摘 要:澳大利亚在网络化和信息化建设方面起步较早,也是全球较早关注网络安全的国家之一。随着政府、商业和公共事务与网络空间联系的日益紧密,澳大利亚针对严峻的网络安全风险,以建设更强大的网络防御体系为目标,出台了多份战略、政策、法律和法规文件,突出将发展产业作为网络安全能力提升的支柱性力量,旨在到 2030 年整体形成繁荣而有序的网络安全生态系统。从政策法规、组织架构、产业发展和人才队伍 4 个方面对澳大利亚网络安全战略及产业情况进行了概述。
内容目录:
1 政策法规
1.1 战略政策
1.2 法律法规
2 组织架构
3 产业格局
3.1 产业发展线路图
3.2 网络安全市场概况
3.3 产业市场发展趋势
3.4 主要网络安全企业
4 人才队伍
5 结 语
作为南半球面积第二大的国家,澳大利亚向来对周遭环境颇为敏感,四面环海的地理属性及远离任何强大同盟的地缘政治因素使其安全感匮乏,在网络空间也不例外。
澳大利亚政府认为,本国面临的最为严峻的网络风险在于国家能力行为者、高级持续性威胁(Advanced Persistent Threat,APT)组织和不怀好意的黑客在复杂利益背景的驱使下,对澳大利亚政府、科技、经济、社会等各个方面开展的持续性、大规模和专业化攻击。这种威胁不仅限于网络间谍活动,还包括针对澳大利亚基本网络服务的破坏性活动。近几年,国际网络犯罪产业持续对澳大利亚造成重大损害,使其成为网络安全风险和攻击事件的高发地。
早在 2008 年,时任澳大利亚总理陆克文就在议会上发表了澳大利亚第一份国家安全声明,该声明指出全球网络犯罪问题的规模、复杂程度和得手率日益增加,网络安全已经成为澳大利亚国家安全优先考虑的问题之一,澳大利亚必须全力以赴应对这一挑战。随着时间的推移,澳大利亚认为网络空间风险事实上加剧了地缘危机,使得全球和区域战略环境持续恶化,随着本地区对数字经济和互联互通的依赖程度不断加深,加强澳大利亚网络安全防御能力的必要性空前上升。2023 年 11 月澳大利亚网络安全中心(Australian Cyber Security Centre,ACSC)发布的《2022—2023 年度网络威胁报告》显示,澳大利亚政府、关键基础设施、企业和家庭继续成为恶意网络行为者的目标,而人工智能等新兴技术为开展网络防御带来了额外复杂性。在澳大利亚政府的网络安全愿景中,预计到 2030 年国内将形成强大的网络安全产业,建成繁荣且有序的网络安全生态系统,创造高薪就业机会,吸引、培养和留住大量、熟练且多样化的网络劳动力。同时,由于头部网络安全公司具有较强的科技创新能力,应针对当前和未来的网络安全需求创造创新的解决方案,为国家繁荣提供有力保障。
安全企业在澳大利亚国家网络安全体系中担负着技术创新、情报共享、事件响应、教育培训、合规审核、法律执法支持和业界合作等重要职责。作为国家网络空间安全能力的重要组成部分,澳大利亚的网络安全产业也呈现出其自有的特点。一是产业规模相对小,企业数量不多,产品和服务多与美等盟友国家保持一致;二是方向相对收敛,安全托管服务等内容成为主攻领域,技术水平高、市场占有率大;三是受限于体量,企业在网络安全领域广泛寻求合作,并通过与政府、科研机构间合作来实现资源共享和能力共建。本文将从战略法规、组织架构、产业发展和人才队伍 4 个方面对澳大利亚网络安全战略及产业情况进行概述。
1政策法规
澳大利亚在网络化和信息化建设方面起步较早,是信息化高度发达的国家,也是最早关注网络安全的国家之一。随着政府、商业和公共事务与网络空间联系的日益紧密,澳大利亚政府认为国家安全、经济繁荣和社会福利与安全、可靠的网络空间密不可分。
1.1 战略政策
为指导和加强国家网络安全建设,最大限度地保障数字经济时代的国家安全,澳政府于2009 年 11 月 23 日发布首份《网络安全战略》。在该战略文件中,澳政府描绘了网络安全战略的总体目标,明确了建立网络安全政策的指导原则,提出了加强政府、经济基础设施和商业、社会民众网络安全能力的战略方案,包括实现战略目标的行动重点与落实措施等。该战略文件发布之后得到了澳大利亚国内尤其是业界的充分肯定,在澳政府的主导推动,两个新设立机构——澳大利亚网络安全中心(Australian CyberSecurity Centre,ACSC)和澳大利亚计算机应急响应小组(Computer Emergency Response Team,CERT)的运作支持下,澳大利亚网络安全建设取得了明显的进展。
2016 年 2 月 25 日,澳政府发布的《2016 国防白皮书》指出,由于依赖信息网络,网络攻击对国防军的作战能力构成了直接威胁。同年 4 月21 日,澳政府发布《澳大利亚网络安全战略——助推创新、发展和繁荣》,决定在之后的 4 年实施 33 项行动计划,用以全面提高澳的网络安全能力,从而促进澳的创新、发展和繁荣。在该份战略文件中,澳政府提出将会每年审查战略执行进度并更新网络安全行动举措,每 4 年修订并发布一版新的《网络安全战略》。
2020 年 8 月,澳大利亚政府发布《2020 年网络安全战略》。与 2016 版战略相比,此版战略目标明确,结构清晰,延续了加强人才建设的工作目标和澳大利亚 ACSC、联合网络中心(Joint Cybersecurity Center,JCSC)两大中心的工作框架。与《2016 网络安全战略》总投资额2.3 亿美元相比,《2020 年网络安全战略》投资力度增加至 16.7 亿美元,包括对 ACSC 和 JCSC的追加投资,目的是提高对包括暗网在内的网络犯罪的打击能力。
2022 年 8 月,澳大利亚国防部发布《2022 年国防网络安全战略》,概述了澳国防部将在未来十年加强网络安全能力的计划措施。作为该国第一份专门的国防网络安全战略,该战略的出台不仅充分体现出澳大利亚对国防网络安全的重视,更是以往国防战略白皮书基础上的一大跨越,体现出该国网络安全战略实现了从防守向进攻的演化和调整。
2023 年 12 月,澳大利亚政府发布《2023—2030 年网络安全战略》,号召开创澳大利亚网络合作的新时代,到 2030 年成为网络安全领域的世界领导者,通过“六层网络护盾”构建更强大的网络防御体系,使公民生活有序、企业经营繁荣,并在遭受网络攻击时能够及时应对。该战略将澳大利亚公民和企业置于防护的核心位置,明确了参与国内和国际网络安全事务的要求,呼吁相关责任方为了实现该愿景而积极采取行动。
1.2 法律法规
法律法规作为一种重要的行为准则,是实现有序管理和社会公平正义的有效途径,也是用户享受网络空间权利和利益的重要保障。澳大利亚政府及各部门制定了一系列网络安全相关法律法规、标准规范和指导文件,包括《电信传输法》《反垃圾邮件法》《数字保护法》等,并修订了澳大利亚刑法,以适应打击新型网络犯罪。2000 年,澳大利亚政府发布《信息安全风险管理指南》。次年发布了《保护国家信息基础设施政策》,要求从多个方面入手保护澳大利亚关键基础设施。
2022 年 3 月,澳大利亚议会通过了《关键基础设施保护法案》立法修正案,强调提升关键基础设施所有者和运营者的风险管理、准备、预防和复原能力,并改善行业和政府间的信息交流,以更全面地了解关键基础设施面临的安全威胁。同月,澳大利亚发布《2022 年打击网络犯罪国家计划》,从预防与保护,调查、打击与起诉,及恢复 3 个方面提出具体措施,将支持行业发挥领导力,预防网络犯罪威胁。2022 年,澳大利亚《电信服务提供商(客户身份验证)判定规则》生效,要求电信服务提供商识别客户高风险交易,保护风险客户,对高风险交易实施多因素身份验证。
2组织架构
澳大利亚政府建立了一个复杂的政府体系,其中包括立法、司法、执法、情报、协调机构和其他职能部门,这些机构在政府主导下紧密合作,在澳大利亚的网络安全体系中扮演着关键的角色,各自负责不同方面的监管、防御、指导和沟通职能,以确保澳大利亚在应对网络威胁时的网络安全,以及其公民的网络空间利益得到有效保障。澳大利亚负责网络安全的政府直属部门如下:
ACSC:澳大利亚网络安全中心是一个联合机构,由澳大利亚情报机构与国防部合作设立。它负责监测、防范和应对网络安全威胁,并提供安全建议和指导给政府、企业和个人。ACSC还承担网络威胁情报搜集和分享的职责。澳大利亚网络与基础设施安全中心(Cyber and Infrastructure Security Centre,CISC):作 为澳大利亚的网络和信息安全权威机构,ANSSI 负责制定和实施国家的网络安全政策和标准,以保障关系国计民生的关键信息基础设施的安全和稳定。
澳大利亚刑事情报委员会(Australian Criminal Intelligence Commission,ACIC):ACIC 负 责 收集和分析网络犯罪情报,协助执法机关打击网络犯罪行为,包括网络诈骗、恶意软件和黑客攻击等。
澳大利亚国家网络应急响应小组(Computer Emergency Response Team Australia ,CERT-AU):CERT-AU 负责监测和协调国家范围内的网络安全事件应急响应,提供技术支持和应对指导,协助组织恢复、调查和预防类似事件的发生。
澳大利亚信号局(Australian Signals Directorate,ASD):ASD 是负责保护澳大利亚政府的信息和通信系统安全的机构。它提供网络安全咨询、评估和指导等服务,协助政府机构提高其信息安全防御能力。
澳大利亚信息管理办公室(Australian Government Information Management Office,AGIMO):作 为负责信息管理和技术战略的机构,AGIMO 在澳大利亚政府内部推动网络安全策略的制定和实施,并确保政府信息系统的安全和合规。
澳 大 利 亚 通 信 与 媒 体 管 理 局(Australia Communication and Media Authority,ACMA):ACMA 负责监管和管理澳大利亚的通信行业,包括电信服务提供商和广播机构。它确保通信业务的网络安全和合规,并惩罚违规行为。
澳大利亚竞争与消费者委员会(Australian Competition and Consumer Commission,ACCC):ACCC 主要负责监督和推进市场竞争和消费者权益保护,包括监管电信和互联网服务提供商的网络安全和数据隐私。
澳大利亚国防科学与技术组织(Defence Science and Technology Organization,DSTO):DSTO 负责为澳大利亚国防部提供科学和技术支持,包括研究和开发军事网络安全技术和防御策略。
在强有力的组织架构基础上,澳大利亚政府制定了全面的网络空间安全战略并持续更新,为应对新形势下网络空间安全问题、加强针对关键基础设施的防御能力、提升公民网络安全意识与技能,以及在确保遭受攻击情形下进行有效的应急响应提供了可靠保障;在加强立法和执法能力的同时不断完善司法和行政体系,对网络犯罪和攻击事件进行更有力的干涉和威慑;加大了政企合作和国际协作的力度,与英联邦国家、盟国、其他国家和组织共享威胁情报,实现协同防御。
3产业格局
在澳大利亚网络安全体系中,企业扮演着不可或缺的角色。它们既是网络安全机制保护的对象,又是推动网络安全技术研发的力量。澳大利亚政府致力于建立产学研连接器,并成立ACSC 和产业增长中心(Industry Growth Center,IGC)旗下的网络安全增长网络(Australian Cyber Security Growth Network,ACSGN)等机构,与工业界、中小企业、学术界、智库及国际合作伙伴建立战略伙伴关系,以充分把握网络安全研究和发展的机遇,使国家在全球数字化转型进程中形成更多领域的优势。
3.1 产业发展线路图
与美国等西方国家相比,澳大利亚的网络安全产业规模不大,且相关报道和材料较少。在 2018 年澳大利亚工业、创新与科学部发布的网络安全产业路线图中,提出为了改善澳大利亚整体的网络安全态势,通过制定网络安全解决方案的方式使企业应对新型安全威胁,在未来使澳大利亚成为全球网络安全解决方案领先国。“路线图”包括“可信任的生态系统”“安全的设计”“稳健且具备弹性的网络”3 个主要部分。
“可信任的生态系统”要求建立一个能够快速、安全交换信息的,高度可信的数字生态系统,从而为企业开展各项业务工作提供强有力的环境保障。这方面的工作将包括扩展可信任的合作伙伴、进行更有效的威胁情报共享等方面。
“安全的设计”要求对供给侧进行改造提升,使网络安全在新产品、服务、平台和流程的设计阶段都能实现无缝嵌入,并成为评价指标的重要考量。这方面的工作将包括安全准则内置、运用设计技巧和提升培训能力等方面。
“稳健且具备弹性的网络”呼吁在澳大利亚企业和社会各界营造强有力的网络安全文化,使网络系统变得更加稳健且有弹性。这方面的工作将包括提升大众意识和员工技能,贯彻网络安全框架和取得企业管理层支持等。
为实现网络安全产业发展的愿景,澳大利亚网络安全相关部门需要与企业、研究机构、政府、行业协会和 IGC 密切合作。在短期到中期的时间框架内,使部署的行动都符合路线图中的一个或多个主题。澳大利亚希望在 3 ~ 5 年内形成具有全球竞争力的网络安全产业,推动澳大利亚企业实现数字化驱动增长,以更强的自信参与国际经济并获得更多的信任。
3.2 网络安全市场概况
越来越多的网络攻击使得政府和私人组织高度重视网络安全。据国外评估机构 Mordor Intelligence 研究,2024 年澳大利亚网络安全市场规模估计为 70.9 亿美元,预计到 2028 年将达到 165.2 亿美元,在 2023—2028 年预测期内复合年增长率为 18.44%。从市场角度来看,澳大利亚网络安全的需求侧分为政府机构、私营企业和个人组织 3 类主体。
政府机构是网络安全市场的重要消费群体。由于政府信息和服务可能成为恶意攻击者和国家支持的威胁行为者的高价值目标,因而针对性的网络事件会威胁到政府掌握的信息、公众对机构的信任,以及政府提供的数字服务。澳大利亚政府承认许多实体的网络成熟度长期处于较低水平,公共服务部门严重缺乏网络技能,许多政府系统尚未达到澳大利亚安全局的“缓解网络安全事故的八项基本战略”的要求,这方面的能力差距亟须网络安全专业公司进行补齐。
私营企业是网络安全市场的主要服务对象。了解如何管理网络风险是数字时代企业的必备技能。与大型企业相比,中小型企业可能需要更长的时间才能从网络事件中恢复过来,并面临更高的成本。小企业占澳大利亚所有企业的 97%,通过为小企业提供必要的工具和知识来防范网络威胁,政府不仅保护了这些企业,还加强了国家的经济稳定和安全。2023 年,澳大利亚网络安全部长克莱尔·奥尼尔和小企业部长朱莉·柯林斯联合宣布了一项 4 160 万美元的巨额投资,旨在加强该国小企业的网络防御。这一举措也是澳大利亚《2023—2030 年网络安全战略》的关键要素。
个人组织是网络安全市场的有机构成部分。网络攻击、犯罪事件可能对个人和组织造成重大影响,公民和小型组织为了实现全面的敏感信息保护,免受网络威胁并在遭受网络攻击后迅速恢复,需要在政府的网络安全框架之中得到必要的支持。澳大利亚人民普遍使用防火墙和安全软件保护自己的电脑和移动设备,避免遭受网络攻击和病毒感染,但大数据、云环境等新型信息基础设施的广泛应用和高级持续性威胁的出现,使得个人需要更强有力的手段对计算环境和个人数据进行保护。
3.3 产业市场发展趋势
澳大利亚的网络安全产业发展以应对当前和未来的威胁为重点。这些威胁包括恶意软件、数据泄露、网络攻击和网络诈骗等。网络安全企业将致力于以服务化、智能化方式,开发和提供网络威胁检测、防御和恢复解决方案,满足日益增长的国内网络安全需求。
一是数据安全将呈现显著增长。不断发展的数字经济给网络安全带来了持续增长机会。澳大利亚政府近年来采取了强有力的行动,以满足这一不断发展的数字生态系统,同时通过隐私法保护数据。例如,ACSC 与美国、澳大利亚的合作伙伴合作,以应对最新的勒索软件风险。澳大利亚内政部于 2021 年发布了《国家数据安全行动计划》讨论稿,宣布该行动计划将保护个人在数字系统和网络上获取、处理和存储的个人信息,防止被非法窃取或破坏。
二是安全服务市场不断增长。一个因素是澳大利亚网络安全服务市场的主要参与者正专注于通过合作和伙伴关系扩大业务并加强网络安全服务。例如,CyberCX 宣布与西澳大利亚水务公司达成一项为期 3 年的协议,提供安全运营中心(Security Operation Center,SOC)和网络内容管理服务(Content Management System,CMS)。另一个因素是银行、金融服务和保险部门的业务开始大量使用数字化产品,并带来安全风险。例如,澳大利亚最大医保公司 Medibank 承认,在一次网络攻击中,一些客户的姓名、地址、医疗保险号码和电话号码被窃取。因此,澳大利亚政府在该国启动了几个 JCSC,以促进政府、企业和学术界的网络安全发展。这是政府投资4 700 万美元实施的 JCSC 计划的一部分,该计划弥合了多家公共和私营公司之间的差距。
三是新技术、新应用推动产业完善。随着人工智能、机器学习和区块链等先进技术的广泛采用,预计将为未来 5 年网络安全市场增长创造新的机会。例如,Cognizant 公司宣布已同意收购 Servian 公司,并将专注于数据分析、人工智能、数字服务、体验设计和云计算等方面。受新冠疫情影响,采用网络安全服务的需求在技术需求的推动下出现了积极增长现象。公司升级其安全服务以支持将工作负载转移到公共云和私有云的远程工作。在未来几年,随着企业转向云和远程工作模式,进一步推动需求,为网络安全市场创造新的增长机会。
四是缓解系统性风险,优先支持网络安全的中小企业。自 2020 年开始,全球性新冠病毒严重冲击了澳大利亚的经济和社会运行,大量企业人员选择居家远程工作,与企业专有网络、视频会议软件、在线协同软件相关的攻击事件数量呈上升趋势。为了提升在线应用安全,澳大利亚政府采取以下措施:扩建 ACSC,加强网络安全咨询和技术援助能力;制定《网络安全连接和保护计划》并建立可信第三方组织,加固中小企业网络安全;支持研发威胁阻止技术,防止已知的恶意网络威胁影响澳大利亚的消费者和企业;在政府网站发布用于提升网络安全意识的工具包等。
3.4 主要网络安全企业
与美国、以色列等国基于先发优势形成的大规模网络安全产业生态集散地不同,澳大利亚在网络安全方面的标杆企业不多、规模不大。但是,随着澳大利亚政府将网络安全视为本国数字经济的重要组成部分,并持续加大对网络安全的支持和投资力度,在细分领域具有独特优势的网络安全初创企业不断涌现,成为全球网络安全市场中安全服务、应急响应等领域“一枝独秀”的力量。具有代表性的澳大利亚专业安全厂商企业如表 1 所示。
表 1 具有代表性的澳大利亚专业安全厂商
4人才队伍
澳大利亚地广人稀且信息技术高度发达,网络安全人才缺口突出。政府认为,国内网络安全人才供应不足的情况正在日益加剧。为了成为网络创新领域的全球领导者,澳大利亚政府对移民制度进行了针对性的改革与调整;为了巩固网络安全科技研发能力,通过高校、企业在全球各地建立了深厚且值得信赖的合作伙伴关系;与地区邻国、四方和五眼联盟伙伴在网络安全人才交流与应急响应方面进行密切合作。澳大利亚政府认为产业人才是国家网络安全人才队伍的重要构成,通过以下举措持续推动产业对网络安全人才的吸纳和培育:
一是澳大利亚政府贯彻国家战略,联合企业、教育机构及科研部门,面向全国开展网络安全产业人才建设工作。澳大利亚汇聚各方力量和资源,在公、私领域促进网络安全能力提升活动;确保网络信息化领域的资质均包含网络安全技能;在提升澳大利亚网络安全挑战赛规模的同时,将其发展为一项更具广泛覆盖面的竞赛活动,以同时促进技能培养。从管理层层面开始设置知识水平要求,包括网络安全知识和技能等方面,该要求适用于各级人员,以确保他们具备相应的能力。
二是针对性强化专业技能培训供给,为高校毕业生和新入职员工提供就业和晋升机会。澳大利亚在大学建立网络安全学术卓越中心;通过澳大利亚网络安全研究院的支持,与银行、电信企业和高校合作,澳大利亚致力于培养网络安全领域的人才队伍,为学习科技课程(包括网络安全学位)的学生提供奖学金机会。这种合作将有力地推动网络安全专业人员的培养,以适应日益复杂和严峻的网络威胁环境,保护国家重要信息基础设施的安全。
三是为网络安全产业人才提供极具竞争力的平均收入水平。随着澳大利亚网络安全行业的需求增长和规模扩大,网络安全行业的职位和薪资福利也在不断提高。行业的高位年薪折合人民币 50 万元左右,其中网络安全高级工程师、网络安全研究员等高端职位年薪可达100 万元。澳大利亚的网络安全行业相对较新,市场竞争相对较小,这使得相关职位的薪资水平比一些传统行业更高。
四是推广技术普及和宣传活动,提升大众的网络安全参与度和转化度。澳大利亚在网络安全人才发展和意识提升方面具备一定的基础,开展了系列工作。自 2006 年开始,澳大利亚定期开展“安全在线(Stay Smart Online)”安全宣传活动,向公众提供关于网络安全的实用建议,帮助其保护个人隐私和财务数据。澳大利亚竞争与消费者委员会通过 Scamwatch 活动向个人和企业提供关于有交往辨别、举报网络诈骗信息的方法。
当前,澳大利亚的网络安全产业岗位以安全分析师、安全工程师、网络安全架构师、渗透测试师等职位为主。多数公司大力招聘这些职业的人才,人才需求量不容小视。此外,随着澳大利亚企业数字化升级和产业结构调整,网络安全岗位的覆盖范围也在不断扩大,关联产业有望获得更大的资源支撑。
5结 语
根据联合国公布的网络安全指数,澳大利亚在全球排名第七。目前,澳大利亚突出将发展产业作为网络安全能力提升的支柱性力量,旨在到 2030 年,在网络技术和应用科学方面形成更多的开创性工作,在政府合同和投资的支持下,推动网络安全公司数量和规模快速增长,整体形成繁荣且有序的网络安全生态系统,在全球发展强劲的网络安全市场中占据一席之地。
作者:顾 芳、陈剑锋、冯媛媛、伍 淼
选自《信息安全与通信保密》2023年第12期