碎片化世界中网络能力建设的未来研究报告

网络能力建设在碎片化世界中的未来 通过纳伊亚·巴姆帕利欧并且帕特里克·帕夫拉克 在快速演变和复杂的威胁格局背景下。与开发解决战略、制度、监管和安全挑战所需的专家技能相关的要求和成本，给低收入和中等收入国家带来了不成比例的负担。因此，在网络安全成熟的国家和刚开始网络安全之旅的国家之间，存在着显著的网络安全公平性差异。1 尽管网络相关问题相互关联，但迄今为止的许多辩论并未全面涵盖CCB生态系统，因为它已经在不同社区（如国际安全、刑事司法和信息与通信技术[ICTs]）的界限内有机增长。关于CCB的孤立讨论，由于没有系统地结合不同社区各自的专业知识和资源，因此导致了潜在的差距和低效率。结果是，网络能力建设努力的运营碎片化正在不断进展。 本报告由欧洲联盟安全研究学院（EUISS）委托，在欧盟（EU）的财政支持下完成，作为对2024年5月13日“在碎片化的网络能力生态系统中的负责任国家行为未来”边会的一个贡献。该边会是在2021-2025年开放式工作组关于信息和通信技术安全和使用的间会期间举行的。边会由欧盟、欧洲联盟安全研究学院（EUISS）、全球网络专家论坛（GFCE）和联合国裁军研究所（UNIDIR）共同主办。本报告的内容完全由作者负责，在任何情况下均不得视为反映欧洲联盟或任何边会共同主办方的立场。 随着全球范围内对数字基础设施、系统和服务的投资持续增加，对网络弹性能力发展的全面理解需求变得更加关键。越来越多的开发者现正在将网络弹性纳入更广泛的发展融资和规划中，而不仅仅是2010年代的初始先锋。集体倡议，如……阿克拉呼吁加强网络安全韧性发展旨在“激发行动和自 愿承诺，提升国际和国家发展议程中的网络韧性”并促进适应发展中国家需求和优先事项的网络能力建设，同时支持更广泛的发展目标。同样，在当前“ ”的授权范围内进行讨论。开放式工作组关于信息和通信技术使用中的安全及在2021-2025年期间的安全问题”2（OEWG）在联合国第一委员会下已经开始更广泛地考虑CCB，而不仅限于国际安全和负责任国家行为框架（FRSB）的背景下，认识到其与可持续发展的联系。然而，此类政策论坛中的辩论以及迄今为止的CCB实践都指出了一种持续的 引言 网络能力建设（Cyber capacity-building, 简称CCB）在过去十年中在国际网络政策讨论中越来越受到重视。它被视为国际合作的关键机制，支持各国发展其网络韧性，并在网络相关问题上促进伙伴关系。然而，尽管全球范围内对网络能力建设的必要性存在广泛共识，但这种共识并未完全转化为统一的方法，以扩大规模、协调并提高这些努力的效率和效果。 尽管中国建设银行（CCB）的合作已经增长，有更多的资助者、执行者和伙伴国家在双边、地区或通过多边组织进行合作，但网络安全能力差距也在扩大，与以下情况形成对比： 并为合作伙伴国家及地区的融资计划，以便“一个也不落下.”国家政府中，中国建设银行(CCB)的融资渠道很少仅源于一个机构或权力机构，但通常有一个主导者，拥有大部分可用的资金或协调的机构权限，这包括外交部、财政部、信息与通信技术部、国家发展署、网络安全机构，乃至国家执法或犯罪机构。对于合作伙伴国家和区域来说，了解捐赠政府的哪部分资金支持了CCB的行动是有用的，因为这些信息通常能反映出资方的目标、主题和地理优先事项以及实施方法。 概念理解和合作方法上的分歧，这些对于塑造全球CCB努力至关重要。 本文旨在提供一个关于复杂国际CCB生态系统的结构化概述，深化对其内部意识形态和运营碎片化如何影响现有努力有效性的思考，并探讨这些挑战可能如何影响CCB社区未来的发展。3 《大象分割术：理解CCB生态系统》 为了理解国际网络安全能力建设生态系统的演变，我们必须考虑塑造该系统的行为者和他们所扮演的不同角色。4从宏观视角来看，功能分类是确定参与通过融资、接收或实施与CCB相关援助形成的合作伙伴关系的主要CCB参与者的起点。5 框1：捐赠国政府当局为CCB融资的例子 澳大利亚、巴西、加拿大、法国、德国、荷兰、新西兰、挪威、瑞士、英国和美国的各国外交部均处于领先地位，通过其外交援助资金为国际气候变化适应融资提供资金，或者当它们同时负责这两项任务时，与开发合作基金相结合。8这些部门还负责协调所有参与该领域的政府机构中的CCB（中央银行）工作。 资助者 资助者主要包括捐赠政府及其机构，以及发展银行、慈善组织和为合作伙伴国家及地区提供资金支持的私营部门实体。6在全球环境中被多重发展和合作优先事项、众多连锁危机以及预算压力所特征化的情况下，资助机构面临着既有的压力和责任，以支持能够带来符合国家优先事项结果的能力发展。反思OEWG网络能力建设原则，7资助者处于独特的位置，能够根据其合作伙伴国的优先 事项、所有权和主权，优先考虑需求驱动的行动。 另一个模型包括国家级网络安全机构以及计算机紧急响应团队（CERTs）或计算机安全事件响应团队（CSIRTs）作为主要融资和/或实施CCB政府的行动者。示例案例包括：新加坡网络安全管理局（CSA），空格韩国互 联网和信息安全局（KISA），和印度的计算机紧急响应小组（CERT-In）在电子信息部（MeitY）内部。 捐赠政府 捐赠国政府在通过技术援助、能力建设等方式支持国际网络安全合作中扮演着关键角色。 利用私营部门、民间社会组织、金融机构和其他利益相关方的专业知识、资源和优势。全球D4D中心有一个关于网络安全的主题工作组，迄今为止，已经在以下地区设立了分支机构：非洲，亚太地区，拉丁美洲和加勒比海地区，空格西巴尔干地区，并且欧盟支持了东邻国的建立。此外，在2022年，欧盟资助了相关机构的成立。拉丁美洲和加勒比海网络能力中心（LAC4），在多米尼加共和国设有体能训练设施，以提供网络安全和网络犯罪专业知识，支持拉美及加勒比国家（LAC）的数字化转型。 也有这样的情况，发展机构和机构在捐助国的国际CCB（气候融资）倡议中发挥着关键作用，通过利用发展援助流动。例如包括：欧盟国际合作总司 (INTPA)欧盟委员会，的日本国际协力机构（JICA），并且，美国国际 开发署（USAID）. 一种不同的方法涉及经济部或财政部与国际金融机构（IFIs）合作，通过向信托基金提供拨款或捐赠来进行气候融资（CCB）行动。自2016年以来，以色列的财政部已将其与IFIs的合作伙伴关系中的网络安全识别为战略重点，并在协调中以色列国家网络管理局（INCD）它已经为网络特定领域提供了专门的补助金泛美开发银行(IADB), the欧洲复兴开发银行（欧洲复兴开发银行），以及世界银行同样地，韩国经济和财务部 The美国美国国务院一直在利用不同的财务资金来资助中国建设银行在全球的行动。早在2004年，它就设立了其网络犯罪项目该机构隶属于国际毒品和执法局（INL），并在与司法部密切合作下实施。2014年，国务院启动了网络安全能力建设计划，最初由网络问题协调官办公室（S/CCI）管理，该办公室在2022年重组后过渡到网络与数字政策局（CDP）。这两个项目都是集中管理的，并且与部门内区域局为特定国家或地区预留的额外资金分开。此外，美国政府启动了数字连接与网络安全伙伴关系（DCCP）在2018年，由国务院和USAID共同牵头的一个涵盖所有政府部门和机构的整体计划，参与的其他十个部门和机构，旨在支持开放通信基础设施的发展、透明的监管政策以及合作伙伴的网络安全能力。此外，还新的网络空间、数字连接及相关技术（CDT）基金由国会于2023年12月创建，隶属于国务院，旨在资助旨在促进长期能力和韧性建设的战略对外援助项目，并支持快速有效的快速事件响应和网络安全援助。 已与世界银行合作，在以下项目下：韩国-世界银行集团伙伴关系设施（KWPF）信托基金在设立中全球网络安全能力计划, 创建了防范网络犯罪工具包及评估工具, 并确立亚太网络犯罪中心（APC-HUB）. 作为捐赠国政府在国际网络参与中的一部分，CCB（网络安全能力建设）的重要性日益凸显，这一点也通过专门CCB项目、中心和/或基金的创新得到了体现： >The欧洲联盟9自2013年起，其（此处应填入具体机构或公司名称）定义了专门的针对网络领域的融资项目。稳定性工具，截至目前，已在当前外部融资工具的主题和地理范围内设立了专门的网络安全项目。10 2019年，欧盟创建了数字发展（D4D）中心作为一个战略性的、多利益相关方平台，以协调对欧盟伙伴国家以人为中心的数字化转型支持的协调工作。 >荷兰外交部（MFA）领导了这两个机构的成立：自由在线联盟（FOC）在2011年和全球网络专家论坛（GFCE）在2015年，承诺为各自的秘书处提供多年期融资。它也是启动该项目的捐赠者之一。世界银行的网络安全多捐助者信托基金其网络能力建设计划包括跨多个领域的融资行动例如，对...的支持CSIRT成熟度，关键信息基础设施保护、互联网自由以及在线人权，与CCB在其连续的国际网络战略中设定的优先事项保持一致。2017并且2023. 对安全问题的支持，包括网络威胁。2023年，澳大利亚还宣布了创建太平洋“针对太平洋地区事件和灾难的快速网络援助”（RAPID）团队为应对太平洋地区发生的网络危机，当区域内的政府请求援助时作出反应。 > 新加坡启动了东盟网络安全能力计划（ACCP）2016年，为提升东盟成员国网络安全能力。2019年，随着新机构的成立，ACCP得到了拓展。 东盟-新加坡网络安全卓越中心（ASCCE）, 多学科研究和培训设施。 >利用以下日本 - 东盟一体化基金 >The英国自2012年起，在“国家网络安全计划”（NCSP-I）的国际框架下开始资助其国际CCB（网络安全能力建设）项目。从那时起，它多元化了融资来源，利用跨政府的ODA（官方发展援助）资格。繁荣基金对于数字接入计划（DAP），并动员了英国冲突、稳定和安全基金（CSSF）建立：to establish the网络与科技计划在2018年。 (JAIF 2.0),日本建立东盟-日本网络安全能力建设中心 （AJCCBC）成立于2018年。在泰国国家网络安全局（NCSA）和日本国际合作机构（JICA）的管理下，该中心在曼谷成立，为该地区的政府部门工作人员和关键信息基础设施运营商提供培训和服务的目的在于提高其网络安全专业知识。在其下面数字发展全球议程日本国际协力机构（JICA）还开发了一个专用技术合作计划为支持伙伴国家加强其网络安全应对能力，符合其“集群策略用于网络安全并且政府在2021年设定的优先事项基本政策：为发展中国家提供网络安全能力建设支持’. >The韩国互联网与安全局（KISA），隶属于科学、信息和通信技术部，于2015年成立。全球发展网络安全中心（GCCD） 作为在发展中国家融资和实施CCB行动的主要手段。此外，KISA还为国际金融机构提供赠款支持，例如世界银行和国际开发银行。在2023年，使用韩国-东盟合作基金KISA 也推出了东盟网络盾牌区域内培养网络安全专家的倡议。 > 新西兰该国外交贸易部（MFAT）设立了太平洋地区网络安全能力建设计划2019年，在CERT NZ、内政部和内阁办公室的支持下，其实施得到支持。 > 澳大利亚的外交部与贸易部（DFAT）设立了网络与关键技术合作计划（CCTCP）2016年，澳大利亚将此作为主要融资手段，用于支持中国建设银行（CCB）针对加强印太地区网络安全和关键技术研发能力的努力。澳大利亚还与太平洋岛国论坛及其成员国合作，建立了太平洋融合中心 > 法国建立网络区域职业学校在2021年达喀尔，与塞内加尔合作，主要针对中西部非洲的政府官员以及请求支持的非洲其他次区域提供网络安全培训。同样，在2023年，法国和斯洛文尼亚启动了西方巴尔干地区网络安全能力中心（WB3C）与……合作 在瓦努阿图2021年。中心为太平洋国家提供战略分析、 信息分享和能力建设。 黑山将加强该地区的制度和运营能力。 保证、贷款补贴和混合融资，以改善伙伴国家数字发展项目的私营部门