俄罗斯网络安全浅析

近年来，为了确保俄罗斯在国家与军事领域的网络安全，俄罗斯强化顶层设计、完善法规体系、构建保障系统、谋求技术支撑，打造网络安全有效防护机制。

将网络安全提升至战略高度

俄罗斯将网络安全提升至国家战略高度，同时其网络安全战略有许多区别于西方发达国家的不同之处,并体现出强化俄罗斯国家安全、实现国家复兴整体战略目标的鲜明特点。

2013年1月，普京签署总统令建立国家计算机信息安全机制，用来监测、防范和消除计算机信息隐患。确定从战略层面评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定、建立电脑攻击资料库等统筹事项和顶层设计。一年后的2014年1月，俄罗斯公布了《俄罗斯联邦网络安全战略构想》草案，该草案对网络安全战略的原则、行动方向和优先事项进行了明确。

战略构想对于发展国内网络的扶持政策也进行了说明，如：向国内网络安全设备生产商提供国家支持，减免税费、支持产品推向国际市场，放宽软件的推行，制定系统措施推广使用国产软硬件，包括网络安全保障设备，更换国家行政信息网、信息通信网、至关重要的基础设施项目信息网及保障他们相互协调的信息通信网中的外国产品等。

在战略构想的牵引下，一系列信息技术、网络安全的政策得以出台。2014年，俄罗斯出台《2030年前科技发展前景预测》，对发展本国网络发展进行战略规划，明确了各阶段建目标，其内容包括：借助信息和通讯技术完善国家管理体系；促进本国信息技术的开发；培养信息技术领域专业人才；借助信息技术应用发展经济和金融；增加信息技术研发投入等。

同时政策给予网络发展提供强有力的资金支持，也使得网络安全得以同步发展。2014年6月，普京总统表示，在实施政府采购时，俄罗斯国产软件产品定价可高于外国产品金额的15%。至2020年，俄罗斯计划每年投资100亿卢布发展信息产业。同时在2018年前完成50个信息技术领域创新研发中心建设。根据《2030年前科技发展前景预测》文件， 2020年前俄政府的信息技术开发费用支出在GDP中的比重将由目前的1.5%增长到3%。

出台信息网络产业税收优惠政策。目前，俄罗斯规定从事软件研发的公司所缴纳的退休金、医疗保险和社会保险的费率，由34%降到14%。俄罗斯国家杜马还通过对创新科技园区入驻企业实施税收优惠的修改法案，规定入驻创新中心的企业在十年之内免缴增值税，社会统一税缴纳比例降至14%。

构建网络信息安全法律法规体系

依据2013年1月总统普京签署的《关于建立查明、预防和消除对俄罗斯信息资源计算机攻击后果的国家系统》总统令，要求能够有效应对黑客入侵和对信息系统及电信网络的攻击。为此，俄罗斯安全局建立了国家网络安全系统，其主要目的是对俄罗斯联邦信息安全领域的态势进行预测分析，在受到网络极端攻击情况下对俄罗斯联邦信息设施的防护程度进行监控，同时负责协调信息资源的拥有者、通信运营商及信息防护领域经授权许可的其它主体之间的工作。2014年5月5日，俄罗斯总统普京签署“知名博主新规则法”，就规范网络空间秩序采取新措施。

事实上，俄罗斯网络安全法律法规体系的构建上个世纪就已经展开。1995年2月，俄罗斯颁布了《联邦信息化和信息保护法》，将信息资源的独立和具体项目列为国家财产予以保护，并规定“当信息被认为涉及国家机密时，国家有权从自然人和法人处收购该文件信息”、“含有涉及国家机密的信息资源，其所有者仅在取得相应的国家政权机关的许可时，方能行使所有权”。1995年4月，着眼于对密码的研制、生产、销售、使用、进出口进行严格控制，俄罗斯又颁布了《禁止生产和使用未经批准许可的密码设备》的第334号总统令。该总统令规定将国家权力机关专用信息远程通信系统列为总统计划；同时禁止国家机关和企业使用未经许可的的密码设备、加密设备、信息存储、处理和传输设备，还禁止向使用未经许可加密设备的企业和机构进行政府采购。第334号总统令还对法人和自然人从事研制、生产、销售、使用加密设备以及信息存储、处理和传输的技术保护设备等活动进行了明确规定。

此后，俄罗斯相继出台了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》等一系列文件，修订了《俄罗斯联邦因特网发展和利用国家政策法》、《信息权法》等20余部法律，通过政令明确，制度牵引，俄罗斯网络空间的法律法规条款逐步趋于完善，为确保网络安全提供了法规依据与制度基础。

构建网络安全多重保障体系

在实践领域，为了确保网络安全，俄罗斯多管齐下，虚实结合、软硬互补，构建多重安全保障。

在软件及体制建设方面。一是建立强制认证机制。俄罗斯建立了专门的认证机构和认证测试实验室，将信息安全等级分为A、B、C、D、E五个等级，只有获得认证的信息安全产品，才能在市场上销售和使用。而于网络上的密码产品，认证条件更趋严格，密码保护设备必须是国内研制的，并且要经相关部门鉴定。二是建立机密信息保护机制。俄罗斯非常重视机密网络信息的保护，1997年，俄罗斯颁布了《机密信息清单》，2005年9月，针对信息安全的新威胁，对该清单进行了重新修订，2006年，批准通过了新的《机密信息技术保护条列》。三是建立网络检查和审核机制。允许对经由互联网传播的信息进行监查，同时规定政府机构或公民事业单位及商业公司应将信息安全审核当成经常审核的安全项目之一。

为有效应对网络威胁，俄罗斯也一直致力于打造安全防护有形力量。目前俄罗斯在各强力部门都设有网络威胁应对机构，如在内务部设有专门局负责调查境内网络犯罪活动；在安全局设有信息安全中心负责对抗危害俄国家和经济安全的外国情报机构、极端组织和犯罪组织，在而国防部的网络司令部将负责遏制其他国家在网络空间对俄国家利益的侵犯。围绕某一重大任务，各部门之间往往会展开密切协作，以应对网络安全威胁。例如， 2014年索契冬奥会期间，俄联邦安全局和俄罗斯内务部联合对冬奥会项目的互联网、电话和其他通讯享有充分的、畅通无阻的访问权限，同时还部署无人机执行监控任务。部门协同网络安全防控十分高效，以至于冬奥会期间，美国国务院曾建议公众前往索契观看冬奥会时，把智能手机或者笔记本电脑放在家里，以免遭到数据拦截。

形成网络安全整体技术优势

俄罗斯对于网络安全保障确立了自主研发的发展思路，并将其贯穿于各项技术发展规划。

自主研发处理器与操作系统。2014年6月，俄罗斯宣布政府机构和国营企业，将不再采购以Intel或AMD为处理器的计算机，而采用俄罗斯本国生产的处理器芯片为的计算机。采购的计算机也不安装微软的Windows系统或苹果的Mac操作系统，而是安装俄罗斯专门开发的Linux操作系统。

多年来，俄罗斯一直试图摆脱使用微软操作系统，通过自主研发操作系统减少对Windows依赖。2010年底，时任俄罗斯政府总理的普京签署命令，开发一款基于Linux的国产操作系统，以减轻对微软Windows系统的依赖，更好地监控计算机安全。2011年，俄政府还批准了俄罗斯版视窗系统的计划。2012年9月，为了防止本国敏感机信息外泄，俄罗斯推出了一款特制的平板电脑，配备给国防工作人员使用。该平板电脑安装了由俄罗斯自主研发的“俄罗斯移动操作系统"，不但可以防止黑客攻击，还能有效避免用户在使用过程中泄露个人信息，并加入了防震防水功能。2014年7月，俄罗斯推出了一款名叫“Rupad”的超级平板电脑，配备了自主研发操作系统。“Rupad”平板电脑分为军用和民用两个版本。军用版本配有抗震外壳，可保护电脑从两米高的地方安全落地，防尘防水在深度不超过1米的水下可以正常工作1小时；为保证网络安全，设备设置有一个特殊的保护按键，可帮助使用者及时切断麦克风、摄像头、GPS、蓝牙、WiFi等模块传递的信号；对传出的所有信息都进行了加密，并对收取的信息解密。目前，俄罗斯的国防部、内务部和联邦安全局等部门已开始试用。

斯诺登事件对俄罗斯的网络安全也造成了很大冲击。2013年2月，俄罗斯媒体报道，为了确保本国公民的个人信息安全，摆脱类似美国“棱镜”计划的监控，俄罗斯展开建立具有自主知识产权的公共电子邮件服务系统。

2014年3月，克里米亚回归俄罗斯，美国于3月20日宣布对俄部分官员、企业界人士和银行进行经济制裁后，国际上最大的两家信用卡支付平台维萨和万事达对俄罗斯银行和北海航线银行终止服务，造成50多万张信用卡无法使用，俄罗斯多家银行几近瘫痪。事件发生后，俄罗斯总统普京多次强调尽快建立国家支付系统。目前，俄正在建立自主的银行支付系统，以求减少对欧美同类金融服务的依赖，应对美欧未来可能的制裁，进一步确保网络安全。

俄罗斯信息安全与网络安全的概念

长期以来，俄罗斯的信息安全专家都按照自己的意愿来定义“信息安全”，使读者产生了概念混淆。对“信息安全”的一般理解就是“信息保护”，更深入的理解就是指对信息机密性、完整性和可访问性进行保护的情况。2000年9月，俄罗斯总统正式批准《俄罗斯联邦信息安全学说》。该学说指出，“俄罗斯联邦信息安全是指俄罗斯国家利益在信息领域受保护的状态，是由个人、社会和国家利益平衡后的总和决定的①”。但这一定义并不十分清晰，也不太好理解，并没有得到专家学者的完全认可和广泛引用。

2011年11月，俄罗斯国防部发布《俄联邦武装力量全球信息空间活动构想》，被外界解读为俄军网络空间战略。该构想对武装力量信息安全的定义是：保护武装力量信息资源免遭信息武器影响的状态②。

2012年，俄罗斯联邦委员会邀请各行业专家讨论制定俄联邦网络安全战略时，来自各个行业包括大众传媒与通信部、联邦安全局、科研院校以及商业公司的专家对网络安全有着自己的解读，最后只好将本来不会混淆的概念拼凑在一起，一起揉进网络安全战略草案中。直到2014年1月，俄罗斯联邦委员会网站正式公布《俄罗斯联邦网络安全战略构想》，才对“信息安全”与“网络安全”有了明确的定义。但该构想指出：“分析表明，在俄罗斯有关信息安全的正式文件中，‘网络安全’这一术语没有从‘信息安全’概念的范畴中分离出来，没有单独使用。与此同时，大多数国家已经将它作为一个单独的定义来使用。必须考虑到，由于网络空间的跨国性，仅在国家层面上对网络空间进行规范是不可能的。因此，必须在俄罗斯有关信息安全的文件中对‘网络安全’这一术语予以明确，这样才能确定俄罗斯和其他国家标准文件之间的关系，为参与网络空间安全领域的国际法律规范制定工作创造条件”。因此，该战略对信息安全的定义是：信息安全是指国家、组织和个人及其利益免遭信息空间各种破坏和其它不良影响威胁的受保护状态。而网络安全是指网络空间所有组成部分免遭极大威胁以及不良后果影响的条件总和。不过，这个草案却因为在“信息安全”和“网络安全”概念上的分歧严重而胎死腹中。

2016年月12月生效的《俄联邦信息安全学说》中专门对“信息安全”一词下了定义——俄联邦信息安全是指个人、社会和国家不受国内外信息威胁的防护状况。这与以前的定义差别不大。

由此可以看出，俄罗斯官方文件对这一定义的理解仍然是“信息保护”或者是“信息系统和信息资源保护”，但按照外交部的说法，信息安全涵盖广泛的任务和方向，从信息访问、信息保护到抵制负面信息和数字主权无所不包。一些俄罗斯专家认为，网络安全更侧重于网络的管理，而信息安全则更关注信息的状态，不完全是一回事。从目前情况看，俄罗斯对信息安全与网络安全的概念还存在模糊认识，缺乏国家层面的统一调节和权威部门的认定。但可以肯定的是，俄罗斯所定义的信息安全不能等同于网络安全，更不能替代网络空间安全。

俄罗斯外交部坚持使用信息安全术语的原因

俄罗斯外交部门之所以坚持使用“信息安全”概念，是与俄美外交斗争的历史分不开的。

俄罗斯外交部从八十年末就开始在国际舞台上维护俄罗斯在信息空间的利益，并且持续不断地坚持使用“信息安全”这一术语。由于当时受到网络认知的局限，外交部将信息安全的内涵限定在信息保护范畴，并不涉及其它相关问题。后来一些国家发生颜色革命后，俄罗斯当局十分担忧颜色革命扩散，不希望美国通过互联网、社交网络和其它信息来源来控制俄罗斯人的意识，影响普通民众的情绪，进而引发社会动荡，因此，俄罗斯外交部人为地将信息安全所涵盖的领域扩大了，将网络空间出现的新问题尤其是意识形态和国家安全问题纳入到信息安全范围内。   

2011年9月12日，中、俄、塔、乌四国向第66届联大提交《信息安全国际行为准则》时，美国认为，“信息安全”这一术语本身颇具争议。有专家评论，俄罗斯用“信息安全”替代美国等大多数国家所使用的“网络安全”，背后有着深层次考量和意识形态因素。美国认为，“网络安全”仅与硬件（网络和系统）、软件及储存和传输于这些系统中的数据（无论是何内容）技术层面上的安全相关。“准则”使用“信息安全”一词，旨在强调储存于上述系统中的“内容”明确隶属于“准则”规范范畴。因此，该文件从整体上可以理解为“规范言论和通讯内容、服务于政府利益的准则”，这是美国不能支持的。美国强调保障互联网自由，在联合国坚决反对俄罗斯使用“信息安全”概念，坚持使用“网络安全”或“网络空间安全”。正因为这个原因，俄美双方经过多次讨论和协商，达成了一项折衷方案：在俄美双边关系中使用“信息通信技术安全”（безопасность прииспользовании информационно-коммуникационных технологий--ИКТ）这一术语④，并将其限制在信息安全领域，集中于技术层面，但这一复合词只出现在俄美关系方面。这是俄罗斯外交部新挑战与威胁司的一项杰作。如今，全世界都在使用“网络安全”一词。尽管俄外交部明确抵制使用“网络”（кибер）这一词头，但这词已深深扎根于俄罗斯的常用词汇，包括俄总统使用的词汇中，因为他在谈到网络空间及其军事化时经常引用。

2013年6月，俄罗斯总统普京与美国总统奥巴马在爱尔兰“八国峰会”期间达成协议，两国在俄美总统发展合作委员会设立一个正式的机构，全称叫“信息通信技术领域威胁问题和国际安全领域信息通信技术问题工作组”，简称“网络空间安全工作组”。俄方工作组主席由安全会议副秘书克利马申担任，而美方工作组主席由总统特别助理兼白宫网络安全协调员丹尼尔负责。双方经过多轮谈判，准备在年底前正式完成《俄罗斯与美国保障网络空间安全和预防网络事件协议》。这一名称反映出俄美双方在网络空间安全问题上的相互妥协，即小组名称按照俄罗斯的说法，简称依从美国的叫法，而协议的名称用世界通用的网络空间安全。

2013年9月，俄罗斯外交部网站发布《2020年前俄罗斯联邦国际信息安全国家基本政策》，作为应对未来信息安全威胁的主要战略性文件。俄罗斯外交部明白，仅靠信息安全不能涵盖网络空间领域出现的新威胁，包括网络武器、网络恐怖活动、网络暴力、网络犯罪、网络宣传等，因而使用了“信息通信技术”一词，将出现新威胁的原因全部纳入信息通信技术范畴，拒绝使用网络空间一词。

由此可以看出，俄外交部坚持使用信息安全以及信息通信技术安全是出于对美外交斗争的需要，是与美争夺网络空间主导权的抓手，是冷战思维延续下来的产物。

俄罗斯国内使用网络安全术语的现状

俄罗斯领导人首次使用“网络安全”概念是在2008年4月，俄国家杜马安全委员会主席符拉基米尔·瓦西里耶夫在解释普京总统的《俄罗斯联邦信息发展战略》时多次使用了这个词。

2011年4月，俄罗斯莫斯科大学信息安全研究所和美国东西方研究所就20个网络空间关键术语达成一致。而同一年，美国相继发布《网络空间可信标识国家战略》、《网络空间国际战略》和《网络空间行动战略》，引起世界各国包括俄罗斯的高度关注，俄罗斯官方和媒体越来越多地使用网络空间和网络安全术语。2012年2月20日，普京在其发表的《强大是俄罗斯国家安全的保障》一文中首次使用了“网络空间”一词。他指出：“各国在太空领域、信息对抗领域，首先是网络空间领域拥有的军事能力，对武装斗争的性质即便没有决定意义，也有重大意义”⑤。2012年12月28日，普京总统在克里姆林宫为高级将领任职和授衔仪式上发表讲话时称：“必须进一步系统地和积极主动地采取行动，与包括反间谍、保护战略基础设施以及与经济领域和网络空间领域里的犯罪行为作斗争”⑥。这是我们已知的俄总统在公开场合第二次使用“网络空间”一词，而不是过去常用的“信息空间”（информационное пространство）。2013年7月5日，普京总统在俄联邦安全会议上发表讲话时指出，太空和网络空间正在军事化。

俄联邦委员会起草的《俄罗斯联邦网络安全战略》草案文件中也用了“网络安全”一词。在联邦委员会召开的一次会议上，专家们就“网络安全”、“信息安全”、“信息通信技术领域安全”等名称问题产生了激烈的争论。最后，作为该战略的主要起草者，俄罗斯联邦委员会信息社会发展委员会主席、来自统一俄罗斯党的鲁斯兰·加塔罗夫认为，网络安全概念已经得到世界主要国家广泛接受和普遍使用，如果仍然使用信息安全概念，有可能在国际关系中造成障碍和误解，因而坚决主张借鉴其它国家如欧洲、英国、美国、日本和澳大利亚等国的国家网络空间安全战略，使用“网络安全”一词，这一提议最终得到了大多数专家的赞同，但遭到俄联邦安全局的强烈反对，因而中途流产。

【推荐书籍】