(原标题:荷兰网络空间安全建设举措透视)
为了应对网络威胁全球化和复杂化给荷兰网络安全带来的诸多问题,荷兰政府采取一系列举措抵御风险。
1. 搞好网络安全顶层规划
1999年6月,荷兰发布GigaPort I(1999-2004)计划,提出要确保信息系统和通信设施的安全。荷兰政府每年发布的《国家风险评估报告》,都把网络安全做为一项重要内容进行阐述。2010年国家安全智囊团发布《网络犯罪和数字安全趋势报告(2010)》 和 《ICT 的脆弱性与国家安全报告》,对网络安全发展提出了对策建议。
2011年2月,荷兰颁布首部国家网络安全战略,提出了网络安全建设的7项基本原则:整合网络安全行动方案;加强政府部门与私营部门合作;强调全民网络安全责任;明确部门职责,分工协作;积极开展网络安全国际合作;确保各项网络安全措施均衡发展;提倡自律,加强网络法规建设。确立了网络安全战略目标:强化数字化社会的安全,提升民众、企业界及政府使用ICT的信心。制定了网络安全六大具体举措:设立网络安全委员会与国家网络安全中心;加强网络威胁预警与风险分析;提高关键信息基础设施的可恢复性(弹性);提升应对网络威胁的紧急响应能力;打击网络犯罪;鼓励网络安全研究与教育。
2013年10月,荷兰安全与司法部发布《国家网络安全战略2:从感知到能力》,提出了网络安全的五大战略目标:通过整合公私部门的行动,增强信息与通信技术系统在网络攻击后复原的能力,保护国家重大利益;打击网络犯罪;对保护隐私的安全信息与通信技术产品和服务进行投资;推动国际合作,建立确保数字领域的自由、安全、和平的联合行动机制;提高网络威胁感知能力,推动信息与通信技术及网络安全领域的创新。
2. 完善网络安全管理体系
荷兰建立了比较完善的政府部门与私营机构相结合的网络安全管理体系,对国家的网络安全工作进行全方位的管理。政府部门方面。目前,荷兰共有20多家政府部门担负网络安全管理职责,包括安全与司法部、内政与王国关系部、经济部、国防部、外交部以及研究、教育与科学部等。其中,警察部、公检处、财政情报与调查处、安全与司法巡视组、情报与安全处负责网络安全的立法和国内网络安全管理;电信部门、中央银行等负责网络数据保护和银行业的信息安全规章制定与监管。另外,荷兰安全与司法部还组建了负责网络安全的专职机构——网络安全委员会和网络安全中心。
私营机构方面。荷兰由政府主导成立了多个由私营单位参与的网络安全职能机构,做为政府部门的辅助管理机构,主要包括:金融部门(商业银行、荷兰银行协会(NVB)和荷兰电子商务平台(ECP))以及重要服务的提供商、荷兰科研组织(NWO)、以及由政府财政支持的独立研究机构(如荷兰应用科学研究组织)等学术机构。
3. 健全网络安全法律规范
荷兰政府大力加强网络安全的立法工作,建立了比较完善的网络安全法规制度和行为准则。1991年荷兰颁布《政府信息公开法》,要求威胁到王国统一,损害国家安全,或者包含由自然人或法人向政府秘密提供的关于公司或者生产工艺的数据不得公开。1998年通过《个人数据保护法》,对政府机关搜集利用和传播个人信息进行了规范。数据法规定:个人数据处理应当依法进行,方式合理得当;个人数据收集必须准确属实,合法正当;数据主体对其个人数据处理已经作出明确同意;个人数据的处理不能超出该数据的获取目的的范围;个人数据的收集目的和处理目的实现后,该个人数据不得以数据主体被识别的形式继续储存等。2003年,颁布《电子签名法》,保证电子交易的顺利进行和内部市场的有效运行。2004年,颁布《电子商务法》,确保信息服务自由流动,涵盖信息服务、服务提供者的设立、商业通讯、电子合同、电子交易、中介责任、庭内及庭外争端解决等内容。同年还颁布《电信法》,对电信监管、安全和隐私保护进行了规范。2012年6月4日,通过《电信法(修正案)》,增加“网络中立”条文,并提出为了保障网络安全和网络正常运行,要保护终端用户的权益,在终端用户事先明确同意的前提下,对那些未经请求的电子通讯(如垃圾邮件)的传输进行封堵。2011年12月,荷兰通过一项隐私法,规定将嫌犯照片或视频放到网上的做法为非法行为,被发现后可处以高额罚款。2013年5月,荷兰政府宣布,计划立法允许警察以黑客手段打击网络犯罪。同时,荷兰的《知识产权法》还对网络域名的注册和管理进行了明确。
4. 发展网络空间军事能力
一是发布《国防网络战略》,顶层推进网络空间军事能力建设。2012年6月,根据《国家网络空间战略》要求,荷兰国防部发布了《国防网络战略》,明确国防部网络空间的三大核心任务:保护领土完整、维持社会稳定和法律秩序,对立法、救灾及人道主义援助的民事部门提供网络支持。其中特别指出,要加强军队在网络空间的适应性和军事能力。并提出了六项发展重点:将网络融入一体化作战、提高网络防御能力、发展进攻性网络军事能力、提高信息收集和安全技能、鼓励网络空间创新、加强网络空间的多方合作。
二是建立网络空间力量。2012年1月,荷兰国防部设立了网络防御特别工作组,以收集网络威胁情报,协调信号情报机构与网络安全单位的合作;开展网络侦察任务,探测分析网络漏洞和应对网络攻击。2013年,成立联合信息管理司令部(JIVC),负责保障国防机构网络和系统的复原能力。2012年对国防计算机应急响应小组(DefCERT)进行扩充,并纳入联合信息管理司令部管辖,负责国防主干网络的安全工作。具体任务是监督和确保支持军事作战的信息系统能够可靠、平稳地运行;实行24小时工作制,以便及时评估威胁和漏洞,为军队提供安全措施建议。另外,该小组也为民事机构的网络威胁提供支持,还与国家网络安全中心签署了一项谅解备忘录,正式展开信息互换及相互支持方面的深入合作。2013年,通过加强工业控制系统(ICS)及监控与数据采集系统(SCADA)方面的专业力量,DefCERT的能力得到了进一步拓展,可为武器及传感器系统提供更好的保护。2014年9月,荷兰成立国防部网络司令部(DCC),负责网络空间的军事作战,为国家网络安全提供支援。网络空间司令部设有三个部门:①作战部,由网络顾问组成,负责为作战指挥官提供网络作战支援。②技术部,由具有专业知识和技能、能在网络领域实施进攻行动的网络专家组成,负责网络防御和作战支援。③国防部网络技术中心(DCEC),负责向军队提供网络知识、作战概念/条令、教育与训练,还与研究机构、大学和其他(国际)研究中心合作。
三是提升网络作战能力。荷兰《国防网络战略》强调,必须“加大投资力度”,增强网络作战能力。从2011年至2015年,荷兰拨款5,000万欧元用于网络作战能力的提升。2012年1月,荷兰组建网络特遣部队(Task Force Cyber),旨在形成包括攻击能力在内的网络战能力。网络特遣部队的任务是制定网络空间作战条令;制定部署想定方案;明确攻击装备的使用效能及后果;对网络空间军事行动中的网络作战、网络防御和网络情报等工作进行协调;开展网络培训和教育等。2014年9月,国防网络司令部(DCC)取代了网络特遣部队,成为军队网络作战的指挥机构,由皇家陆军进行统一管理。国防网络司令部将重点发展防御、情报和攻击能力,确保在2015年年底前实现军队的网络攻击能力达到可随时部署的状态。
四是增加网络情报能力。一方面,扩大国防情报与安全局(DISS)的职责范围。除了定期向国防部和军队提供情报和安全信息外,DISS还负责收集和分析计算机网络防御(预防及发现威胁)以及计算机网络应用(加强数字领域的情报能力,为军事行动提供支持)中的涉军信息,并参与军队的计算机网络攻击(CNA)能力建设。另一方面,组建联合信号情报小组(Joint Sigint Cyber Unit, JSCU)。2014年6月,荷兰将国防情报与安全局的信号情报(SIGINT)部门与情报和安全总局的网络部门进行整合,组建了新的JSCU。JSCU接受国防情报与安全局、情报和安全总局的双重指挥,由一个执行委员会负责管理,该委员会成员包括:总务部、内政与王国关系部和国防部的秘书长。JSCU的目标是:通过整合国防情报与安全局及情报和安全总局的网络专业能力和信息,增强创新能力,提高两个机构的网络情报能力。
5. 开展网络安全监管行动
为确保国家的网络和信息安全,荷兰政府大力开展网络安全监管行动。2004年11月,荷兰政府称,将对网络犯罪采取更严厉的惩治措施,盗取计算机信息的黑客将面临一至五年的监禁。2005年11月25日,荷兰最高法院命令一互联网服务商禁止用户发布不实的信息。2007年2月2日,荷兰法庭将两名攻破全球数百万台电脑并利用那些电脑从事网络犯罪活动的黑客送进监狱。2008年8月15日,荷兰高科技犯罪部门逮捕了两名黑客,并摧毁了他们搭建的大型僵尸网络。2011年3月14日,荷兰五家网络服务提供商发起联合行动,对网上非法文件交换活动进行打击。2011年11月,荷兰法庭判决ZOEKMP3 网站停止向网民提供下载未经授权的MP3音乐的链接。判决书称,如果ZOEKMP3网站不服从判决,将会被处以每日1万欧元或每份盗版文件1000欧元的罚款。2013年5月21日,荷兰警方逮捕了对国际反垃圾邮件组织(Spamhaus)开展史上最大规模网络攻击的黑客。11月30日,荷兰数据保护局称,谷歌公司统一的信息保密和服务间的信息共享规则与荷兰数据保护法规发生冲突,决定对谷歌公司采取处罚和强制措施。
6. 加强网络安全国际合作
荷兰网络安全战略指出,网络威胁的跨境特性使加强国际合作非常必要,必须建立公平的网络安全国际平台,共同应对网络威胁。一是积极参与国际网络安全活动。二是广泛加强与世界各国的网络安全合作。