黨的十八屆三中全會提出“推進國家治理體系和治理能力現代化”，推出的是一場治道革命，開啟的是一次善治機遇，彰顯的是一以貫之的歷史擔當。國家治理是古今中外每一個國家的主政者的基本工作，但實現國家治理體系和治理能力的現代化，則非卓越者不能求也。根據筆者的理解，國家治理“現代化”，意味著國家治理活動更多的合理性、更強的技術性、更快的回應性和更優的有效性。這些目標的實現，端賴各方面條件的成就，其中信息安全無疑是一項至關重要的基礎性工程。

信息安全戰略應上升到國家戰略層面

信息安全，是指為數據處理系統而采取的技術和管理上的安全保護，包括保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不被惡意中斷。網絡時代的到來，拓寬了信息安全的內涵。在大數據時代之前，各國對信息網絡安全的關注點主要放在對終端、系統、關鍵設施和供應鏈等的安全方面。本世紀初，以美國發布《網絡空間行動戰略》為標志，建立了依賴大數據的信息網絡安全戰略，從單純技術層面的突破和擴張入手，加強了對信息安全的宏觀掌控能力，大大拓寬了信息安全領域的傳統邊界。而在斯諾登事件之后，一場全球性的信息安全戰已經悄然開始。對數據的抓取擴展到互聯網及其他通信網絡。信息的獲取方式也更加多樣，包括合作收集、監控光纖通信數據，乃至黑客直接盜取。信息安全被保障的程度，一直是衡量國家競爭能力的關鍵指標。斯諾登事件已經部分釋放出信息安全對國家和世界局勢的微妙影響。要想在現代社會的國家競爭中不被動挨打，乃至取得優勢地位，需要信息安全技術的跨越式發展，更需要將信息安全戰略上升至國家戰略層面。

信息安全戰略以對互聯網的有效規制為前提

國家構建和實施信息安全戰略，以對互聯網的有效規制為前提。而網絡規制至少包括這樣幾層含義：第一，網絡規制目的是保護法益。有權利才有保護。任何法律都以值得保護的法益為存在依據。網絡規制，也應當基于法益考慮。有私益，包括公民的人身權益、財產權益；更有公益，包括社會安定、國家安全等。不同的“益”，決定著保護“益”的方式、強度、策略都有差異。第二，網絡主要規制者是政府和國家。即使是堅決主張互聯網絡應當是“無政府地帶”的人，也認為網絡需要規制，只是強調網絡規制應當自我規制、技術規制，排斥政府和國家的介入。互聯網作為人群關系的聯系平臺，本身并無獨特的價值取向。與任何電子信息和通信技術一樣，互聯網的運用和社會作用都受既定社會政治體制的約束。盡管在管理轉向治理的大背景下，網絡規制同樣要充分發揮社會組織的作用，但網絡的最終規制者是國家。第三，網絡規制的方式多種多樣。西方有學者強調代碼是網絡規制的核心規則。筆者認為，代碼只是網絡的規制技術。其背后起決定性影響的，是政治體制和國家治理能力。在如何對待和利用互聯網的問題上，各國通常會采取“消極防范”和“積極利用”相并用的策略。前者是指包括限制上網、過濾信息、封鎖網站、監視上網以及關閉網絡；后者是指通過鼓勵互聯網使用，尤其是通過公共服務將其引導到符合體制利益的軌道上來。第四，網絡規制要遵循效益最大化和利益平衡原則。互聯網既是一種低交易成本的新產業，又是一種更少時空限制更多互動的新媒體。這種雙重性決定了政府對此必須采用類型化處理策略，比如針對從業者載體予以經濟性規制，而針對媒體內容進行文化控制。與此相適應，政府規制至少應當遵循兩個原則：一是最大效益原則，政府監管的力度既要有效防止違法，又不至于扼殺競爭；二是利益平衡原則，尤其是私權利和公權力之間的平衡，以及不同私權利之間的平衡，如保護言論自由權與隱私權，并尊重市場自由競爭，以政府間接管理模式來輔導業者自律，鼓勵良好網絡內容與服務。

網絡安全治理應以法律規制為核心

國家對信息安全的治理，主要體現在對內和對外兩個方面：對外，應當與各國早日締結共識，承認并尊重各國在網絡空間的地位，和平利用網絡空間，停止網絡空間軍備競賽和對抗；對內，建立信息網絡安全治理機制，爭取在保護國家安全、社會秩序和保障公民自由權和隱私之間達致平衡狀態。信息網絡安全治理機制，應當在對這一機制的正當性論證和可行性研究的前提下，至少包括該機制的中長期戰略規劃、組織架構體系，具體規制的模式、范圍、程序和審查原則等內容：第一，以“中央網絡安全和信息化領導小組”的成立為標志，我國的信息網絡安全組織架構已初具雛形。第二，以法律制度為核心的信息網絡制度建設尚在完善之中。法律制度是制度建設的重中之重，是權力運行的行動依據。信息網絡安全法律制度涵蓋了網絡基礎設施保護、網絡泄密與數據保密、打擊網絡恐怖主義、網絡色情治理、懲治網絡信息濫用與欺詐、網絡知識產權保護等各個板塊。可以將其大體分為兩類：（1）網絡空間規制，包含防止侵入計算機系統，打擊制造、傳播計算機病毒及惡意軟件，保護信息網絡基礎設施等法律規范；（2）網絡信息規制，限制和規范網絡信息發布、傳播、利用等具體活動的法律規范。第三，信息網絡安全的治理手段日益多樣化。對信息網絡安全的治理，除了法律制約，還可以采用行政手段和技術手段。行政手段主要包括網絡監控、網吧管理、網絡舉報、網絡輿論引導、實名制與備案、約束IDC與虛擬主機業者及客戶、要求國內外公司合作、譴責與處罰海外公司等。第四，我國信息網絡安全的審查原則亟須明晰。美國在審查實踐中所形成的明顯而即刻危險原則、事后限制原則、形式審查原則等，具有一定的參考價值。