【知远导读】日本政府认为,在人工智能、物联网技术不断发展的背景下,网络攻击对稳定安全的日本国民生活造成了威胁,甚至出现个别国家参与网络攻击的事例。鉴于此,日本政府公布了最新的网络安全战略,将携手相关企业、国民共享国内外网络攻击方面的信息,推进“积极的网络防御”措施,防患于未然。本文是对日本网络安全战略的综述,介绍了日本网络战略的发展规划和远景目标,以及实现该战略的基本政策方针。

日本网络安全战略综述

(内阁于2018年7月27日决定)

中长期规划

1.介绍

1.1网络空间带来社会范式的转变(在网络空间中,人们可以利用创造和创新来显著拓展他们的活动。向“社会5.0”的范式转变,是人类从未经历过的)

1.2自2015年开始产生变化(日益严重的网络威胁和现实中的威胁相统一,新战略必须要前瞻性地关注第32届奥运会和2020年东京残奥会)

2.理解网络空间

2.1网络的好处

——网络空间的知识、技术和服务,例如人工智能(AI)和物联网(IoT),正逐渐在社会中建立并引领着改变现有结构的革新。它们在诸多领域的应用越来越广泛,丰富了人类的生活。

2.2网络空间的威胁日益增加

——网络技术的提供者总是有可能会失去对这些技术的控制。针对物联网、关键基础设施、供应链的攻击以及涉嫌某些国家支持的事件,将成倍地增加社会经济损失。

3.本战略的远景和目标

3.1坚持网络安全的基本立场

(1)网络安全的基本行为目标;

(2)基本理念(“自由、公平、安全的网络空间”);

(3)基本原则(保障信息自由流通,法治,开放,自治,与利益相关各方的合作)。

3.2以网络安全为目标的基本愿景

(1)目标(网络安全可持续发展——推广“网络安全生态系统(Cybersecurity Ecosystem)”);

(2)三种途径(为网络服务供应商提供安全支援;风险管理;参与、合作、协作)。

三年战略期(2018-2021)

4.实现这一目标的政策方针

4.1促进社会经济活力和可持续发展

(1)把增强网络安全作为价值创造的驱动力

<示例>

——提升管理意识(从“成本”到“投资”)。

——网络安全投资的激励措施(对公司所发布和披露的信息进行市场评估,网络安全保险的使用)。

——基于安全设计的网络安全提升业务。

(2)通过不同的连接建立供应链进而创造价值

<示例>

——基于中小企业商业行为中的供应链风险,制定相应的网络安全框架(设备、数据和服务的供应网络)。

(3)建立安全的物联网系统

<示例>

——完善物联网体系结构和国际标准。

——建立物联网设备漏洞的模型并找到解决方案。

4.2为国民建设一个安全的社会

(1)保护国民和社会的措施

<示例>

——实施有针对性的积极预防措施(主动网络防御)。

——强化打击网络犯罪的举措。

(2)通过公共部门与私人的合作保护关键基础设施

<示例>

——修订和完善安全制度(将网络安全措施定位为相关法律法规之内的安全法规)。

——增强地方政府安全。

(3)加强和改善政府机构和政府有关实体的安全

<示例>

——实时监管信息系统的状态。

——利用尖端技术进行先发制人的操作。

(4)确保大学教育和科研环境的安全

<示例>

——鉴于高校和研究机构的多样性,制定相应的改进措施。

(5)为2020年东京奥运会及后续活动提出的倡议

<示例>

——推进网络安全事件响应协调中心(Cyber Security Incident Response Coordination Center)的建设。

——成果作为遗产加以利用。

(6)构建超越传统框架的信息共享/协作框架

<示例>

——促进利益相关各方之间的信息共享/协作

(7)加强对大规模网络攻击事件的应对

<示例>

——加强对大规模网络攻击事件的防范,做好网络空间和现实社会的风险管控工作。

4.3为国际社会的和平稳定和日本的国家安全做出贡献

(1)致力于一个自由、公平和安全的网络空间

<示例>

——传播自由、公平、安全的网络空间理念。

——推进网络空间法治建设。

(2)加强防御、威慑和态势感知能力

<示例>

——确保国家恢复活力

a.任务保障;

b.保护日本的先进技术和国防相关技术;

c.打击恐怖组织恶意利用网络空间的措施。

——加强威慑能力

a.有效的威慑手段;

b.建立信任的举措。

——加强网络态势感知

a.提高有关政府机构的能力;

b.威胁信息的共享。

(3)国际合作与同盟

<示例>

——分享专业知识和协调政策。

——响应事件的国际协作。

——开展相关能力建设的合作。

4.4网络安全的交叉途径

(1)网络安全人力资源的开发与保障

<示例>

战略管理层面的培训和使用,战役和专家层面的培训(包括高级人力资源),为网络安全人力资源开发打下基础,加强机构间网络安全人力资源的保障和开发,促进国际伙伴关系。

(2)促进研究和发展

<示例>

——促进可实际运用技术的研发(提高对攻击的检测和防御能力,开发能够进行必要技术检查的系统)。

——针对包括人工智能等在内的技术和社会中长期发展,做出正确的反应。

(3)网络安全需要每个使用者的参与

<示例>

制定网络安全教育计划,向公众传播必要信息(推广“网络安全意识月(Cybersecurity Awareness Month)”),提升网络安全教育质量。

5.网络安全战略的促进和落实

为确保战略得以实现,在网络安全战略总部(Cybersecurity Strategy Headquarters)和国家网络安全事件应急及战略中心(National center of Incident readiness and Strategy for Cyersecurity,NISC)的指导下,相关政府机构将继续致力于提升他们的网络安全能力。在协调政府部门协作,促进企业、学术界、公共部门和私人之间的合作上,国家网络安全事件应急及战略中心将发挥主导作用。网络安全战略总部将设法确保和执行政府所需的预算,以便各项措施得以落实。

声明:本文来自知远战略与防务研究所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。