法国网络空间安全治理体系

作者:未知

  摘要:本文总结法国网络空间安全政策体系的演变和趋势,从机构管理体系、政策发布等方面进行分析,探索其对我国网络空间安全管理的启示意义。
  [关键词]网络空间安全 治理 战略政策
  法国政府一直以来都颇为重视网络空间安全,持续不断制定了一系列政策法规,并通过成立专门机构、应用新技术等综合手段管理网络,经过多年的发展,法国的网络空间安全政策体系愈加成熟,形成了一个完整、多元、适变的框架体系。本文对法国的网络安全管理机构及网络空间安全政策法规进行归纳梳理,总结法国网络空间安全政策体系的演变和趋势,从机构管理体系、政策发布等方面进行分析,探索其对我国网络空间安全管理的启示意义。
  1 法国网络空间安全机构管理体系概述
  随着网络和信息技术的进步,网络犯罪及网络间谍活动不断加剧,网络空间安全面临的挑战变得更为多样化,开始覆盖各个领域。法国政府为保障网络空间安全,成立了专门机构进行管理。
  1.1 政府总体防御
  法国政府机构网络安全工作由国防和国家安全总秘书处(SGDSN)领导,具体负责以下三项任务:
  (1)协调信息系统安全的部际工作;
  (2)规定行政部门的预防安全措施,监测执行情况,在发生重大危机时,可采取反制措施;
  (3)协调政府保护信息系统的行动,在遭遇网络攻击时采取技术措施,降低攻击造成的损失。
  2009年7月,法国政府根据2008年发布的《国防白皮书》,成立了国家级信息安全機构一国家信息系统安全局(ANSSI)。ANSSI的职能是负责制定官方的通信系统的安全标准,对信息安全基础设施进行审计,检测和协调网络事件的应急反应,发展国际合作和培训管理人员。ANSSI下设COSSI(信息系统安全运营中心),COSSI的任务是为指定的关键基础设施信息系统检测和缓解攻击。COSSI下设CERT(法国计算机应急响应中心),CERT的职责是24小时监控互联网,加强对政府机关信息系统的网络安全警戒,严查网络攻击源,防范和应对网络攻击。
  1.2 法国军队信息系统防御
  2017年1月,法国成立网络司令部。由海军副将阿诺(ArnaudCoustilliere)担任指挥官,2017年9月改由少将奥利维尔·邦尼特担任指挥官。网络司令部下属三大中心:
  (1)计算机防御控制分析中心(CALID),成立于2006年,总部位于巴黎和雷恩。2019年1月成为网络司令部的下属机构,负责处理和响应网络攻击。
  (2)网络防御储备和运营准备中心(CRPOC),成立于2015年,位于布列塔尼和巴黎。负责招募新人和管理预备役人员,同时还负责组织国内和国际网络防御演习以及内部培训。
  (3)信息系统安全审计中心(CASSI),成立于2008年,2019年1月隶属于网络司令部,其审计任务涉及两个领域:信息系统安全(ISS)和危害、干扰信号(SPC)。2018年颁布《2019-2025年军事规划法案》,计划到2025年再增加16亿欧元用于网络行动以及1,500名从事网络工作的人员,共计4,000名网络军事人员。
  2 法国网络空间安全治理政策分析
  自2008年以来,法国政府已起草了多个高级别政策文件,包括《法国信息系统防御和安全战略》、《国家数字安全战略》等作为网络空间的综合性战略,力主向全球推广自己的互联网管理理念,以期带领欧盟摆脱对美国的技术依赖,挑战美互联网企业的垄断地位
  2.1 《法国信息系统防御和安全战略》(2011)
  体现法国有意参与全球网络空间战略博弈的积极姿态。《战略》提出了关于网络安全战略的四个目标:
  (1)成为网络防御的世界级强国;
  (2)通过保护主权信息,确保法国决策自由;
  (3)加强国家关键基础设施的网络安全;
  (4)确保网络空间安全。
  为实现目标必须落实的七项重点工作有:
  (1)防范并分析形势,以便做出合理决策;
  (2)检测并阻止攻击,通报并实时监控潜在的受害者;
  (3)提高和保持科研、技术、预警和人力资源能力,以维持必要的自主性;
  (4)保护国家信息系统和关键基础设施运营商,以获得更好的国家抗击强度;
  (5)修订法律以适应技术变革和新应用层出不穷的趋势;
  (6)在信息安全、打击网络犯罪和网络防御等方面开展国际合作,以更好保护国家信息系统;
  (7)信息共享、动员,以便法国人能够采取措施应对与信息系统安全相关的挑战。“七项重点工作”涵盖了网络技术研发、网络空间管理、网络人才培养、网络风险监控、网络管理立法、网络国际合作等各方面,构成立体防御体系。
  2.2 《国家数字安全战略》(2015)
  《国家数字安全战略》指出,网络空间已成为不公平竞争和间谍活动一个新的领域,网络谣言、不实宣传、恐怖主义和犯罪行为在网络空间层出不穷,通过加强数字安全,目的是要建立一个安全、稳定和开放的网络空间。《战略》提出五大目标:
  2.2.1 保障根本利益,维护国防和国家信息系统和关键基础设施的安全,避免重大网络安全危机
  通过发展自主的数字专业技术,确立独立自主的战略思维,确保法国在网络空间的基本利益。同时,法国将继续加强国家关键基础设施的安全和网络攻击应对能力,在发生重大网络攻击的情况下,通过扩大与私人利益相关者的合作,保证采取有效措施。
  2.2.2 建立数字信任,保护隐私和个人数据,防范网络恶意行为
  保护企业和个人隐私非常重要,将采取必要的保护措施和补救措施。开发数码防伪系列产品,补救措施将针对网络恶意行为的受害者,为其提供技术和法律援助。   2.2.3 提高安全意识,加强初级培训和继续教育
  随着信息化的普及,部分人群仍然对风险缺乏充分的认识,因而需要采取措施,提高风险意识。此外,为满足不断增长的来自公共和私营部门的网络安全需求,应加强这一领域的专家培养。
  2.2.4 制订相关政策,促进数字化技术企业出口和国际化发展
  全球增长的数码市场,提出了相关的安全需求,为法国数码产品提供了机遇,法国可提供适合本国安全级别的服务。通过支持投资、创新和出口,也可通过政府采购等方式,国家将制订相应政策,确保法国企业在良好的环境中提供安全的产品和服务。
  2.2.5 维护欧洲数字战略的自主性,网络空间的稳定性
  在網络空间国际关系的调整已成为一个重大问题。法国将与欧盟成员国推动建立一个欧洲数字战略路线图。保障网络空间的自主权。法国也将强化在国际机构的影响力,为网络保护能力弱小的国家提供支持,同时也要加强自身的网络安全能力,促进网络空间的整体稳定性。
  2.3 《网络防御战略评论》白皮书(2018)
  2018年2月,法国国防和国家安全总秘书处(SGDSN)发布《网络防御战略评论》(Revue strategique de Cyberdefense),文中提出了法国网络防御模式,分析其特点,提出六项任务及网络防御的四大操作链。
  法国的网络防御模式将进攻能力和防御能力区分开来,通过将网络保护的任务和手段与情报和进攻行动的目标区分开来,加强了国家对政府和经济领域的信息系统安全的干预,重点领域分工,尊重个人隐私,允许私人行为者与负责网络保护的国家服务之间建立信任关系。
  法国网络防御模式共有六项任务:预防、预测、保护、监测、归因、应急响应(补救措施、犯罪惩罚及军事行动)。
  预防是指用户对数字风险认知不足,关键基础设施的服务商必须遵守网络安全规则,企业和个人都要提高网络安全风险意识,采取防范措施。
  预测指的是通过了解攻击群体来预测攻击的发生。目前,攻击模式(MOA)大约分三类:战略型MOA:攻击所用的手法非常先进,攻击持续时间长,速度快,大规模攻击,针对重要基础设施,威胁国家主权。积极进攻型MOA:攻击模式不属于第一"类,但针对的是法国利益。其他MOA:不属于前两类,对于此类攻击已有解决方案或情报报告。
  保护:保护信息系统是抵御网络攻击的关键,无论是国家还是私营部门,都必须加强保护措施,为网络攻击者设置障碍,同时尽量预测攻击。这是保证信息系统安全性和可恢复性的唯一选择。
  监测:监测网络攻击是消除网络威胁的关键任务。攻击发生后,检测攻击的影响,识别攻击者的操作方式,ANSSI负责协调情报部门和政府机构,除了协调工作,ANSSI还负责监测对政府系统的攻击,还需确保军队的安全。对于民用系统,需要在系统内部部署传感器,进一步研发新的监测策略,或可得到入侵信息。
  归因:在发现网络攻击后,必须能够追踪到攻击者,以便对其提起法律诉讼或做出适当的反击,如果涉及政治,则需要发现和获取事实证据,警察和军队或会介入。
  应急响应:受到攻击后需要迅速恢复受攻击的系统,同时确保攻击者不能轻易地再次进行攻击,此项工作也被成为补救。由负责信息系统的人士进行,以确保信息系统的健壮性。
  网络防御的四大操作链
  保护:保护链覆盖了网络战争的各个层面,在遭受网络攻击的情况下,预防、预测和保护是确保国家安全必不可少的步骤。根据《法国信息系统防御和安全战略》,法国国防和国家安全总秘书处(SDGSN)负责统筹防御措施,法国信息系统安全局(ANSSI)具体执行相应业务,网络司令部则负责国防部的行动。
  军事行动:该军事行动是由法国总统直接领导的国家级防御行动。
  情报:情报链涵盖了为情报目的而采取的所有行动,2015年颁布的《情报法》为情报部门搜集情报数据提供了依据,根据《情报法》,法国国家情报技术控制委员会(CNCTR)在总理授权下在法国国内开展情报活动,法国国家文本和词汇资源中心(CNALT)提供的网络信息共享服务必须经过情报检查。
  司法调查:司法调查链包括警察、宪兵和司法部门的行动。根据规定,警察和宪兵队在司法当局(检察官和法官)的监督下工作,各部门分工负责调查服务,法国对内安全总局(DGSI)负责实现数据搜集的操作,法国跨部门技术援助服务组织(SIAT)负责提供渗透技术,国家数字司法调查技术机构(ANTEN)通过司法拦截平台(PNI)进行调查工作。
  3 法国网络空间安全治理体系建设对我国的启示
  2019年新年伊始,法国国家信息与自由委员会即发布公告称,由于美国谷歌公司违反了数据隐私保护相关规定,法国将对其处以5000万欧元罚款。这是依据去年新生效的欧盟《通用数据保护条例》开出的首个罚单。而在去年11月的第十三届互联网治理论坛上,法国总统马克龙呼吁制定管理互联网和确保网络安全的通用规则,强调企业参与的重要性,大型科技公司比政府更有能力决定如何阻止黑客攻击,数字盜窃和其他形式的网络入侵。法国比举表达出其主导欧盟互联网治理的意愿。
  法国的网空治理体系相关经验值得我国借鉴,具体如下:
  3.1 顶层设计优化配置,总体布局网空安全
  在机构的设置上,法国设置专门的国家网络安全机构,以总理牵头,国防与安全总秘书长具体直接管理的方式,统筹管理网络安全相关工作,协调处理网络安全工作中产生的重大问题。网空安全政策形式重在以顶层设计、站在全局高度的战略规划,网空安全政策目标主要集中于维护关键基础设施安全、保护公众隐私、预防网络攻击和犯罪行为等方面。政府从一开始的重点针对防范国家信息基础设施的大规模黑客攻击转向避免重大网络安全危机、角逐全球网络空间战略博弈。在技术上,法国积极倡导新技术、新应用的研发以获得自主权。法国的一系列网空政策法规在维护国家网络安全,保障国家和公民的网络权益上起到了不可或缺的作用。
  3.2 提高安全意识,培养专业人才
  法国在其2015年发布的新战略中,强调网络空间安全技术防护的同时,也注重提高公众的网络空间安全意识,提出以适当的教育和职业培训来提高网络空间安全意识。当前,网络攻击能力越来越强、攻击手法越来越专业化,只有提高全产业链所有人员的信息安全能力才能有效保障网络空间安全。网络空间安全知识涉及硬件、系统、固件、通信等领域,需加强培养全面的专业技术人才,通过培训的方式提高研发人员、生产人员的安全技能,通过宣传教育的方式提高普通用户安全意识,从多方位保障网络空间安全。因而,法国网空治理经验可为我国提供有益的启示
  3.3 重视国际合作,积极发展新技一术新应用
  法国在网络空间安全管理的过程中,非常重视和其他国家的合作,积极发展新技术、新应用。近期,法国和德国已同意通过JEDI联合研究中心合作发展人工智能,两国政府都承诺提供各种激励措施,鼓励公司参与竞争,开展具有竞争优势的人工智能项目,法国总统马克龙业已招募世界著名的数学家Cedric Villani为其政府起草人工智能战略。当前我国网络空间政策法规体系总体还较为封闭,在大数据和云环境背景下,积极接轨国际治理体系携手保证全球网络空间安全,对于一个高速成长的网络大国而言,既是责任也是权利。
转载注明来源:https://www.xzbu.com/1/view-14928100.htm