俄罗斯“壮士断腕”,构建自身网络安全
俄罗斯结合国内环境、外部威胁,终于在7月3日出台新版的《国家安全战略》。
- 俄罗斯智库,媒体等机构结合现有信息安全状况,总结了本国所面临的主要信息安全威胁对未来5年甚至更长时间的国家安全范畴进行了重新评估和定位。
- 媒体称,政府机构已将信息安全列为国家安全战略优先发展,结合各方优势,大力培养信息安全人才,构筑信息安全的基础框架,将信息安全纳入国家安全体系,总体提升俄罗斯防卫能力。
国家安全战略
2021年7月3日,俄罗斯总统普京正式签署总统令,颁布新版《俄罗斯联邦国家安全战略》。这一国家安全领域基础性战略规划文件,是俄罗斯国家安全防卫领域最高层次指导文件。
相比较于2015年的《国家安全战略》,新版本结合近些年外部局势,对俄罗斯在国家安全领域以及优先发展方向制定了详细目标,是俄罗斯未来发展的指导性纲领。
此次颁布的国家安全战略中明确提出了联邦优先发展战略方向,信息安全权成为新的优先级。在《国家安全战略》中首次单独提出信息安全章节,明确要构筑国家信息安全防线,防止其他国家使用互联网技术对俄罗斯实施网络攻击、情报窃取、基础设施破坏等,加强人才体系建设、培养优秀的网络安全人才,切实保护俄罗斯的网络环境。
针对俄罗斯近两年实施的”断网事件“以及“软件国产化”行动,看俄罗斯如何“壮士断腕”,构建自身网络安全的精彩故事。
壮士 ”断腕“
谋划已久
二十世纪初,信息技术革命性进步,网络和通信技术不断发展,将世界链接一起的同时,信息的交换也导致个人数据的泄露,国家政治经济的稳定发展也面临巨大安全风险考验,此时提升个人乃至国家的安全意识变得尤文重要。
世界互联网发展到现阶段,全球依然只有13台根服务器(这13台IPv4根域名服务器名字分别为“A”至“M”),1个为主根服务器在美国,由美国互联网机构Network Solutions运作。其余12个均为辅根服务器,其中9个在美国,2个在欧洲(位于英国和瑞典),1个在亚洲(位于日本),使得全球性的网络通信需要依赖上述国家。自身的网络根基掌握在他人手中促使俄罗斯思考,如何应对他国”割裂“俄罗斯后的国内网络通信。
为了检验自身内部网络通信条件,查看是否能够在国内完全隔断外部网络的情况下,正常实行内部通信。俄罗斯政府批准,全国进行了“断网活动”,涉及俄罗斯政府机构、当地互联网服务提供商和俄罗斯当地互联网公司多种社会团体。
此次测试旨在证明,国家互联网基础设施(在俄罗斯境内称为 RuNet)是否可以在不访问全球 DNS 系统和外部互联网的情况下运行。
测试成功
此次测试是俄罗斯政府谋划已久的国家性质战略演习、测试最初敲定的时间是2019年4月进行,但为了推进“互联网主权”法的实行,授予俄罗斯政府以“国家安全”为由,随意且不加解释地将国家与互联网的其他部分断开连接的权力,给此次测试赋予“法律正义性”,断网执行一直推迟到本年度的秋天。最终通过法律,要求所有本地互联网服务提供商通过俄罗斯通信部管理的战略阻塞点,重新路由所有互联网流量。
俄罗斯政府部门发言人没有透露相关测试的任何技术成果以及实验对本国产生的影响。政府部门协同相关网络专家进行几种断开外部网络连接情形的测试,其中包括断网后内部网络的承受流量的极限、模拟来自外国恶意网络攻击的场景等。
此次的“断网事件”,使得互联网流量在内部重新路由,有效地使俄罗斯的RuNet成为世界上最大的内部网。俄罗斯政府对于此次的“断网事件”取得的成果颇为满意,在后续新闻发布会上公开称,这项实验是成功的,能够很好的帮助国家应对国际上复杂网络安全局势。
”国产化“ 之路
最近几年,俄罗斯国防建设的重心逐渐向网络安全方向倾斜,在保证自身国防技术的同时,投入了巨量的资金。
软件国产化
俄罗斯进行的“断网活动”很好的对本国内部网络的运营做了一个很好检验。仅仅再网络层次的完全”断流“并不能完整保证自身网络安全,IT作为俄罗斯发展最快的行业之一,软硬件在俄罗斯有很大的市场,但是俄罗斯的软硬件国产化程度相对较低。
行政干预
早在2001年,俄罗斯政府部门与IT业务代表举行会晤,希望发展本国的IT技术,鼓励相关业务部门与外国IT开发商进行良性竞争。
2015年,俄罗斯联邦政府通过了一项法律,在软件购买时,将外国软件排除在国家采购之外,并建立俄罗斯软件登记册,确保软件国产化之路顺利进行,并随后通过了一项政府决议,对能够纳入登记册的软件做出要求(国产优先)。
2018年9月,俄罗斯数字发展部门发布了一项命令,批准了一项法案,主要内容是政府机构和主要国有企业优先使用俄罗斯软件。俄罗斯政府部门希望通过法律的形式来确定,到2022年,一半适用公司的软件必须是俄罗斯国产,如果公司可以证明没有合适的俄语等效软件来满足他们要求,才被批准采购外国软件。
在俄罗斯政府强力的干预下和最近几年俄罗斯软件厂商发展,到2019年底,俄罗斯软件在国家采购中的份额已达到65%,这一比例在2015年仅为20%。
根据据俄罗斯政府部门预测,2024年,国家机关采购软件的国产化比例将达到90%,国有企业的采购比例将也会达到70%。
逐渐摆脱“依赖”
经过俄罗斯政府不断的行政干预,俄罗斯”软件国产化之路“取得了显著的成果。2016年9月,俄罗斯研发出能够实现对企业不动产进行有效管理的财产及不动产信息管理系统(PREMIS),此次研究成果打破了外国软件在此领域的垄断,国家和市政机构在进行政府采购时,被强制使用该产品。
除此之外,俄罗斯还在研发能够使公共网络隔离的Skype替代品,供其政府机构使用。该系统避免黑客或情报机构入侵,支持语音和视频通话,以及文件共享和简单的文本消息。
俄罗斯政府制定了一系列扶植本国软件公司的计划,希望通过软件国产化,逐步摆脱对外来企业产品的依赖。俄罗斯政府部门认为外国产品可能成为攻击其的网络武器。
技术人才培养
构筑国家网络安全防线,网络安全人才不可或缺。在信息安全领域上,俄罗斯相对其他欧美国家,存在明显短板。网络安全人才储备不足、人员质量“参差不齐”一直是俄罗斯进行信息安全强国建设上的拦路虎。
早在二十世纪初,俄罗斯就开展信息安全领域人才培养的探索,但是自身经济发展制约以及外部的国际环境,导致俄罗斯政府部门没有取得实质性成果。
《俄罗斯联邦宪法》明确规定网络安全是国家安全的重要组成部分,着重完善网络安全人才培养体系,将信息安全自动化系统、信息安全分析系统、密码学、网络安全领域的信息安全、计算机安全、电视通信系统安全、信息防御系统方法等7个专业作为教育和科技领域的优先发展方向。
直到近些年,俄罗斯将信息安全纳入到国家战略后,实施了一系列的措施来培养网络安全人才。
- 建设信息安全人才培养体系:俄罗斯将信息安全自动化系统、信息安全分析系统、密码学、网络安全领域的信息安全、计算机安全、电视通信系统安全、信息防御系统方法等7个专业作为大学信息课程的重中之重,构造了一个完整的人才培养体系,持续不断的为俄罗斯输入网络安全人才。
- 培养部队信息战人才:除了在高校培养优秀的网络安全人才,俄罗斯政府还在军队培养网络与信息专业人才。俄罗斯国防部自2013年起陆续在各军兵种院校和科研机构组建了12支科学连,在吸纳高校具有高科技专长的优秀毕业生入伍的同时,在部队也培养一大批专门的网络安全专家。另外军事通信学院也开设专门的信息安全专业,进一步完善信息人才培养机制。整合高校、军队的资源,源源不断产生对国家网络安全有用处的人才。
”堡垒“俄罗斯
最近二十年俄罗斯在国家安全防卫上不断调整,最近新发布的《国家安全战略》中对信息安全领域作出了一个明示,俄罗斯内外部环境不是很乐观,需要构筑强有力的信息领域的防线,保卫国家安全。
俄罗斯新的网络安全战略,阐述了其构建网络安全防线的基本思路。
- 首先,俄罗斯政府部门提高对网络安全问题的重视程度:政府通过一系列的法律,切实保障公民信息安全和国家在网络安全方面的投入。
- 其次,俄罗斯政府建立了完整的网络信息安全保障体系:政府自95年之后颁布了《联邦信息、信息化和信息网络保护法》、《禁止生产和使用未经批准许可的密码设备》、《俄联邦刑法典》、《俄罗斯国家安全构想》、《国家信息安全学说》等一系列法律法规来确保国家信息安全有法可依,切实保障俄罗斯的信息安全。
- 最后,俄罗斯政府建造了完善的网络安全人才培养体系,培养了一大批优秀的网络完全队伍,增强其在网络安全领域话语权,形成俄罗斯网络安全整体安全威慑能力。
参考文章:
- https://www.zdnet.com/article/russia-successfully-disconnected-from-the-internet/;
- http://www.sic.gov.cn/News/91/8704.html
