俄羅斯網絡安全機制的構建

賈易飛+梅占軍

2017年1月6日，美國首次公布情報部門針對所謂的俄羅斯指使黑客干擾美國2016年大選的官方評估報告。該報告指稱，俄羅斯政府明確傾向特朗普當選總統，俄總統普京更是直接下令對美國2016年大選實施干擾，抹黑民主黨候選人希拉里，這直接影響了美國大選結局。此事標志美俄兩國間的網絡交鋒達到多年來的頂峰。

事實上，俄羅斯網絡一直也是各國攻擊的焦點。據《俄羅斯報》網站報道，在2011年9月～2012年8月短短1年間，就有74%的俄羅斯電腦遭受過病毒感染，43%用戶的社交網站密碼被竊取，這兩項數據均高居世界第一。根據俄聯邦安全局提供的資料顯示，俄羅斯總統網站和議會上下院的網站，每年遭受攻擊多達1萬余次。

近年來，為確保國家與軍事領域的網絡安全，俄羅斯強化頂層設計、完善法規體系、構建保障系統、謀求技術支撐，積極打造網絡安全有效防護機制。

頂層設計

規劃牽引、政策扶持，將網絡安全提升至戰略高度。俄羅斯將網絡安全提升至國家戰略高度，其網絡安全戰略與西方發達國家有許多不同之處，體現出了俄羅斯強化國家安全、實現國家復興整體戰略目標的鮮明特點。

2013年1月，普京簽署總統令，要求建立國家計算機信息安全機制，用來監測、防范和消除計算機信息隱患，確定從戰略層面評估國家信息安全形勢、保障重要信息基礎設施的安全、對計算機安全事故進行鑒定、建立電腦攻擊資料庫等統籌事項和頂層設計。2014年1月，俄羅斯公布了《俄羅斯聯邦網絡安全戰略構想》草案，對網絡安全戰略的原則、行動方向和優先事項進行了明確，對發展國內網絡的扶持政策進行了說明：向國內網絡安全設備生產商提供國家支持，減免稅費、支持產品推向國際市場；放寬軟件的推行，制定系統措施推廣使用國產軟硬件，包括網絡安全保障設備；更換國家行政信息網、信息通信網、至關重要的基礎設施項目信息網等。

在戰略構想的牽引下，一系列信息技術、網絡安全的政策得以出臺。2014年，俄羅斯出臺《2030年前科技發展前景預測》，對本國網絡發展進行戰略規劃，明確了各階段建設目標，內容包括：借助信息和通訊技術完善國家管理體系；促進本國信息技術的開發；培養信息技術領域專業人才；借助信息技術應用發展經濟和金融；增加信息技術研發投入等。

出臺信息網絡發展資金扶持政策。2014年6月，普京總統表示，在實施政府采購時，俄羅斯國產軟件產品定價可高于外國產品金額的15%；至2020年，俄羅斯計劃每年投資100億盧布發展信息產業；在2018年前，完成50個信息技術領域創新研發中心建設。根據《2030年前科技發展前景預測》文件，在2020年前，俄羅斯政府的信息技術開發費用支出在國內生產總值中的比重將由目前的1.5%增長到3%。

出臺信息網絡產業稅收優惠政策。俄羅斯規定，從事軟件研發的公司所繳納的退休金、醫療保險和社會保險的費率，由34%降到14%。此外，俄羅斯國家杜馬通過對創新科技園區入駐企業實施稅收優惠的修改法案，規定入駐創新中心的企業在10年之內免繳增值稅，社會統一稅繳納比例降至14%。

綱舉目張

政令明確、制度牽引，構建網絡安全法律法規體系。依據2013年1月普京簽署的總統令，要求能夠有效應對黑客入侵和對信息系統及電信網絡的攻擊。為此，俄羅斯安全局建立了國家網絡安全系統，主要目的是對俄羅斯聯邦信息安全領域的態勢進行預測分析，在受到網絡極端攻擊的情況下，對俄羅斯聯邦信息設施的防護程度進行監控，同時負責協調信息資源的擁有者、通信運營商及信息防護領域經授權許可的其他主體之間的工作。2014年5月5日，普京簽署《知名博主新規則法》，就規范網絡空間秩序采取新措施。

事實上，在20世紀，俄羅斯網絡安全法律法規體系的構建工作就已展開。1995年2月，俄羅斯頒布《聯邦信息化和信息保護法》，將信息資源的獨立和具體項目列為國家財產予以保護，并規定“當信息被認為涉及國家機密時，國家有權從自然人和法人處收購該文件信息”，“含有涉及國家機密的信息資源，其所有者僅在取得相應的國家政權機關的許可時，方能行使所有權”。1995年4月，著眼于對密碼的研制、生產、銷售、使用、進出口進行嚴格控制，俄羅斯頒布《禁止生產和使用未經批準許可的密碼設備》的第334號總統令，規定將國家權力機關專用信息遠程通信系統列為總統計劃；禁止國家機關和企業使用未經許可的密碼設備、加密設備、信息存儲、處理和傳輸設備；禁止向使用未經許可加密設備的企業和機構進行政府采購。此外，第334號總統令還對法人和自然人從事研制、生產、銷售、使用加密設備以及信息存儲、處理和傳輸的技術保護設備等活動進行了明確規定。

此后，俄羅斯相繼出臺了《俄羅斯網絡立法構想》《俄羅斯聯邦信息和信息化領域立法發展構想》《信息安全學說》等一系列文件，修訂了《俄羅斯聯邦因特網發展和利用國家政策法》《信息權法》等20余部法律，通過政令明確和制度牽引，俄羅斯網絡空間的法律法規條款逐步趨于完善，為確保網絡安全提供了法規依據與制度基礎。

層層設防

虛實結合、軟硬互補，構建網絡安全多重保障體系。在實踐領域，為確保網絡安全，俄羅斯多管齊下，虛實結合，軟硬互補，構建了多重安全保障。

在軟件及體制建設方面，一是建立強制認證機制。俄羅斯建立了專門的認證機構和認證測試實驗室，將信息安全分為A、B、C、D、E5個等級，只有獲得認證的信息安全產品，才能在市場上銷售和使用。對于網絡上的密碼產品，認證條件更趨嚴格：密碼保護設備必須是國內研制的，并且要經相關部門鑒定。二是建立機密信息保護機制。1997年，俄羅斯頒布《機密信息清單》；2005年9月，針對信息安全的新威脅，對《機密信息清單》進行重新修訂；2006年，批準通過新的《機密信息技術保護條例》。三是建立網絡檢查和審核機制。允許相關部門對經由互聯網傳播的信息進行監查，同時規定政府機構、公民事業單位及商業公司應將信息安全審核列為經常審核的安全項目之一。

為有效應對網絡威脅，俄羅斯也一直致力于打造安全防護的有形力量。目前，俄羅斯在各強力部門都設有網絡威脅應對機構。例如，在內務部設有專門局，負責調查境內網絡犯罪活動；在安全局設有信息安全中心，負責對抗危害俄國家和經濟安全的外國情報機構、極端組織和犯罪組織；國防部的網絡司令部負責遏制其他國家在網絡空間對俄國家利益的侵犯。圍繞某一重大任務，各部門之間往往會展開密切協作，以應對網絡安全威脅。例如在2014年索契冬奧會期間，俄聯邦安全局和內務部聯合對冬奧會項目的互聯網、電話和其他通訊享有充分的、暢通無阻的訪問權限，同時部署無人機執行監控任務。俄羅斯高效有力的部門協同網絡安全防控，使美國國務院曾建議公眾前往索契觀看冬奧會時，把智能手機或者筆記本電腦放在家里，以免遭到數據攔截。

技術支撐

自主研發、并行發展，形成網絡安全整體技術優勢。俄羅斯對于網絡安全保障確立了自主研發的發展思路，并將其貫穿于各項技術發展規劃。

自主研發處理器與操作系統。2014年6月，俄羅斯宣布政府機構和國營企業，將不再采購以Intel或AMD為處理器的計算機，轉而采用以俄羅斯本國生產的處理器為芯片的計算機；采購的計算機不安裝微軟的Windows系統或蘋果的Mac操作系統，而是安裝俄羅斯專門開發的Linux操作系統。

多年來，俄羅斯一直試圖擺脫使用微軟操作系統，通過自主研發操作系統減少對Windows的依賴。2010年底，時任俄羅斯政府總理的普京簽署命令，開發一款基于Linux的國產操作系統，以減輕對微軟Windows系統的依賴，更好地監控計算機安全。2011年，俄羅斯政府批準了俄羅斯版視窗系統的計劃。2012年9月，為防止本國敏感機信息外泄，俄羅斯推出了一款特制的平板電腦，配備給國防工作人員使用。這款平板電腦安裝了俄羅斯自主研發的“俄羅斯移動操作系統”，不但可以防止黑客攻擊，還能有效避免用戶在使用過程中泄露個人信息。2014年7月，俄羅斯推出一款名叫“Rupad”的超級平板電腦，配備了自主研發操作系統。Rupad平板電腦分為軍用和民用兩個版本。軍用版本配有抗震外殼，可保護電腦從2米高的地方安全落地，防塵防水，在深度不超過1米的水下可以正常工作1小時；為保證網絡安全，設置有一個特殊的保護按鍵，可幫助使用者及時切斷麥克風、攝像頭、GPS、藍牙、WiFi等模塊傳遞的信號；對傳出的所有信息都進行了加密，并對收取的信息解密。目前，俄羅斯國防部、內務部和聯邦安全局等部門已開始試用這款電腦。

斯諾登事件對俄羅斯的網絡安全造成了很大沖擊。2013年2月，俄羅斯媒體報道，為確保本國公民的個人信息安全，擺脫類似美國“棱鏡”計劃的監控，俄羅斯展開建立具有自主知識產權的公共電子郵件服務系統。

2014年3月，克里米亞回歸俄羅斯，美國于3月20日宣布對俄部分官員、企業界人士和銀行進行經濟制裁后，國際上最大的兩家信用卡支付平臺維薩和萬事達對俄羅斯銀行和北海航線銀行終止服務，造成50多萬張信用卡無法使用，俄羅斯多家銀行幾近癱瘓。事件發生后，俄羅斯總統普京多次強調盡快建立國家支付系統。目前，俄羅斯正在建立自主的銀行支付系統，以求減少對歐美同類金融服務的依賴，應對美歐未來可能的制裁，進一步確保網絡安全。

責任編輯：葛妍