天津十一选五开奖直播|天津十一选五试机号
HOME > 研究成果 > 專著
專著 paper
網絡就緒指數2.0
2018-06-01
封面

作者: 魯傳穎

出版時間:2018年01月

出版社:信息安全與通信保密雜志社

簡介


譯  者  序


    本書匯集了網絡安全就緒度的方法論和美、日、法等8個國家的網絡就緒度報告,是一本以國家為單位來衡量網絡安全狀況的實用性研究著作。作者梅麗莎?海瑟薇在美國政府中長期從事網絡安全工作,并曾擔任美國白宮國家安全委員會負責網絡安全事務的主要官員,并成立了白宮網絡安全辦公室。其負責制定的《網絡安全政策評估》是美國政府首次把網絡安全提升到戰略層面的一次嘗試,并且得到了奧巴馬總統的高度評價。

    從政府離職后,海瑟薇活躍在學術界和企業界,分別兼任了哈佛肯尼迪學院貝爾弗科學與國際事務中心、哥倫比亞大學技術管理中心高級顧問,同時還為公共和私人客戶進行多學科和多視角的戰略咨詢和戰略制定。海瑟薇先后為多個政府、全球組織、財富500強企業提供網絡安全、企業風險管理和技術評估咨詢。

網絡就緒度是其致力于網絡安全的一項重要成果,希望能夠在對全球網絡安全狀況作出詳細分析之后,給各國政府、學術界和產業界一個參照的對象。不同于其他的指數類排名,本書所含的報告是建立在各國政府的官方政策文件,參與國際和地區網絡安全事務的實踐之上,因此,有較強的參考價值。

    同時也應當注意到,網絡安全本身是一個復雜的領域,涉及到政治、經濟、安全、文化、社會等方方面面。就緒度按照國家戰略、事件響應、電子犯罪與執法、信息共享、研發投資、外交與貿易、防御與危機應對等七個方面進行評估是否能夠完整的反映出實際情況也需要進一步的研究。此外,各個國家的國情不同,并且不同決策體系、層次,甚至文字都給報告的研究帶來了很大的困難。因此,我們也看到各個國家報告的完整性和詳實度方面還存一定程度的差距。

    當然,這些困難和挑戰不僅體現了作者的非凡勇氣和精湛的研究能力,也為我們研究全球網絡安全提供了一個有益的參考。我們希望能夠有越來越多的中國學者加入到全球網安全研究的隊伍中,將目光瞄準更多的國家和地區,在深入研究的基礎上,為全球網絡安全的治理貢獻中國智慧,提供中國方案。

    本書的翻譯過程中得到了海瑟薇女士的大力幫助,她還專門為本書作序,同時,也離不開信息安全與通信保密雜志社的唐莉社長、惠志斌主編的大力支持。本書的翻譯得到了很多業界專家和學者的參與,具體分工如下。魯傳穎副研究員負責美國和日本報告、許曼舒副教授負責印度報告、張騰軍博士負責德國報告、張坤博士負責法國和沙特阿拉伯報告、韓小涵女士負責荷蘭和意大利報告、王衍女士負責英國報告。


                                                                                                                             魯傳穎


                                                                                                                        2017年11月2日





前  言


網絡就緒指數2.0(CRI 2.0)——一項網絡就緒計劃,是建立在2013網絡就緒指數1.0方法論基礎上的基線和指數,力求使網絡不安全造成的經濟損失透明化,并鼓勵各國將本國經濟前景與國家安全重點放在一起。網絡就緒指數2.0 挑戰了傳統意義上認為網絡安全主要是國家安全的論點。它展現了當網絡安全中的安全和韌性可以帶領經濟增長和繁榮時,國家安全與互聯網鏈接及信息通信技術的快速應用交織在一起。

網絡就緒指數2.0由兩個主要部分組成。第一,它客觀地評估和衡量了各國對國家網絡安全風險的就緒水平,以便向各國領導人通報為保護聯系日益緊密的國家和潛在的國內生產總值增長所需采取的措施。第二,網絡就緒指數2.0將網絡就緒的核心組成部分記錄為各國遵循的可操作藍圖,并因此定義了對一個國家來說什么是“網絡就緒”。 這種全面的、比較的、基于經驗的方法在七個基本要素中使用了超過70個獨特的指標,以識別業務就緒的活動,并確定以下類別的改進領域:國家戰略、事件響應、網絡犯罪和執法、信息共享、研發投資、外交和貿易,以及防御和危機應對。由此產生的可操作的藍圖使一個國家能夠更好地了解其互聯網基礎設施的依賴性和脆弱性,并評估其承諾和成熟度,以縮小其目前的網絡安全態勢和支持其數字未來所需的國家網絡能力之間的差距。

網絡就緒指數2.0是唯一公開可以獲得的使用阿拉伯文、中文、英文、法文、俄文和西班牙文撰寫的方法論,并且被各國、國際機構、智囊團、研究人員和公司視為一種平衡資源,用于評估和衡量國家、區域和地方各級的網絡備災情況。通過公布每個國家的詳細概況,CRI 2.0方法論持續得到全球認可。

自2015年該方法論發布以來,已為以下9個國家:法國、德國、印度、意大利、日本、荷蘭、沙特阿拉伯王國、英國和美國出版了國家概況。這些概況吸引了各國對于網絡就緒水平的關注,同時強調了通向網絡就緒的獨特方法。下面的段落就強調了其中的一些觀察所得。

法國正努力將雷恩地區打造成法國和歐洲領先的網絡樞紐。法國把政府機構集中在網絡防御和情報方面,與大學項目和法國工業一道創造一個強大的網絡安全和防御生態系統,產生下一代的技術解決方案,同時發展就業人才隊伍,孵化創業社區企業推動創新和數字經濟。

德國正帶領歐洲利用不同的市場激勵機制來促進網絡安全解決方案的生成。德國政府在以下三個領域提供與網絡安全有關的企業研發獎勵:計算機技術,意味著在數字化的世界中工作;ICT,意味著檢測和解決網絡安全事件;電子流動性,意味著價值鏈提議。此外,德國正積極努力,通過設立一個新的研究所——德國互聯網協會來解決網絡安全專業人員嚴重短缺的問題,并為包括愛因斯坦數字未來中心等其他舉措提供支持(ECDF)。這將連接幾個公共實體和大學,包括柏林工業大學、柏林Freie大學、洪堡大學、柏林大學和柏林慈善醫科大學,以及八所著名的研究機構和兩所應用科學大學。

印度政府發展了一系列培訓中心,以提高其在科學、技術、政策和法律交叉點上的能力和理解力。例如,在班加羅爾印度大學法學院關于網絡法律和取證的高級研究、發展和培訓中心,通過向司法官員、檢察官、調查機構、網絡安全人員、技術人員和其他人提供培訓和教育,將法律轉化為技術術語,反之亦然。目前,該中心由電子和信息技術部資助,它提供了一個獨特的動手培訓部分。此外,在印度政府和印度數據安全委員會(DSCI)以及國家軟件和服務公司協會(NASSCOM)之間建立了一種公私伙伴關系,在孟買、班加羅爾、浦那和加爾各答成立了網絡實驗室。這些實驗室旨在網絡安全和取證方面對執法官員和行業合作伙伴進行訓練。已經有超過49,000人通過DSCI網絡實驗室泛印度項目接受了訓練。

意大利的郵政和通訊警務聯手,與美國保密服務一道建立了歐洲電子犯罪特遣隊(EECTF)。該機構專注于廣泛的“基于計算機的犯罪活動”,包括身份盜竊、網絡入侵以及影響到金融部門和其他重要基礎設施的與計算機有關的犯罪。總部設在羅馬的歐洲EECTF監控計算機網絡使用意大利郵政服務(Poste Italiane S.p.A.)的威脅軟件,從歐洲執法當局、企業、安全解決方案提供商、情報機構和專家收集網絡犯罪信息。此外,EECTF積極共享有關網絡犯罪的信息和警報,并建立了專門的工具,與其他成員組織交流專家意見、知識、最佳做法和共同的解決辦法。這些成員組織包括國際執法機構(例如保加利亞警察、羅馬尼亞警察和西班牙警察)、金融機構(例如美國運通、花旗銀行和萬事達信用卡)、國際組織(例如ENISA、反釣魚工作組APWG、聯合國區域間犯罪和司法研究所UNICRI以及數字犯罪財團)、信息安全廠商(例如卡巴斯基、賽門鐵克和Verizon)和學術界(例如博洛尼亞大學、Salerno大學和都柏林大學)。

日本正在利用即將舉辦的2019屆世界橄欖球錦標賽與2020屆奧運會和殘奧會,建立網絡安全并將其作為國家的優先發展事項,重新重視發展網絡安全能力和應變能力。日本還預計,到2020年本國信息和通信技術部門體量將翻一番,同時宣布其目標是在2020年成為世界上最先進的信息技術(IT)國家。政府正在努力創造合適的環境來實現這一目標,并與即將舉行的奧運會的最后期限相配合。政府正在努力創造合適的環境以期達成這一目標,并與即將舉辦的奧運會的最后期限相契合。事件就緒和網絡安全戰略國家中心(NISC)作為政策的中央協調機制,監測操控大量個人信息的政府相關組織,在危機時期,包括發生對關鍵基礎設施的攻擊時,提供指揮和控制。這也是日本2020年愿景的一個組成部分。

沙特阿拉伯王國正處于成為網絡就緒國家的籌備過程中。2017年7月,沙爾曼國王頒布了一系列王室法令,其中最著名的是設立了國家安全主席。它是一股新的國家安全力量,將集中安全事務的權力,包括網絡安全、反恐和國內情報。該機構將包括之前內政部(MOI)的一部分部門,例如特別應急部隊、技術事務、安全航空、民事和軍事人員以及負責打擊恐怖主義和處理其他安全問題的部門。此外,法令指出或許最早在2018年1月完成從內政部到總統對于國家網絡安全中心(NCSC)的重新配置。NCSC將成為王國中網絡安全的重點。在接下來的幾個月里,國家安全主席將有機會通過開發和制定國家網絡安全框架與策略使沙特阿拉伯變得更為強大,同時通過確保相應的投資,以減少其當前的和長遠的面臨網絡威脅的風險。

荷蘭在提升軍事態勢方面處于歐洲領先地位。它是最早將其軍事網絡任務和能力發展與北約《2010里斯本網絡防御宣言》以及隨后的芝加哥、威爾士和華沙峰會宣言緊密結合起來的國家之一。盡管在其他領域存在軍事縮編和廣泛的預算削減,但是國防部在提升武裝部隊的網絡作戰能力方面仍積極投入。2014,荷蘭成立國防網絡司令部,以領導業務和網絡能力的發展,同時將進攻能力的開發和部署涵蓋進來。荷蘭是歐洲第一個對外承認需要具備進攻性網絡能力的國家,它聲稱,網絡行動應納入軍事任務,并成為任務指揮官工具箱中的又一工具。該國清楚地認識到,安全不僅是一個社會良好運作的前提,而且是其未來經濟發展的保障。

英國于2017年初打開了國家網絡安全中心(NCSC)的大門。NCSC成為產業界和政府之間的橋梁。政府通訊總部(GCHQ)在NCSC中扮演著不可或缺的角色,對國家實施積極主動的網絡防御態勢至關重要。正因為如此,NCSC開始在全國范圍內實現邊界網關協議(BGP)安全和域名系統(DNS)安全。此外,NCSC是網絡威脅情報的英國樞紐——了解對于國家及其企業和公民的威脅。它正在實施可控的安全服務方案、信息共享計劃和其他舉措,以迅速減少脆弱性,提高英國的整體網絡安全。

早在20世紀90年代初期,美國就已認識到在政府與產業界之間共享信息的重要性。然而,針對其網絡環境受到威脅的數量和速度,迫切需要另一種方式來改變“老式的”人對人的信息交換。2015年,美國開始了一個以實時自動方式分享網絡威脅指標和防御措施的計劃。自動指標共享(AIS)系統旨在自動地向以下組織機構提供信息:聯邦部門和機構、私營企業、信息共享和分析中心(ISAC)。為了便于實現實時、自動的信息共享,美國國土安全部正在推進使用STIX、TAXII或CybOX協議——用于編碼和傳輸高保真信息的標準語言、服務和消息交換。這些協議將有助于交換威脅評估和特性(詳細的攻擊模式)、惡意軟件特性、操作事件管理、日志文件、指標共享、數字取證和廣泛的網絡態勢感知。

網絡就緒指數2.0為回答什么是國家網絡就緒制定了標準——直接幫助各國政府繼續開展網絡安全實踐并制定政策。國家概況描述了各國在成為網絡就緒過程中應用的獨特方法,并有助于各國網絡利益相關者深入了解每個國家網絡計劃的根源和目前的成熟程度。國家概況還可以通過跨文化交流的有效做法,促進更好的互動和合作。網絡就緒指數2.0提供了一種全面的(也是易于使用的)的方法論來確定加強安全態勢的基本要素,以防范網絡不安全所造成的對國內生產總值的侵蝕。它可被作為一個工具,用來評估從所有政府和所有國家的角度出發,某一特定國家在成熟度曲線上的位置。網絡就緒指數2.0為各國政府評估和調整其經濟和國家安全倡議。提供了一份藍圖。

                                                                                                           梅麗莎?海瑟薇

                                                                                                                         2017年10月8日





























目錄

目  錄

中文版前言 2

沒有國家做好了網絡準備 6

簡介 6

背景 6

CRI方法論 7

選擇標準 9

初步結果 10

結論 10

網絡就緒報告2.0 針對網絡就緒水平的計劃:基準與報告 11

引言 11

背景 11

1.網絡就緒報告2.0——方法論 12

2.國家戰略 15

3.事件響應 17

4.電子犯罪與執法 20

5.信息共享 23

6.研發投資 25

7.外交與貿易 27

8.防護與危機應對 30

結論 33

參考書目 34

關于作者 40

美國網絡就緒度報告 42

日本網絡就緒度報告 64

印度網絡就緒度報告 72

荷蘭網絡就緒度報告 88

意大利網絡就緒度一覽 113

德國網絡就緒指數概述 128

法國網絡就緒度報告 140

沙特阿拉伯網絡就緒度報告 155



天津十一选五开奖直播 重庆时时彩正不正规 极速时时开奖官网 北京pk赛车直播开奖视频 云南时时网 重庆时时彩后三稳赚技巧 新时时免费软件 重庆时时彩组选包胆一注怎么玩 百人牛牛技巧教程 河北十一选五官方软件 佳兆业