2020《澳大利亚网络安全战略》主要特点和动向评估
文│中国信息安全测评中心 卢英佳
2020年8月6日,澳大利亚内政部对外公布其因新冠疫情而推迟发布的《网络安全战略》(以下简称“《战略》”)。澳大利亚内政部正式成立于2017年12月20日,负责国家安全、执法及紧急事务管理职能以及反恐和网络安全职能,其职能定位类似美国国土安全部。此次发布的《战略》,为其成立后发布的第一份网络安全领域战略,总投资额达16.7亿美元,旨在加强未来10年内澳大利亚的网络安全,强调要将打击网络犯罪、推进“数字身份”计划、扶持中小企业和扩大地区影响等方面作为今后国家网络安全战略的政策目标,这是澳大利亚现任政府在结合历史和现实的基础之上,针对当前新冠疫情的客观环境进行分析判断后得出的结论,是目前澳大利亚关于网络安全最为权威的战略报告。
《战略》的出台背景
1.《战略》关注新冠疫情,并提出了应对措施
此次新版《战略》是根据当前国内外形势变化制定的。当前,新冠疫情的爆发对澳大利亚网络安全领域造成巨大影响,在疫情蔓延过程中,网络犯罪活动愈加频繁,针对关键基础设施覆盖面广,其中,针对医疗机构和个人的网络攻击都有不同程度的增加。另一方面,疫情期间,远程办公成为一种主流的工作方式,大量工作人员不在岗,导致网络安全产业与监管部门未能充分发挥作用。2020年1月,专门为澳大利亚森林大火受害者进行募捐的网站被破坏,攻击者向该网站注入了一个恶意脚本,并窃取了捐赠者的付款信息;3月,澳大利亚总理斯科特·莫里森表示国内三大政党的计算机网络遭到了网络袭击;5月,澳大利亚航运及物流公司Toll集团遭到Nefilim勒索软件(由Nemty演变而来的新一代勒索软件)攻击,这是4个月内Toll集团遭遇的第二次勒索软件攻击,另一次攻击事件发生在2月份。
鉴于新冠疫情的严重性,新版《战略》注重于解决企业及个人在线远程工作所面临的安全问题。澳大利亚政府将投资5830万美元加强客户参与渠道,并投资1230万美元将7×24小时网络安全服务平台扩展到中小企业和家庭。向所有澳大利亚人提供网络安全建议和技术援助,并提供额外的在线资源和实用的量身定制的建议和信息。同时澳大利亚政府以2600万美元的投资,支持网络安全中心(ACSC)扩大对中小企业和社区的援助。澳大利亚政府还将投资610万美元,为网络犯罪受害者提供帮助。
新冠疫情使澳大利亚国内网络安全体系面临的挑战增多,对经济、安全所带来的深层次影响也随着疫情的不断演变而慢慢发酵,澳大利亚政府及时发布的《战略》对有效加强网络防御具有更加明确的指导意义。
2.《战略》是对2016版网络安全战略的延续
此次《战略》的制定历时近一年,经过了先期规划评估、后期意见征集及调研等阶段,是澳大利亚政府机构、企业与业内专家积极参与、各方磋商讨论的结果。相较2016版战略,新版《战略》目标明确,结构清晰,延续了加强人才建设的工作目标和两大中心——澳大利亚网络安全中心(ACSC)和联合网络中心(JCSC)的工作框架,保证了与2016版战略的延续性和一致性。2016版战略总投资额为2.3亿美元,成立了两大中心ACSC和JCSC,加强政府与州及地方政府的合作,并不断加强网络人才体系建设。新版《战略》投资力度加大,总投资额增加至16.7亿美元,对ACSC和JCSC追加投资,提高打击网络犯罪的能力,打击包括暗网在内的网络犯罪。同时,基于2016版战略加大人才体系建设力度,制定《网络安全劳动力增长计划》。
《战略》的主要特点
1.《战略》着重投资情报领域,意在提高网络情报能力
《战略》明确提出,澳大利亚信号局在未来10年内额外招聘500名情报和网络安全人员,预计投入4.697亿美元。除此之外,澳大利亚政府将投资3.854亿美元,用于增强情报能力。从下图的《战略》投资一览表中可以看出,增强网络情报能力所花费金额为总投资额分项中的最大一项,凸显提升网络情报能力的重要性。
澳大利亚为五眼联盟国家,多年来一直与美、英、加拿大、新西兰共享情报信息。近年来,网络安全事件频发,国家级APT行动增多,信号情报向网络空间延伸,同时,网络威胁情报兴起,各国情报机构纷纷针对关键基础设施等重要国家资产所面临的网络威胁,收集分析威胁信息,为溯源和追责恶意网络活动提供支持。澳政府也在不断提升网络情报的战略地位,通过各项举措,大幅度扩展在网络空间的情报行动能力。2016年,澳大利亚政府设立网络情报监测部门;2017年,澳大利亚最大的电信公司Telstra构建网络安全情报中心;2019年12月,澳大利亚网络安全公司Kasada引进美情报界风险投资机构In-Q-Tel的投资,计划继续增加其网络专业人员队伍,加强其网络安全产品的性能并积极在国内推广产品应用。
及时准确的网络情报可为政府机构准确感知和研判网络空间安全态势提供帮助,也可为政府决策者深化对网络空间安全的认识、制定网络空间安全战略、应对网络空间安全威胁提供参考。新版《战略》已成为澳大利亚政府进一步调整情报机构业务,适应新的全球网络威胁与挑战的一个重要手段。
2.《战略》要求提高社区的网络安全系数
政府将推行“数字身份”计划使民众可以选择使用可信任的数字身份证书来访问政府和私营部门提供的网络服务,以保护澳大利亚人免受身份盗窃、网络犯罪的侵害,保证澳大利亚人更轻松、更安全地使用网络服务。同时还要做到以下几点:一是积极努力提高民众对网络安全威胁的认识,并推动整个社区采取安全可靠的在线行为;二是建立针对家庭和澳大利亚老年人的7×24小时网络安全建议热线;三是增加对受害者支持的资金;四是引入自愿性的物联网业务守则,以帮助消费者做出明智的购买决定。
3.《战略》指出要积极参与国际合作
《战略》还指出,今后澳大利亚还要积极参与国际合作,《战略》宣称澳大利亚致力于支持和维持促进稳定的国际机制,并愿与国际盟友合作,以威慑和应对网络空间中的非法行为。澳大利亚将在以下三方面与其他国家加强合作:一是提高关键信息和通信技术(ICT)基础设施的安全性;二是发展技术技能和适当的立法,监管框架和策略,以履行其职责;三是弥合ICT安全与使用之间的鸿沟。目前,政府正在制定《网络和关键技术国际参与战略》。政府将关键技术定义为能够显著增强或威胁国家利益的现有技术和新兴技术。《网络与关键技术国际参与战略》将提供一个指导澳大利亚国际参与的框架,以确保网络空间关键技术能够支撑并实现安全、有保障和繁荣的澳大利亚。
新版《澳大利亚网络安全战略》动向评估
新版《战略》以2016版战略为基础,对2016年版本进行了完善及调整,更加具有针对性,尤其是在强化网络安全保障、扩大区域影响方面,但在提高私营网络关键系统安全防护水平方面还有待提升。
1.加强印太区域网络能力的布局与建设,扩大地区影响力
在新版《澳大利亚网络安全战略》中澳大利亚政府明确表示,将投资6000万澳元支持印度太平洋地区的网络能力建设,目的在于倡导开放,自由和安全的网络空间。其中包括一项为期七年,耗资3400万美元的网络合作计划,该计划与政府、企业、公民社会和学术界合作,以增强整个网络事务中的网络弹性,该网络合作计划有助于减轻新冠疫情期间恶意网络活动的影响。澳大利亚还将实施一项为期四年,耗资1400万澳元的澳大利亚—巴布亚新几内亚网络安全合作计划,构建双方网络安全框架,增强技术能力,并承诺进行一项为期四年的耗资1270万澳元的《澳印网络与关键技术合作计划》。
此次《战略》加大印太地区投资扩大地区影响力的行为显示澳政府今后网络安全工作重点之一将转向印太地区,近年来,印太地区战略地位的提高以及新兴市场国家的崛起,世界权力重心正在从大西洋向太平洋转移。中国实力地位不断增长,极大地改变印太地区原有的地缘格局,并在一定程度上冲击现有的国际政治秩序和霸权体系,给澳大利亚带来了极大的挑战和压力,中国“一带一路”倡议对南太平洋地区的影响增强以及中国领先的5G技术都使澳大利亚感受到地区秩序和平衡被打破。2019 年6 月,悉尼大学美国研究中心在名为《大国竞争时代的美澳同盟之未来》报告中,将中国实力的上升视为对印太地区的“挑战”,同一时期,美国特朗普政府提出“印太战略”,在南太平洋地区扶植遏华力量,这一举动既提升澳大利亚战略地位,又在一定程度上与澳大利亚政府的“恐华”观点不谋而合,因而澳大利亚政府自此更为迎合美国,澳美同盟益发坚固,澳大利亚成为美在印太地区不可或缺的前沿堡垒和重要支点。澳投资印太既可配合美国印太战略的实施,又可笼络邻国,获取国际支持,可谓一举多得。
2.缓解新冠疫情影响,优先支持网络安全中小企业
2020年,新冠肺炎疫情的爆发和蔓延,给澳大利亚经济带来巨大的负面冲击性影响,一方面抑制消费,另一方面是限制了企业投资,大多数企业选择收缩经营,在线工作成为常态,网络攻击事件也不断发生,2020年4月,云安全公司Zscaler的安全研究人员发现,与年初相比,3月份与新冠病毒相关的恶意攻击和恶意软件环比增加了30000%。澳大利亚中小企业既面临着经济负担,又受到网络攻击的影响而承受双重压力。因而,澳大利亚政府决定采取一系列措施支持中小企业:一是投资1230万美元扩建ACSC,加强网络安全建议和提供技术援助;二是制定《网络安全连接和保护计划》并投资830万美元,通过受信任的组织提高中小企业的网络安全;三是在联合网络安全中心部署相关人员将为中小企业提供支持;四是支持研发威胁阻止技术防止已知的恶意网络威胁影响澳大利亚的消费者和企业;五是制定《 ACSC小型企业网络安全指南》,为中小企业提供量身定制的建议,以防止最常见的网络安全事件;六是由ACSC制作分步指南和速成指南提供实用说明,明确中小企业可以采取的保护行动;七是ACSC以智能网络计划推广网络安全最佳实践,并鼓励企业注重网络保护;八是在cyber.gov.au网站发布工具包帮助中小型企业提高其员工的网络安全意识;九是cyber.gov.au设置专门的在线网络安全培训计划帮助提升中小企业及其员工的技能;十是执法部门将增强识别和破坏针对澳大利亚企业的网络犯罪。
结语
《澳大利亚网络安全战略》接续2016版战略,目标具体、层次清晰,兼顾前瞻性和可行性,明确了澳大利亚未来网络安全工作方向,其特点和动向值得关注。《战略》的出台是希望凭借地处印太国家的地理优势,并结合自身的资源和能源优势,通过加强与盟友合作发展与邻近主要国家的关系,期冀在印太地区构建一个多边的、基于规则的地区秩序,维护原有的美国主导的地区秩序,防范亚洲某些快速发展的国家(如中国)的威胁,最大化地实现其国家战略利益。
(本文刊登于《中国信息安全》杂志2020年第11期)
本文为风暴中心原创文章,转载请注明出处