澳大利亚政府认为本国面临严峻的网络威胁,主要包括间谍和外国干涉、关键基础设施的潜在威胁、社交媒体武器化和国内社会层面的网络安全问题等。为此,澳大利亚政府通过完善司法和行政体系,制定网络安全战略,加大政企合作和加强国际合作等方式,增强应对网络威胁的能力。协调机构、情报机构、其他职能部门,以及各机构的分支部门,共同构成了复杂的应对网络威胁的政府体系。总体而言,澳大利亚的网络安全体系建设呈现多领域安全并重,国内建设和国际合作并重,以及政府职责和个人责任并重的点。
澳利亚作为南太平洋地区国家,地理空间上远离主要大国,冷战后致力于发展和巩固与美国的安全关系。澳大利亚在重视传统安全的同时,正在加大对网络安全领域的投入。其总理斯科特·莫里森(Scott Morrison)曾在演讲中宣称网络安全是有助于增强国家韧性的三个领域之一,具体依托是增强政府保护关键基础设施和打击网络犯罪的能力 。这与其在数字时代的目标和定位相关,即在未来成为“领先的数字经济和社会”,为实现这一愿景,澳大利亚致力于打造覆盖政治、经济和社会等领域的全方位的网络安全体系。
1澳大利亚政府对网络威胁的认知
澳大利亚的网络安全体系建设以应对自身面临的网络威胁为中心,渐进式变革行政体系和完善法律体系。2013 年,时任总理朱莉娅·吉拉德(Julia Gillard)发布澳大利亚首个国家安全战略,战略报告提及澳大利亚面临的主要安全风险包括间谍活动和外国干涉、恶意网络活动、严重的有组织犯罪、恐怖主义和暴力极端主义等,其中恶意网络活动被列为主要风险之一,表明澳大利亚政府将网络安全问题的重视提升到新的高度。随着网络技术在民用和公共领域的普及,报告中提及的借助网络展开的间谍活动和外国干涉、网络犯罪和恐怖主义等问题也日益受到重视。澳大利亚政府在网络安全层面的担忧主要包含以下几个方面。
第一,澳大利亚政府认为本国面临严重的间谍活动和外国干涉的危害。当前,国家间的地缘竞争传导到了网络空间,网络空间并非孤立的领域,而是一个更广泛的地缘政治战场的延伸。澳大利亚安全情报组织发布的年度报告中曾多次提到相关问题,认为促成全球化快速推进的宽带网络等技术正在成为间谍活动和政治干预的手段,以前所未有的形式为网络入侵和攻击提供了载体 [5]。而且,在澳大利亚政府的认知里,多个国家都在针对澳大利亚开展间谍活动和干涉活动,涉及政府、工商界、学术界等领域。前安全情报组织负责人邓肯·刘易斯(Duncan Lewis)甚至认为,澳大利亚面临的间谍活动和外国干涉的威胁“前所未有”,而网络技术起到了加速作用 [6]。2018 年 10 月,澳大利亚政府发表声明,谴责俄罗斯针对全球政治、商业、媒体和体育机构的恶意网络活动,并声称澳大利亚在国际和国内层面都在加大应对力度,有能力管控网络安全事件 。这些言论表明,积极应对间谍活动和外国干涉等网络安全问题正在成为澳大利亚政府层面的共识。
第二,澳大利亚政府对关键基础设施的潜在网络威胁也极为重视。其中最为担忧的是,在关键基础设施普遍联网的情况下,如何避免对手通过网络攻击这些设施。澳大利亚安全情报组织的报告中提出,要为潜在的威胁做准备,担心其对手可能在电信和能源等领域的关键基础设施中预置恶意代码 [8]。2018 年 9 月,澳大利亚《电信部门安全改革》法案实施,澳大利亚政府的目的是打造针对整个行业的监管框架,更好地管理电信网络和设施面临的国家安全风险。虽然这些举措会导致澳大利亚相关项目的建设成本高昂,但网络安全的担忧完全压倒了成本收益的考虑。澳大利亚为避免关键基础设施受到可能的威胁,不惜在经贸合作上采取“双输”的策略。
第三,澳大利亚政府担忧社交媒体被武器化为恐怖主义扩大影响力的平台。澳大利亚十分担心受到本土恐怖主义的威胁,自 2014 年以来提升了本国面临的恐怖主义威胁的级别,实行国家恐怖主义威胁五级预警制度,分别为“确定会(Certain),预计会(Expected),很可能会(Probable),可能会(Possible),预计不会(Not expected)”。而其当前恐怖主义发生的可能性被认定为“很可能会”。2019 年 3 月,新西兰清真寺发生的枪击恐怖袭击事件引起了澳大利亚政府对恐怖主义的重视。恐袭发生时,肇事者借助新媒体平台直播了枪击过程,导致相关视频在世界范围内传播。之后澳大利亚政府联合业界人士成立“打击网上恐怖主义和极端暴力材料工作组”,旨在就打击上传和传播相关材料提供切实有效的措施以及为政府提供建议。虽然澳大利亚本土并未发生大规模的恐怖袭击事件,但澳大利亚政府始终严加防范,尤其担心一些组织或个人借助网络平台宣传和扩大恐怖主义的影响。
第四,澳大利亚国内社会层面的网络安全问题也较为严重。根据澳大利亚网络安全中心的报告。2020—2021 年该机构共收到 67 500 多份网络犯罪报告,相比上一年度增加了近 13%,网络犯罪带来的损失超过 330 亿美元;大约四分之一的网络安全事件影响到教育、卫生、通信等关键基础公共服务组织;与新冠肺炎疫情相关的记录超过 1 500 份,与勒索软件相关的记录有近 500 份。网络欺诈、网上购物和网上银行诈骗是主要犯罪类型。而从程度上说,网络安全事件的平均严重程度也有所增加,近一半的分类为“严重”级 。这些数据表明,澳大利亚国内网络安全形势较为严峻。
2澳大利亚网络安全体系建设的举措
由上述事实可以看出,澳大利亚政府认为其国内面临较为严重的网络威胁,也尝试以多种举措来应对,具体包括 4 个方面。
第一,完善司法和行政体系。在应对国家面临的网络威胁方面,澳大利亚政府通过法律手段强制企业履行安全义务。2019 年新西兰枪击暴恐事件发生后,澳大利亚政府迅速推动将“分享令人反感的暴力材料”列入刑法修正案。在该法案的限制下,社交媒体平台有义务删除涉及恐怖活动、谋杀等暴力事件的相关内容。在应对个体面临的网络安全问题方面,澳大利亚政府的宗旨是“致力于保护所有澳大利亚人免受网络伤害”。以应对网络暴力问题为例,澳大利亚政府正在制定《反网络暴力法案》。为了便于调查相关问题,澳大利亚政府于 2021年 12 月 1 日成立了众议院社交媒体和在线安全特别委员会。为保障重要基础设施不被攻击和操控,澳大利亚通过了《2018 年关键基础设施安全法案》。此外,澳大利亚还通过了新版《2021年在线安全法案》,相较于 2015 版的法案,新版法案扩大了电子安全专员干预网络服务提供商业务的权限。在保障公民隐私方面,莫里森政府积极推动制定新版《在线隐私法案》,目前其征求意见阶段已经告终。而该法案的旧版还是 1988 年通过的,已经不能适应新形势的要求。从以上举措可以看出,澳大利亚政府正在不断强化行政和司法机关权力,以便加大对网络平台的干预力度。
第二,制定网络安全战略。澳大利亚在国家战略中提及网络安全问题始于 2000 年的国防白皮书《国防 2000:我们的未来国防军》中提及网络攻击也是国家安全问题。在 2009 年发布的国防白皮书《2030 年的军力:在亚太世纪保卫澳大利亚》中提到网络战问题。同年 11 月,澳大利亚发布《网络安全战略》,明确了政府相关工作的重点。在工党执政期内,澳大利亚两任政府先后推出网络安全战略,从国家战略的高度框定了其发展路径和方向。2016 年 4 月,特恩布尔政府发布《澳大利亚网络安全战略:助推创新、发展与繁荣》报告,这是自 2009 年以来澳大利亚政府首次对国家网络安全进行更新。澳大利亚政府认为该战略将在 21 世纪的安全方面发挥关键作用,政府将在 4 年内投资超过 2.3亿美元用于国家网络安全建设。2020 年 8 月,莫里森政府发布《2020 年澳大利亚网络安全战略》报告。新版报告涵盖更多的领域,投入更多的资金,政府将在 10 年内投资 16.7 亿美元用于网络安全建设,这是澳大利亚政府有史以来对网络安全最大的财政预算。这些报告都在国家战略层面将应对的网络威胁列入政府议程,并投入相应的支持资源。
第三,增加与企业的合作。企业在澳大利亚网络安全体系中是不可或缺的主体。其一,企业是数字经济创新和发展的主体。网络技术虽然可能成为危害国内安全的工具,但同时也是数字经济乃至整个经济价值链中不可缺少的基础设施。目前,在澳大利亚政府的规划和支持下,许多企业已经积极投身于数字化转型进程中。其二,企业是网络攻击的对象。正因为各行业都在与网络相连接,企业与政府、非政府组织、个人一样,都是网络攻击的重要目标。其三,企业是应对网络安全威胁的重要力量。企业在应对网络威胁时具有技术等方面的优势,在澳大利亚政府推出的所有应对网络威胁的举措中,都可以看到企业的身影。为增强网络防御能力,澳大利亚政府还倡导成立连接政府、企业、科研机构等主体的机构,比较有代表性的是澳大利亚联合网络安全中心和网络安全增长中心等。这些举措有助于澳大利亚政府调动多方资源应对网络威胁。
第四,加强国际合作。澳大利亚政府为应对网络威胁,与一些安全合作机制展开愈加紧密的合作。一是澳大利亚政府在“五眼联盟”中扮演更为积极的角色,强化“五眼联盟”合作 。情报是应对网络威胁最重要的手段之一,在预警、分析、干预网络威胁方面都起到至关重要的作用。澳大利亚政府不仅通过推动国内立法和强化安全机构等方式增强国内情报能力,还借助与“五眼”国家的合作获取外部支持。在多次“五眼联盟”部长级会议中,网络安全问题都是核心议题之一,各方共同发表的联合声明中也对推进相关合作制订了方案。澳大利亚总理也曾多次公开宣称“五眼联盟”在应对网络安全威胁中的重要作用。二是借助美日澳印“四边机制”开展网络安全合作。“四边机制”的合作日渐深入,从双边合作升级到四边部长级会议,再到当前的四边领导人峰会。而且,其合作涉及的议题也日趋广泛,除情报合作外,网络安全、物联网乃至太空合作都被纳入其中。作为美国的盟国,澳大利亚抓住美国主导的多边安全机制的转型契机,积极推动网络安全合作迈向更深层次。
3澳大利亚网络安全相关的政府架构
澳大利亚网络安全相关的政府部门较多,它们各司其职,共同构成澳大利亚政府网络安全体系(如图 1 所示 [16])。这些部门职能可以分为 3 类:一是统筹协调机构,二是情报共同体,三是其他相关职能部门。
图 1 澳大利亚网络安全相关的主要政府部门架构
第一,澳大利亚政府的统筹机构负责网络安全相关的协调工作。一是总理内阁部。该机构本身发挥着为制定和实施政府政策提供建议的作用,在网络安全方面还主管数据和数字部长会议。它是一个定期举行的部长会议机制,建立的背景是数据和技术正在发挥着越来越关键的作用,目的是推动跨政府在数据和数字化转型方面的合作,探讨内容涉及从公民生活到政府服务在内的诸多议题。会议的参加成员包括澳大利亚所有州和领地的负责人,以及新西兰的部长级代表,这样既可以在国内政府部门之间建立沟通机制,也可以加强澳新之间的数字合作。二是国家安全委员会。该机构主要审议对澳大利亚具有战略重要性的重大对外政策和国家安全问题、边境保护政策以及与澳大利亚运营和活动相关的机密情报事项等。其成员包括澳大利亚总理、财政部部长、国防部部长、外交部部长等。三是国家情报办公室。澳大利亚在 2018 年 11 月通过《国家情报办公室法》后,同年 12 月成立这一机构,它的成立意味着澳大利亚情报共同体有了一个可以协调各类情报机构的中心机构,规避了情报部门分散化的弊端。该机构的主要职能是整合和评估各种渠道的情报,对国内经济和国际政治等重要议题形成意见,供总理和内阁国家安全委员会的部长进行评估和分析。这些部门在澳大利亚总理的领导之下,共同开展协调工作。
第二,由澳大利亚行政部门领导负责的情报机构主要担负收集情报和分析情报的职能。2016 年 11 月,澳大利亚总理宣布对情报机构进行独立审查,2017 年 7 月发布《2017 独立情报审查报告》。这次审查为澳大利亚政府改革情报机构的结构和监督框架等提供了诸多建议,之后澳大利亚国家情报共同体正式形成。共同体涉及的政府部门包括国家情报办公室、澳大利亚信号局、地理空间情报组织、外交贸易部、安全情报组织、国防情报组织、澳大利亚刑事情报委员会、澳大利亚联邦警察的情报职能部门、澳大利亚交易报告和分析中心及内政部等。这些情报部门多数归属外交贸易部、国防部和内政部管辖。
外交贸易部的相关部门与职务设置包括秘密情报局、网络事务和关键技术大使、信息管理和技术司。一是秘密情报局。这是澳大利亚的外国情报收集机构。其主要情报来源是境外,依靠的手段是开展海外间谍活动。二是网络事务和关键技术大使。主要职能是领导澳大利亚政府的国际参与,推进和保护澳大利亚的国家安全、对外政策以及在网络空间和关键技术方面的利益。当前担任该职位的是托比亚斯·费金(Tobias Feakin),他曾担任 2016 年澳大利亚《网络安全战略》专家组成员,领导制定了澳大利亚的国际网络参与战略。三是信息管理和技术司。主要包括信息与通信技术战略、规划和治理处,业务解决方案处,网络安全和网络处以及客户服务处 4 个内设部门。
国防部的相关部门设置包括地理空间情报 组 织、 国 防 情 报 组 织(Defence Intelligence Organisation)和澳大利亚信号局。前两者是澳大 利 亚 国 防 情 报 小 组 群(Defence Intelligence Group)的一部分,而国防情报小组的职能是协助制定情报政策,提供支持政府决策的情报等。具体来说,地理空间情报组织提供涉及空中、陆地、海洋和太空领域的地理空间情报,支持政府的相关行动,协助各级机构应对危机和国家灾难等。国防情报组织为高层决策提供情报,协助安全方面的政策规划,并为防扩散和打击恐怖主义提供专业建议。为增强自身情报能力,该组织还会展开对外情报合作,比如为与澳大利亚安全环境相关的国家提供情报评估,与澳大利亚盟国的情报机构合作等。澳大利亚信号局涉及信号情报领域和安全机构所需的支持行动。其主要能力和职责包括 3 个方面:一是提供信号情报,通过秘密手段获取未公开的海外信息;二是保护,通过追踪网络威胁,为降低政府、企业和居民的网络风险提供建议和援助;三是破坏,借助其在海外的进攻性网络能力,支持军事行动、反恐、反网络间谍活动和应对重大网络犯罪。澳大利亚信号局还管辖着负责线上安全职能的澳大利亚网络安全中心。该机构是澳大利亚国内网络威胁领域的领导机构,全天候监控全球网络威胁,在平时和紧急事件发生时为澳大利亚个人、企业和关键基础设施运营商提供建议。其与诸多企业、政府和学术机构之间有合作,而且与执法部门联合打击网络犯罪。
内政部下设 5 个与网络安全相关的机构,分别为安全情报组织、联邦警察的情报职能部门、交易报告和分析中心、刑事情报委员会、网络和基础设施安全中心。一是安全情报组织。该机构的宗旨是保护澳大利亚和澳大利亚民众的安全免受威胁,肩负着预防威胁的职责。其主要担任反恐、反间谍和外国干涉、边境安全等职能,在这些议题上的主要工作手段是收集相关情报,对相应的威胁提供专业性建议。二是联邦警察的情报职能部门。该机构主要提供与犯罪相关的刑事情报和国家安全情报,主要防范的犯罪类型有人口走私、毒品、经济金融犯罪、恐怖主义、高科技犯罪等。联邦警察的情报工作和犯罪案件相伴,为解决相关犯罪问题提供情报和智力支持。三是澳大利亚交易报告和分析中心。其主要负责侦查、阻止和破坏滥用金融系统的犯罪行为。该机构开展工作也主要依托情报能力,收集和分析信息以生成财务情报,这些情报有利于国家安全和政府执法调查。四是刑事情报委员会。该机构是澳大利亚的国家刑事情报机构,通过提供情报支持和加强国内外伙伴合作等方式提高打击犯罪的能力。其工作职能是收集、关联、分析和传播犯罪信息和情报,维护国家犯罪信息和情报数据库,为警务和执法提供支持等。五是网络和基础设施安全中心。该机构主要防范澳大利亚关键基础设施等面临的威胁,避免勒索软件攻击、网络钓鱼活动等网络安全事件带来的影响。其主要工作内容是保障航空和海上安全,保证关键基础设施安全。其中关键基础设施涉及的领域包括金融、数据、国防工业、高等教育、食品、医疗、太空技术、水和污水处理等关系国计民生的重要领域的基础设施。
第三,其他相关职能部门对各自领域内的网络安全问题负有领导和监管责任。相关的政府部门主要包括 4 个。
一是基础设施、运输、区域发展和通信部。其下设澳大利亚通信和媒体管理局以及电子安全专员,前者负责对通信和媒体进行监管,对从业机构实施执法并且给消费者建议,以提高澳大利亚通信基础设施、服务和内容的经济和社会效益;后者是世界上第一个专为保障公民上网安全而成立的政府组织,帮助遭遇网络欺凌或虐待的澳大利亚民众采取应对措施和进行维权。电子安全专员的前身是 2015 年设立的儿童电子安全专员,2017 年澳大利亚政府扩大了专员职权范围,服务对象不再局限于儿童。
二是教育、技术与就业部。其下设的网络安全卓越学术中心是为应对网络安全而成立的科研单位,也是 2016 年澳大利亚网络安全战略的一部分。该中心旨在鼓励更多的学生学习网络安全知识,帮助增强澳大利亚网络安全的能力,为企业和政府应对新兴网络安全挑战提供高技能人才,并为解决网络安全挑战的研究提供支持。
三是检察总署。该机构下设的情报与安全监察长、独立国家安全立法监察员及澳大利亚信息专员办公室均涉及网络安全议题。情报与安全监察长是独立的法定公职人员,负责审查其管辖下的澳大利亚安全情报组织、澳大利亚秘密情报局、澳大利亚信号局、澳大利亚地理空间情报组织、国防情报组织、国家情报办公室 6个情报机构的活动。此外,《2021 年监视立法修正案(识别和破坏)法案》扩大了情报与安全监察长的管辖范围,包括监督澳大利亚刑事情报委员会和联邦警察对网络活动搜查令的使用。其审查工作的目的是确保这些机构的运行都遵守法律和指导方针,尊重人权。独立国家安全立法监察员根据《国家安全立法独立监察法案》任命,负责评估国家安全和反恐法律的运行效果,并考虑这些法律是否保障了人权,是否与相应的威胁相匹配,以及是否有存在的必要等。该机构的审查工作权限较高,可以通过查阅材料、强制问答等方式展开调查,并将报告提交给国会。信息专员办公室负责调查和处理隐私泄露事件,以维护隐私权、促进信息访问权。该机构的职责是确保澳大利亚政府机构和年营业额超过 300 万美元的组织及其他一些组织在处理个人信息时遵守《1988 年隐私法案》等法律,并根据《1982 年信息自由法案》确保公众获取文件的权利。此外,信息专员办公室还根据《2010年澳大利亚信息专员法案》在政府内部执行战略信息管理职能。
四是财政部。该机构下设的网络安全相关的机构包括澳大利亚竞争和消费者委员会、证券和投资委员会、金融监理署。澳大利亚竞争和消费者委员会的职责是执行《2010 年竞争和消费者法案》及附加立法,促进竞争、公平交易和监管国家基础设施。该机构还管辖和运营诈骗监察组织,它主要向消费者和小型企业提供有关如何应对各类诈骗信息的方法。澳大利亚证券和投资委员会是企业、市场、金融服务和消费者信用的监管机构。该机构发起了“ASX100 网络健康检查计划”,这是一项自愿调查,旨在衡量澳大利亚顶级上市企业的网络安全意识、能力和防御情况。澳大利亚金融监理署负责监管银行、保险和养老金等机构。该机构发布了强制性信息安全法规 CPS 234,目标是尽量减少网络攻击等安全事件对信息资产的影响。在该法规的约束下,受金融监理署监管的实体的董事会要确保维护其信息安全。
除上述政府机构外,澳大利亚还有一些受政府资助但不隶属于政府部门的非营利性组织。这些组织和企业合作极为紧密,旨在根据政府战略促进企业网络安全相关业务的发展。较为典型的是前文提到的网络安全增长中心,该机构成立于 2017 年,是由澳大利亚联邦政府拨款资助,作为澳大利亚产业增长中心计划和网络安全战略两个国家计划的一部分,其职能定位是推动澳大利亚网络安全研发和创新,具体举措包括 3 个方面:一是加强合作和商业化,通过投入资金和扩大宣传等方式增强学术界和企业之间的联系;二是提升技能和能力,通过与职业教育、培训部门和行业合作,提升澳大利亚网络安全相关劳动力的技能;三是对外推介澳大利亚企业,通过与贸易部门和行业商会合作,推介澳大利亚企业网络相关的能力并促进合作等。由此可以看出,网络安全增长中心扮演着连接政府、企业、学术界和国外机构的中间人角色。
4澳大利亚网络安全体系建设的特点
由前文可知,近年来澳大利亚政府为应对各类网络威胁,不遗余力地进行网络安全体系建设。从其措施和政府部门的设置可以看出它具有以下特点。
第一,国内网络安全体系建设和国际合作并重。澳大利亚在打造国内网络安全体系的同时,也非常重视外部网络环境,认为外部网络空间的安全有助于保障自身网络安全。一个安全稳定的外部网络环境无法通过澳大利亚一个国家来实现,这离不开与澳大利亚盟国之间的合作。在这方面,美国既是保障其传统安全的领导国,也是网络空间的强国。澳大利亚在近两届工党政府的领导下,积极充当美国主导的安全合作机制的“急先锋”,在“五眼联盟”和“四边机制”等安全合作中都积极迎合。虽然网络安全没有实体边界,但是地缘层面的合作也随着大国网络空间博弈的展开相伴而生。澳大利亚在安全上依靠美国,尤其是在网络空间,这种依赖关系不仅没有减弱,反而有增强的趋势。
第二,政治安全、经济安全、社会安全等多领域安全并重。在世界逐步迈入数字时代的背景下,网络安全关系到政治、经济、社会等几乎所有领域的安全问题。莫里森曾强调,各个领域和各个方面的数字化转型,既是机遇也是挑战,利用得当则有助于澳大利亚数字经济的发展。澳大利亚政府无论在机构设置和法律框架上,还是在应对威胁的投入、措施上都较为全面。在国家安全方面,澳大利亚政府加强情报机构的能力,统筹协调各类机构,旨在达到以下两个目的:一是防御性目的,防范恐怖主义传播,打击间谍和网络干预,保障关键基础设施安全;二是进攻性目的,主动搜集情报信息,增强进攻性网络能力,增强应对网络安全问题的主动性。在经济和社会安全方面,对应的行政部门在各自领域内加强网络安全监管,在保障经济和金融主体信息安全免受网络威胁的同时,也较为注重个体所面临的网络犯罪等侵害。
第三,政府和企业等主体责任并重。澳大利亚政府不断强调网络安全是所有组织及个人的共同责任,希望各级组织和个人提高应对网络威胁的意识,呼吁国内主体采取自我保护行动 。对于企业等机构,澳大利亚政府在一些官方文件中明确提出,必须尽力保护其网络和基础设施不受未经授权的干扰或访问。对于社交媒体平台,政府也通过立法等手段管控用户的言论和上网行为,及时删除可能违反网络监管法律的内容。除强调企业有维护网络安全的义务外,澳大利亚政府也在技术合作等方面对企业有较强的依赖性。对于澳大利亚的个人,政府也会通过建立在线网站、发布安全手册和开展网络知识培训等措施,提高个人的防范意识。
5结 语
澳大利亚的网络安全体系较为复杂,相关机构分散在各个政府部门内。在 2017 年之后,其网络安全机构有了许多调整,增强了协调机构和监督机构的能力。这些变化的目的在于更好地应对其面临的较为严峻的网络安全威胁,这表明其建设网络安全体系的思路也并非一成不变,而是具有灵活性的特点。澳大利亚政府通过国内和国际合作的展开,各领域安全的同步推进,以及国内企业、组织和个人的配合等方式共同打造应对网络安全的完整体系。