摘要：

2014年，各國政府面臨的網絡安全形勢依然嚴峻，網絡攻擊數量持續增長，攻擊手段日趨復雜，安全風險進一步擴展到移動應用、關鍵基礎設施領域。各國政府對網絡安全越來越重視，網絡安全保障逐漸從機構設置、隊伍建設等向實際工作層面轉變。本章分析了2014年國內外政府的網絡安全形勢，概述了各國政府在網絡安全管理和新技術新應用安全方面采取的措施。

一 政府網絡安全形勢日益嚴峻

（一）多國政府網站和信息系統受嚴重攻擊，威脅加劇

2014年，各國政府面臨的網絡安全形勢依然嚴峻，遭受網絡攻擊的數量呈現增長趨勢，網絡攻擊手段越來越復雜化，網絡攻擊的范圍進一步擴展到移動應用、關鍵基礎設施領域。

多國政府網站、信息系統頻繁遭受黑客攻擊，導致政府網站無法訪問，甚至癱瘓，包括機密文件在內的政府內部文件可能遭到泄露，政府網站存儲的用戶信息遭泄露，國家公用系統無法使用，部分政府機構信息系統遭到破壞甚至遭黑客控制。表1列出了2014年部分國家和機構網站遭受攻擊的情況。

（二）國內政府部門網站系統屢受攻擊，危害升級

政府部門日益成為世界各國刺探情報、敵對勢力攻擊破壞的主要對象。數據表明，我國一直是網絡攻擊的最大受害國之一。國際上以“反共黑客”“匿名者”為代表的境外反共黑客組織，長期以來將我國政府部門的信息系統作為攻擊的主要目標。他們主要攻擊我國政府網站以及部分高校與社會組織網站，攻擊成功后，即篡改網頁，在網頁上顯示“反共”口號，發布的言論經常與當前一些時事熱點相結合，煽動性強，負面影響大。2014年10月，由“匿名者”發起的黑客攻擊事件，就是境外黑客組織為炒作香港“占中”事件，借機煽動反動勢力阻撓中央政策執行的大規模、有組織性的網絡攻擊行為，通過破壞國內政府網站來宣揚其反動思想。值得一提的是，由于政府高度重視，全方位備好應急響應措施，此次大規模攻擊行為遠遠沒有達到反動黑客預期的破壞效果，極大地打擊了反動勢力的囂張氣焰。這也說明足夠的重視配以積極的防治手段，就能有效遏制攻擊行為。

“反共黑客”組織在國際黑客圈內小有名氣，號稱提供“最新、最快、最全的反共黑客們的戰果匯報”，具有很強的意識形態色彩和“冷戰思維”。活動兼具周期性和持續性特點，每周都要攻擊兩三個網站，公布在其官網上，并在谷歌地圖上做標記，注明攻陷網站名稱和具體時間，然后通過Twitter等網絡媒介迅速擴大影響。據統計，截至2014年12月初，“反共黑客”組織本年度已對我國境內131個政府網站實施了攻擊，攻擊手段依舊以網頁篡改、打出反動標語為主，但攻擊目標由最初的網頁、服務器，擴大至有線電視、LED戶外顯示屏等。據觀察，該組織攻擊形式有由“線上”轉為“線下”的趨勢，配合當前時事熱點，其煽動程度更強和波及范圍更廣。部分影響較為惡劣的攻擊事件如表2所示。

　　表2 部分中國政府網站/系統遭受“反共黑客”攻擊情況

　　續表

我國政府網站被篡改事件的數量自2011年起呈下降趨勢，但從2013年又開始反彈（見圖1）。

　　圖1 歷年我國政府網站遭受篡改的數據

2014年，我國政府網站被篡改事件數量較上年同期略有下降，總量將少于2013年，但依然遠遠高于2012年總量（見圖2）。這說明，政府網站安全保障措施初見成效，但形勢不容樂觀，還需要進一步的監測與防范。

　　圖2 2012～2014年我國政府網站被篡改情況

政府網站被植入后門現象依舊大面積存在，不過同比下降明顯。據CNCERT統計，2014年1～10月被植入后門的政府網站數量累計為1601個，遠低于上年同期值（見圖3）。這與規范安全管理、加大防范力度密切相關，各方面手段頗見成效。

　　圖3 2013～2014年我國被植入后門的網站數量

此外，部分政府網站已經成為地下黑客廣告產業鏈的重要一環。一些黑客采用“掛馬”、“暗鏈”手段，大肆在政府網站添加廣告，利用政府網站流量大、瀏覽用戶數量多等特點，賺取點擊數量，非法獲利。為健全打擊治理黑客地下產業鏈的長效機制，政府與有關行業開展了持續的專項行動，采取一系列措施防范和治理黑客活動，在網絡釣魚防治、木馬和僵尸網絡監測等方面取得一定成效，但現存問題依然十分突出，形勢不容樂觀，相關工作任重而道遠。

二 政府網絡安全管理穩步推進

面對日益嚴峻的網絡安全形勢，各國政府進一步認識到網絡安全保障的重要性，紛紛加強網絡安全管理，采取了一系列措施加強本國網絡安全保障。

（一）美國加強政府信息安全管理

1.持續推動《聯邦信息安全管理法案》實施

（1）《聯邦信息安全管理法案》實施進展概況

隨著政府信息化建設不斷深入，美國政府面向公眾提供信息服務的能力不斷提高，但同時帶來了新的安全風險。針對新的安全風險，美國政府按照《聯邦信息安全管理法案》（Federal Information Security Management Act，FISMA）的要求，提出了階段性的網絡安全跨部門優先目標戰略，在2012～2014年，實施可信網絡連接、信息安全持續監控以及強驗證。

可信網絡連接指的是通過整合政府外部通信連接，實現政府信息系統互聯網連接的最優化和標準化。為實現這一目標，政府組建了名為TICAP的網絡提供服務運營商提供可信網絡連接運營，要求這些運營商擁有具備保護聯邦系統和信息所需的基本安全能力，包括防火墻、惡意軟件防護策略、入侵檢測系統以及網絡安全運營中心，并且需要在第一時間將監測到的安全威脅通報給計算機應急響應小組。同時，針對云計算、移動互聯網應用在政府信息系統的發展，2013年國土安全部結合相關部門對云服務連接、移動互聯網等提出了安全管理要求。

信息安全持續監控是美國《聯邦信息系統應用風險管理框架指南：安全生命周期方法》提出的風險管理框架的主要組成部分之一，是指維護對信息安全、脆弱性和威脅的感知，從而支持風險管理決策。2013年11月，美國管理和預算辦公室就信息安全持續監控公布了《提升聯邦信息和信息系統的安全》備忘錄，為政府機構提供信息系統持續監控的政策框架，其中對信息系統實時監控、信息系統如何升級至動態即時授權、如何構建用于網絡安全實時感知的技術基礎設施等進行了描述，同時，國土安全部還推出了“持續診斷與減輕”計劃，與美國總務管理局共同推出一項覆蓋所有政府部門的一攬子采購合同，聯邦、州和地方政府可以利用此合同來部署一套基本的信息系統安全實時監控系統。

強驗證指的是所有國家重要基礎設施涉及的信息系統對使用人員進行足夠強度的認證，確保只有經過授權的人員才可以進入政府系統和應用。該戰略始于2004年8月簽發的國土安全12號總統令，要求政府機構在簽發和使用聯邦個人身份驗證智能卡證書時必須遵循特定的技術標準和業務流程，包括驗證員工和承包商身份所需的標準化背景調查。2013年，該戰略的重點為充分發揮個人身份驗證卡的功用，并已累計向約540萬聯邦雇員和承包商簽發了個人身份驗證卡。2013年9月，為適應移動設備對政府信息系統的接入要求，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）對國土安全12號總統令標準進行了修訂，實現了個人身份驗證證書與移動設備和技術進步的整合。

（2）隊伍建設取得進展

FISMA中的《國家網絡安全勞動力框架》為美國政府各部門提供了制訂人力資本管理計劃中安全人員計劃管理基線，包括定義角色、設計資質模型、標準化崗位描述以及提供專門培訓。2013年3月，該框架進行了修訂，由美國人事管理局和聯邦首席信息官委員會根據該框架要求培養聯邦網絡安全人才。2013年10月，人事管理局將網絡安全管理崗位正式納入企業人力資源一體化數據庫，進一步完善了政府、企業的網絡安全人才體系。

根據FISMA對《首席財務官法》涉及的24家聯邦機構2013財年的信息安全指標進行的分析顯示，目前FISMA關注的安全管理能力主要包括：自動化資產管理、自動化配置管理、自動化漏洞管理、可信網絡實施、個人身份驗證、便攜設備加密、域名系統安全、電子郵件加密、遠程訪問安全、人員培訓和未授權軟件管理，這些能力大都在2013財年得到一定程度的提升。美國政府各部門網絡安全管理工作中，事故響應與報告、安全培訓、遠程訪問管理和安全資本規劃等方面工作做得較好，信息安全實時監控、自動化配置管理、風險管理以及應變規劃等方面工作做得最差。

　　2.加強網絡安全應急響應評估

（1）開展網絡安全應急響應評估工作

面對日益復雜的網絡安全形勢，對網絡安全突發事件進行有效的應急響應能在一定程度上遏制其產生更大范圍的不利影響。2013財年，美國計算機應急響應小組監測到聯邦機構上報的網絡安全事件有46160起，數量居近三年之首，比上個財年上升約33%，共收到網絡安全事件報告近22萬起，其中對聯邦政府造成影響的有6萬多起，較2012年增長了26%。美國政府問責局（Government Accountability Office，GAO）選取了《首席財務官法》所涉及的24家聯邦機構作為調查對象（見表3），這些機構全年共發生網絡安全事件43931起。GAO對其網絡安全事件應對情況做了調研，包括這些機構在出現網絡安全事件后采取的應對措施及其行為的記錄情況，以評估這些機構網絡安全應急響應能力，并深入分析應急響應能力不足的原因，為提升聯邦機構應急組織管理水平和保障能力提供對策建議。

　　表3 美國《首席財務官法》所列24家聯邦機構

（2）調查評估方法

GAO以2012財年報告的網絡安全事件的統計樣本為基礎，判斷24家聯邦機構是否采取了有效應對措施。同時，GAO還隨機選取了6家機構（能源部、司法部、住房與城鎮發展部、運輸部、退伍軍人事務部以及國家航空航天局），每個機構選取40起網絡安全事件，如非授權訪問、拒絕服務攻擊、惡意代碼入侵等，對不同安全事件的響應策略、計劃和流程進行了評估，以判斷其是否滿足聯邦機構應急管理的標準和要求。此外，GAO通過了解聯邦機構主要官員處理應急事件的經驗，以調查國土安全部和計算機應急響應小組以往發布的網絡安全事件相關的政策、要求和指南的應用情況。

（3）調查評估分析結果

評估結果表明，這些機構對美國計算機應急響應小組監測到的65%的網絡安全事件沒有采取有效應對措施。深入分析有以下幾點原因。

①對網絡安全事件應對舉措沒有詳細記錄，無法為后續開展應急行動提供經驗參考。

大多數聯邦機構僅僅記下了遭受網絡安全事件而采取應對行動的次數，但并沒有詳細記錄如何進行事前準備、事中分析和處理、事后恢復的具體舉措，無法清楚說明是否采取了預防措施以防止此類事件再次發生。

②責任主體不明，具體職責不清，難以有效開展應急處置。

GAO對選取的6個聯邦機構應急管理情況進行了深入分析，發現僅運輸部、航空航天局對網絡安全責任部門進行了劃分，其他機構尚未明確網絡安全責任部門及其具體職責，這可能會導致一旦發生網絡安全事件無法及時調動相應人員進行有效應對。

③尚未對網絡安全事件影響進行分級分類，無法決定安全事件應急處理的優先級次序。

僅司法部、航空航天局考慮了安全事件應急處理優先級問題，其他的聯邦機構沒有明確網絡安全事件所造成的影響，也沒有對事件所造成后果的嚴重程度進行排序，無法為緊急處理安全事件的優先級次序提供依據。

④尚未對應急響應能力建立科學有效的衡量指標，無法量化能力評估結果并提出有針對性的改進建議。

除了司法部對應急響應能力建立了初步的衡量指標外，大多數聯邦機構尚未對遭受到的網絡安全事件處置能力進行有效評估，對能力高低及強弱無法進行客觀的評價，以及沒能提出有針對性的改進措施，這導致難以快速提升應急響應能力。

⑤制定的應急響應計劃、流程等沒有完全符合聯邦政府安全事件應急響應的相關標準或要求。

盡管大多數機構制定了一些策略、計劃和響應流程來指導他們對安全事件做出響應，但是仍未完全符合聯邦機構安全事件應急響應的有關標準的要求，如NIST 800-61系列標準。同時，很多機構尚未針對網絡安全事件制定相關政策，也沒有對響應措施進行有效監督和管理，直接導致這些機構應對網絡安全事件的響應和處置能力不足。

⑥美國計算機應急響應小組等國家技術力量對聯邦政府有效應對網絡安全事件的援助還有待加強。

通過對24家機構的高級官員進行調查，GAO掌握了計算機應急響應小組等技術力量協助聯邦機構處理網絡安全事件的基本情況，調查表明這些機構對于計算機應急響應小組在網絡安全事件處置、增強風險意識、制定優化網絡安全應急響應策略等方面提供了較大幫助，但同時還有很大的改進空間。

3.加速網絡安全信息共享進程

2014年7月8日，美參議院情報委員會以12：3的票數通過了《網絡安全信息共享法案2014》（Cybersecurity Information Sharing Act of 2014）。制定該法案的主要目的是在政府和私營部門之間鼓勵和開放更多種類的信息共享。

（1）《網絡安全信息共享法案2014》

該法案一共包括九個部分，包括聯邦機構之間進行信息共享的原則、信息共享的對象、對共享信息進行收集和安全利用的有關要求，以及參與信息共享相關部門的職責等。

該法案明確了聯邦機構之間信息共享的原則是必須以保護公民隱私和自由為前提，國家情報部門、國土安全部部長、國防部長和總檢察長將和聯邦機構負責人一起建立信息共享的機制和制定發布信息的流程；明確在信息共享中關于共享信息、監控對象、應對措施的授權規定，以保證共享的威脅信息及應對舉措的安全性、機密性。例如州、部落、地方等相關部門出于預防、調查或起訴犯罪行為的目的，可通過預先書面同意或口頭同意的方式使用共享的網絡威脅信息。特別指出每個私營部門在共享信息之前應剔除不相關的個人信息，以防止未經授權的情況下披露給其他部門或聯邦政府。該法案要求總檢察長制定聯邦政府共享網絡威脅信息和應對措施的策略和流程，并在該法案施行60天內提交臨時版，180天內提交正式版。明確國土安全部對信息共享的職責，要求國土安全部長能夠實時接收任何機構提供的電子版網絡威脅信息及對策。同時對聯邦政府共享或提交的信息進行相應規定，強調為聯邦政府提供的信息不影響商業秘密保護法等相關法律規定，該信息應被視為與商業、金融信息一樣的專有信息。此外，只能以消除網絡威脅、保障網絡安全為目的披露、保存和使用共享信息，自愿性共享信息等應免予披露。

（2）美國開展信息共享的相關做法

美國提倡信息共享由來已久。2001年的《四年防務審查》即顯示了美國國防部對信息共享的初始需求。從那時開始，美國從戰略、政策和技術等多方面推動了跨機構、跨政府乃至多個國家信息共享機制的建立和發展。2005年13388號總統令《通過進一步加強反恐信息共享來保護美國》明確規定了多國信息共享內容，要求國防部機構和各個軍種與跨機構組織共享保密和非保密的信息。當前，網絡空間被視為未來網絡競爭和對抗的主戰場，美國將國防安全信息共享的思維直接應用在了網絡空間領域。尤其是在關鍵基礎設施安全保護方面，大部分文件將政府與私營部門的合作與信息共享列為重點內容。例如1998年第63號總統令鼓勵政府與企業建立信息共享和分析中心，2002年《國土安全法》確立了關鍵基礎設施的信息共享程序，明確要求各行業設立信息共享和分析中心，以收集、分析和披露關鍵基礎設施相關信息，并對泄露信息的行為規定了相應的處罰。2013年發布的第13636號行政令，明確要求國土安全部采取措施推進網絡安全信息共享，包括與國家情報局、司法部、國防部等進行合作。同期發布的第21號總統令更是直接將促進政府部門之間以及關鍵基礎設施所有者和運營者之間的有效信息交換作為三大措施之一。

（二）日本加強網絡安全管理

2014年，日本制定了網絡安全法律法規、提升組織級別、開展國際合作等多方面強化網絡安全的措施。5月12日，日本首相和以色列總理達成協議，同意以建立“一種新的全面合作伙伴關系”的方式來加強網絡安全防御合作。5月15日，日本召開有關網絡攻擊對策工作會議，明確中央和地方政府的網絡安全責任和義務，要求電力、金融等重要行業密切配合政府開展網絡安全相關工作。5月19日，日本召開了政府信息安全政策會議，明確在日本政府新設立統籌網絡安全事務的“網絡安全戰略總部”，由內閣官房長官任總部長，通過制定跨部門計劃和開展國際合作等強化網絡安全管理。

（三）東非國家加強網絡安全管控

隨著東非國家信息化建設發展，東非地區的網絡攻擊、網絡犯罪呈現高發態勢。據報道，2013年肯尼亞因網絡犯罪損失了2330萬美元；2010～2013年第一季度，坦桑尼亞因網絡金融詐騙損失610萬美元；德勤會計師事務所報告指出，60%的東非銀行易受網絡攻擊。為應對逐漸猖獗的網絡攻擊，肯尼亞、烏干達和坦桑尼亞等東非國家正加速網絡立法程序，該法律涵蓋數據安全、網絡犯罪、信息系統和電子交易。肯尼亞的《2014年網絡犯罪和計算機相關攻擊議案》草案已提交議會審議。早在2011年，烏干達政府就通過了三部網絡法律，目前更嚴厲的網絡犯罪法正在制定中。坦桑尼亞第一部網絡犯罪法《數據保護與隱私法》已啟動制定程序，隨后還將制定《計算機和系統法》和《電子轉賬法》等，以此構建完整的網絡法律體系。與此相對應，東非國家紛紛成立網絡管理部門加強管控。肯尼亞通信委員會已經成立了網絡安全指導委員會。肯尼亞主持的一個網絡犯罪管理工作組正在協調旨在根除東非共同體五國網絡犯罪的活動。肯尼亞還帶頭建立了東非地區的國家計算機應急小組，主持東非通信組織網絡安全工作。此外，布隆迪和烏干達也都在籌備建立計算機事件應急小組。