德国网络就绪度报告
2017-12-08 10:49:33
  • 0
  • 1
  • 0

来源:信息安全与通信保密杂志社

(本文选自《信息安全与通信保密》2017年第十期)

作者:梅丽莎·海瑟薇  波托马克学院政策研究 中心的高级研究员和董事会成员

克里斯·德姆查克  波托马克学院政策研究中心网络就绪指数索引的主要专家

强森·科本  波托马克学院政策研究中心网络就绪指数索引的主要专家

詹妮弗·麦卡阿德  波托马克学院政策研 究中心非常驻研究员

弗朗西斯卡·斯比达利艾里斯  波托马克学院政策研究中心网络就绪指数索引的主要专家。

编译:张腾军,法学博士,毕业于中国人民大学,现供职于中国国际问题研究院,任美 国研究所助理研究员,主要从事中美关系和网络安全研究。 

1983 年,互联网首次被引进到德国,它借助了德国电信—一家政府所有并运营的企业―提供 的叫做 Bildshirmtext (BXT) 的早期数据网络服务。德国是首个到 2018 年能为移动宽带分配 700 兆赫 兹频段的欧洲国家。IPV6 正在以超过 10% 的接入率快速增长。与此相比,2014 年 4 月时其他发达国 家的平均发展速率不过只有 3.5%。德国拥有一项清晰的数字战略,旨在提高竞争力、促进经济增长 和社会福利。其强调,增强高速网络和信任将会有助于“激发创新潜能以进一步促进增长和就业。网 络就绪指数 2.0 曾针对德国防范网络风险的水平进行评估。该研究为德国提供了一个可操作的蓝图, 以更好理解其网络基础设施的依赖性和脆弱性,并评估该国如何致力于缩小当前网络安全态势与支撑 未来数字发展所需的国家网络能力之间存在的差距。 

引言

来源 : 世界银行 (2015), 国际电信联盟 (2015), 世界经济 论坛网络就绪指数 (2015), 以及国际互联网协会 .

1983 年,互联网首次被引进到德国,它借 助了德国电信—一家政府所有并运营的企业― 提供的叫做 Bildshirmtext (BXT) 的早期数据网络 服务。第一封从美国发出的以“欢迎来到计算 机科学网络”为题的邮件,一年后到达德国, 由此德国互联网正式成立。 在 1995 年德国互 联网接入向更广阔的商业市场开放之前,德国 电信是德国唯一一家互联网服务提供商 (ISP)。 德国电信私有化后,其三分之一的股份仍由德 国州和联邦政府控制, 该公司依旧是德国占据 主导地位的互联网服务提供商,见图 1。

如今,随着 1990 年重新统一以来密集的资 本支出,德国电信系统已成为世界上技术最为 先进的系统之一,互联网普及率超过 86%。自 互联网被发明以来,德国政府大力推动 ICT 发 展,增强互联网连通性,成为诸多互联网相关 项目的开拓者。事实上,德国是万维网建立以 来全球首个实现图书馆数字化的国家。作为“信 息作为创新的原材料”项目的一部分,德国数 字图书馆 “全球信息”项目于 1998 年成立。这 一项目旨在推进与大学、出版社、书商、特别 专题信息中心、学术团体以及学术和研究图书 馆之间的合作。

德国是首个到 2018 年能为移动宽带分配 700 兆赫兹频段的欧洲国家。尽管无线宽带只 覆盖了 20% 的农村地区,但德国的《数字议程2014-2017》计划通过在这些偏远地区发展高速 宽带,为所有家庭提供至少 50 兆每秒的下载速 度,在 2018 年前解决这一问题。 此外,IPV6 正在以超过 10% 的接入率快速增长。与此相比, 2014 年 4 月时其他发达国家的平均发展速率不 过只有 3.5%。

德国拥有一项清晰的数字战略,旨在提高 竞争力、促进经济增长和社会福利。其强调, 增强高速网络和信任将会有助于“激发创新潜 能以进一步促进增长和就业。”这一战略致力 于通过增强制造业数字化和自动化,加大对 ICT 的工业化应用、IT 安全研究、微电子和其他数 字服务的投入,将德国打造为互联网经济的领 头羊。目前,德国 ICT 市场是欧洲最大、世界 第四大市场,其巨大规模将有助于德国政府实 现这一战略。

不过,德国在《2016 年国防白皮书》中承认, 地理和人口上的中等规模是其在快速发展的世 界中的主要挑战。尽管德国是世界第四大经济 体,但其认识到“从长远来说...它将保持这个 位置不变”的可能性较小。在 21 世纪知识社 会中,国家安全与经济福利之间存在着直接关 联。其还认为,出于对“安全供应链、稳定市 场和有效运作的信息和通信系统”的严重依赖, 并且这一“依赖还将继续得到强化”,“知识 对德国来说是一种战略性资源”。

自 2011 年以来,德国政府在所谓的第四次 工业革命中独占鳌头,其“工业 4.0”项目是《高 科技战略 2020 年行动计划》的一部分。这一 倡议鼓励企业进入物联网,尤其是 360 万中 小制造商,后者贡献了德国 60% 的就业和将近 4 000 亿美元经济体量的三分之二。 德国政 府投入 2 亿欧元(2.22 亿美元)鼓励跨政府、学界、 商界的“工业 4.0”研究,以期增强高质量、低 成本、高效率与经济增长之间的联系,获得这 种密切联系所带来的成果。德国总理安吉拉·默 克尔也正在说服整个欧洲接受这一倡议。她曾 在 2015 年达沃斯世界经济论坛中指出:“谁在 数字领域取得领先,就将在工业生产中取得领 先......而我们还未在这场竞赛中胜出。”

作为世界 ICT 发展和应用领域的领导者, 德国受到程度较高的网络犯罪、工业间谍、 关键服务中断和其他恶意网络活动的威胁。 2012 年,一个产业协会估计德国因知识产权 被 窃 取 而遭受的损失至少为其国内生产总值的 1.5%。据 2013 年的估计,每五个德国互联网用 户中就有两位受到网络犯罪的侵害,而受到网 络攻击的企业和政府部门数量惊人。为应对网 络威胁范围、规模和程度的上升,德国政府领 导人表达了保护数字投资价值、维护国家和经 济安全尤其是隐私和数据保护的意愿。然而,在直接涉及网络安全与应对不断上升的 IT 威胁 所需的创新技术方面,“工业 4.0”目前的投入 十分有限。

德国正努力促进货物、服务、人员、资本 和数据的跨境流动,与此同时,其还带领欧洲 国家展开探讨数据保护需求的对话。这些目标 是“欧洲单一数字市场”倡议的基石,也是欧 洲和德国经济健康发展的关键。德国将在汉堡 主办 2017 年 G20 峰会,并可能利用这一平台强 调各国增强网络安全能力和弹性的必要性。

网络就绪指数 2.0 曾针对德国防范网络风险 的水平进行评估。该研究为德国提供了一个可 操作的蓝图,以更好理解其网络基础设施的依 赖性和脆弱性,并评估该国如何致力于缩小当 前网络安全态势与支撑未来数字发展所需的国 家网络能力之间存在的差距。基于网络就绪指 数 2.0 的七个核心部分(国家战略、应急响应、 电子犯罪与执法、信息共享、研发投入、外交与 贸易、防务与危机应对),本文将对德国的网络 安全相关努力和能力进行全面评估,见图 2:

国家战略

2011 年,德国政府发布首份《德国网络安 全战略》,承认 ICT 与经济社会发展之间存在 相互关联。

2008 年,为应对互联网连接设备受感染和 网络犯罪事件的日益增多,德国政府向每位公 民发放一张光盘,供他们清理个人设备和电脑 上的病毒,并指出保护国家是他们的责任所在。 截止 2011 年,首份《德国网络安全战略》(以 下简称《战略》)的公开发布,德国政府采取 了一种更系统、集中的网络安全战略。 该文件 承认 ICT 与经济社会发展之间的相互关联性, 并将互联网及其下的 ICT 归入德国社会的关键 基础设施。

《国家网络安全战略》指出德国更好应对 网络威胁环境的若干关键战略领域和目标,包 括:保护关键基础设施和 IT 系统;通过建立统 一的“联邦网络”增强公共行政的 IT 安全;成 立有关应急响应和保护的国家网络响应中心; 成立促进公私部门合作的国家网络安全委员会; 推进有效的网络安全国际协调;以创新推动发 展可信可靠的 IT;培训联邦机构技能人才;有 效运用公共部门手段―如法定权力―打击网络 攻击行为。

此外,该文件指定德国内政部下属的联 邦 信 息 安 全 局 (Bundesamt für Sicherheit in der Informationstechnik, 以 下 简 称 BSI) 作 为 国 家 网 络安全机构,负责执行《战略》。BSI 成立于 1991 年,为联邦政府、IT 制造商、私人和商业 用户以及 IT 供应商提供 IT 安全服务。应《战 略》要求,该局设立国家网络响应中心 (Nationales Cyber-Abwehrzentrum, 下称 NCAZ),主要负责发 现、分析和发展消除潜在威胁的必要手段。

与《战略》一致,德国成立了国家网络安 全委员会,为各部部长共同应对关涉所有政策 的网络安全事务提供平台。该委员会旨在协调 公营和私营部门就预防性的方法和跨领域网 络安全手段进行探索。除联邦总理府和各州 代表外,联邦各部(包括国防部、内政部、经 济和技术部等)部长参加委员会会议。商业 代表作为准会员也经常受邀与会。2012 年, BSI 与 联 邦 IT 协 会(Federal Association for Information Technology)、 电 信 和 新 媒 体 协 会 (Telecommunications and New Media, BITKOM) 合作成立了网络安全联盟(the Alliance for Cyber Security),这是一个非盈利组织, 为 广 泛 的 政 府政策及执行提供协助。该组织的主要任务 是增强德国的网络安全及应对网络攻击的韧 性。为实现这一目标,其正建设一个广泛的 知识库,支持信息和经验的共享。 自成立以 来,该联盟的会员数得到快速增长,与合作伙 伴之间的交往愈发密切。

与《战略》的内容相呼应,德国 2014 年数 字战略(《数字议程 2014-2017》)认识到 ICT 对经济增长的重要性,以及增强网络空间安全 的必要性。该战略同样指出,半数德国互联网 用户并不相信其网上数据的安全性。由于对 ICT 的信任是数字通信、电子商务以及实现“欧 洲单一数字市场”的关键,政府十分关注这 一统计数据,并采取了增强互联网安全等诸多 措施来强化信任。 例如,BSI 正在贯彻落实 《2015 年 IT 安全法案》,该法案是德国数字战 略及保护重大关键基础设施努力的核心。这些 努力包括与关键基础设施运营者继续合作为关 键基础设施企业及子部门制定最低网络安全标 准,提高德国 IT 安全的有效性、可靠性、保密 性和完整性。

为增强 ICT 安全和弹性,《战略》和《数 字议程》寻求一个全面的、多利益相关方的路 径来增强在线服务和关键基础设施的安全。不过,在增进关键公共与私营利益相关方之间及 各自 IT 系统之间的协调与互通方面,在更好应 对日益增多的、与涵盖德国经济的关键服务数 字化相关的 IT 安全风险方面,德国政府还需要 做更多的努力。

应急响应

BSI 是国家网络安全机构和中央网络应急响应办公室。

作为德国国家网络安全机构以及中央网络 应急响应办公室,BSI 通过全政府和全社会的介 入、检测、反应来塑造信息安全政策与活动。 BSI 负责发布有关 IT 产品和服务中的恶意软件 和安全漏洞的警告,向有关方面和社会公众发 布信息,并提出对策建议。其还与超过 5 万家 私人机构交换信息。BSI 早期预警系统是模仿美 国金融服务信息共享与分析中心(FS-ISAC)建 立的,目前尚未完全建成。

1991 年起,德国就建立了多计算机应急小 组(CERTS)及同类组织。1994 年,BSI 成立了 第一支计算机应急小组(BSI-CERT),属为联 邦机构进行信息收集的虚拟团队。2001 年,一 个政府性的 CERT 从 BSI-CERT 中独立出来,取名为 CERT-Bund。自那时起,CERT-Bund 变为 一个正式的国家应急小组,作为一个预防、应 对和积极处理网络安全事件的平台和联络中心 开展工作。如今,CERT-Bund 与州一级和非政 府的计算机应急小组密切合作并提供广泛的服 务。其主动采取应对网络安全事件的措施,按 照自愿原则对选民进行监控—包括 IT 生产商和 供应商、私人和商业用户。其还提供预警、信 息服务、主动提醒以及拥有一个记录网络安全 事件的在线报告系统。242006 年,BSI 成立了一 个公民计算机应急小组 (Bürger-CERT),专门负 责提高社会公众和小企业的网络安全意识。

尽管德国没有一个统一的、单一的国家应 急响应方案,但有两个文件,一个是 2005 年的“全 国信息基础设施保护计划”,同时适用于政府 和行业,一个是 2007 年的“关键基础设施保护 (CIP)实施计划”,旨在当发生重大网络事件 时,进行危机处理并为关键性业务的连续性管 理提供建议。据 2007 年 CIP 计划,关键基础 设施运营者已“设置了适当的警告和预警程序, 根据发生的事件区分标准来明确需要被警告或 预警的单位和个人。”此外,根据网络安全的 不同层面如危机管理、演练、关键服务的可用性, 该计划成立相应的工作组。其同样针对如何完 成关键信息基础设施保护所需的任务以及有效 及准确地应对 IT 安全时间,规定了政府和私人 运营者之间的协议。

2011 年《战略》要求 BSI 建立国家网络 响应中心,负责增进政府与私营部门之间在应 急响应上的协调和及时信息共享。作为全国指 挥、控制和研究中心,BSI 国家网络响应中心的建立时为了使“所有有能力的机构能迅速就 严重事件进行反应,为所有相关机构提供事 件分析和评估,并与地方和行业内部的危机 管理部门展开协作。”除了德国联邦宪法保 护 局 (Bundesamt für Verfassungsschutz, BfV) 和 联邦民事保护和灾难救助局 (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, BBK) 的 直接参与,还有其他政府部门处理网络安全事 务—包括联邦刑事警察局 (Bundeskriminalamt, BKA)、 联 邦 警 察 (Bundespolizei, BPOL)、 海 关 犯 罪 办 公 室 (Zollkriminalamt, ZKA)、 联 邦 情 报 局 (Bundesnachrichtendienst, BND)、联邦国防军及其 他监督关键基础设施运营者的机构—参与中心 工作,并相互之间及与私营部门保持密切、直 接合作。德国《数字议程》承诺未来将增强中 心的应急响应能力。

德国已举行了多次国家网络安全演习,为 政府部门和关键基础设施的特定运营者演练危 机处理。其中之一,2011 年危机计划和就绪演 习,就发生多重攻击如针对关键基础设施的分 布式拒绝服务攻击、银行系统受恶意程序入侵、 空中交通管制系统被注入虚假流量时,促进政 府响应程序的理解。德国还参与了由欧盟和北 约组织的多国演习。尽管近年来举行多次演习, CIP 实施计划仍建议“举办更多的演习以对现有 概念进行验证和更新。”

最后,德国联邦宪法保护局—德国的内部 情报机构—每年发布网络威胁报告。2016 年报 告指出,俄罗斯和中国是针对德国的网络攻击 的主要来源地。该报告还透露,德国已监测到 来自伊朗对诸多受害者的信息安全威胁。

电子犯罪和执法

德国在 2001 年和 2009 年分别签署和批准 了欧洲委员会的《网络犯罪公约》—通常称为《布达佩斯公约》—并努力推动《公约》在国内的 实施,就保护社会免受网络犯罪威胁做出国际 承诺。同样,德国也签署和批准了《公约》中 关于通过计算机进行种族主义和排外行为入罪 的附加条款。德国在《战略》中重申了针对以《公约》为基础的刑法进行国际协调的承诺。

2015 年 7 月,德国通过了一项新的 IT 安 全法案,该法案旨在防止重要的 IT 系统如经由 BSI、电信供应商、关键基础设施运营者等使用 的 IT 系统的丢失。BSI 正在落实该法案,包括 为超过 2 000 家关键基础设施企业制定最低网络 安全标准。与法案相适应,为保障这些最低安 全要求,德国需要提高 IT 安全的有效性、可 靠性、保密性和完整性,增强公众的互联网安 全,更有效地保护具有国家重要性的关键基础 设施。此外,德国还有其他一些法律直接禁止 如计算机诈骗、篡改数据、破坏计算机、数据 间谍、网络钓鱼以及由传统犯罪法规起诉的相 关网络犯罪。在法案实施的两年内,所有有关 的运营者都应该采取适当的组织和技术安全手 段保护 IT 系统、部件或关键基础设施运作所需 的相关进程。这些安全手段必须与最先进的技 术相适应。进一步说,关键基础设施的运营者 应当至少每隔两年进行 IT 安全审计与认证,并 就具体行业的安全标准提出建议。

在执法方面,德国已具备成熟、机制性的 能力来应对各种类型的网络犯罪。国家网络响应中心、BSI 和联邦刑事警察局共同主导打击国 家网络犯罪工作。尤其要指出的是,国家网络 响应中心整合了不同政府部门如联邦警察和对 外情报机构以及来自行业的资源。

《战略》承诺增强执法部门、BSI 以及私营 部门打击网络犯罪的能力,保护国家不受间谍 和破坏活动的侵害。德国已“在相关执法机 构的参与下,与行业建立了联合机制。”如 《 2015 年 IT 安全法》所示,成功实施这些雄心 勃勃的计划还需要进一步的努力。到 2017 年底, 我们将能知道政府与行业在共同强化大幅减少 网络犯罪的能力方面取得了什么样的成绩。从 这个意义上说,目前还不清楚是否有足够的计 划来培训法官、检察官、律师、执法官员、法 医学专家和其他侦查员。

信息共享

德国国家网络响应中心负责协调应急响应 和全社会信息共享。

正如 2011 年《战略》所言,德国国家网 络响应中心负责应急响应协调和全社会信息共 享。共享的信息包括 IT 产品的漏洞、攻击方 式、犯罪者或其轮廓描述等等。一个关键需求 是建立一个包含行业和其他非政府行为在内的 组织,提供全国范围内现有的、有效网络安全 信息,为利益相关方准备和减少网络事件提供 建议。网络安全联盟一个 2012 年建立的合作 和信息共享平台—与国家网络响应中心共同承 担这项工作。其帮助促进经济、学术和行政领 域的伙伴及具有特殊公共利益的企业之间的紧 密合作。

由 BSI 运 营 的 国 家 信 息 技 术 状 态 中 心 (Nationales IT-Lagezentrum) 协 助 全 国 信 息 分 享,跟踪全国和全球 IT 安全状况,以迅速发 现和分析重大 IT 安全事件并提出保护措施。 一旦发生 IT 相关的危机,其可扩展职权并转 变为国家信息技术危机反应中心 (Nationales IT- Krisenreaktionszentrum)。该中心集中力量应对 IT 危机,对包括政府网络和关键基础设施在内的 所有国家层面进行全覆盖。

此外,德国参与了诸多国家和机构间的合 作以培育信息共享。例如,美德网络双边会议 成为推动跨境网络安全资源共享的公认伙伴关 系。德国还是国家网络取证与培训联盟 (National Cyber Forensics and Training Alliance, NCFTA),后 者是美国一家非营利组织,致力于推动私营企 业、学术界、执法部门之间的合作,以发现、 减轻和抵销复杂的网络相关威胁。

由于德国联邦和各州都存在相关政策和项 目,因此许多信息共享计划的实施可能面临挑 战。各州的网络安全能力及成熟度存在差别, 从而应对最先进和复杂的威胁手段的能力也是 不同的。信息共享对中央政府的所有努力的实 施而言非常关键,但在近期可能难以实现。

研发投入

《战略》主张将 IT 安全和关键基础设施作 为未来实施的关键战略领域加强研究。2014 年 《数字议程》强调扩大对工业 ICT 应用、IT 安 全研究、微电子和数字服务的广泛投入,即全 国层面的网络研发投入。为与《数字议程》相 一致,德国在柏林成立了两个大数据中心,以推动以大数据为驱动力的创新、工业应用、科学 和医疗。

2015 年 3 月,德国政府发布了一项促进 IT 安全研发的计划,名为“2015-2020 数字世界中 的 自 决 与 安 全 ”(Self-Determination and Safety in the Digital World 2015-2020) 。该计划包含了从现 在到 2020 年间 1.8 亿欧元(约 1.98 亿美元)的预算, 以推动研发特殊加密技术、保护个人数据和通信 服务安全。其集中关注四个关键领域:新技术、 安全和可靠的信息和通信系统、IT 安全的应用领 域、数据隐私和保护。

为促进政府研发任务的进行,德国教育和 研究部 (BMBF) 在三所大学成立了三个 IT 安全中 心:在萨尔布吕肯的 IT 安全、隐私和责任中心 (Center for IT Security, Privacy and Accountability, CISPA),在达姆斯塔特的欧洲设计安全和隐私 中 心 (European Center for Security and Privacy by Design, EC-SPRIDE),在卡尔斯鲁厄的应用安 全 技 术 能 力 中 心 (Competence Center for Applied Security Technology, KASTEL)。2009 年, 德 国 教 育和研究部和内政部同意开展 IT 研发的联合合 作项目,因而“IT 安全研究”工作组得以成立, 以研究和开发新的 IT 安全应用。

政府意识到,为确保可持续的 IT 安全研究, 必须培训更多合格人才。

此外,政府意识到,为确保可持续的 IT 安全 研究,必须培训更多合格人才。政府鼓励应用安 全技术能力中心的学生取得 IT 安全专家的证书, 这相当于一个专业硕士学位。达姆施塔特工业大 学自 2010 年起就开设 IT 安全的硕士课程项目。 在职的专业人员可以在该校的达姆斯塔特高级安全研究中心 (Center for Advanced Security Research Darmstadt, CASED) 选修有关安全基础的课程,并可获得 IT 安全的证书。弗莱堡大学计算机系为 专长于网络安全的学生授予计算机硕士学位。 另外,学生还可以选修政治学和其他社会科学 学科的课程,以培养对网络安全事务更为全面 的理解。

此外,德国政府在三个重点领域激励企业在 网络安全上的研发:计算机技术—在数字化世界 中工作、ICT—网络安全事件检测和处理、电动 交通—价值链。前两个领域对所有行业部门开放, 最后一个领域则只面向生产和 ICT 部门。激励 措施包括给予企业、联盟和研究机构无偿现金 补助。政府最近也强调对 ICT 进行风险投资的 重要性,尤其是对 IT 新兴企业的支持。为刺激 IT 新兴企业的增长,政府为以下领域提供一些风 险投资支持:为创办人提供信息和咨询、通过提 供有竞争力的工作条件和大量投资促进融资、通 过市场活动为新兴企业与传统行业建立联系、建 立国际新兴企业“中心”包括商业培育中心。

随着德国作为主席国为主办 2017 年 G20 汉 堡峰会进行准备,德国将有机会展现其在 ICT 创 新和研究上的领先地位。实际上,2016 年 6 月, 汉堡大学接受欧盟 100 万欧元资助成立了一个网 络安全研究项目。汉堡大学和石勒苏益格 - 荷尔 斯泰因隐私保护独立中心 (Schleswig-Holstein’s Independent Center for Privacy Protection) 与七国九 所机构联合成立了“构建价值驱动型网络安全 联 盟 ” (Constructive an Alliance for Value-driven Cybersecurity, CANVAS) 研究网络。来自该联盟的 研究人员将在以下三个应用领域关注如何平衡网络安全与基本民主价值观之间的关系:医疗、 金融、国家安全。不过,德国还存在网络安 全人才的严重短缺问题,这一问题在政府中尤 其严重。德国教育研究部正资助建立一个新机 构 — 德 国 网 络 研 究 院 (Deutsches Internet Institut, DII),并将在未来五年内为其投入多达 5 000 万 欧元(5 600 万美元)。该研究院将关注互联网 的道德、法律、经济和公众参与层面以及多学科 视角下的数字化问题。此外,爱因斯坦基金会 和柏林州五年内投入 3 850 亿欧元(约 4 300 亿 美元)在数字包括 IT 安全领域内提供 50 名教授 职位,并建立了爱因斯坦数字未来中心 (Einstein Center of Digital Future, ECDF),这是一个公私合作 的伙伴关系,就德国社会的数字化进行研究。45新的爱因斯坦中心将与许多公立实体和学校展 开合作,包括柏林工业大学、柏林自由大学、 洪堡大学、柏林艺术大学、柏林夏里特医学院 以及八所知名研究机构和两所应用科学类大学。

外交与贸易

多年以来,德国积极参与有关网络安全的 外交和贸易及商业谈判,还是欧美“隐私盾” 和欧盟内部及欧美之间其他数据保护协议的首 席谈判方。

德国在《战略》中提及:“鉴于 ICT 的全 球性特质,有关外交和安全政策的国际协调... 不可或缺。”事实上,德国在国际舞台上一直 十分活跃,与联合国、欧盟、欧洲委员会、北约、 七国集团、欧洲安全合作组织和其他多边组织 都有合作。《战略》中涉及的多利益相关方模 式在《数字议程》中被再次提及,并在以下论坛中得到积极推广:国际电信联盟 (ITU)、互联 网治理论坛 (IGF)、经济合作与发展组织 (OECD) 和联合国信息安全政府专家组 (GGE)。值得一提 的是,德国还通过持续参与所有与网络相关的 政府专家组来显示其在国际对话中的承诺。

此外,德国还与诸多伙伴就网络事务进行 正式和非正式的对话,并参与全球范围内的会 议和讨论。德国的《数字议程》重申经济与网 络政策之间的关联。例如,德国经常性地处理 发展合作问题,并参与有关发展中国家网络能 力建设、网络安全能力建设和网络信心建设的 项目。

2016 年 3 月,美德承诺共同合作保护关键 基础设施,并“在增强关键基础设施的网络安全、 强化事件管理与协调、建立其他国家的网络能 力上继续展开密切合作。”作为跨大西洋网络 对话的一部分,美德还就最近关于建立一套德 国路由系统、加密事务和新的软硬件标准进程 的倡议进行探讨。

外交部设立了国际网络政策协调员和网络 事务大使。

2011 年,德国外交部设立了网络政策协调 员,与其他部门和行为者共同合作出台一项推 动自由、开放、安全和稳定的网络空间的外交 政策。外交部将国际网络政策视为能对外交政 策的所有领域产生影响的工作。该政策旨在抓 住互联网创造的经济机会、推动互联网的负责 任使用以及网络空间的安全。外交部工作的主 要国际优先议题是就良好治理的标准、国际法 的应用、网络安全的信心建设达成一致。德国 还在许多大型城市设立了网络事务大使,直接对外交部有关部门负责。

防务与危机应对

2016 年,德国开始成立网络和信息空间司 令部。

2016 年 6 月,德国国防部发布了新的《德 国安全政策和国防军的未来白皮书》,强调网 络风险是一种高级国家威胁。《白皮书》认识 到“网络和信息域已成为一个几乎不受限的、 具有国家和战略重要性的领域,并且其重要性 将持续上升。”新政策将德国视为欧洲的“关 键国家”,并勾画了“主动帮助塑造全球秩序 的责任”。

在该文件中,“全政府的网络安全防御被 列举为国防部和国防军的核心任务。”此外, 国防部负责发展“推动全政府手段和与研究机 构、行业和伙伴合作”的国家能力。计划的核 心部分是拥有强大的网络防御态势与“保障德 国网络空间自由”的军事力量。

2015 年 9 月,国防部长乌尔苏拉·冯德莱 恩宣布此项计划。此后不久,德国于 2016 年 4 月开始成立一个网络和信息空间司令部。这 个司令部 (Kommando Cyber und Informationsraum, KCIR) 整合了国防军里网络相关的单位,负 责网络、IT(网络)、军事情报、地理信息 和有效沟通。其将以一位中将为首,有望 于 2017 年 4 月全面运转。该司令部计划拥有 13500 名人员,主要来自其他军种和组织, 这些人员将分布在司令部和两个新的中心之 中—网络运营中心和国防军网络安全中心。对国防军和其他公共部门来说,搜罗足够的 IT 人才并不容易。不过,国防军以“保护德国网络空间自由”为口号,希望能在当年年底 吸收到 800 位专家。

德国国防部也指出,其希望国防军有能力 使用网络部队进行反击,并希望新网络司令部 使德国能够与其他国家如美国在同一水平上进 行合作。国防军战略侦察部下属的信息和计算 机网络运营局正在着力发展大型防御能力。经 过 2000 年代早期进行的广泛法律分析之后,国 防部基于对机密的网络战争能力将只会被用于 防御目的的理解,在 2005 年开始进行有限的尝 试,发展一些潜在的进攻能力如红队。56 国防 部同样与国内顶级学院如欧洲管理与技术学院 (European School of Management and Technology, ESMT) 在高级研究和专业培训上进行合作。

德国政府倾向于将网络安全防御与情报系 统分离开来。2011 年,德国政府在内政部下建 立了国家网络响应中心。该中心整合了不同政 府部门如联邦警察和对外情报机构以及来自行 业的资源,并向联邦信息安全局汇报。其最初 是由来自 BSI、联邦宪法保护局和联邦民事保护 和灾难救助局的部分雇员组成。自成立以来, 联邦警察、联邦刑事警察局、联邦情报局、 国防军、海关犯罪办公室均派遣专业人士进 驻中心。国家网络安全委员会也负责协调防 御技术和网络政策。人员队伍中还包括高级 军事代表。

虽然国防部在网络空间和网络防御上的能 力已获得较大增强和提升,但政府正在提议收 紧对联邦情报局的控制,并对其监视活动实施 新的法律限制。这些法律上的变革经德国议会 批准后,将禁止联邦情报局对欧盟国家、公民 和组织进行监视,除非对方存在恐怖主义活动的嫌疑。这一协议将要求联邦情报局局长、总 理办公室和由法官组成的独立小组来批准基于 关键名单之上的战略性对外间谍活动。这种做 法与许多其他国家迥异,后者将情报系统与网 络军事能力直接串联起来。

就绪指数 2.0 概要

根据网络就绪指数 2.0 的评估,德国正在建 设网络能力的过程中,目前在所有七个核心部 分上处于部分运营的阶段,德国网络就绪指数 情况见图 3。

这一研究发现只是动态和变化环境中的一 瞥。随着德国继续发展和更新其经济(《数字 议程》和网络安全战略、政策和倡议,以用一 种更加平衡的方式将其经济远景与国家安全优 先事项相联系,对德国情况的更新将反映出这 些变化,并监督、跟踪和评估具体的进展。)

在一个深度网络化、竞争性和冲突易发的 世界中,网络就绪指数 2.0 为国家领导人寻求实 现更安全、有生命力的数字未来提供一个全面 的、比较的、经验的方法论。有关网络就绪指数 2.0 的 更 多 信 息, 详 见:http://www.potomacinstitute. org/academic-centers/cyber-readiness-index. 

 
最新文章
相关阅读