论文部分内容阅读
在保持战略自主性的同时,法国必须努力成为网络电磁防御领域的第一梯队国家。
近年来,法国对于信息技术的依赖程度不断提高,使得避免和反制网络电磁攻击成为确保国家安全的优先领域。2008年6月17日,法国发布《法国国防与国家安全白皮书》,明确将网络电磁攻击作为国家面临的主要威胁之一。
战略目标与举措
法国政府在2009年7月成立了国家级的网络电磁安全机构——法国网络与信息安全局(ANSSI),这是法国开展信息系统安全和防御的重要一步。2011年2月,法国发布有关信息系统防御与安全的国家战略,确定了以下4个目标:
一是在国际上成为网络电磁防御领域的大国。在保持战略自主性的同时,法国必须努力成为网络电磁防御领域的第一梯队国家。法国将积极参与操作层面的国际合作,同时建立一个消除相互威胁的统一战略。
二是通过保护主权信息来保障法国的决策自由。在任何情况下,法国政府和危机管理者都必须具备保密通信的手段,必须将可满足这一需求的网络延伸至全国范围。所传送信息的保密性要求使用良好的安全产品,为此,必须注重网络产品的设计并优化其开发过程。
三是加强国家重要基础设施的网络电磁安全。现代社会对网络的依赖程度越来越高,因此政府需要和网络供应商、运营商一起努力确保和改善关键系统的安金。
四是确保网络电磁空间的安全。由于针对信息系统的威胁会危害到政府、企业及个人,因此政府必须采取行动保护信息系统及其数据。
为实现上述目标,法国制定了7个战略举措:一是更好地预测和分析环境,以便制定出适当的决策;二是检测攻击并予以反击,提醒潜在的受害者并进行帮助;三是提高并扩展法国在科学、技术、工业和人工方面的先进能力,目标是保持必要的自主权;四是保护国家重要基础设施和信息系统,以具备更强的应变能力;五是顺应技术的演变及其新用途,制定相关法律;六是开展信息系统安全、打击网络电磁犯罪和开展网络电磁防御方面的国际合作;七是对公众进行宣传工作,使个人更好地理解信息系统安全相关的问题。
管理体制与法规制度
法国拥有一系列与网络电磁相关的机构,各自具有不同的使命。在国家层面,有“法国网络与信息安全局”、“法国数据保护局”、“法国电信和电报局”、“打击信息技术和通信相关犯罪中心办公室”、“经济、二业和就业部”、“互联网应用小组”。“国家管理现代化委员会”。在计算机应急响应方面,有“信息系统安全运行中心”、“计算机应急响应小组一国家电信研究网络”、“计算机应急响应小组业界服务”、“计算机应急响应小组安全组织”、“计算机应急响应小组一-总体组织”。在业界组织方面,有“信息网络与通信领域联盟”。在学术组织方面,有“国家电信研究网络”。其他还有“法国信息安全俱乐部”、“信息系统和网络安全观测站”、“法国开放式网络应用程序安全项目”、“法国国际信息系统审计协会”等。
这些机构通过以下机制进行网络电磁方面的对话和信息交流。一是法国网络和电信服务跨部门协调委员会(CICREST)对话平台。通过该平台,CICREST可以向法国政府汇报国内外电信网络的状态,并在危机情况下,按照各部委、公司和组织的需求,进行网络配置。二是电信运营商和政府部门之间的信息交互。根据2006年颁布的《关键基础设施保护》法,每个电信运营商都必须提交一份安全方面的总体规划报告,然后法国“经济、工业和就业部”根据该报告来检查运营商是否遵守国家安全准则,同时也有利于运营商避免网络失败的风险。三是法律框架的信息平台。政府机构和电信运营商之间有一个信息平台,用于讨论法国的法律框架。法国制订了一系列网络电磁空间相关的法律法规,如电子政务法、远程服务条例、数据保护/隐私立法、电子商务法、电子通信法、网络电磁犯罪法、电子验证法等。
国际合作
法国通过一系列活动加强网络电磁方面的国际交流。
一是通过法德部级交流与德国合作。法德的两个政府部门——“法国网络与信息安全局”和“德国联邦信息安金办公室”长期以来—直在网络电磁方面进行双边合作。2010年2月召开的法德第十二届部长会议,确定了未来几年法德两国在网络电磁方面的合作路线图。在提出的80项措施中,两国同意采取举措共同加强打击网络电磁攻击行为,并在国际论坛中加强合作。
二是通过“网络电磁风暴Ⅲ”演习与美国合作。“法国网络与信息安全局”参加了美国国土安全部在2010@举办的“网络电磁风暴Ⅲ”演习活动。演习有13个国家和60家私营公司参与,目的是针对重大信息技术危机制定出协调一致的应对手段。
三是通过“欧洲网络电磁2010”演习与欧洲合作。2010年11月4日,法国和其他欧盟成员国,以及冰岛、挪威和瑞士3国,参加了“欧洲网络与信息安全局”组织的“欧洲网络电磁2010”演习,模拟了对欧洲互联网互连节点的大规模攻击。
四是通过“网络电磁联盟2010”演习与北约合作。2010年11月16日,24个北约成员国参与了一项网络电磁防御演习,旨在协调军民网络电磁防御手段。法国国防部和“法国网络与信息安全局”代表法国参与了该演习。
五是积极参与“欧洲政府计算机应急响应小组”(EGC)团体。EGC团体旨在开发其成员国应对危机的有效合作方式、增强相应的信息共享技术手段、确定可共享的专业技术知识和人才、加强与其他机构组织的联系。
态势感知
法国已经建立起国家层面的网络电磁态势感知。
一是与总体信息安全有关的态势感知。“法国网络与信息安全局”提供了一个信息门户,为民众提供信息安全方面的建议。“反垃圾邮件联盟”通过积极调动民众和专业人士的积极性,一起推进法国网络的健康发展。此外,“法国信息安全俱乐部”每年都组织一系列信息技术安全方面的会议。
二是针对青少年的互联网安全态势感知。法国的态势感知项目得到欧盟的支持,主要包括一个引导青少年的互联网监管项目、一个综合电脑、手机、游戏终端的增强监管项目,以及一个识别非法网站的在线服务项目等。另外,一家名为“纯洁行动”的非政府机构,为维护互联网上青少年的纯洁开展了一系列活动,旨在研究青少年的互联网使用行为、控制互联网的使用风险,并开发新的保护技术等。该非政府机构在欧洲所有法语国家都设有分支机构。
三是与电子化政府相关的态势感知。国家管理现代化委员会通过开设一个新网站,使政府更容易获得最新的参考文件,比如信息系统安全参考等。
主要经验
法国在安全事件应急管理、网络电磁风险控制、弹性机制、隐私与可信度等领域有以下实践经验。
一是在安全事件应急管理方面。法国积极参与国际大规模网络电磁演习,以解决重大信息技术威胁。同时,法国国防总秘书处通过“信息系统安全运行中心”来保护政府网络和信启、系统安全。该中心全年365天不间断运行,除了常规防御性任务,还负责协调法国政府各部门的行动,规划防护性和应对举措。该中心还负责准备和实施应对恐怖威胁的“警惕劫掠计划”。
二是在网络电磁风险控制方面。根据“信息系统安全运行中心”2010年度报告,2010年法国未发生重大网络信息安全事故,遭到的攻击主要是垃圾邮件等。但法国意识到,新型网络电磁犯罪以及有目标的进攻正在逐步向实际战略威胁方向发展。
三是在弹性机制方面。法国政府要求所有的部门都进行网络弹性和信息安全风险评估,并将结果向“国防与安全秘书长”汇报。法国的危机准备和恢复机制分为国家、本地两个层面。法国内政部负责国家危机管理,具体操作由危机管理的部门间运行中心执行。另外,法国“经济、工业和就业部”的电信防御审计委员会会对法国网络的弹性和可靠性进行审查,在运营商提供安全规划报告之后对其执行情况进行监督。
四是进行信息系统方面的演习。“国防与安全秘书长”在2010年6月组织了一场应对关键信息技术和电信基础设施重大危机的全国性演习——“网络劫掠2010”演习。
五是在应急响应能力方面。根据过去的记录,每2~3年都会发生一次重大公共通信网络事故,大多数事故都是软件相关问题造成的。每次事故发生后,法国都要求安全部门、计算机应急响应小组和软件供应商提供一份特别报告并且,进行调查。
六是针对电信网络的立法问题。如果造成区域性和大规模网络中断,法国电信企业会受到法国电信和电报局的处罚。同时,防御电信审计委员会会对具体事件进行调查。
七是在隐私与可信度方面。法国通过一系列数据保护法律,来保护个人数据的隐私与安全,其执行机构是“法国数据保护局”。
近年来,法国对于信息技术的依赖程度不断提高,使得避免和反制网络电磁攻击成为确保国家安全的优先领域。2008年6月17日,法国发布《法国国防与国家安全白皮书》,明确将网络电磁攻击作为国家面临的主要威胁之一。
战略目标与举措
法国政府在2009年7月成立了国家级的网络电磁安全机构——法国网络与信息安全局(ANSSI),这是法国开展信息系统安全和防御的重要一步。2011年2月,法国发布有关信息系统防御与安全的国家战略,确定了以下4个目标:
一是在国际上成为网络电磁防御领域的大国。在保持战略自主性的同时,法国必须努力成为网络电磁防御领域的第一梯队国家。法国将积极参与操作层面的国际合作,同时建立一个消除相互威胁的统一战略。
二是通过保护主权信息来保障法国的决策自由。在任何情况下,法国政府和危机管理者都必须具备保密通信的手段,必须将可满足这一需求的网络延伸至全国范围。所传送信息的保密性要求使用良好的安全产品,为此,必须注重网络产品的设计并优化其开发过程。
三是加强国家重要基础设施的网络电磁安全。现代社会对网络的依赖程度越来越高,因此政府需要和网络供应商、运营商一起努力确保和改善关键系统的安金。
四是确保网络电磁空间的安全。由于针对信息系统的威胁会危害到政府、企业及个人,因此政府必须采取行动保护信息系统及其数据。
为实现上述目标,法国制定了7个战略举措:一是更好地预测和分析环境,以便制定出适当的决策;二是检测攻击并予以反击,提醒潜在的受害者并进行帮助;三是提高并扩展法国在科学、技术、工业和人工方面的先进能力,目标是保持必要的自主权;四是保护国家重要基础设施和信息系统,以具备更强的应变能力;五是顺应技术的演变及其新用途,制定相关法律;六是开展信息系统安全、打击网络电磁犯罪和开展网络电磁防御方面的国际合作;七是对公众进行宣传工作,使个人更好地理解信息系统安全相关的问题。
管理体制与法规制度
法国拥有一系列与网络电磁相关的机构,各自具有不同的使命。在国家层面,有“法国网络与信息安全局”、“法国数据保护局”、“法国电信和电报局”、“打击信息技术和通信相关犯罪中心办公室”、“经济、二业和就业部”、“互联网应用小组”。“国家管理现代化委员会”。在计算机应急响应方面,有“信息系统安全运行中心”、“计算机应急响应小组一国家电信研究网络”、“计算机应急响应小组业界服务”、“计算机应急响应小组安全组织”、“计算机应急响应小组一-总体组织”。在业界组织方面,有“信息网络与通信领域联盟”。在学术组织方面,有“国家电信研究网络”。其他还有“法国信息安全俱乐部”、“信息系统和网络安全观测站”、“法国开放式网络应用程序安全项目”、“法国国际信息系统审计协会”等。
这些机构通过以下机制进行网络电磁方面的对话和信息交流。一是法国网络和电信服务跨部门协调委员会(CICREST)对话平台。通过该平台,CICREST可以向法国政府汇报国内外电信网络的状态,并在危机情况下,按照各部委、公司和组织的需求,进行网络配置。二是电信运营商和政府部门之间的信息交互。根据2006年颁布的《关键基础设施保护》法,每个电信运营商都必须提交一份安全方面的总体规划报告,然后法国“经济、工业和就业部”根据该报告来检查运营商是否遵守国家安全准则,同时也有利于运营商避免网络失败的风险。三是法律框架的信息平台。政府机构和电信运营商之间有一个信息平台,用于讨论法国的法律框架。法国制订了一系列网络电磁空间相关的法律法规,如电子政务法、远程服务条例、数据保护/隐私立法、电子商务法、电子通信法、网络电磁犯罪法、电子验证法等。
国际合作
法国通过一系列活动加强网络电磁方面的国际交流。
一是通过法德部级交流与德国合作。法德的两个政府部门——“法国网络与信息安全局”和“德国联邦信息安金办公室”长期以来—直在网络电磁方面进行双边合作。2010年2月召开的法德第十二届部长会议,确定了未来几年法德两国在网络电磁方面的合作路线图。在提出的80项措施中,两国同意采取举措共同加强打击网络电磁攻击行为,并在国际论坛中加强合作。
二是通过“网络电磁风暴Ⅲ”演习与美国合作。“法国网络与信息安全局”参加了美国国土安全部在2010@举办的“网络电磁风暴Ⅲ”演习活动。演习有13个国家和60家私营公司参与,目的是针对重大信息技术危机制定出协调一致的应对手段。
三是通过“欧洲网络电磁2010”演习与欧洲合作。2010年11月4日,法国和其他欧盟成员国,以及冰岛、挪威和瑞士3国,参加了“欧洲网络与信息安全局”组织的“欧洲网络电磁2010”演习,模拟了对欧洲互联网互连节点的大规模攻击。
四是通过“网络电磁联盟2010”演习与北约合作。2010年11月16日,24个北约成员国参与了一项网络电磁防御演习,旨在协调军民网络电磁防御手段。法国国防部和“法国网络与信息安全局”代表法国参与了该演习。
五是积极参与“欧洲政府计算机应急响应小组”(EGC)团体。EGC团体旨在开发其成员国应对危机的有效合作方式、增强相应的信息共享技术手段、确定可共享的专业技术知识和人才、加强与其他机构组织的联系。
态势感知
法国已经建立起国家层面的网络电磁态势感知。
一是与总体信息安全有关的态势感知。“法国网络与信息安全局”提供了一个信息门户,为民众提供信息安全方面的建议。“反垃圾邮件联盟”通过积极调动民众和专业人士的积极性,一起推进法国网络的健康发展。此外,“法国信息安全俱乐部”每年都组织一系列信息技术安全方面的会议。
二是针对青少年的互联网安全态势感知。法国的态势感知项目得到欧盟的支持,主要包括一个引导青少年的互联网监管项目、一个综合电脑、手机、游戏终端的增强监管项目,以及一个识别非法网站的在线服务项目等。另外,一家名为“纯洁行动”的非政府机构,为维护互联网上青少年的纯洁开展了一系列活动,旨在研究青少年的互联网使用行为、控制互联网的使用风险,并开发新的保护技术等。该非政府机构在欧洲所有法语国家都设有分支机构。
三是与电子化政府相关的态势感知。国家管理现代化委员会通过开设一个新网站,使政府更容易获得最新的参考文件,比如信息系统安全参考等。
主要经验
法国在安全事件应急管理、网络电磁风险控制、弹性机制、隐私与可信度等领域有以下实践经验。
一是在安全事件应急管理方面。法国积极参与国际大规模网络电磁演习,以解决重大信息技术威胁。同时,法国国防总秘书处通过“信息系统安全运行中心”来保护政府网络和信启、系统安全。该中心全年365天不间断运行,除了常规防御性任务,还负责协调法国政府各部门的行动,规划防护性和应对举措。该中心还负责准备和实施应对恐怖威胁的“警惕劫掠计划”。
二是在网络电磁风险控制方面。根据“信息系统安全运行中心”2010年度报告,2010年法国未发生重大网络信息安全事故,遭到的攻击主要是垃圾邮件等。但法国意识到,新型网络电磁犯罪以及有目标的进攻正在逐步向实际战略威胁方向发展。
三是在弹性机制方面。法国政府要求所有的部门都进行网络弹性和信息安全风险评估,并将结果向“国防与安全秘书长”汇报。法国的危机准备和恢复机制分为国家、本地两个层面。法国内政部负责国家危机管理,具体操作由危机管理的部门间运行中心执行。另外,法国“经济、工业和就业部”的电信防御审计委员会会对法国网络的弹性和可靠性进行审查,在运营商提供安全规划报告之后对其执行情况进行监督。
四是进行信息系统方面的演习。“国防与安全秘书长”在2010年6月组织了一场应对关键信息技术和电信基础设施重大危机的全国性演习——“网络劫掠2010”演习。
五是在应急响应能力方面。根据过去的记录,每2~3年都会发生一次重大公共通信网络事故,大多数事故都是软件相关问题造成的。每次事故发生后,法国都要求安全部门、计算机应急响应小组和软件供应商提供一份特别报告并且,进行调查。
六是针对电信网络的立法问题。如果造成区域性和大规模网络中断,法国电信企业会受到法国电信和电报局的处罚。同时,防御电信审计委员会会对具体事件进行调查。
七是在隐私与可信度方面。法国通过一系列数据保护法律,来保护个人数据的隐私与安全,其执行机构是“法国数据保护局”。