本文以俄罗斯主权互联网法案的颁布为切入点,围绕发展战略规划的制定、政策法规体系建设、科研主攻方向的选取、组织管理机构的调整变化,以及信息通信网络的分类及标准的制修订等网络技术管理的相关框架进行了剖析,较为全面地反映了俄罗斯网络安全技术管理的概貌,可为相关科研、管理人员了解俄罗斯相关情况和借鉴其做法提供参考。
2019年5月1日,俄罗斯总统普京签署了“关于对《通信法》和《信息、信息技术和信息保护法》进行修订的第90号联邦法案”(以下简称主权互联网法案) 。该法案主张在互联网领域实现独立与自主,声称要建立自己的互联网体系,以便在紧急情况下(如“断网”时),确保俄罗斯境内信息通信网络安全、稳定和完整运行。构建真正意义上独立的互联网体系仅凭决心和勇气还远远不够,还需要拥有足够的技术实力和储备。俄罗斯此次之所以敢公开对外宣称要建立独立的互联网体系,就是源于经过多年建设,其已逐步构建了一个相对完整的网络安全技术管理框架。
建立和完善政策法规体系
将发展网络安全和网络安全技术列入国家战略
俄罗斯网络安全技术管理的政策法规体系建设始于1995年《信息、信息化和信息保护法》的推出,随后又相继颁布了一系列有关网络安全建设的战略规划和政策法规,逐步建立、完善并形成了以《国家安全战略》《信息安全学说》《军事学说》《信息社会发展战略》《网络安全战略构想(草案)》为战略指引,《关键基础设施保护法》《国际信息交换法》《通信法》《信息、信息技术和信息保护法》等专门法为主体的政策法规框架体系。
2014年以来,俄罗斯开始了新一轮的国家安全战略、军事战略、信息化发展战略、信息安全战略的修订。修订后的诸多国家级战略都更加突出和强调网络安全建设,并对信息网络安全技术的研制与应用予以高度重视,反复强调,信息网络安全已成为国家安全的一个重要组成部分,信息技术正在越来越多地被应用于达成地缘政治、军事和战略稳定等目的。为此,俄罗斯必须建立安全、可靠的网络安全保障体系,大力发展信息对抗部队和武器装备,加大对信息网络技术等优先技术的研发,研制和生产具有竞争力的信息网络安全保障产品,建立统一、安全的信息平台,用现代化的新型装备和作战指挥系统武装俄罗斯军队,确保高质量、安全的信息交换,捍卫俄在网络空间这一新疆域的国家主权和利益。
适时调整科研的主攻方向
确保研究成果能够满足现实使用需求
《网络安全战略构想(草案)》(2014)明确规定,为了确保俄罗斯境内网络信息系统的安全,应优先开展以下工作:一是发展国家网络防御和网络威胁预警系统,鼓励相关组织和个人开展网络防御系统的创建和研发活动;二是建立和完善相关机制,提升重要信息基础设施的稳定性和安全性;三是完善网络空间各类信息资源的安全保障措施;四是建立国家、组织和公民在网络安全领域的合作机制;五是提高公民应用信息技术的水平,倡导网络空间安全行动;六是扩大国际合作,制定、建立和完善相关协议、机制,提高全球网络安全水平。为促进网络安全技术发展,俄联邦政府曾发布了2个《信息安全领域科学研究主要方向》的指导性文件。
未来一段时间,俄罗斯在网络安全领域的工作重点将集中在以下6个方面:一是采取全面、系统的措施保障网络安全;二是完善网络安全的政策法规和法律体系;三是开展网络安全领域的科学研究工作;四是为研发、生产和使用网络安全设备创造条件;五是完善网络安全骨干和专业人才的培养工作和组织保障措施;六是组织国内外相关各方在网络安全建设方面协同行动。
优化组织管理机构
为网络安全相关技术的推广和使用提供组织保障
目前,俄罗斯网络安全技术的使用和管理工作主要由联邦技术和出口监管总局(ФСТЭК)和联邦安全总局(ФСБ)的国家秘密许可、认证和保护中心负责。其中,前者主要负责对一般性、非密信息安全防护工具/手段使用的监督与管理工作,以防范其他国家、组织和个人所实施的各类旨在破坏和损害俄罗斯国家安全和利益的网络技术侦察、攻击等活动;后者主要负责加密信息工具/手段的研制与分发使用,用以保护包含国家涉密信息,以及利用特殊技术手段获取的信息的流转和使用。
这种双部门负责的管理模式,虽然有利于实现网络安全防护技术的大范围使用,但由于是双重认证,两种体系和两个部门间存在着相互交叉和重叠,客观上加大了相关技术、产品的认证时间和认证成本,从而影响了网络安全新产品上市和普及应用的速度。为此,俄罗斯总统普京提出,要将数字发展、通信和大众传媒部下属的国家局—通信、信息技术和大众传媒监督管理总局打造成统筹负责网络安全技术和产品研制和使用,以及相关网络安全技术和产品认证、技术研制的管理机构,相关工作正在积极推进中。
明确信息通信网络分类原则和标准
信息通信网络用户被分为五级15类
俄罗斯对信息通信系统/网络,以及关键信息基础设施的分类标准,主要依据该系统/网络/设施的“社会属性或意义”,即根据系统/网络/设施在发生非授权访问后对国家安全造成的损害程度进行分类。根据这一指标,俄罗斯的信息网络系统分为五级:
第五级:公开级网络,其所承载的全部是公开信息,不包含任何限制访问的信息,相关信息公开后不会对国家、社会及其他公民产生不良影响;
第四级:秘密级网络,即该网络系统中含有官方、商业、银行等部门或机构的限制访问信息,但这些限制访问信息均不含有国家秘密信息;
第三级:机密级网络,含有“秘密”级信息;
第二级:绝密级网络,含有“机密”级信息;
第一级:含有“绝密级”特别重要信息。
在这五级分类体系中,又根据是否具有访问权限,将网络用户划分为“具有访问相关信息的权限”“具有部分访问权限”“不具备访问权限”3类,于是俄罗斯网络用户在进行数据访问时,就出现了五级15类的多样性特征。
加强标准规范制修订工作
确保网络信息系统的安全、稳定和完整运行
俄罗斯现行的网络安全标准主要有国际标准(ГОСТ ИСО,含独联体国家标准)、国家标准(ГОСТ Р,含在ISO/IEC国际标准基础上研制的国家标准ГОСТ Р ИСО/МЭК)、军用标准(ГОСТ РВ)、行业标准(ОСТ)、企业标准等不同层级,涉及术语定义、概念分类、体系架构、信息编码、加密手段、实现方式、保障技术、检测评估等方方面面。
为了更好地建设和利用统一信息空间,实现信息共建共享,近年来,俄罗斯十分重视信息安全技术标准的制修订工作 ,并将其列为科学研究的优先方向。
与此同时,俄罗斯还相继启动了相关领域“公用通信网络安全运行和信息安全风险/威胁最小化”等行业标准的研制工作,旨在最大程度降低通信网络运行安全的风险和防范威胁,并研究制定相应的评估体系和对通信运营商执行国家标准的监督机制,以确保公用通信网络的信息安全。
随着“主权互联网法案”的出台,以及网络安全战略制定步伐的加快 ,未来俄罗斯网络安全技术标准规范的研制工作将主要集中于基本概念和术语界定,个人、社会和国家利益技术安全保障,协调、规范、促进大众传媒、通信和信息保障系统发展及信息技术跨境使用,以及确保俄罗斯网段信息系统和通信网络安全、稳定和完整运行与使用等领域。
(文章来源:《保密科学技术》,作者:由鲜举 冮欣欣 / 国家工业信息安全发展研究中心;图片来源:百度图库)
声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。