日本2012年度ICT预算分析(四)
http://msn.finance.sina.com.cn 2012-05-08 09:53 来源: 中国经济网
该制度的优势或许体现在经济产业界,尤其是金融行业,未来根据通用号码进行账户名称识别将更为便捷。美国社会保障号码已经是一项植根于社会的制度,民间企业也可以加以应用,例如用于客户关系管理等。因此,日本经济产业界对这一制度的实施相当积极。
实际上,该制度最初是40年前佐藤荣作内阁时由自民党提出的,由于争议不断而一直没能实现,所以自民党基本上不会反对这项政策。因此,至少民主党政府会不遗余力地推进国民通用号码制度。2012年以后,如果发生政府更迭,其实现方式或许会有所变更,但是那时已经嵌入到系统开发就难以撤销了。
(三)应对网络攻击迫在眉睫
虽然预算规模还不到百亿日元,但网络安全已经成为日本政府的重点关注领域。因日本大地震而疏于防范的情况下,日本曾遭受大量网络攻击。这让日本政府意识到网络攻击组织(或国家)的存在,所以日本政府正在抓紧研究信息安全对策。
2011年9月下旬,三菱重工等日本军工相关企业遭受网络攻击;此后,大多省厅也声明遭受到了网络攻击;同年11月初,日本总务省计算机发生个人信息泄露,富士通运营的地方政府电子申报云计算系统因网络攻击一度无法使用。网络攻击的威胁已经显现。
虽然日本政府声称疲于应对日本大地震时,遭受到有组织的网络攻击。但实际上,在大地震以前也曾多次遭受攻击。
图3列举了网络攻击升级成战争的阶段等级。目前,日本的问题只不过是第
一阶段的信息战与初期攻击。未来,可能会出现更多针对企业与基础设施等非军事设施的控制类攻击。
图3:网络攻击(网络战争)等级
即便不联网,也不能高枕无忧。计算机的USB存储器病毒、从终端操作记录探知ID与密码的入侵等作案手法相当巧妙,无论采取何种对策,终究还是道高一尺、魔高一丈的恶性循环。实际上,伊朗的核设施并未接入互联网,但由西门子提供的远心分离器的控制软件就被入侵,致使其核设施一度中断运行。类似的攻击对象此前大多分布在美国与中东,但是频繁遭遇第一阶段攻击的日本在某个时候,升级到下一个阶段也不是不可能。
不过,日本政府几乎没有太多防备。虽然内阁官房信息安全中心(NISC)负责这项工作,但是NISC只有提出实施准则的权限,具体预算、执行都交由各省厅负责。实际上,每年NISC都会公布准则的实施状况,但是那些应该100%执行的省厅,却还不断地发生着信息泄露事件。也就是,执行准则的机构自身对于信息泄露都不能很好应对。
国家安全保障一旦成为问题,单纯通过杀毒软件、防火墙进行处理等方法将无济于事。实际上,美国已将网络空间定位为“继陆、海、空、宇宙之后的第五战场”,推进着各种对策。
美国国防部导入了将全系统视为对象的综合安保体系。表7列举了美国国防部的风险/迅速反应模式与国土安全部的措施。据说,美国国防部已经可以实现动态的防御。
对应等级
各组织的分别应对(目前日本的应对等级)
各组织的整体性应对(美国国防部)
跨组织的应对(美国国土安全部)
风险/迅速反应模式
事后应对
基于软件工具
综合化
动态防御
高耐性
对策的整体结构
?发生后采取应对
?最低限的工具
?主要人工工作
?零散性配置工具
?与外部规约的吻合
?全面配置软件工具,进行系统性防御
?实施综合体系
?高级预测功能
?实时的风险分析
?感知攻击,迅速应对
?高级预测功能
?即便遭受各种攻击,也可正常运营
?作为国家机关,整体上应对
?重要基础设施整体上的应对(CIP)
表7:网络攻击对策的模式
动态防御是防卫用语,是指事先感知攻击,发生攻击时立即响应。动态防御中,进行攻击的预测与实时分析主要用到IT技术。美国国防部将其称为HBSS(主机型安全系统,Host Based Security System)。由于被定位为第五战场,所以针对网络攻击,可以用导弹进行反击。
日本政府目前推进的只是个别的基于软件工具的应对,需要在组织内实施以所有信息系统为对象的综合安保体系。
日本不允许类似美国那样的导弹反击,只能通过警察逮捕犯人,但是这种方式在网络空间很难实现。2012年度概预算编报的主要网络安全对策预算大概有30亿日元(表8)。日本一些专家认为,相对于国外以千人为单位的网络攻击部队,所以这一预算显得太少了。要是不增加到千亿日元规模的话,还不及美国的零头。
所管
项目
2012年度概算
总务省
研发通过国际合作对网络攻击的预报与随时响应技术
6
内阁官房
政府机构、信息安全的跨部门监控与应急响应团队(GSOC)
2.8
防卫省
处理网络攻击等
2.2
警察厅
推进网络空间的安全保障
18.83