高荣伟
近年来,网络安全已被诸多国家置于国家战略安全的制高点。就德国而言,德国政府不仅重视网络空间的安全与发展,而且特别注重顶层设计。为了有效应对各类频发的网络安全事件,德国在国家与军队两个层面,成立了多重网络安全职能部门,通过采取网络安全专门立法的方式加强对网络安全威胁的防范与控制。
重视网络安全由来已久
据《南德意志报》报道,已故俄罗斯计算机专家克里斯·卡斯佩尔斯基预言,在未来互联网时代会有一场数字版的“9·11”恐怖袭击。未来汽车、核电站、输油管道等均由计算机控制,如果攻入这些系统,制造车祸、核泄漏和管道爆炸将不是难事。2016年11月底,德国电信遭遇了一次大范围的网络故障,进一步印证了克里斯·卡斯佩尔斯基的观点。据当地媒体报道,在德国电信总计约为2000万台固定网络用户中,有大约90万台路由器发生故障,并由此导致大面积网络访问受限。之后,德国电信确认了此次事故是由于路由设备界面暴露在互联网上,导致在互联网上发生了针对性攻击。
德国国防部国务秘书卡特琳·苏德尔在德国联邦安全政策学院发表讲话时说,网络安全不再是“科幻”,“网络(安全问题)让我晚上睡不好觉”。根据目前网络技术发展现状,德国政府认为,德国主要面临包括盗窃和欺诈性使用个人数据、开展工业间谍活动、破坏关键基础设施,以及干扰政府和军事通信系统在内的多种威胁。为此,“德国必须努力确保地面、空中和海上通信线路安全,以及太空、网络和信息空间不受阻碍”。
多年来,在加强网络安全建设方面,德国在国家与军队层面建立了较为扎实的网络空间安全力量布置。在国家层面,德国早已建立了“网络安全理事会”。“网络安全理事会”每年召开3次会议,德国联邦总理府、外交部、国防部、经济部、司法部、财政部、教研部及部分联邦州代表与会,还有德国工业联合会、德国工商大会、德国信息经济、电信和新媒体协会,以及输电系统运营商Amprion等经济界代表出席,共同商讨德国面临的网络空间安全问题。
德国是欧洲信息技术最发达的国家,其对网络安全的重视由来已久。早在1974年就批准了与第一个信息化相关的“四年发展计划”,而且1977年颁布了《数字保护法》。2001年,为了应对日益增多的黑客威胁,德国政府组建了相应的网络应急预警系统。2005年,德国政府出台了全国性的IT安全计划,建立了电脑紧急情况应对中心。2008年,德国政府批准了一部饱受争议的互联网监管法案。该法案允许警方在特别授权的情况下,通过向嫌疑人发送带有木马病毒的匿名电子邮件来实现对该嫌疑人电脑的监控,旨在帮助警方迅速锁定嫌疑人 。
在加强网络空间安全保障方面,尤其值得一提的是,2011年4月1日,德国政府建立了国家网络空间防御中心。该中心由德国联邦信息技术安全局领导,联邦宪法保护局、联邦警察、海关刑事侦查局、联邦情报局等共同参与。一旦发生网络空间的攻击,该中心可迅速评估形势,并向各级部门提出应对措施建议。
近年来欧洲发生了数起恐怖袭击事件,这本来能够得到阻止,只要它们拥有一个更好的网络监测政策。基于这一思考, 2016年8月,德国宣布建立了“安全领域信息中央办公室”。
务实推进网络安全战略
德国十分重视加强网络安全的立法工作。为了加强网络安全的顶层设计,2011年2月公布了《德国网络安全战略》,作为指导德国网络安全建设的纲领性文件。该战略制定的目标是大力推进安全网络空间建设,促进经济与社会繁荣。《德国网络安全战略》明确阐述了德国网络安全战略的现实依据、框架条件、基本原则、战略目标及保障措施。
《德国网絡安全战略》以保护关键基础设施为核心,建立了一系列相关机构,为网络安全提供多重制度保证。该战略以保护关键基础设施为重中之重,这是因为现在几乎所有基础设施均离不开信息技术,像金融、电信、能源、卫生、供水等领域的关键基础设施一旦受到网络攻击,后果不堪设想。该战略重视国内资源整合,重视战略的防御性以及定期审查与更新。在《德国网络安全战略》中,德国政府首次对德国IT产业所面临的威胁进行了评估,指出网络犯罪、恐怖活动以及针对关键基础设施开展的网络攻击是影响德国网络安全的三大重要因素。
2015年7月10日,德国议会通过《德国网络安全法》,标志着德国网络安全立法由分散走向统一。《德国网络安全法》规定,德国联邦刑事侦查局(BKA)将专门负责各种网络犯罪的侦查工作。在具体职权方面,《德国网络安全法》授权德国联邦刑事侦查局对网络犯罪嫌疑人实施数据拦截和数据监控的权力。这项职权的授予意味着警方可以在特别授权的情况下,对网络犯罪嫌疑人进行抓包分析并实施点对点的数据监控。
《德国网络安全法》进一步规定,凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业,均属于关键基础设施的保护范围。该法案规定,凡是本法规定的关键基础设施保护范围的企业或实际经营者,应当在2年的时间内逐步采取并完善本法规定的相应保护措施。对于逾期未完成相关保护任务的企业或个人,政府将处以10万欧元的罚款 。
2016年11月,德国政府发布了一项新的网络安全战略计划,用以应对越来越多的针对政府机构、关键基础设施、企业以及公民的网络威胁活动。根据新战略,德国政府将重点关注以下领域:保护关键信息基础设施;保护信息系统安全;加强公共管理领域信息安全;成立网络应急响应中心;成立网络安全委员会;有效控制网络空间犯罪行为等。新战略指出,为抵御各类针对政府机构和关键基础设施的网络威胁,将建立一支由联邦信息安全办公室领导的快速响应部队。与此同时,在联邦警察局、情报机构内设置类似的应急响应小组。
全方位的基础战略及其机构设置,在网络安全方面为德国提供了多重制度保证。除此之外,德国政府还大力推动“信息技术安全研究”项目。目前,内政部已起草了《信息技术安全法》。
成立一支全新的数字化部队
德国军方认为,在军事领域的网络攻击已经成为部队和情报部门行动的重要组成部分。为了有效应对来自军事领域的网络攻击,据德国《焦点周刊》报道,2017年4月1日,德国联邦国防军正式建立一个专门从事信息战的网络空间作战司令部。德国国防部称,网络空间作战司令部是在德国关键基础设施长期遭受网络攻击的背景下成立的。仅2017年前两个月,国防军就遭到超过28万次网络攻击,包括间谍行为、破坏行为、数据窃取和操控影响等。
网络空间作战司令部,其全称为“网络与信息空间司令部”,地位与陆海空军司令部对等,共同构成德国联邦国防军体系,旨在保护其信息技术与武器系统免受攻击侵扰。2016年版的《德国国防白皮书》代表了军方在网络空间领域的态度与立场。该白皮书认为,德国国家的繁荣和公民的福祉主要依赖于全球信息和通信系统、供应链等方面的畅通无阻。
据了解,在军队方面,德国联邦国防军是较早开始建设网络空间作战力量的军队之一。早在2008年格鲁吉亚危机和乌克兰事件中已经显露出网络空间作战的端倪。为此,德国政府和军队先后颁布了一系列相关文件指导网络空间安全领域的建设。其中,最典型的部门为战略侦察指挥部和国防军信息技术中心。除此之外,还有负责部队IT系统的联邦国防军信息技术指挥部、负责为军事行动提供地理信息支援保障的联邦国防军地理信息中心、负责部队网络安全的联邦国防军网络安全中心,以及负责计算机网络行动的网络军事行动中心等。负责监察国防军的议员汉斯·佩特·巴特尔斯说,在网军领域德国不是先行者,德国将从一些具有网络攻防经验的国家取经,例如美国。endprint