俄罗斯网络安全机制的构建
2017年1月6日,美国首次公布情报部门针对所谓的俄罗斯指使黑客干扰美国2016年大选的官方评估报告。该报告指称,俄罗斯政府明确倾向当选总统特朗普,同时俄总统普京更是直接下令对美国2016年大选实施一系列干扰行动,抹黑民主党候选人希拉里,直接影响了美国大选结局。此事也标志着美俄两国之间网络交锋达到多年来的顶峰。然而事实上,俄罗斯网络一直也是各国攻击的焦点。据《俄罗斯报》网站报道,在2011年9月至2012年8月一年间,就有74%的俄罗斯电脑遭受过病毒感染,43%用户的社交网站密码被窃取,两项数据均高达世界第一。根据俄联邦安全局提供的资料显示,仅俄总统网站和议会上下院的网站,每年就遭到1万余次的攻击。
近年来,为了确保俄罗斯在国家与军事领域的网络安全,俄罗斯强化顶层设计、完善法规体系、构建保障系统、谋求技术支撑,打造网络安全有效防护机制。
顶层设计——规划牵引、政策扶持,将网络安全提升至战略高度
俄罗斯将网络安全提升至国家战略高度,同时其网络安全战略有许多区别于西方发达国家的不同之处,并体现出强化俄罗斯国家安全、实现国家复兴整体战略目标的鲜明特点。
2013年1月,普京签署总统令建立国家计算机信息安全机制,用来监测、防范和消除计算机信息隐患。确定从战略层面评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定、建立电脑攻击资料库等统筹事项和顶层设计。一年后的2014年1月,俄罗斯公布了《俄罗斯联邦网络安全战略构想》草案,该草案对网络安全战略的原则、行动方向和优先事项进行了明确。
战略构想对于发展国内网络的扶持政策也进行了说明,如:向国内网络安全设备生产商提供国家支持,减免税费、支持产品推向国际市场,放宽软件的推行,制定系统措施推广使用国产软硬件,包括网络安全保障设备,更换国家行政信息网、信息通信网、至关重要的基础设施项目信息网及保障他们相互协调的信息通信网中的外国产品等。
在战略构想的牵引下,一系列信息技术、网络安全的政策得以出台。2014年,俄罗斯出台《2030年前科技发展前景预测》,对发展本国网络发展进行战略规划,明确了各阶段建目标,其内容包括:借助信息和通讯技术完善国家管理体系;促进本国信息技术的开发;培养信息技术领域专业人才;借助信息技术应用发展经济和金融;增加信息技术研发投入等。
同时政策给予网络发展提供强有力的资金支持,也使得网络安全得以同步发展。2014年6月,普京总统表示,在实施政府采购时,俄罗斯国产软件产品定价可高于外国产品金额的15%。至2020年,俄罗斯计划每年投资100亿卢布发展信息产业。同时在2018年前完成50个信息技术领域创新研发中心建设。根据《2030年前科技发展前景预测》文件, 2020年前俄政府的信息技术开发费用支出在GDP中的比重将由目前的1.5%增长到3%。
出台信息网络产业税收优惠政策。目前,俄罗斯规定从事软件研发的公司所缴纳的退休金、医疗保险和社会保险的费率,由34%降到14%。俄罗斯国家杜马还通过对创新科技园区入驻企业实施税收优惠的修改法案,规定入驻创新中心的企业在十年之内免缴增值税,社会统一税缴纳比例降至14%。
纲举目张——政令明确、制度牵引,构建网络信息安全法律法规体系
依据2013年1月总统普京签署的《关于建立查明、预防和消除对俄罗斯信息资源计算机攻击后果的国家系统》总统令,要求能够有效应对黑客入侵和对信息系统及电信网络的攻击。为此,俄罗斯安全局建立了国家网络安全系统,其主要目的是对俄罗斯联邦信息安全领域的态势进行预测分析,在受到网络极端攻击情况下对俄罗斯联邦信息设施的防护程度进行监控,同时负责协调信息资源的拥有者、通信运营商及信息防护领域经授权许可的其它主体之间的工作。2014年5月5日,俄罗斯总统普京签署“知名博主新规则法”,就规范网络空间秩序采取新措施。
事实上,俄罗斯网络安全法律法规体系的构建上个世纪就已经展开。1995年2月,俄罗斯颁布了《联邦信息化和信息保护法》,将信息资源的独立和具体项目列为国家财产予以保护,并规定“当信息被认为涉及国家机密时,国家有权从自然人和法人处收购该文件信息”、“含有涉及国家机密的信息资源,其所有者仅在取得相应的国家政权机关的许可时,方能行使所有权”。1995年4月,着眼于对密码的研制、生产、销售、使用、进出口进行严格控制,俄罗斯又颁布了《禁止生产和使用未经批准许可的密码设备》的第334号总统令。该总统令规定将国家权力机关专用信息远程通信系统列为总统计划;同时禁止国家机关和企业使用未经许可的的密码设备、加密设备、信息存储、处理和传输设备,还禁止向使用未经许可加密设备的企业和机构进行政府采购。第334号总统令还对法人和自然人从事研制、生产、销售、使用加密设备以及信息存储、处理和传输的技术保护设备等活动进行了明确规定。
此后,俄罗斯相继出台了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》等一系列文件,修订了《俄罗斯联邦因特网发展和利用国家政策法》、《信息权法》等20余部法律,通过政令明确,制度牵引,俄罗斯网络空间的法律法规条款逐步趋于完善,为确保网络安全提供了法规依据与制度基础。
层层设防——虚实结合、软硬互补,构建网络安全多重保障体系
在实践领域,为了确保网络安全,俄罗斯多管齐下,虚实结合、软硬互补,构建多重安全保障。
在软件及体制建设方面。一是建立强制认证机制。俄罗斯建立了专门的认证机构和认证测试实验室,将信息安全等级分为A、B、C、D、E五个等级,只有获得认证的信息安全产品,才能在市场上销售和使用。而于网络上的密码产品,认证条件更趋严格,密码保护设备必须是国内研制的,并且要经相关部门鉴定。二是建立机密信息保护机制。俄罗斯非常重视机密网络信息的保护,1997年,俄罗斯颁布了《机密信息清单》,2005年9月,针对信息安全的新威胁,对该清单进行了重新修订,2006年,批准通过了新的《机密信息技术保护条列》。三是建立网络检查和审核机制。允许对经由互联网传播的信息进行监查,同时规定政府机构或公民事业单位及商业公司应将信息安全审核当成经常审核的安全项目之一。
为有效应对网络威胁,俄罗斯也一直致力于打造安全防护有形力量。目前俄罗斯在各强力部门都设有网络威胁应对机构,如在内务部设有专门局负责调查境内网络犯罪活动;在安全局设有信息安全中心负责对抗危害俄国家和经济安全的外国情报机构、极端组织和犯罪组织,在而国防部的网络司令部将负责遏制其他国家在网络空间对俄国家利益的侵犯。围绕某一重大任务,各部门之间往往会展开密切协作,以应对网络安全威胁。例如, 2014年索契冬奥会期间,俄联邦安全局和俄罗斯内务部联合对冬奥会项目的互联网、电话和其他通讯享有充分的、畅通无阻的访问权限,同时还部署无人机执行监控任务。部门协同网络安全防控十分高效,以至于冬奥会期间,美国国务院曾建议公众前往索契观看冬奥会时,把智能手机或者笔记本电脑放在家里,以免遭到数据拦截。
技术支撑——自主研发、并行发展,形成网络安全整体技术优势
俄罗斯对于网络安全保障确立了自主研发的发展思路,并将其贯穿于各项技术发展规划。
自主研发处理器与操作系统。2014年6月,俄罗斯宣布政府机构和国营企业,将不再采购以Intel或AMD为处理器的计算机,而采用俄罗斯本国生产的处理器芯片为的计算机。采购的计算机也不安装微软的Windows系统或苹果的Mac操作系统,而是安装俄罗斯专门开发的Linux操作系统。
多年来,俄罗斯一直试图摆脱使用微软操作系统,通过自主研发操作系统减少对Windows依赖。2010年底,时任俄罗斯政府总理的普京签署命令,开发一款基于Linux的国产操作系统,以减轻对微软Windows系统的依赖,更好地监控计算机安全。2011年,俄政府还批准了俄罗斯版视窗系统的计划。2012年9月,为了防止本国敏感机信息外泄,俄罗斯推出了一款特制的平板电脑,配备给国防工作人员使用。该平板电脑安装了由俄罗斯自主研发的“俄罗斯移动操作系统",不但可以防止黑客攻击,还能有效避免用户在使用过程中泄露个人信息,并加入了防震防水功能。2014年7月,俄罗斯推出了一款名叫“Rupad”的超级平板电脑,配备了自主研发操作系统。“Rupad”平板电脑分为军用和民用两个版本。军用版本配有抗震外壳,可保护电脑从两米高的地方安全落地,防尘防水在深度不超过1米的水下可以正常工作1小时;为保证网络安全,设备设置有一个特殊的保护按键,可帮助使用者及时切断麦克风、摄像头、GPS、蓝牙、WiFi等模块传递的信号;对传出的所有信息都进行了加密,并对收取的信息解密。目前,俄罗斯的国防部
独联体国家商务工作委员会