【编者按】德国一直很重视网络空间的安全与发展,尤其注重国家网络安全行动的顶层设计。德国网络安全战略侧重于自身网络安全防护能力的提升,同时注重通过有效的国际协调行动促进网络空间的安全。本文围绕德国网络安全战略,从主要内容、行动方案、实现措施、主要特点等方面,重点分析了德国网络安全战略发展及实施情况。
德国网络安全战略发展及实施情况 华屹智库德国是欧洲信息技术最发达的国家,向来重视网络空间的安全与发展,尤其注重国家网络安全行动的顶层设计。为有效应对网络空间的严峻挑战,构建安全的网络环境,促进国家的经济繁荣和社会稳定,德国政府于 2011年推出首份国家网络安全战略,明确网络安全战略的总体目标和保障措施,用以指导和加强国家网络安全建设,并于2016 年发布新版网络安全战略,对国家网络安全建设作出部署。与美国网络安全战略强调攻防能力并重发展不同,德国网络安全战略侧重于自身网络安全防护能力的提升,同时注重通过有效的国际协调行动促进网络空间的安全。
一、战略推出德国政府向来重视信息化建设,自上世纪末以来其通过制定和实施一系列信息化发展战略,推动国家信息化建设取得了快速发展。但随着政府机构、关键基础设施、企业和公民等对信息通信技术和互联网的依赖逐渐增强,德国面临的网络威胁尤其是境内外针对其信息基础设施的网络攻击也日益频繁和复杂。德国政府虽然重视网络安全并且也陆续推出了多项网络威胁应对措施,包括 2001 年组建网络应急预警系统、2005 年出台全国性 IT 安全计划并建立电脑紧急情况应对中心、2008 年批准颇具争议的互联网监管法案等,但随着网络威胁的不断发展变化,这些措施已渐难满足应对挑战的需求。与此同时,同为信息化大国的美国、俄罗斯、法国、英国等已领先德国出台了国家网络安全战略,用以指导和加强国家网络安全建设,防范和遏制网络空间给国家安全带来的威胁。
在上述国内国际背景下,德国政府于 2011 年 2 月 23 日授权内政部颁布了首份《德国网络安全战略》。在该战略中,德国政府评估了国家网络安全面临的主要威胁,阐述了国家网络安全战略的现实依据、框架条件、基本原则、战略目标与保障措施等,成为指导德国网络安全建设的纲领性文件。其中采取的措施重点针对保护关键信息基础设施、保护公众和中小企业 IT 系统、保护行政部门 IT 系统、建立国家网络防御中心、成立国家网络安全委员会、有效控制网络犯罪、开展有效协调行动确保欧洲和全球网络安全、采用可靠可信的信息技术、促进联邦政府人才发展,以及建立应对网络攻击的工具等十大领域。
为适应信息技术的快速发展和网络安全威胁的不断演变,德国政府于2016 年 11 月 9 日发布了新版《德国网络安全战略》,用以应对越来越多的针对政府机构、关键基础设施、企业以及公民的网络威胁活动。新版战略延续了首份战略的总体目标,对未来几年网络安全建设进行了细化部署,有效弥补了首份战略中保障措施不够细化的问题,成为德国网络安全行动的新指南。
二、主要内容2011 年网络安全战略从德国实际需求出发,注重网络安全顶层设计,强调国内资源整合与国际合作,并关注战略实施的可持续性,为德国“面向未来的网络安全政策”奠定了基础,保护网络安全和防御网络攻击成为德国的国家级任务。2016 年网络安全战略的颁布实际上是对 2011 年网络安全战略的一个延续和补充,它为德国推进网络安全建设提供了新的战略框架。在新版战略中,德国政府明确指出,2011 年网络安全战略的总体目标仍然存在,换言之,即“大力构建安全的网络空间,促进德国经济、社会的稳定和发展”的战略目标仍然存在。在新版战略中,德国政府重点评估分析了网络威胁新的形势特点,并明确阐述了未来几年网络安全的四大行动方案及其具体措施,主要情况如下:
(一)威胁评估分析根据德国政府的评估分析,德国面临的网络威胁形势具有以下特点:第一,技术的不断发展变化,使网络威胁的复杂性日益增加。与此同时,现代社会的数字化也正在增加网络空间的脆弱性和技术滥用的可能性。第二,网络攻击不仅影响网络空间,还可能对社会、经济、政治和公民造成严重损害。例如,针对国家机构的间谍或破坏活动可能严重损害行政当局、武装部队和安全部门的运作,从而对德国的公共安全和秩序产生影响;针对能源网的攻击可能使大部分公共和私人生活陷入停滞;针对银行基础设施或股市的网络攻击可能对整个金融市场构成威胁,并对德国和世界经济产生深远影响。第三,攻击者往往具有犯罪、极端主义 / 恐怖主义、军事或官方背景,境内外潜在攻击者的多样性及其隐藏技术的使用,使得对网络攻击的检测、分析、防御和起诉更加困难。第四,政治、军事冲突常常伴随着低于网络空间武装冲突门槛的网络攻击活动,造成对网络攻击的政治评估和对策决定变得复杂化。第五,网络攻击的数量和质量正在稳步增长,并且经常遇到安全性不足的 IT 系统。第六,国家支持型组织、犯罪集团或个人很容易获得网络攻击工具。特别是在技术先进的恶意程序方面,传统的防护工具往往不再足够。第七,攻击者能够利用技术隐藏网络攻击活动,导致网络攻击及其来源越来越难以被发现。德国政府评估认为,未来几年,德国的国家、经济和社会将受到以上网络威胁形势的严重影响。
(二)行动方案未来几年,德国实现网络安全战略目标的四大行动领域及具体行动计划如下:
1、数字化环境中的安全和自主行动。在数字化环境中安全和自主行动是网络安全的重要基石,但这需要适当的可信技术和框架条件。行动计划包括:一是提升全体用户的数字化能力。将数字化素养纳入教育体系,包括学校教育、双元教育、职业培训和普通成人教育,增强用户安全使用 IT 技术的基本知识。二是提高安全意识以抵消数字疏忽。联邦政府将与“德国安全在线(DsiN)e.V.”等倡议团体合作,促进目标群体提高认识;以及由联邦信息技术安全局(BSI)扩大 IT 产品和服务安全漏洞的公开警示等。三是为电子通信及Web 服务创造安全条件。通过易用的加密策略或解决方案实现电子通信和Web 服务的安全保密;增强国家执法和安全机构的解密技术能力,使之与加密技术的发展同步。四是电子身份安全保障。进一步发展安全、易用和先进的在线身份认证技术和方法。五是加强认证及批准――引入 IT 安全“质量标签”。鼓励标准技术制造商为安全的 IT 消费产品引入基本认证程序;加强 IT 产品和服务的质量认证和质量标签,使其安全性更加透明;以及支持扩展欧洲和国际 IT 安全认证协议等。六是保障数字化进程的安全。研究责任适当分配和安全风险要求,例如通过 IT 安全缺陷的产品责任规划和制造商安全规范;以及推动制定国际标准,加强移动数据的跨境安全保护等。七是推进 IT 安全研究。扩展 IT 安全研究计划《数字化世界中的安全自主 2015-2020》,并将之与网络安全战略措施紧密结合;资助现有 IT 安全研究能力中心和联邦国防军大学等加强 IT 和网络安全应用研究,发现、引进和开发新技术。
2、政府与企业的共同努力。政府和企业的信任合作和密切交流是长久确保德国网络安全不可或缺的。未来几年,德国政府与企业加强合作的行动计划包括:一是保护关键基础设施安全,尤其是关键信息基础设施的安全。二是加强对德国企业特别是中小型企业的网络信息安全防护,包括支持企业实现所需的 IT 安全级别等。三是加强德国 IT 产业经济发展。为增强国家 IT 产业竞争力,联邦政府将推广“IT安全德国制造”并扩大对外贸易。在国家关键技术领域,联邦政府将加强与IT 安全产业的合作,包括资助企业与大学、非大学研究机构和商业合作伙伴共同开发新产品和服务等。四是与安全服务提供商合作。联邦政府将利用机会促进有能力和值得信赖的安全服务提供商更多地参与网络安全建设,包括检测网络威胁、处理感染事件、打击网络攻击、保护网络数据、交流 IT 专业知识等。联邦政府还将与网络安全行业的代表一起设计和实施网络安全人员交流计划。五是建立政府与企业的可靠合作平台。该平台将在法律允许范围内,优先促进相关情况信息的信任交换,助力抵御网络攻击。
3、高效可持续的国家网络安全体系。建立先进的网络安全架构,有效联合联邦不同参与者的力量,并密切关注州和地方政府,确保德国在网络空间的安全和自主。行动计划包括:一是进一步发展国家网络防御中心(CyberAZ)。将该中心由单纯的信息交换中心发展为各部门网络安全机构密切合作的协调平台。二是增强现场分析和响应的能力。在 BSI 设立移动事件响应小组(MIRT),在联邦刑事警察局(BKA)设立专门调查组(快速反应部队),在联邦宪法保卫局(BfV)设立移动网络组(Mobile Cyber-Teams)。 三是加强网络空间执法。继续加大打击网络犯罪的力度,加强司法和执法机构人员技术和专业资质的教育培训,并借助新技术促进安全机构的能力提升。四是有效打击网络间谍及破坏活动。加强 BfV 反间谍人员和组织的建设,并加大极端主义和恐怖主义网络攻击的打击力度。五是加强境外网络攻击的预警防范。利用联邦情报局(BND)的网络攻击预警系统加强威胁分析,为启动防御措施提供早期预警。六是建立信息安全技术中心办公室(ZITiS),为国家安全机构提供相关技术支持。七是提升国防军网络安全防御能力。将整合分散的网络安全力量编成新的军事组织。八是加强德国计算机应急响应小组(CERT)建设。由 BSI 推进政府、企业、科研机构所属 CERT 的联合协作,并在联合过程中改进现有的 CERT 结构。九是加强联邦政府的网络安全管理。十是加强联邦政府和各州之间的合作。十一是利用资源加强人员招募和培养,包括各级政府的财政资金以及培训机构与业界的资源。
4、在欧洲及国际网络安全政策中发挥积极作用。数字化时代的跨国网络,只有将国家措施纳入相应的欧洲、区域和国际进程,才能实现高水平的网络安全,德国将继续在欧洲和国际网络安全政策中发挥积极作用。行动计划包括:一是积极制定有效的欧洲网络安全政策。将致力于确保在所有数字化流程中充分解决 IT 安全问题,包括通过基于数据安全的欧洲数据定位政策以及将数据保护纳入欧洲国际数据交换规则等;积极参与数据跨境处理与使用相关法律和技术问题的欧盟试点项目。二是发展北约的网络防御政策。北约需制定其网络防御政策,以适应网络空间安全环境的变化,持续增强抵御网络空间攻击的能力,德国将积极参与这一政策制定的塑造进程。三是积极帮助塑造国际网络安全。将继续在联合国推动关于国际法适用于国家和非国家行为者的辩论;为补充完善国际法规范体系,将参与制定规范、规则、原则和其他关于在网络空间中负责任国家行为的建议;支持联合国维护国际网络空间稳定的行动和增强应对国际网络威胁的能力;以及支持加强监控技术出口管制的国际努力等。四是网络能力构建的双边及区域支持与合作。将支持选定的合作伙伴国家和地区加强其预防性和反应性网络安全能力(网络稳健性和网络恢复能力)。五是加强国际执法。将在国际上打击网络犯罪,将加强跨境执法和联合调查能力,努力改善网络空间跨境执法的国际法律框架,并探索简化和加快请求国际合作伙伴司法协助的方法。
三、实现措施自首份网络安全战略发布以来,德国政府积极通过法律保障、机构设置、网军组建、企业帮扶、人才发展等方面的强化措施,大力推进国家网络安全建设,加快网络安全战略目标的实现进程。
(一)出台网络安全法案提供保障德国政府先后出台了《信息技术安全法》和《改进社交网络执法的法案》(简称《网络执行法》),为加强关键基础设施保护、社交媒体平台监管以及促进国家网络安全战略目标的实现提供了坚强的法律保障。一是《信息技术安全法》。2015 年 7月开始施行,该法案以保护关键基础设施为重点,不仅吸收了德国2011 年网络安全战略中关于关键基础设施的定义,还明确了关键基础设施的保护范围及其运营者的法律责任。法案还通过授权联邦刑事警察局(BKA)可对网络犯罪嫌疑人进行数据拦截和监控,进一步扩大了政府部门的网络监控权限。总体而言,该法案的施行强化了德国联邦政府对关键基础设施的管理,是对德国关键基础设施保护制度的进一步完善,是德国 2011 年网络安全战略的贯彻和延伸。二是《网络执行法》。是德国联邦议会 2017 年 6月 30 日通过的一项针对社交媒体平台的监管法案。该法案强制要求在德国境内符合条件的社交网络平台建立虚假新闻、煽动性言论和仇恨言论等违法信息的投诉与处理机制,并对处理不力、不当者设置最高达 5000 万欧元(约合 5750 万美元)的巨额罚款。该法案在 2017 年 10 月 1日生效,后经 3 个月“缓冲期”的适应整改,于 2018 年1月 1日正式施行。
(二)设立网络安全机构协调推进近年来,德国政府根据网络安全战略先后设立了国家网络安全委员会、国家网络防御中心、信息安全技术中心办公室等网络安全机构,这些机构在战略实施过程中发挥了重要的事务协调与技术支撑作用。一是国家网络安全委员会。该委员会成立于 2011 年 4 月,由联邦政府信息技术专员负责运作,成员包括联邦总理府、联邦政府部门(内政部、国防部、财政部、教育和研究部、司法部、外交部、联邦经济和能源部)以及各联邦州的代表,主要职能是从战略高度和政策层面协调联邦政府部门与私营部门建立并保持合作。该委员会每年举行三次会议。二是国家网络防御中心。成立于 2011 年 4 月的联合机构,主要负责协调优化政府各部门之间的网络安全合作,包括网络威胁的信息交换、评估分析及由此产生的应对策略、行动建议拟订等。该中心由 BSI 领导,联邦宪法保卫局(BfV)、联邦民事保护与灾难救助局(BBK)、联邦情报局、联邦警察(BPOL)、联邦国防军等政府部门共同参与运作。三是信息安全技术中心办公室。成立于 2017 年 4 月的非法人联邦机构,负责为德国安全机构研发网络安全相关工具和技术解决方案,工作领域包括电信监控、数字取证、密码分析和大数据分析。此外,德国还于2012 年由 BSI 与联邦 IT 协会等合作成立“网络安全联盟”,用以推动政府机构与经济界加强合作;2018 年 8 月在内政部下设立“网络安全创新局”,负责推动网络安全技术研发,以减少对美国等其他国家的技术依赖。
(三)组建网军强化网络安全防护德国联邦国防军是较早开始建设网络空间作战力量的军队之一,其中最典型的部门为负责网络空间作战的战略侦察指挥部和负责维护军方通信安全的国防军信息技术中心。除此之外,还有负责部队 IT 系统的国防军信息技术指挥部、负责为军事行动提供地理信息支援保障的国防军地理信息中心、负责部队网络安全的国防军网络安全中心,以及负责计算机网络行动的网络军事行动中心。这些专业机构和部门奠定了德国联邦国防军网络空间作战力量的基础。近年来,随着军事领域遭受的网络攻击日益频繁,为提升联邦国防军的网络空间作战能力,德国联邦国防部根据国家网络安全战略于 2017 年 4 月成立“网络与信息空间司令部”,着手组建负责国防军网络安全的独立军种,国防军原有分散的网络作战力量陆续被整合编入该司令部。新组建“网军”的主要任务包括确保联邦国防军信息系统在国内外的安全运作、加强在网络信息空间的侦察和影响力、支援国防军其他部门完成任务、数字化背景下与其他机构合作维护国家安全,以及加强网络安全设施建设等。值得注意的是,新组建的“网军”设有计算机网络行动部队,现有编制 60 人,未来将扩充至80人,担负包含网络攻击在内的作战任务。根据德国军方设想,“网络与信息空间司令部”预计到 2021 年可“完全做好应战准备”,届时其兵力规模将由组建时的 260 人大幅扩充至 1.35 万士兵和 1500 名文职雇员。
(四)帮扶中小型及初创企业发展德国认为,国家的网络安全需要强大的 IT 产业经济支持,而中小企业和初创企业则是德国 IT 产业发展的基础。为此,德国近年来积极采取措施帮扶中小型及高科技初创企业发展,用以促进德国 IT 产业经济发展,进而推动网络安全战略目标的实现。一是组建特别工作组帮助中小企业保护 IT 基础设施。为加大对中小企业 IT 基础设施保护的扶持力度,德国联邦经济与科技部(注:2013 年更名为联邦经济和能源部)于 2011 年组建了一支负责 IT 安全的专责小组,负责与业界伙伴合作,采取措施帮助中小企业防护 IT 基础设施安全。二是加强对中小企业数字化重点领域项目的资助。德国联邦经济和能源部 2016 年发布《数字战略 2025》,提出将针对中小型企业数字化投资项目进行资助,同时扩充目前已有的中小企业扶持项目,以满足中小企业不断增长的资金需求。其中,中小型企业数字化投资项目将在 2018 年获得10 亿欧元(约合 11.7 亿美元)的资助;现有的中小型企业创新计划(ZIM)项目、工业社区研究(IGF)项目则可分别获得 7 亿欧元(约合 8.2 亿美元)和 2 亿欧元(约合2.3 亿美元)的扩充资金。 三是启动“加速器”项目帮扶高科技领域初创企业发展。德国和以色列于 2017 年 11月启动首个网络安全领域创新和合作项目“黑森以色列网络安全合作加速器”,该“加速器”由德国夫琅禾费安全信息技术研究所和以色列希伯来大学网络安全研究中心共同建立,目的是吸引德国及以色列的网络领域高端人才共同致力于网络技术、互联网基础设施和软件安全等项目的创新与研发,并为高科技领域的初创企业提供更多进入市场的成功机会。
(五)重视网络人才的招募和培育德国通过加强网络安全与信息化领域人才的招募、培育和使用管理,为推进国家网络安全建设、保障国家网络空间安全提供智力支持。一是积极招募网络人才充实网军。为促进网络空间作战力量的提升,德国联邦国防军注重多渠道引进具有网络信息相关专业才能的人员入职新组建的网络空间作战部队。国防军于 2017 年 4月举办“网络日”活动,特别招募网络信息技术专家,以补缺军队和民兵部队中有关信息技术人才的职位缺口。国防军还为 2017 年 4 月在国防军信息技术指挥部下成立的网络安全中心编配 117 名平民雇员,以配合 185 名士兵更好地保护国防部在网络和信息领域的安全。国防军还计划通过招募地方信息技术人才、调配国防军从事网络的相关人员,为“网络与信息空间司令部”扩充实力。二是政府机构与企业合作培育人才。德国 2016 年网络安全战略强调要扩大政府机构与企业在人才发展上的合作,并建立创新的人员交流模式。据此,德国联邦国防军2018 年 9月与德国最大的电信运营商德国电信公司达成协议,将针对开设信息技术安全培训课程、定期交换专业人员等开展紧密合作。三是施行高效的科研人才管理机制。德国实行以人为本、项目化的人才管理体制和全球人才聘任机制,全球高端人才的引进使德国研究人员国际化比例一直保持较高水平。德国著名科研机构马普学会下属研究所的学术带头人可自主选择研究课题开展研究工作;弗劳恩霍夫协会下属研究所则实行固定岗与流动岗相结合的人员管理方式,对部分科研和技术人员采用合同制,以方便其流动,保证了人才的更迭、进出有序。