巴西@@网络安全@@战略及其主要特点@@

 

 

　　巴西@@网络安全@@战略全称为@@《联邦@@公共管理机构信息与通讯安全@@和网络安全@@战略@@（2015-2018）》。顾名思义@@，该战略适用范围是联邦@@政府@@及联邦@@其他公共管理机构@@，其涵盖领域不仅是网络安全@@@@，还包括信息与通讯安全@@@@。巴西@@认为@@，信息与通讯安全@@和网络安全@@是网络防御的基础@@，其宗旨是为网络空间@@的使用提供保障@@@@，预防和阻止损害国家利益和社会利益的行为@@。

 

　　该战略极为详细@@，既提出了联邦@@一级政府@@机构网络安全@@规划的指导方针@@、网络安全@@的战略目的和具体目标@@，也规定了所有与数字安全问题有关的国家各机构的特殊职能@@，以及企业@@@@、大学及研究机构@@、公民和社团等社会各界参与制定网络安全@@政策的机制@@。

 

　　网络安全@@战略的战略目的意味着履行现实任务和未来使命的动力@@。巴西@@寄望于通过实施这些战略促成信息与通讯安全@@和网络安全@@的系统性治理@@，以便在联邦@@行政权力范围内实现网络安全@@公共管理制度化@@。

 

　　战略目的共有@@@@10项@@，其中包括@@：建设网络安全@@的系统治理模式@@，提升网络安全@@的成熟度@@，加强网络安全@@问题在政府@@日程中的高度优先地位@@，为网络安全@@的研究@@、开发和创新提供持续性保障@@@@，重视和扩大旨在加强信息关键基础设施安全的行动@@@@，促进建立相关机制以便提高全社会对网络安全@@的认识@@。

 

　　战略目标共计@@38项@@，均为须在特定时间予以落实的具体行动@@@@。2016年@@的目标有@@：在战略政治@@层面确立网络安全@@系统治理模式@@；研发网络安全@@成熟度指示器@@，以此作为联邦@@政府@@各机构网络安全@@跟踪和评估机制@@；协调各方努力@@，建设数字生态系统@@@@（信息与通讯安全@@+网络安全@@+企业@@+科研机构@@），并与网络防御生态系统协同并进@@。2017年@@的目标有@@：在联邦@@政府@@各机构安装并检测网络安全@@成熟度指示器@@。2018年@@的目标有@@：联邦@@政府@@直属机构全部实现网络安全@@自动分析并接受网络安全@@中央管理机构@@—总统府制度安全办公室@@评估@@。

 

 

　　网络空间@@特点导致网络安全@@极具脆弱性@@。巴西@@网络空间@@有四大特点@@。一是互联网@@使用发展迅速@@。2000年@@巴西@@仅有@@@@860万互联网@@用户@@，到@@2014年@@增至@@1亿@@，成为世界第@@五大互联网@@使用国@@，也是脸谱@@、推特@@、YouTube等社交网站使用大国@@。巴西@@还是全球第@@四大信息与通讯市场@@。联邦@@行政权力机关拥有约@@6000个政府@@机构@@，320多个政府@@网络@@，1.65万个政府@@网站@@@@。二是信息三大要素@@—存储@@、处理和传送的前两项@@大部分都在国外@@，而传送国际通讯信息的海底电缆也大多经过美国@@。三是信息基础设施基本由外国跨国公司所支配@@。四是本国网络人才明显不足@@。据巴西@@联邦@@审计法院的数据@@，联邦@@公共管理机构和国企所使用的网络有@@80%在连续性处理事务和交易中出现错误@@，70%在上网控制方面有错误@@，75%在事故管理中有错误@@，85%在风险控制方面有错误@@。在这些构成高度战略性制度核心的企业@@和机构中@@，仅有@@50%任命了信息安全责任人@@，54%拥有关于内部数据下载的规范@@。2009年@@巴西@@电网多次@@遭受网络袭击破坏@@。2011年@@6月陆军电脑系统遭受黑客每天上万次@@的连续性攻击@@。2015年@@5月巴西@@外交部在全球的电子@@邮件和数据系统遭到@@黑客持续性攻击@@，许多机要文件泄密@@，驻世界各地约@@1500名外交官的邮箱受损@@。

 

　　美国监听事件迫使巴西@@加速推出网络安全@@战略@@。2013年@@揭露的美国国安局对巴西@@进行网络间谍活动的丑闻令巴西@@政府@@大为惊讶@@，就连总统本人的通讯也遭窃听@@，而巴西@@石油公司机密被大量窃取@@。巴西@@政府@@深感保护其网络空间@@与维护国家主权密不可分@@。参议院就美国监听事件成立了议会调查委员会@@。该委员会的调查报告要求国家迅速制订网络安全@@战略@@。无疑@@，“棱镜门@@”事件是促成巴西@@出台网络安全@@战略的催化剂@@。此外@@，巴西@@当局对连续举办重大国际体育赛事所带来的安全隐忧也促使其加快推出网络安全@@战略@@。

 

　　前期立法和重大举措为网络安全@@战略铺路@@。巴西@@于@@2003年@@立法建立互联网@@管理委员会并确定巴西@@互联网@@治理模式@@。2008年@@颁布法律@@批准国家防务战略@@，规定网络和空间@@与核共同构成国家防务最重要的三大战略部门@@。同年@@设立全国优化信息安全和密码系统网络@@。2010年@@陆军成立网络防御中心@@。2012年@@经立法规定信息犯罪的刑事立案和量刑标准@@。2012年@@发布@@网络防御政策@@。2014年@@颁布法律@@，公布互联网@@民则@@，规定了互联网@@使用的原则@@、保障@@、权利和义务@@。同年@@颁布法律@@@@，批准采取旨在加强国家网络防御的措施@@，并批准在陆军司令部建制下设立网络防御指挥中心和国家网络防御学院@@。同时还以国防部法规形式公布@@“网络防御军事理论@@@@”。2015年@@发布@@《2014～2015信息与通讯技术总战略@@》。这些法规和举措促使网络安全@@战略水到@@渠成@@。

 

 

　　突出军事理念和军队主导@@。巴西@@网络防御观的形成先于网络安全@@观@@。2009年@@，国防部经由国家防务战略正式提出网络防御的概念@@，并将协调和统筹国防体系内网络防御规划和行动@@的任务赋予陆军@@。国防部以法规形式公布了@@“网络防御军事理论@@@@”和网络防御政策@@，从战略和网络战层面对网络防御分别进行系统阐释和行动@@及战术上的指导@@。巴西@@网络安全@@战略深受网络防御军事理论@@@@的影响@@，比如把外部威胁视为巴西@@所面临的主要网络威胁@@，以维护国家主权作为网络安全@@首要任务@@。专家认为@@，美国监听事件使巴西@@有理由相信@@，网络间谍活动后随之而来的可能就是网络战争@@，这已成为必须严阵以待的危险@@。

 

　　在组织结构方面@@，巴西@@网络防御主要由陆军主导@@。2010年@@国防部成立了网络防御中心@@，隶属陆军司令部@@。2014年@@批准在陆军司令部建制下设立网络防御指挥中心@@，建立和巩固网络防御产品的核准与认证@@，支持网络防御产品的研制与开发@@，以及设立网络防御观察站@@。陆军网络防御中心和网络防御指挥中心是巴西@@军事网络防御体系的重要组成部分@@，该体系的宗旨是网络的保护与利用@@，共有@@5大职能@@：理论@@、行动@@、情报@@、科技和人才培训@@。足见这些机构在巴西@@网络安全@@战略中发挥着重要作用@@。

 

　　巴西@@网络安全@@战略规定@@@@，联邦@@网络安全@@中央管理机构是直接隶属于总统府的部长级制度安全办公室@@。总统府原设有军事办公室@@，后将其撤销@@，改设为制度安全办公室@@。制度安全办公室职能是为总统行使其职权提供军事和安全事务方面的直接协助@@，负责总统@@、副总统的人身安全等@@。其主任通常由一位具有上将军衔的军人担任@@。制度安全办公室主任既是国家防务委员会的执行秘书@@，又是对外关系与国家防务会议的主持人@@。该机构的军事背景也表明巴西@@网络安全@@战略以军队为主导@@。

 

　　分析家认为@@，巴西@@网络安全@@战略突出应对外来威胁@@、突出军事理念和军队主导@@有其地缘政治@@的动机@@，作为一个新兴大国@@，巴西@@希望借助其网络安全@@架构提升地位@@、扩大影响@@，在双边关系和国际舞台显示其软实力@@。但也有专家担心巴西@@的这种选择会本末倒置@@，忽视国内网络犯罪所构成的严重威胁@@。

 

　　强调系统性治理和统筹兼顾原则@@。巴西@@制订和实施网络安全@@战略的思路是@@，在不远的将来@@，先在联邦@@行政权力范围内促成信息与通讯安全@@和网络安全@@的系统性治理@@，而后在适当时机向其他联邦@@机构和全国州市级机构及全社会推广@@，以逐步实现全国网络安全@@领域公共管理制度化@@。这种系统性治理基于一种把全社会和联邦@@各级@@（联邦@@、州和市@@）机构连为一体的模式@@，以使各自信息与通讯安全@@和网络安全@@体系以既自主又协作的方式组织起来@@。这种网络安全@@系统将建立国家和社会之间有效的结合@@，加强信息与通讯安全@@和网络安全@@公共政策的有机性@@、合理性@@、有效性并促进相关的投资和创新行动@@@@。

 

 

　　最高层是中央机构@@（总统府制度安全办公室@@），即信息与通讯安全@@和网络安全@@各领域事务的管理机构@@，负责协调与统筹联邦@@公共管理机构网络安全@@相关战略政治@@指导原则方面的所有行动@@@@。中间层为各部门管理机构@@，从联邦@@政府@@部级到@@基层共分三个层级@@@@，分别是贯彻战略指导原则的责任主体@@和参与者@@。第@@5层级是协作机构@@，包括凡是同联邦@@行政机构保持某种联系的州级和市级机构@@、学术机构@@、企业@@和社会组织@@。

 

　　统筹兼顾原则首先体现于网络安全@@同信息与通讯安全@@统筹考虑@@、全盘应对@@。当今时代@@，网络安全@@和信息安全@@、通讯安全已经高度融合@@、不分彼此@@。为此@@，巴西@@网络安全@@战略采用以下概念@@：

 

　　一是信息与通讯安全@@@@，旨在为信息的可用性@@、完整性@@、机密性和真实性提供可行性和保障@@@@；二是网络安全@@@@，为本国信息社会的存在和延续提供保障@@@@，在网络空间@@保护信息财产及其关键基础设施@@；三是信息财产@@，指存储@@@@、传输和处理工具及其所在处所@@；四是关键基础设施@@，指那些一旦被中断或被摧毁就将对社会@@、经济@@、政治@@、国际关系和国家与社会安全造成严重冲击的设施@@、服务@@、资产和系统@@。

 

　　信息与通讯安全@@和网络安全@@越来越体现为国家的战略职能@@，国家要从网络空间@@维护和保护诸如能源@@、交通@@、电讯@@、水源@@、金融和信息本身等国家关键基础设施@@，也要维护和保护个人权利特别是隐私和尊严@@。

 

　　统筹兼顾还体现为政府@@同企业@@@@、研究机构和社会团体协同努力@@，共谋网络安全@@大计@@。网络安全@@战略将扩大和加强同国内外学术界@@、公共与私人企业@@@@、社会组织的协作列为战略目的之一@@，规定联邦@@政府@@机构应该在网络安全@@领域寻求同社会各界建立协作和伙伴关系@@，以便吸收先进做法@@、技术解决方案@@，鼓励开发新的产品和服务@@@@。这些行动@@有利于减轻对外依赖@@，应该予以高度优先@@。网络安全@@战略还强调加强国际双边和多边合作@@、同跨国网络犯罪活动斗争的重要性@@。

 

　　数字生态系统@@（信息与通讯安全@@+网络安全@@+企业@@+科研机构@@）就是依靠政府@@和全社会协同努力加以建设的@@，其宗旨是支持信息与通讯安全@@和网络安全@@技术的研发@@，比如侦测恶意装置的解决方案和其他网络工具@@，推动数字生态系统@@的建立并促其与网络防御生态系统协同发挥作用@@。有必要完善有利于形成私人部门与大学和研究机构伙伴关系的促进和融资机制@@，加强信息与通讯安全@@和网络安全@@解决方案的研发和生产@@。

 

　　重视本国技术的研发和创新@@。巴西@@认为@@，在网络安全@@领域的研究@@、开发和创新是使巴西@@被世界认可为国际重要角色的基础条件@@，也能使巴西@@因满足保障@@国家主权和公民网络空间@@隐私的需要而受到@@尊重@@。网络安全@@战略规定@@，在科学@@、基础和应用研究@@、技术开发和创新中加强和优先对待信息与通讯安全@@和网络安全@@@@。网络安全@@部门应与联邦@@政府@@科学技术和创新部密切合作@@，以便提高知识生产@@，同时使相关的产品@@、服务@@和技术以及有关生产部门取得增值效益@@。

 

 

　　一是研发信息与通讯安全@@和网络安全@@领域解决方案@@，这项@@工作建立在硬件和国家专用密码规则基础之上@@，旨在确保联邦@@公共管理机构之间战略通讯的保密性@@、完整性@@和真实性@@。二是建立全国信息与密码系统安全网络@@，这个项@@目整合全国研究人员的努力@@，促进信息和密码系统安全知识的交流与新方案的开发@@。三是加速建立数字生态系统@@@@（信息与通讯安全@@+网络安全@@+企业@@+科研机构@@），以便支持信息与通讯安全@@和网络安全@@技术的研发@@。四是推动联邦@@政府@@信息与通讯安全@@和网络安全@@环境的标准化@@，制定既能做到@@设备与服务@@规格一致化又能确保政府@@采购合理与优化的计划@@。

 

　　为了在联邦@@公共管理机构建立信息与通讯安全@@和网络安全@@的规范性架构@@，必须寻求管理模式@@、技术解决方案@@、标准等的经常性更新@@，以便跟踪全球信息通讯技术进展和和技术衔接的发展动向@@。

 

　　为实施网络安全@@战略@@，巴西@@陆军网络防御中心在巴西@@南部伊泰普技术园区设立了战略基础设施网络防御技术的首创项@@目@@—电子@@、通讯和网络安全@@实验室@@，旨在研发巴西@@自己的网络防御解决方案@@。该实验室是巴西@@国家信息安全和密码系统网络@@9大项@@目之一@@。该网络的其他@@8个项@@目还包括保密传递协议以及研发网络攻击防御@@、阻止网络入侵解决方案和防御模拟器等计划@@。网络防御中心主任保罗@@·塞尔吉奥@@·梅洛将军说@@，巴西@@寄望该网络将@@“巴西@@置于世界数字安全和密码系统强国之列@@”。