摘要:
摩洛哥是中东和北非地区最早建立ICT 行业监管体系的国家之一。自1999 年以来,摩洛哥共通过了五项数字战略,以促进电子政务服务和运营,并增加了教育和公共服务的渠道。21 世纪初全球开始广泛使用互联网,对互联网服务的需求量持续增长,摩洛哥的互联网用户数量也呈现出指数级的增长,其政府随即提出多项改革措施,促进社会数字化和推动数字经济的发展。网络就绪指数2.0被用于评估摩洛哥应对网络风险的准备程度,该指数为摩洛哥提供了一份可操作的蓝图,以期更好地了解本国对于互联网基础设施的依赖性和存在的漏洞,并评价其成熟度,以便于缩小当前网络安全态势与支持未来数字化所需的国家网络安全能力之间存在的差距。
1992 年至1993 年间,摩洛哥开始接入互联网。2006 年5 月,互联网数字分配机构(ICANN)重新指定了.ma 域名的行政和技术管理者,摩洛哥国家电信监管局(ANRT)成为本国唯一的官方域名注册商。2015 年,摩洛哥国家电信监管局控制了.ma 域名并重新制定了.ma 域名的自动配置机制。
自21 世纪初,摩洛哥民众开始广泛使用互联网,对互联网服务的需求量也持续增长,互联网用户数量也呈现出指数级的增长,从2008年不到14% 的覆盖率增加到2017 年的约58%(具体数字约为2000 万)。为了促进互联网的进一步普及,摩洛哥实施了一项国家宽带计划(作为“2013 数字摩洛哥”的一部分),旨在缩小全国各地区之间的连通性差距。
20 世纪90 年代末,摩洛哥电信运营商实现自由化之后,先后制定了若干数字战略,旨在将摩洛哥定位为ICT 行业中充满活力的新兴国家。其策略具体包含:
● “ 摩洛哥1999—2003”, 概述了本国ICT 产业的前景和发展潜力;
● “2010 电子摩洛哥”,计划时间为2005年至2010 年,旨在通过数字包容消除障碍,实现ICT 行业的有序竞争;
● “2009—2015 国家工业崛起公约”(PNEI),旨在通过针对性的培训和激励措施,支持出口导向型产业并在此基础上支持离岸外包和ICT 业务。
● “2013 数字摩洛哥战略”,计划时间为2009 年至2013 年,重点扶持IT 企业成为经济的基石,将国家建成该区域的技术中心,同时壮大技术人才队伍。
● 最新的“2020 数字摩洛哥”,计划时间为2017 年至2020 年,旨在加速摩洛哥数字化转型,鼓励ICT 创业,提升本国在具有成本优势的IT 服务方面的国际竞争力,并巩固摩洛哥在非洲地区的区域领导者和门户的地位。
随着信息通信技术的发展和互联网连接的增加,摩洛哥对于网络犯罪、网络欺诈和网络恐怖主义等方面的风险和挑战的认识愈发深刻。虽然只有少数的事件报告,但是随着社会联系变得更加紧密,个人信息盗窃、银行卡盗窃、网络欺诈、非法转账、网络诈骗不断涌现,针对关键基础设施的恶意攻击、DDoS 攻击络绎不绝,甚至网络恐怖主义也在不断蔓延。为了应对日益增长的网络威胁,保护公共机构、公众和基础设施的安全愈发重要。2009 年国家信息社会和数字经济战略呼吁制定国家网络安全战略,并提出第一个网络安全国家治理的路线图,重点加强安全能力,保护关键信息基础设施和打击网络犯罪。新成立了多个机构和组织以支持目标的实现,具体包括:
● 信息系统安全战略委员会(CSSSI);
● 信息安全系统总局(DGSSI),该部门于2011 年设在国防部门下,并在CSSSI 的监督之下制定国家网络安全战略、政策和路线图;
● 国家个人数据保护控制委员会(CNDP),负责保护和处理个人数据;
● 摩洛哥计算机应急响应小组(Ma-CERT),在国防部的指导下成立,负责响应和减轻对国家重要的网络安全事件;
● 数字和反网络犯罪痕迹分析区域法医学实验室,是摩洛哥国家安全总局下属的部门之一,具体负责网络犯罪分析。
此外,ANRT 被提升为政府部门,并与电信运营商和互联网服务提供商保持密切的联系,另外摩洛哥还更新和加强了法律和监管体系,以应对网络犯罪和数据保护问题。
网络就绪指数2.0 已经被用于评估摩洛哥应对网络风险的准备程度。该指数为摩洛哥提供了一份可操作的蓝图,更好地了解其对于互联网基础设施的依赖性和存在的漏洞,并评价其成熟度,以便于缩小当前网络安全态势与支持未来数字化所需的国家网络安全能力之间存在的差距。本文根据网络就绪指数2.0 评估的七大要素(国家战略、事件响应、网络犯罪和执法、信息共享、研发投资、外交和贸易、网络繁育),对摩洛哥的网络安全相关的努力和能力进行全面评估。
图1:摩洛哥网络就绪指数评估(2018)
国家战略
2012 年12 月,由来自国防部领导的13 个部委代表组成,并负责为所有主要的政府实体制定信息安全指令、提出指南和批准资金的CSSSI发布了摩洛哥首个国家网络安全战略。该战略以“2013 数字摩洛哥”为基础,它强调了四个方面的战略重点:一是评估政府机构、公共组织和关键信息基础设施的信息系统风险;二是保护和维护政府机构、公共组织和关键信息基础设施的信息系统;三是加强信息系统安全的基础,包括法律框架、宣传、培训和研发;四是促进国家间和国际合作。但是该战略只是概述了需要实施的计划和项目,每个计划和项目仍然需要制订具体的行动计划,包括实施措施的预定时间,确定对行动者有益,并且可实现、可量化的目标。为了创造良好的条件,该战略还需要要求关键部门(CSSI,DGSSI 等)制定国家网络安全战略,并根据最后的承诺,定期修订和调整国家网络安全战略,以适应新的情况和要求,但是迄今为止,尚未发布新的战略。
该战略明确了涉及网络安全架构的关键政府部门,并将DGSSI 认定为负责国家网络安全和战略制定的主要部门。DGSSI 由CSSSI 监督并由四个理事会组成:战略和监管理事会,援助、培训、检测和专业知识理事会,信息担保系统理事会,攻击监测和响应中心理事会。
图2:摩洛哥网络安全组织结构图(2018)
DGSSI 在首都拉巴特以外的地区开展业务,具体包括:
● 确保实施CSSSI 制定的指令和指南;
● 制定国家信息系统和关键信息基础设施的安全标准和具体规则;
● 为所有部委制订年度行动计划,确保关键信息基础设施具有强大且富有弹性的互联网接入能力;
● 协助公共和私营部门了解信息安全的重要性;
● 建立监测系统,监测和预警影响或者潜在影响国家信息安全的事件;
● 增加IT 安全领域的科学和技术专业知识;
● 确保对信息系统的安全审查在CSSSI 规定的范围和条款内进行;
● 开展计算机领域的国际合作,组织能力培训课程以及提高认知的活动;
● 确保摩洛哥在国际条约中实现本国的政策目标;
● 颁发许可证、管理有关资产和加密服务的声明,为数字签名验证设备提供认证,并批准服务提供商的数字认证。
但是,其中的一些责任仍未成熟而且处于有效实施的不同阶段。根据国家网络安全战略中的承诺,CSSSI 为DGSSI 制订的2013 年行动计划中,以实施战略的指导方针和指令为主要内容。主要行动之一是进一步制定和实施《信息系统安全的国家指令》(DNSSI),该指令旨在提高和统一对政府、公共实体和关键信息基础设施的保护水平和成熟度。指令以欧盟的网络和信息安全指令为蓝本,并且要求企业提供关键服务的最低标准。指令还要求受保护的实体必须采用基本的组织和技术安全措施,并向DGSSI 报告其实施信息系统预防措施所需要的其他任何程序和行动计划。具体覆盖的实体还需要提交年度报告,描述目标实现的成熟度以及根据标准执行后取得的进展,接下来再由DGSSI向CSSSI 报告,CSSSI 推荐DGSSI 采取进一步行动和审核。另外,DGSSI 有权强制对政府部门、国家关键基础设施和商务部门的信息系统进行安全审查。2018 年10 月,一项新的国家法令授权DGSSI 也可以对私营部门进行安全审查。
在发生国家级的数据危机时,DGSSI 有权领导协调和响应危机。2017 年5 月,因摩洛哥是勒索软件攻击的至少100 个国家之一,DGSSI 不得不启动这一协调机制。协调小组包括摩洛哥皇家武装部队(FAR)和其他部委,并具体分为两个部门——运营部门和决策部门。除DGSSI 之外,FAR 还负责保护和确保国家军事行动网络的弹性、可用性以及三大军种之间的数据交换,FAR 直接向最高指挥官和总参谋长——国王报告。
事件响应
2009 年,国家信息社会和数字经济战略组织(2013 数字摩洛哥)呼吁建立一个国家级计算机应急响应小组(CERT),其主要职责是“应对安全事件,协调国家层面的响应并提供不同的服务处理,分析系统的脆弱性和恢复被攻击的系统。”
然而,直到2011 年,摩洛哥才得以建立国家计算机应急响应小组(Ma-CERT)。首先,摩洛哥作为国际电信联盟的主要合作伙伴,应对网络威胁国际多边伙伴关系(IMPACT)对其进行了初步评估,并概述了建立CERT 的要求。然后摩洛哥获得了韩国互联网与安全局(KISA)的财政和技术支持,KISA 是韩国科学部内一个以信息通信技术为重点的组织。由于这些举措,摩洛哥计算机应急响应小组才得以成立,并于2013 年4 月加入了事件响应和安全组织论坛(FIRST)。
今天,摩洛哥计算机应急响应小组处于DGSSI 的监督之下,负责响应网络安全事件,在国家层面作出协调,并提供事件处理和漏洞分析以及受攻击系统的恢复等相关服务。虽然其响应机制是24 小时全天候地为政府提供事件响应支持和附加服务,但是Ma-CERT 没有足够的能力来支撑对整个政府和社会的事件响应、协调和遏制。在发生全面的国家数字事件(如WannaCry)时,它仍需要确定一个权威的国家网络联络点,负责关键服务的运营和政府及关键基础设施部门的网络恢复。
此外,并没有证据表明当发生紧急情况和危机时,存在一种国家层面的信息警告和警报系统,能够及时接收、处理和传输紧急信息。Ma-CERT 仍被视为一个被动反应的组织,其主要功能集中于提供当前威胁的建议、公告和信息,并提供临时事件响应。
如前所述,摩洛哥发生了越来越多的身份盗窃、银行卡被盗、非法转账、网络钓鱼诈骗、针对关键基础设施的恶意软件,DDoS 攻击、“性别歧视”案件甚至“网络恐怖主义”的情况。然而,DGSSI 或Ma-CERT 依旧没有向政府机构、关键基础设施和关键商业服务网络发布过网络威胁评估。目前尚不清楚各部委如何共同评估风险以及评估各组织的严重或者紧迫程度。据摩洛哥的安全从业人员称,该国在网络安全和网络防御方面仍然缺乏强大的专业知识支持,尚未建立一个集中系统能够有效和迅速地与政府机构共同访问和分享威胁情报信息以及态势感知。
尽管如此,政府已采取措施加强安全管控。目前已经发布了两项特别指令,旨在提高政府机构、公共实体和对国家意义重大的实体的信息系统的安全性和保护水平。它们于2014 年至2016 年间成为了法律——国家信息系统安全指令(DNSSI)和关于保护敏感信息系统和重要基础设施的法令。
首先,DNSSI 描述了公共管理部门和机构必须应用的基本组织和技术安全措施以及关键基础设施。该指令要求涵盖的实体制订自己的行动计划,建立风险处理机制和技术安全措施,并向DGSSI 提交计划和年度报告,记录自身在降低企业风险方面的行动和进展。然后,再由DGSSI 整合并向CSSSI 提交报告,CSSSI 紧接着推荐DGSSI 采取进一步行动和审核。
其次,第二项法令补充了DNSSI 职责,并命名了DGSSI 负责监督和保护重要的活动和实体。这些部门被定义为“满足人民生活需要,行使国家特权,推动经济运作或维持经济需要的商品和服务的生产和分配有关的部门”。具体包括:公共安全、金融、制造、运输、能源和采矿的生产和分配、供水和配水、电信和邮政服务、视听和通信、医疗保健、司法和立法。由DGSSI 确定这些部门必须满足特定安全标准和要求。“这些需要保持敏感信息系统的关键基础设施”的详细清单由政府负责保密。该法令旨在涵盖所有“维护社会、医疗保健、安全、保障以及经济和社会福祉等关键职能所必需的设施、网络和系统”。如果网络和系统发生损坏或者中断,都会导致这些基本功能失效。根据这项法令,DGSSI 与国防部协商确定了15 个特定的国家关键基础设施,并建立了具体的认证架构。国家关键基础设施需要运用必要的资源来监督和检测网络攻击,制订应急计划以保护关键功能免受主要信息系统故障或灾难的负面影响,并确保运营的连续性。该法令中包含一个跨境数据流的定义。例如,要求实体确保其敏感数据必须保留在摩洛哥国家领土范围内。他们还需要建立一个安全运营中心(SOC)并向DGSSI 或其监督下的信息系统认证的私人审计机构提交安全审计计划。此外,实体必须报告所有重大网络事件中包含的“影响其敏感信息系统的安全问题或操作”,并在事件发生后48 小时内,向Ma-CERT 报告所有针对其敏感信息系统发生的重大安全事件所生成的信息和技术数据。在任何重大安全事故发生后一个月内,DGSSI 必须将其调查摘要及其建议发送给受影响的部门。尽管如此,法令没有规定标准化的报告和通知协议的内容。
网络犯罪和执法
摩洛哥一直致力于其法律体制和规章制度的完善,以更好地保护其社会免受网络犯罪的危害,并使其与伙伴国家协调一致。该国更新了与信息和通讯技术相关的刑法和其他部门法,实施了新的法令和法律来打击网络犯罪并保护个人信息,同时还批准了欧洲委员会“网络犯罪公约”(the Council of Europe’s Convention on Cybercrime)及其关于云基础设施的附加议定书和阿拉伯反对信息技术犯罪公约(the Arab Convention against Information Technology Crimes)等国际公约。虽然摩洛哥政府没有公布有关网络犯罪的统计数据,却通过或更新了若干相关的国内法律,包括:
● 第07-03 号法律。该法律首次将网络犯罪的概念引入摩洛哥刑法中,并将其定义为“与自动数据处理系统有关的违法行为”。
● 第53-05 号法律。该法涉及与电子签名和电子交换相关的法律数据,以促进加密手段和电子认证的运用;
● 第31-08 号法律。该法涉及在线消费者权益的保护;
● 第09-08 号法律。该法涉及个人数据的自动处理。
2011 年,负责保护摩洛哥数据的个人数据保护国家控制委员会(CNDP) 设立了数据保护局(Data Protection Authority)并出台了相关法律,推动摩洛哥与欧洲的相关规定接轨。2016 年颁布了一项关于敏感信息系统和关键基础设施保护的法令,该法令规定了严格的数据保护要求,包括限制跨境数据流和建立数据驻留要求。例如,在向国外转移个人资料之前,必须先获得个人数据保护国家控制委员会的授权。此外,该法令规定:“只有上述国家在该国适用的法律框架内,确保个人隐私权、基本权利以及个人自由在涉及或可能涉及这些数据处理的过程中得到充分保护的情况下,负责处理操作的个人/ 实体才可以将个人数据转移到国外。”
当然,这会影响到电子商务和其他数据交易。因此,国家控制委员会列出了拥有可接受法律和数据的国家名单,只允许数据转移到经国家控制委员会批准的国家。许多收集和处理敏感信息( 如医疗、金融、国家安全) 的部门正在努力遵守这一新出台法律的各项要求。
摩洛哥国家安全总局是负责打击和调查网络犯罪的部门。它有两个与网络相关的主要任务。首先,它负责保护本国包含敏感信息的系统和网络,例如已被列为“关键基础设施”的国家身份数据库。其次,它对运用虚拟货币等新科技的网络犯罪和其他犯罪行为进行调查,并可在需要时与信息系统安全总局合作调查涉及国家安全的事件。摩洛哥国家安全总局的调查对象包括关键基础设施内的恶意软件、DDoS、银行卡盗窃、网络钓鱼攻击、虚拟货币的非法使用、云安全、网上恐怖主义宣传以及“性虐待”案件。然而,由于与网络服务提供商(ISP)的合作关系不够正式、合法,因此有关这类犯罪行为的调查往往受到阻碍。如果一个事件或问题上升到国家安全的层面,那么网络服务提供商则必须提供支持。
该国关于网络犯罪案件的刑事诉讼能力有限并且仍然缺乏训练有素的法律专业人员,无法有效地处理网络犯罪的不同要素并成功调查和检举违法者。为了弥补这一缺陷,摩洛哥国家安全总局成立了29 个专门打击网络犯罪的单位,19 个区域指挥部,每个地点约有10 名网络专家,以及用于数字和反网络犯罪追踪分析的区域鉴别实验室。摩洛哥国家安全总局还为法律专业人员(如法院法官、检察官、执法人员)提供专门的网络安全培训项目。摩洛哥国家安全总局的其他办公室,包括移民办公室、反经济/ 金融犯罪办公室、禁毒办公室和反恐办公室,也处理与网络有关的事务。
信息共享
虽然摩洛哥没有出台国家信息共享政策,也尚未建立起诸如信息有效迅速获取机制、共享威胁情报信息的中央机构和政府机构内部或私营部门和国际伙伴内部信息共享的系统,但它已经认识到国内和国际信息共享和合作的重要性,并定期参与与欧洲国家和北约盟国进行的信息、专门知识及培训的交流活动。
目前,政府内部和关键行业之间用于信息共享的唯一机制是由摩洛哥计算机应急响应小组(Ma-CERT)和信息系统安全总局提供的。摩洛哥计算机应急响应小组也是伊斯兰会议组织——计算机应急响应小组(Organization ofIslamic Conference-Computer Emergency Response Team )的成员,该小组由18 个国家组成,其中包括埃及、伊朗、尼日利亚、沙特阿拉伯和土耳其。该组织通过计算机紧急响应小组,主要负责培训组织、专题研讨会和演习。促进这些伊斯兰国家之间的信息共享,提供解决网络威胁和危机的实时体验,其中包括及时和可执行信息的共享 。
此外,摩洛哥还成立了一个摩洛哥学术计算机应急响应小组(EDU-CERT),以促进整个学术界的信息共享和事故应对活动的进行。它还服务于摩洛哥学术研究广域网(the Moroccan Academic Research Wide Area Network)。摩洛哥认识到该方面仍有很大的进步空间。摩洛哥计算机应急响应小组和信息系统安全总局希望能够加强和扩大政府内部和外部可执行信息的交流。每个部门、网络信息联盟(CNI)、企业和国际合作伙伴都需要能够改善其安全态势的信息。信息系统安全总局应优先考虑政府机构内部、关键行业、私营部门和国际伙伴之间及时和可执行信息的共享。
研发投资
虽然摩洛哥官方并没有专门针对网络安全或先进技术发展的国家或部门特定的研发计划,但“2013 数字摩洛哥”战略明确表明其有意使信息和通信技术部门成为摩洛哥经济的基石和人才发展的动力。它还强调了网络安全培训,网络安全意识提升,人类技能开发对分析和理解高级编码、编程和信息技术开发的重要性。“2020 数字摩洛哥”战略重申了这些目标,并设定了将国家数字鸿沟减半和增加对3 万名信通技术专业人员培训的宏伟目标。
摩洛哥拥有具有区域竞争力的信息和通信技术基础设施,并且最近为促进其数字经济而进行了结构和部门改革,同时还拥有高素质、会讲多种语言的劳动力。这些优势使该国在外包服务、离岸外包、电子支付和软件开发方面处于领先地位。就商业环境而言,它是本区域表现最好的国家之一。2013 年,摩洛哥信息和通信技术部门实现了10 亿美元的信息技术出口收入,并在业务流程外包方面名列非洲第一,2015 年,信息和通信技术部门收入在摩洛哥国内生产总值中占3% 以上。政府的“2020 数字摩洛哥”战略通过提供具有成本竞争力的信息技术服务为进一步提升国家的国际地位提供了资源,并强调了更高程度的多样化和企业家精神。这次成功的实践得益于离岸经营的专门技术园区的设立,这些技术园区利用各种税收优惠吸引海外公司的入驻。例如,2006 年,摩洛哥在卡萨布兰卡启动了其第一个且规模最大的科技园——卡萨尼尔海岸产业园。它成为100 多家企业的孵化器,并吸引了包括戴尔、美国国际商用机器公司、埃森哲咨询公司、意大利阿托斯、惠普和意大利霍美思在内的国际科技公司。该园区的发展得益于MEDZ Sourcing的3.41 亿美元的投资,EDZ Sourcing 是一家在摩洛哥各地经营科技园的国有开发公司,其为以出口为导向的信息技术园区提供了获取土地的便利,并在拉巴特的技术城、泰图安海岸、非斯海岸和乌伊达海岸建立了其他科技园。每个科技园的所得税上限为20%,同时,它们还提供培训方案,以满足对熟练信息技术工人的需求。
2013 年7 月,美国国际商用机器公司在卡萨尼尔海岸创建了一个拥有400 名员工的服务中心,为摩洛哥和其他非洲市场服务。作为政府协议的一部分,美国国际商用机器公司正在与摩洛哥的学术机构合作开发云计算、大数据、系统集成和外包等技术。另外,还建立了旨在鼓励创业精神和促进初创企业发展的筹资机制。
最显著的举措是摩洛哥数字基金的设立。该基金于2010 年由国有存款和管理基金以及该国三大商业银行——阿提亚里瓦银行、外贸银行和中央银行设立。摩洛哥数字基金向当地技术公司提供种子资金和其他技术、财政援助。自成立以来,它已投资了一系列的初创公司,包括网络安全公司Netpeas;在线发票平台Greendizer;以及像Soukaffaires 和Mydeal 这样的电子商务平台。摩洛哥的数字经济成功案例之一是软件和信息技术提供商Involys SA 公司。政府承诺致力于促进中小型企业数字化以提高生产力、支持当地组织开发信息技术市场并挖掘信息和通信技术部门更大的出口潜力,这使该公司获益颇深。另一个成功的初创公司是HPS,这是一家创新支付解决方案公司,它为发行人、收购者、卡商、独立销售组织(ISOs)、零售商,以及非洲各地的交换机提供安全的支付服务。然而,除了这些成功的案例外,摩洛哥的创业舞台目前仍然非常有限。
摩洛哥政府确实认识到它还需要提升员工技能,并在网络安全方面培训信息系统管理人员。因此,国家电信管理署已开始资助国家邮电研究所(INPT)的一个网络安全执行硕士项目。职业培训和就业促进局( OFPPT)成立了一个专门提升信息技术和信息安全方面中期职业技能的培训学院。它还批准了一个国家网络安全框架,用于国家机构和公共部门专业人员的认证。该框架被称为公共部门专业人员培训和认证专业硕士项目。
2016 年2 月,摩洛哥工业、商业、投资和数字经济部与摩洛哥大学及公共和私营组织合作,在全国范围内发起了“打击网络犯罪运动”。这一倡议由拉巴特摩洛哥理工技术研究和创新中心(CMRPI)牵头,该运动旨在提高私营部门对网络犯罪的认识,并通过采纳国际最佳实践来提升对科技的安全使用。这是非洲第一次举办此类和此规模的活动——包括开展研讨会、专门为摩洛哥公共和私营部门组织的培训班,以及主办关于网络安全和网络犯罪的全国性研讨会。此外,国家系统安全总局还组织了一次大型的年度全国研讨会,以提高各部委对网络安全的认识。
2018 年4 月, 摩洛哥与趋势科技(Trend Micro)公司合作主办了摩洛哥国家网络安全竞赛(简称CTF),旨在吸引更多人加入到网络安全领域的研究。比赛的获胜者将代表摩洛哥参加2018 年8 月在埃及举行的阿拉伯区域网络安全竞赛。网络安全竞赛采用一种解题模式赛,每个团队都会面临一系列涉及不同技术类别的挑战,如逆向工程、网页安全、数字取证、网络安全等挑战。那些既能进攻又能防守的组队会得到奖励并晋级。
摩洛哥在实现其数字战略规定的目标方面取得了不错的进展。近年来大力鼓励创业,通过科技园来推动初创公司发展及推动网络安全教育和培训,它们正在帮助吸引外资,并且进一步将摩洛哥定位为中东和北非(MENA)地区的战略伙伴。然而,摩洛哥也出现了“人才外流”现象,主要是信息和通信技术专家等。因此,国家必须注重培养和留住技术人才,以推动其数字经济的增长。2018 年,只有不到20% 的摩洛哥大学生攻读技术课程,这就要求摩洛哥政府必须在缩小人才差距方面做出表率。
外交和贸易
摩洛哥没有将网络安全设定为最高级别的外交政策问题,也没有在外交和国际合作中将其优先考虑。然而,摩洛哥已经将信息和通信技术及网络安全确定为影响包括国际贸易和商业谈判在内的国家安全和经济繁荣的重要因素,并肯定了其在促进区域网络安全合作和提升网络安全意识方面发挥的突出作用。作为这些努力的一部分,摩洛哥定期为世界银行、国际电信联盟和北约和平与安全科学计划举办与网络安全有关的活动。此外,摩洛哥外交部–外交学院为包括贝宁、中非共和国、乍得、加蓬、几内亚和马达加斯加在内的伙伴国家提供培训。
摩洛哥还与欧洲国家、美国和海湾合作委员会等多国针对安全问题、反恐行动以及恐怖分子和其他犯罪组织对网络空间的恶意利用展开了一系列高级别对话。此类对话的战略价值不仅仅体现在其对马格里布地区和阿拉伯世界的重要性,更重要的是使得摩洛哥成为该地区关键的安全合作伙伴。欧洲特别是西班牙和法国的合作伙伴,出于摩洛哥是是该地区最可靠的伙伴,定期就包括网络安全在内的安全议题与摩洛哥政府部门进行信息交换和实践活动。
“2020 数字摩洛哥”战略强调了摩洛哥作为非洲区域数字枢纽和门户的战略位置。摩洛哥政府应利用其在该区域的关键地位,来进一步促进货物、服务、数据和资本的跨境自由流动。网络外交不仅涉及参与规则和约束行为,还涉及通过信息自由流动来促进贸易发展的行为。平衡经济繁荣和国家安全这两个目标需要一支精明的外交团队,并承诺领导本国实现“2020数字摩洛哥”的远景和目标。
网络防御
作为“地中海对话”的一部分,摩洛哥还与北约合作,特别是通过交流和培训专业知识来探索网络防御方面的合作。它还与相关国家组织了几次演习,包括被称为“Phoenix Express”的地中海海军演习。该演习旨在改善区域合作及提高海洋领域意识、信息共享操作和运作能力,加强地中海地区的安全和安保。此外,最晚自2005 年起,摩洛哥就一直主办“非洲狮”年度联合军事演习。这是该地区最大的(陆地)区域演习。2018 年有15个国家参加,包括布基纳法索、加拿大、乍得、埃及、法国、德国、意大利、马里、毛里塔尼亚、塞内加尔、西班牙、突尼斯、英国和美国。
这次演习旨在提高对各国战术、技术和程序的相互了解,并计划将网络安全注入和规划整合到未来的演习中。
尽管摩洛哥在网络相关的能力方面已经得到发展,但没有证据表明它已经在某一项政策或法令中将军事或情报机构的网络安全任务正规化。摩洛哥皇家武装部队(FAR)负责监督网络安全和网络防御能力的发展,并负责确保该国军事行动网络(即防空、空中监视、地面监视和特别通信)的恢复能力和可用性。它还负责保障三个军事部门(即陆军、海军和空军)之间的网络安全和数据交换。虽然它的首要任务是保障边境安全即追踪撒哈拉以南的非法移民、恐怖主义运动和毒品运动,但目前尚不清楚如果摩洛哥面临国家数字危机,摩洛哥皇家武装部队是否有更广泛的网络授权,或者动员应对国家危机。
摩洛哥皇家武装部队最近创建了一个卓越网络中心。该中心向摩洛哥皇家武装部队的通信和信息系统保护实体进行报告,并负责多项举措。它每年至少设计和执行两次网络防御演习,并提供技术支持和事故应对服务。另外,还负责研发服务,目前正在开发用来支持安全行动中心的应用程序。
摩洛哥皇家军事教育学院(CREMS)开始设置关于网络安全和网络防御的课程。它还致力于将网络演习纳入其联合战区阶层模拟系统(JTLS)。目前,他们的网络教育仅限于战术层面的规划,还没有扩展到更广泛的战略和操作层面的网络防御/ 安全问题。
鉴于预算无法公开,很难确定摩洛哥用于进一步发展军事或情报部门网络能力的资金使用状况。然而,摩洛哥正在实施一项严格的网络安全计划,涉及安全专员、技术人员和情报网络,包括先发制人的数字监视技术和监测数字平台网络。
作者
梅丽莎·海瑟薇,波托马克学院政策研究中心的高级研究员和董事会会员,哈佛肯尼迪学院贝尔弗中心的科学与国际事务的高级顾问。在小布什总统时期,领导制定了综合性国家网络安全倡议。在奥巴马总统时期,负责制定网络政策评估。
克里斯·德姆查克,波托马克学院政策研究中心网络就绪指数索引的主要专家,主要研究领域是数字复原、网络冲突、网络空间架构和危险。
强森·科本,波托马克学院政策研究中心网络就绪指数索引的主要专家,多个信息安全与网络安全相关部门和机构的高级顾问。
詹妮弗·麦卡阿德,波托马克学院政策研究中心非常驻研究员,纽波特市萨乌瑞吉纳大学的网络安全助理教授。
弗朗西斯卡·斯比达利艾里斯,波托马克学院政策研究中心网络就绪指数索引的主要专家。
编译
李书峰,上海社会科学院,研究方向为美国网络安全立法和国际互联网治理。
http://www.potomacinstitute.org/featured-news/2557-announcing-the-release-of-a-new-cyber-readiness-index-country-profile-the-kingdom-of-morocco-cyber-readiness-at-a-glance
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。