信息化大趋势下,发达国家纷纷从国家安全的高度和国际安全关系的格局着眼,积极研究制定各自的信息安全战略。美国率先提出信息安全关系国家战略安全,把网络信息安全放在优先发展的位置予以考虑。2000年8月,世界科学家联合会首次将信息安全威胁列入了21世纪人类所面临的各种威胁之中。
2000年1月,美国政府发布了《信息系统保护国家计划》,并于2003年再次发布了《保护网络空间的国家战略》。俄罗斯政府也于2000年发布了《俄罗斯联邦信息安全学说》,将信息安全提升到国家战略的高度。其他国家,如日本、英国、法国、德国等国政府也强调信息安全是其国家综合安全的核心,倾力确保国家信息安全。
一战略层面高度重视就世界各国制定的信息安全战略比较而言,美国制定得最早,最为系统,也最为全面,俄罗斯的信息安全战略则具有极高的理论性。本节以美国和俄罗斯为对象,审视其国家信息安全战略观。
1.美国国家战略
(1)战略制定的经过。
1996年,在美国国会的国防授权令中,要求总统从防止战略攻击的角度向国会报告联邦政府对保护国家信息基础设施的策略,作为对国会要求的回应,经过一系列国家安全会议的讨论,当时的美国总统克林顿于1996年7月15日发布了第13010号行政令《关键基础设施保护》,宣布成立“保护关键基础设施总统委员会”(PCCIP),其任务包括:向总统汇报国家关键基础设施存在的脆弱性和威胁(侧重于信息安全方面)的性质和范围;建议综合性的国家关键基础设施保护策略和实施计划;决定与信息安全保护有关的法律和策略事项;提交必要的法律和法规变更需求。1997年10月,成立伊始的PCCIP向克林顿提交了《关键基础:保护美国的基础设施》的报告,在其中研究了美国的关键基础设施安全状况,提交了一篇行动战略,要求:促进私营和政府部门间的合作和交流;建设实时的攻击预警能力;建立并推动综合性的教育和意识培养计划;优化并理顺相关的法律基础设施;扩大对技术的研发,尤其是更强的入侵检测技术。这篇报告提交后,政府各部门便开始思考如何行动,并直接促使美国政府在1998年5月22日发布了著名的第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》。PDD63制定了美国政府的信息安全保障工作的基本框架,具有深远的历史意义。
应PDD63的要求,美国政府于2000年1月发布了可称为全球第一部的《信息系统保护国家计划》第1.0版,为如何落实PDD63提出的各项要求提出了行动路线,并为国家计划的执行建立了监督机制。
布什政府执政后,由于各种原因,宣布立即着手开始撰写第二版国家战略,同时邀请全国各部门开始提交第二版建议。
“9·11”之后,布什政府宣布将推迟第二版的撰写,重新考虑新的反恐形势下的国家安全诸项事务。2001年10月16日,布什发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”(PCIPB),取代PCCIP,由其负责制定新的信息安全保障国家战略。2002年3月20日,PCIPB向全国发表了《保护网络空间的国家战略》的公告,在综合各方专家的意见后提出了与国家信息安全保障战略有关的53个重要问题。作为其第一阶段工作,PCIPB希望藉此广泛征求公众的反馈意见,以便于国家战略草案的撰写。
在上述工作的基础上,2002年9月18日,《保护网络空间的国家战略》草案版向公众征求意见,经公众评论并做了大量修改后,于2003年2月14日正式发布。与此同时,美国政府发布了一系列与国家安全有关的战略,包括《国土安全战略》(2002年7月)、《国家安全战略》(2002年9月)、《打击大规模毁灭性武器的国家战略》(2002年12月)、《打击恐怖主义的国家战略》(2003年2月)、《保护关键基础设施和重要资产的国家战略》(2003年2月)、《毒品管制国家战略》(2003年2月)。《保护网络空间的国家战略》隶属于这一系列,并建立在《国土安全战略》和《国家安全战略》所确立的国家安全原则基础之上,与其他领域的国家战略相辅相成,是其国家安全总体战略体系中密不可分的一个重要部分。
(2)主要战略观点。
美国将关键基础设施所依赖的信息系统的安全作为战略保护对象。最初,美国确定的关键基础设施有8类,后来又逐渐扩大至13类。
美国认为,在没有充分考虑安全性的情况下,国家将制造业、公共事业、银行和通信的核心操作交给计算机网络控制,这使得交易成本得到了降低而生产力急速提升。人们越发使用联网系统的趋势还在继续,到了2003年,其经济和国家安全已经完全依赖于信息技术和信息基础设施。
在对威胁的判断中,美国认为虽然物理上的隔离使得美国曾免于受到直接入侵,但在网络空间中国界并没有太大意义,信息在不同的政体、民族和宗教之间自由流动。甚至连构成网络空间的基础设施(硬件和软件)的设计和开发过程也是全球化的。因此美国的脆弱性是对整个世界开放的,可被任何人在任何地方利用。
为此,美国提出的信息安全战略目标与其《国土安全国家战略》相一致,主要包括:防止对美国关键基础设施的网络攻击;减少国家对网络攻击的脆弱性;在出现网络攻击时,尽量减少损失并缩短恢复时间。
(3)关键基础设施行业信息安全战略与国家战略相辅相成。
美国85%以上的关键基础设施掌握在私营部门手中,美国政府既不是这些基础设施的拥有者,也不是运营者,在所谓的自由市场中,政府不能超越宪法和法律规定对私营工业进行指挥和约束,但这些私营性质的基础设施又的确影响着美国的国家安全。这便是美国的信息安全工作面临的最大挑战。为此,美国联邦政府采取了两大举措:加强联邦政府安全,使联邦政府成为全国信息安全保障工作之表率;将私营工业划分为若干类基础设施,建立联邦政府与基础设施部门间的合作机制,加强信息共享,以非指令性的建议、指导、帮助、咨询等模式,逐步引导私营工业界加强其各自基础设施的安全。
自从美国第63号总统令发布以来,美国的州和地方政府、私营工业界便努力响应了政府的号召,积极参与国家的信息安全工作。应2000年1月的国家计划及两届政府的多项政策的要求,各基础设施部门分别落实了各自的工作,并组成了民间性质的“关键基础设施安全联盟”(PCIS),以《工业界对国家计划的响应纲要》为总纲,陆续发布了州和地方政府、银行与金融、信息与通信、能源、运输等基础设施部门的信息安全保障战略。在这些战略中,对信息基础设施依赖性强的传统部门(例如银行与金融部门)制定的战略较为详细,操作性很强,而有的部门(例如供水部门以及铁路部门)则只是简单地提出了原则和框架而已,后续工作仍然很多,这表明其各个基础设施部门间在信息化水平、信息安全工作基础、努力程度等方面有着很大的不同。2001年以来,美国关键基础设施行业制定的信息安全战略有:《工业界对保护网络空间的国家战略的概述》,《保护美国的网络空间——银行和金融部门关键基础设施保障国家战略V1.0》,《美国化学药品部门网络空间安全战略》,《电力部门对关键基础设施挑战的回应》,《应急执法部门(ELES)的关键基础设施保护计划》,《高等教育对保护网络空间的国家战略的贡献》,《信息和通信部门的关键基础设施保护和网络空间安全国家战略》,《保护美国的网络空间——保险部门的网络空间安全战略V5.1》,《保护新经济时代石油和天然气基础设施的安全》,《铁路部门的关键基础设施保护国家计划》,《供水部门对关键基础设施保护国家计划的投入》,《研发项目发展计划:通过信息安全来实现关键基础设施保护》。
2.俄罗斯信息安全学说
2000年,俄罗斯总统普京签署了《俄罗斯信息安全学说》,确定了俄罗斯信息安全的战略框架。
一是国家利益判断。
《俄罗斯信息安全学说》提出,俄联邦信息安全是指在信息领域俄联邦国家利益的保护现状,是由国家、社会和个人均衡利益的总合因素确定的,包括:(1)信息领域的个人利益取决于宪法赋予个人和公民获取信息、使用信息从事法律并未禁止的物质、精神和智力开发活动,以及保障个人信息安全的权利能否实现。
(2)信息领域的社会利益取决于该领域中个人利益的保护、民主的巩固、法制社会国家的建立及俄罗斯精神复苏过程中社会公德的形成和保持情况。
(3)信息领域的国家利益取决于能否创造条件,协调发展俄信息结构,实现宪法赋予个人和公民获取信息并使用信息的权利,以保障宪法制度的稳固、国家主权和领土完整,政治、经济和社会稳定,无条件地保障法制秩序,拓展平等互惠的国际合作。
在信息领域俄联邦的国家利益主要有四个方面:(1)尊重宪法赋予个人和公民在获取和使用信息方面的权利和自由,保障俄罗斯的精神复苏,保持和巩固社会精神财富,发扬爱国主义和人道主义传统,巩固和提高国家的文化和科技潜能。
(2)保障向俄罗斯及国际社会通报有关俄联邦国家政策的可靠信息、有关俄罗斯及国际上重大社会事件的官方立场,保障公民获取公开的国家信息资源。
(3)发展现代信息技术和信息工业的国产化,其中包括信息保护设备、远程通信及通信保护设备,保障其产品的国内市场需求及其向国际市场的出口,保障积累、保存和有效使用国产信息资源。在现代条件下,只有在此基础上才能解决建立高科技含量的工艺、更新工业技术设备、扩大国家科技成果的问题。俄罗斯应当置身于国际微电子及计算机工业的领先行列。
(4)保护信息资源,防止非法访问,保障信息安全及俄领土上已有的或在建的远程通信系统的安全。