巴西網絡安全戰略及其主要特點

陳家瑛

隨著國際金融危機的深化，近幾年拉美國家陷入經濟衰退，一些國家的政治形勢隨之發生變化。執政的激進左派力量陷入困境，勢力轉衰，中右派力量趨勢而起，在選舉中奪取政權。今后一個時期中右派力量有可能成為主導全拉美地區的政治力量。政黨輪替和政權更迭，必然帶來政治、經濟和社會發展戰略與政策的調整。軍事和安全領域的政策也會相應調整變化。原來由激進左派執政的國家，在中右派執政后，調整幅度會大一些。但在原中左派執政的國家，政策變化不會太大。中右派與中右派政策的趨同性仍將繼續下去。中右派上臺將導致相關國家與美國和其他西方國家的關系有所改善。政府更迭不會影響與中國的關系，已經上臺的一些中右派政府已表明將保持對中國政策的連續性。中拉關系將會繼續保持良好的發展勢頭。

專題特約顧問 沈 安

繼2008年頒布國家防務戰略后，近期，巴西又推出國家網絡安全戰略。這兩大舉措表明，作為新興大國，巴西對其國家安全懷有強烈的憂患意識。網絡安全戰略突出外部威脅以及軍事理念和軍隊主導，強調系統性治理和統籌兼顧原則，重視本國技術的研發和創新。

重點內容及出臺背景

巴西網絡安全戰略全稱為《聯邦公共管理機構信息與通訊安全和網絡安全戰略（2015-2018）》。顧名思義，該戰略適用范圍是聯邦政府及聯邦其他公共管理機構，其涵蓋領域不僅是網絡安全，還包括信息與通訊安全。巴西認為，信息與通訊安全和網絡安全是網絡防御的基礎，其宗旨是為網絡空間的使用提供保障，預防和阻止損害國家利益和社會利益的行為。

該戰略極為詳細，既提出了聯邦一級政府機構網絡安全規劃的指導方針、網絡安全的戰略目的和具體目標，也規定了所有與數字安全問題有關的國家各機構的特殊職能，以及企業、大學及研究機構、公民和社團等社會各界參與制定網絡安全政策的機制。

網絡安全戰略的戰略目的意味著履行現實任務和未來使命的動力。巴西寄望于通過實施這些戰略促成信息與通訊安全和網絡安全的系統性治理，以便在聯邦行政權力范圍內實現網絡安全公共管理制度化。

戰略目的共有10項，其中包括：建設網絡安全的系統治理模式，提升網絡安全的成熟度，加強網絡安全問題在政府日程中的高度優先地位，為網絡安全的研究、開發和創新提供持續性保障，重視和擴大旨在加強信息關鍵基礎設施安全的行動，促進建立相關機制以便提高全社會對網絡安全的認識。

戰略目標共計38項，均為須在特定時間予以落實的具體行動。2016年的目標有：在戰略政治層面確立網絡安全系統治理模式；研發網絡安全成熟度指示器，以此作為聯邦政府各機構網絡安全跟蹤和評估機制；協調各方努力，建設數字生態系統（信息與通訊安全+網絡安全+企業+科研機構），并與網絡防御生態系統協同并進。2017年的目標有：在聯邦政府各機構安裝并檢測網絡安全成熟度指示器。2018年的目標有：聯邦政府直屬機構全部實現網絡安全自動分析并接受網絡安全中央管理機構—總統府制度安全辦公室評估。

網絡安全戰略出臺背景主要有以下三點：

網絡空間特點導致網絡安全極具脆弱性。巴西網絡空間有四大特點。一是互聯網使用發展迅速。2000年巴西僅有860萬互聯網用戶，到2014年增至1億，成為世界第五大互聯網使用國，也是臉譜、推特、YouTube等社交網站使用大國。巴西還是全球第四大信息與通訊市場。聯邦行政權力機關擁有約6000個政府機構，320多個政府網絡，1.65萬個政府網站。二是信息三大要素—存儲、處理和傳送的前兩項大部分都在國外，而傳送國際通訊信息的海底電纜也大多經過美國。三是信息基礎設施基本由外國跨國公司所支配。四是本國網絡人才明顯不足。據巴西聯邦審計法院的數據，聯邦公共管理機構和國企所使用的網絡有80%在連續性處理事務和交易中出現錯誤，70%在上網控制方面有錯誤，75%在事故管理中有錯誤，85%在風險控制方面有錯誤。在這些構成高度戰略性制度核心的企業和機構中，僅有50%任命了信息安全責任人，54%擁有關于內部數據下載的規范。2009年巴西電網多次遭受網絡襲擊破壞。2011年6月陸軍電腦系統遭受黑客每天上萬次的連續性攻擊。2015年5月巴西外交部在全球的電子郵件和數據系統遭到黑客持續性攻擊，許多機要文件泄密，駐世界各地約1500名外交官的郵箱受損。

美國監聽事件迫使巴西加速推出網絡安全戰略。2013年揭露的美國國安局對巴西進行網絡間諜活動的丑聞令巴西政府大為驚訝，就連總統本人的通訊也遭竊聽，而巴西石油公司機密被大量竊取。巴西政府深感保護其網絡空間與維護國家主權密不可分。參議院就美國監聽事件成立了議會調查委員會。該委員會的調查報告要求國家迅速制訂網絡安全戰略。無疑，“棱鏡門”事件是促成巴西出臺網絡安全戰略的催化劑。此外，巴西當局對連續舉辦重大國際體育賽事所帶來的安全隱憂也促使其加快推出網絡安全戰略。

前期立法和重大舉措為網絡安全戰略鋪路。巴西于2003年立法建立互聯網管理委員會并確定巴西互聯網治理模式。2008年頒布法律批準國家防務戰略，規定網絡和空間與核共同構成國家防務最重要的三大戰略部門。同年設立全國優化信息安全和密碼系統網絡。2010年陸軍成立網絡防御中心。2012年經立法規定信息犯罪的刑事立案和量刑標準。2012年發布網絡防御政策。2014年頒布法律，公布互聯網民則，規定了互聯網使用的原則、保障、權利和義務。同年頒布法律，批準采取旨在加強國家網絡防御的措施，并批準在陸軍司令部建制下設立網絡防御指揮中心和國家網絡防御學院。同時還以國防部法規形式公布“網絡防御軍事理論”。2015年發布《2014～2015信息與通訊技術總戰略》。這些法規和舉措促使網絡安全戰略水到渠成。

網絡安全戰略三大特點

突出軍事理念和軍隊主導。巴西網絡防御觀的形成先于網絡安全觀。2009年，國防部經由國家防務戰略正式提出網絡防御的概念，并將協調和統籌國防體系內網絡防御規劃和行動的任務賦予陸軍。國防部以法規形式公布了“網絡防御軍事理論”和網絡防御政策，從戰略和網絡戰層面對網絡防御分別進行系統闡釋和行動及戰術上的指導。巴西網絡安全戰略深受網絡防御軍事理論的影響，比如把外部威脅視為巴西所面臨的主要網絡威脅，以維護國家主權作為網絡安全首要任務。專家認為，美國監聽事件使巴西有理由相信，網絡間諜活動后隨之而來的可能就是網絡戰爭，這已成為必須嚴陣以待的危險。

在組織結構方面，巴西網絡防御主要由陸軍主導。2010年國防部成立了網絡防御中心，隸屬陸軍司令部。2014年批準在陸軍司令部建制下設立網絡防御指揮中心，建立和鞏固網絡防御產品的核準與認證，支持網絡防御產品的研制與開發，以及設立網絡防御觀察站。陸軍網絡防御中心和網絡防御指揮中心是巴西軍事網絡防御體系的重要組成部分，該體系的宗旨是網絡的保護與利用，共有5大職能：理論、行動、情報、科技和人才培訓。足見這些機構在巴西網絡安全戰略中發揮著重要作用。

巴西網絡安全戰略規定，聯邦網絡安全中央管理機構是直接隸屬于總統府的部長級制度安全辦公室。總統府原設有軍事辦公室，后將其撤銷，改設為制度安全辦公室。制度安全辦公室職能是為總統行使其職權提供軍事和安全事務方面的直接協助，負責總統、副總統的人身安全等。其主任通常由一位具有上將軍銜的軍人擔任。制度安全辦公室主任既是國家防務委員會的執行秘書，又是對外關系與國家防務會議的主持人。該機構的軍事背景也表明巴西網絡安全戰略以軍隊為主導。

分析家認為，巴西網絡安全戰略突出應對外來威脅、突出軍事理念和軍隊主導有其地緣政治的動機，作為一個新興大國，巴西希望借助其網絡安全架構提升地位、擴大影響，在雙邊關系和國際舞臺顯示其軟實力。但也有專家擔心巴西的這種選擇會本末倒置，忽視國內網絡犯罪所構成的嚴重威脅。

強調系統性治理和統籌兼顧原則。巴西制訂和實施網絡安全戰略的思路是，在不遠的將來，先在聯邦行政權力范圍內促成信息與通訊安全和網絡安全的系統性治理，而后在適當時機向其他聯邦機構和全國州市級機構及全社會推廣，以逐步實現全國網絡安全領域公共管理制度化。這種系統性治理基于一種把全社會和聯邦各級（聯邦、州和市）機構連為一體的模式，以使各自信息與通訊安全和網絡安全體系以既自主又協作的方式組織起來。這種網絡安全系統將建立國家和社會之間有效的結合，加強信息與通訊安全和網絡安全公共政策的有機性、合理性、有效性并促進相關的投資和創新行動。

依照網絡安全戰略的規定，巴西聯邦公共管理機構網絡安全系統治理模式包括5個層級：

最高層是中央機構（總統府制度安全辦公室），即信息與通訊安全和網絡安全各領域事務的管理機構，負責協調與統籌聯邦公共管理機構網絡安全相關戰略政治指導原則方面的所有行動。中間層為各部門管理機構，從聯邦政府部級到基層共分三個層級，分別是貫徹戰略指導原則的責任主體和參與者。第5層級是協作機構，包括凡是同聯邦行政機構保持某種聯系的州級和市級機構、學術機構、企業和社會組織。

統籌兼顧原則首先體現于網絡安全同信息與通訊安全統籌考慮、全盤應對。當今時代，網絡安全和信息安全、通訊安全已經高度融合、不分彼此。為此，巴西網絡安全戰略采用以下概念：

一是信息與通訊安全，旨在為信息的可用性、完整性、機密性和真實性提供可行性和保障；二是網絡安全，為本國信息社會的存在和延續提供保障，在網絡空間保護信息財產及其關鍵基礎設施；三是信息財產，指存儲、傳輸和處理工具及其所在處所；四是關鍵基礎設施，指那些一旦被中斷或被摧毀就將對社會、經濟、政治、國際關系和國家與社會安全造成嚴重沖擊的設施、服務、資產和系統。

信息與通訊安全和網絡安全越來越體現為國家的戰略職能，國家要從網絡空間維護和保護諸如能源、交通、電訊、水源、金融和信息本身等國家關鍵基礎設施，也要維護和保護個人權利特別是隱私和尊嚴。

統籌兼顧還體現為政府同企業、研究機構和社會團體協同努力，共謀網絡安全大計。網絡安全戰略將擴大和加強同國內外學術界、公共與私人企業、社會組織的協作列為戰略目的之一，規定聯邦政府機構應該在網絡安全領域尋求同社會各界建立協作和伙伴關系，以便吸收先進做法、技術解決方案，鼓勵開發新的產品和服務。這些行動有利于減輕對外依賴，應該予以高度優先。網絡安全戰略還強調加強國際雙邊和多邊合作、同跨國網絡犯罪活動斗爭的重要性。

數字生態系統（信息與通訊安全+網絡安全+企業+科研機構）就是依靠政府和全社會協同努力加以建設的，其宗旨是支持信息與通訊安全和網絡安全技術的研發，比如偵測惡意裝置的解決方案和其他網絡工具，推動數字生態系統的建立并促其與網絡防御生態系統協同發揮作用。有必要完善有利于形成私人部門與大學和研究機構伙伴關系的促進和融資機制，加強信息與通訊安全和網絡安全解決方案的研發和生產。

重視本國技術的研發和創新。巴西認為，在網絡安全領域的研究、開發和創新是使巴西被世界認可為國際重要角色的基礎條件，也能使巴西因滿足保障國家主權和公民網絡空間隱私的需要而受到尊重。網絡安全戰略規定，在科學、基礎和應用研究、技術開發和創新中加強和優先對待信息與通訊安全和網絡安全。網絡安全部門應與聯邦政府科學技術和創新部密切合作，以便提高知識生產，同時使相關的產品、服務和技術以及有關生產部門取得增值效益。

具體而言，本國技術研發和創新的重點領域有：

一是研發信息與通訊安全和網絡安全領域解決方案，這項工作建立在硬件和國家專用密碼規則基礎之上，旨在確保聯邦公共管理機構之間戰略通訊的保密性、完整性和真實性。二是建立全國信息與密碼系統安全網絡，這個項目整合全國研究人員的努力，促進信息和密碼系統安全知識的交流與新方案的開發。三是加速建立數字生態系統（信息與通訊安全+網絡安全+企業+科研機構），以便支持信息與通訊安全和網絡安全技術的研發。四是推動聯邦政府信息與通訊安全和網絡安全環境的標準化，制定既能做到設備與服務規格一致化又能確保政府采購合理與優化的計劃。

為了在聯邦公共管理機構建立信息與通訊安全和網絡安全的規范性架構，必須尋求管理模式、技術解決方案、標準等的經常性更新，以便跟蹤全球信息通訊技術進展和和技術銜接的發展動向。

為實施網絡安全戰略，巴西陸軍網絡防御中心在巴西南部伊泰普技術園區設立了戰略基礎設施網絡防御技術的首創項目—電子、通訊和網絡安全實驗室，旨在研發巴西自己的網絡防御解決方案。該實驗室是巴西國家信息安全和密碼系統網絡9大項目之一。該網絡的其他8個項目還包括保密傳遞協議以及研發網絡攻擊防御、阻止網絡入侵解決方案和防御模擬器等計劃。網絡防御中心主任保羅·塞爾吉奧·梅洛將軍說，巴西寄望該網絡將“巴西置于世界數字安全和密碼系統強國之列”。

責任編輯：彭振忠