澳大利亚政府发布《2023-2030年网络安全战略》,号召开创澳大利亚网络合作的新时代。首次明确了国内和国际网络安全的愿景,并为了实现该愿景积极采取行动。
2030年愿景
到2030 年成为网络安全领域的世界领导者。
展望未来,更强大的网络防御将使公民和企业能够繁荣昌盛,并在遭受网络攻击时,及时应对。
六层网络护盾实现愿景
每个防护罩都提供了针对网络威胁的额外防御层,并将澳大利亚公民和企业置于其核心位置。在《2023-2030年澳大利亚网络安全战略》(以下简称"战略")涵盖的整个期间,澳大利亚政府将与业界合作,强化防护层,建设国家网络复原力。
网络安全带来了丰富的机遇
网络安全不仅仅是抵御威胁,它对于支持新技术的快速应用、提高生产力和发展数字经济至关重要。网络安全为我国带来了蓬勃发展的商机。对网络安全的投资就是对经济安全的投资。
得天独厚的条件紧握机遇
澳大利亚在开拓立法改革方面有着丰富的经验。从工作场所健康与安全改革到烟草普通包装法,澳大利亚一直在为公共安全制定全球标准。拥有世界一流的研究和教育机构,这将使澳大利亚成为网络创新领域的全球领导者。澳大利亚政府对移民制度进行了千载难逢的改革,使科技行业得以迅速发展,并在全球各地建立了深厚且值得信赖的合作伙伴关系,包括与地区邻国、四方和五眼合作伙伴建立了牢固的关系。
三个方面实施战略
实现2030年愿景的征程需要多个阶段的工作以及政府与业界之间的持续合作,以提高网络成熟度。将分三个阶段实施战略:
阶段 1(2023-25 年):加强基础。解决网络防护中的关键漏洞,为最脆弱的公民和企业提供更好的保护,并支持在整个地区提高网络成熟度。
阶段2(2026-28 年):提高整个经济的网络成熟度。进一步投资于更广泛的网络生态系统,继续扩大网络产业规模,培养多样化的网络人才。
阶段 3(2029-30 年):推进全球网络安全的前沿发展。引领新兴网络技术的发展,以适应整个网络环境中的新风险和新机遇。
拥有明确实施路线图
在发布该战略的同时,还将发布《行动计划》,作为迈向2030年愿景的第一步。行动计划明确了每项行动的责任,确定了牵头机构和支持机构。为确保继续按计划行事,政府将继续评估我们的进展,并根据新威胁或新兴技术调整计划。
与业界合作持续
作为"阶段1 "计划的一部分,政府将与业界合作,共同设计一套具有里程碑意义的
立法改革,帮助加强网络防护。这将包括新的网络义务、简化报告流程、改进事件响应和更好地分享网络事件后的经验教训等选项。
愿景大胆,计划明确。
澳大利亚人理应拥有黄金标准的网络防御,并获得强大的网络态势所带来的巨大经济机遇。该战略标志着澳大利亚保护人民和企业免受网络威胁的方法发生了重大转变。
护盾1:强大的企业与公民
公民和企业受到更好的保护,可免受网络威胁并在遭受网络攻击后迅速反弹。
成功状态
2030年,所有澳大利亚人都将受益于强大的数字经济。展望未来,每个人和企业都将拥有网络安全所需的技能和资源。小企业和弱势群体将得到政府和行业的专门支持。
实现方式
为了实现2030年愿景,澳大利亚政府将:
支持中小企业加强网络安全;
帮助澳大利亚人抵御网络威胁;
破坏和阻止网络威胁行为者攻击澳大利亚;
与业界合作,打破勒索软件的商业模式;
为企业提供明确的网络指导;
使企业在网络事件发生后更容易获得建议和支持;以及
确保我们的身份安全,为身份盗窃受害者提供更好的支持。
支持中小企业加强网络安全
问题
中小型企业在经济中发挥着至关重要的作用,与大型企业相比,中小型企业可能需要更长的时间才能从网络事件中恢复过来,并面临更高的成本。对于大型企业来说,影响其供应链中中小型企业的事件可能会造成重大损失。大型企业供应链中发生的事件可能会造成重大的下游影响,扰乱服务交付。
行动
澳大利亚政府认识到,提高网络成熟度对中小型企业来说是一项挑战,尤其是在平衡各种优先事项时。如果没有适当的支持和指导,网络安全投资可能会显得力不从心。根据这一倡议,政府将:
1.提供建议和指导,支持中小型企业
政府将制定一项网络健康检查计划,为中小型企业提供免费的、量身定制的网络安全成熟度评估。健康检查计划将以国际范例为基础,提供教育工具和材料,帮助中小企业改善网络安全状况。
2. 建设网络复原力,在事件发生时提供支持
政府将继续为小企业提供受害者支持服务,帮助他们应对网络事件并迅速反弹。这些服务将与对小企业的其他支持密切协调,包括由国家反诈骗中心领导的反诈骗计划。政府新推出的小企业网络安全复原力服务将为小企业提供有关如何建立网络安全能力和复原力的建议。
帮助国人抵御网络威胁
问题
必须加大力度,提高整个社会的网络意识。对于许多澳大利亚人来说,网络安全建议的内容仍然难以把握,尤其是对于可能更容易受到网络事件和网络犯罪影响的多元化社区来说。政府、企业和民间社会有必要采取进一步的合作和协调行动,简化谈论网络安全的方式,并强调安全的网络实践可以成为一项日常技能。
行动
建立网络意识将为澳大利亚人提供信心和信任,使其能够拥抱数字技术及其带来的机遇。澳大利亚政府认识到,真正的行为改变需要时间,因此将长期致力于实施提高认识计划。
根据这项倡议,政府将:
1. 扩大网络意识计划的覆盖面和可及性
政府将继续开展全国网络宣传活动,帮助人民了解关键的网络安全威胁以及网上自我保护。与私营部门和民间社会的合作对于扩大这一全国性活动的覆盖范围和保持信息的一致性至关重要。
2.增强弱势群体的网络素养
政府将增强社区组织的能力,通过社区补助金计划的资助,为不同群体提供量身定制的网络宣传活动。该计划将使当地社区领导者能够根据不同群体的独特需求量身定制网络宣传活动,破坏并阻止网络威胁行为者攻击澳大利亚。
问题
包括勒索软件和网络敲诈在内的网络犯罪可对澳大利亚经济和国家安全造成大规模损害。网络空间是无国界的:恶意的国家行为者和网络犯罪分子可以远距离、大规模地破坏系统和技术。
行动
政府认识到网络犯罪可能对个人造成重大影响。网络威慑的责任应由那些最有能力采取防御行动的人承担,因此政府将利用一切合法和适当的手段来威慑和瓦解网络犯罪。
根据这项倡议,政府将:
1.建设执法与进攻能力
加强国内执法和进攻性网络活动,使澳大利亚成为网络犯罪分子更难攻击的目标。我们有实力完成这项任务:澳大利亚在打击网络犯罪的调查权力和刑事定罪框架方面处于世界领先地位。
2.塑造国际法律框架,开展网络犯罪方面的合作
网络犯罪是一种全球性威胁,需要全球性的解决方案。深化国际合作对于打击跨国网络犯罪威胁至关重要。
政府将继续推动全球合作,有效预防、威慑和应对网络犯罪。继续与国际伙伴合作,打击网络犯罪分子,包括通过现有的澳大利亚联邦警察联络官网络,与五眼联盟和国际执法伙伴密切合作。除了保护人权、基本自由和法治的框架外,将继续倡导有效打击网络犯罪的全球法律框架。这包括支持全球努力通过和实施欧洲委员会关于网络犯罪的《布达佩斯公约》。与全球伙伴合作,努力追究犯罪集团对其行动的责任。
与业界合作,打破勒索软件的商业模式
问题
勒索软件是当今世界最具破坏性的网络威胁之一。勒索软件和网络勒索攻击已证明它们有能力扰乱澳大利亚人的生活和生计。恶意网络行为者正在开发新技术,使勒索软件攻击自动化。
对勒索软件事件的报告不足,限制了我们对其对经济的真实影响的了解。降低勒索软件攻击的能见度会影响事件响应和危害缓解工作。对威胁知之甚少也可能导致商业风险模式发展不足。
行动
为了使澳大利亚成为勒索软件的攻击目标,必须破坏勒索软件的商业模式。澳大利亚政府将采取强有力的行动,防止网络犯罪分子从针对澳大利亚公民和企业的攻击中获利。
根据这项倡议,政府将:
1.提高勒索软件威胁的能见度
对勒索软件攻击的进行早期预警,以便政府能够在正确的时间提供正确的支持。同时需要更好地了解勒索软件的威胁,以便制定适当的应对措施。为了在威胁面前保持领先,与业界共同设计方案,为企业立法规定无过错、无责任的勒索软件报告义务。
2.就如何应对勒索软件提供明确指导
根据《反勒索软件倡议》(CRI)承诺,澳大利亚政府继续强烈反对企业和个人向网络犯罪分子支付赎金。因为此行为无法保证您能重新获得信息,或防止其在网上被出售或泄露。甚至还可能成为其他攻击的目标。下一步,政府将编制一份勒索软件操作手册。这本手册将为企业和公民提供明确的指导,帮助了解如何准备、应对和反击赎金要求。
3.推动全球反勒索软件行动
继续与国际合作伙伴合作,推动CRI,领导全球合作,打破勒索软件的商业模式。澳大利亚将发挥领导作用,从担任国际反勒索软件工作组(International Counter Ransomware Taskforce)主席开始,推动采取国际行动,反击勒索软件威胁。在国际反勒索软件工作组的领导下,正与50个国际合作伙伴合作开展反勒索软件行动。澳大利亚政府将继续与CRI成员合作,坚决阻止任何人支付勒索软件要求的款项。政府还将继续努力规范加密货币的使用。
为企业提供明确的网络指导
问题
网络安全不仅是良好的做法,也是良好的业务。明确了解如何管理网络风险,对于澳大利亚企业拥抱数字经济至关重要。企业已经有义务保护其业务免受风险。这些义务包括保护企业和客户免受网络攻击。当发生重大事件时,我们必须了解导致恶意攻击的漏洞,并与业界分享经验教训,以加强未来的网络准备。政府必须高效、有针对性地向企业提供适当的指导,以确保已发现的漏洞不会被进一步利用。
行动
澳大利亚政府将与业界合作,确保董事会在明确的网络最佳实践指导和以往网络事件的经验教训的基础上,适当考虑网络安全问题。
根据这项倡议,政府将:
1.明确企业对网络治理的期望
政府将考虑如何以最佳方式为企业提供更多网络安全指导信息,帮助企业了解在制定网络安全框架时应考虑的重要义务和要求。作为第一步,政府将发布关键基础设施所有者和运营商的企业义务概览。接下来,政府将考虑如何最好地与行业合作,设计最佳实践原则,以指导良好的网络治理。这方面的倡议将以原则为基础,技术中立,适用于各种组织,无论其网络成熟度如何。它将以澳大利亚公司董事协会、澳大利亚信息安全协会、澳大利亚证券和投资委员会、澳大利亚安全局澳大利亚网络安全中心(ACSC)、国家反诈骗中心和网络安全合作研究中心的现有资源为基础。
2. 分享网络事件的经验教训
政府将建立一个新流程,对重大网络事件进行经验教训审查。将与业界合作,借鉴国际和国内模式,包括美国网络安全审查委员会和澳大利亚运输安全局,建立一个新的网络事件审查委员会。在重大网络事件发生后,及时审查机制,提升集体网络安全,增强事件的准备和应对能力。
网络事件后更易获得建议和支持
问题
澳大利亚目前对网络事件的监管报告要求非常复杂。企业通常需要向多个监管机构报告一起事件,具体取决于其所属行业、事件性质以及后果的严重程度。这些义务具有重要作用,但不能妨碍企业领导者应对事件的能力。此外,企业越来越不愿意与美国安全局分享详细和及时的网络事件信息。企业担心分享的信息会被用于监管行动。这种不情愿的态度会限制政府在事件发生时提供支持的能力,也会降低对国家威胁情况的了解。行业也指出了与事件响应公司合作时遇到的困难。事件响应提供商的专业标准不明确,导致服务质量不一致。
行动
澳大利亚政府已经采取了措施,任命了网络协调员来领导协调和分流政府应对重大网络事件的行动。在此基础上,政府将采取措施,确保在网络事件发生时尽可能有效地为行业提供支持。
根据这一举措,政府将:
1.简化事故报告
通过"REDSPICE 项目",政府已经在通过cyber.gov.au的一站式服务加强网络安全事件报告。为帮助业界了解强制性网络事件报告义务,政府在cyber.gov.au上开发了一个单一报告门户网站,将主要报告链接集中在一个地方。下一步,政府将探索更便于企业履行监管义务的方案,其中可能包括潜在的监管变更或表格简化。
2.促进在事件发生后获得可信赖的支持
在网络事件的早期阶段向政府提供信息对于有效的事件响应至关重要。通过共同设计方案,为ASD和网络协调员立法规定有限使用义务,鼓励在事件发生期间与政府进行公开接触。政府还力求让企业和社区领导人在聘用网络安全专业人员时更有信心。
确保身份安全,为受害者提供更好的支持
问题
网络犯罪分子不遗余力地窃取澳大利亚公民的身份信息,包括大规模窃取企业客户数据。包括身份信息在内的个人数据在暗网上被高价买卖。身份盗窃会给个人带来毁灭性的后果。
行动
澳大利亚政府旨在确保身份免受网络攻击,并为身份犯罪受害者提供更好的支持。
根据这一倡议,政府将:
1.扩大数字身份证计划,帮助保护澳大利亚人的身份安全
政府将继续发展数字身份证计划(Digital ID program)和国家身份复原战略(National Strategy for Identity Resilience),以减少人们为获得在线服务而与政府和企业共享敏感个人信息的需求
2.扩大对身份盗窃受害者的支持服务
政府将增加对受害者支持服务的资金投入,以帮助更多的人从身份盗窃中恢复过来,从而更好地保护自己和其他澳大利亚人。这将以政府和非营利组织提供的现有服务为基础,并与cyber.gov.au 提供的支持服务紧密结合。
护盾2: 安全技术
成功状态
网络安全是一项公益事业。到2030年,所有澳大利亚人都应感受到安全、有弹性的数字经济对其的保护。在咨询过程中,业界呼吁对数字产品的网络安全标准采取统一的方法。技术安全标准将与国际最佳实践保持一致。澳大利亚将与业界和国际合作伙伴密切合作,设计和调整通用安全标准。
问题
没有内置安全功能的产品和服务可能存在漏洞,很容易被恶意行为者利用,从而有可能破坏公众对技术的信任。许多数字产品在设计时没有内置安全标准,或默认开启安全标准。
行动
澳大利亚政府将在自愿和强制行动之间取得平衡,以加强技术的安全性。这些行动将为最终用户提供数字产品使用安全的信心,同时不会阻碍行业创新。
根据这一倡议,政府将:
1. 采用国际数字技术安全标准
政府将与业界合作,鼓励物联网设备等数字技术采用国际安全设计标准。短期内,将与行业专家合作,共同设计方案,为物联网设备制定强制性网络安全标准。该标准可与国际标准保持一致,以确保各辖区之间的一致性,并最大限度地减轻澳大利亚企业的监管负担,同时实现国家安全目标。
2.将网络安全纳入软件开发实践
政府将与业界和国际伙伴合作,制定和采用国际软件安全标准,包括安全设计和安全默认做法。作为第一步,我们将与业界和国际伙伴合作,共同为应用程序商店和应用程序开发商制定自愿性业务守则。该守则将明确传达对软件开发中网络安全的期望。
3.管理数字技术的国家安全风险
政府将制定一个框架,用于评估在经济中运作和进入经济的供应商产品和服务所带来的国家安全风险。利用这一框架,政府将帮助行业管理供应链风险,并就产品和服务的安全性做出明智的采购决策。还将就限制非安全产品在国内市场供应的进一步方案征求业界的意见。
保护宝贵数据集
问题
数据是澳大利亚经济增长的重要源泉,可帮助企业进行交易、做出更好的决策并改进产品和服务。企业和全球市场都依赖于数据的安全和自由流动。有效利用数据有助于澳大利亚公民获得符合其需求的商品和服务。
1988年《隐私法》(Privacy Act 1988)涉及年营业额超过300万美元的实体所持有的个人信息的安全问题。最近对《SOCI法》的改革和澳大利亚政府托管认证框架的引入,是确保澳大利亚敏感的政府和企业数据安全的重要步骤。然而,对于不在这些现有法规范围内的商业、敏感或关键数据集,所提供的指导非常有限。私营部门也没有统一的方法来评估和交流数据的标准化价值。
行动
虽然澳大利亚政府已经建立了保护个人信息的框架,但我必须继续确保数据设置符合目的,因为数据日益成为一种需要收集、转让和交易的资源。
根据这项倡议,政府将:
1.保护对国家具有重要意义的数据集
政府将确定澳大利亚经济中最敏感、最关键的数据集,特别是那些在现有法规下未得到适当保护,但对我们的国家利益至关重要的数据集。这将使我们能够评估包括存储和管理设置在内的现有数据保护措施是否适度和有效。如果发现存在漏洞,导致这些数据集容易受到影响,政府将探索更好地保护整个经济领域敏感数据的方案
2.支持整个经济领域的数据治理和安全提升
政府将审查联邦立法数据保留要求,重点是非个人数据,以确定现有规定是否适当平衡。作为对《隐私法审查》(Privacy Act Review)的补充,该审查将对要求保留个人信息的法律进行审查。根据审查结果,政府将探索各种方案,最大限度地减少和简化数据保留要求。政府将审查数据经纪生态系统,以评估是否需要采取进一步行动,应对通过数据市场向恶意行为者转移数据的相关风险。这一审查将对《隐私法》的拟议改革起到补充作用。政府还将制定统一的数据分类模式,提供指导意见,帮助行业以一致和统一的方式识别、评估和交流其所持有数据的相对价值。这将使企业能够对信息进行细分,并实施适度的运营控制,从而降低企业风险。
促进新兴技术的安全使用
问题
新兴技术正在为整个经济和社会带来巨大利益。随着技术变革的加速,创新几乎无法预测,尤其是长期而言。数字工具的功能和规模增长异常迅速,包括大型语言模型(如ChatGPT)和文本到图像模型(如Stable Diffusion)的功能扩展,这使得我们很难对未来做出规划。
随着对关键技术和新兴技术依赖的增加,攻击面也可能随之增加,从而扩大了恶意行为者攻击数字系统的范围。随着这些技术的发展,普通人将越来越难以区分合法通信与恶意攻击和欺诈。这些技术还面临着巨大的战略竞争,在带来一系列好处的同时,也可能对我们的国家利益构成重大风险。
行动
澳大利亚政府致力于在新兴技术的整个生命周期内支持负责任的创新和进步,同时保持我们在网络安全方面的坚定立场。该战略将支持政府努力应对关键技术和新兴技术带来的网络和更广泛的国家安全风险,包括通过加强行业、国际和社区参与,确保这些技术的设计和开发符合自身利益。
根据这一倡议,政府将:
1.支持安全、负责任地使用人工智能
澳大利亚世界领先的人工智能伦理原则是开发和采用可信、安全和负责任的人工智能的重要第一步。继澳大利亚在2023年11月的人工智能安全峰会上对《布莱切利宣言》做出承诺之后,将继续与其他政府、民间社会和技术部门合作,确保以安全、可靠、可信和负责任的方式设计、开发、部署和使用人工智能。
2.为后量子世界做好准备
政府已经在为量子计算可能带来的颠覆性影响做准备。量子计算的进步可能会使当代加密技术变得不安全,这意味着所依赖的数据保护技术将不再能保证信息安全。为了应对这些风险,必须在向后量子加密技术过渡时,预测加密系统的未来需求。继续关注量子计算的发展,并为后量子加密技术制定标准。这将包括更新《信息安全手册》中的指南,这是美国空间局公开发布的网络安全框架,为各组织保护其系统和数据免受网络威胁提供指导。
护盾3:世界一流的威胁共享和拦截
网络威胁情报共享在提高整个经济领域的威胁能见度方面发挥着至关重要的作用,政府与行业之间的合作有助于建立一个全面的威胁图景。政府利用其从保密来源获得的专业知识和信息,帮助企业预测和应对复杂的网络威胁。同时,行业提供有关新出现威胁和漏洞的实时数据,帮助政府加强准备和应对方案。
新技术和新实践将不可避免地塑造威胁格局,提高我们大规模共享威胁信息的能力。到2030年,我们将拥有一个蓬勃发展的全经济威胁共享和阻断网络,该网络将以美国国家安全局现有的情报威胁共享平台为基础,提高全国范围内以机器速度共享网络威胁情报的能力。该网络将包括强化的行业间信息共享,提供多向"枢纽和辐条"模式,将数据反馈到政府威胁情报系统,并使信息能够有效地传播到行业。实时威胁共享将促进自动威胁拦截能力,使工业界和政府能够在网络威胁到达终端用户之前对其进行拦截。
实现方式
为实现2030 年愿景,澳大利亚政府将:
创建一个全经济威胁情报网络;以及
扩大威胁拦截能力,阻止网络攻击
创建全经济威胁情报网络
问题
随着网络威胁的规模和复杂程度不断增加,全经济威胁图景对于建立防备和降低风险至关重要。现有的倡议,如美国航天局的威胁情报共享平台和网络与基础设施安全中心的可信信息共享网络,实现了政府-行业和行业-行业威胁情报的多向共享。然而,业界强调需要改进国家机制,以共享战略和战术威胁情报。网络威胁共享的整体解决方案需要加强政府行业之间的参与。但是,如果国内ISAC和威胁共享平台不与政府威胁共享计划相结合,就有可能出现各自为政的情况。
行动
澳大利亚政府将通过促进威胁情报快速交流的公私合作伙伴关系,创建一个全经济威胁共享网络。根据这一倡议,政府将:
1.与行业共享战略威胁情报
行业在管理和降低整个经济的网络风险方面负有重要责任。为帮助产业界应对网络威胁,政府将与商界领袖合作,通过改善产业界获取战略威胁情报的渠道,促进在网络安全问题上的真正共同领导。
2.扩大战术和行动威胁情报共享
政府将投资于自动化解决方案,以确保对整个经济中的威胁活动保持可见性。继续加强澳大利亚安全局与业界共同设计的现有威胁共享平台,以确保这些平台能够吸收未来网络威胁情报规模的预期增长。政府还将通过投资"威胁共享加速基金"(Threat Sharing Acceleration Fund)来支持澳大利亚特定行业ISAC的发展,从而支持行业间的威胁共享。
扩展威胁拦截能力,阻止网络攻击
问题
威胁情报共享对于建立更强大的威胁图景至关重要,为了在威胁到达终端用户之前有效地大规模阻止威胁,必须将威胁情报付诸行动。
澳大利亚目前的威胁拦截方法是多方面的,包括技术能力、监管职能以及由政府机构和行业实施的基准缓解策略。电信和互联网服务提供商(ISP)采用了多种威胁拦截方法。这些实体需要更好地获取高可信度的威胁信息,以帮助它们采取全面措施阻止恶意网络活动。
行动
澳大利亚政府已经在建设国家能力,通过启动国家反诈骗中心(National Anti-Scam Centre)来阻止诈骗和有害内容,并制定了行业规范,明确规定私营部门在诈骗活动方面的责任。同时法规进行了修订,以帮助电信运营商采取积极行动阻止威胁。根据这一举措,政府将 :
1.开发下一代威胁拦截能力
在国家反诈骗中心领导的现有工作基础上,政府将支持电信和互联网服务提供商大规模拦截威胁。建立了国家网络情报合作伙伴关系,以开发最先进的威胁拦截能力。指导小组由来自学术界和民间社会的行业领导者和网络专家组成,正在试点开发近实时的自动威胁拦截能力。这些能力将以现有的政府和行业平台为基础,并与之整合。指导小组将为部署进一步的威胁拦截能力提供信息,以防止已识别的威胁到达终端用户。随着威胁情报共享能力的建设,将开发更有效的威胁拦截技术,以机器速度工作,并利用机器学习算法积极应对不断变化的威胁环境。
2.扩大威胁拦截能力的覆盖范围
在指导小组工作的基础上,政府还将努力鼓励和激励那些最有能力在整个经济中进行威胁拦截的企业,包括电信供应商和互联网服务提供商。
护盾4.受保护的关键基础设施
成功状态
2030年,每个人都可以安心,因为关键基础设施必须能够更好地预防、应对和抵御网络攻击。关键基础设施和指定的国家重要系统的所有者和运营者需要清楚地了解面临的风险,包括网络威胁、人员风险、物理危害和自然灾害。根据《SOCI法》,他们必须制定适当的风险缓解计划,以防范这些威胁。通过监管和积极合作,政府将与业界合作,为业主和运营商履行安全义务提供高度保障。澳大利亚政府还将以身作则。政府需要对自己和业界实行同样的标准。
图2:澳大利亚指定的11 个关键基础设施部门
实现方式
为实现2030 年愿景,澳大利亚政府将:
明确关键基础设施监管的范围;
加强关键基础设施的网络安全义务和合规性;
加强联邦政府的网络安全;以及
对关键基础设施进行压力测试,以发现漏洞
明确关键基础设施监管的范围
问题
澳大利亚人必须对关键基础设施部门提供基本商品和服务的安全性和复原力有信心。电信和金融服务应能抵御重大干扰和外部危害。《关键基础设施安全法》为界定和规范关键基础设施的网络安全义务提供了一个强有力的框架。然而,最近发生的事件发现,网络安全监管存在漏洞,没有充分涵盖特定部门、实体或资产。在某些情况下,有多个监管框架涵盖同一类型的实体,造成不必要的重复和复杂性。在其他情况下,义务不明确,或者一些实体没有遵守一致的网络安全标准。
行动
澳大利亚政府将继续与业界进行磋商,以确保世界领先的关键基础设施法律始终符合目的。根据这一举措,政府将:
1.确保保护正确的实体
政府将与业界合作,将电信部门的安全监管从1997 年《电信法》中的"电信部门安全改革"(TSSR)移至《通信和信息安全法》(SOCI)。这将更好地协调跨越多个部门的关键基础设施实体的义务,减少监管重复和复杂性,并为电信部门提供可扩展的义务。
政府还将努力明确管理服务提供商的网络安全义务,使其与"护盾2 "下制定的数据保护举措密切配合。政府将探索将网络安全法规纳入航空和海事部门"所有危险"要求的方案。
2.确保保护正确的资产
政府还将与业界协商,明确《SOCI法》的适用范围,确保关键基础设施实体充分保护其数据存储系统。此次咨询将重点关注"关键业务"数据存储系统,因为这些系统的漏洞可能会影响关键基础设施资产的可用性、完整性、可靠性或保密性。
加强关基设施的网络安全义务和合规性
问题
面对日益加剧的地缘政治风险、有能力的民族国家行为体和老练的网络犯罪分子,国家关键基础设施必须能够抵御网络威胁。由于我们严重依赖关键基础设施实体的服务,影响这些实体的网络事件可能会对整个澳大利亚经济造成连带影响。国家重要系统是指一旦遭受网络攻击,将对澳大利亚经济或国家安全造成极大损害的系统。
行动
澳大利亚政府将继续与业界密切合作,保护我们的关键基础设施和具有国家重要性的系统。我们将通过多层防御来保护这些系统,以抵御最复杂的网络攻击。根据这一举措,政府将:
1.加强国家重要系统的网络安全义务
为保护国家重要系统,政府将加快实施国家重要系统框架。该框架将包括针对这些最重要系统的"强化网络安全义务",要求这些系统采取强化措施,确保在受到网络攻击后迅速反弹。政府还将扩大美国国家航空航天局的"关键基础设施提升计划",根据该计划,美国国家航空航天局的网络专家将与关键基础设施提供商合作,对其网络进行加固。
2. 确保关键基础设施遵守网络安全义务
政府将通过最终确定合规性监测和评估框架,确保受监管实体适当了解其在《网络安全法》下的义务,包括制定、维护和遵守关键基础设施风险管理计划的义务。作为该框架的一部分,政府将就制定强化的审查和补救权力,包括在实体的风险管理计划存在严重缺陷时指示其提升风险管理计划的权力,与业界进行磋商。
3.帮助关键基础设施管理网络事件的后果
政府将与业界就如何帮助实体更好地管理网络事件的后果进行磋商。这包括建议引入最后手段全危险后果管理权,以帮助行业处理重大事件引发的次生后果,在这种情况下,联邦、州或地区的其他立法杠杆都无法提供有效应对措施。根据这项拟议的权力,政府将能够授权采取具体行动来管理全国性重大事件的后果,包括网络攻击或其他危害。这种权力反映了关键基础设施要求政府在管理事件的持续影响时加强支持的呼声。
加强联邦政府的网络安全
问题
政府信息和服务可能成为恶意和国家支持的威胁行为者的高价值目标。网络事件会威胁到政府掌握的信息、公众对我们机构的信任以及政府提供的各种数字功能。因此,政府在制定最佳实践网络安全标准方面发挥着至关重要的作用,几乎所有利益相关方在咨询过程中都承认了这一作用。业界明确表示,除了对其他组织实施更高的标准外,还希望政府提高自身的网络安全水平。澳大利亚迫切需要一种新的政府网络安全方法。澳大利亚许多政府实体的网络成熟度长期处于较低水平,这暴露出我们的安全态势存在重大差距。我们的澳大利亚公共服务部门严重缺乏网络技能,许多政府系统尚未达到澳大利亚安全局的"缓解网络安全事故的八项基本战略"。
行动
实施一项加强联邦网络安全的计划,使澳大利亚政府成为世界一流的可信数字政府。
根据这项倡议,政府将:
1. 加强政府部门和机构的网络成熟度
网络协调员将负责领导整个政府的网络安全提升工作。作为其职责的一部分,协调员将监督联邦各部门和机构网络成熟度的实施和报告。协调员还将与各州、地区和地方政府合作,促进投资,推动政府网络成熟度发生有意义的转变。为了保护澳大利亚政府的数据和数字资产,将以澳大利亚数据局"八项基本原则"中确立的最佳实践原则为基础。为了提供持续的问责制,将制定一项内部网络安全计划和保证职能。将加大对政府实体的支持力度,
2.确定并保护政府各部门的关键系统
政府在网络安全方面的投资必须集中在对我们的国家利益、经济繁荣和社会凝聚力最为关键的系统上。为了帮助我们确定投资的优先次序,我们将指定需要以更高的安全标准加以保护的"政府重要系统"。我们将绘制政府最重要的数字基础设施地图,评估这些系统一旦中断将造成的影响程度。
3.提高澳大利亚公共服务部门(APS)的网络技能
澳大利亚公共服务部门在推动整个政府的网络安全态势方面发挥着至关重要的作用。政府将投资发展澳大利亚公共服务部门的网络技能,建立一种联合方法来发展和管理我们的内部网络能力。
对关基设施进行压力测试,以找出漏洞
问题
虽然这项战略将使澳大利亚公民和企业更好地保护自己免受网络攻击,但恶意行为者仍将继续发现并瞄准漏洞。为了应对这种情况,需要对关键基础设施进行压力测试,在它们被利用之前找出潜在的漏洞。所有企业都应确保做好适当准备,以防御、应对网络事件并从中恢复。然而,由于关键基础设施对维持基本服务的重要性,有必要提高准备水平。
行动
澳大利亚政府将通过积极主动地发现和弥补在网络防御和事件响应计划方面的差距,为国家网络建设做好准备。根据这项倡议,政府将:
1.在整个经济领域开展国家网络安全演习
网络协调员将领导一项国家网络演习计划,全面演习事件响应计划、后果管理和通信渠道。政府将与所有部门密切联系,演练网络事件情景,以测试既定流程,在事件发生时为企业和经济提供支持。这些演习将确保网络危机安排得到理解、整合和演练。该计划将补充和加强《网络安全强化义务》,以开展演习,适用于《网络安全强化义务法》下的国家重要系统。
2.建立事件响应手册
开展全国性演习也是跨部门分享网络最佳实践的宝贵机会。运营商和利益攸关方将分享战略,以确定在发生事故时全国范围内加强和进一步协调的机会。在这些演习之后,网络协调员将为事件响应编写操作手册。
护盾5: 主权能力
到2030年,澳大利亚将形成一个繁荣的网络安全生态系统,吸引、培养和留住人才,容纳强大的网络安全公司和能力,并培育创新的新技术。国家将因在网络技术和应用科学领域的开拓性工作而得到认可,并拥有一支规模庞大、技术精湛且多元化的网络工作队伍。
实现方式
为实现2030 年愿景,澳大利亚政府将:
扩充国家网络队伍并使之专业化;
加速本地网络产业、研究和创新。
扩充国家网络队伍并使之专业化
问题
网络安全行业一直存在人才短缺问题,妇女和其他不同群体的代表人数不足。企业在招聘和留住经验丰富的世界级网络人才方面面临挑战,外国专家复杂的移民途径和国外高薪竞争加剧了这一挑战。随着自动化工具在核心网络保护功能方面承担更大的责任,人工智能和其他新兴技术可能会改变网络角色并重塑技能要求。
雇主正面临网络专业人才短缺以及工作要求与员工技能不匹配的问题。缺乏足够的工作经验是行业面临的主要挑战。业界还发现,澳大利亚网络安全部门在达到全球网络劳动力标准方面存在不一致的情况。网络技能国家标准的缺失,为了满足未来的网络劳动力需求,我们需要转变我们的数字技能渠道。
行动
政府认识到网络安全人才队伍将为国内网络生态系统的持续增长奠定基础。我们将立即采取措施,培养一支更强大、更多元化的网络安全人才队伍,同时让企业对网络专业人员的资质更有信心。根据这项倡议,政府将:
1.发展和扩大澳大利亚的技能培训管道
澳大利亚政府已经开始实施改革,以支持和发展更有效的教育培训体系,满足澳大利亚对数字和网络安全人才的需求。新成立的澳大利亚就业与技能部(Jobs and Skills Australia)和就业与技能委员会(Jobs and Skills Councils)将携手合作,确定并满足未来的劳动力需求,同时为行业提供更有力的声音,为学习者和雇主带来最佳成果。这将包括评估网络安全技能方面的劳动力需求。
政府已采取措施,在技能输送管道的每个阶段推进干预措施。为了鼓励年轻人从事网络工作,学习网络技能需要从小学和中学开始。政府将继续根据澳大利亚课程的最新变化,将网络安全教学纳入澳大利亚中小学教育。政府还将在研究生阶段进行有针对性的投资,提供更多的高等教育联邦资助名额,以支持优先劳动力,包括网络、信息技术和STEM(科学、技术、工程和数学)相关领域的劳动力。
移民改革将与国内技能培训计划相辅相成,以吸引人才,使澳大利亚成为全球网络专家的首选目的地。
2.提高网络工作队伍的多样性
政府将与业界合作,促进为妇女、代表人数不足的群体和多元化社区提供有针对性的支持和重返工作岗位计划。政府还将发布网络多样性指南,帮助雇主吸引和留住网络安全专业的多样化群体。政府将继续与业界协商,并与行政网络委员会合作,制定全经济倡议,以提高网络劳动力的多样性。政府对"科学、技术、工程、数学和数学领域多样性途径审查"的回应将提供进一步的机会,考虑采取协调一致的系统性行动,长期解决这一问题。
3.国内网络工作队伍的专业化
政府将与业界合作,加强网络安全人才队伍的专业化,减少进入门槛,并在整个网络工作队伍中建立更大的一致性。政府对职业教育与培训(VET)体系的改革将提供与澳大利亚劳动力市场相关的培训,并跟上新出现的技能需求。政府还要求《澳大利亚大学协议》(Australian Universities Accord)研究如何使高等教育学历更好地满足现在和未来的技能需求。
加速本地网络产业、研究和创新
问题
澳大利亚的网络安全产业支持着繁荣,创造了新的就业机会,每年为国内生产总值贡献超过20亿澳元。然而,在吸引和留住劳动力、将研究和创新转化为成功的初创企业以及进入国内和国际市场方面,该行业面临着诸多挑战。
与产业界的磋商强调了政府作为网络安全企业潜在客户的角色,以及政府利用其购买力投资新的创新网络产品的能力。目前,本土能力的缺乏加深了对境外供应商的依赖,损害了国家主权,并抑制了这一重要领域的发展。需要通过投资培训途径、商业机会和研究项目,在网络生态系统的关键领域培养主权能力。我们需要保持对网络技术研发的持续投资,这些技术将成为澳大利亚未来数字经济的基础。
行动
澳大利亚政府将继续寻找和推动发展网络安全部门的机会,并投资于国家网络研究计划。
根据这一倡议,政府将:
1. 投资国内网络产业发展
通过现有的"商业研究与创新倡议"(Business Research and Innovation Initiative),设立"网络安全挑战"(Cyber Security Challenge)计划,促进创新型初创企业和中小型企业的发展。该计划将为网络初创企业和小型企业提供资金,帮助它们与政府合作,针对澳大利亚面临的网络安全挑战开发创新解决方案。该计划还将支持本战略中列出的其他关键优先事项,
政府 150亿澳元的国家重建基金(NRF)也将继续支持澳大利亚关键产业的发展、多样化和转型。
2.保持澳大利亚的研究能力
将继续支持网络安全领域的发展,通过合作研究中心(Cooperative Research Centres)、澳大利亚研究理事会卓越中心(Centres of Excellence)和国家竞争性拨款计划(National Competitive Grants Program)等措施,体现对相关研发的承诺。通过振兴澳大利亚国家科学与研究优先事项,政府将探索进一步开展研究工作的方案,以推动网络安全和邻近技术的创新。
护盾6: 地区复原力和全球领导力
成功状态
到2030年,澳大利亚希望本地区能够更好地管理、减轻网络事件的影响并从中恢复。澳大利亚将继续与国际伙伴、行业和民间社会合作并建立联盟,以制定和倡导符合我们共同利益和价值观的规则、规范和标准。
实现方式
为实现2030 年愿景,澳大利亚政府将:
作为首选合作伙伴,支持建立具有网络复原力的地区;以及
制定、维护和捍卫国际网络规则、规范和标准。
支持具有网络复原力的地区成为首选合作伙伴
问题
建设网络复原力是全球共同面临的挑战。本地区各国正经历着与同样规模和复杂程度的网络威胁,但许多地区伙伴正试图从较低的安全基础上应对这一挑战。随着本地区对数字经济和互联互通的依赖程度不断加深,加强地区能力和网络抵御能力的必要性也在增加。澳大利亚和国际合作伙伴可以更好地协调和加强努力,为邻国提供支持。
地缘战略竞争正在印太地区多层面展开。澳大利亚的安全与繁荣与本地区息息相关,而本地区不受约束的胁迫与竞争所带来的影响是严重的。澳大利亚必须继续发挥积极作用,以确保战略稳定,防止具有不同价值观和战略目标的国家以集体利益为代价,按照自己的利益塑造本地区。
行动
澳大利亚政府将支持邻国之间的网络提升。澳大利亚将通过现有论坛、框架和倡议加强网络合作。这包括双边、小型、多边和多利益攸关方伙伴关系。同时建立新的合作伙伴关系,并考虑建立新的机制,以协调和调整集体努力,提高网络复原力,包括与蓝太平洋合作伙伴的合作。将通过与太平洋和东南亚合作伙伴的接触,包括作为太平洋岛屿论坛的成员,以及与东南亚国家联盟(东盟)的接触,来确定各国的具体需求和区域优先事项。
根据这项倡议,政府将:
1.加强与太平洋和东南亚邻国的集体网络复原力
澳大利亚将继续与太平洋和东南亚邻国合作,建设一个网络复原力更强的地区。合作与援助将继续由澳大利亚网络事务与关键技术大使负责协调。调整澳大利亚网络合作与能力建设工作的重点,使其更具针对性、影响力和可持续性,并使邻国能够更好地预防网络事件,并在事件发生时迅速恢复。
2. 利用本地区私营部门的创新和专业知识
产业界可以帮助提升整个地区的网络成熟度和安全性。澳大利亚政府将与地区政府、私营部门和技术社区合作伙伴合作,试行利用技术大规模保护本地区的方案。我们将利用行业解决方案,保护更多人、系统和数据免受网络威胁。
更强大的互联互通将帮助地区的企业安全地获得全球经济中的新机遇。利用现有计划,包括澳大利亚太平洋基础设施融资机制(Australian Infrastructure Financing Facility for the Pacific)和四国电缆连接性和复原力伙伴关系(Quad Partnership for Cable Connectivity and Resilience),加强印度洋-太平洋地区的海底电缆系统。私营部门在所有产品的安全建设方面也可以发挥重要作用。
制定、维护和捍卫国际网络规则、规范和标准
问题
由于不同原则的国家通过标准制定论坛强加价值观,澳大利亚必须与国际伙伴一起,为捍卫和加强国际标准化体系做出更多努力,倡导共同利益,并扩大地区声音。
随着越来越依赖数字商品和服务,需要确保数字贸易规则为企业和消费者提供更好的经济机会。对我们的民主机构或关键基础设施的网络攻击是不可接受的。全各国必须采取行动,维护网络空间负责任国家行为的商定框架,并在国家的行为违反这一框架时予以谴责。
行动
加强国际参与与合作可使澳大利亚国内更加稳定、自信和安全,在世界上更具影响力。
根据这一倡议,政府将:
1. 支持国际标准,促进透明、安全的技术发展
澳大利亚将保护并加强国际标准化体系。将在网络空间、互联网和数字经济(包括新兴技术)的基础技术领域推广健全的国际标准。澳大利亚将与全球伙伴合作,确保技术市场的透明度和竞争力,确保产品和服务供应商的多样性,确保产品和服务的设计安全可靠。还将努力与国际最佳实践接轨,支持既定的、有效的国际标准制定方法:行业主导、协商一致。
2.倡导高质量的数字贸易规则
澳大利亚企业、工人和消费者将从开放、可靠和可互操作的数字贸易环境中受益。这意味着一个能够加强以国际规则为基础的贸易体系并促进网络环境信任的环境。支持数字贸易合作的规则有助于弥合数字鸿沟,促进国家间和国家内部的包容性。澳大利亚将继续推动制定和实施高质量的数字贸易规则,以解决数字保护主义问题,同时保持适当的灵活性,以保护更广泛的公共政策利益。
3.在国际论坛上捍卫开放、自由、安全和可互操作的互联网
澳大利亚还将加强本地区的联盟,捍卫现有的互联网模式。我们将继续捍卫对互联网及其机构的可用性和完整性至关重要的技术基础设施,反对将互联网的技术管理和治理置于政府控制之下的努力。为此,我们将推广互联网治理的多方利益相关者模式,加强包括产业界、民间社会、学术界和技术界在内的所有利益相关者参与互联网治理机制的能力。
4. 维护国际法和网络空间负责任国家行为规范
我们将与现有伙伴合作并建立新的伙伴关系,以维护国际法和商定的负责任的国家行为框架,这是我们在网络空间的稳定、繁荣、独立和主权的基础。澳大利亚将在联合国的讨论中发挥诚实调解人的作用,澄清国际法如何适用于网络空间,并加强网络空间负责任国家行为框架的实施。
5.部署所有国家武器,威慑和应对恶意行为者
澳大利亚将动用所有国家力量,威慑和应对恶意网络行为者。我们将与国际伙伴合作采取行动,让那些降低网络空间安全保障的个人和组织付出代价。
下一步:实施和评估
实现方式
实施是愿景的核心。澳大利亚政府制定了《网络安全战略行动计划》(以下简称《行动计划》),将本战略中的承诺和倡议转化为实现具体成果的直接行动。
为确保我们实施各项举措,政府将:
1.为战略实施和管理分配资源
已在各政府部门和机构投入专项资源,以实施本战略中的各项举措。这包括为具体倡议的实施、与行业合作伙伴的共同投资、利益相关者参与计划以及战略实施的整体管理和监督提供资金。
2.明确实施责任
政府已为《战略》中的每项倡议分配了明确的责任。《行动计划》确定了负责实施每项行动的牵头机构,以及促进实施的支持机构。网络协调员将负责战略实施的全政府协调,包括与各州、领地和地方政府的合作。
3. 继续与行业和社区密切磋商
该战略是在与行业和民间社会密切磋商后制定的。为了实现我们的2030年愿景,政府将继续采取真正和透明的共同领导方式,尽可能参与共同设计,并确保行动在强有力的监管和适当的激励措施之间取得平衡。
该战略推出后,政府将启动有针对性的咨询程序,与业界共同制定具体举措。这将包括拟议的立法改革,以及会影响企业及其网络安全义务的其他举措。这一磋商过程将直接为这些举措的设计和实施提供信息。
政府还将成立一个由行业领袖组成的行政网络委员会,以支持这种协商方式。这一新的战略合作伙伴关系每年召开两次会议,将就国家网络安全优先事项开展更广泛的合作。该委员会由来自各行业的高管组成,将与其他网络管理小组形成互补,通过强有力的领导来提升澳大利亚的网络生态系统。
4.评估进展
战略的实施将得到对所有举措的有力评估的支持。这将包括评估个别举措的影响以及整体战略在实现2030年愿景方面的有效性。我们将继续评估威胁环境的性质,以及保护澳大利亚公民和企业的国家网络防护罩的强度。行业和社区领袖的反馈意见、威胁情报以及从网络事件中汲取的经验教训都将成为评估的依据。
5.根据网络环境的变化调整计划
采取灵活的方法来实施本战略,以适应不断变化的地缘政治格局、威胁环境和技术市场趋势。政府将探索中长期新举措的机会,以确保在实现愿景方面继续取得有意义的进展。为确保我们的行动重点突出、切合目标,我们将每两年发布一次更新的《行动计划》。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
