編者按:知己知彼、百戰百勝。從網絡大國走向網絡強國,必須兼顧國內國外兩個大局,在借鑒中成長,在競爭中共贏,才能在為人類社會謀福祉的大格局中,體現全球網絡治理的中國擔當。為此,把脈世界網絡強國信息安全戰略動向,梳理世界網絡強國信息安全政策的“抓手”,有利于切實落實好習總書記關于“從國際國內大勢出發制定實施網絡安全和信息化發展戰略和重大政策”的明確指示,點亮網絡空間國際合作的中國智慧,推動充滿中國特色的網絡“安全觀”和“治理觀”落到實處、走向世界。
黨的十八大以來,習總書記圍繞建設網絡強國、治理網絡空間、維護網絡安全和構建國際互聯網治理新體系等重大議題提出了充滿中國特色的網絡“安全觀”和“治理觀”,不僅為我國建設網絡強國提供了根本遵循,也體現了完善全球治理的中國擔當。“隨時以舉事,因資而立功,用萬物之能而獲利其上”。從4月19日的網絡安全和信息化工作座談會到10月9日政治局就網絡強國戰略進行的集體學習,習總書記進一步提出增強網絡安全、發展核心技術、完善網絡治理的基本要求,網絡強國之夢日漸豐盈。為了切實落實好習總書記關于“從國際國內大勢出發制定實施網絡安全和信息化發展戰略和重大政策”的明確指示,對世界主要網絡強國的信息安全戰略與政策抓手進行比較研究,對我們把握形勢,找準短板,突破重點難點,開創網絡強國之路具有重要意義。
一、世界網絡強國信息安全戰略動向
進入新世紀以來,互聯網迅速普及推廣,開辟出一個全新的網絡空間,各國競相將其納入國家戰略考慮。截至目前,全球已有64個國家發布了網絡安全戰略,其中美國出臺了15份戰略文件,日本發布了5份戰略文件,俄羅斯、加拿大、荷蘭、以色列等國也制定了相應戰略與安全政策,紛紛向網絡大國、強國邁進。綜合來看,各國信息安全戰略動向主要有以下三方面。
(一)提出網絡空間治理的目標和原則。一是解決“網絡空間向何處走”。美國用“繁榮、穩定、開放”三大目標以及“開放和互通、安全和可靠、規則與穩定”三大特征勾畫網絡空間藍圖。英國致力于構建網絡強國和安全網空,促進經濟繁榮、國家安全、社會穩定。二是明確“網絡空間將如何管”。美國提出“基本自由、個人隱私、信息自由流動”三大原則引領和“外交、國防、發展”三大手段支撐,將政府、企業、智庫、非政府組織、個人及跨國網絡納入統一戰略管理框架,達成綜合管理網絡空間的目標。日本則把“確保信息的自由流動”、“風險管理的加強”、“基于責任分擔的合作行動”作為其塑造網絡安全國家的基本原則。三是規劃“網絡治理會如何做”。美國推出自由經濟、加強網絡保護、建立網絡威懾、創新網絡管理等“七大舉措”。俄羅斯推出發展預警系統、提升重要信息基礎設施可靠性、改進網絡空間國家信息資源的安全保障措施等“六項措施”,多措并舉落實戰略目標。
(二)突出網絡安全戰略的優先方向與著力點。一是突出為網絡空間“建章立制”。美國家網絡戰略突出“互聯網自由”,宣揚“公開、透明和人權”等所謂的普世價值,意在維護其網絡空間的既得利益,霸占全球網絡空間制網權和制高點。不同于美國主張的“全球一網”,俄羅斯在網安政策上強調國家主權,謀求技術上的自主、管理上的可控,將“信息安全”作為國際社會討論網安政策的起點,倚靠國際合作建立“國際信息安全”新秩序,體現出俄羅斯搶抓網絡規則制定權,爭奪網絡治理話語權的決心。二是強調發揮網絡的驅動作用。區別于美俄等國謀求網絡空間的主導地位,英國網安戰略更加聚焦本國網絡安全,將網絡作為新的經濟增長點,致力于創造網絡安全的商業環境,以加強本國網絡安全產業的國際競爭力。以色列人信奉結果至上,注重以實踐為導向,其網安戰略非常注重網絡產業的發展。三是聚焦網絡空間的安全防范。為應對日益嚴峻的網絡安全威脅,日本突出網絡安全的“應急響應”,加強關鍵基礎設施保護。加拿大聚焦網絡安全保衛能力建設,突出政府信息系統的保護,強調與盟國合作應對跨國網絡威脅,采取多種措施打擊網絡犯罪等。
(三)明確網絡空間治理的方式與機構。世界網絡強國均設立了高級別的專職協調機構,采取高層直接通報制負責網絡治理的“內聯外合”。美國在總統行政辦公廳設立網絡安全辦公室,全權負責國家網絡安全事務,辦公室負責人由總統直接任命,為總統國家安全委員會成員。英國在內閣辦公廳組建網絡安全和信息保障辦公室,為內閣部長和國家安全委員會提供有關網絡安全方面的決策支持,協調政府的網絡安全計劃。日本在內閣官房成立國家信息安全中心,中心主任是三個助理內閣書記長之一,直接向內閣大臣報告工作。以色列成立直屬于總理府的網絡安全管理局,強化態勢感知、信息共享和民生安全等領域的安全治理工作。
二、世界網絡強國信息安全政策的“七大抓手”
綜合比較當前網絡強國的信息安全政策舉措,可以看出,雖然各國國情不同、戰略目標互異,但在網絡安全政策上基本上均聚焦在以下“七大抓手”:
(一)加強關鍵基礎設施的信息安全保護
圍繞國家關鍵基礎設施概念的界定、部門設置以及政策舉措,網絡強國無不作出相應部署。
一是明確國家關鍵基礎設施的概念和范疇。美國在2001年《愛國者法案》中即明確了國家關鍵基礎設施的定義,包括一旦中斷運行或受到破壞,將對國家安全和經濟安全構成嚴重影響的金融、電信、交通、能源、應急救援和政府核心事務等行業或業務信息系統的關鍵部位。日本2005年頒布的《關鍵基礎設施信息安全措施行動方案》也對關鍵基礎設施的概念進行了定義,即由提供高度不可代替且對人民社會生活和經濟活動不可獲取的服務的商業實體組成,如果其功能被暫停或削弱,人們的社會生活和經濟活動會遭受重大破壞。在英國,國家關鍵基礎設施被稱為關鍵國家基礎設施,它是由不間斷向國家提供基本服務來說不可或缺的關鍵元素組成的。荷蘭的規定則是對于社會不可或缺的,其損壞將造成全國性緊急狀態,或者會在更長時間內對社會產生不良影響的基礎設施。
二是建立完善的關鍵基礎設施管理體系。美國建立了以國土安全部為主導、多機構參與的國家關鍵基礎設施管理體系,以實現國家關鍵基礎設施信息安全保護所需的監測預警、信息共享和應急處置。日本建立了以內閣秘書處為領導、政府部門和私營部門共同參與的關鍵信息基礎設施保護組織機構體系。英國的管理體系由國務大臣主導,國家基礎設施保護中心協調,各部門具體實施。
三是強調關鍵基礎設施保護中的公私合作。由于大部分關鍵基礎設施歸私營企業經營和所有,因此各國政府都非常重視與私營機構的合作及信息共享。美國的各項關鍵基礎設施相關法規都對公私合作做出了具體規定,包括設立共享機構、程序與措施等。以色列秉持關鍵基礎設施的保護需由使用者和監管者共同承擔的原則,實施義務上的分攤協作。日本也通過建立計算機安全應急響應小組,推動關鍵基礎設施提供商與網絡空間相關運營商和私人組織間確立共享關系。
(二)重視網絡安全核心技術的研發
為應對網絡空間的“非對稱性優勢”,各國紛紛將網絡安全核心技術研發作為發展優先項。
一是立法推進網絡安全技術研發。作為網絡技術研發的全球領先者,日本在2001年通過《信息技術基本法》,提出推進信息技術的研究開發。美國也于2002年頒布了《網絡安全研發法》,賦予國家科學基金會和國家標準與技術研究院開展網絡安全研究的職責。
二是頒布網絡安全技術研發戰略。2011年12月,美國國家科學技術委員會發布《可信網絡空間:聯邦網空安全研發戰略規劃》,強化網絡空間安全基礎研究,著力構建網絡安全知識體系,指導網絡空間安全技術的研發與實踐。2016年2月,美國更新和擴大了該戰略,關注威懾、保護、偵查和適應四方面防御能力的科技開發,并提出了美國網絡安全研發的近期、中期和長期目標。日本2011年頒布《2011-2015年度日本信息安全研究開發的中長遠發展戰略》,提出了未來10年信息安全技術研發的主要思想和重點發展領域。
三是實施網絡安全研發發展計劃。各國政府通過資金支持、政策傾斜以及加強基礎設施保障等手段促進網絡安全研發。美國通過實施“網絡和信息技術研究發展計劃”資助網絡安全、高端計算系統等重大先進信息技術項目。2017財年美國科技預算中還為民用機構網絡安全研發提供31800萬美元的資金。2013年,以色列推出“前進計劃”,旨在資助優選公司研發網絡安全技術解決方案,帶動國家網絡安全產業發展。“前進計劃”的資助金額達到1.36億謝克,建立了11個相關孵化器,并將于近期推出升級版,資助突破性和顛覆性技術研發。
(三)提升基于風險管控的信息安全保障能力
為了將網絡空間風險降到可接受的最小程度,各國普遍采取“事前風險評估、事中應急反應、事后災難恢復”的措施管控網絡空間日益增長的安全風險。
風險評估與測評認證是信息安全風險管理的重要手段。信息安全產品和信息系統固有的敏感性和特殊性,促使各國政府紛紛頒布標準實施實行相應的風險評估與測評認證。美國在風險管理以及政策支持方面走在世界前列,早在20世紀70年代,就開始信息安全測評認證標準的研究工作。1985年,美國公布《可信計算機系統評估標準》,并進而與英國、加拿大、德國、法國、荷蘭等國一道共同推出信息安全評估與國際通用準則(CC)。“9?11事件”后,美國加快了信息系統風險評估的進程,其2002年推出的《聯邦信息安全管理法案》規定必須對聯邦信息系統進行安全評估并備案。英國標準協會1995年2月制定的BS7799風險管理標準在升級為ISO/IEC27001后,已成為目前全球使用最為普遍的信息安全管理體系標準。日本在風險管理方面綜合美國和英國的做法,建立“安全管理系統評估制度”,指導政府和民間的風險管理實踐。
應急響應貫穿信息系統的安全生命周期。為了應對信息安全威脅與風險,各國以“計算機應急響應中心”為抓手預警和處理網絡安全事件。美國卡耐基?梅隆大學為應對“莫里斯蠕蟲”事件,于1988年建立了全球最早的應急響應組,即計算機緊急響應組協調中心(CERT/CC)。隨后,多個國家及地區相繼成立應急響應組織,如日本的JPCERT/CC,英國的UKCERT,以色列的CERT-IL等。目前CERT的工作普遍體現為提升國家的網絡安全態勢,協調網絡信息共享,前攝性地管理網絡風險等,基本形成了民間與政府兩個維度的配置。
災難恢復是保障信息系統安全的“最后防線”。災難恢復是指將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態。在國際上,災難恢復監管機構的建立和政策發布最多的是美國,其災難恢復工作始于20世紀70年代,目前已發布多項指南,包括《信息技術系統的應急計劃指南》、《信息技術系統風險管理的指南》、《制定信息技術系統安全計劃的指南》等。英國金融服務管理局制定了災難備份的行業政策,如《商業銀行業務連續性監管指引》、《高級管理層的安排、制度與控制》。國際上的BS-7799、25999,ISO/IEC27001、20000等體系也對容災備災作出了相關規定。可以看出,災難恢復監管的體系涉及國家范疇、聯邦范疇、行業范疇等方方面面,標準較為繁雜。
(四)打擊網絡犯罪與網絡恐怖主義
作為網絡治理最早面對的議題,各國在打擊網絡犯罪與網絡恐怖主義上建立了較為完善的治理體系。
一是完善相關立法工作。“9?11事件”后,打擊網絡恐怖主義成為美國網絡治理的重中之重,2001年的《愛國者法案》明確界定了“網絡恐怖主義”的法律概念,并相繼制定了《加強網絡安全法》、《反計算機犯罪法》以及《反恐怖主義法》,加大對網絡犯罪及網絡恐怖主義的打擊力度。英國也針對網絡犯罪行為構建了強有力的法律框架,包括《計算機濫用法》、《通信監控權法》、《警察與審判法》以及最新的《通訊數據法》。加拿大在打擊網絡犯罪上成績顯著,突出表現在刑法上體現了網絡犯罪的相關規定,相繼頒布《統一電子證據法》、《個人信息保護與電子文件法》,就打擊網絡犯罪提出規范性要求。
二是加強執法能力建設。幾乎所有的網絡強國均在安全、情報部門設立專門的網絡執法機構。美、俄、英、日、以、荷等國家先后投入巨資開發專門的網絡執法技術平臺,并對信息安全監管以及執法的實施作了明確的政策要求。針對網絡犯罪證據難發現、難獲取、難保全、難認定的特點,加拿大還非常注重電子證據調查取證的規范化和標準化建設,確保通過程序化、標準化的調查取證來更清晰地界定網絡犯罪。
三是重視國際司法合作。網絡的跨國性決定了網絡安全是全球性的難題。聯合國大會2001年通過了“打擊濫用信息技術犯罪的決議”,呼吁各國在打擊非法濫用信息技術方面加強執法合作;歐洲委員會同年通過的《網絡犯罪公約》要求締約國之間建立打擊網絡犯罪共同的刑事政策以及一致的法律體系和國際協助。目前,《網絡犯罪公約》已成為影響范圍最大、最重要的打擊網絡犯罪的國際公約。在國家層面上,英國政府2013年設立全球網絡安全中心,建立應對跨國網絡犯罪行為的國際合作機制;加拿大在皇家警騎技術犯罪調查部設立了網絡犯罪國家聯系中心。
(五)平衡網絡安全與公民自由
在信奉個人權力至上的西方國家,網絡治理與公民權利保護間的平衡是一項非常重要的議題,主要涉及個人言論自由、隱私保護、數據跨境自由流通與國家安全之間的關系。
一是網絡言論自由與國家安全的平衡。無論是英、美等普通法系國家還是德、法等歐洲大陸法系國家,都認為言論的多元化是民主社會的根本要求。美國將言論自由規定置于憲法修正案的第一條,一直探索言論自由的法律界限,并先后形成了“危險傾向原則”、“煽動原則”、“明顯且即刻的危險原則”等系列適用原則,并將這些原則運用于網絡空間,在網絡言論規制上多依靠司法判例,謹慎立法。
二是個人信息保護與國家安全的平衡。個人信息保護已成國際公識,目前全球已有近90個國家制定了個人信息保護的相關規制,特別是對于素來注重個人隱私保護的歐盟國家,則采用了強有力的立法模式。歐盟議會1995年通過的《個人數據保護指令》,涉及所有關于個人資料處理方面的規定,為歐盟成員國立法保護個人數據設立最低標準。歐盟對指令進行系列的修訂與補充,并于2016年4月通過《一般數據保護條例》,在企業內控和合規管理方面制定了詳細的規范,將個人數據保護管理提到了前所未有的高度。
三是信息自由流動與國家安全的平衡。在大數據時代,數據資源成為國家核心戰略資產,網絡空間的數據主權正在成為大國博弈的新領域。歐盟利用其完善的個人信息保護體系,塑造嚴格的跨境數據保護規則,為歐盟成員國的信息安全和數據保護筑起了圍墻,同時也給在信息技術和網絡服務商占據絕對優勢的美國從全球經貿體系中獲益制造了新的障礙。歐美2016年7月通過的《隱私盾協議》暫時調和了雙方在跨境數據傳輸規制上的糾紛,但歐盟“數據本地化”的趨勢與美國“數據自由流動”主張的根本矛盾仍然存在。
(六)加強網絡空間的多維合作
由于網絡威脅的復雜性,小到一個單位、大到一個國家均不能“獨善其身”。因此,各國網絡政策無一例外均強調加強合作的重要,并在政府部門間的合作、公私合作和國際合作等多個維度作出積極努力。
政府部門之間的合作意在加強信息共享。互聯網的扁平化加速打破政府部門之間的藩籬,情報共享成為應對網絡威脅的必要手段。2015年2月,美國成立網絡威脅與情報整合中心(CTIIC),協調整合國土安全部、聯邦調查局等多部門的情報力量,提高美國防范和應對網絡攻擊的能力。英國網絡安全行動中心與網絡安全辦公室承擔類似職能, 確保政府部門、各行業、國際合作伙伴以及普通民眾間的信息共享。
公共與私營部門合作體現責任共擔。由于私營部門掌握著互聯網絕大部分資源,因此加強公私部門合作是整個網絡治理的關鍵。美國政府2012年通過的《信息共享與信息安全國家戰略》,明確提出情報部門、國防部、外交部、國土安全部、執法部門和私營部門團體之間要加強合作,共享信息資源。英國2013年成立的“網絡安全信息共享合作機制”,由政府出資與產業界聯合建立,匯聚眾多商業機構,分享網絡威脅的信息,搭建起一套信息共享合作方式。2015年12月,美國總統奧巴馬簽署《網絡安全信息共享法案(CISA)》,允許技術制造企業和美國政府共享互聯網流量信息,以加強網絡防護。各國的計算機應急響應小組也是公私合作的典型,在協調政府機構與私營部門合作應對網絡攻擊上成績顯著。
國際合作成為建構國際治理新規則的重要平臺。加強國際合作是提升國際網絡治理效力的內在需求。美國一直利用其掌握互聯網根服務器和域名管理等優勢,謀求將多利益攸關方治理機制轉為“網絡法典”。英國政府近年召開“網絡空間會議”(又稱“倫敦會議”)旨在聯合主要西方國家推動網絡空間國際規則的出臺。俄羅斯則充分利用聯合國、上合組織等國際舞臺,積極推進各國共同參與的多邊治理。
(七)促進網絡安全教育和培訓
人員及其行為是安全的基礎,各國普遍將提高國民網絡安全知識、專業技能和應知應會作為提升國家網絡安全保障能力的基礎保證。
一是部署實施國家級的教育計劃。美國在2008年的《國家網絡安全綜合計劃》和之后的《網絡空間政策評估》中均提出了網絡安全專業人才需求,并于2010年3月啟動了“國家網絡安全教育計劃”項目,次年發布《國家網絡安全教育計劃戰略規劃》,實施創新的網絡行為教育、培訓和加強相關意識。2016年7月,美國發布《聯邦網絡安全人員戰略》,要求為美聯邦政府確定、招募、培養、留用“最優秀、最聰明以及最多樣化的網絡安全人才”。英國2010年在《國家網絡安全計劃》下開展“新的網絡安全教育與技能計劃”,其目標是在全英形成網絡安全的防御意識與技能,推動普通市民和企業獲得簡單、通用的安全措施。英國政府通訊總部目前正在試行一項名為“網絡優先”的計劃,搜尋頂尖網絡安全人才,培養“下一代網絡安全專家”。日本于2011年發布“信息安全普及與啟蒙計劃”,對不同群體開展有針對性的信息安全教育。日本還以2020年東京奧運會為契機,設立“網絡安全與信息化審議官”一職以統管人才培養工作,計劃在在未來4年內培養近千名專家。
二是將學歷教育和職業教育并重。一方面是深化網絡安全學歷教育。美國最早在大學開設網絡安全學歷專業教育計劃,其主要推手即美國安局1998年創立的“卓越學術中心”(CAE),極大地推動網絡安全學歷教育層次化發展,目前已成為網絡安全高等教育領域的黃金標準。2011年,美國土安全部和人力資源辦公室牽頭提出《網絡安全人才隊伍框架》,細分網絡信息安全人員的專業類別,詳細定義了每個專業的主要工作任務以及應具備的專業知識、技術和能力,對開展網絡安全專業學歷教育起到了重要的指導作用。英國政府也非常重視網絡安全學歷教育,目前已經認證了網絡安全領域的6個碩士學位,創建了2個新的博士培訓中心,3個研究機構和13個卓越學術中心。俄羅斯將網絡信息安全領域的7個專業作為國家教育和科技工作的優先發展方向。另一方面是加強網絡安全職業培訓。美國率先開展網絡安全專業人才考試注冊制度,目前已擁有完善的網絡安全職業培訓認證資質,包括國際注冊信息系統安全師(CISSP)、國際注冊信息系統審計師(CISA)等。英國政府則以其《信息安全保障專業人員認證》作為其網絡安全人才認證與管理的主要依據,實施“注冊專業人員”認證項目。
三是設立網絡安全主題活動,提升全民網絡安全意識。美國將每年10月定為網絡安全意識月,以提高全民網絡安全意識。從2010年開始,美國每年還要舉辦一次國家網絡安全意識挑戰賽,以強化公眾、特別是青少年網絡安全意識,普及和提高應對網絡威脅的能力。此外,歐盟的“網絡安全意識日”、英國的“國家防身份欺詐周活動”、日本“信息安全意識月”、以色列的“網絡周”等活動,都是以此為契機宣傳網絡安全知識,提升全民網絡安全意識。
三、結語
與傳統公共政策相比,網絡安全政策更加復雜、綜合和多元。比較觀察域外政策實踐和成熟經驗,對我們有效整合既有治理資源,進一步優化完善我國的網絡安全政策具有重要意義。在落實“依法治網”的基本原則上,我國網絡空間治理應加快完善關鍵信息基礎設施安全保障體系,加強關鍵網絡安全技術研發,提升國家信息安全風險管理能力,強化打擊網絡犯罪的執法組織體系與能力建設,加大網絡安全人才培養,創新網絡空間治理的合作格局。在創建網絡空間的命運共同體中貢獻中國大智慧。
京公網安備 11010502049343號