犯罪需要全世界各执法当局之间的密切合作。
(三)基本原则
《德国信息安全战略》明确了德国确保信息安全的两项基本原则。第一,信息安全必须保证与联网的信息基础设施的重要性以及需要保护
的水平相一致,而且不损害信息空间的发展机会和利用率。信息安全措施既要保障互联信息的畅通与开放,同时又要对重要的信息数据进行有效的保护;哪些设施与数据需要保护或重点保护取决于其重要性;这些措施涉及国家在内、外两个层面所做的努力,以及世界各国的共同努力。第二,信息安全必须加强信息交流和合作。该战略一方面主要关注信息安全的民用方法和措施;另一方面,鉴于信息和通信技术的全球属性,它则强调了国际协调的不可或缺。这不仅包括在联合国开展的国际合作,也包括在其他跨国组织中开展的国际合作。国际合作的目的是为了确保国际社会有能力采取一致行动,保护信息空间。
(四)战略目标与措施
德国政府制定信息安全战略的总体目标是大力推动安全信息空间建设,促进德国经济与社会繁荣。基于目前的信息安全挑战,德国政府将以CIP实施计划确立的架构为基础,采取措施,应对当前的威胁。德国政府计划把信息安全措施重点集中在十个战略区域:保护重要信息基础设施、保护信息技术系统、加强行政部门的信息技术系统安全维护、设立国家信息防御中心、设立国家信息安全委员会、加强信息空间的犯罪控制、在欧洲与世界范围内采取有效的协调措施确保信息安全、利用可靠的信息技术、加强联邦主管当局中的人事发展、建立应对信息攻击的工具。这十个战略区域可以归纳为战略目标、战略管理机制、战略保障措施三个层次。
(CIP是英语CriticalInfrastructureProtection的缩写,指重要信息基础设施保护。根据该战略的界定,重要
的基础设施是对公众物品具有重要性的组织或机构,其破坏与毁坏将会使持续的供应遭遇瓶颈,公众安全受到相当程度的扰乱或者引起其他的重大变故。对德国政府来说,能源、信息科技和电视传讯、运输系统、卫生、水源、食品、财务和保险部门、州和行政、媒体和文化等方面的基础设施都属于重要基础设施。重要信息基础设施保护是德国首要的信息安全策略。为了保护德国的重要信息基础设施,德国制订了一系列的战略与措施,包括《国家信息基础设施保护计划》(2005年)、《重要信息基础设施保护实施方案》(2007年)、《保护重要基础设施:风险与危机管理(政府与企业行动指南)》(2007年)以及《重要基础实施保护国家战略》)
首先是四项具体战略目标的确立:
(1)保护重要信息基础设施。德国政府认为重要信息基础设施的保护是信息安全的重要组成部分。为此,德国政府要求公共和私营部门都必须为更好地利用信息共享、密切协调,创造更好的战略和组织基础。德国政府将进一步加强落实并拓展CIP实施计划的相关规定,强化部门间的合作与整合,扩大新技术的引进范围,并进一步明确哪些部门和基础设施必须采取强制性的保护措施或者在受到特殊威胁的情况下需要额外的保障。在信息技术系统危机期间,德国政府将审查出台协调规则的必要性,以确保重要信息基础设施的安全。
(2)保护德国信息技术系统。德国政府认为信息基础设施保护需要提高民众和中小型企业使用的信息技术系统的安全性能。为此,德国政府计划采取如下措施:第一,普及信息安全知识,联合社会团体收集有关信息技术系统风险及安全使用的信息,为用户提供服务;第二,对信息技术产品与服务进行安全标准与使用便捷性的审查;第三,为国家认可的大众使用的基本安全功能(如电子身份证)提供特别激励措施和资助。为了支持信息技术系统安全领域的中小型企业,德国联邦经济和技术部组建了“企业信息技术安全”特别工作小组,邀请企业参加。
(3)加强行政管理部门的信息技术系统安全维护。德国政府要求各级政府必须成为维护数据安全的典范,并决定采取如下措施:第一,计划在联邦政府内建立一个共享统一安全的信息系统(联邦信息)作为电子音频和数据传输的基础,并将继续大力推进联邦政府的实施计划,应对严峻的信息安全形势;第二,合理配置联邦和地方的资源,将联邦各级政府有力地组织起来,确保信息技术安全;第三,将联邦政府信息安全的联合投资与政府预算挂钩,便于各级政府采取统一行动落实实施计划;第四,由联邦信息技术规划委员会负责加强同地方政府的合作,尤其是在计算机紧急应对小组方面的合作。
(4)加强信息空间的犯罪控制。德国政府要求各级执法部门、联邦信息安全办公室与私营部门加强打击信息犯罪,防止信息间谍活动。为了促进这一领域的信息交流,德国政府准备在执法机构的参与下成立一个联合机构,发挥咨询顾问的作用。面对日益增长的全球信息犯罪活动的挑战,德国政府将做出巨大努力,以欧洲理事会《信息犯罪公约》为基础,实现打击信息犯罪活动的全球协调。其次是统一的战略管理机制的形成,并明确责任机构和协调机制。①设立国家信息防御中心。为了加强各级政府之间的合作,提高协调应对信息技术系统突发事件的能力,德国政府计划设立国家信息防御中心。它将向联邦信息安全办公室汇报工作,并直接与联邦宪法保护局、联邦公民保护和救灾办公室合作。联邦刑警局、警察局、海关犯罪刑侦总署、情报局、国防军以及负责重要基础设施运行的各级部门,在它们法定任务和权力框架内参与该中心的工作。国家信息防御中心的主要任务是,
根据信息攻击的形式尽可能确认攻击来源,对信息安全突发事件做出缜密的分析,并为统一行动提供可靠的建议。国家信息防御中心将定期就日常的基本预防和特定事件向国家信息安全委员会提交建议。信息安全危机迫在眉睫或已发生时,国家信息防御中心将直接通知由联邦政府内务部以国务秘书为首的危机管理人员。
②设立国家信息安全委员会。德国政府认为识别及清除危机产生的体制性因素是预防信息安全问题的重要手段。因此,德国政府希望建立和保持联邦政府内部的合作以及联邦政府信息技术特派员负责的公共和私营部门之间的合作,特别设立国家信息安全委员会。这个国家信息安全委员会包括联邦大臣和国务秘书,国务秘书分别来自联邦外事办公室、内务部、国防部、经济科技部、司法部、财政部、教育科研部以及各州的代表,特殊情况下还会包括其他部的代表。委员会还会邀请商业代表作为特邀会员参加委员会的工作,必要时也会邀请学术界的代表参加。委员会的主要任务是负责协调预防性工具与公共和私营部门信息安全方法的交叉问题,统一协调联邦政府层面的信息技术管理问题,从政治和战略高度统一协调信息技术规划委员会在信息安全领域的工作。
③加强国际协调与合作,在欧洲与世界范围内采取有效的协调措施,确保信息安全。德国政府认为全球信息安全只有在国内及国际的层面通过协调工具才能较好地实现。在欧盟方面,德国政府支持采取基于行动计划的适当措施来保护重要信息基础设施,根据信息通讯技术变幻的安全形势以及欧盟机构内部信息技术能力的汇集,适当扩大欧洲
信息与信息安全局(ENISA)的授权;依照欧盟内部安全战略和数字议程开展进一步的信息安全行动。在塑造德国的外部信息安全政策方面,德国政府将有关信息安全的利益和想法通过国际组织中协调和执行的,如联合国、欧安组织、欧洲委员会、经合组织和北约。德国政府认为日益多元的办法必须与主权评估和决策权保持一致,为此建议出台由多数国家签署的国家信息行为准则,其中包括建立信任的安全措施。在八国集团框架内,德国正在加紧反僵尸信息活动。德国政府支持北约新战略关于建立统一的安全标准的承诺,北约各成员国可以在自愿的基础上使用这一标准来保护民用重要基础设施。最后是对具体的保障措施的确定。①加强技术保障。为了确保信息技术系统及其硬件设施长期安全可用,德国计划大力支持促进信息安全的创新保护计划。为此,德国政府将继续加强对信息技术安全以及重要基础设施保护的研究;强化德国的科技知识产权,全面加强信息技术核心战略能力尤其是经济能力建设,将其列入德国的政治策略;与合作伙伴尤其是欧洲的盟友共同集合德国的相关资源。②加强联邦政府与各州政府之间的合作,推出应对信息攻击的工具。德国政府认为要想充分应对信息攻击,必须与各州政府合作,建立一套全面协调的工具。德国政府将继续定期评估信息安全状况,并采取相应的保护措施;还将根据需要对是否有必要赋予联邦其他的法定权力进行相关审查。③加强联邦信息安全人员的培训。
三、主要特点
(一)注重信息安全顶层设计。在《德国信息安全战略》中,德国联
邦政府明确设立信息安全战略目标,国家成立相应的负责机构,把信息安全纳入国家安全战略之中。在最高层设计下所确立的信息安全战略目标,成为其他原则、措施制定的依据和基础。该战略确立的信息安全战略目标,即确保德国21世纪的互联网的安全,促进德国社会经济繁荣发展,成为框架条件、两项基本原则、四项具体目标、具体的管理运行机制以及其他相关保障性措施的统领。它所阐明的所有措施、手段、管理、技术、法律等,都是围绕其战略目标所设计的。(二)重视国内资源整合,通过机构设置,加强国内合作与协调。这一点在框架条件中有明确阐述。该战略重视各级政府部门之间、公私部门之间、用户与企业之间、政府部门与企业及学术界的交流合作,并成立专门的信息安全防御与管理机构,统一协调各部门之间、公私部门之间、企业与用户之间在维护信息安全方面的冲突与联系。德国政府将进一步加强落实并拓展CIP实施计划的相关规定,强化公私部门间的合作与整合;通过设立信息安全防御中心协调联邦政府与地方各级政府部门间的职责关系;通过信息安全委员会的设立,协调联邦政府内部各部门与私营部门之间的职责关系。由此,形成了国内相对完善的覆盖政府各级部门与私营部门的信息安全防御管理与运行机制。最后,该战略明确表示其所确立的目标、机制和机构必须通过联邦、各州政府和企业长期合作,才能真正实现。
(三)重视国际战略合作,通过支持与参与国际相关规则的制定,加强国际合作与协同,促进国际与国内信息安全的协调。这一点由框架条件所确立,也这为信息空间跨国界的特性所强化。该战略明确认识
到信息空间的超国界属性,信息安全维护的复杂性与多变性,因此尤其重视信息安全维护的国际合作,这在其框架条件、基本原则以及具体的战略措施中都有体现。该战略在其框架条件中明确指出,确保信息安全,加强执法权和保护重要信息基础设施都需要加强国际合作;加强信息安全还需要制定与执行国际行为规则、标准和规范;只有国内外政策措施兼顾,才能真正维护信息安全;框架条件是制定与盟国和合作伙伴共同利益的最低标准。该战略的两条基本原则也体现了对国际合作与协调的重视,尤其强调信息安全需要全面的理解,不仅要有民事、军事的预防措施,更要有国际层面的相互合作,以保证国际社会的正常运转,维护信息安全。在战略目标与措施方面,该战略明确表示要加强国际协调与合作,在欧洲与世界范围内采取有效的协调措施,以确保信息安全。如前所述,德国政府将与欧盟各国通力合作,推进欧盟内部安全战略与数字议程;依据欧盟的《信息犯罪公约》规则指导,打击信息犯罪行动;遵循多元的办法与主权评估和决策权一致的原则,确立国际信息行为准则,指导国际信息安全合作;支持八国集团反僵尸安全计划行动,支持北约有关信息安全的规定;积极参加国际信息安全治理。
(四)重视战略的防御性。与美国、俄罗斯、英国相比,德国的信息安全战略强调防御性,从技术、管理人员等方面着手,防范黑客对德国信息进行攻击,加强信息安全。西方大国尤其是美国组建信息司令部,组建网军,研发信息攻击武器(并进行了实战),采取进攻姿态,保护信息安全。德国没有组建网军,也没有像美国那样宣布发起信息
攻击将引发美国的导弹攻击报复,而是将重点放在民用信息安全方面的防御,重点打击信息犯罪。这一点符合《基本法》的精神,把德国限定在是一个“文明国家”的范围内。与此同时,德国也以军民分离的形式保留着发展军事信息安全战略的空间。
(五)重视战略的灵活性与适应性,根据情况进行定期审查与修改。该战略的总体目标是确保信息安全与德国的自由与繁荣。该战略并不认为这是一蹴而就的事情。德国政府认为能否达到这一目的,在很大程度上取决于德国能否以国际一流的有效措施来保护信息空间。由于信息技术革新周期短,信息空间的技术性与社会性也会发生变化,德国政府将定期审查检验在国家信息安全委员会全面控制下信息安全策略的目标是否取得了成功。德国政府还将根据框架条件以及现实需要调整未来的信息安全战略及其措施。
总结
21世纪是互联网的世纪,每个大国的发展都离不开信息。信息安全成为世界各国制定发展战略的重要考量。德国顺应时代要求,也制定了本国的信息安全战略,明确阐述了德国信息安全战略的现实依据、框架条件、基本原则、战略目标及保障措施,注重信息安全顶层设计,重视国内资源整合与国际合作,重视战略的防御性,重视战略的定期审查与更新。它对于我国根据实际情况制定我国的信息安全战略具有重要的启示意义。
(最后说美国问题)
- 信息安全策略模板
- 01国家信息安全政策和标准解读(崔书昆)解析
- 信息安全相关法规政策解读
- 信息安全政策方针模板
- 信息安全管理政策和业务培训制度(最新版)
- 信息安全管理规范
- ISO27001--信息安全策略
- 信息安全管理政策和业务培训制度(2021版)
- 信息安全管理政策_V1
- 1、国家信息安全等级保护相关政策条例
- 信息安全管理策略
- 信息安全管理实施细则
- 信息安全策略总纲
- 1、国家信息安全等级保护系列法律政策 陆磊(20190820)
- 信息安全管理要求
- 信息安全总体方针和安全策略指引
- 网络与信息安全保障措施应包含下列制度和措施:
- 信息安全政策
- 信息技术安全政策及安全意识培训资料
- 信息安全管理政策和业务培训制度正式版