一、网络安全的国家战略
1. 成功国家战略的三个重要特征:
1)能够融入现有的,与关键公共和私人利益相关者合作制定和实施的文件。战略具有足够的灵活性,能适应不断变化的网络安全环境。
2)能够基于清楚表达的原则,反映社会价值观、社会传统和法律原则。政府以安全的名义制定的政策如果不能清晰表达并整合为指导原则,就有可能会侵犯这些社会权利和价值观。
3)战略基于风险管理方法。政府和私营部门合作伙伴要对必须管理或减轻的风险达成一致。
2. 网络安全政策的六项基本原则:
1)基于风险并具有适用性。当今,“风险”本身的定义正在改变,“风险”可能意味着原地不动,因为停步不前的组织和国家可能会因此失去竞争力并被超越。可以通过引入基于风险的框架,使组织能够持续创新和采用新技术,且不使国家暴露于不必要的网络安全风险。
2)聚焦结果。法规应强调所需实现的最终状态,而不是规定实现目标的方法。在瞬息万变的网络安全世界中,规范性方法很快会过时,或使该国与国际最佳实践脱节。
3)区分等级。网络安全政策应采取划分等级的方法,优先考虑关键的基础设施风险。
4)切实可行。应避免网络安全政策对必须遵守这些政策的组织或负责执行合规性的机构施加过度的负担。与行业和相关机构的接触是确保政策切实可行的第一步。
5)尊重隐私、公民自由和法治。治理网络空间如果以牺牲隐私、公民自由和法治为代价,会损害该国的法治声誉,最终使组织无法将数据存储在国内。因此需要一种平衡的方法来尊重这些基本原则。
6)全球相关。国家方法应尽可能地整合国际标准,尽可能实现全球协调的目标。
二、建立和授权国家网络安全机构
构建有效的国家网络安全机构的四项建议:
1. 任命一个单一的国家网络安全机构:虽然网络安全问题可能会涉及许多传统的政府机构政策领域,如司法、财政、国防或外交事务,但集权化将有助于建立网络安全最佳实践的基准水平。
2. 为国家网络安全机构提供明确的授权:所有的利益相关者都必须清楚地知道国家网络安全机构的任务职责。同时,国家网络安全机构的职责要与其他涉及网络安全的政府组织的职责相区分。
3. 确保国家网络安全机构具有适当的法定权力:目前,大多数国家的网络安全机构并非依据法规建立,而是由政府其他部门的现有权力委托建立。这可能造成其受到多个基本规定的约束,可能不足以向国家网络安全机构提供其有效履行新职能所需的所有权力。
4. 采用五部分(five-part)组织结构:
a)政策和规划单位(unit):负责国家网络安全政策、战略和计划的发展、协调、调整和整合。
b)外拓和伙伴关系单位:领导和管理政府与其他国家、机构和私营部门之间的关系和接口,建立和管理政府间咨询委员会和公私合作伙伴关系。
c)通讯单位:协调各类通讯事宜,包括信息、文件和出版物,以及代表国家网络安全机构向所有利益相关者发布的声明。
d)实施单位:负责确保有效的协调和部署以应对网络威胁。
e)监管单位:负责监督网络安全条例的遵守情况,包括发布指南,帮助组织了解相关要求。
三、开发和更新网络犯罪法
1. 有效的网络犯罪法律框架的六个目标:
2. 有效的网络犯罪法律框架应基于六个广泛适用的最佳实践:
1)确立必要的调查权:必须明确权力的适用范围,以保证其使用时法律层面的确定性;并且必须有足够的法律权威,例如在寻求访问数据时需获得搜查和扣押令。
2)促进与私营部门的合作:1)创建安全港协议,防止无意将研究人员和受到适当监管的私人调查员定罪;2)要求公私部门以及私营部门之间进行信息和数据共享;3)允许有限并受到适当监管的私营部门执法和主动防御。
3)实现调查权力与隐私和公民自由之间的平衡:虽然建立适当的调查权是解决网络犯罪的必要步骤,但政策制定者必须将其与现有的隐私期望、法律和规范相平衡。
4)以结果聚焦的方式定义犯罪:微软鼓励决策者重新思考犯罪结果构成,补充对犯罪行为的现有定义。网络犯罪的定义必须对操作层面而言足够具体,并且足够广泛和具有前瞻性,能够涵盖新的、未知的网络犯罪策略。
5)依靠认可的定义:采用与广泛接受的国际标准相一致的网络犯罪法。例如,欧洲委员会制定的布达佩斯公约为网络犯罪立法提供了一个良好的模式,能够协调法律并促进跨境合作。
6)建立全球合作:需在三个核心领域实现更好的全球协调:1)解决刑事安全避难所;2)解决双重犯罪原则;3)实现全球证据收集。
四、开发和更新关键基础设施保护法
制定关键基础设施保护法律的最佳实践:
1. 识别关键基础设施:关键基础设施的识别和优先级划分应依据详细的风险评估作为指导,并定期更新。关键基础设施的清单应足够具体,并将重点放在需要最大程度保护的资产上。
2. 了解现有政策和能力的范围和状态:策略审核将有助于确定当前有哪些政策、权限、组织和功能,以及还存在哪些差距。
3. 授权关键机构实施关键基础设施保护政策:政府应指定一个权力机构,如国家网络安全机构,负责监督关键基础设施保护政策的实施。
4. 明确关键基础设施的所有者和运营者各自的责任:关键基础设施的“所有者”和“运营者”之间应该有明确的区别。运营商是管理或运营关键基础设施的实体,相关义务应包括:由经批准的第三方审计机构实施定期系统审计,或对关键基础设施进行定期风险评估。
5. 为关键基础设施引入最低安全基准:国家网络安全机构应为关键基础设施建立最低安全基准。这些安全标准必须与业界密切合作,以确保它们切实可行。
6. 鼓励信息共享:微软认为,可持续的信息共享计划需由事件驱动,并关注以下关键领域:涉及的参与者,交换的信息类型,共享是自愿的还是必须的,传输信息的方法和机制,以及参与者分组。
7. 建立公私合作伙伴关系:公私合作伙伴关系对于增强运营商与政府之间的信任至关重要。需关注的重点领域包括:就网络安全基准达成一致,建立有效的协调架构和信息共享流程和协议,确定和交流改进安全性的方法和最佳实践,以及改进国际协调。
五、网络安全国际战略
微软认为,当前,全球各国携手应对日益增多的网络威胁至关重要。而要提高网络空间的安全性并保持全球互联社会的效用,则需要制定国际网络安全规范。通过制定国际网络安全规范来降低国家间网络攻击的风险,将有利于任何国家的未来繁荣与稳定。同时,对于外部投资者和企业而言,市场明确承诺尽量减少与邻国和全球合作伙伴发生网络冲突的风险,将被视为净利好因素。在白皮书中,微软重申了其在今年2月提出的“数字日内瓦公约”。“数字日内瓦公约”可要求各国政府在不限制在线内容的情况下,采用和实施为保护互联网上的平民而制定的规范。
微软关于数字日内瓦公约的提议
结语
在网络安全议题上,微软一直处于政府与用户之间的尴尬境地,受到来自双方的双重压力。该白皮书在为各国决策者提供建议和指南的同时,也是微软试图影响各国网络安全政策的集中表现,充分反映了一个跨国龙头企业的诉求,描绘了其所期望的国家网络安全政策的具有框架。
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院官网。
更多精彩内容请关注“赛博研究院”公众号。