1 美國信息安全機構
⑴美國的信息安全機構設立完善、職責明晰。由總統指揮,網絡協調員協助,主要分布在三個層面:總統辦事機構、內閣 和獨立機構。國家安全委員會是美國信息安全體系的中樞。一是總統辦事機構,主要包括國家安全委員會、國家情報總監、信息共享環境項目經理。如2009年設 立了信息安全辦公室,主要負責為政府編纂和綜合所有的信息安全政策,在重大網絡事故或攻擊情形下協調政府反應。二是內閣,主要涉及國防部、國土安全部、司 法部和商務部。其中國防部首席信息官指揮的國家安全體系委員會負責協調美國政府各個部門和局商討信息保障政策,設立國家級的信息保障政策、指令、指南和操 作規程。國土安全部是美國聯邦政府確保信息安全的核心部門,支持聯邦政府各部門、各機構對網絡攻擊做出響應,在保障信息安全時是公共部門、私營部門和研究 機構之間的指揮中樞。國土安全部設立了“國家網絡安全中心”,作為承擔和實施美國國家網絡保護職能的具體機構。三是獨立機構,主要包括國家檔案館和國家科 學基金會。其中國家檔案館下設的信息安全監督辦公室全面負責美國政府和各行業中涉密信息和計劃的保護、管理和監督,并承擔部分的安全教育工作。每年負責向 總統就涉密信息和計劃的狀態及預算花費等內容做匯報。2011年“維基解密”事件之后,奧巴馬發布了第13587號總統令《促進涉密網絡安全和責任共享以 及保護涉密信息的結構改革》,又成立兩個重要的獨立機構,分別是高級信息共享和保護指導委員會和內部威脅專責小組。
⑵注重信息安全機構之間的協調工作。如“網絡空間政策評估小組”,以徹底評估信息和通信基礎設施的安全防護狀況及 應對能力;設立與總統保持密切聯系的“白宮網絡安全協調員”,并成立“白宮網絡安全辦公室”,協調美國聯邦政府的軍事和民事部門網絡安全政策和行動。 2009年底,美國還成立了“全國通信與網絡安全控制聯合協調中心”,主要工作就是協調和整合六大網絡安全專職機構的信息,以提供跨領域的網絡空間發展趨 勢判斷能力,分析并上報全國網絡空間的運行狀況。
⑶加強網絡戰部隊建設。以“網絡威懾”為網絡安全戰略主題,成立了相應的網絡戰部隊。2010年,美國戰略司令部 成立美國網絡司令部,其任務是指揮國防部信息網絡的運行和防護,系統性和適應性規劃,綜合同步網絡行動,管理全頻譜軍事網絡空間的運行,以確保美國及其盟 軍在網絡空間內的行動自由。2011年年底,美國陸軍成立了由美國陸軍網絡司令部指揮的第780軍事情報旅。該部隊是一支由黑客組成的網絡旅,是目前全世 界擁有最大編制的專業化網絡戰部隊,其作戰任務為在整個網絡空間中展開攻防作戰。2013年初,美國國防部宣布將現有網絡部隊人數擴充5倍。2013年3 月12日,美軍網絡空間司令部司令基思·亞歷山大稱,美國國防部正組建40支網絡安全部隊,任務是打擊對美國發動電子攻擊的威脅。其中13支主要專注于 “進攻性”行動,另外27支負責網絡安全監控、相關培訓和后勤支持,所有40支部隊將在2015年秋季前全部建成。擴充后網絡戰司令部將成立三支部隊,其 中“國家任務部隊”負責保護關系國家安全和經濟命脈的關鍵基礎設施計算機系統;“作戰任務部隊”協助指揮官制訂境外行動計劃、發動攻擊并采取其他進攻行 動;“網絡保護部隊”負責保護國防部內部網絡安全。2013年2013年5月2日,美國國防部發布指令,稱將建立一個信息化操作執行指導小組,以優化信息 鏈以及信息化作戰過程中所采用的信息整合執行機制。
⑷注重關鍵信息安全技術研發。2012年5月,美國聯邦調查局(FBI)成立了網絡監控部門——國內通訊協助中 心,計劃開發更完備的技術手段,對互聯網、手機和IP電話等網絡通訊實施更便利的攔截與監聽。2012年11月,美國建立第一個官方泰利斯研究和技術中 心,此中心主要是生產一些高科技產品,同時會做一些關于信息安全等方面的調查。2013年8月,美國國家情報局局長宣布正式組建情報與通信技術國家情報總 監審核小組,審核在當前通信技術進步的情況下,美國用來收集情報的技術手段是否最大程度地保護了國家安全、推動了外交政策,同時是否兼顧其他政策需求,例 如防止泄密和維護公眾信任。
⑸注重政企合作。2013年6月,美國國家安全局決定撥款60億建立中央數據庫,為各聯邦政府部門以及相關機構提 供安全工具和專門知識,并對國防和情報機關開放。該項目計劃匯集各種硬件、軟件和咨詢服務并涵蓋了各種信息安全需求以服務各聯邦政府部門及相關機構。建立 中央資料庫是棱鏡監控項目被披露后的優先考慮。2013年8月,美國聯邦情報局啟用門戶網站iGuardian。通過該網站,公司可以及時通知有關部門網 絡攻擊和網絡威脅的信息。而該網站收到的所有信息都會交給美國國家網絡安全調查聯合目標小組進行進一步的分析處理。目前,已有超過580 000家機構加入InfraGuard網絡工程。
2 日本信息安全機構
⑴日本信息安全機構分為五大體系,形成了相互交織的信息安全網絡系統。分別是內閣官房、經濟產業省、總務省、防衛 省和警察系統下轄的信息安全機構。其中內閣官房下轄的信息安全中心是核心指揮機構。一是內閣官房,包括信息安全中心和IT戰略本部中的信息安全會議,主要 負責收集重要情報并調研,向內閣提出制定信息安全重要政策的依據;二是經濟產業省,包括經濟產業省所管法人、商務信息政策局和網絡凈化中心,主要負責與信 息安全相關的硬件開發,凈化網絡經濟環境,保障日本經濟的安全發展;三是總務省,包括信息通信研究機構、信息流通行政局和地方自治信息中心,力圖實現“無 處不在”的信息服務,促進日本全方面的正常快速發展;四是防衛省,包括指揮通信系統,、系統防衛隊和中央警務隊,主要負責處理國防相關信息的收集、處理和 分析等,以保證國家安全。五是警察,包括警察系統共有的機動部隊、警察廳下屬信息安全機構和警視廳下屬信息安全機構。
⑵發展網絡戰部隊。2013年5月,防衛省在陸海空自衛隊指揮擔當機構統合幕僚監部新設“網絡防衛隊(暫定)”準 備室。該辦公室將主要圍繞“網絡防衛隊”建設的前期準備進行活動。2013年5月日本信息安全委員發布決議,計劃建立 “網絡安全軍隊”,并大幅擴大國內信息安全服務市場。“網絡安全軍隊”將吸納計算機網絡程序員和網絡專家,抵御黑客對國家和軍事系統的攻擊。2015年日 本計劃建立網絡安全中心,協調該領域所有政策,包括培養專家。2015年前將日本政府機構及重要的核電站、煤氣公司、鐵道公司等基礎建設領域的網絡安全防 范網進行徹底改善,達到網絡攻擊信息共享;2020年底前,將目前規模僅為6 000億~7 000億日元的國內信息安全市場擴大一倍;日本還將與其他國家開展網絡安全合作,在現有80多個國家的基礎上增加3成。日本警察廳在2013年5月16日 表示,警察廳新設了一個名為“網絡攻擊分析中心”的內部機構,負責指揮日本全國警察就黑客非法入侵等案件開展調查、分析工作。此外,負責分析黑客攻擊手法 及電腦病毒的技術性“網絡部隊”也已在日本各地警隊中成立。
⑶注重“官民協調”機構設置。日本的信息安全體制屬“官民協調”體制,重視官民之間、政府機構之間、以及政府機構 與企業法人之間的合作與聯系。以政府為中心,以商社等民間團體為依附開展信息安全工作。日本政府在各個部門都有信息安全機構,同時各省廳還有各自所管法人 機構。以經濟產業省為例,追求“經濟立國”的日本,尤其重視商務信息的安全,在經濟產業省下設商務信息局管理經濟信息安全,為了保護電子商務安全與總務省 聯合設立了網絡凈化中心。不僅如此,還與各財團合作設立獨立法人機構,先后設立了日本產業協會、產業技術綜合研究所、IPA安全中心、日本數據通信協會 等。為了推進信息通信技術的發展,力圖能夠真正實現“無處不在”的信息服務,總務省在2006年~2010年間又實施了“U-Japan戰略”。即通過設 立信息通信研究機構、信息流通行政局和地方自治信息中心,建立起中央和地方統一、官民一體的信息安全體系。
⑷調整政企合作機制。2012年8月12日消息,為應對手機網絡通信事故多發的情況,日本總務省決定建立負責調查 事故原因、提供解決方案的第三者機構。第三方機構的成員除通信、IT專家外,還包括熟悉情報系統的審計公司,該機構預計在2014年成立。提供移動電話和 電子郵件服務的互聯網公司在網絡事故發生時,第三方機構會在第一時間出動,挖掘在公司內部調查中容易被忽視或默許的組織和設備的問題點。在聽取業界意見的 同時,決定解決方案。日本警察廳2013年7月宣布,將設立一個新的“產學官”合作組織,應對網絡犯罪。 該組織由企業、學校、政府機關三方合作組成,共享信息,共同研究病毒并抵御網絡攻擊等。2013年7月12日,日本防衛省舉行了網絡防衛協議會的啟動儀 式。該協議會主要負責與生產防御產品的企業之間的情報共享工作,以共同抵御網絡攻擊。當日,共有11個相關企業參加了啟動儀式。
3 俄羅斯信息安全機構
⑴俄羅斯的信息安全機構,主要包含兩大立法決策機構以及12個權力執行機構。一是立法決策機構,包括國家杜馬安全 委員會和俄羅斯聯邦安全委員會,主要職能是對相關信息安全法律做出初步審議和修訂,從而為信息安全工作提供法律保障,同時對信息安全相關事件進行調查研 究,為總統決策作前期準備;二是12大權力機構,主要分為總統直屬權力執行機構和政府所屬權力執行機構。其中主要的4個部門是內務部的特種技術措施局、國 防部的技術與出口監督局、對外情報總局和安全總局。12個權力機構下屬的各信息安全機構多方面保護聯邦信息安全。
⑵擬組建網絡司令部。俄羅斯早在上世紀90年代就設立了信息安全委員會,還建立了專門的網絡戰部隊。俄羅斯副總理 羅戈津宣布,俄國防部已于2013年3月前完成組建網絡司令部的研究,計劃將于2013年年底正式組建,同時有意向建立專門應對網絡戰爭的兵種,希望吸引 優秀的編程人員加入俄軍。據俄《生意人報》報道,俄政府還將在近期制定相關文件作為未來應對網絡戰爭的基礎。此外,俄羅斯還對網絡高效IT精英學子組建 “科技連”,擬為即將成立的網絡司令部物色和輸送人才。
⑶各信息安全機構分工明確。俄羅斯聯邦安全委員會負責國家信息安全保密;俄羅斯科技委員會負責信息安全標準、評估 和檢驗;俄通信信息部負責產業計劃規劃;俄聯邦總統直屬政府通信和信息局負責密碼和通信安全;重大問題由聯邦總統直接命令頒布執行。其中,俄聯邦總統直屬 政府通信和信息局,簡稱“法普西”(FAPSI),類似于美國的國家安全局(NSA),是集收集情報和信息安全兩項職責于一身的重要機構。FAPSI除了 為國家和軍隊提供加密設備和服務外,還在俄羅斯信息安全設備(包括密碼設備)的研制、生產、銷售、應用、裝配、調試、檢驗與進出口中擁有認證與許可權。
⑷開展政企合作,建立安全防護體系。首先,在俄聯邦安全委員會科學技術理事會下設信息安全分部,統一領導國家信息 安全規劃與建設并負責協調國家信息安全保護工作。其次,俄聯邦安全總局、俄內務部和俄聯邦媒體與文化管理局“各司其職”,有針對性地成立專門的網絡監管機 構。俄內務部特種技術手段局組建了被外界稱為“網警”的秘密部門——“K”部,具體負責網絡安全工作,接受網民關于不良網絡信息及程序的舉報;在俄聯邦中 央及各地方的安全機構也都設立了相應的網絡安全部門。
⑸積極開展國際合作。總統普京2013年7月底簽署《2020年前國際信息安全國家基本政策》指出,俄羅斯應對國 際網絡安全威脅的主要方式是開展國際合作。為加強各國信息安全交流和宣傳本國倡議,俄外交部還準備成立國際信息安全司。2011年12月,美俄兩國首次開 展網絡安全合作;2013年4月俄羅斯建議在加強互信框架下在俄羅斯-北約理事會成員國之間發起網絡安全領域的合作;2013年6月中旬,美國總統奧巴馬 與普京在八國集團峰會上會晤時,已商定使用軍事熱線來分享網絡安全信息,并建立關于應對網絡信息技術威脅的工作組,定期舉行會晤,評估、研究及解決遇到問 題的風險,增強雙邊互信。
4 美俄日信息安全機構設置比較
縱觀美日俄三國信息安全體系,主要有以下四個特點:
⑴設置統一權威的信息安全領導機構。美國國家安全委員會是美國國家安全的中樞機構,直接對總統負責,是總統掌控國 家安全事務的最直接的通道;俄羅斯的聯邦安全委員會是保障俄聯邦國家安全的最高決策機構,主要負責安全領域的政策與戰略研究,保障內政、外交、軍事和信息 安全行動的指揮工作等。日本內閣官房下轄的信息安全中心發揮著核心作用,是日本信息安全方面工作的統一領導和協調機構,負責制定日本信息安全額統一標準, 以及各部委之間、政府整體的信息安全工作的協調。
⑵具有完備的信息安全體系。美國的信息安全機構由總統統一指揮,在總統事務辦公室、內閣各部下設立附屬的信息機 構,此外還有獨立的信息機構以及協調機構。日本的信息安全機構由信息安全中心統一指揮,分別是內閣官房、經濟產業省、總務省、防衛省和警察系統下轄的信息 安全機構,形成了相互交織的信息安全網絡系統。俄羅斯的信息安全機構由俄羅斯的聯邦安全委員會統一指揮,包括了立法決策機構和權力執行機構,并且各機構分 工明確,協調運轉。
⑶重視網絡戰部隊建設。美國先后成立美國網絡司令部,第780軍事情報旅,并計劃建立一個信息化操作執行指導小 組,并將網絡戰部隊統一建制整合,使其類似特種作戰;日本2013年也提出建立“網絡安全部隊”的計劃,并提出在2015年建立網絡安全中心;俄羅斯也提 出于2013年底正式組建網絡司令部,并且組建“科技連”為該部隊物色輸送IT人才。
⑷加強政企合作。一是設立機構,如美國擬匯集各種硬件、軟件和咨詢服務,建立中央數據庫,為各聯邦政府部門以及相關機構提供安全工具和專門知識。二是改革合作機制,擴大合作范圍及領域,如日本警察廳擬成立一個企業、學校、政府三方合作的組成的“產學官”組織應對網絡犯罪。
各國信息安全機構設置特點不同。美國注重提高技術能力,建立信息安全相關技術開發機構,欲憑技術制勝;日本強調其信息安全的“官民協調”體制,并不斷改進完善;俄羅斯則呼吁國際合作,以此作為俄應對國際信息安全威脅的主要方式,并欲成立國際信息安全司。