网络空间安全的基础
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络空间安全的基础范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络空间安全的基础范文第1篇
关键词:网络空间安全;网络空间安全风险;应对措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)35-0039-02
1 概述
随着计算机应用技术的飞速发展,网络已经变得非常普及。信息无纸化、网络购物、网络理财等日趋常见。但同时,计算机网络的安全问题日益显著,已经成为互联网上关注的焦点。网络攻击、计算机病毒、伪基站网络诈骗、信息泄露等安全问题层出不穷,棱镜门事件更是震惊全球的一场安全大洗礼,安全问题不容忽视。网络的安全不仅关系到个人、企业、政府的隐私安全,更是关系到国家的长远利益。第三届世界互联网大会更是紧紧围绕“创新驱动造福人类――携手共建网络空间命运共同体”主题开展。因此,对网络空间安全问题及其防御措施的研究十分重要。
2 网络空间安全概述
2.1 网络空间安全的概念
当今信息社会时代,信息产业已经成为第一大产业。人们对计算机、电视和手机等电子信息设备的依赖程度也越来越高。当今社会,人们生存在物理世界、人类社会和信息空间组成的三维世界中[1]。网络空间(Cybespace)的概念由此而出。起初,人们对网络空间概念的界定并不一致,直到美国第54号总统令的出现,网络空间才有了相对统一的描述,该文件中指出网络空间是信息环境中的一个整体域,它主要由彼此独立且依赖的信息基础设施和网络组成,包括计算机系统、电信网、嵌入式处理器、控制系统和互联网等。目前,网络空间也已经成为继海、陆、空、太空之后的第五大空间。
网络空间是所有信息系统的集合,是人类生存的信息环境。网络空间安全的核心是信息安全问题。当前,黑客的攻击、恶意软件的侵扰、隐私的泄露等等都对网络信息安全构成了非常大的威胁。指出:“没有网络安全,就没有国家安全。没有信息化,就没有现代化”。由此可见,我国的网络空间安全问题形势非常严峻。近些年发生的多起安全事件,都表明我国在网络空间安全方面是处于被动方。我国虽然是网络大国,但网络技术相对薄弱,网络安全人才也严重缺乏,同时我国部分核心网络设备和技术都依赖国外产品,这实际上已经丧失了自主控制权。
2.2 网络空间安全的学科界定
2015年6月,国务院学位委员会和教育部批准增设网络空间安全一级学科。传统的网络空间安全指的是网络系统的硬件、软件及其中的数据不受到偶然的或者恶意的破坏、泄露和更改。这往往更强调的是信息本身的安全属性,认为信息只要包括信息的秘密性、信息的完整性和信息的可用性。但在信息论中,则更强调信息不能脱离它的载体而孤立存在。因此,可以将网络空间安全划分为以下几个层次:(1) 设备的安全;(2) 数据的安全;(3) 内容的安全;(4) 行为的安全。其中,第二个层次数据的安全也就是传统的网络空间安全。
目前,网络空间安全学科已经正式被批准为一级学科,网络空间安全学科的知识体系也在紧锣密鼓的制定。网络空间安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科[2]。当前,各大院校都在制定各自院校的人才培养方案,除了必需的网络空间安全基础理论部分,会更多的涉及实践教学平台,如信息安全实践教学平台、网络安全攻防实训平台等,从而更加侧重学生工程实践能力的培养。网络空间安全学科已经逐步形成了自己的一套内涵、技术和应用。
3 网络空间安全风险分析
3.1 计算机病毒
计算机病毒(Computer Virus)是编制者有意在算机程序中插入的具有破坏计算机功能或者数据的指令或者程序代码。一个计算机病毒的生命周期往往会经过开发期、传染期、潜伏期、发作期、发现期、消化期和消亡期等过程。计算机病毒自我繁殖能力强,具有很强的传染性,而且往往很难根除。现在,网络上的大部分计算机病毒都是小小的玩笑,但也有不少病毒危害非常的大,比如熊猫烧香、菱镜门事件等等。当前,非法入侵代码是网络空间面临的最大威胁。像我们非常熟悉的木马病毒、蠕虫病毒等等都是通过对代码的更改从而实现非法入侵的。计算机病毒主要通过网络或者存储介质(如硬盘、U盘等)进行传输。计算机病毒一旦被打开,对电脑的影响是具有破坏性的,轻则运行速度明显变慢,重则硬盘分区表被破坏,甚至硬盘被非法格式化,甚至导致计算机系统瘫痪。
3.2 软件系统的不安全
运行的软件系统本身也存在着多种不安全。软件系统是由系统软件、支撑软件和应用软件等组成,是存在计算机上面的各种程序数据和相关的各种资料,本身具有不可控制、不稳定的特征。如今网络异常发达的时代,网络就是一把双刃剑。软件系统选择的不正确或者补丁不及时升级、参数配置的错误等等,都会成为软件系统安全的隐患。软件系统的安全威胁主要为拒绝服务、隐私泄露、权限提升、恶意代码执行、功能误用等等,其中,隐私泄露发生频率最高,也是安全隐患最大的一块。软件系统安全、应用安全、敏感数据的保护已经成为软件企业不能回避的挑战,也是程序开发人员必须严格准守的红线。
3.3云计算的不可信
继1980年大型计算机客户端-服务器的大型转变之后,云计算是互联网上的又一大巨变。云计算是一种可以按照使用量进行付费,非常方便、便捷。区别于传统的计算方式,云计算中的计算部分不再由本地计算机或者远程服务器提供,而是将计算分散到大量的分布式计算机上。随着亚马逊、微软等巨头公司在云计算领域开始盈利,云计算将会迎来新一轮的发展。但同时,正是由于这种数据的分散及提供的存储服务,使得大部分的用户对数据的安全性提出疑问。相关统计数据表明,云计算中的信息隐私保护问题已经成为阻碍云计算发展的最大障碍。2012年云成熟调查结果表明,41%的用户拒绝采用云计算,其主要原因是担心云的不安全和隐私的泄露。
3.4 网络结构本身不安全
当前,互联网由大量的局域网和广域网组成。网络结构更是复杂多样,种类丰富。当人们通过网络进行数据传输的时候,一般情况下,信息会经过多台中间计算机的转发,才能最终到达接收端。很多不法分子就利用这样的安全隐患,通过相关的技术截取用户的数据包,修改或者伪造相应的数据,从而进行非法的活动。
4 网络空间安全应对措施
4.1 增强安全意识
现如今,生活已经离不开互联网。政府部门通过互联网各项政策,企业通过互联网传播产品和理念,个人通过互联网与朋友分享自己状态。为了提高计算机网络的安全性,用户必须要有良好的安全防范意识。这方面,政府可以有相关的部门进行宣传讲解,个人也需要多关注网络安全方面的相关资料报道,具有一定的网络病毒的识别能力。对于陌生人发的链接不可轻易点击,不要下载不明的软件,提防邮件病毒、钓鱼网站,不给不法分子有机可乘。
4.2 数据加密技术
数据加密技术,简称加密技术,是目前电子商务采取的主要安全措施,其发展相对久远。密码学的发展主要经过三个阶段:古代加密方法、古典密码和近代密码。可以说,战争是催化信息安全的需求。如果不对数据加限制,恶意攻击者通过非法手段获取到数据均可以直接访问,这无疑将数据直接暴露。一个加密系统一般至少包含四个部分:(1) 未加密的报文,也称为明文;(2) 加密后的报文,也称为密文;(3) 加密解密设备或者算法;(4) 加密解密的秘钥。发送方通过算法和秘钥将数据从明文变成密文,然后在网络上进行传播,接收方接收到信息后,再通过算法和秘钥将密文变成明文进行使用。
加密技术最重要的两个因素就是算法和秘钥。加密算法的好坏可以用三个指标来衡量:一、加密(解密)的时间代价;二、破译时间代价;三、破译代价与密文中信息的代价比。其中第一个越小越好,第二个越大越好,第三个一般要求大于1且越大越好,这样,也说明信息的重要性。目前,加密算法有多种,主要分为对称加密技术和非对称加密技术,他们的主要区别在于加密过程和解密过程秘钥是否相同,前者主要以美国国家标准局的数据加密标准DES为典型,后者以RSA公钥密码技术最具代表性。
4.3 培养高水平的安全管理队伍
安全管理人员可以说分布在网络空间安全的各个领域。随着网络空间安全的进一步发展,网络安全的人才需求也日益增多。据统计,2012年中国对网j空间安全人才的需求量就已经达到了50多万,而每年中国该专业的毕业生却不足1万人。未来,对安全人才的需求还将呈上升趋势。因此,培养高水平的安全实施管理人才非常重要。当前,我国安全管理人才的整体能力还相对较低,高精尖的专业人才更是缺乏。面对这些问题,国家、社会、行业都可以采取相应的措施来改善,只有真正提高安全管理队伍的技能水平,才能切实有效地保障网络空间的安全。
5 结束语
网络空间安全是当前信息技术发展的特定环境下的研究热点。国家对网络安全问题也越来越重视。安全问题不容小觑,小则关系到个人的隐私,大则影响到国家的安全。因此,需要我们多方面的共同努力,随着形势的发展和条件的成熟,国家会有更多的网络安全法律法规的出台。随着全民安全意识的普遍提高,国家的安全保障也才会越来越好。
参考文献:
[1] 沈昌祥, 张焕国, 冯登国, 等.信息安全综述[J]. 中国科学E辑:信息科学, 2007(37): 129-150.
网络空间安全的基础范文第2篇
网络安全事关国家安全
网络安全失守,对国家来说,可能意味着对整个国家安全的威胁。网络安全之所以关乎国家安全和国家权益,是由互联网强大而独特的信息功能所决定的。梅特卡夫定律认为,网络价值随网络用户数增长而呈几何级数增加。互联网的大面积普及使得其应用功能和应用价值实现了从量变到质变的跨越,成为承载全人类信息传播、管理控制和社会运行的战略基础设施,从而对国家安全产生了根本性影响。
我国正处在一个矛盾频现、危机频发、风险丛生的社会转型期,由于我国社会在人口、地域、民族、历史沿革和现实发展条件等方面存在着巨大的差异,社会问题和社会矛盾也具有多样化的特征,这就使得社会风险呈现出极大的复杂性。而在互联网普及的时代,国际争斗中最常用、最危险的手段,不是军事武力,而是网络渗透和控制。某些国家凭借网络技术优势,可以掌握其他国家的政治、经济和军事绝密情报,可以瘫痪其通信网络、金融信息系统和军事指挥系统,实现不战而屈人之兵。因此,强化网络治理工作,保障网络空间的清朗、稳定、和谐和安全已成为党和政府的重要任务和挑战。
一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。网络空间成为继陆、海、空、天之后的第五大空间,大国博弈的又一个主战场。2011年美国《网络空间国际战略》和《网络空间行动战略》,将网络空间与海陆天空并列为领域,还成立了网络军队司令部。全世界已有30多个国家已经制定了网络空间战略及相关政策。在这种形势下,网络空间是一个国家的构成部分,侵犯一个国家的网络空间,就是侵犯一个国家的。
网络安全是社会共同责任
网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。去年出访巴西时曾指出,虽然互联网具有高度全球化的特征,但每一个国家在信息领域的权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息。在信息领域没有双重标准,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全。国际社会要本着相互尊重和相互信任的原则,通过积极有效的国际合作,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。
维护网络安全是全社会的共同责任,需要广泛动员各方面力量共同参与。在北京主持召开网络安全和信息化工作座谈会时指出:“网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”各级党委政府要完善政策、健全法制、强化执法、打击犯罪,推动网络空间法治化;互联网企业要切实承担起社会责任,保护用户隐私,保障数据安全,维护网民权益;网络社会组织要加强行业自律,推动网上诚信体系建设,有力惩戒违法失信行为;专家学者、新媒体代表人士、网络从业人员要发挥积极作用,切实形成全社会共同维护网络安全的强大合力。
人才是网络安全的基石
缺少网络安全人才,就没有网络安全而言,人才是网络安全的基石。当前,我国已有7亿网民和庞大的网络系统,而我国的网络安全人才培养规模和能力还远远不能适应发展需要。网络安全是技术性和专业性非常强的新兴领域,并且网络技术的更新发展极其迅速,网络安全专门人才尤为匮乏。加快网络安全人才建设迫在眉睫。
网络空间的竞争,归根结底是人才竞争。指出:“建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。‘千军易得,一将难求’,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。”要聚天下英才而用之,为网信事业发展提供有力人才支撑。引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。
只有构建了具有全球竞争力的人才制度体系,才能源源不断地培养出、引进来具有全球竞争力的人才。不管是哪个国家、哪个地区的,只要是优秀人才,都可以为我所用。要建立灵活的人才激励机制,让作出贡献的人才有成就感、获得感。
构建关键基础设施安全保障体系
虽然我国的网信事业发展迅速,但是,与美国相比,我国的网络安全技术、特别是核心技术还有一定差距。核心技术受制于人、关键基础设施受控于人,已经成为我国网络安全的软肋。大力创新、积极使用自主可控的技术和产品,是维护国家网络安全、保障广大人民群众利益的根本之道,也是政府、企业和广大网民的应尽之责。
网络信息是跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。信息技术和产业发展程度决定着信息化发展水平,要加强核心技术自主创新和基础设施建设,提升信息采集、处理、传播、利用、安全能力,更好惠及民生。
要通过持续技术创新和发展来做好网络安全防护,尤其是核心技术创新。强调:“建设网络强国,要有自己的技术,有过硬的技术。” 中国是典型的后发国家,是网络大国,但国际互联网发展至今,众多核心的技术,基本都掌握在西方国家特别是美国手中。维护国家网络安全,必须拥有自己的网络核心技术,而要拥有核心技术就必须开展网络技术创新,不断研发拥有自主知识产权的互联网产品,才能不受制于其他国家。
要加快构建高速、移动、安全、泛在的新一代网络和信息基础设施,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
指出:“要有良好的信息基础设施,形成实力雄厚的信息经济。”网络基础设施是一个国家重要的战略资源,对于一个国家而言,倘若网络和信息关键基础设施被控制、威胁、攻击或者破坏,国家整个网络系统必然面临威胁。从国家经济和社会层面来看,中国的网络关键基础设施信息系统发展较晚,关键技术落后,抗外部入侵和攻击能力较弱。这些关键基础信息系统一旦停止运行或者崩溃,不仅会影响到国家的网络安全,给国家经济带来重大损失,甚至会严重影响社会稳定。“十三五”规划纲要提出:“建立关键信息基础设施保护制度,完善涉及国家安全重要信息系统的设计、建设和运行监督机制。”
网络空间安全的基础范文第3篇
在网络空间中,什么是网络的核心技术?互联网核心技术实际上就是互联网的体系结构,任何事物的体系结构都是讲这个事物各部分的功能组成及相互关系,在互联网里,网络层次起承上启下的作用。
真正的网络层是由三个要素组成。一是传输格式,互联网的初衷是用互联网连接所有的通信系统和网络,所以它的标准传输格式是非常重要的,即目前仍在使用的IPv4协议,将要被新的IPv6协议替代;二是转换方式,互联网之所以在众多的网络和技术中胜出,最重要的是采用了无连接分组交换技术,也就是IP技术,这个交换技术形成了互联网的核心;三是路由控制,互联网把数据从一端送到另一端是靠中间的路由控制算法,其核心技术难题在于传输格式和转换方式相对稳定的情况下,路由控制必须要满足不断增长的应用及不断变化的通信和网络技术发展。我们对互联网的很多苛求总是从某一方面产生的,如果想满足所有需求,一定是个平衡产物,所以最优的互联网体系结构和路由控制实际上是最难的。
IPv6下一代互联网发展的新形势
互联网在20世纪80年代初期就定下来IPv4协议的格式,一直延续至今。当今互联网的发展需求越来越大,到了2012年IPv4地址全球分配完毕,最近几年IPv6呈爆发式增长。十多年研究结果显示,仍然没有找到一个能够替代这个IP协议的新的网络结构。可以预测,在未来10~20年,IPv6一定是互联网的主要协议。
中国早期由于技术上的落后,没有申请到大量的IP地址,很多单位都是用私有地址,出口上再用公有地址转换,现在,IPv6协议给我们带来了非常大的机会。
上世纪90年代末期、2000年初期的时候,国际上没有大规模使用IPv6组网的经验,IPv6海量地址空间会带来新的挑战和困难。
基于这一背景,经过两年的调研和论证,2003年,国务院批复了八个部委向国家申请的启动中国下一代互联网示范工程的计划CNGI。CNGI项目开始实施,经过五年完成了第一阶段的工作,建成了当时全球最大的IPv6示范网,同时开发攻克了一批互联网IPv6关键技术,包括运营商、设渲圃焐桃约坝τ萌砑的开发商等。该项目在2008年被评为中国科学十大进展第二名。
在此之后,中国制定了下一代互联网的路线图和时间表,把2010年之前作为准备阶段,2011~2015年是过渡阶段,2016年以后作为完成阶段。第一阶段中国在国际上处于领先地位,产生了一些创新型成果:一是通过与近100所大学及与设备制造商、运营商的合作,建成了全球最大的纯IPv6示范网,当时国际上的做法是做IPv4搭建一个IPv6功能,实现双栈,离了IPv4后其IPv6是不能运行的;二是我们主要采用国产设备,70%的设备是由中国制造来搭建IP主干网,这个在当时的IPv4网上还没有做到。
值得一提的是,中国在国际标准化组织ITF的范畴之内取得了非常领先的成果,一个是隧道技术,还有一个是翻译技术,都取得了很大进展。此外,在未来网络里,很多安全问题将仍然存在,中国在解决安全问题上走在国际前列。
IPv6为解决网络空间安全问题带来挑战与机遇
随着IPv4地址在全球的分配殆尽,从2013年开始,全球的IPv6网络呈现一个比较大的发展趋势。全球的IPv6流量从2012年到2015年增长了十倍,预计2018年IPv6流量超出IPv4。为什么中国早在2008年第一期就取得了预定的战略目标,最近几年却发展缓慢?
第一,我国在互联网技术使用上还是比较落后的。技术落后使得地址短缺,地址短缺造成的应用就是用私有地址出口转换成公有地址。我们知道地址的转换非常降低网络效率,我们的互联网带宽低、延迟大、速度慢,一方面是基础投资不够,另一方面是地址转换产生了很重要的阻力。这一因素也养成了不用公有地址的习惯,国外一个用户要拿到运营商的服务必须有公有地址,在中国不一定这样,大家有时候选择少,另外也没有这个意识非要选择一个公有地址。
第二,互联网缺乏应有的国际竞争。2014年、2015年期间,谷歌、Facebook已经大量迁移至IPv6上,我们国家一些信息提供商也参与到CNGI项目,但他们只有几个层次,深层次访问他们并没有提供。
第三,我国互联网安全监管措施成本和代价很高,在IPv6上面,整个迁移以后需要重新构建。有些搞安全的专家也认为IPv6本身有端到端加密的功能,使得我们国家的很多安全管理和监控有很多困难。实际上互联网为什么在IPv6上有了加密,IPv4反而没有,就是要让用户有安全措施,这个到底是好还是不好,大家自有判断。
然而,互联网在IPv6里面解决网络空间安全问题确实是一个非常好的机遇。互联网为什么有很多安全问题?因为它是一个开放网络,在这样开放的网络中,所有访问是不可信的,每一个分组的访问,都不会对源地址进行验证。如果能解决这个问题,互联网的安全等级会大大提高。
学科增设有效提升网络安全技术水平
目前,我国也高度重视网络安全问题。从2014年中央网信办成立,到把网络强国作为国家发展互联网的战略目标,都强调在网络信息技术里要自主创新,把互联网核心技术、自主创新提到比较高的位置。
我认为,互联网是网络空间的基础,而互联网安全也面临诸多挑战。例如,源地址不做认证的问题,路由会产生非常多的问题,DOS攻击也是基于此产生。此外,大规模的域名劫持和假冒也会导致很多安全问题,尤其会对运营商带来很大危害。
我们在解决网络空间安全核心技术方面有两条技术路线,一是有病治病,二是要有新思路。以IPv6为基础,增加路由源地址验证、增加二维网络控制,能使这个网络更加安全、更加可信,起码所有的数据能够知道它们从哪来到哪去,谁负责,这是非常重要的。此外,我们也需要高层次的人才去设计安全的互联网。2015年,经过一系列努力,国家正式批复在“工学”门类下增设“网络空间安全”一级学科,并授予网络空间安全学科的硕士和博士学位;2016年,又有29所学校获得了我国首批网络空间安全一级学科博士学位授权点。2016年可以称为网络空间安全硕士和博士的元年。
这样一个学科对于我国提高网络安全技术水平有非常大的作用。我们分为五个学科部分,网络安全核心有三方面,计算系统安全、网络安全、应用安全,这三个是有所区别完全独立的。另外,有共性的密码权,在这三个学科里面都有表现,都有其作用。还有一个就是网络体系(即网络空间安全的基础)等。网络安全主要是通信和互联网安全问题、攻防问题,而应用安全包括各种应用系统关键设施的安全和隐私保护。
网络空间安全的基础范文第4篇
一、加强安全工作联动技能,深化跨部门、跨行业的协调和配合。随着两化融合的深入推进和全社会信息化水平的不断提高,通信网络的基础性、全局性、战略性地位更加突出,网络攻击已经成为不同部门、不同行业所共同面临的重大威胁。对此要坚持齐抓共管,进一步完善部门之间、政企之间的协作,加强行政监管和技术支撑之间的协调配合。真正建立起运转灵活、反应迅速的工作机制,将政府、企业、行业组织、科研院校等资源更好地利用形成合力。
二、防控应急能力的建设,强化网络安全环境的综合治理。基础企业和广大互联网企业要认真开展安全评测和风险的评估,加大网络安全保障的服务,落实行业网络安全标准和各项防护的措施,强化安全防护管理,坚持做到安全防护测试的同步和规划,同步建立以及同步运行,及时消除安全威胁和隐患,切实提高网络安全方面的水平,要逐渐完善网络安全应急预案,加强应急演练,确保发生网络安全事件后能够准确的判断,迅速的反应,有效的应对。保障重点网络与信息系统安全预警和重要的数据安全。要落实企业的责任,要继续开展针对各类安全威胁的清理和处理。同时相关企业要进一步提升责任意识,加强行业自律,积极配合政府主管部门净化公共互联网网络环境。
三、加强新型网络安全威胁相关研究投入,探出有效应对措施和保障技术。针对网络钓鱼、木马、移动互联网恶意程序、APT攻击以及互联网新技术新业务可能引发的新问题新风险,要加大科研能力投入,提高应对网络安全新风险的能力,加强协同联动的网络安全防御体系的研究,形成网络空间威胁检测全局感知,预警防控,实现对我国互联网安全攻关的整体把握。提高对网络威胁的检测和预警能力,从而大力提升国家网络空间安全的保障技术能力。
网络空间安全的基础范文第5篇
【关键词】 美国;可信身份;战略意图;启示
0 引言
2011年4月15日,美国了《网络空间可信身份国家战略》(NSTIC),计划用10年左右的时间,构建一个网络身份生态体系,推动个人和组织在网络上使用安全、高效、易用的身份解决方案。国内有观点认为,NSTIC战略是美国加强网络管控的新动向,标志着美国从“网络自由”向“网络管控”的重要转变。笔者认为,从NSTIC战略的出台背景、主要目标和内容来看,NSTIC并不是立足于加强网络管控,其核心目的是通过建立身份管理提高网络空间安全水平,以繁荣网络经济,巩固美国全球经济霸权地位。
1 NSTIC的出台背景
NSTIC是对2009年的《网络空间安全评估》(以下简称《安全评估》)的响应。2009年5月,奥巴马政府了《安全评估》,突出强调了网络空间的战略地位,指出美国当前网络安全形势严峻,必须建立身份管理,如果不能提高身份认证水平,不能识别和确知网络行动主体,将无法提高网络空间的安全性。为此,报告明确:要建立基于网络安全的身份管理。NSTIC的推出是对该报告的响应。
1.1 美国网络安全形势严峻,网络身份管理重要性日益凸显
美国是高度依赖信息网络的国家,整个社会运转已经与网络密不可分。随着网络成为国家依赖生存的神经单元,美国网络空间安全形势日益严峻。据2009年美国国土安全部的报告称,2005年共有4095起针对美国政府和私营部门的网络攻击,但2008年这一数字已增长至7.2万起,这些攻击使关键基础设施和敏感信息保护面临威胁,给美国造成巨大损失。美国政府日益认识到一个可以确认网络主体身份的网络空间越来越重要,但目前,美国网络欺诈、身份盗用等相关问题非常突出,使得一些服务难以在线提供。据统计,2010年美国有810万人遭受身份盗用或网络欺诈,造成370亿美元损失;美国金融机构每周会遭受16次网络钓鱼攻击,每年造成240-940万美元损失。
1.2 HSPD-12实施效果明显,有必要将网络身份管理从联邦政府推广至整个网络空间
2004 年8 月,美国出台了国土安全总统令第12 号(HSPD-12),为政府部门管理联邦雇员与合同制雇员提供了一套新型身份管理标准策略。该总统令有79个政府部门参与执行,2009年政府还出台了联邦身份、凭证与接入管理路线图与实施指南等相关政策和措施。
该政策实施效果明显,在保障网络安全方面发挥很大作用,以国防部为例,实施强身份认证后网络攻击数量降低了46%以上。在联邦政府之外,很多商业企业也在网络身份管理方面做努力,如OpenID 身份管理平台、微软的Windows CardSpace 等,Facebook也正在展开“1账号N用途”服务,任何拥有Facebook账号的人可以通过Facebook账户登录其他网站。随着美国经济运作、商业活动越来越依赖庞大而复杂的网络,美国政府认识到有必要将身份管理推广到包括私人部门在内整个网络空间。
1.3 欧盟、韩国等国家和地区加快在信息网络中引入和部署身份管理
欧盟在战略层面、技术层面为网络身份管理的大范围部署与推广作了充足的准备。欧盟从2002开始的FP6计划,相继开展了FIDIS、Traser、Stork等与身份管理相关的研究,包括电子政务、信息网络与未来网络中如何引入并部署身份管理,包括关键技术、架构、平台、应用场景等。欧盟的eIDM一揽子研究计划在2010年实现整个欧盟范围内电子身份(eID)的启用,欧盟成员国公民持有电子身份,即可在欧盟内的任一国家享受相应的求职、医疗、保险等一系列社会。韩国推行“I-PIN”认证多年,授权几家“身份服务提供商”建立身份验证平台,给网络用户发I-PIN,并以此注册所有实名业务。
2 NSTIC的主要内容
与欧盟国家发放电子身份证(eID)不同,NSTIC不是要拥有或者寻求建立国家性的在线身份,而是指在通过政府推动和产业界努力,建立一个以用户为中心的身份生态体系。
2.1 NSTIC核心内容包括指导原则、前景构想、身份生态体系构成、任务目标和行动实施
NSTIC明确身份生态体系必须遵循四个原则。一是身份解决方案应当是增强隐私的并且由公众自愿应用;二是身份解决方案应当是安全、可扩展的;三是身份解决方案应当是互操作的;四是身份解决方案应当是高效且易于应用的。这四个指导原则是任务目标和行动实施的基础。
NSTIC前景构想反映了一种以用户为中心的身份生态体系。NSTIC提出的构想是:个人和组织可利用安全、高效、易用和具备互操作的身份解决方案,在一种信心提高、隐私增强、选择增多和创新活跃的环境下获得在线服务。该构想反映了一种以用户为中心的身份生态体系,适用于个人、企业、非盈利组织、宣传团体、协会和各级政府。
NSTIC提出身份生态体系由参与者、策略、流程和相关技术构成。参与者主要包括个人、非个人实体、身份提供者、属性提供者、依赖方等。个人或非个人实体(如组织、软件、硬件和服务等)是在线交易或使用在线业务的主体,他们从身份提供者获得身份证书,从属性提供者获得相关属性声明,并将身份证书和属性声明直接展示给依赖方,以从事在线交易或使用在线业务。身份生态体系的策略基础是身份生态体系框架,该框架为体系的所有参与者提供一套基础标准和政策,这些基础标准和政策提供了最低的安全保障,同时也说明更高级别安全保障的详细细节,以确保参与者能获得足够的保护。
为确保身份生态体系的建立,NSTIC明确了四项任务和目标。一是制定身份生态体系框架,细分任务包括建立隐私增强保护机制、建立基于风险模型的身份鉴别和认证标准、界定参与者的责任并建立问责机制、建立指导小组对制定标准和认证流程进行管理;二是建立和实施身份生态体系,细分任务包括发挥私人部门、联邦政府以及国家、地方、司法、国土等政府部门的作用,建立和实施身份生态体系互操作基础设施;三是增强用户参与身份生态体系的信心和意愿;四是确保身份生态体系的长期成功和可持续性。
NSTIC明确了身份生态体系实施各方职责和进度计划。实施身份生态体系需要政府部门和私人部门的共同努力,NSTIC明确私人企业负责具体建立和实施身份生态体系,联邦政府负责指引和保障,NPO负责制定实施路线图等。同时,NSTIC明确在3-5年内身份生态体系的技术、标准初步具备实施条件;10年内身份生态体系基本建成。
2.2 NSTIC主张以用户为中心、以私营机构为主导的身份生态系统,用户隐私可以获得更强的保护
NSTIC明确身份生态系统是自愿参与的。用户是否参与身份生态系统是自愿的,政府不会强迫用户必须获得属于身份生态系统的凭证,机构也不会强迫要求用户提供属于身份生态系统的凭证作为唯一的交互工具。用户可以自由选择满足依赖方要求的最低风险的身份生态系统凭证,或者使用由信任方提供的非身份生态系统机制的服务。
NSTIC将增强对用户个人隐私的保护。
一是NSTIC将建立加强隐私保护的机制,建立清晰的隐私保护规则和指南,不仅将明确服务提供商和依赖方共享信息的问题,而且还将明确他们什么情况下可以收集用户信息、可以收集用户哪类信息、这些信息如何被管理和使用等。
二是NSTIC鼓励采用隐私增强的技术,用户在应用中仅向服务机构提供必要的信息,而不必泄露其他不必要的信息。NSTIC允许用户以匿名、假名方式使用相关服务,不必泄露自己的真实姓名等信息。
三是根据白宫网络安全负责人霍华德・施密特《NSTIC和隐私》文章的介绍,隐私增强技术还可以让用户使用不同的身份标识登录不同的网站,从而没有任何人可以建立集中的数据库,通过身份凭证跟踪用户的网上行为。
NSTIC主张私营机构主导身份生态系统的建立。NSTIC明确,参与身份生态系统的主体将以私营机构为主,几乎所有的身份提供商、属性提供商和评估认可机构都将属于私营机构,政府在其中的角色主要是支持私营机构建立身份生态系统,并成为身份解决方案的先行者,实施身份生态系统提供服务,政府一般不会直接控制用户身份信息,在不必要的情况下也不会要求私营机构提供用户身份等信息。
3 NSTIC的战略意图
随着全球经济社会发展对信息网络依赖性增强,一个可以确认身份的网络空间越来越重要,身份管理成为确保网络空间繁荣和健康发展的重要因素。NSTIC是在美国网络安全战略发生重大转变背景下提出的,是美国网络安全战略的重要构成。作为美国首个网络空间身份管理战略,其战略意图主要有两个。
3.1 积极应对网络安全威胁,增强网络防御并建立网络威慑
奥巴马总统上台后,开始全面谋求制网权,在加强网络防御的同时,实施网络威慑,旨在遏制日益增长的网络攻击,保护美国关键基础设施安全。网络安全与身份管理关系不言而喻,身份管理对网络防御极其关键,要想积极防御必须先了解网络上有哪些主体;而网络威慑重在影响对手,必须识别和确知最有能力的网络行动者,这需要通过身份管理进行归因判断。NSTIC的出台,极大推进了对个人、组织以及相关基础设施的识别能力,通过身份管理建立了网络空间的信任,从而增强网络防御并建立网络威慑。
3.2 繁荣网络经济,巩固美国全球经济霸权地位
奥巴马政府上台后,将网络创新视为重振经济的引擎,在政府的推动下,美国网络技术发展进入新一轮,云计算、智慧地球、物联网、移动互联网等均引领世界潮流。随着美国经济越来越依赖网络,网络环境面临的信任威胁越来越突出,各项在线业务发展受到阻碍,可信网络环境非常重要。NSTIC的推出,旨在通过在网络空间部署身份管理,推进在线业务安全、便利、高效开展,增进网络信任,促进更多业务在网上开展和服务创新,从而繁荣网络经济,占领未来全球经济的制高点,进一步维护美国全球经济霸权地位。
由上可见,NSTIC并不是以加强网络管控为目的的。尽管如此,提出将建立和维护可信数字身份,构建网络身份生态系统,这一愿景的实现,必然会增强美国对网络空间的掌控。
(1)身份生态系统的成功实现,将使身份管理推向政府服务、社会服务等大量在线业务,这必然有利于美国对网上身份、行为的更好掌控。NSTIC主张的身份生态系统,依赖于大量在线业务的参与。当政府、社会等多种服务成为该系统的参与者,用户为使用各种服务将不得不采用相关身份解决方案。目前已经有Yahoo、PayPal、Google、Equifax、AOL、VeriSign等科技厂商宣布支持NSTIC实施。用户信息掌握在作为服务提供商的私营机构手中,不排除在必要情况下会被提供给美国国家机构,根据美国《爱国法》、《国土安全法》等法律,服务提供商有义务向美国政府提供用户的有关信息。这必然加强美国对网上身份、行为的掌控。
(2)NSTIC提出将推动身份生态系统的最终国际化,美国一旦主导国际身份管理策略标准的制定,必然将增强其对网络空间的掌控。
NSTIC提出,将推动身份生态系统的国际化,实现身份生态系统的国际互操作,事实上是要将其身份管理的策略和标准推向国际。美国很早就开始身份管理技术的研发,国家标准协会、国家标准技术研究所成立了标准组并了相关标准,目前在全球身份管理标准化工作中,美国是研究工作的主导力量。由于身份管理涉及到技术、社会、法律、国家政策等多方面,关系到对不同国家的法律法规、国家利益和安全,各国都希望发挥自己在此领域的主导作用。美国在网络空间有着巨大优势,从芯片到操作系统,从根服务器到域名管理,美国对网络空间的掌控已经远远超出其他任何国家,形成了垄断性优势。美国推动身份生态系统的国际化,必将进一步加强美国在网络空间的影响力,确保其对网络空间的掌控。
4 对我国的几点启示
身份管理关系到未来网络空间的繁荣和健康发展,我国必须充分发挥在此领域的主导作用。
4.1 尽快制定我国网络空间可信身份国家政策
随着我国经济社会活动对网络依赖性增强,各行业对网络空间可信身份都提出了需求,如网上购物、网上银行、网上社保等,身份管理成为确保网络空间繁荣和健康发展的关键。未来身份管理将更加重要,美国、欧盟等都在加强身份管理技术研发和部署,已经形成较强的技术优势;对我国而言,如果不及时加以部署和研发,将很可能丧失在未来网络中的话语权。为此,必须将可信身份上升到国家战略高度,出台相关政策措施,整合各类资源,建立政府主导、市场主体的推动机制,促进网络空间身份管理的发展。
4.2 支持网络空间身份管理技术研发和应用示范
目前美欧在身份管理技术和产品研发方面具有优势,我国在此方面还处于跟随阶段,缺乏相关的实施和尝试。鉴于身份管理的基础性和重要性,建议政府通过科技支撑计划等,支持研究机构、企业等开展相关技术研究和产品研发,支持建设应用示范系统,着力推进在电子政务、电子商务等方面的应用示范,探讨解决不同身份管理系统之间互联互通问题,在技术成熟时可以建立国家性身份管理平台,确保关系国家民生的关键身份信息把握在国家而不是国外企业手中。
4.3 积极参与国际标准制定,掌握话语权
身份管理关系到未来网络架构,美国、欧盟等发达国家都在争夺技术、标准方面话语权,目前有大量组织也在对身份管理标准进行研究,如自由联盟、OpenID、OASIS、W3C、ITU-T、ETSI、3GPP、ATIS和IETF等,但还没有形成统一标准。建议我国统筹协调研究、产业等各方面资源,有计划开展身份管理系列标准研究工作,同时组织国内力量积极向国际组织提交议案,争取设立由我国主导的研究议题,增强我国在身份管理标准化工作中的话语权与主导权。
参考文献
[1] The White House,National Strategy for Trusted Identities in Cyberspace,http://whitehouse.gov,2011.4.15.
[2] Howard A. Schmidt,The National Strategy for Trusted Identities in Cyberspace and Your Privacy,whitehouse.gov,2011.4.26
[3] Howard A. Schmidt,Advancing the National Strategy for Trusted Identities in Cyberspace: Government as Early Adopter,whitehouse.gov,2011.10.14
[4] 魏亮.身份管理策略思考.电信网技术,2009年第3期,36-39.
[5] 陈剑勇,吴桂华.身份管理技术及其发展趋势.电信科学,2009年第2期,35-41.
[6] 王功明,关勇等.可信网络框架及研究.计算机工程与设计,2007年3月,第28卷,第5期,1016-1018.
作者简介:
