2021年10月,新加坡政府发布《网络安全战略2021》(以下简称《战略2021》)。这是继2016年之后,李显龙在其任期内的第二份国家网络安全战略。
新战略确立了未来5年新加坡政府在网络安全领域拟采取的主要行动,确立了网络安全领域的三大战略支柱——建立有弹性的基础设施、创建安全的网络空间、加强国际网络合作,以及两大基础支撑——构建充满生机活力的网络安全生态、发展强大的网络安全人才培养通道。
与2016年战略相比,新战略呈现出一系列的调整与新动向,其中主要包括:采取更加主动的方式加强基础设施防护、提供简便易用方案提升网络安全水平、推进国际网络空间规范与标准的探讨等三个重要着力点。此外,新战略还将推进更多网络安全解决方案的新加坡本土制造,并增加对于安全人才的投入。
一、 新版网安战略出台背景
新战略的出台既是新加坡国内经济社会发展的需要,同时也是全球网络空间竞争格局的考虑。
在《战略2021》前言中,新加坡总理李显龙指出,“与四年前相比,世界已经完全不一样。”《战略2021》列出了新加坡在网络空间面临的四项重大变化:颠覆式技术改变网络防护模式、网络物理空间风险不断增长,数字化连接无处不在,以及网络空间地缘政治紧张局势持续升级。
国际网络空间战略竞争与博弈日趋激烈,这是新加坡网络安全战略的国际背景。网络空间在大国战略竞争与博弈中的地位明显得到提升,成为大国进行地缘政治博弈的新舞台。具体表现在全球范围内,网络安全议题政治化、军事化趋势明显、国家支持的APT攻击事件数量增多、网络攻击活动介入选举议程、个别国家大力加强国家网络能力的军事化建设。
数字经济高速发展与数字化加速演进成为全球化时代社会发展的整体趋势,在客观上对新加坡最新网络安全国家战略的形成起到了推动作用。
新冠肺炎疫情给全球各国经济带来了强烈冲击,也推动数字经济逆势而起。作为一个高度开放的岛国,新冠肺炎疫情尤其对新加坡的国际贸易、旅游业等产业造成巨大冲击。新加坡将发展数字经济作为企业实现转型的核心、经济实现复苏和增长的主要动力。与此同时,新加坡也面临日益严峻的网络安全风险。
在给世界四大金融中心之一的新加坡带来历史机遇的同时,数字经济带来了不容忽视的网络安全问题,增加了政府网络安全治理的压力。疫情期间,网络犯罪行为猖獗,表现在网络勒索、网络钓鱼、数据泄露事件频发,以及针对科研部门的网络间谍活动频繁,令新加坡面临严峻的网络安全威胁形势。
根据《新加坡网络安全概览2020》的统计数据:2020年,新加坡制造、零售和医疗保健部门的勒索软件攻击案例较2019年增长了154%,共检测到47000个钓鱼恶意链接,政府机构与私营部门受到波及;网络犯罪行为的数量急剧增长,共计16117起网络犯罪案件,占到了犯罪总量的43%,其中,2020年,网络欺诈案件数量12251件,同比增长61.6%,较去年同期增长53.8%,网络勒索案件245件,同比增长260.3%;C&C攻击与僵尸网络数量均得到了不同程度的增长,2020年共发现了部署在境内的1026台可用于发动C&C攻击的服务器,数量较去年同期增长93.6%,日均发现6600个僵尸网络,同比增长187%。另一方面,美国爆发的太阳风事件波及新加坡,为新加坡加强网络供应链安全敲响警钟。
作为世界金融和交通枢纽,新加坡从数字化经济中受益,加强网络安全能力建设必要性更加凸显。网络安全将成为其今后持续加强研究与关注的前沿重点。
二、新加坡网络安全战略的发展历程
新加坡的网络安全战略经历了从无到有、从粗到精的过程。伴随这一过程的是数字化建设的发展,以及网络安全形势的发展。
从新加坡网络安全战略发展历程来看, 大致经历了萌芽-发展-成熟三个阶段。
2005-2008年是战略萌芽时期。2005年,新加坡信息通信发展局(IDA)发布第一个信息通信安全总体规划(2005-2007年)(ISMP)。该计划明确了保护国家信息通信安全的三大支柱——公共部门、私营部门和个人。2008年,IDA制定了第二份信息通信安全规划(2008-2012年),致力于将新加坡打造成“安全和可信任中心”。
2009-2014年是战略发展期。2009年,新加坡在内务部之下成立信息通信技术安全局(SITSA),以应对网络攻击和网络间谍活动;2013年,IDA制定了第三份信息通信规划——“国家网络安全总蓝图”(National Cyber Security Masterplan,NCSM2018),着重推动公私伙伴关系与东盟合作;同一年,新加坡政府实施了“全国网络安全研发计划”(Nation Cybersecurity R&D,NCR);2014年,SITSA成立国家网络安全中心(National Cyber Security,NCSC),旨在协调不同部门共同应对国家层面的大规模网络安全事件。
2015年至今是战略成熟阶段。2015年,新加坡网络安全局(Cyber Security Agency of Singapore,CSA)成立,作为中央机构,监督和协调国家网络安全的各个方面;2016年,第一份国家网络安全战略(The Singapore Cybersecurity Strategy 2016)出台(以下简称《战略2016》),在制度设计上基本形成了“个人-私营部门-公共部门-国际合作”四位一体的网络安全合作态势;2018年,新加坡通过网络安全法(The Cybersecurity Act of Singapore 2018);2021年,新加坡发布第二份网络安全战略。可以看出,通过近20年的发展,新加坡国家层面的网络安全战略体系逐渐成型,无论在机构设置、国家战略还是法律法规等方面都趋于成熟。
较2016年发布的首个网络安全战略,2021版网络安全战略出台所处的网络安全环境发生了显著变化,主要体现在以下四个方面:
一是新技术所具有的潜在破坏性日益显现;
二是网络基础设施遭受物理破坏风险的上升;
三是网络设备指数级增长带来的系统脆弱风险增加;
四是网络空间中的地缘政治紧张局势日趋加剧。
具体而言,以5G、云、物联网(IoT)、人工智能(AI)、边缘计算为代表的新技术的发展所带来的潜在风险并没有得到有效的管控,光纤、电缆、机房等网络基础设施的保护存在薄弱环节,接入网络的个人终端数量的爆炸式增长凸显了网络安全防护中的木桶效应,网络安全问题政治化的趋势越发明显,网络主权问题争论不休,网络空间的地缘政治紧张局势有可能使技术世界分化,并增加数字安全风险。
与《战略2016》相比,《战略2021》采取了更积极的立场来应对威胁。扩大了网络安全的保护范围,并寻求与行业和其他组织建立更深入的伙伴关系,更加重视人力资源和网络安全生态的发展以适应新形势下坏境的变化。
三、《战略2021》的主要内容
(一)建立有弹性的基础设施
1、以关键信息基础设施为核心,确保国家网络安全
加强数字基础设施的安全与弹性是政府的重要责任,社会的平稳运行需要关键信息基础设施(CII)提供基本服务,如电信、能源、医疗保健和银行。因此,政府一方面应该依法履行监管职责;同时引导企业和组织采取风险管理策略,鼓励企业创新,激发企业发展活力。在新一轮科技革命和产业变革浪潮下,万物互联的现实将网络安全作为一项重要议题摆在人们面前,关键信息基础设施作为网络技术的基础,在现代产业体系中处于牵一发而动全身的重要地位。作为全球性金融中心之一,新加坡政府特别强调利用关键信息基础设施供应链计划来管理供应商的网络安全风险。
2、确保政府系统的安全和弹性
网络互联程度的不断提高,带来了日益增长的网络物理安全风险,尤其是政府系统所面临的网络攻击形势严峻。为此,政府应该发挥领导协调作用,采用基于风险的网络安全策略,将网络安全整合到企业或组织的风险管理框架中;鉴于网络攻击带来的物理与经济风险,政府将与CII运营商合作,加强OT系统的网络安全;加强能力建设、开发网络安全能力框架,增进与不同部门之间的协调;以网络安全审查政策为指导定期开展风险评估、渗透测试等。
3、保护除关键信息基础设施外的实体与系统
扩大网络空间的保护范围是《战略2021》与《战略2016》的重要区别之一。鉴于数字技术在所有领域都得到了日益广泛和互联的应用,仅仅着眼于保护过去所认为的关键信息基础设施不足以应对日益严峻的安全风险,因此,新加坡政府超越CII范围,并努力保护我们更广泛的网络空间。
(二)创建安全的网络空间
1、确保为数字经济赋能的数字基础设施、设备和应用程序的安全
政府为大众提供网络安全服务、简化安全解决方案、优化用户体验;通过减少网络架构层面的漏洞,降低风险;鼓励个人参与与企业创新,加强与私营部门的合作关系。
2、保护网络空间活动
营造一个清朗健康的数字空间环境需要政府主导,多方参与。政府将加强自身能力建设,加强事前防护、入侵检测、应急响应与事后恢复能力,支持企业发展自身的网络防护能力以免受网络威胁,同时支持他们实施数据保护的基线标准。
3、网络安全为健康数字生活方式赋能
人的因素往往是网络安全系统中最薄弱的环节。新加坡政府努力确保网络安全性,以推动强有力的数字经济发展,并保护公民、设备、网络和企业绝对不能暴露在风险中;通过宣传和教育企业、公民、政府共同合作,让人们意识到网络安全的重要性,并把这些转化成企业可以利用的资源;支持和鼓励个人与企业开展良好的网络安全实践。
(三)加强国际网络合作
1、推动相关规范的制定与实施
新加坡 2021 年的网络安全战略进一步认识到需要建立全球共识和深化合作,在这种合作中,新加坡将寻求倡导在网络空间建立基于规则的国际化多边网络安全秩序和可互操作的 ICT 环境,促进制定和执行与国际法相一致的自愿的、不具约束力的准则。新加坡认为网络安全国际合作成功的关键是在国家之间形成共识与协议, 新加坡在此方面将是一个积极的参与者, 推动网络规范建设和行为准则、网络政策与立法、网络威慑方面的全球与区域性对话合作。
2、加强能力建设和安全标准制定
新加坡将与其东盟对话伙伴、工业和学术伙伴密切合作、共同努力加强能力建设、提高网络安全的全球基线水平,共同应对层出不穷的网络安全威胁。建设一个开放、安全、稳定、可达、善意、可交互的网络空间离不开客观的网络安全技术衡量标准,新加坡致力于在国际上制定和采用相互认可的网络安全标准,以便在公民和企业使用的 ICT 产品和服务中实施最低限度的网络安全。
3、打击跨境网络威胁
2021年微软交换服务器被入侵等例子表明,网络威胁并不局限于地理范围内。网络空间超越了物理边界,许多系统跨越了不同的国家和司法管辖区,因此,双边和多边业务合作是及时分享信息和迅速应对这些事件的关键。因此,各国需要密切合作,以协调应对跨境网络威胁的政策;还需要在运营层面进行协作,以快速协调的方式应对网络威胁。
(四)建立充满生机活力的网络安全生态
1、加强先进能力建设以促进经济增长与保护国家安全。
新加坡以国家网络安全研发计划为抓手,产学研结合,以服务经济增长与国家安全为导向,以创新为驱动,加快创新成果转化落地,加大研发资金投入,建立以研究和创新为基础的、服务于国家安全和经济需求的网络安全生态系统。新加坡希望网络安全行业的不断发展可以为人们提供高附加值的工作以及很好的就业机会。为实现这一目的,新加坡不断吸引世界顶级网络安全公司入驻;还建立了优质网络安全专业技能人才库,推动行业发展。
2、通过创新,打造世界级的产品与服务
利用研究和创新作为竞争优势,新加坡希望站在网络安全研发前沿,以跟上快速发展的技术格局,并利用新技术保持恶意网络参与者的领先地位;利用国家网络安全研发计划,发展先进的网络安全技术,提升国家网络安全整体实力。
3、开拓网络安全市场
政府通过支持大中小型用户采用不同的安全解决方案、支持新加坡企业走国家化发展道路来开拓国内与海外市场,以抓住全球和地区对网络安全产品和服务日益增长的需求。
(五)发展强大的网络安全人才培养管道
1、支持不同群体从事网络安全工作
培养新加坡年轻人对网络安全的兴趣,为女性、职业中期处于瓶颈亟需转型的专业人员提供相应的机会,支持他们从事网络安全工作;依托新加坡强大的教育体系,加强公私部门间的合作关系,建立稳定的人才输送体系,为他们的职业选择、技能发展提供服务。
2、打造积极向上的行业文化
政府将在社会中创造有竞争力的行业文化,以此吸引年轻人加入网络安全行业,通过发展良好的职业路径和技能培训框架来促进网络安全从业人员技能的提升,政府将为公共部门的网络安全专业人员发展提供职业规划。
3、培育具有强大专业社区的活跃部门
网络安全企业、专业机构和学术界是新加坡培养网络安全人才过程中的关键利益相关者,政府支持并认可不同部门为新加坡网络安全事业的发展所做的工作,致力于发展不同部门之间的良好关系。
四、《战略2021》的新动向及特点
1、扩大信息基础设施的保护范围。
在2016年战略中,政府专注于加强CII的网络弹性,并以2018年通过的《网络安全法》作为保护CII的立法框架。
《战略2021》在加强对CII保护的基础上,还提出了三个新的目标——加强国内不同部门间的协同、扩大除CII外的保护范围、解决日益增长的网络物理风险。
《战略2016》指出,要在四个主要领域与两个主要利益相关方(CII运营商、网络安全社区)开展合作,旨在实现四个目标——保障基本服务正常运行、果断地对网络威胁作出反应、加强网络安全治理与立法框架、确保政府网络系统的安全。战略2021强调,要加强技术能力建设和政府部门之间的协调,以便以具有更高的效率、速度和敏捷性采取行动、对即时的网络威胁作出有效回应;除了CII之外,政府致力于提高其他以支持数字经济和生活方式的重要服务的实体和系统在内的基础设施网络安全态势;确保政策和立法框架仍然适合于管理网络物理风险。
与2016年的战略相比,《战略2021》关于“建设有弹性的基础设施”的部分描述更为具体,新的举措(加强协调反应、扩大保护范围、重视物理风险)正体现了新加坡在新的发展阶段对国家所面临的网络安全总体形势的认知调整。
2、更加强调人才要素在网络安全战略中的地位。
《战略2016》中将人才部分的描述放在“建设有活力的网络安全生态系统”这一举措之下,强调要加强对网络人才的培养,壮大网络从业人员队伍,2016年战略旨在根据对网络安全人力日益增长的需求,确保有足够充足和训练有素的网络安全员工。在人才培养工作取得阶段性成效的基础之上,2021年战略开始注重由“量的增长”向“质的提升”转变,进一步强调了人才培养两个目标,一是加大网络安全行业的吸引力度,二是强化网络人才的能力建设。
战略2021提出,人才培养要面向国家安全和经济发展需要,网络安全战略实施落地的效果取决于人的要素。政府、企业和组织所承担的网络安全责任的广度和深度持续增长,在不断发展的技术环境中,新加坡需要培养新的人才和提高现有专业人员的技能,因此,新加坡加强网络安全人才渠道建设至关重要。2021年战略在人才培养的支持政策上对对象作出了清晰的划分,重在培养年轻人的网络安全兴趣,并且为女性和转型期的专业人员提供相应的机会;在此基础之上,一方面还突出了通过打造有竞争力的行业文化这一举措来吸引人才的重要性;另一方面强调了要通过发展不同部门间的良好关系来激发社会创新活力。
3、推进国际合作由“双边”向“多边”发展。
《战略2021》认为,网络空间的虚拟性使得发展多边化国际合作关系十分必要,首先,网络攻击不分国界,理论上攻击者只要轻轻点击鼠标就可以对远在千里之外的目标发动攻击,因此,恶意攻击者可以利用国家之间司法管辖的独立性发起网络攻击但避免法律追责;其次,全球化进程的深度融合加深了国家间的相互依赖程度,对一个国家的网络攻击所产生的负面影响可能溢出到其他国家。
通过实施战略2016,新加坡加强了与东盟伙伴国的合作,以改善该地区的集体网络安全环境,并与其他国际合作伙伴建立了牢固的双边网络安全伙伴关系。经过五年的发展,国家间对于网络安全于国家发展重要性的认识不断得到提升,巴西、澳大利亚、欧盟、韩国等都出台了相应的网络安全国家战略,网络安全问题在全球对话中获得吸引力,在全球范围内开展更高层次、更大规模的网络安全政策对话已经具备了现实条件,因此,新加坡在新版战略中提到,将进一步提高参与国际网络政策讨论的水平。
2016年发布的网络安全战略关于国际合作的部分主要突出了双边合作,即在东盟框架内发展与伙伴国的双边关系,开展网络安全对话。比如,《战略2016》指出,新加坡要加强与伙伴在国际与东盟框架下的合作,打击网络威胁和网络犯罪;在运营、技术、立法、网络政策和外交领域开展国际和东盟网络能力建设;同时促进在网络规范和立法层面的交流。
新加坡将继续在现有的东盟合作渠道上作出贡献,通过组织东盟网络安全和网络犯罪讲习班、研讨会和会议,促进在这些方面的国际和区域合作;支持东盟区域论坛(ARF)机制、东盟网络安全行动理事会(ANSAC)在促进网络信心建设和能力建设措施方面发挥的积极作用;通过东盟网络能力计划,以补充东盟现有的各种倡议。2021年10月,东盟-新加坡网络安全卓越中心 (ASCCE) 成立,在研究、知识共享和培训方面开展合作。
《战略2021》指出,加强国际网络合作的目标是培育开放、安全、稳定、可达、和平和可交互的网络空间,其中首次提到,要加强国际伙伴合作,以实现网络空间基于规则的多边秩序的长期目标。新加坡倡导在网络空间建立基于规则的多边秩序和互操作的信息通信技术环境,同时提高全球网络安全的基线水平,新加坡支持全球提高各国保护自己免受网络威胁能力所作的努力,同时鼓励发展和实施网络安全统一标准,维持一个相对高基准水平下的最低网络安全能力。
2021 年至 2026 年,新加坡担任联合国“国际安全范围内信息和电信领域发展不限成员名额工作组” 主席。新加坡表示,将会在此期间推动有关国际网络规范的讨论,并支持全球努力,增强各国保护自己免受网络威胁侵害的能力。
此外,在强化多边合作的同时,新加坡继续深化与美国在网络空间的合作。
2021年8月,新加坡与美国签署三份谅解备忘录,扩大了在国防、金融和网络安全领域的合作。其中,新加坡网络安全局 (CSA) 与美国网络安全和基础设施安全局 (CISA) 之间的协议,旨在深化数据共享和交换之外的网络安全合作,并寻求在关键技术以及研发等方面的新合作领域。新加坡国防部和美国国防部的谅解备忘录,致力于在各种网络空间进行合作,包括数据共享以及在“能力建设”方面的合作 。
4、推进零信任等创新技术应用
《战略2021》积极推动网络安全思维与防护模式创新,成为亚洲首个在全国范围推行零信任的国家。《战略2021》要求新加坡相关机构实现安全防护思维的转变,实现从边界防护向零信任安全模式转变。
根据《战略2021》,为了构建弹性的基础设施,新加坡政府正在设施政府信任架构(GTbA),可以将零信任原则转化为政府环境下的具体应用,以加强应用系统的安全防护水平。《战略2021》还鼓励关键信息基础设施所有者对关键系统采用零信任安全架构。
对于那些对全国造成重大影响的服务与基础设施将会采用基于风险的策略,来提升系统的安全水平。新加坡网络安全局(CSA)正制订关键信息基础设施供应链计划,为相关利益方提供建议,以管理供应链网络安全风险。
5、实现安全方案的简便易用
《战略2016》努力提升新加坡全民的网络安全意识和鼓励采用良好的安全习惯。尽管全民的网络安全意识有了较高的提升,但企业与个人对于采用良好安全习惯的比例仍然较低。这意味着无论多高的安全意识本身仍不能替代简便易用的防护方案。
《战略2021》在强调继续提升全民安全意识的同时,特别提出发挥新加坡政府的作用,包括加强互联网基础设施保护,以及简化面向最终用户的安全方案。
新加坡网络安全局(CSA)的安全上网门户,为公众和企业提供可行的建议。互联网空间安全门户则为企业或机构提供域名、联网和邮件安全状况评估。
新加坡政府还将推动安全解决方案的简便易用。此外,新加坡政府还将与安全行业合作,开发针对最终用户的即插即用的创新安全方案。
此外,新加坡政府还将与安全企业合作,开发面向居民的移动终端保护方案,在保护个人隐私的同时,保护新加坡居民手机避免安全威胁。2020年新加坡政府还发布了安全标签计划,可以让消费者很容易评估智能设备的安全水平与等级。
五、结语
2021 新加坡网络安全战略是其在不断变化的网络威胁形势和新兴数字技术中保护“智慧国家”的蓝图,最终目标是创建开放、安全、稳定、可访问、和平和可互操作的数字环境,并获得数字化所提供的机会。
通过比较2016、2021两份网络安全战略文件,可以发现新加坡网络安全战略目标的调整与变化,从中发现诸多可以借鉴的方面。
第一,积极拥抱创新思维与技术。新加坡政府全面拥抱零信任,实现网络安全防护思维的转变,并推动零信任架构在政府机构、关键信息基础设施领域的实施,能够更好地适应网络安全形势的变化。此外,新加坡致力于成为网络安全研发的前沿基地,同时鼓励产学研机构研发世界一流的安全产品与服务。
第二,发挥政府在企业与个人安全保护的积极作用。除了提升全民安全意识,借助网络门户提供安全建议、安全评估服务, 新加坡政府积极联合安全行业,保护互联网基础设施安全;推动安全技术方案创新与简化,为企业和个人提供简便易用的防护工具;推动安全标签计划,让个人对电子产品的安全水平有清晰的了解。
第三,积极推进网络空间秩序建立。 新加坡“在网络空间建立基于规则的国际化多边网络安全秩序”,与我国构建“网络空间命运共同体”的设想存在诸多相通之处,中新应在东盟框架内开展网络安全与对话协商,推动网络空间规则以及治理机制的建设,与世界各国一道推动构建和谐稳定的网络空间新秩序。借助对话沟通,可以提升中国在国际上的网络话语权,推动基于规则的多边网络安全秩序的发展,切实维护我国网络空间安全。
参考资料
The Singapore Cybersecurity Strategy 2021
The Singapore Cybersecurity Strategy 2016
Singapore Cyber Landscape 2020
Singapore Cyber Landscape 2019
汪炜:《新加坡网络安全战略解析》,《汕头大学学报(人文社会科学版)》,2017年第3期,第103-111页。
《新加坡构筑四大支柱 打好网络安全战》,中央网信办,2019年11月4日http://www.cac.gov.cn/2019-11/04/c_1574400759628823.htm
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
