日本网络信息安全架构

日本讨论本国网络安全系统欲合作清除网络僵尸

作者：知远

2010年08月24日12:14

我来说两句(0)

复制链接

打印

大中小

本文说明日本政府的信息安全政策和机构，并希望引起美国政府对于类似的政策和机构的关注。开始，将讨论日本的网络安全系统。然后在第二部分中，将审视一种特殊的信息安全政策，即密码系统政策，来剖析不同的信息安全政策如何运行。日本实行的密码系统政策广泛地采用经济合作与发展组织(OECD)的“密码政策指导方针”。对这些指导方针进行讨论，重点提出将来密码系统可能出现的值得国际社会注意的问题。第三部分分析反网络僵尸（anti-bot）政策。网络僵尸侵入个人用户的电脑并对其实施遥控，对互联网的影响越来越大。网络僵尸在许多国家都成了实际问题，因此需要进行国际合作。本文最后提议所有有关方面必须确定对通信系统采用适当程度的合法接入。此外，在消除网络僵尸中进行合作为日本和美国引领国际行动提供了一个良好的机会。

1. 日本的网络安全系统

在研究了日本和美国的总体网络安全计划之后，我们的结论是在公众了解国家的网络防御，国家安全的政治承诺和政府机构为提升网络安全性的创新方面，美国优于日本。而在保护个人信息，关注信息安全知识和提升安全意识方面，日本又好像强于美国。本文探究日本在这些方面的情况，并与美国的系统加以比较。

A. 组织结构

日本的网络安全中心是其国家信息安全中心，它是内阁书记处的一部分。国家信息安全中心的主任是三个助理内阁书记长之一，其职责是负责国家安全和应急响应系统。国家安全包括人身安全和网络安全。有关政策问题由信息安全政策委员会决定，它的主席是内阁秘书长。各个政府机构在信息安全政策委员会的指导下与国家信息安全中心协同，执行有关政策。国家信息安全中心之下的主要政府机构包括内务和通信部，经济贸易和工业部，国家政策局（National Police Agency）和国防部。

国家信息安全中心的突出地位和领导作用表明了其权威程度。国家信息安全中心建立于2000年，那时叫做信息安全举措促进办公室，在2005年机构改革后改为现在的名字。它的地位表明了它的组织作用，但是也意味着在网络安全议程的优先化中缺乏灵活性。网络安全像国家退休金计划和严重地震破坏恢复计划一样，没有被列入头等优先的政治问题。

稳定的组织结构，连续的授权和精干的员工一致努力使得日本的信息安全政策和管理不断进展。国家信息安全中心的“支柱”人员是信息安全顾问。自从2004年4月设立这个职位以来，Suguru Yamaguchi就一直担任这个顾问。他的才干证明了他对于国家信息安全中心的重要性，而此前中心只是集合了一帮官僚，有的还不是网络安全专家。国家信息安全中心在顾问的指导下，承担着以下职责：(1)解释复杂的技术问题，(2)将技术和管理问题转化为政策和指令，(3)协调涉及新网络安全措施的政治辩论。

将日本的组织结构与美国进行比较，能够发现一些指导性的差别。美国典型性的组织模式是动态的，而日本的则比较稳定。这一差别可能反映出两国各自的历史、文化和社会特点。

可以将国家信息安全中心与其美国的类似机构，即国土安全部的国家网络安全处（National Cybersecurity Division），作一比较。国家网络安全处自从2003年建立以来，其行政功能就一直在变化。相比之下，国家信息安全中心则是其任务和规模一直在发展。国家信息安全中心在官僚主义的舞台上更加

活跃，比较有利于这个领域。因此，国家信息安全中心处理可能的摩擦来保证信息技术的方便性，用户的私密性，社团事务的连续性以及犯罪调查和国防的需要。

B. 网络安全战略

2009年1月，日本政府批准了从2009年到2011年的第二个国家信息安全战略计划。这个三年计划包括四个主题：中央和地方政府，关键基础设施，商业团体，和个人。

作为国家信息安全战略计划的一部分，日本政府批准了“安全日本2009”。它的212项政策中，四分之一针对改进中央和地方政府。在关于关键基础设施和商业团体的部分，私人企业起行动主体的作用，而政府则提供支持。像美国一样，关键基础设施为许多私人部门所拥有和运营，而且认为这种公私合作关系是非常重要的。内务和通信部以及经济贸易和工业部在全国各地设立了草根信息技术安全“课堂”来影响当地非盈利组织机构的工作。这两个部还开展有效的国家运动来提高安全意识。

相比之下，美国的政策中，许多都集中于加强联邦政府的网络安全上，几乎没有涉及私有部门的工作。对于美国的网络安全政策的全面讨论超出了本文的范围，因此，只举出一个能够表明美国政策平衡的例子。在前总统乔治W.布什领导下实施了“广泛的国家网络安全主动性”(CNCI)，它集中于提高联邦政府的网络安全能力，只有少数几项政策是针对非联邦政府网络安全的。然而，与美国政策以提升国家高层的能力为目标不同，日本看来更加注重私人活动和全民活动。之所以有这样的差别，可能的原因是在美国，联邦政府集中于处理联邦的问题，而各州政府和地方政府则更为直接地与国民和社团相联系。相反，日本政府更加倾向于涉及工业和普通民众。

C. 报告和监测

作为执行部门的美国国家标准技术研究所是一个独立的专门从事标准的机构。根据“联邦信息安全管理法案”，国家标准技术研究所提供标准，法规和指导方针，而管理和预算办公室负责监测和报告。检察长和政府审计总署独立地执行审计任务。

相比之下，日本把所有这些任务都交给国家信息安全中心。日本国会和行政部门之间的关系可能更具连贯性和有效性的积极作用。但是作者相信，日本政府可以学习美国的职责分离，连续监测和建立一个国家审计机构。

2005年，国家信息安全中心根据国家信息安全战略计划为中央政府计算机系统开发了政府信息安全措施标准，并将这些标准分发给所有的日本国家管理部门。这个安全管理目标和实践的明细表几乎每年都进行修订，现在已经是第五版。

国家信息安全中心将一个样本交给了各个行政部门，并根据此样本进行衡量和报告。样本提出36个问题和1个检查表，检查表的项目分为10小类和4个方面：计划、知识共享、执行、以及评估和改进。样本包括的项目有对信息技术安全管理人员的教育，信息资产表的编制和维护，意外事件处理手册，等。而后，国家信息安全中心将报告的活动评定为一星级，二星级和三星级。相比之下，美国有一个多层分级系统，各政府部门用来自行报告。

国家信息安全中心确定了几个“最佳实践”方面，各个部和局根据国家信息安全中心的样本，一年一度地向日本信息技术战略总部报告他们的最佳实践。这样，通过报告，监测和标准的连续应用，各个政府部门都有了极大改进，提高了日本政府系统的整体安全水平。

D. 小结

在设定标准，监测和报告方面，日本和美国的网络安全系统由许多相似性。两国政府的网络安全的基础基本相同，但是有意思的是其系统很不一样。以下为一些特殊见解。

国家信息安全中心一直承担着改进日本政府各部门网络安全措施的任务。但是面临挑战。中心履行制订规则、确定制度、监控和评估的职责。在短短的四年时间里，中心的工作导致了生产率的提高。然而，当政府认为因密码系统和对抗网络僵尸的目的而合法地进入了私人通信之中的话，会对中心进行检查。

日本和美国可以互相学习对方的方法和经验。日本颁布了不少政策，采取了不少措施，但缺乏战略眼光。有人会认为，政府颁布了这么多极度严密的政策，要在一定的时间内实施会碰到困难。而另一方面，却有人会说，美国的政策不够准确。美国的网络安全方法是由其战略所操纵的，但是其政策太广泛，难以