导语
2020年9月,苏黎世联邦理工学院安全研究中心发布题为《日本国家网络安全与防御态势》研究报告,从相关政策领域、主要政策文件等方面,阐述了2000年以来日本国家网络安全和网络防御的发展路径。本文摘取日本国家网络安全与防御领域的相关政策进行梳理编译。
一、政策领域
(一)网络安全
2000年1月,日本政府发布网络安全领域首个政策文件——《保护信息系统免受网络攻击行动计划》,同年,制定“确保政府IT安全性”和“保护关键基础设施”双向战略,旨在从战略角度谋划解决网络安全问题。2014年,出台《网络安全基本法》,首次对“网络安全”一词进行法律界定,并明确规定了日本政府、地方当局、关键信息基础设施提供商、网络相关企业经营者、教育/研究机构等的相关职责。在个人身份信息(PII)保护方面,日本于2003年5月颁布了《个人信息保护法》,是日本保护个人身份信息的法律基础,2019年1月,欧盟委员会允许“在得到有效保护的基础上,个人数据可在日本和欧盟两个经济体之间自由流动”。
(二)网络犯罪
2001年11月,日本政府签署《网络犯罪公约》,该法案由欧盟委员会的26个成员国以及美国、加拿大、日本和南非等30个国家在布达佩斯共同签署,是全世界第一部针对网络犯罪行为的国际公约,目标是“制定旨在保护社会免遭网络犯罪侵害的共同刑事政策,并通过适当立法促进国际合作”。
(三)网络恐怖活动
2000年12月,日本“针对关键基础设施的网络恐怖主义对策特别行动计划”将网络恐怖活动定义为“使用信息通信网络和系统开展的对人们生活和社会经济活动产生重大影响的攻击”,如拒绝服务攻击、部署震网病毒等高级破坏工具。目前,“网络恐怖”一词在日本仍广泛使用,如国家警察厅“网络恐怖活动对策委员会”负责确保2021年东京奥运会和残奥会等大型活动的网络安全。
(四)网络外交
外务省牵头日本的网络外交工作。早在2000年,外务省就负责促进互联网治理(标准和规则)和保护关键基础设施(打击网络恐怖行动)等领域的国际合作,2009年,日本政府第二版《国家信息安全战略》扩展了这一使命,2013年,外务省的职责进一步升级,致力于为日本打造世界领先的网络空间。《国家信息安全战略》明确规定了外务省的职责:促进网络法治化建设,制定建立信任的措施,促进发展中国家能力建设合作。
2012年2月,日本设立了负责网络政策的大使,6月,由其率领的日本政府代表团首次开展双边网络对话。此外,自2012年以来,日本还积极参与联合国政府专家组在国际安全背景下推进的网络空间相关工作。2016年5月,日本主办G7伊势志摩峰会并发布《关于网络空间原则和行动的声明》,峰会还成立伊势志摩网络集团,致力于提高网络稳定与安全。2016年7月12日,外务省成立外交政策局网络安全政策司,负责引导确保网络空间安全的国际讨论,并加强与其他国家的合作与协调。
(五)网络防御
“网络防御”一词主要用于由防卫省、自卫队和日本情报机构开展的网络相关活动。2010年日本《防卫白皮书》专门用“网络战争能力的趋势”一章,阐述网络空间或网络战问题。“震网”事件后,美日安全咨询委员会于2011年提出网络空间合作。2015年,日美联盟达成共识:①及时、正常、适当地分享网络空间威胁和漏洞信息,确保网络空间的安全和稳定;②酌情分享有关网络空间各种能力发展的信息,包括培训和教育方面的最佳实践等;③合力保护日本自卫队和美国武装部队的关键基础设施,如适当与私营部门共享信息等。美日网络防御合作框架是两国进行政策协调和信息交流的主要工具。
在网络防御行动方面,日本自卫队主要负责监控和保护其信息系统,并在发生武装攻击时,利用空间、网络和电磁领域的能力阻止攻击行为,为此,防卫省将其2019年开发网络攻击能力的任务外包给私营公司。这表明日本自卫队将利用这些进攻性网络能力实现“战时防御、平时威慑”的目的。
在重大网络防御演习方面,日本派遣代表参加了美国国土安全部举行的网络风暴系列演习;2015年,日本首次参加了北约年度网络联盟演习,网络联盟演习是自2008年11月以来联盟最大的网络演习,在爱沙尼亚塔尔图的北约网络靶场进行。
二、相关政策文件
(一)主要政策文件
《2000基本法》。2000年12月,日本发布《建立先进信息和电信网络社会基本法案》,提出制定基本战略方针和政策,指导建设可“通过互联网获取、分享或在全球传播各种信息和知识,以促进创新和发展”的社会,并设立了IT战略总部(时称促进先进信息和电信网络社会的战略总部)。
《2000特别行动计划》。为了保护人们生活和社会经济活动免受恶性网络事件的影响,2000年12月,日本出台《应对针对关键基础设施的网络恐怖主义特别行动计划》,概述了提高关键基础设施部门网络安全水平的措施,包括开展风险分析、重新审查安全指导方针以及推动政府与关键基础设施供应商的信息交流等。此外,在日本电子政务启动的背景下,该计划还指示政府各部委和机构提高自身的安全水平,要求内阁秘书处针对各部门信息系统的安全措施开展技术研究,并提供相应的咨询。
《第一版国家战略》。2006年2月,日本发布首个《国家信息安全战略——创建一个值得信赖的社会》,旨在为日本的信息安全制定一个系统的中长期计划。该文件强调了《基本法》中未提及的几个问题:①近年来大多数安全措施仅仅是为了解决眼前的问题;②在信息技术社会,各类组织实体遵从官僚主义做法,限制了相关措施发挥作用。为了解决这些问题,《第一版国家战略》提出建立新型公私伙伴关系模式,帮助各组织充分了解信息安全的重要性,这些组织包括中央/地方政府、关键基础设施提供商、企业和个人以及媒体、非政府组织和教育/研究机构等。该战略为各组织设定了不同的目标,包括防止政府机构受到欺骗;促进信息安全审计;为每个关键基础设施部门开发保护工程、技术运营、分析和响应能力;开展跨部门演习,以建立统一的信息安全资格认证体系等。
《第二版国家战略》。2009年2月,日本发布《第二版国家信息安全战略——在IT时代建立强大的“个人”和社会》。《第一版国家战略》有效提高了各组织的信息安全意识,包括对点对点软件风险、信息窃取风险等,并建立了政策促进框架,如政府机构与关键基础设施提供商信息共享框架以及日本与美国、东盟的国际信息共享协议。但随着新的风险不断出现和变化,这些预防措施难以实施。因此,《第二版国家战略》不再强调预防措施,而是着手加强对“事故假定社会(accident assumed society)”的响应,即相关部门必须特别注意采取事后措施,例如对事故的确认和分析、沟通、即时对策和恢复等。
《信息安全战略》。2009年7月,美韩27个政府和金融机构遭受DDoS攻击,导致私人信息大规模泄露。受该事件影响,日本政府于2010年5月颁布《保护国家信息安全战略》,再次强调现有的信息安全政策,并列出了几项具体措施,如密切协调公私营部门之间的演习活动、全面监控网络犯罪和加强国际联盟的协作等。日本政府还着手整合各机构的首席信息安全官职能,加强与政府安全运行协调小组的协调,并搭建政府机构的远程工作环境,以促进云的使用。该战略还呼吁“立即采取行动,阐明下载或进行反向工程以分析可疑恶意软件样本的合法性”,同时“必须立即发布有关漏洞和相关补救措施的信息,以预防恶意活动”。此外,《信息安全战略》强调了确保物联网(IoT)设备安全、医疗和教育领域信息安全的必要性,并推广加密甚至“匿名”隐私保护技术的使用。
(二)国家网络安全战略
《第一版网络安全战略》。2013年6月10日,日本发布了首个网络安全战略,目标是建设世界领先的、有韧性的、充满活力的网络空间。与之前将网络安全视为纯粹的技术问题、不涉及政治和国家安全的战略形成鲜明对比,新的战略尤其强调外交和国防,并首次明确提出“在国外,针对交通信号设备和关键基础设施(如控制系统)的网络攻击,其复杂性和复杂程度都令人怀疑政府组织参与其中”。
在外交方面,该战略强调了政府的工作:①《联合国宪章》和国际人道主义法在网络领域应用;②继续执行建立信任措施;③为双边和区域讨论等提供支持,如东盟区域论坛内;④基于美日军事同盟,从联合训练、共享威胁信息和制定国际规则方面加紧合作。
《网络安全基本法》。2014年11月,日本国会批准了《网络安全基本法》,首次从法律上定义了“网络安全”一词,并规定:①制定网络安全战略的基本责任和基本政策;②在内阁中设立网络安全战略总部,负责制定网络安全战略并促进其实施。总体而言,《网络安全基本法》构成了日本网络安全政策的基础。
为筹备2021年东京奥运会和残奥会,该法案于2018年12月进行了修订,指示建立由国家政府机构、地方政府、关键信息基础设施运营商、信息安全公司、教育/研究机构组成的网络安全协议会;规定网络安全战略总部可将其部分职能委托给其他政府机构,如制定国家行政机关网络安全措施标准等。
《第二版网络安全战略》。2015年9月,日本政府发布第二份网络安全战略。与以前的战略相比,新文件明确表达了日本在网络空间领域的战略目标,即“建立自由、公平和安全的网络空间,以有利于增强社会经济活力和可持续发展,有利于建设人民安居乐业的社会,有利于维护国际社会和平稳定和国家安全”。
为了实现这一目标,该战略提出了三种措施:①“主动,不被动”,即日本将对未来的社会变化和潜在风险进行分析;②“作为催化剂,而不是被动参与”,明确提出日本将支持个人建设网络空间,努力维护网络空间的和平与稳定;③“设想网络空间是物理空间,而非独立的网络空间”,即认识到网络空间具有物理属性,其带来的影响能与现实社会问题产生协同效应。
该战略突出了三个基本支柱:首先,强调创建一个安全的物联网产业/生态系统;其次,提出高层领导人应将网络安全视为投资,而不是成本;三是改善供应链风险管理,支持日本企业的全球经营。
《第三版网络安全战略》。2018年7月,日本政府发布《第三项网络安全战略》。在威胁环境方面,该战略特别强调了针对物联网设备、金融科技部门、关键基础设施和供应链的攻击;在新兴技术方面,该战略指出人工智能的发展,可以提高异常检测的精度,推动恶意软件检测自动化等自主系统的发展,但并未提到因使用机器学习系统而引入的新漏洞;在政策方法方面,该战略再次强调,当前高层领导人仍将网络安全视为成本,而不是必要的投资。为了纠正这种错误观念,政府出台一项计划,以“发现并培训能够与高层领导解释和讨论网络安全措施的人员”,并建立了一个供应链风险的网络安全框架,创建了一份“已证明其可信性的设备和服务清单”。
在确保物联网设备安全的背景下,该战略还明确提出政府的意图是稳步改进必要的系统,以调查和识别存在缺陷的物联网设备,并通过电信运营商迅速通知用户。
(三)国家网络防御战略
《日美防御指南》。早在1978年,华盛顿和东京就已着手起草《日美防御合作指南》,并于1997年进行重新审查,以确定美日同盟存在的必要性。2015年4月,日美联盟意识到安全威胁的跨国性,对该指南进行了第二次审查。新版指南着重“无缝、稳健、灵活和有效”的双边响应、政府联盟的整体方针以及美日联盟的全球性质。此外,指南首次提到跨域作战,以击退针对日本的武装攻击(进攻),并将网络空间确定为国防合作领域。
根据《日美防御指南》,日本自卫队和美国武装部队将:①持续监控各自网络和系统态势;②共享专业知识并进行网络安全教育交流;③确保各自网络和系统的弹性,为完成任务提供保障;④促进整个政府改善网络安全的工作;⑤进行双边演习,以确保从和平时期到突发事件的所有情况下网络安全方面的有效合作。
值得注意的是,《日美防御指南》还规定,若日本在网络空间领域遭受袭击,包括对日本自卫队和驻日美军使用的重要基础设施和服务的袭击,日本将负有首要应对责任。在双边密切协调的基础上,美国将向日本提供适当的支持。一旦发生“影响日本安全的严重网络事件”,两国政府“将密切磋商并采取适当的合作行动予以应对”。
《国家防卫计划指南》。2018年12月,日本发布《2019财年及未来防卫计划指南》,广泛界定了日本在国防政策和预算方面的方向,是日本新成立的国家安全委员会主持发布的首份指南。该指南将网络领域与空间领域和电磁频谱领域确定为三个新领域,认为其将有望从根本上改变现有的国家安全模式。与美国网络司令部2018年的优势愿景“强调对外持续参与,无论对手在哪里”不同,日本界定的优势是面向内部和防御性的。从本质上说,日本试图建立一种态势,即“对日本造成伤害将是困难的和后果严重的”。
为实现这一态势,《国家防卫计划指南》提出建立“多域防御部队”,以有机融合空间、网络空间和电磁等各个领域的能力,并能在和平时期到武装突发事件的各个阶段持续进行灵活的战略活动。
《中期防卫计划》。《2019—2023年度中期防卫计划》与《2019财年及未来防卫计划指南》同时发布。除再次强调加强网络防御小组外,《中期防卫计划》指导陆上自卫队成立“网络空间小组”和“电磁作战小组”作为地面联合军司令部的下属单位”。此外,日本自卫队将增强C4系统的弹性,加强信息收集、研究和分析能力,并开发一个实际的培训环境来试验自卫队的网络防御能力。
在人力资源方面,《中期防卫计划》规定自卫队通过改进内部专业教育课程、增加在国内外高等教育机构学习的机会、开展培养专业人才的人事管理等措施,培养具有较强网络安全专业知识的人才,还需利用外部专业知识,加强网络防御能力。此外,《中期防卫计划》将网络作为美日延伸威慑对话(EDD)的一部分。
如需转载请注明出处:“国防科技要闻”(ID:CDSTIC)
来源 | 苏黎世联邦理工学院官方网站
图片 | 互联网
作者 | 蔡文蓉
注:原文来源网络,文中观点不代表本公众号立场,相关建议仅供参考。
综合分析
战略与规划
科技管理
国防创新
军事理论
人工智能
陆军
海军
空军
航天
网络空间
电子信息
核武器
高超声速
无人系统
精确打击
防空反导
新概念武器
生物与医学
战例与演习
先进材料
制造
基础科学
技术
先进动力
与能源
试验鉴定
军事科学院军事科学信息研究中心微信平台
觉得不错,请点在看↓↓↓