构建国家网安保障：俄罗斯如何成为网络空间的“战斗民族”

xman

摘要

美国当地时间3月20日，美国联邦调查局（FBI）局长科米和国土安全局局长罗杰斯在美国众议院情报委员会前作证，主要关于俄罗斯涉嫌干涉美国大选、俄罗斯是否与特朗普竞选存在背后关联、特朗普指控前总统奥巴马监听特朗普大厦等事宜。事实上，俄罗斯网络一直也是各国攻击的焦点,也在积极打造网络安全有效防护机制。界小编就为大家总结一下俄罗斯近年来是如何构建网络安全机制的。

2017年1月24日，俄罗斯联邦安全局官员表示，2016年俄境内机构遭受约7000万次网络攻击，其中大部分攻击来自国外。当天俄联邦安全局通信安全中心副主任穆拉绍夫在莫斯科表示，遭受网络攻击的主要是俄罗斯铁路运输公司、俄罗斯天然气工业股份公司等大型、关键性目标。此外，俄罗斯IT安全公司卡巴斯基实验室近日发布预测称，2017年俄境内目标遭受网络攻击的次数将会增加，且攻击将集中于工厂、运输系统和电站等目标。

近年来，为确保国家与军事领域的网络安全，俄罗斯强化顶层设计、完善法规体系、构建保障系统、谋求技术支撑，积极打造网络安全有效防护机制。

一、注重战略统筹和顶层设计

俄罗斯非常注重网络安全的战略统筹和顶层设计。通过规划牵引、政策扶持，俄罗斯将网络安全提升至国家战略高度，其网络安全战略与西方发达国家有诸多不同之处，体现了俄罗斯强化国家安全、实现复兴整体战略目标的特点。

1997年颁布的《俄罗斯国家安全构想》明确，信息安全是保障国家安全的重中之重。2001年，《俄联邦信息和信息化领域立法发展构想》分析了俄联邦信息和信息化领域立法的现状和发展趋势。

2013年1月，普京签署总统令，责令俄联邦安全局建立国家计算机信息安全机制，用来监测、防范和消除计算机信息隐患。内容包括评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定、建立电脑攻击资料库等。

2013年8月，俄罗斯联邦政府公布了《2020年前俄罗斯联邦国际信息安全领域国家政策框架》。

2014年1月，俄罗斯公布了《俄罗斯联邦网络安全战略构想》草案，该草案对网络安全战略的原则、行动方向和优先事项进行了明确。战略构想对于发展国内网络的扶持政策也进行了说明，如：向国内网络安全设备生产商提供国家支持，减免税费、支持产品推向国际市场，放宽软件的推行，制定系统措施推广使用国产软硬件，包括网络安全保障设备，更换国家行政信息网、信息通信网、至关重要的基础设施项目信息网及保障他们相互协调的信息通信网中的外国产品等。

2014年，俄罗斯出台《2030年前科技发展前景预测》，对本国网络发展进行战略规划，明确了各阶段建设目标，内容包括：借助信息和通讯技术完善国家管理体系；促进本国信息技术的开发；培养信息技术领域专业人才；借助信息技术应用发展经济和金融；增加信息技术研发投入等。

2014年6月，普京总统表示，在实施政府采购时，俄罗斯国产软件产品定价可高于外国产品金额的15%；至2020年，俄罗斯计划每年投资100亿卢布发展信息产业；在2018年前，完成50个信息技术领域创新研发中心建设。根据《2030年前科技发展前景预测》文件，在2020年前，俄罗斯政府的信息技术开发费用支出在国内生产总值中的比重将由目前的1.5%增长到3%。

出台信息网络产业税收优惠政策。俄罗斯规定，从事软件研发的公司所缴纳的退休金、医疗保险和社会保险的费率，由34%降到14%。此外，俄罗斯国家杜马通过对创新科技园区入驻企业实施税收优惠的修改法案，规定入驻创新中心的企业在10年之内免缴增值税，社会统一税缴纳比例降至14%。

二、完善网络安全法律法规

政令明确、制度牵引，构建网络安全法律法规体系。近20年来，俄罗斯持续不断地制定并颁布了多部信息安全法律法规，明确政府部门职责和规范互联网行为。

1995年2月，俄罗斯颁布《联邦信息化和信息保护法》，将信息资源的独立和具体项目列为国家财产予以保护，并规定“当信息被认为涉及国家机密时，国家有权从自然人和法人处收购该文件信息”，“含有涉及国家机密的信息资源，其所有者仅在取得相应的国家政权机关的许可时，方能行使所有权”。

1995年4月，着眼于对密码的研制、生产、销售、使用、进出口进行严格控制，俄罗斯颁布《禁止生产和使用未经批准许可的密码设备》的第334号总统令，规定将国家权力机关专用信息远程通信系统列为总统计划；禁止国家机关和企业使用未经许可的密码设备、加密设备、信息存储、处理和传输设备；禁止向使用未经许可加密设备的企业和机构进行政府采购。

1999年就制定颁布《俄罗斯网络立法构想》（草案），明确立法建设的主要目标、原则及10项主要工作。此后，俄罗斯又陆续公布了20余部法律，将原有法律条款不断从现实社会引向网络社会。通过政令明确和制度牵引，俄罗斯网络空间的法律法规条款逐步趋于完善，为确保网络安全提供了法规依据与制度基础。

依据2013年1月普京签署的总统令，要求能够有效应对黑客入侵和对信息系统及电信网络的攻击。为此，俄罗斯安全局建立了国家网络安全系统，主要目的是对俄罗斯联邦信息安全领域的态势进行预测分析，在受到网络极端攻击的情况下，对俄罗斯联邦信息设施的防护程度进行监控，同时负责协调信息资源的拥有者、通信运营商及信息防护领域经授权许可的其他主体之间的工作。

2013年8月20日俄联邦安全局在网上公布了《俄联邦关键网络基础设施安全》草案及相关修正案。这是俄政府在新的网络安全背景下，对关键部门信息系统强化安全保护的最新举措。《俄联邦关键网络基础设施安全》草案提出的建议主要有三条：一是建立国家网络安全防护系统，以发现网络病毒和网络入侵行为，提出预警或采取措施消除网络入侵带来的后果。二是建立联邦级计算机事故协调中心，以对俄境内的网络攻击进行预警和处理。三是加大对相关责任人和违法者的处罚力度，直至判刑。例如，玩忽职守或违反操作规章导致系统被入侵的信息管理人员可被判7年监禁，入侵交通、市政等国家关键部门信息系统的黑客最高可处以10年监禁。同时在全国范围内对关键信息系统进行安全风险评估。

2014年5月5日，普京签署《知名博主新规则法》，就规范网络空间秩序采取新措施。

2015年9月，俄罗斯《个人数据保护法》生效,该法律规定任何收集俄罗斯公民个人信息的本国或者外国公司在处理与个人信息相关的数据，包括采集、积累和存储时，必须使用俄罗斯境内的服务器。斯诺登事件之后，全球几乎都日趋重视网络信息安全，俄罗斯立法首当其冲要求实现个人数据存储本地化（仅仅是个人数据）。

2016年12月，俄罗斯总统普京签署了一项大范围的网络安全计划——新《信息安全条例》，该条例是对2000年确定的《信息安全条例》的更新，旨在加强俄罗斯防御国外网络攻击的能力。条例强调，信息技术应用领域的扩大引发了新的信息威胁，包括信息跨境流通越来越有可能被地缘政治所利用，帮助恐怖分子和犯罪分子违反军事政治国际法，给国际安全带来威胁。

三、构建网络安全多重保障体系

为确保网络安全，俄罗斯多管齐下，虚实结合，软硬互补，构建网络安全多重保障体系。

俄罗斯国防部长谢尔盖·绍伊古称，俄罗斯已成立专门从事信息战的部队。

在软件及体制建设方面，俄罗斯建立了强制认证机制、机密信息保护机制和网络检查和审核机制。

建立强制认证机制。俄罗斯建立了专门的认证机构和认证测试实验室，将信息安全分为A、B、C、D、E共5个等级，只有获得认证的信息安全产品，才能在市场上销售和使用。对于网络上的密码产品，认证条件更趋严格：密码保护设备必须是国内研制的，并且要经相关部门鉴定。

建立机密信息保护机制。1997年，俄罗斯颁布《机密信息清单》；2005年9月，针对信息安全的新威胁，对《机密信息清单》进行重新修订；2006年，批准通过新的《机密信息技术保护条例》。

建立网络检查和审核机制。允许相关部门对经由互联网传播的信息进行监查，同时规定政府机构、公民事业单位及商业公司应将信息安全审核列为经常审核的安全项目之一。

为有效应对网络威胁，俄罗斯也一直致力于打造安全防护的有形力量。目前，俄罗斯在各强力部门都设有网络威胁应对机构。例如，在内务部设有专门局，负责调查境内网络犯罪活动；在安全局设有信息安全中心，负责对抗危害俄国家和经济安全的外国情报机构、极端组织和犯罪组织；国防部的网络司令部负责遏制其他国家在网络空间对俄国家利益的侵犯。围绕某一重大任务，各部门之间往往会展开密切协作，以应对网络安全威胁。

2014年索契冬奥会期间，参与索契冬奥会项目的互联网、电话和其他通讯提供商都被要求首先保证俄罗斯安全机构享有充分的、畅通无阻的访问权限来构建其通讯网络。俄联邦安全局（FSB）和俄罗斯内政部还部署两种类型的无人机执行监控任务。由于深度监控，美国国务院曾建议公众前往索契观看冬奥会时，把智能手机或者笔记本电脑放在家里，以免遭到数据拦截。据报道，俄罗斯拥有无线数据通信干扰器、网络逻辑炸弹病毒和嵌入式木马定时炸弹等先进网络武器。

四、确立自主研发和知识产权服务体系

自主研发、并行发展，形成网络安全整体技术优势。俄罗斯对于网络安全保障确立了自主研发的发展思路，并将其贯穿于各项技术发展规划。

采用自主研发芯片和Linux操作系统。2014年6月，俄罗斯工业和贸易部宣布，该国的政府机构和国营企业，将不再新采购Intel或AMD为处理器的电脑，而将采用该国T-Platforms公司生产的Baikal处理器芯片为核心的PC。采购的计算机不安装微软的Windows系统或苹果的Mac操作系统，而是安装俄罗斯专门开发的Linux操作系统。多年来，俄罗斯一直试图摆脱使用微软操作系统，通过自主研发操作系统减少对Windows的依赖。

2010年，俄罗斯首次宣布研发俄罗斯版视窗系统，开发开源代码Linux软件，以减轻对微软Windows系统的依赖，更好地监控计算机安全。在2010年出台的《信息社会发展规划(2011~2020年)》中，俄罗斯将发展国家软件平台列为建立信息社会项目的主要任务之一。

2011年，俄罗斯计划在国内软件平台上增加机构、技术、工业、科教等方面的内容，并确保它们能够与国际自由软件项目进行集成。同年，俄罗斯批准了5年内将政府机构和预算企业转入俄罗斯版视窗系统的计划。

2012年9月，俄罗斯推出了一款特制的平板电脑，配备给国防工作人员使用，以免本国敏感机信息外泄。该平板电脑安装的是俄罗斯自主研发的移动操作系统，不但可以防止黑客攻击，还能有效避免用户在使用过程中泄露个人信息。

2014年7月，俄罗斯推出一款名叫“Rupad”的超级平板电脑，配备了自主研发操作系统。这款名为“Rupad”的平板电脑由俄罗斯经济、信息技术和操作系统中央科研中心研发，使用的是俄自主研发的操作系统ROMOS。Rupad外观与iPad相仿，使用处理速度达1GHz的双核处理器，1GB内存，并配有像素为300万和500万的两个摄像头，另有蓝牙、3G等通信模块。这款平板电脑分为军用和民用两个版本，其中军用版配有抗震外壳，可保护电脑从两米高度坠地不损坏，防尘防水，可在深度不超过1米的水下正常工作半小时，其正常工作温度为零下22摄氏度到55摄氏度。目前，俄罗斯国防部、内务部和联邦安全局等部门已开始试用这款电脑。

此外，俄罗斯还大力支持卡巴斯基等网络安全公司的创新，为俄罗斯网络安全战略提供人才和技术支撑。

斯诺登事件对俄罗斯的网络安全造成了很大冲击。2013年2月，俄罗斯媒体报道，为确保本国公民的个人信息安全，摆脱类似美国“棱镜”计划的监控，俄罗斯展开建立具有自主知识产权的公共电子邮件服务系统。

2014年3月，克里米亚回归俄罗斯，美国于3月20日宣布对俄部分官员、企业界人士和银行进行经济制裁后，国际上最大的两家信用卡支付平台维萨和万事达对俄罗斯银行和北海航线银行终止服务，造成50多万张信用卡无法使用，俄罗斯多家银行几近瘫痪。事件发生后，俄罗斯总统普京多次强调尽快建立国家支付系统。目前，俄罗斯正在建立自主的银行支付系统，以求减少对欧美同类金融服务的依赖，应对美欧未来可能的制裁，进一步确保网络安全。

2016年8月，中国互联网络信息中心发布的第38次《中国互联网络发展状况统计报告》显示，截至2016年6月，中国网民规模达7.1亿，已经是网络大国，同时也是遭受网络攻击的主要受害者。俄罗斯在网络安全方面的成功经验，值得我们借鉴。