在幕后,每一个城市(新加坡也不例外)都需要一系列的基本服务和基础设施来保证现代化大都市的平稳运行。能源、银行、医疗和交通等基本服务都由信息通信技术支持。对这些关键信息基础设施的网络攻击会干扰这些基本服务。其造成的最好的情况是给社会带来扰乱;而最坏的情况会对我们的经济和社会造成严重的破坏。
网络攻击对新加坡的影响极有可能会波及海外。新加坡是一个开放的经济体,与世界其他地区互联互通。它是一个主要的国际贸易、金融和物流中心。对新加坡的网络攻击可能会影响更广泛的地区和全球经济。
新加坡必须确保其关键信息基础设施,不仅能抵御物理威胁,还能抵御网络威胁。有弹性的网络基础设施会让新加坡人的生活更为安心,也将增强人们对新加坡作为一个有弹性、可信赖的全球贸易和商业中心的信心。
政府将在四个主要领域与关键利益攸关方(关键信息基础设施运营商和网络安全社区)进行合作。我们将:
(1)增强基本服务保护。我们将实施关键信息基础设施保护计划,该计划强调健全、系统的网络风险管理程序,以及各级关键信息基础设施组织建立网络风险意识的重要性。我们将增加安全设计(Security-by-Design)实践的应用,以解决供应链上游和沿线网络安全问题。
(2)提高果断应对网络威胁的能力。我们将跟进网络态势,定期开展跨领域、多场景、多领域网络安全演习。我们将建立更多的国家网络事件响应小组(NCIRT)、加强关键部门的灾难恢复计划(DRP)和业务连续性政策(BCP)。
(3)强化网络安全治理和立法框架。我们将出台一项新的网络安全法案,要求关键信息基础设施所有者和运营商承担起保护其系统和网络安全的责任。该法还将促进与网络安全局及网络安全局间的网络安全信息共享,并授权网络安全局及行业监管机构,与相关方密切合作,及时解决网络安全事件。
(4)帮助政府系统更加安全。政府将努力增强其系统和网络的安全性。相关举措包括将政府信息和通信技术支出的8%用于网络安全、减少政府系统攻击面、增强政府部门对网络态势的意识、加强网络事件管理。
新加坡关键信息基础设施部门:
基本服务的可靠供应取决于新加坡关键信息基础设施部门的计算机和网络基础设施的安全性。现在我们已经确定了11个关键信息基础设施部门,它们横跨公用事业、运输和服务行业。
对新加坡关键信息基础设施的网络攻击可能会在区域和全球范围内产生溢出效应。作为一个国际金融、航运和航空枢纽,新加坡还拥有重要的跨国系统,如全球支付系统、港口运营系统和空中交通管制系统。对这些跨国关键信息基础设施的成功攻击,可能会对新加坡境外的贸易和银行系统造成巨大的影响。
新加坡政府正与关键信息基础设施的运营商合作,以确保他们在面对网络攻击时保持弹性。
服务:新加坡是一个主要的金融中心,每秒处理大量的交易。我们当地的银行间支付系统每年处理数百万笔交易,总额达数万亿美元。我们的许多公共服务,包括政府交易、医疗保健、紧急服务,越来越依赖复杂的计算机系统,每年为数百万用户提供服务。政府技术局(GovTech)、内政部(MHA)、卫生部控股公司(新加坡公共医疗实体的控股公司)、信息通信媒体发展管理局(IMDA)和新加坡金融管理局(MAS)致力于加强提供政府和紧急服务、医疗保健、媒体及银行和金融服务的系统的网络安全。
公用事业:电力、水力和通信是现代城市的生命线。电力和电信服务的故障可能会导致其他服务陷入瘫痪。能源市场管理局(EMA)、公共事业局(PUB)和信息通信媒体发展管理局将与提供这些服务的私营运营商密切合作,以提高他们的网络安全意识,确保服务的可靠性。
运输:新加坡是一个国际物流枢纽。新加坡港和樟宜机场是全球最繁忙的运输枢纽之一。该港是一个主要的转运枢纽,每年靠港超过13万艘船只和3000万个集装箱。该机场每年有超过34万次航班,5500万旅客和180万吨货物。公共交通系统每天有750万人次的客运量。新加坡陆路交通管理局(LTA)、海事及港务管理局(MPA)和民航局(CAAS)已建立治理框架,且正在加强网络安全能力建设,以确保运输和物流系统的安全。
资料来源:
统计局——“新加坡数据2016”
www.changiairport.com航空运输统计
www.mpa.gov.s港口统计
www.mas.gov.sg新加坡金管局电子支付系统(MEPS+)统计
运营商越来越依赖计算机网络和互联网来维持基本服务、为其企业和消费者服务。对关键信息基础设施运营商来说,效率和生产率提升显著,但基本服务面临网络破坏的脆弱性也在增加。
为确保基本服务的持续供应,关键信息基础设施运营商需要同时具备物理和网络的弹性。网络弹性是关键信息基础设施抵御网络攻击的能力,使其能够在最艰难的条件下继续运行,并在中断后迅速恢复。我们必须提高基本服务的网络弹性,只有在政府、关键信息基础设施运营商和网络安全社区等利益攸关方的共同信任和参与下,才能实现这一目标。
新加坡将在所有关键部门实施关键信息基础设施保护计划,并建立健全的、系统的网络风险管理流程。关键信息基础设施保护计划的一个重点部分,是培养关键信息基础设施组织的各层人员的网络风险意识。从首席执行官到员工,所有人必须将网络安全视为一个商业关切,而非仅是信息技术部门需要关心的问题。
通过管理供应链上游和推动安全设计(Security-by-Design)实践,提前防范网络漏洞。借此,网络安全将不再是马后炮,而是在技术系统的整个生命周期中被有意识地实施。
政府将为其下属机构与关键信息基础设施运营商出台一个全面的关键信息基础设施保护计划。它将以2012年实施的网络安全成熟度评估项目为基础,该项目帮助各机构和运营商定位需要提升的领域。
第一,关键信息基础设施保护计划将透过明确的政策和准则,为关键信息基础设施运营商之间的信息交流奠定基础;第二,透过更清晰地衡量治理成熟度和网络的安全卫生状况,实现有针对性和系统性的改进;第三,要求运营商在组织各层培养网络风险知识,积极应对网络风险,确保实践与政策一致。随着对网络风险的深入理解,为了实施有效的关键信息基础设施保护计划,使之能适应每个部门的独特情况,各部门掌握所有权并提供管理重点。
我们的目标是让所有关键部门能够建立健全的、系统的网络风险管理流程和能力,以应对不断演变的网络威胁。
系统的网络风险管理框架包括:通过风险评估、脆弱性评估和系统审查,彻底识别网络风险和关键信息基础设施,并确定其优先级;由适当资历的管理层决定,在安全性、成本和功能性方面进行信息充分且有意识的协调;健全的系统和程序以减轻和管理这些风险,如灾难恢复计划和业务连续性政策;通过对整个组织的意识培养和培训,有效地实施网络风险管理;通过过程审计和网络安全演习来持续衡量效果。
政府始终通过准备成熟度指数(RMI)框架来评估关键信息基础设施部门风险缓解能力、早期发现威胁能力和应对措施的稳健性。准备成熟度指数是一种“健康检查”,它指导关键信息基础设施部门管理网络风险,推动其制定行动计划以改进治理和程序。
安全设计是系统开发生命周期过程中的一种方法,以确保安全地构建、部署、维护、升级和处置我们的应用程序和系统。
政府将通过以下几种方式推动安全设计应用:(1)逐步将安全设计纳入关键信息基础设施保护的治理框架;(2)推动渗透测试的实践,在设计阶段及早发现漏洞进行补救;(3)根据已确立的国际标准(如通用标准认证),建立一个强大的产品和系统测试实践团体;(4)持续改进方法并开发新的安全验证工具,以提高安全设计的效力。
5.新加坡理工学院开设用于渗透性测试认证的CREST(注册道德安全测试人员理事会)检测机构
安全设计的实现必须辅之以能够严格和熟练执行安全验证过程的高技能专业人员。在新加坡引入CREST渗透性测试认证是提高国家专业能力标准的一种手段。
安全的设计是确保系统在开发前期和整个生命周期中都重视安全性的最佳实践。通过将风险评估纳入系统开发生命周期中,在安全性、成本和功能性之间进行权衡。权衡决策应该由信息充分的、处在适当决策层的管理人员作出。这样可以确保系统在使用条件下得到优化。
安全设计将减少操作碎片化,及昂贵而时常无效的改造。当网络安全在系统设计阶段,就能得到深切的考量和整合,即可形成一个有机的、强劲的系统设计,使之能够更好地抵御网络威胁。
新加坡金管局(MAS)自2015年8月成立了金融科技和创新团队,以推动智能金融中心的举措。该团队负责制定管制性政策及发展战略,以促进科技及创新的应用,提高金融机构的效率及风险管理能力。金管局管理金融科技相关风险的举措包括:(1)设立金融科技创新实验室,允许利益攸关方试验金融科技解决方案,包括安全方案;(2)设立“监管沙盒”,以便为试验金融科技解决方案开辟一个安全而有益的空间,并可控制试验失败的后果;(3)通过金融部门技术与创新计划为提升新加坡网络安全生态系统的项目提供财政支持。
“在我们迈向智能金融中心的征程中,首要任务是不断加强该行业的网络安全。”
——新加坡金管局局长孟文能,2015年6月于全球技术法会议
对可能会成功发生的网络攻击的预设是有效的网络防御的前提。当此类攻击发生时,网络防御者必须有能力作出强有力的反应,并实施可靠的恢复计划。只有在一个全面的防范框架下,才能实现这一点。
新加坡制定了一项国家网络安全响应计划,以便在地方一级作出及时反应和基础举措,并辅之以部门和国家级的有效协调和战略支持。该计划预设了三级响应机制:第一级针对威胁国家安全的网络活动,第二级针对对部门的网络攻击,第三级针对对特定运营商的网络攻击。该计划要求网络安全局与关键信息基础设施运营商和网络安全界密切合作,确保有效应对。
国家对网络攻击的响应将由机构间网络安全危机管理小组(CMG,Cyber)牵头。它由通讯及新闻部常务秘书领导,在网络安全局的支持下,由政府机构的高级决策者组成,负责监督不同的关键部门。网络安全危机管理小组具有双重职能:(1)制定网络安全政策和标准,监督关键部门网络安全保护措施的实施;(2)在遇到网络危机时,调动必要的资源,指导应对举措,发挥协调作用。
新加坡将:(1)通过整合威胁发现、分析和事件响应,增强国家网络态势认识。(2)定期开展场景更为复杂、涉及领域更多的多部门网络安全演习。通过演习,我们旨在识别因跨部门依赖、跨部门压力测试协调与沟通而产生的漏洞。(3)建立更多的国家网络事件响应小组(NCIRT),可以动员其在某个部门或关键信息基础设施运营商面临不断升级的网络事件时,提供支持。(4)加强基本服务,特别是针对网络攻击的灾难恢复计划(DRP)和业务连续性政策(BCP)。
过去的几年,政府进行了部门级的演习,以演练个别关键部门的准备情况和网络攻击发生后的反应计划。最终,网络安全局于2016年3月开展的多部门“网络之星”演习。演习召集了来自信息通信、政府、能源、银行和金融等领域的行业和政府代表,对全国性的袭击作出应对。这次演习是建设网络安全准备能力和考验跨部门合作有效性的里程碑。
国家网络安全中心(NCSC)监测和分析网络威胁情况,以保持网络态势认知并预测未来可能会发生的威胁。在发生涉及多部门的大规模网络事件时,国家网络安全中心同部门监管机构协调,提供国家级响应,促进跨部门威胁的快速警报。
政府正在进行技术和系统的投资,以加强并整合国家网络安全中心的三大关键功能——威胁发现、威胁分析和事件响应。这将加快跨部门网络事件的威胁发现和实践应对。
网络安全演习是提高各部门准备能力、建立事件响应计划和能力、改善关键信息基础设施运营商与政府机构间沟通与协调的重要途径。政府将在部门和国家层面进行网络安全演习。
部门级的演习将采用更复杂的场景、更精细的攻击方法。这将提高部门网络响应小组的能力,提高关键信息基础设施运营商的首席决策者的事件管理质量。
国家级的演习将涵盖更多的部门,将重点放在基本服务的相互依赖性上。这将有助于发现和减轻各部门之间的相互依赖,并对国家级的协调和沟通能力进行压力测试。
国家网络事件响应小组目前由网络安全局、政府技术局(GovTech)、内政部(MHA)和国防部(MINDEF)的事件响应小组组成。它们是属于国家网络响应计划第一级和第二级响应。
政府将进一步增强国家网络事件响应小组应对更复杂、更具挑战性的攻击情境的能力。政府还将通过升级某些部门的网络事件响应小组,扩充国家网络事件响应小组,并考虑从业界和学界增加额外的国家网络事件响应小组。
基本服务中的弹性尤其适用于关键信息基础设施,因为网络入侵实际上并非总是可预防的。一个有弹性的系统需要有预防活动,这些活动必须与应急事件响应计划和全面恢复战略相结合,以减轻网络事件的影响。因此,网络攻击后的一个重要方面是,能够尽快使受影响的关键信息基础设施恢复正常运行,或促进其在长时间的攻击下,保持次优条件继续运行。政府将与各部门合作,确保在其关键信息基础设施保护计划中建立健全的灾难恢复计划(DRP)和业务连续性政策(BCP)。
“我们将制定独立的网络安全法案,以赋予更强大、更自主的权力。”
——网络安全局雅国博士,2015年
政府将出台新版《网络安全法案》。这项新立法将赋予网络安全局必要的权力,以有效应对日益复杂的国家网络安全威胁。新版《网络安全法案》将为网络事件的预防和管理建立一个全面的框架,并对现有的《计算机滥用和网络安全法》(CMCA)作出补充,《计算机滥用和网络安全法》将继续管辖对网络犯罪的调查。新版《网络安全法案》将:(1)要求关键信息基础设施所有者和运营商负责其系统和网络的安全,包括遵守政策和标准、进行审计和风险评估、报告网络安全事件。要求关键信息基础设施所有者和运营商参与网络安全演习,以确保他们已做好管理网络事件的准备。(2)促进与网络安全局及网络安全局间的网络安全信息共享。我们需要认识到即使尽了最大努力,网络安全漏洞仍可能会发生。此法案将赋予网络安全局和行业监管机构权力,帮助其与受影响方密切合作,迅速解决网络安全事件,从中断中恢复。
网络安全局始终并将继续与行业监管机构、关键信息基础设施利益攸关方和行业参与者紧密合作,为新法案制定详细的提案。一项关键原则是针对网络安全采取基于风险的方法,并保证足够的灵活性,以考虑到每个部门独特的情况和条例。
2013年,新加坡政府修订了当时的《计算机滥用法》,以加强新加坡应对国家级网络威胁的能力。这就是后来的《计算机滥用和网络安全法》(CMCA)。当存在实际或可疑的网络威胁时,《计算机滥用和网络安全法》授权内政部部长指挥受影响方共享重要信息,并采取必要举措减轻威胁的影响。此外,一些部门监管机构还拥有其他立法权力,可以对许可证持有人提出网络安全要求。然而,这些权力因部门而异,这取决于每个部门的工作环境和技术采用水平。
如今,网络安全威胁日益复杂。包括新加坡在内的全球基本服务面临着更大的中断的风险。最近,网络犯罪者已经对一系列基本服务展开了攻击,包括电网和关键银行系统。实施更强有力的法律是必要的,其便于对国家网络安全采取更积极的应对措施。过去几年,许多国家也纷纷加强了网络安全立法,以基本服务提供商标准、信息共享和网络危机管理等内容为重点。
政府系统是网络攻击的主要目标之一。政府系统包含敏感数据,包括和国家公民相关的数据;政府系统可能与关键信息基础设施运营商提供的基本服务相连;政府系统被用来支持各种公共服务,包括维护国家安全和维持国家经济。
因此,政府将不遗余力地保护其系统和网络。在本任期内,政府承诺将信息和通信技术支出的8%用于网络安全。
政府部门已被国家网络响应计划确定为11个关键信息基础设施部门之一。
作为关键信息基础设施部门的领导者,政府的计划包含了国家计划的许多元素。它们涉及:(1)减少政府系统的攻击面,根据漏洞和需求设置多层安全控制和网络分割;(2)利用自动化和其他技术,扩大我们探测、关联和分析威胁的能力;(3)通过更复杂、实际的攻击情境,提高事件响应人员的能力,并对系统进行压力测试。
政府已采取长期措施,包括对信息与通信技术的运行环境进行持续且主动的审查,以确保安全控制跟得上迅速演变的网络威胁。例如,鉴于针对政府网络的攻击频率不断增加,行政部门会根据漏洞、暴露程度和需要,将普通的网络冲浪与持有机密数据的网络分开。
与此同时,政府将继续采用新技术来提供安全、有弹性的数字服务。
政府仍在研究降低风险的措施,以最大限度地减少公民数据丢失的潜在损失或数字服务长期中断的可能性。
监察与运作控制中心(MOCC)、网络监控中心(CWC)和威胁分析中心(TAC)为政府提供网络态势认知。
我们将继续投资分析自动化、人工智能和其他最先进的安全技术。这将维持各中心的运营管理水平,以便及时发现和应对网络事件。
政府已在建立一支高技术的安全事故应急队伍上作出了相当大的努力。然而,我们认识到,没有一个系统是百分之百安全的,即使我们尽了最大努力,网络攻击仍可能发生。
新加坡将继续定期举行网络安全演习,对其程序和应对能力进行压力测试,以评估我们的实际水平,还将通过红队测试验证我们系统的安全性。
政府将与各部门合作,确保关键信息基础设施保护计划的落实,以方便补救、恢复基本服务。
网络监控中心是由新加坡资讯通信发展管理局(IDA)于2007年成立的,旨在监控政府网络面临的网络威胁,并对即将发生的网络攻击提供预警。为了提高对可能影响在线公共服务访问的恶意活动的检测能力,网络监控中心在2015年进行了升级,增强了检测和关联能力。
这个例子体现了主动的、深度防御的安全措施,其可减轻日益复杂的网络攻击的危险,并增强信息通信基础设施的安全性。