按照《2006—2020年國家信息化發展戰略》描繪的藍圖,我國信息化進入高速發展的快車道已有十年。信息通信技術發展日新月異,十年足以翻天覆地,今天的信息化發展應用場景已經超出了任何預言家的想象。《國家信息化發展戰略綱要》(以下簡稱《戰略綱要》)貫徹落實習近平總書記網絡強國戰略思想,根據新形勢對《2006—2020年國家信息化發展戰略》做了調整和發展,為今后另一個十年的信息化工作作出了全局安排。其中,《戰略綱要》在總結已有成績基礎之上,面向新時期維護國家安全的重大需求,對網絡安全工作提出了新的更高的要求。
相比十年前網絡安全工作部署,《戰略綱要》有以下一系列重要變化:
指導方針上,進一步深化了安全與發展的辯證關系
2003年,中辦、國辦印發我國網絡安全方面(當時稱“信息安全”)的首部綱領性文件《關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)。文件當時便深刻指出,要正確處理安全與發展之間的關系,以安全保發展,在發展中求安全。因此,2006年的信息化戰略將其作為一條重要的指導方針。
此次《戰略綱要》更深刻詮釋了安全與發展“一體兩翼、雙輪驅動”的辯證關系,將“以安全保發展,在發展中求安全”升級為“以安全保發展,以發展促安全”。“以安全保發展”表明安全是發展的基礎,“在發展中求安全”強調了要在發展中解決安全問題,而不是用停滯發展來確保安全。但“以發展促安全”則進一步要求,要用發展的手段解決安全問題,通過發展為維護網絡安全提供物質基礎。這與習近平總書記總體國家安全觀中“富國才能強兵、強兵才能衛國”的思想一脈相承,內涵十分豐富,將安全與發展辯證關系升華到了新的高度。
戰略目標上,朝向“網絡強國”扎實推進
2006的信息化發展戰略提出的總體目標為“國家信息安全保障水平大幅提高”,這不是一個可衡量的、帶有階段性特征的目標,對實際工作的指導意義不強。這與當時我國網絡安全基礎薄弱、頭緒過多有關。在具體目標上,2006年的信息化發展戰略提出,在2020年前突破和掌握一批關鍵、核心技術,實現信息技術從跟蹤、引進到自主創新的跨越,并籠統要求“國家信息安全保障體系較為完善,信息安全保障能力顯著增強”。
此次《戰略綱要》則明確要求,在2025年“根本改變核心技術受制于人的局面,形成安全可控的信息技術產業體系”。核心技術是網絡安全的“命門”,只要這個問題不解決,我們的網絡安全體系就根基不穩、危在旦夕。倘若十年以后的“十四五”末期,我們還不能扭轉受制于人局面,“網絡強國”和“中華民族偉大復興中國夢”實在無從談起。對這樣一個十分具體而關鍵的目標,我們沒有任何退路,否則要承擔歷史責任。當然,這是對恒心、信心、重心的巨大考驗。
在此基礎上,《戰略綱要》指出,網絡安全要做到“技術先進、產業發達、應用領先、網絡安全堅不可摧”,這又是可衡量和有意義的目標。“堅不可摧”意味著在對抗中立于不敗之地,這是維護國家安全的必然要求。
更全面地揭示和遵循網絡安全的內在規律
2006年的信息化戰略對網絡安全內在規律有一個基本把握:網絡安全是基于風險的,要綜合平衡安全成本和風險,既要防止過保護,也要防止欠保護。這一基本規律直接決定了使用什么方法維護網絡安全,這之后的信息安全等級保護、風險評估等工作部署,均來源于此。
但這只是網絡安全內在規律的一部分。隨著對客觀世界認識的不斷深化,《戰略綱要》指出,要“樹立正確的網絡安全觀”。這包含五個方面:網絡安全是整體的而不是割裂的;網絡安全是動態的而不是靜態的;網絡安全是開放的而不是封閉的;網絡安全是相對的而不是絕對的;網絡安全是共同的而不是孤立的。習近平總書記在4月19日的網絡安全和信息化工作座談會上,對“正確的網絡安全觀”作了深刻闡述。內在規律是不可違背的,任何一項工作都要對此一以貫之,否則就會事倍功半,甚至南轅北轍。
由“防范”改為“應對”,防御和威懾能力并舉
2006年的信息化戰略要求堅持“積極防御、綜合防范”,兩者實際上是一回事,都是重在“防”,只是前者強調行動的事前性,后者強調手段的全面性。但再“積極”、“綜合”的“防御”與“防范”,終究是防守。面對嚴峻的網絡安全斗爭形勢,我們急需形成網絡威懾能力。當然,這不是要發展網絡攻擊,而是要通過威懾能力建設,使對手在采取行動前“三思而后行”,從而以懾止戰,達到更有效保護自身的目的,實現網絡空間真正的穩定與平衡。
為此,《戰略綱要》改為,要堅持“積極防御,主動應對”,并“增強網絡安全防御能力和威懾能力”,這對維護國家網絡空間主權、安全、發展利益具有重大意義。
首次提出維護“網絡主權”的重大任務
網絡主權原則是我國關于全球網絡空間安全的核心主張。習近平總書記在第二屆世界互聯網大會上提出,要尊重網絡主權,不搞網絡霸權,不干涉他國內政,不從事、縱容或支持危害他國國家安全的網絡活動。我國《國家安全法》規定,維護國家網絡空間主權、安全和發展利益。《戰略綱要》將“維護網絡主權”作為一項重大任務,要求“堅定捍衛我國網絡主權”。主權不容侵犯,主權問題不容商量,為了維護網絡主權,我們應當采取包括政治、外交、經濟、司法等在內的一切手段,不排除軍事手段。
“網絡主權”是《戰略綱要》相比2006年信息化戰略的重大變化,這是提升我國在全球網絡空間治理活動中的制度性話語權的必然要求。
保護重點由“2+8”擴展至關鍵信息基礎設施
任何一個國家的信息化或網絡安全戰略,都要確定保護重點,這是戰略文件的“規定動作”。2006年的信息化戰略確立的重點是“基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統”。在實際工作中,具體落實為廣播電視傳輸網、電信網、互聯網,以及銀行、保險、證券、民航、鐵路、稅務、海關、電力等領域的信息系統,俗稱“2+8”(三大基礎網絡由兩個部委主管)。
隨著信息通信技術在國民經濟各行業加速滲透,上述保護范圍顯然已經過窄。此外,鑒于這類系統的重要性,有必要建立專門安全管理制度。為此,近年我國提出了“關鍵信息基礎設施”的概念,取代了“基礎信息網絡和重要信息系統”。《戰略綱要》要求“建立實施關鍵信息基礎設施保護制度”。近日征求意見的《網絡安全法》(草案二審稿)則與此呼應,指出“關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定”。
更深刻地認識開放與自主的關系,建立起在開放環境中維護國家網絡安全的能力
在制定2006年的信息化戰略時,開放與自主尚未成為一對主要矛盾,對這個問題的認識尚停留在淺層次。當前,經濟全球化深入發展,信息流引領技術流、資金流、人才流。如何辯證認識和處理好開放與自主的關系,這是一項新的課題。一方面,確定核心技術的突破路線時,要考慮如何利用全球創新資源,選對“肩膀”;另一方面,我們的網絡安全政策要兼顧入世承諾。習近平總書記深刻指出,不能把自己封閉世界之外,必須樹立全球視野和開放心態。但在開放環境中維護國家網絡安全,需要科學的手段,以確保產品和服務的安全性、可控性,防止產品提供者借助提供產品之便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。這就是網絡安全審查制度,《戰略綱要》將其作為一項重要的戰略任務予以部署。
進一步強化基礎性工作
基礎不牢,地動山搖。網絡安全工作永遠要注重夯實基礎。但在不同時期,基礎性工作包含的內容有所差別。一方面,《戰略綱要》要求繼續抓好帶有長期性特點的基礎性工作,做深做實,如網絡安全技術研發、等級保護、風險評估、人才教育、標準化等工作;另一方面,對于沒有如期完成的專項基礎性工作,還要求盡快見效,如網絡安全認證認可工作。此外,針對網絡安全形勢發展,還有一些新的基礎性工作被提上了議事日程,如態勢感知工作,這些工作將在《戰略綱要》的指導下逐步落實。