【编者按】俄罗斯对信息安全高度重视,2016年12月,俄罗斯颁布新版《俄联邦信息安全学说》,这是自2000年以来俄罗斯对国家信息领域战略指导的首次更新,提出了俄面临的信息安全威胁,明确了新时期保障信息安全的战略目标和行动方向。
俄罗斯信息安全战略发展及实施情况
华屹智库
俄罗斯是地跨欧亚大陆的世界大国,因受美苏两极冷战等历史因素影响,其在实现信息化方面,包括信息基础设施建设进程、信息产业发展起步、信息技术发展水平等,都明显落后于西方发达国家。但也因此,俄对信息安全高度重视。早在 2000 年,俄联邦政府就出台了首份国家信息安全战略文件——《俄联邦信息安全学说》,正式将信息安全作为战略问题进行考虑,并就信息安全建设作出顶层设计和战略部署。随着信息安全威胁日趋复杂严峻,以及信息领域的国家利益不断扩大,俄联邦政府于 2016 年发布了首次修订版《俄联邦信息安全学说》,明确新时期保障信息安全的战略目标和行动方向。从俄信息安全战略的发展看,近年来俄对信息空间和信息安全的认识日益深刻,对信息安全建设的考虑更加全面和务实。
2016 年 12 月 , 俄总统普京批准第二版《俄联邦信息安全学说》
一、战略发展
俄信息安全战略的发展大概可分为“战略的确立”和“战略的扩展”两个阶段。
(一)第一阶段:战略的确立
20 世纪 90 年代,前苏联解体引发的政治和经济结构急剧变化,使得俄原本完整和庞大的信息安全体系遭到破坏,加上西方发达国家对俄掌握先进信息技术的阻挠,导致俄信息技术和信息产业发展明显落后于西方发达国家 ,其国内信息设备主要依赖于国外产品。与此同时,西方发达国家以信息化为核心的世界军事变革加速发展,使俄逐渐认识到,信息优势是未来政治、经济和军事斗争的核心和重要支柱。1997 年,俄联邦安全会议开始着手起草国家信息安全学说。1999 年美军利用信息优势主导科索沃战争的进程和结局,以及2000 年上半年“爱虫”病毒对包括俄在内的全球计算机系统的侵袭,加剧了俄发展信息优势、维护国家安全的紧迫感,也加快了俄制订国家信息安全学说的进程。2000 年 6 月,俄总统普京主持的联邦安全会议通过首份《俄联邦信息安全学说》,明确指出“国家安全主要取决于信息安全”,将信息安全拉升到国家安全的战略高度。学说概述了俄在信息领域的国家利益,列举了信息安全面临的内部和外部威胁,提出了保障国家信息安全的目标、主要任务、共同方法、基本原则、优先措施和组织基础等,成为俄制定国家信息安全政策、法规和开展信息安全专项活动的纲领性文件。至此,俄国家信息安全战略正式确立。
(二)第二阶段:战略的扩展
近年来,随着信息领域国家利益的不断拓展,俄对信息技术的依赖性逐渐升高,面临的信息安全威胁也日益复杂。为提升应对国内外信息安全环境复杂化演变的能力,有效维护国家利益,俄对国家信息安全战略亦进行了扩展。2008 年 2 月,俄总统普京批准《俄联邦信息社会发展战略》(2008-2015 年),成为俄首份确立信息社会发展目标、原则和主要方向的战略文件。2008 年 3月,俄联邦安全会议批准《俄联邦保障信息安全领域科研工作的主要方向》,明确了俄在信息领域的前沿科学技术研究重点。2013 年 8 月,俄联邦政府公布《2020 年前俄联邦国际信息安全领域国家政策框架》。该政策框架细化了《2020 年前俄联邦国家安全战略》、《俄联邦信息安全学说》等战略计划文件中的某些条款 , 列举了国际信息安全领域的主要威胁,明确了国际信息安全领域国家政策的目标、任务、优先方向及其实现机制,成为俄参与国际信息安全事务的战略计划文件。2014 年 1月,俄联邦委员会公布《俄联邦网络安全战略构想》草案(讨论稿),阐述了制定国家网络安全战略的必要性和迫切性,明确了国家网络安全战略的基本原则和行动方向,以及该战略构想在现行法律体系中的地位。由于俄长期使用“信息安全”而摒弃“网络安全”概念,但该草案的主要起草者却坚持使用“网络安全”一词,因而遭到俄联邦安全局的强烈反对,最终导致草案“中途流产”。2015年 4月,俄启动国家信息安全学说的修订编制工作。2016 年 12 月 , 俄总统普京批准第二版《俄联邦信息安全学说》。新版学说定义了“信息安全”和“信息领域国家利益”等基本概念,描述了未来保障国家信息安全的战略目标和行动方向。俄联邦政府明确指出,该学说是俄保障国家信息安全的官方观点体系和保障国家安全的战略规划性文件。2017年 5 月,普京又批准《2017-2030 年俄联邦信息社会发展战略》。
二、主要内容
新版《俄联邦信息安全学说》的颁布,是 2000 年以来俄对国家信息安全战略指导的首次更新。学说的内容分成“总则”、“信息领域的国家利益”、“信息安全的主要威胁和信息安全态势”、“保障信息安全的战略目标和行动方向”以及“信息安全的组织基础”等五章,与旧版学说相比,内容更加丰富、任务更加明确。其中,第二至第四章构成了新版学说的主体,其主要内容是:
(一)信息领域的国家利益
新版学说明确了俄在信息领域的国家利益由五方面组成:一是保障公民获取和使用信息的权利与自由、使用信息技术时的隐私安全,为民主机构、国家与公民社会的互动机制提供信息支持,以及使用信息技术保护俄联邦各族人民的历史、文化和精神财富;二是确保信息基础设施遭受威胁时(无论平时、战时)的稳定和不间断运行,重点保障关键信息基础设施和电信网络的安全;三是发展信息技术和电子产业,扶持信息安全产业发展;四是向国内外舆论准确传达俄联邦的国家政策及对国内外重要事件的官方立场,运用信息技术保障文化领域的国家安全;五是促进国际信息安全体系的建立,抵御以信息技术破坏战略稳定的威胁,加强信息安全领域平等的战略伙伴关系,维护信息领域的国家主权。在旧版学说中,信息领域的国家利益组成仅作为第一章“保障信息安全是国家利益的要求”的一部分,没有单独成章描述,并且只有四个组成部分。相较之下,新版学说对信息领域的国家利益进行了拓展、补充和细化,尤其首次提出了“信息领域的国家主权”概念,表明随着信息技术应用水平的不断提高,俄在信息领域的国家利益也在不断拓展。
(二)信息安全的主要威胁
新版学说指出,信息技术应用领域的日趋扩大,加上信息数据的跨境流动,信息安全威胁显著增加。新时期俄信息安全面临的主要威胁包括:一是一些国家出于军事目的正加强其利用信息技术影响信息基础设施的能力,同时国外情报机构对俄国家机关、科研机构和军工企业的技术侦察活动日益增强。二是个别国家的特殊服务部门为破坏他国政治与社会局势的稳定,损害他国主权和领土的完整,正利用信息技术积极施加意识形态领域的影响。当前,国外媒体否定俄国家政策的报道数量有增加的趋势,俄媒体在国外经常遭到公开歧视,信息对俄民众尤其是年轻人的影响越来越大。三是恐怖组织和极端组织广泛利用信息技术对个人、团体和社会意识的影响力,加剧民族间和社会的紧张局势,煽动民族与宗教的仇恨或敌对 , 宣扬极端主义思想,拉拢新的支持者参与恐怖主义活动,甚至破坏关键信息基础设施。四是计算机犯罪大规模增长,尤其是在金融信贷领域;使用信息技术处理个人数据方面,侵犯公民依宪法享有的权利和自由的犯罪数量也不断增加;计算机犯罪的方式方法和手段正变得越来越复杂。相较于旧版学说,新版学说首次承认国家间存在基于军事目的的信息对抗行为 , 并突显了意识形态和恐怖主义威胁与信息技术结合后给国家安全带来的挑战,表明俄对新时期信息安全威胁的认识越来越深刻和全面。
(三)战略目标和行动方向
新版学说在评估信息安全现况的基础上,确定了未来一段时期俄在 5 大领域保障信息安全的战略目标和行动方向。一是国防领域。战略目标是保护个人、社会和国家的重要利益,使其免受国内外基于政治、军事目的而施加的威胁。行动方向包括保持战略威慑和防止因信息技术使用而可能引发的军事冲突,完善俄武装力量的信息安全保障系统,以及提升俄武装力量预警、发现、评估信息威胁的能力等。二是国家和社会安全领域。战略目标是捍卫国家主权和领土完整,维护政治和社会稳定,保障公民的权利和自由以及关键信息基础设施的安全。行动方向包括打击利用信息技术传播极端主义、排外主义等不良思潮,制止外国组织和个人利用技术手段危害俄国家安全的活动,以及提高重要信息基础设施的防护水平和预防、打击信息技术犯罪的能力等。三是经济领域。战略目标是将信息技术和电子产业发展水平不足导致的不利因素降至最低,消除对外国信息技术和设备的依赖。行动方向包括推动信息技术和电子产业的创新发展,扶持俄信息安全产业进行竞争性技术研发和产品生产等。四是科技和教育领域。战略目标是支持信息安全保障系统、信息技术和电子产业的创新和加速发展。行动方向包括创新运用已有信息技术,研发有前景的信息技术和信息安全手段,发展信息安全领域的科技和人员潜力,以及倡导公民信息安全文化等。五是战略稳定与平等的战略伙伴关系领域。战略目标是在信息空间建立一个稳定、不冲突的国家关系体系。行动方向包括:施行独立自主的国家政策,保护信息领域的国家利益和主权;参与国际信息安全保障体系建设,有效抵御利用信息技术开展的攻击、犯罪及其他非法活动;推动国际法律机制的建立,防止和解决信息领域的国家间冲突;以及向国际组织宣传俄方立场,促进信息领域利益攸关方的平等互利合作等。
三、实现措施
俄联邦政府及军方重视通过组建信息战部队、构建信息安全机制、加强信安人才培养、推动信安技术自主、利用黑客开展行动计划等措施,持续推动国家信息安全战略的实施,力争加快国家信息安全战略目标的实现进程。
(一)组建信息战部队维护国防领域信息安全
组建信息战部队,是俄军落实国家信息安全战略、维护国防领域信息安全的重要举措。新版信息安全学说明确,俄将提升联邦武装力量的信息对抗能力,包括完善信息对抗力量、改进信息对抗手段,以及提升信息威胁预警、发现和评估能力等,用以保障国防领域的信息安全。2017 年 2 月,俄军正式组建信息战部队,规模约 1000 人,主要职能是统一进行信息作战行动和管理,保护俄军事网络和站点,防止俄军事管理系统和通信系统遭到黑客攻击。事实上,俄军长期以来一直致力于建设一支专业性强、体系完整的信息战部队,但其建设进程始终处于高度保密状态。根据俄媒体透露,2012 年 3月,俄副总理罗戈津就表示俄正考虑建立一个专门的网络司令部,负责保护军队信息系统的安全;2012 年夏季,俄国防部会议原则上通过了组建网络司令部的构想;2013年 2 月,俄国防部长绍伊古指示总参谋部所属作战总局、组织动员局等尽快拿出网络司令部的组建方案;之后,罗戈津又宣称,俄国防部已于 2013 年 3 月前完成组建网络司令部的研究,并将于年底前正式组建;2014 年 1月,俄总参第八局局长库兹涅佐夫透露,俄将于 2017 年前组建一个专业机构,专事保护重要军事设施免受计算机网络攻击;2014 年 5月,俄国防部消息人士传出,因花费太高俄军已停止组建信息战部队;2017 年 1月,俄联邦政府官员仍否认信息战部队的存在;直至 2017 年 2月,绍伊古才宣布俄军已经成立了信息战部队,这也是俄官方首次承认俄军存在此类部队。
(二)构建机制保障国家和社会领域信息安全
俄联邦政府建立了多种信息安全制度,为国家、社会以及公民个人的信息安全提供有力监管和保护。一是建立信息系统安全评估指标。俄信息安全部门制定了《计算机系统安全评估标准》、《产品安全评估软件》、《特殊环境下计算机系统安全评估标准使用指南》、《安全网络计算机系统安全评估标准说明》、《安全数据库》等一系列比较完善的信息系统安全评估指标。二是建立信息安全认证及分级机制。俄对信息安全企业和产品实行许可认证制度,并建有专门的认证机构和认证测试实验室。俄将信息安全等级划分为 A、B、C、D、E 五个等级,只有获得认证的信息安全产品,才能在市场上销售和使用。对于网络上的密码产品,认证条件则更为严格,密码保护设备必须是国内研制,并经相关部门鉴定。三是建立网络检查和审核机制。俄建立了较严格的互联网检查机制,允许监查经由互联网传播的信息,同时规定政府机构、事业单位及商业公司应将信息安全审核作为经常审核的安全项目之一。俄联邦政府规定,互联网公司收集的俄公民信息数据必须存储在俄境内,禁止存储在国外服务器上。俄还加强对公民个人社交媒体的监督,以防止信息领域的“颜色革命”。普京 2014 年 5月还签署了《知名博主管理法案》,用以规范网络达人在社交媒体上的言行。
(三)加强信安人才培养为战略实施提供支持
“信息安全领域人员配备不足”是俄推进信息安全建设遭遇的痛点,俄2000 年版信息安全学说就要求在信息安全和信息技术领域建立统一的人员培训系统,但 16 年来这一问题“不仅没有得到解决,而且还在恶化”,因此新版信息安全学说又提出要发挥信息安全保障和应用信息技术领域人员的潜力。俄为解决信息安全人才短缺问题,近年来采取的重大措施包括:一是构建信息安全人才培养体系。俄联邦政府将全国 90 所开设有信息安全专业的大学、22 个信息安全地区教学中心、12个部委信息安全管理机构和科研机构组成一个信息安全人才培养体系,设置6 个国家教学标准和包括密码学、计算机安全、信息保护制度与技术、信息对象的综合保护、自动化系统的信息安全综合保障、通信系统的信息安全和反侦察信息技术等在内的 7 个基本专业。每年有大量信息安全领域的专业人才从俄高校毕业,持续为信息安全建设提供人才支持。二是组建科学连培养信息战人才。为充分利用国家高校的优质教育资源,解决军队因自身教育潜力不足导致网络与信息专业人才短缺等问题,俄国防部自 2013 年起陆续在各军兵种院校和科研机构组建了12 支科学连,用以吸引地方高校具有高科技专长的优秀毕业生入伍参与国防科研工作,并为之后组建的信息战部队输送人才。科学连模式刷新了民众对服兵役就是在训练场摸爬滚打的固有认知,已成为俄提高军队吸引力的重要手段。此外,俄国防部2015 年还开办了IT 技术武备学校,并在军事通信学院开设信息安全专业,进一步完善信息人才培养机制。
(四)积极推进信息安全技术的自主可控发展
长期以来,俄信息安全技术水平落后于西方发达国家,对外国的技术和产品依赖程度较高。近年来,俄落实国家信息安全学说的战略部署,确立了信息技术安全自主可控的发展思路,并将其贯穿到各项技术发展的规划中,尤其注重处理器、操作系统等战略性技术的研发,不仅提升了信息安全技术的竞争力,也促进了信息安全产业的发展。其中包括:一是自主研发处理器及操作系统。2010 年底,时任俄总理的普京签署命令,要求开发一款基于Linux 的国产操作系统,以减轻对微软Windows 系 统 的 依 赖。2014 年 6 月,俄宣布未来政府机构和国营企业,将不再采购以 Intel 或 AMD 为处理器的计算机,转而采用以国产处理器为核心的计算机;采购的计算机必需安装俄自主开发的 Linux 操作系统。二是创建独立的域名系统(DNS)。早在 2014 年,俄就提出解决全球域名系统的过度依赖问题。俄通信部还于 2014 年举行了一次大型演习,模拟全球互联网服务瘫痪的场景,并使用俄备份域名系统成功支持国内的网络运营。2017 年 10月,俄联邦安全会议要求政府创建独立的域名系统根服务器,以应对西方国家对俄日益增强的网络空间安全威胁。三是建设封闭式军事云存储系统。俄国防部将投资 3.9 亿卢布(约合 3900万元人民币)建设用于保密的封闭式军事云存储系统。该系统将全部使用俄国产软件,并且系统只接入军事互联网,不会连接至普通互联网。目前,俄军已启动系统建设工作,预计 2018 年底完成大部分项目,整个系统的建设工作拟于 2020 年前完成。系统建成后将在各军区投入使用,最大限度地保护军用数据免遭破坏。
(五)利用黑客协助维护信息领域的国家利益
针对个别国家利用信息技术优势谋取信息空间的主导权,甚至违反《国际法》对俄军事、政治等目标开展大规模的侦察和攻击行动,损害俄国家主权和领土完整,威胁俄政治和社会稳定,俄联邦政府和军方除了组建信息战部队专门负责信息作战外,还暗中利用国内丰富的民间黑客资源,包括“爱国黑客组织”和“网络犯罪组织”等团体,对他国实施信息攻击,以维护某些国家利益或实现某个目标。一是操控和资助“爱国黑客组织”对他国发动攻击。此类黑客组织大多属于符合俄国家利益的松散组织,独立于俄联邦政府和军方之外,只有一部分隶属于俄情报机构。其中最著名的APT28(又名“FancyBear”)、APT29(又名“CozyBear”)被外界认为分别隶属于俄军事情报机构格鲁乌总局(GRU)和俄联邦安全局(FSB),有统计数据显示有数百起网络攻击与他们有关联,包括干涉美国、欧洲等国家的总统选举。俄联邦政府和军方通常以国家或民族的名义鼓动和资助“爱国黑客组织”参与对他国的攻击行动,他们的任务包括渲染、传播有利于俄政府的言论,利用媒体误导、影响公众对特定主题或人物的舆论,并为 GRU 和 FSB 等机构提供网络攻击工具,替代俄政府入侵攻击目标的网络和数据库等。另一方面,借用“网络犯罪组织”执行网络攻击任务。英国《金融时报》透露,俄境内目前至少有 24 个犯罪组织拥有与大多数政府一样强大的黑客攻击能力。俄情报机构包括 GRU、FSB 以及联邦对外情报局(SVR)等,与俄境内的犯罪组织往来密切,经常将一些涉及国家政治或军事的任务“外包”给犯罪组织。网络罪犯利用网络技能帮助政府做事,俄政府则对这些效力于政府的罪犯提供免于起诉的保护,部分人员还会隐匿于俄情报服务部门。
四、特点分析
初步分析俄国家信息安全学说的制订出台和完善扩展情况,俄信息安全战略的发展和实施的主要特点包括:
(一)概念使用坚持自身特色
以“网络空间”为代表的网络术语经美国使用推广后 , 逐渐被世界其他国家所接受 , 但一直未出现在俄的官方文件中。长期以来,俄官方文件坚持使用“信息安全”和“信息空间”概念,而基本不用“网络安全”和“网络空间”概念。俄 2000 年版信息安全学说指出,“信息安全”是指国家利益在信息领域受保护的状态,是由个人、社会和国家利益平衡后的总和决定的。但这一定义不够清晰,也不太好理解。直至 2014年《俄联邦网络安全战略构想》草案,才首次明确界定了两对网络术语的基本概念,并且认为“网络空间”概念小于“信息空间”,“网络安全”概念比“信息安全”狭窄。后因草案的起草者坚持主张借鉴欧美等国家以“网络安全”取代“信息安全”一词,尽管该提议得到了多数专家的赞同,但却遭到俄联邦安全局的强烈反对,并最终导致草案“胎死腹中”。俄 2016 年版信息安全学说对“信息安全”的定义是指国家、社会和个人免遭国内外信息威胁的防护状态,但这与以前的定义差别不大。由此可看出,俄官方在网络术语上的使用是坚持自己特色的话语体系的,并且其所定义的“信息安全”概念不能等同于“网络安全”。
(二)突出维护信息空间主权
欧美等西方发达国家早已将网络空间提升到与陆、海、空、天等实体空间同等重要的位置来认识。俄罗斯则根据国家安全实际需要,积极推进与网络空间相对应的信息空间建设。俄专家认为,信息空间作为一种虚拟空间,其对国家安全有着非常重要的影响,信息空间主权的丧失可以导致社会动荡,甚至政权更迭。俄联邦政府对此深为认同,因此在新版信息安全学说中首次明确提出要保护俄联邦信息空间主权。信息空间主权的提出,表明俄已明确将国家主权拓展延伸至信息空间,信息空间主权已成为俄国家主权的重要组成部分。根据新版信息安全学说,俄政府可依据信息空间主权原则实施独立自主的信息安全政策,采取经济、军事、外交、法律等一切措施管理本国主权范围内的信息活动,这不但巩固了俄政府在信息安全维护中起到的主导作用,而且也向国际社会展现了俄坚决捍卫本国信息空间领域安全和国家利益的决心和力度。
(三)重视推进国际信安合作
俄罗斯认为,随着信息安全威胁越来越复杂严峻,各国之间在信息领域的共同利益和合作空间也日益扩大,因此主张信息领域利益攸关方应加强对话与合作,共同构建和平、安全、开放的信息空间新秩序,保障信息空间安全。实际上,早在 2000 年版信息安全学说中,俄联邦政府就明确提出要扩大与国际和其它国家机构的合作,解决国际电信传输中信息安全保障的技术和法律问题。但在信息技术和资源的国际竞争日益加剧,特别是在一些国家的有意针对下,俄在国际信息领域面临的信息资源分配不公、信息政策受到外部干涉、信息基础设施频遭攻击等问题越发严重。为应对外部信息安全环境的恶化,俄在不断建设提升自身信息安全保障能力的同时,也更加重视信息领域的国际合作,并开始积极倡导建立信息空间的国际安全体系,以期通过信息领域利益攸关方平等参与到国际信息空间的治理当中,从而打破一些国家对国际信息空间的主导与控制优势,实现信息领域保持战略平衡的目的,而这些在俄 2016 年版信息安全学说中有着明确的体现。
本文刊登于《网信军民融合》杂志2018年11月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。