巴基斯坦《2021 年國家網絡安全政策》淺析

掃碼訂閱《中國信息安全》雜志

權威刊物 重要平臺 關鍵渠道

郵發代號 2-786

文│國家信息技術安全研究中心 嵇紹國 國家信息技術安全研究中心總工程師 王宏

2021 年 7 月 27 日，巴基斯坦政府總理伊姆蘭·汗批準發布由信息技術和電信部起草的《2021 年國家網絡安全政策》（NATIONAL CYBER SECURITYPOLICY 2021）文件，全文共 15 頁，由背景，愿景、范圍和目標，政策框架和措施共四個部分構成。這是巴政府發布的首部國家網絡安全政策，目的是“確保為公民、企業和政府提供一個安全和有彈性的網絡空間”。巴基斯坦“網絡治理政策委員會”將負責此國家安全政策的實施、監督、戰略和行動計劃。主要情況如下：

一、政策發布是巴全面評估網絡安全形勢和數字化轉型道路，為創建網絡治理框架做出的戰略決策

這份文件明確指出，國家網絡安全面臨著風險和挑戰，對實現經濟發展目標造成嚴重障礙，巴基斯坦走上數字化轉型之路，建立必要的網絡安全政策框架已經勢在必行。

信息和通信技術的發展。信息和通信技術在改變世界方面發揮了關鍵作用，讓全世界成為“地球村”。信息和通信技術的創新不僅在重新界定世界、社會、經濟、發展的各個層面，而且為網絡空間的民眾帶來商業、經濟、文化和社會的機會。

巴基斯坦數字化轉型之路。全球高度互聯網絡的便捷性和低成本接入開創了新紀元。隨著信息和通信技術發展，特別是寬帶基礎設施的發展，使因特網成為當今世界的中心。人們通過網絡相互依存和聯系，獲得信息和知識。為利用信息通信技術和第四次工業革命的紅利，巴基斯坦走上了數字化轉型道路。

網絡空間面臨風險挑戰。隨著互聯網快速增長和發展，網絡空間安全形勢令人擔憂，人們對提供的應用程序和服務喪失信心。在網絡空間惡意使用通信技術事件日益增多，給個人、企業、部門和國家造成安全風險和財務損失，對巴實現經濟發展目標造成嚴重障礙。

缺少有效網絡安全機制。為確保公民網絡安全和數字系統安全，巴基斯坦采取了各種舉措。2002 年《電子交易條例》（僅涵蓋電子金融交易和記錄）、2013 年《調查與公平審判法》（IFTA）、1996 年《巴基斯坦電信（重組）法》和 2016 年《防止電子犯罪法》（PECA），僅是適用于信息和網絡安全的某些方面，但不是全部。巴基斯坦國家銀行（SBP）發布了金融部門網絡安全指南，電信管理局（PTA）建立了計算機應急響應小組（CERT）。負責網絡安全的機構——網絡安全事件響應小組（CSIRT）在公共和國防部門的組織層面上僅是選擇性的運作。目前，在國家網絡安全的必要立法、實施框架和牽頭組織方面存在空白，需要有效網絡安全機制持續進行監控、評估和完善。

安全人才缺乏和國產技術不足。2018 年成立的國家網絡安全中心承擔了學術方面的研究，但網絡安全人才供需缺口依然存在。由于巴缺乏本土信息通信技術和網絡安全產業，嚴重依賴進口硬件和軟件，加上缺乏國家安全標準和認證的薄弱，因此很容易受到外國通過嵌入惡意軟件、后門和芯片組件造成的傷害。

為實現國家網絡安全愿景。為緩解國家面臨的網絡威脅，改善國家網絡安全觀，巴必須通過建立必要的協調機制，加強國家網絡安全能力，在政策和立法框架下執行安全標準和條例。巴總理于 2016 年成立了由所有相關部委和組織成員組成的網絡治理政策委員會（CGPC）。為創建網絡治理框架，巴政府根據國家網絡安全愿景，首次制定了《2021 年國家網絡安全政策》。

二、政策勾勒了巴基斯坦網絡安全愿景、范圍、目標，并確立了實現政策目標的指導原則

這份文件明確指出，對巴基斯坦的網絡攻擊“視為對國家主權的侵略行為，將采取適當的應對措施進行自衛”。巴計劃根據國家和國際法采取行動，期望相互尊重國家數字主權，目的是“確保為公民、企業和政府提供一個安全和有彈性的網絡空間”。

描繪了網絡安全政策的愿景。“為國家網絡安全和響應發展安全，構建有彈性的網絡系統和網絡空間”。

勾勒了網絡安全政策的范圍。“確保巴基斯坦整個網絡空間的安全，包括公共和私營部門使用的所有信息和通信系統”。

制定了網絡安全政策的目標。建立一個安全網絡生態系統治理和體制框架，在各層級建立保護和信息共享機制，確保能夠監測、檢測發現、保護和應對國家信息通信技術和信息中心基礎設施受到的威脅；通過規定與信息系統設計、獲取、開發、使用和運行有關的國家安全標準和流程，保護國家關鍵信息基礎設施；加強政府信息系統和基礎設施安全；為公共和私營部門建立審計和合規的信息保障框架；建立測試、篩選、取證和認證機制，確保信息和通信技術產品、系統和服務的完整性；通過技術和業務合作發展公私伙伴關系和協作機制；通過大眾傳播和教育計劃，營造全國性網絡安全意識文化；通過能力建設、技能發展和培訓計劃，造就熟練的網絡安全專業人員；通過公共和私營部門共同研發項目，支持網絡安全解決方案的本土化發展；提供網絡安全的國家 - 全球合作和協作框架；根據政策中指定的相關利益相關者授權，確定和處理立法與監管行動。

確立了實現網絡安全政策目標的指導原則。巴政府采取的所有行動，都以保護人民和促進國家和社會繁榮需要為動力；所有公共和個體組織將負責確保其在線數據、服務、信息和通信技術產品和系統的安全；在發生任何事件時，政府將在公共和私營部門支持下領導國家全面應對；對關鍵基礎設施（CI）或關鍵信息基礎設施（CII）的網絡攻擊行為視為侵犯巴國家主權，巴政府將采取應對措施進行自衛。根據國家和國際法律采取行動，相互尊重國家的數字主權。

三、政策擬定了網絡安全框架的政府行動方案，突出強調主動防御行動提升國家網絡安全能力

這份文件明確指出，必須通過建立基本和協調良好機制，在政策和立法框架下執行安全標準和條例，從網絡安全治理入手，采取主動防御行動，保護國家關鍵信息基礎設施、政府的信息系統和基礎設施，加強技術研發和全球合作，全面提升和加強國家網絡安全能力。主要行動方案如下：

網絡安全治理方面。一是網絡治理政策委員會（CGPC）負責政策制定和監督。巴政府指定由網絡治理政策委員會牽頭組織制定政策執行框架，處理網絡安全問題，對網絡治理和安全有關的政策倡議擁有最大權力，對國家網絡安全問題進行戰略監督，所提政策建議最終由聯邦內閣批準或認可。核心職能包括：指導制定和批準國家網絡安全政策和網絡安全法案；協助滿足組織結構、技術、程序和法律措施的要求，以支持政策授權和執行機制；協調各相關部門工作和運作報告機制；定期和永久性地就網絡治理問題進行磋商；指派國家機構在國際上的代表與全球和區域機構和組織合作；通過更新和定期審查提供指導，使政策與網絡空間要求保持一致。二是實施國家、部門和組織的三級體制結構。為實現政策目標，聯邦政府的指定組織應制定一個實施框架，并作為聯邦一級協調和執行所有網絡安全相關事項的中央實體，處理網絡安全問題，協調和實施相關事宜。聯邦實體包括：國家級別包括中央實體及其國家計算機應急小組（nCERT）和國家安全行動中心（nSOC）。部門級別包括國防、電信、銀行和金融、電力、聯邦和省級公共部門。組織級別包括企業、實體和個人用戶。

主動防御方面。巴中央實體采取的具體行動，包括但不限于：與互聯網服務提供商（ISP）和電信運營商合作，限制已知惡意軟件訪問特定域或網站，并阻止其惡意攻擊；防止在公共網絡上進行電子郵件網絡釣魚和欺詐活動；通過互聯網治理組織推廣最佳安全做法；與國際執法渠道合作，保護巴公民及海外未受保護的基礎設施免遭網絡攻擊；實施控制措施，確保政府部門的互聯網流量路由安全，避免惡意行為者非法改道重新路由；投資執法機構（LEAs）和有關部委部門的能力增強計劃，針對巴網絡和系統的國家贊助 APT 和犯罪網絡活動做出及時響應。

保護基于互聯網服務方面。巴中央實體將發起行動，包括但不限于：開發互聯網協議（IP）服務，保護政府數字服務，允許在線服務獲取有關連接到它們的 IP 地址信息，幫助服務商實時了解風險管理決策；在政府網絡上安裝安全產品，以確保軟件正常運行，不會受到惡意干擾；尋求將 gov.pk 域擴展到其他數字服務設施。

國家關鍵信息基礎設施的保護和恢復力方面。為了實現這一關鍵目標，巴中央實體將運營必要的技術平臺，以保護國家關鍵信息基礎設施，并作為國家的節點組織開展工作：制定關鍵信息基礎設施的識別、優先級、評估和保護流程；強化安全措施確保安全信通技術（ICT）環境，包括移動系統和基于云的解決方案；授權所有關鍵部門實體執行國家安全標準，以減少中斷的風險；通過計算機應急響應小組建立機制保護關鍵信息基礎設施；根據 ISO/IEC 27005：2008 和 ISACA風險信息技術（IT）等國際標準建立和實施風險管理方法；授權國家、省級和組織關鍵信息基礎設施的所有運營商聘用合格的信息安全人員，并任命首席信息安全官（CISO）；在公共和私營部門已開發、發展與部署的信息和通信網絡或系統中，強化國家安全標準的認證。

保護政府的信息系統和基礎設施方面。為滿足公共部門信息系統和基礎設施的需要，巴中央實體將定義和執行有力的政府身份驗證和數據保護框架；為政府的所有技術系統創建漏洞評估和補丁管理流程；與相關政府實體合作，確保信息和通信技術項目預算的一定比例必須用于信息安全保障；制定機制，在整個政府范圍內制定和實施工作人員審查和批準機制；通過審查供應商和執行合同中的安全條款，改善政府外包和采購的安全性。

信息安全保障框架方面。巴中央實體將通過篩選和認可國家安全標準，在信息和通信技術產品與服務中落實“設計信息安全”的概念；升級和建立新一代國家網絡安全取證與監測機構，以防范人工智能（AI）驅動環境中的新型網絡威脅；為公共和私營部門所有實體的網絡安全審計與合規要求建立信息保障框架；建立基礎設施和/或利用現有設施、平臺、資源，進行合規評估與認證網絡安全最佳實踐、標準和指南，例如 ISO27001 ISMS 認證、內部安全系統審計、滲透測試、漏洞評估、應用程序安全測試、網絡安全測試等；發展并授權其他組織按照既定的國家和國際標準建立測試、篩選、取證和認證設施。

公私伙伴關系方面。巴中央實體將制定框架，在政府、工業界、學術界和研究機構合作基礎上營造創業環境；政府向初創企業提供支持，幫助其成長為具有競爭力的公司；使私營網絡安全團體或組織能夠與政府機構合作并規范其行為；促進利益攸關方就制定新立法和條例交流信息。

網絡安全研發方面。考慮本土安全產品設計、開發和制造的重要性，巴中央實體將制定和實施涉及公共與私營所有部門的框架，以開展針對短期、中期和長期目標的研發項目，包括網絡安全系統開發、整個生命周期的測試、部署和維護；鼓勵研發，以生產成本效益高、量身定制的本土安全解決方案，應對更廣泛的網絡安全挑戰；促進將研究和開發成果轉化為商業產品和服務，供公共和私營部門使用；在對網絡空間安全具有重要戰略意義的領域建立卓越中心；授權所有當地實體在本土能力增長后逐步轉向本土產品。

網絡安全能力建設方面。加強網絡安全措施需要人才作支撐。巴中央實體將建立卓越中心，教育和培訓網絡安全領域的網安人員，加強和提升人力支持基礎；制定和實施人力資源開發計劃，滿足公共和私營部門的網絡安全需求；增加網絡安全研發預算，用于開發本土網絡安全解決方案，減少對外國技術的依賴；在研究生和法律相關學位中納入網絡犯罪相關課程，培訓檢察官、律師和法官等。

國家網絡安全文化意識方面。對所有公共和個體對象灌輸有關風險、預防措施和有效應對網絡威脅的知識。自上而下和自下而上的方法，是創建網絡意識文化的關鍵。巴中央實體將規劃和實施針對特定社會部門（如學生、政府官員和私人組織雇員）的網絡道德和安全教育計劃；鼓勵企業部門通過在其產品和服務中保持所需的網絡安全水平以保護網絡空間；制定和執行國家意識計劃，在家里或工作場所教育終端用戶；為政府系統實施網絡安全意識計劃；將網絡安全意識納入國家中等教育課程。

全球合作與協作方面。巴信息技術與電信部和中央實體將在向國際論壇推薦國家觀點方面發揮關鍵作用，并將為加入國際合作提出建議。信息和網絡安全的國家與國際活動的代表包括信息技術和電信部、外交部和中央實體。信息技術和電信部與中央實體協商，與 ITU-IMPACT 等所有國際合作伙伴合作；向全球和區域組織和專業機構提供專業投入；在當地和全球的公眾、政府間和非政府機構建立網絡攻擊、威脅和脆弱性的可信信息共享交流機制。

網絡犯罪應對機制方面。巴中央實體將通過增強執法機構監測、識別和控制網絡犯罪的技術能力，協助和加強政府能力；與其他國家和國際網絡犯罪機構建立聯絡和協調，以分享信息和開展合作；加強流程和程序控制，將網絡安全嵌入易受網絡犯罪影響的公共和私人服務網絡。

法規制度建設方面。為有效實施國家網絡安全政策，巴強調必須引入網絡治理框架和法規，主要為：制定和處理國家網絡安全政策和網絡安全法案；國家網絡安全框架規章制度；國家網絡安全、治理運作和信息共享機制，包括用于事件處理、管理能力和提供證據；合規、篩選、認證和風險管理法規，包括針對關鍵信息基礎設施、公私伙伴關系、能力建設、網絡安全意識、研發計劃和全球合作；個人和企業的數字認證；在公共和私人組織之間共享機密信息，保護公民隱私并確保數據安全；為網絡治理實現數字和網絡取證流程以及實現基礎設施的標準化；遵守審計制度和確保符合國家網絡安全標準。

四、政策評估認為安全政策執行機制可能需要相當長時間才能發揮作用，當前應充分利用好現有機制做好政策執行

這份文件明確指出，巴政府這項政策規定的執行機制可能需要相當長時間才能完全發揮作用。因此，在過渡時期，利用國家組織和機構目前擁有和支持執行這項政策的權力，與全面的執行機制結合起來。根據 1996 年《巴基斯坦電信（重組）法》和 2016 年《防止電子犯罪法》（PECA），巴電信管理局將與電信業合作，由計算機應急響應小組管理電信部門技術系統平臺等。關于政策審查和執行，強調《2021 年國家網絡安全政策》每三年進行一次全面審查，稱“這取決于相關組織與所有利益攸關方協商，以及全球網絡趨勢發展和技術進步的情況 ”。