日本經濟産業省(METI)商務信息政策局網絡安全課在今年4月份正式公開了《網絡/物理安全對策框架》(CPSF)及其配套的一系列行動計劃。經産省是在基于高度融合網絡空間與物理空間實現“社會5.0”、通過互聯創造新附加價值的“互聯工業”指針下,針對確保新型供應鏈的整體安全,梳理産業所需安全對策的全景,制定出了該框架。
該框架及其配套行動計劃的制定出自經産省于2018年2月7日成立的“産業網絡安全研究會工作小組1(WG1)”(制度、技術、標准化)。WG1在經産省的定位是:METI⇒審議會與研究會⇒制造/信息/流通與服務⇒産業網絡安全研究會⇒工作組1(WG1)。
框架出台的背景
在工業4.0時代,網絡空間安全問題全球多發,僅看最近一年,就發生了如下影響巨大的網絡攻擊事件:2018年5月,丹麥鐵路公司DSB遭DDoS攻擊功能停止;7月,新加坡醫療機構新加坡150萬患者資料被黑客竊取,包括李顯龍開藥記錄;8月,台積電遭到勒索病毒入侵停止生産;9月,英國航空公司含信用結算信息的39萬人信息泄漏;12月,美國萬豪集團信息泄漏,影響3.8億人;2019年3月,挪威全球最大鋁生産商海德魯遭勒索病毒暫時停産;同月,台灣華碩實時更新服務器被黑挂毒,百萬用戶成爲犧牲品。
針對如上類似重大問題,各國政府采取了積極對策及行動。美國、歐洲、中國等都采取了應對措施。2018年8月,美國總統特朗普簽署2019財年《國家防禦授權法案》。11月,美國公布《僵屍網絡攻擊強韌對策技術路線圖》。同月,美國國土安全部啓動《ICT供應鏈風險管理任務組》。2019年1月,美國發布DNS劫持緊急指令。
歐洲各國也很重視安全問題。2018年5月,歐洲《通用數據保護條例》生效。10月,英國公開了《消費類物聯網設備安全行爲准則》。11月,法國發布《巴黎網絡空間信任和安全倡議》。2019年3月,歐盟委員發出關于歐盟共同應對5G網絡安全的建議。
爲貫徹落實《中華人民共和國網絡安全法》,深入推進實施國家網絡安全等級保護制度,2018年6月,公安部會同有關部門起草了《網絡安全等級保護條例(征求意見稿)》。而《個人信息出境安全評估辦法》是爲保障數據跨境流動中的個人信息安全,根據相關法律法規制定的,由國家互聯網信息辦公室于2019年6月13日發布征求意見稿。
其他國家也出台了相關政策。2018年8月,澳大利亞排除接受外國政府不當指示的5G供應商。2019年1月,越南網絡安全法實施(未發行實施規則)。2019年2月,俄羅斯下議院通過了與外國互聯網斷開法案。
在上述全球環境下,日本經産省的“産業網絡安全研究會”(2017年12月成立)及其工作組1致力于日本規則的制定與實施。
工作組認爲,在高度融合的網絡空間與物理空間,要提供精細、對應多樣需求的物品及服務,在兼顧經濟發展與解決社會課題的超智能社會“社會5.0”、基于多樣互聯創造新附加價值的“互聯工業”中,供應鏈將從以往的定型、直線型向更加靈活、動態方向變化。
圖1:“社會5.0”下的社會示意圖
這一新形態的供應鏈被定義爲“價值創造過程”,作爲基于“社會5.0”、“互聯工業”擴展的供應鏈概念所需安全對應指針,需要推進《網絡/物理安全框架》的制定。
在工作組討論過程中,公開了框架的草案,在2018年和2019年分兩次收集公衆意見。在廣泛接受國內外建議的同時,還在WG1下設的“跨領域子工作組”(SWG)中,基于公共建議、有識之士的意見,與國際標准進行整合並討論。在這些研討基礎上,WG1及SWG制定了CPSF 1.0版。目標是通過CPSF應用,落實日本産業供應鏈整體網絡安全的確保機制。今後,針對CPSF實施,各産業領域從産業結構及商業習慣視角出發,基于應該保護的對象、可容許風險的不同等實際情況,在主要産業領域普及CPSF,推進各産業領域所需具體的安全對策的討論。同時,針對跨産業對策所要的《不同數據類別的安全對策》、《有轉錄功能設備進與系統所需安全對策》、《軟件管理方法等 (含OSS——開源軟件)》,設置特別任務組(task force,TF),促進討論。
CPSF內容構成
日本經産省商務情報政策局網路安全課從供應鏈結構變化、三層結構與六個構成要素、總體概要、今後的舉措等4大方面,發布了CPSF的要點。
在“社會5.0”下,包含數據的流通與應用,能構建更爲靈活、動態的供應鏈。另一方面,從網絡安全出發,需要應對網絡攻擊起點的擴散、物理空間影響增大等這類新風險。鑒于上述供應鏈結構的變化,産業網絡安全研究會WG1梳理了“社會5.0”中安全性對策的全景,歸納出産業界企業用對策中的安全對應案例,據此制定了該框架。
圖2:社會5.0的特征及相應的安全問題
針對網絡物理一體化社會的安全確保,CPSF提出了新模式:CPSF針對産業、社會變化所帶來的網絡攻擊的威脅增大,提出了准確捕捉風險源、無遺漏研討的安全對策新模型——三層結構與六個構成要素。將“社會5.0”中的産業社會歸納爲三層,第一層是企業之間的關聯,基于妥當管理,確保各主體的可靠性;第二層是物空間與網絡空間的關聯,物理與網絡空間之間轉錄功能的可靠性保障;第三層是網絡空間中的關聯,面向自由流通,加工、創造服務,確保數據的可靠性。作爲研究對策的構成單元,將組成供應鏈的要素整理爲6個,分別是:機構、人、物、數據、流程、系統。
未來,工作組任務聚焦在框架的具體化,推進實施。爲實現CPSF的具體應用,針對《不同數據類別的安全對策》、《有轉錄功能設備進與系統所需安全對策》、《軟件管理方法等》,在産業網絡安全研究會WG1的跨領域子工作小組(SWG)之下,設置實施跨領域橫向討論的任務組(TF,task force)。各TF與産業網絡安全研究會WG1下的SWG的討論相結合,推進CPSF産業界應用。
圖3:每個層級中的措施概述
一攬子行動計劃
2018年5月提出的4個一攬子政策構成的“行動計劃”,並取得了很大進步。這些一攬子配套措施要點如下:
供應鏈網絡安全強化配套措施。2018年9月面向東盟,在東京首次召開了與美國國土安全部合作的日美共同演習。2018年11月,在産業技術綜合研究所(AIST)設立網絡安全研究中心。2019年4月CPSF制定出台等。
網絡安全經營強化配套措施。如2019年3月,日本公布網絡安全經營實踐集,並啓動網絡安全救助隊的地域實證業務等。
網絡安全人才培養、參與度促進配套舉措。如2018年秋季在一橋大學、情報處理推進機構IPA下成立的産業網絡安全中心(ICSCoE)等啓動面向戰略管理層的講習。或者與高專機構合作啓動,派遣講師進行培訓。
安全業務生態系統創造配套舉措。如針對安全業務的信賴性可視化,2018年7月啓動審查登記制度。作爲官民交換意見平台的“合作論壇”的召開(至今爲止共計7次)等等。
與此同時,爲進一步加快以行動計劃爲中心的機制落實,將從以下3個方面強化重點措施。一是要引領“全球”網絡安全實施;二是創造“可信價值”,將“驗證”與可信關聯,使之轉化成事業;三是將網絡安全滲透到整個社會、中小企業、各個地域。
在中美貿易摩擦中,美國以安全爲由,試圖阻止我國ICT行業有全球影響力企業的發展。日本在反對貿易雙邊化、倡導開放創新的同時,又在安全問題上迎合美國。在這一特殊環境下出台的CPSF,值得我們仔細的參考與研讀。
作者(李穎:中信所研究員)
更多精彩原創內容,請關注微信公衆號“知識自動化”