国际观察 | 以色列国家网络安全防御体系建设及启示

文│中国信息安全测评中心 桂畅旎
以色列国家网络安全防御体系是网络空间非对称性属性的最好例证。基于“四面受敌”的地缘政治环境和“一枝独秀”的科研创新能力,以色列是最早认识到信息技术强大功能的国家之一,因而较早布局网络空间,使其从地缘上的“弹丸之地”变成网络空间的技术强国 , 并以军民高度一体化发展的网络安全防御体系,以及政府、企业、学界有机衔接的网络安全生态和国际国内相辅相成的现实影响,形成独具一格又颇具成效的治网用网风格。本文拟对以色列国家网络安全防御体系建设的沿革、特点、支撑进行初步分析,以期总结经验,为我国加强网络治理、提升网络安全能力提供借鉴。

一、以色列网络安全防御的历史沿革

持续的区域动荡、旷日持久的阿以冲突使得以色列较早形成系统化的国家安全理论,其核心宗旨离不开以色列第一任总理本·古里安在建国之初所立下的“六项原则”,即保护国家、公民、基础设施;威慑潜在攻击者;与大国结盟;发展先进的预警能力以弥补战略纵深缺失;实现技术优势和质量优势以弥补资源劣势;在对抗中快速行动以取得“一招制敌”的胜利。作为国家安全的重要组成部分 , 网络空间是以色列运筹经略的重点领域,在打造网络安全防御体系中始终围绕解决“缺乏战略纵深”“疆域和人口数量劣势”“防御上单打独斗”这几项核心问题,不断完善战略、优化机制与充实能力。究其沿革,以色列网络安全防御主要经历了三方面的转变。
(一)从总体目标上看,从保护关键基础设施到建立网络安全强国
以色列制定国家层面的网络安全政策始于保护关键基础设施的初衷。受现实战争的波及,以色列国家关键基础设施较早遭受来自国家实体以及非国家实体在内的网络攻击与破坏,使得以色列决策层在互联网还未完全普及的 20 世纪末就将网络攻击列为国家面临的四大主要威胁之一,从而强化国家顶层设计,积极主动应对。
2002 年,以色列通过了名为《保护以色列计算机系统的责任》的 B/84 号特别决议,宣布在以色列国家安全局(辛贝特)下设立国家情报安全局(NISA),专职保护国家关键基础设施的网络安全,负责开展关键基础设施的风险评估和安全审查,指导保护特定公共和民间组织的重要计算机系统。B/84 号决议是世界上首批国家关键基础设施保护政策文件,NISA 也是全球首批专门的网络部门,该决议成为以色列国家网络安全体系建设的起点。
2007 年爱沙尼亚和 2008 年格鲁吉亚接连遭受的网络攻击事件给 2009 年 3 月出任以色列政府总理的本雅明·内塔尼亚胡敲响了警钟,上任伊始就将网络安全作为执政的重要抓手,对以色列面临的网络安全问题开展了全国范围内的整体评估,评估结果集中反映在《2010 年国家网络倡议》中。《倡议》首次明确提出“将以色列发展为全球前五的网络安全强国”的目标,并就国家网络安全提出总体性的政策建议。《倡议》主要内容迅速转变为国家政策,以色列政府 2011 年颁布名为《提升国家网络空间能力》的第 3611 号决议,提出增强防御能力、保护关键基础设施、保持技术优先的主要目标,并倡导和鼓励学术界、产业界、私营部门与政府部门的合作,奠定了以色列网络空间战略的基本框架。“决议”要求在以色列总理办公室下设立以色列国家网络局(INCB),作为总理的网络安全咨询机构,负责制定国家网络政策和战略,发展国家网络能力,促进行业和学术界的创新和研究,增强国家的网络人力资本。这也是世界范围内首次将网络专职部门提升到如此高级别,直接对最高领导人负责,推动以色列从被动信息安全防护到主动打造全球网络安全强国转变。
(二)从工作重点上看,从政策引领到行动导向
在实际工作中,来自情报机构的 NISA 与负责民事网络事务的 INCB 就民用网络管辖权龃龉不断。为了理顺管辖权,以色列于 2015 年相继通过《提升国家在网络安全方面的规范和政府领导力》《推进网络安全方面的国家监管和政府领导》两份政府决议,进一步优化国家网络安全管理体制机制,并创立了国家网络安全局(NCSA)。区别于 INCB以政策为导向,NCSA 主要专注于网络行动,负责在国家层面上开展、操作和实施“网络空间防御工作”,包括实时处理网络威胁和事件,开展持续的态势感知,整合和分析情报等。NCSA 从 NISA 接手了关键基础设施保护的工作,并组建了全新的以色列国家网络紧急应对小组(CERT-IL),成为以色列民事部门应对网络攻击的联络点。
(三)从组织机制上看,从分散应对到集中协调
以色列早期网络安全解决方案主要是基于个案和临时的应对举措,各部门职能相对分散。为形成统一的国家网络安全防御体系,增强集中、减少冗余,以色列在 2017 年发布了首份《国家网络安全战略》(以下简称《战略》),以推动建立一个坚固而有弹性的网络生态系统。《战略》既包括应对网络风险的直接国家行动,也包括旨在加强公私合作的政策措施。根据《战略》要求,以色列政府将 INCB 和 NCSA 合并组建了国家网络安全指导委员会(INCD),直接隶属于总理办公室。INCD 集中 NCSA 和 INCB 的任务,统筹包括从制定政策到建设技术力量再到网络防御作战等政策和行动各方面,以色列国家网络安全防御体系初见雏形。

二、地缘政治驱动下的进攻性网络防御策略

以色列“内忧外患”的历史经历以及现实地缘政治环境为其治网理念注入了“进攻优先”的基因,将网络行动作为常规军事行动的重要支撑,在网络空间推行“累积威慑”理念,发展出一整套成熟的网络防御策略。
(一)认知层面:将网络空间视为作战领域,明确主要对手
网络空间天然适合以色列的战略需求。网络空间的无界性可以弥补以色列战略纵深的缺失,网络力量的非对称性可以抵消以色列疆域和人力资源劣势,网络武器更适用于主动攻击的特点契合以色列“先发制人”的军事传统。对此,以色列将网络领域视为陆地、海洋和空中并行的作战领域。以色列国防军(IDF)是开展网络行动的主责部门,IDF总参谋部于 2009 年就宣布网络空间是“战略性和可操作的作战地带”,在 2017 年发布的《IDF 战略》中,明确将网络空间视为一个军事领域,要求以色列在战略、战役和战术层面发展防御和进攻能力。以色列时任总理内塔尼亚胡直言,“网络战的时代已经到来”。
以色列将传统地缘政治敌人视作网络空间主要对手。以色列建国以来,除了面对埃及、叙利亚、伊朗、黎巴嫩等国家行为体的安全威胁,同时也受到“巴勒斯坦解放组织”“哈马斯”“真主党”等非国家行为体的安全挑战。长期以来,以色列针对这些主体开展军事行动,并扩大至网络空间,在国家网络战略中明确提出其网络防御和情报能力建设均以这些主体作为主要目标,这与全球其他国家网络战略有着明显不同。
以色列通过集中职责与捋顺分工建成完备的网络行动体制机制。以色列网络行动主要以军事情报局的 8200 部队和总参谋部的 C4I 部队为主,安全机构辛贝特、摩萨德以及以色列警方和司法部也参与其中。8200 部队又称以色列信号情报国家部队(ISNU),是承担网络防御和网络战任务的主力部队,在 2009 年被赋予开展进攻性网络行动的职责,主要任务涉及破坏工业设施,开展网络间谍活动和支持传统军事力量,与美国国家安全局联系密切。C4I 司令部专注于防御措施,主要通过技术手段压制敌方的网络能力,负责包括 IDF 软件开发、ICT 系统架构,以及开发加密产品和服务。2011 年,C4I 司令部专门建立网络防御司,负责保护 IDF 的网络设施。这种职责集中和分工明确的组织机制减少了官僚机构之间的冗余和分歧,促进了更高效的专业知识整合以及更顺畅的信息交换。
(二)路径层面:在网络空间实施“累积威慑”,开展持续的网络攻击与网络报复
以色列在数十年的现实军事冲突中逐步形成一套独有的“累积威慑”(Cumulative Deterrence)理念,即基于“对敌人每次挑战均给予回应”“通过不断胜利塑造实力强大的形象”,传递给对手威慑的决心和实力优势,以改变对手行为。该理念同样成为以色列网络行动的逻辑,即通过持续的、长期的、对抗性的行动来影响并塑造对手的行为。
发展先进的网络安全技术维持能力优势是实施“累积威慑”的基础。以色列不断加大投资,发展先进的网络安全解决方案,同时也开发了包括震网(Stuxnet)、杜库(Duqu)、火焰(Flame)等震惊世界的恶意病毒软件,成为实施精准打击的网络利器。此外,以色列建立了国家级网络态势感知系统,仿效“铁穹”反导弹系统启动的“网络铁穹”计划融合了大数据、人工智能等先进技术,实现国家层面实时感知网络威胁,主要目的是为以色列在网络攻击追踪溯源方面提供技术支撑,为以色列网络还击提供关键“证据”。
清晰表明“以牙还牙”“睚眦必报”的意图是实施“累积威慑”的主要内容。以色列寻求在网络空间开展持续性、报复性的网络攻击,以展示自身网络攻击能力,并传达响应网络攻击的坚定承诺。2020 年 4 月底,伊朗对以色列的供水指挥和控制系统发起网络攻击,以色列 5 月初即对伊朗沙希德·拉贾伊港口的计算机系统发起报复性网络还击,导致港口停运数日。此外,以色列多次表明其报复手段不必局限在攻击者所处的同一空间内,2021年 5 月,为报复哈马斯的网络攻击,IDF 直接使用导弹针对哈马斯的军事情报网络设施实行真实军事打击,开创了利用物理破坏来回应网络攻击的先例,在一定程度上预示了未来复合战争的形态。
攻击致瘫对方重要基础设施是实施“累积威慑”的目标。以色列将对手重要的基础设施网络作为网络攻击的重要目标,如 2020 年 7 月,以色列针对伊朗纳坦兹核电站发动网络攻击导致断电,严重破坏了伊朗最重要的核设施。这是时隔近十年,以色列继“震网”事件后再次针对伊朗的关键基础设施采取的破坏性行动。有媒体报道,伊朗最大钢铁厂商于 2022 年 6 月新近遭受的网络攻击与以色列有直接的关系,这直接造成伊朗重要的战略基础设施停产。
(三)行动层面:军事和情报机构紧密合作,偏好“先发制人”打击
本·古里安的国家安全原则奠定了“先发制人”理念基础,以色列在多次中东战争中运用“先发制人”取得胜利的经验积累了实践基础,故以色列在网络空间持续推行这种路径。
情报技术在“先发制人”网络攻击中发挥了重要作用。以色列网络安全情报技术走在世界前列,这主要是以色列情报部门以及执法机关在网络安全中发挥了重要作用,能够精准归因到攻击来源,使得以色列可以及时掌握敌情。此外,以色列积极鼓励研发能够监听电话、邮件以及海底通信电缆的技术手段,去年闹得沸沸扬扬的 NSO 公司的“飞马座”手机间谍软件就体现了以色列强大的监控软件及其影响。
以色列积极推行网络战先行,配合常规战获取先机。2007 年的“果园行动”(OperationOrchard)是网络战配合常规战的典型案例,以色列空军在对叙利亚核设施发动袭击前,8200 部队通过信号情报来定位核设施,并在攻击过程中利用电子干扰使对方的防空防御失灵,以色列空军随即派8架战机深入叙利亚腹地对核设施发动空袭,摧毁预定目标,这项行动显示了网络战已成为现代军事行动的重要组成部分。
以色列也展示了仅仅是只开展网络战也能对现实物理设施造成重大破坏的能力。被普遍认为是以色列和美国主导的“震网”(Stuxnet)事件证明了网络攻击确实可能造成重大的现实物理破坏,在这场被称为21 世纪以来第一场大规模的网络战中,以色列向全世界展示了其网络情报能力以及远程攻击能力。

三、分层分级国家网络安全防御体系

以色列将保护网络空间视为保护国土一样重要,除国家关键基础设施外,私营部门和民用目标同样面临严重的网络威胁。2017 年《国家网络安全战略》广泛纳入尽可能多的保护主体,实行分层分级、专职专责、义务分摊、多方推动,从三个层级构建国家网络安全防御体系。
(一)基础层:夯实根基,各负其责,筑牢抵御日常威胁的基层防护篱笆,实现“总体网络稳健性”(Aggregate Cyber Robustness)
国家网络安全是由各组织的微安全组成的,短板效应非常突出,因此提升国家“总体网络稳健性”是以色列国家网络安全防御的基础,其目的是做好准备工作,减少外来攻击的成功率。
提升国家“总体网络稳健性”主要是充分发挥关键基础设施主体的主观能动性。该层是在没有国家实质性援助的情况下,主要依靠各基层单位和组织自身解决安全威胁,相关私营企业和国有公用事业单位对其关键 IT 系统的运营、保护、维护、升级、备份和恢复承担主要责任。以色列关键基础设施主体在长期战乱中形成了对国家安全的高度认知,相互间形成良性竞合关系,在关键基础设施保护中形成“责任共担”的生态。
以色列政府主要引导、协助关键基础设施各个主体增强国家总体网络稳健性。2015 年发布的《提升国家在网络安全方面的规范和政府领导力》决议授权 INCD 通过发布最佳实践、指导、法规、激励等来增强国家总体网络稳健性的安全举措。INCD还专门针对小型企业发布网络安全指南,与其进行信息分享、安全防护及信息通报,为私营部门提供服务和指导。此外,政府还积极引导网络安全市场投资关键基础设施保护,包括 Cyberbit、 CyberGym等公司均根据政府政策,关注关键基础设施安全防护和演练验证。
(二)社会层:共享信息,情报互通,增强应对网络安全事件的“系统网络韧性”(SystemicCyber Resilience)
国家网络安全的发展最主要驱动因素仍然是重大网络安全事件,强化事件应急处置能力与防护韧性是国家网络防御最直接也是最重要的目标,简而言之就是能够在事件发生之前、期间和之后发展系统韧性,减少损害。如果基础层是做好准备减少攻击发生,该层则是通过共享威胁信息、协调应对网络安全事件,实现系统韧性。
INCD 陆续建立了各项威胁感知平台,如作为政府和私人利益相关者信息共享的高堡(HighCastle)平台,集合了各种威胁情报收集工具的水晶球(Crystal Ball)项目,评估风险暴露和关键基础设施准备程度的橱窗(Showcase)项目,以及公私匿名信息交换的控制论+(Cybernet+)平台。这些项目极大提高了以色列检测和预防网络事件的能力,并促进了各机构之间的数据共享和分发过程。
以色列是全球首个为网络事件设立国家紧急电话线路的国家,同时以色列国家计算机紧急应急处置团队(CERT-IL)在提供网安情报搜集及共享威胁信息的能力方面名列世界前茅。以色列强制关键基础设施主体向 CERT-IL 报告网安事件,再依网安事件严重程度进行不同层级通报,公布威胁信息以及防御工具协调处理安全事件,CERT-IL 还积极参与国际协同应对。
(三)国家层:统筹协调,多方联动,发挥国家网络防御(National Cyber Defense)体系的整体动能
绝大部分网络攻击在前两层得到妥善处理,但仍有少数资源丰富、手段高超的攻击者需在第三层进行应对。该层属于国家部门的专属任务,需要国家层面的统筹协调。
从国家层面加强部门协调是国家网络防御体系的核心。如 INCD 联合外交部、财政部推进“E- 政府计划”,共商借助网络技术防范网络安全风险。此外,INCD 还与以色列银行、能源部等关键部门合作建立了银行网络防御联合中心、能源网络安全中心等,以加强关键部门的网络防御能力。作为提升国家网络防御的举措,以色列还要求各部门投入 8% 的信息预算在网安相关工作上,各部门的网络监管单位要向政府汇报相关网安维护计划及作业情况等强制性举措。这些联动机制促进了以色列国家网络安全防御体系整体效能的发挥。

四、国家网络安全防御体系的主要支撑

数十年来,以色列一直处于网络安全领域创新和技术发展的全球前沿。一体化的军民融合、高效的公私协作以及广泛的国际合作为其国家网络安全防御提供了坚实的支撑。
(一)高度一体化的军民融合,形成军民协同网络防御联动
以色列的高军事预算、攻防武器研发及全民皆兵制度,是网络安全技术及人力资源的重要来源。
首先,军事人力资本溢出辐射至民用网络安全领域。以色列实行全民兵役制度,服完现役的人员按其军事专业编入预备役部队。IDF 长期以来开发了一套复杂的系统来评估应征士兵的潜力,并为大多数士兵分配合适的培训和职业道路,其中技术培养是非常重要的内容,为以色列培养了主要的高科技人才。此外,网络安全市场显示出对拥有军事培训经验的偏好,优先选择在技术部队中服过役的军人。军事人力资本溢出至民用网络安全领域最典型的是被称作为以色列网络安全产业“摇篮”的 8200 部队,8200 部队退役官员创办成功网络安全初创公司的案例比比皆是,如CheckPoint、派拓网络、NSO 等公司创始人都曾在8200 部队服役。
其次,军方在牵引私营部门科研上发挥重要作用。与美国国防部高级研究计划局(DARPA)类似,以色列国防部国防研发总局 (MAFAT) 一直在推动网络领域的重大国防研发,在 2000 年初已开始在军方和初创企业之间建立了伙伴关系,如“马沙德计划”“卡迪玛计划”等已成为以色列军民两用网络安全研发的典范。另一方面,以色列军方对网络初创公司进行了大量投资,将大量网络技术的研发和测试项目交由私企承担,成为以色列网络安全产业发展的“孵化器”和“加速器”,为新型网络技术快速发展提供了助力。
第三,以色列网络空间军民领导机构具有较大的灵活性。IDF 和 INCD 领导权可在平时和战时灵活切换:在和平时期,INCD 负责管理国家网络防御;在紧急情况下,IDF 在国家层面协调进攻性和防御性网络行动。
(二)灵活高效的公私合作,形成政产学研一体的网络防御协作
以色列是政府、学术界和私营部门实体之间多方利益相关者网络合作的典范,形成国家级的网络安全生态圈,建立公私网络防御协作关系。
首先,政府层面自上而下推动公私协作基础研究。以色列的安全战略一直强调“以质取胜”,意图通过追求网络技术优势来弥补人口数量和疆域劣势。以色列维持技术优势的主要助力在于政府层面对于基础研究的重视,其国内研发支出占 GDP比重常年居世界第一,形成浓厚的创新创造氛围。在《提升国家网络空间能力》决议中,以色列将加强科技网络能力和创新过程列为优先事项,授权 INCD 大力发展国家网络科技基地,促进产业创新,支持学术研究,包括在以色列顶尖大学建立六个研究中心,增强国家网络领域的人力资本,培育了丰富的生态系统。
其次,发展网络安全产业成为国家网络防御的根基。以色列非常重视私营组织在实现国家网络安全防御方面的作用 , 正如内塔尼亚胡总理所述,网络安全投资被视为以色列经济和创新的潜力,以色列在网络安全防御中投入的大量资金都转移到网络安全产业,在获得经济利益的同时,创造领先解决方案,从而巩固以色列国家网络安全防御的根基。以色列培育出具有国际知名度的网络安全公司,如 CheckPoint 、CyberArt、Cyberbit 等,2021 年,全球网络安全领域大约有三分之一的独角兽总部位于以色列。国家安全的强大驱动下,以色列网络安全企业不仅满足本地需求,同时成为全球网络安全产品和服务的主要供给者。统计数据显示,2021 年,以色列网络安全服务出口已达到 110 亿美元。
第三,公私协作打造国家级重点研发项目。2014年以色列政府在贝尔谢巴建立庞大的“网络星火”(CyberSpark)科技园区,目前已发展为以色列初创公司、全球公司、学术界以及民用和军用网络安全中心组成的公私网络防御合作项目。自推出以来,CyberSpark 为政府、学术界、工业界、地方政府和民间社会创造了一个多方利益相关者的“生态系统”,目前已吸引了甲骨文、洛克希德马丁、IBM、戴尔、德国电信和 PayPal 等国际科技企业,产生了显著的集群效应。
(三)广泛多层次的国际合作,形成面向全球的国际网络防御协同
加强国际合作是以色列“生存手册”中的重要方面。一方面,以色列秉持“与大国结盟”的宗旨,在网络空间“左右逢源”,广泛建立了与美国、英国、日本、印度、澳大利亚等国的合作以获取安全利益;另一方面,以色列通过国际合作为其国内系列网络安全产品寻找市场,以实现网络安全产业的可持续发展,实现经济利益。
首先,美国仍然是以色列最为重要的合作伙伴。两国在网络安全技术研发方面一直保持紧密合作的关系,同时以色列全面践行美国的网络安全标准和最佳实践,如引入美国国家标准技术研究所(NIST)的网络安全框架。在防御层面,两国联合网络防御合作已进入常态化、实时共享的阶段。2016 年,美以签署《网络防御合作协定》,建立专门的网络安全研发小组,提倡两国国家网络紧急应对小组实现实时操作连接,以色列也成为加入美国国土安全部“自动威胁指标共享计划”的首批国家。
其次,充分引进全球领先企业经验为其所用。以色列向各界寻找资源满足其网络安全需求,引入了许多国际企业在以色列设置研发中心,其中网络安全是最为主要的合作方面,这些大企业带来了先进的经验、知识、物流、人力资源及营销全球的资源,帮助以色列开发面向全球市场的安全解决方案。
第三,以色列还非常注重提升网络领域的国际影响力。以 色列不仅是联合国政府专家组、欧盟《网络犯罪公约》的成员,同时以色列外交部还指定了一名网络安全协调员,负责发展双边和多边网络安全合作。此外,“办会”是以色列展示能力的一项重要途径,以色列每年一度举办的网络科技峰会已成为全球最具影响力的网络科技盛会之一,每年吸引着来自五十多个国家和地区的万余人与会。以色列通过这类平台积极向全球输出“公共产品”,通过提供各种网络安全培训班,面向各国政府、业界提供经验交流平台。

五、启 示

以色列不仅建立了较为完善的网络安全组织机制,最为关键的是构建了政府部门、情报机构、军队、产业界、学术界等多主体参与,搭建了技术研发、产业发展、国家防御全生命周期循环,技术、经济与安全有机融合的网络安全生态。小国家能有大作为,这离不开以色列政府在用网治网上的战略设计与政策引导,对我国加强网络安全体系建设具有重要借鉴意义。
一是深化军民融合在网络空间的发展。由于网络技术是典型的两用技术,加强军民联合网络安全技术研发,不仅可助推军方提升网络能力,同时也可为私营企业发展先进技术提升全球竞争力提供助力。对此,我国需进一步加强军民融合对网络安全技术的引领作用,加强军民部门的信息共享,开展联合攻关。
二是打造国家级产学研合作创新基地。以色列成功建立起规模庞大的网络安全产业基地,在维护国家安全的同时又取得了重要的经济效益,建立起良好的网络安全生态。对此,我国需加强统筹,合理布局,减少重复,突出特色,积极利用投资资金、税赋优惠、法规制定、基建建设等,打造国家级产学研合作创新基地,形成促进科技成果转化、整合创新资源、提供配套支撑政策、培育创新人才等方面有机结合的生态圈。
三是在进一步深化开放中确保安全。网络空间是一个全球性领域,网络安全是一项全球性挑战,以色列在开放中创新网络安全解决方案,使得安全需求和经济利益相得益彰。对此,我国需进一步扩大开放,积极引进国外优秀的网络安全实践,同时鼓励我国内网络安全企业走出去,打造网络安全领域的国际“公共产品”,加强与其他国家的网络安全合作,提升我国在国际网络安全领域的话语权。

(本文刊登于《中国信息安全》杂志2022年第7期)

(完)