文│国家信息技术安全研究中心 嵇绍国 国家信息技术安全研究中心总工程师 王宏

2021 年 7 月 27 日,巴基斯坦政府总理伊姆兰·汗批准发布由信息技术和电信部起草的《2021 年国家网络安全政策》(NATIONAL CYBER SECURITYPOLICY 2021)文件,全文共 15 页,由背景,愿景、范围和目标,政策框架和措施共四个部分构成。这是巴政府发布的首部国家网络安全政策,目的是“确保为公民、企业和政府提供一个安全和有弹性的网络空间”。巴基斯坦“网络治理政策委员会”将负责此国家安全政策的实施、监督、战略和行动计划。主要情况如下:

一、政策发布是巴全面评估网络安全形势和数字化转型道路,为创建网络治理框架做出的战略决策

这份文件明确指出,国家网络安全面临着风险和挑战,对实现经济发展目标造成严重障碍,巴基斯坦走上数字化转型之路,建立必要的网络安全政策框架已经势在必行。

信息和通信技术的发展。信息和通信技术在改变世界方面发挥了关键作用,让全世界成为“地球村”。信息和通信技术的创新不仅在重新界定世界、社会、经济、发展的各个层面,而且为网络空间的民众带来商业、经济、文化和社会的机会。

巴基斯坦数字化转型之路。全球高度互联网络的便捷性和低成本接入开创了新纪元。随着信息和通信技术发展,特别是宽带基础设施的发展,使因特网成为当今世界的中心。人们通过网络相互依存和联系,获得信息和知识。为利用信息通信技术和第四次工业革命的红利,巴基斯坦走上了数字化转型道路。

网络空间面临风险挑战。随着互联网快速增长和发展,网络空间安全形势令人担忧,人们对提供的应用程序和服务丧失信心。在网络空间恶意使用通信技术事件日益增多,给个人、企业、部门和国家造成安全风险和财务损失,对巴实现经济发展目标造成严重障碍。

缺少有效网络安全机制。为确保公民网络安全和数字系统安全,巴基斯坦采取了各种举措。2002 年《电子交易条例》(仅涵盖电子金融交易和记录)、2013 年《调查与公平审判法》(IFTA)、1996 年《巴基斯坦电信(重组)法》和 2016 年《防止电子犯罪法》(PECA),仅是适用于信息和网络安全的某些方面,但不是全部。巴基斯坦国家银行(SBP)发布了金融部门网络安全指南,电信管理局(PTA)建立了计算机应急响应小组(CERT)。负责网络安全的机构——网络安全事件响应小组(CSIRT)在公共和国防部门的组织层面上仅是选择性的运作。目前,在国家网络安全的必要立法、实施框架和牵头组织方面存在空白,需要有效网络安全机制持续进行监控、评估和完善。

安全人才缺乏和国产技术不足。2018 年成立的国家网络安全中心承担了学术方面的研究,但网络安全人才供需缺口依然存在。由于巴缺乏本土信息通信技术和网络安全产业,严重依赖进口硬件和软件,加上缺乏国家安全标准和认证的薄弱,因此很容易受到外国通过嵌入恶意软件、后门和芯片组件造成的伤害。

为实现国家网络安全愿景。为缓解国家面临的网络威胁,改善国家网络安全观,巴必须通过建立必要的协调机制,加强国家网络安全能力,在政策和立法框架下执行安全标准和条例。巴总理于 2016 年成立了由所有相关部委和组织成员组成的网络治理政策委员会(CGPC)。为创建网络治理框架,巴政府根据国家网络安全愿景,首次制定了《2021 年国家网络安全政策》。

二、政策勾勒了巴基斯坦网络安全愿景、范围、目标,并确立了实现政策目标的指导原则

这份文件明确指出,对巴基斯坦的网络攻击“视为对国家主权的侵略行为,将采取适当的应对措施进行自卫”。巴计划根据国家和国际法采取行动,期望相互尊重国家数字主权,目的是“确保为公民、企业和政府提供一个安全和有弹性的网络空间”。

描绘了网络安全政策的愿景。“为国家网络安全和响应发展安全,构建有弹性的网络系统和网络空间”。

勾勒了网络安全政策的范围。“确保巴基斯坦整个网络空间的安全,包括公共和私营部门使用的所有信息和通信系统”。

制定了网络安全政策的目标。建立一个安全网络生态系统治理和体制框架,在各层级建立保护和信息共享机制,确保能够监测、检测发现、保护和应对国家信息通信技术和信息中心基础设施受到的威胁;通过规定与信息系统设计、获取、开发、使用和运行有关的国家安全标准和流程,保护国家关键信息基础设施;加强政府信息系统和基础设施安全;为公共和私营部门建立审计和合规的信息保障框架;建立测试、筛选、取证和认证机制,确保信息和通信技术产品、系统和服务的完整性;通过技术和业务合作发展公私伙伴关系和协作机制;通过大众传播和教育计划,营造全国性网络安全意识文化;通过能力建设、技能发展和培训计划,造就熟练的网络安全专业人员;通过公共和私营部门共同研发项目,支持网络安全解决方案的本土化发展;提供网络安全的国家 - 全球合作和协作框架;根据政策中指定的相关利益相关者授权,确定和处理立法与监管行动。

确立了实现网络安全政策目标的指导原则。巴政府采取的所有行动,都以保护人民和促进国家和社会繁荣需要为动力;所有公共和个体组织将负责确保其在线数据、服务、信息和通信技术产品和系统的安全;在发生任何事件时,政府将在公共和私营部门支持下领导国家全面应对;对关键基础设施(CI)或关键信息基础设施(CII)的网络攻击行为视为侵犯巴国家主权,巴政府将采取应对措施进行自卫。根据国家和国际法律采取行动,相互尊重国家的数字主权。

三、政策拟定了网络安全框架的政府行动方案,突出强调主动防御行动提升国家网络安全能力

这份文件明确指出,必须通过建立基本和协调良好机制,在政策和立法框架下执行安全标准和条例,从网络安全治理入手,采取主动防御行动,保护国家关键信息基础设施、政府的信息系统和基础设施,加强技术研发和全球合作,全面提升和加强国家网络安全能力。主要行动方案如下:

网络安全治理方面。一是网络治理政策委员会(CGPC)负责政策制定和监督。巴政府指定由网络治理政策委员会牵头组织制定政策执行框架,处理网络安全问题,对网络治理和安全有关的政策倡议拥有最大权力,对国家网络安全问题进行战略监督,所提政策建议最终由联邦内阁批准或认可。核心职能包括:指导制定和批准国家网络安全政策和网络安全法案;协助满足组织结构、技术、程序和法律措施的要求,以支持政策授权和执行机制;协调各相关部门工作和运作报告机制;定期和永久性地就网络治理问题进行磋商;指派国家机构在国际上的代表与全球和区域机构和组织合作;通过更新和定期审查提供指导,使政策与网络空间要求保持一致。二是实施国家、部门和组织的三级体制结构。为实现政策目标,联邦政府的指定组织应制定一个实施框架,并作为联邦一级协调和执行所有网络安全相关事项的中央实体,处理网络安全问题,协调和实施相关事宜。联邦实体包括:国家级别包括中央实体及其国家计算机应急小组(nCERT)和国家安全行动中心(nSOC)。部门级别包括国防、电信、银行和金融、电力、联邦和省级公共部门。组织级别包括企业、实体和个人用户。

主动防御方面。巴中央实体采取的具体行动,包括但不限于:与互联网服务提供商(ISP)和电信运营商合作,限制已知恶意软件访问特定域或网站,并阻止其恶意攻击;防止在公共网络上进行电子邮件网络钓鱼和欺诈活动;通过互联网治理组织推广最佳安全做法;与国际执法渠道合作,保护巴公民及海外未受保护的基础设施免遭网络攻击;实施控制措施,确保政府部门的互联网流量路由安全,避免恶意行为者非法改道重新路由;投资执法机构(LEAs)和有关部委部门的能力增强计划,针对巴网络和系统的国家赞助 APT 和犯罪网络活动做出及时响应。

保护基于互联网服务方面。巴中央实体将发起行动,包括但不限于:开发互联网协议(IP)服务,保护政府数字服务,允许在线服务获取有关连接到它们的 IP 地址信息,帮助服务商实时了解风险管理决策;在政府网络上安装安全产品,以确保软件正常运行,不会受到恶意干扰;寻求将 gov.pk 域扩展到其他数字服务设施。

国家关键信息基础设施的保护和恢复力方面。为了实现这一关键目标,巴中央实体将运营必要的技术平台,以保护国家关键信息基础设施,并作为国家的节点组织开展工作:制定关键信息基础设施的识别、优先级、评估和保护流程;强化安全措施确保安全信通技术(ICT)环境,包括移动系统和基于云的解决方案;授权所有关键部门实体执行国家安全标准,以减少中断的风险;通过计算机应急响应小组建立机制保护关键信息基础设施;根据 ISO/IEC 27005:2008 和 ISACA风险信息技术(IT)等国际标准建立和实施风险管理方法;授权国家、省级和组织关键信息基础设施的所有运营商聘用合格的信息安全人员,并任命首席信息安全官(CISO);在公共和私营部门已开发、发展与部署的信息和通信网络或系统中,强化国家安全标准的认证。

保护政府的信息系统和基础设施方面。为满足公共部门信息系统和基础设施的需要,巴中央实体将定义和执行有力的政府身份验证和数据保护框架;为政府的所有技术系统创建漏洞评估和补丁管理流程;与相关政府实体合作,确保信息和通信技术项目预算的一定比例必须用于信息安全保障;制定机制,在整个政府范围内制定和实施工作人员审查和批准机制;通过审查供应商和执行合同中的安全条款,改善政府外包和采购的安全性。

信息安全保障框架方面。巴中央实体将通过筛选和认可国家安全标准,在信息和通信技术产品与服务中落实“设计信息安全”的概念;升级和建立新一代国家网络安全取证与监测机构,以防范人工智能(AI)驱动环境中的新型网络威胁;为公共和私营部门所有实体的网络安全审计与合规要求建立信息保障框架;建立基础设施和/或利用现有设施、平台、资源,进行合规评估与认证网络安全最佳实践、标准和指南,例如 ISO27001 ISMS 认证、内部安全系统审计、渗透测试、漏洞评估、应用程序安全测试、网络安全测试等;发展并授权其他组织按照既定的国家和国际标准建立测试、筛选、取证和认证设施。

公私伙伴关系方面。巴中央实体将制定框架,在政府、工业界、学术界和研究机构合作基础上营造创业环境;政府向初创企业提供支持,帮助其成长为具有竞争力的公司;使私营网络安全团体或组织能够与政府机构合作并规范其行为;促进利益攸关方就制定新立法和条例交流信息。

网络安全研发方面。考虑本土安全产品设计、开发和制造的重要性,巴中央实体将制定和实施涉及公共与私营所有部门的框架,以开展针对短期、中期和长期目标的研发项目,包括网络安全系统开发、整个生命周期的测试、部署和维护;鼓励研发,以生产成本效益高、量身定制的本土安全解决方案,应对更广泛的网络安全挑战;促进将研究和开发成果转化为商业产品和服务,供公共和私营部门使用;在对网络空间安全具有重要战略意义的领域建立卓越中心;授权所有当地实体在本土能力增长后逐步转向本土产品。

网络安全能力建设方面。加强网络安全措施需要人才作支撑。巴中央实体将建立卓越中心,教育和培训网络安全领域的网安人员,加强和提升人力支持基础;制定和实施人力资源开发计划,满足公共和私营部门的网络安全需求;增加网络安全研发预算,用于开发本土网络安全解决方案,减少对外国技术的依赖;在研究生和法律相关学位中纳入网络犯罪相关课程,培训检察官、律师和法官等。

国家网络安全文化意识方面。对所有公共和个体对象灌输有关风险、预防措施和有效应对网络威胁的知识。自上而下和自下而上的方法,是创建网络意识文化的关键。巴中央实体将规划和实施针对特定社会部门(如学生、政府官员和私人组织雇员)的网络道德和安全教育计划;鼓励企业部门通过在其产品和服务中保持所需的网络安全水平以保护网络空间;制定和执行国家意识计划,在家里或工作场所教育终端用户;为政府系统实施网络安全意识计划;将网络安全意识纳入国家中等教育课程。

全球合作与协作方面。巴信息技术与电信部和中央实体将在向国际论坛推荐国家观点方面发挥关键作用,并将为加入国际合作提出建议。信息和网络安全的国家与国际活动的代表包括信息技术和电信部、外交部和中央实体。信息技术和电信部与中央实体协商,与 ITU-IMPACT 等所有国际合作伙伴合作;向全球和区域组织和专业机构提供专业投入;在当地和全球的公众、政府间和非政府机构建立网络攻击、威胁和脆弱性的可信信息共享交流机制。

网络犯罪应对机制方面。巴中央实体将通过增强执法机构监测、识别和控制网络犯罪的技术能力,协助和加强政府能力;与其他国家和国际网络犯罪机构建立联络和协调,以分享信息和开展合作;加强流程和程序控制,将网络安全嵌入易受网络犯罪影响的公共和私人服务网络。

法规制度建设方面。为有效实施国家网络安全政策,巴强调必须引入网络治理框架和法规,主要为:制定和处理国家网络安全政策和网络安全法案;国家网络安全框架规章制度;国家网络安全、治理运作和信息共享机制,包括用于事件处理、管理能力和提供证据;合规、筛选、认证和风险管理法规,包括针对关键信息基础设施、公私伙伴关系、能力建设、网络安全意识、研发计划和全球合作;个人和企业的数字认证;在公共和私人组织之间共享机密信息,保护公民隐私并确保数据安全;为网络治理实现数字和网络取证流程以及实现基础设施的标准化;遵守审计制度和确保符合国家网络安全标准。

四、政策评估认为安全政策执行机制可能需要相当长时间才能发挥作用,当前应充分利用好现有机制做好政策执行

这份文件明确指出,巴政府这项政策规定的执行机制可能需要相当长时间才能完全发挥作用。因此,在过渡时期,利用国家组织和机构目前拥有和支持执行这项政策的权力,与全面的执行机制结合起来。根据 1996 年《巴基斯坦电信(重组)法》和 2016 年《防止电子犯罪法》(PECA),巴电信管理局将与电信业合作,由计算机应急响应小组管理电信部门技术系统平台等。关于政策审查和执行,强调《2021 年国家网络安全政策》每三年进行一次全面审查,称“这取决于相关组织与所有利益攸关方协商,以及全球网络趋势发展和技术进步的情况 ”。

(本文刊登于《中国信息安全》杂志2022年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。