新西兰网络安全战略

   

前　言
　　网络和电子技术正前所未有地改变着全球经济模式和人类联系方式。新西兰的公民、企业和政府已经准备好迎接这些技术带来的好处。
　　我们的日常生活与网络息息相关，从银行储蓄、购物到政府部门工作等都需要网络提供便利。新西兰的企业正运用互联网和其他数字技术打入新市场、提高运作效率、改善服务质量。
　　政府超高速宽带网和农村宽带网的起步能够帮助新西兰人通过更快速的网络连接，最大限度地获得互联网带来的好处。
　　与此同时，随着互联网和其他数字技术的不断普及，新西兰在各种网络威胁下所暴露出来的弱点越来越多。犯罪分子利用网络空间获取私人信息，窃取企业知识产权和政府掌握的敏感信息，以此获得经济或政治利益，或用于其他恶意企图。网络空间无国界。
　　《新西兰网络安全战略》报告是政府为了应对日益增长的网络威胁所做出的反应。它以政府和非政府组织正在采取的加强网络安全举措为基础，明确提出要为个人、企业、重要的国家基础设施和政府部门的网络安全提供有针对性的保护措施。
　　该战略反映出，提高新西兰网络安全应对水平是一项共同责任。政府将继续与工业企业和非政府组织一同努力，确保该战略中提出的举措能够有效实现。
　　面对不断发展变化的网络威胁，我们必须持续保持警惕，并采用灵活的应对方式。我相信，我们能够一同努力迎接挑战。
　　新西兰通信和信息技术部长斯蒂芬乔伊斯
　　引　言
　　健康的网络空间能够为新西兰人带来实实在在的好处。互联网和数字技术的普及为新西兰人获得来自全球的产品和服务提供了条件，有效改善了我们在地理上的隔绝状态，将我们和世界联系起来。
　　互联网带宽的扩大和无线技术的升级，尤其是智能手机等移动装置的升级，正改变着新西兰人上网和商业交易的方式。便捷、高速的网络服务使人们对信息和服务的要求越来越高。
　　为我国关键基础设施进行投资的政府各部门越来越依赖数字系统，其中包括银行业、金融业、电信部门、交通部门和能源部门等。
　　政府部门的日常公务活动都要使用互联网、电子文档管理系统和共享网上平台。新西兰民众正通过网络获取政府提供的服务，完成提交纳税申报单、申请护照和学生贷款等活动。
　　插表：互联网的用途
　　75％以上的新西兰人在家中上网。
　　超过70％的网络用户已接入宽带。
　　77％的企业使用网上银行，50％的农村企业通过互联网购买商品和服务。随着我们对互联网和数字技术的使用与依赖不断增加，我们在网络威胁面前暴露的漏洞和弱点也在增加。
　　网络攻击的手段变得更加高明，技术水平更加先进。从国际上的相关报道看，越来越多的网络攻击将目标锁定在企业和个人的知识产权与其他私有信息上。许多网络攻击者相互协同、资金充裕，重视投资开发可用于在数字环境中发起攻击的新方法。
　　插表：不断发展变化的全球威胁
　　仅2010年，1/3的现有恶意软件被开发。网络企业证实，2010年曾发生过多起目标性强、令人关注的网络攻击事件。2010年，虽然各部门曾联手打击“僵尸网络”病毒活动，但“木马僵尸”病毒的破坏活动数量仍呈上升趋势。
　　2010年，一种更有针对性的技术———“钓鱼软件”广泛流行，该软件通过利用其他来源的信息，营造出一种虚假的环境，以欺骗网络用户。
　　政府的职责新西兰与世界上的其他国家一样，都无法避免网络攻击。一次有针对性且成功的网络攻击可能使关键的服务部门瘫痪，冲击经济的健康发展并对国家安全构成潜在威胁。网络攻击会妨碍生活必需品和服务的生产与送达，或是导致知识产权和个人信息被窃。
　　新西兰维护网络安全的举措必须面对不断发展变化的网络安全威胁。我们必须确保相应举措能够有效辨别并减少不断涌现的网络威胁。
　　新西兰政府有责任保护自身的网络系统，并帮助关键国家基础设施的供应商维护其网络系统，从而确保新西兰民众和企业能够正常获得来自政府的及其他必需的服务。
　　新西兰政府还有责任为企业和民众营造一个安全的数字环境，使其能够安全地使用数字资源。包括帮助民众和企业提高对网络威胁的防范意识，掌握自我防护技能，并建立相应的机构和法律框架。
　　政府已经建立了相关部门，能够解决诸如欺骗性链接、垃圾邮件、账号盗用、电子犯罪等问题，并能够保护关键国家基础设施不受侵害。同时，新西兰政府向“网络安全”这个独立的非营利机构提供支持，协助后者在学校中开设网络安全教育和提高网络安全意识的课程。
　　新西兰政府正与其国际安全伙伴在网络安全领域展开积极合作，并对与逐渐增多的国际网络犯罪问题相关的新西兰法律框架进行评估。
　　网络安全威胁
　　新西兰民众和经济遭到网络侵扰的威胁是真实且与日俱增的。新西兰民众已经成为恶意软件、欺骗性链接和账号盗用等网络攻击的目标。网络攻击者利用软件、硬件和用户习惯做法方面存在的弱点和漏洞展开攻击。
　　他们也利用民众未能遵循一些基本的网络安全做法发动攻击。这些做法包括：经常更换密码、更新杀毒软件，以及使用受保护的无线网络。
　　一旦网络攻击者控制了一台电脑或一个网络，他们就能盗取或破坏里面存储的信息，扰乱其活动，或者将它们组织起来向其他电脑和系统发动攻击。
　　一台染上恶意软件、未受保护的家庭电脑可能沦为“僵尸网络”的一个据点。该网络利用数千甚至数百万台个人电脑向信息与通讯网络、商业系统和政府网站发动远程攻击，以干扰相关服务的合法使用。
　　插表：新西兰面临的网络威胁
　　70％的新西兰成年人曾遭到不同形式的网络攻击，其中最普遍的就是欺骗性链接、网络诈欺和病毒或恶意软件的入侵。
　　新西兰民众已成为国际欺骗性链接和网络欺诈活动的对象，每年在欺骗性链接上造成的损失多达5亿新元（约合25亿元人民币———本刊注）。
　　国际数据显示，每年有13.3万新西兰民众成为用户身份欺诈的受害者（其中大部分案件与网络有关）。受害者中约有1/3是账号盗用的受害者，2/3是信用卡或银行卡信息诈欺的受害者。
　　近期调查显示，54％的新西兰民众认为自己对网络安全威胁和应对举措知之甚少或一无所知。
　　59％的新西兰民众对手机、掌上电脑或智能电话没有采取保护措施，如使用并经常更改密码或PIN码（个人识别号码———本刊注）。
　　网络犯罪
　　网络空间的犯罪分子通常都是有组织的且资金充裕。他们持续跟踪家庭电脑用户、企业和政府系统。有组织的犯罪分子窃取这些个人和组织的账号，向他们兜售假货和虚假服务，并拿骗取的信息与其他犯罪分子进行交易，如盗取的信用卡详情、密码以及恶意软件。
　　犯罪分子正在寻求可获得网上信息的更加复杂的技术。例如，随着社交网络的盛行，犯罪分子正在寻找机会，利用此平台获取更多的个人信息。除获得个人信息外，网络犯罪分子还以谋利为目的，竭力窃取知识产权和政府掌握的信息。
　　插表：社交网络中的目标
　　网络犯罪分子越来越多地利用社交网络“吸引”受害者登录某些网站，借此散播恶意软件或攻击受害者的电脑。
　　网络攻击者利用社交网络中的个人资料（如生日、电话号码、任职经历及其他信息），以发动有针对性的攻击。
　　网络窃密
　　向世界各国政府和关键基础设施发起的网络攻击行动中，最高级且最持久的往往来自外国的军事、情报部门及有组织的犯罪团伙。世界媒体也争相报道有关政府系统、国家基础设施和企业遭到网络攻击，商业敏感信息、知识产权和国家或贸易机密被窃取的新闻。
　　黑客活动
　　全球范围内的“黑客活动”正与日俱增。黑客通过网络入侵，操纵他人的计算机系统或网站，从事某项活动、发布政治演说或干扰正常网络服务。例如，黑客通过“僵尸网络”攻击网站使其瘫痪，以干扰和破坏合法的网络服务。
　　恐怖分子利用网络
　　恐怖分子意识到，人们对网络系统越来越依赖，他们可以利用网络现存漏洞进行渗透、发起攻击。恐怖分子很可能继续发展他们运用网络的能力，并通过网络来招募成员、筹措资金。
　　新西兰的对策
　　为应对日益增长的网络威胁，《新西兰网络安全战略》（简称《战略》）罗列了政府的应对方法。该战略突出强调了个人、企业及政府为加强新西兰网络安全地位而应采取的措施。
　　《战略》的主要目标是：
　　提高网络安全感知能力及个人与企业对此的理解；提升政府内部网络安全水平；
　　在有关方面之间建立战略联系，以促进关键国家基础设施及其他企业的网络安全。
　　政府已任命经济发展部作为负责协调政府制定并实施网络安全政策的牵头单位。
　　合作措施
　　促进网络安全是一种共同责任。在制定战略的过程中，政府已经广泛听取了来自政府、工业企业、非政府组织、学术机构等有关方面的意见。
　　政府将继续与上述有关方面建立联系并一道工作，以实现战略中所提到的应对举措，并寻找机会，进一步增强新西兰网络安全的措施。
　　在国际上，政府将继续与安全及贸易伙伴们合作，以确保新西兰能为全球网络安全做出有效贡献。
　　优先领域及关键措施
　　《战略》列出3个优先领域：
　　1.增加感知能力与网上安全；
　　2.保护政府系统和信息；
　　3.对突发事件的反应与计划。
　　《战略》在上述优先领域的框架内，确定了关键和长期的措施，这些措施从2011年开始实施。
　　优先领域之一：增强感知能力与网上安全
　　个人与企业有共同责任和利益，以确保其在网络空间进行的活动是安全的。
　　政府有责任协助营造一个安全的网络环境，帮助新西兰民众获得他们所需的工具和信息，尽可能安全地在网络空间开展活动。
　　政府正与工业企业和“网络安全”等非政府组织一道，努力获取网络安全相关信息，并提出改进措施。政府也在与工业企业和非政府组织一道，努力提高个人和小企业的网络安全感知能力，并提高其对网络安全威胁的认识。
　　关键措施：
　　与工业企业、“网络安全”等非政府组织进行合作：———汇集网络安全信息与资源，以便他人能轻易获取；———提出一份提升网络安全感知能力的综合性计划。长期措施：
　　与网络服务供应商一道，寻找解决网络安全问题，如受病毒感染的计算机和“僵尸网络”的应对方案。
　　优先领域之二：保护政府设施与信息系统
　　政府有责任保护民众和企业专用的个人与商业信息免受有害及非授权使用。
　　国家敏感资料也必须受到保护。政府最优先的工作是，在政府通信安全局内建立一个国家网络安全中心。国家网络安全中心将以现有的网络安全和信息安全保障能力为基础，进一步提高保护政府及信息系统免受高级别、持续性的安全威胁。
　　政府还将采取措施，提升政府各部门之间的网络安全实践水平。
　　关键措施：
　　在政府通信安全局内建立国家网络安全中心（NCSC）。采取措施提升政府各部门的网络安全实践水平。优先领域之三：对突发事件的反应与计划由于世界范围内的网络安全事件数量正快速增长，应急准备正变得日益重要。
　　政府将修订网络事件应急计划，以确保新西兰能够有效应对不断增长和深化的网络威胁。
　　通过建立国家网络安全中心，政府将以现有的网络安全能力为基础，谋划应对网络紧急事件。国家网络安全中心将涵盖现有“关键基础设施保护中心”（CCIP）的职能。
　　新西兰企业做好应对网络攻击的准备，对国家网络的适应和恢复能力非常关键。随着新的、更加复杂的不良软件和网络攻击的发展，企业能够恰如其分地界定、评估及应对突发事件和威胁，也变得日益重要。
　　政府将与国家关键基础设施的提供者和企业一起，支持它们进一步提高自身的网络安全反应能力，包括对新西兰计算机紧急事件应对小组（CERT）的需求进行评估。
　　关键措施：
　　建立国家网络安全中心，其职能包括“关键基础设施保护中心”的职能。
　　修订政府的国家网络应急反应计划。
　　与包括国家关键基础设施的提供者和企业等一道，支持他们评估其网络安全反应能力。
　　长期措施：
　　与有关各方合作，以确定对新西兰计算机紧急事件应对小组的工作需求。其他措施研究与发展对于政府提升应对网络安全威胁至关重要。各部门与组织正努力聘用那些拥有特殊网络安全技能与知识的人。
　　政府将与工业企业、大学和其他教育与培训机构合作，以寻找合适的方法，满足对网络安全人才的资格认证、培训、研究与发展的需求。
　　政府将与工业企业、学术机构、政府部门及其他相关组织合作，进一步开发国家网络安全对策的能力。
　　重要的是，维持一个适当的法律环境并确保在网络犯罪领域开展国际合作。政府正与国际伙伴一道，合作应对网络犯罪。作为应对有组织犯罪的“政府一盘棋”措施的一部分，新西兰政府正考虑依照欧洲委员会《网络犯罪协定》制定的标准，与盟国开展合作。
　　长期措施：
　　与教育和培训机构合作，以寻找合适的解决方法，满足新西兰对网络安全专业人才的需求。
　　与国际伙伴们一道，提出打击网络犯罪及与欧洲委员会《网络犯罪协定》进行合作的措施。
　　附：新西兰政府及有关合作组织
　　经济发展部：负责牵头新西兰网络安全政策的制定与实施。国内事务部：负责在政府部门之间就有关信息通信技术事务进行协调。政府通信安全局：协助政府部门保护电子信息来源及通信系统。关键基础设施保护中心：支持关键基础设施的提供者，以提高其应对网络威胁的能力。
　　“网络安全”组织：负责向个人、家庭、学校及企业提供网络安全建议。新西兰警察局：就电子犯罪与涉及计算机的违法行为进行调查并提出建议。消费者事务部：向消费者提供信息及建议，以提高其网络自保能力。教育部：协助“网络安全”组织开展旨在提高学校网络安全的项目。外交事务与贸易部：代表新西兰就网络安全问题在国际上发表意见。“网上报案”组织：通过网络进行报案。新西兰安全情报局：就国内网络安全问题向政府提建议。