论文荐读 2019年第2期 | 网络主权安全的国际战略模式研究

Original 冉从敬王冰洁信息资源管理学报 2022-04-25

题图来自图虫创意网

网络主权安全的国际战略模式研究

冉从敬1,2 王冰洁1

（1.武汉大学信息管理学院,武汉,430072;

2.武汉大学信息资源研究中心,武汉,430072)

摘要

本文在调研近10年世界上部分主要国家及国际组织的网络安全战略的基础上,从国家主权视角分析网络空间的国际整体法制现状,归纳不同典型代表的国家网络主权安全战略模式。在整体国际框架下,国际电信联盟ITU、信息社会世界峰会 WSIS、联合国信息安全政府专家组及网络犯罪问题专家组,以及各区域间所缔约的组织联盟如欧盟 EU、北约 NATO、经合组织OECD等,均体现了不同主权国家间对于网络空间的合作治理。在各国家主权视角下,按照网络空间的发展权、主导权及控制权等由强到弱,本文从战略规划、组织机制等方面归纳总结了以美国为代表的美国式网络军事化战略、以英法德为代表的欧洲式防御威慑型战略,以及以日韩为代表的日韩式合作阵营型战略。

关键词

网络主权网络安全战略网络军事化网络空间防御网络空间治理

引言

网络主权是一国对内独立自主监管本国网络空间事务、对外保护本国免受外部攻击及参与网络空间国际治理的权力。网络安全则是指一国拥有保障国家不受网络活动等威胁的安全稳定的网络环境。二者之间相辅相成,网络主权是网络安全的基础,是国家制定网络法规、国际法规范的基础,也是政府间国际组织主导网络安全国际治理的基础;网络安全则是网络主权的保障,是维护网络主权完整的前提,也是有效行使网络主权的现实基础和巩固网络主权国际法地位的保障。

随着网络空间和信息通信技术的发展,21世纪的网络恐怖主义、网络战争等新兴的安全威胁日益加剧,网络空间的脆弱性日益凸显,保护网络空间安全正在成为各国政府的重要事项之一,各国在已有法律的基础上,纷纷发布相关战略规划以保障国家的网络主权安全。表1所示统计汇总了近10年部分国家及组织的网络安全战略。

表1 近10年部分国家及国际组织网络安全战略汇总表

面向网络主权安全的国际网络空间治

理现状

随着网络恐怖主义兴起、网络攻击越加频繁、国家网络战冲突日益显著,无国界的网络空间使得国家网络信息安全威胁成为全球性难题,各类国际性组织也将网络安全作为开展多边合作的重要议题。就联合国层面而言,典型组织包括主管信息通信技术事务的国际电信联盟(International Telecommunica- tions Union,ITU)[1] 、以全球网络安全作为主要议题的会议“信息社会世界峰会 (World Summit of Information Society, WSIS)[2] 、联合国信息安全政府专家组(The United Nations Group of Governmental Experts on Information Security, GGE)[3] 以及联合国网络犯罪问题政府专家组(GGE on Cybercrime)[4] ;就区域性组织而言,典型代表有集政治实体和经济实体于一身的世界第一大经济体欧盟 (European Union,UN)[5] 、国际军事集团北大西洋公约组织(North AtlanticTreaty Organization, NATO)[6] 、应对全球化经济社会及政府治理挑战的政府间国际经济组织经济合作与发展组织 (Organization for Economic Cooperation and Development,OECD)[7] ,这些组织均加强了成员国之间有关网络安全的战略合作,并通过设立相关机构、发起相关会议、推进相关规则制订等方式,共同致力于网络空间的全球治理。

2.1 联合国框架下的网络空间治理

联合国是一个致力于解决和平与安全、恐怖主义和人道主义等问题的国际组织,其下设的安全理事会、经济及社会理事会等机构是主持各国政府间协商并达成协议的有效平台。国际电信联盟ITU及其举办的信息社会世界峰会 WSIS、联合国信息安全政府专家组 GGE以及联合国网络犯罪问题政府专家组,是网络空间治理的核心机构和重要会议平台。

2.1.1 国际电信联盟(ITU)

ITU作为联合国层面开展网络空间信息安全治理的主要平台,先后制定了《国际电信规则ITR》《全球网络安全议程 GCA》《ITU国家网络安全战略指南》等规则指南,用以网络空间治理和指导各国政府应对网络安全问题。2007年ITU 启动了“全球网络安全议程”,通过“政-企- 民”多方合作的形式打击各种网络犯罪活动;2008 年ITU 与国际网络反恐多边合作组织推动网络安全领域治理,提出了建立在法律、技术与程序、组织结构、能力建设和国际合作5个领域之上的《全球战略报告》;2013 年起ITU 进一步在全球范围内推行“全球网络安全议程”,为成员国提供《全球网络安全指数》、《互联网安全威胁报告》等重要数据、标准及指南[1] ,用以保护成员国的信息安全。

2.1.2 信息社会世界峰会(WSIS)

WSIS是一个旨在创建多利益攸关方平台、解决信息和通信技术等问题的两阶段联合国峰会。2003年的第一阶段会议通过了《日内瓦原则宣言》和《日内瓦行动计划》,成立了分别负责消除数字鸿沟基金会事宜和负责互联网安全管理事宜的两个工作组;2005年的第二阶段会议通过了《突尼斯承诺》和《突尼斯信息社会议程》,提出未来关于建设信息社会的基本原则和行动方针,成为后续 WSIS行动的重要文件[2] 。 2011年的 WSIS论坛上ITU与联合国毒品和犯罪办事处 UNODC 签署了一项谅解备忘录,致力于为ITU和联合国成员国降低网络犯罪带来的风险;2015年后 WSIS继续推广WSIS+10审查成果和 2030 年可持续发展议程,协调ICT促进和加速实现可持续发展目标;2018年 WSIS论坛提出“伙伴关系机遇”论题,致力于全球网络空间治理中的可持续发展和多方合作关系的构建。

2.1.3 联合国信息安全政府专家组(GGE)

GGE旨在通过分析网络空间中潜在的安全隐患,协商国家间关于网络安全规则的分歧并研究应对及合作措施[3] 。从2004年至今已组织过多次专家组会议,并形成了具有重大意义的3份报告。 2010年报告聚焦网络安全威胁,剖析了引发重大安全事故的原因为与通信技术相关的国际准则缺乏共识,表明政府专家组各成员国均有为网络领域建立规范的意图;2013年报告中,中美俄等国主导提出 “国家主权及其衍生的国际规范和国际原则等,适用于国家信息通信技术ICT活动,且各主权国家有权对其ICT基础设施进行管辖”;2015 年报告再次强调“主权平等原则”、“和平处理争端原则”以及“不干涉其他国家内政原则”等,并一致确认主权国家在网络空间具有主权和管辖权。 2017年会议研究信息安全领域的威胁及措施,包括 “规范、规则和国家负责任行为原则”等[8] ,但美国与其他国家就“国际法如何适用于各国使用信息通信技术”产生严重分歧,暂未形成共识结果报告。

2.1.4 联合国网络犯罪问题政府专家组(GGE on Cybercrime)

GGEonCybercrime是旨在交流有关国家立法、提出新的国家和国际法律或其他对于网络犯罪的应对方式的一个联合国预防犯罪与刑事司法委员会的下属平台[9] 。 2011 年专家组第一届会议审查通过了一系列专题和研究方法,包括连通性和网络犯罪、立法和框架、刑事定罪、执法和调查、电子证据和刑事司法、国际合作等主题,并授权专家组秘书处联合毒品和犯罪问题办编撰《网络犯罪问题综合研究报告》[4] 。 2017年专家组会议以研究报告草案为基础讨论网络犯罪的实质问题,通过了2018—2021年工作计划,并在促进打击网络犯罪国际合作、电子证据共享等方面达成共识。

2.2 区域性政府间的网络空间治理

区别于联合国框架的网络空间治理,区域性政府合作主要是由具有相同或相似战略目标的主权国家发起而缔约的合作联盟。其代表性机构及成果主要包括欧盟 EU及其达成的《网络犯罪公约》、北大西洋公约组织 NATO 及其出台的《塔林手册》、经济合作与发展组织OECD及其文件《OECD 信息系统和网络安全准则:发展安全文化》,以及亚太经合组织、上海合作组织、亚太电信组织、8国集团、20国集团等多边合作组织及其出台的重要文件等。

2.2.1 欧盟(EU)

对于网络空间的治理,欧盟的欧洲网络和信息安全管理局、欧洲打击网络犯罪中心等机构承担了主要责任,并从 1992 年起相继出台《信息安全框架协议》(1992)、《欧盟互联网治理契约》(2011)、《战略欧洲倡议》(2012)、《网络空间安全战略》(2013)等系列文件,搭建起欧盟对于网络安全管理的法律框架及基础规范。

欧盟的网络空间治理重点主要体现在以下几方面:一是保障网络基础设施,2009 年发布的重大信息网络基础设施保护战略,涵盖了准备和预防、检测和响应、减灾和灾后恢复的全程保障体系;二是保护公民个人数据,代表性文件如 1981 年《关于隐私和个人资料的跨国境流动的保护指引》、已被取代的1995 年《个人数据保护指令》以及于 2016 年通过的《通用数据保护条例》(GDPR),逐步实现了针对跨境数据流动的规制,建立起了涵盖网络用户个人数据保护的监管机构等;三是打击网络犯罪,2001年发起的《网络犯罪公约》,界定了非法访问、非法拦截、数据干扰、系统干扰、设备滥用、与计算机有关的伪造、与计算机有关的欺诈、与儿童色情制品有关的犯罪以及与版权和邻接权有关的犯罪等罪行[10] ,建立起适用于网络犯罪的法律体系,截至2018年12月《网络犯罪公约》已有62个缔约国[11] 。

2.2.2 北约(NATO)

北约作为美国与西欧、北美主要发达国家为实现防卫协作而建立的国际军事集团组织,旨在促进成员国共同实现集体防务和维持和平与安全。从2002年通过《网络防御计划》开始, 到2005年成立计算机事故反映中心NCIRC、2008年成立网络防管理机构和协作网络空间防御卓越中心 CCDCOE[12] ,2014 年更新《网络防御政策》等系列举措,北约面临的议题也扩展到全球恐怖主义、网络攻击和大规模杀伤性武器扩散等多元领域。

在网络战国际法方面,2013年北约网络防御中心发布了包括《国际网络安全法》和《武装冲突法》两大部分在内的《塔林网络战适用国际法手册》(塔林手册TallinnManual)[13] 。 2017年出版的《塔林手册2.0》,第一次较为系统全面地涉及了主权、管辖权、国际责任法、国际人权法、海洋法、外层空间法、国际电信法等 15个领域的和平时期网络空间国际法规则,同时也修订了2013年版所针对的网络战国际法规则,构建了一个包含和平和战争时期的相对完整的网络空间国际法规则体系。

2.2.3 经合组织(OECD)

在网络安全领域,OECD 致力于通过其下属机构信息、计算机及通讯政策委员会 (CICCP)保障隐私和安全、推动自然人数字身份管理、发布网络攻击危险分析报告等。 1980年提出并于2013 年修订的《隐私保护和个人数据跨境流通指南》明确指出收集限制原则、数据质量原则、目的规范原则、使用限制原则、安全保障原则、开放原则、个人参与原则和问责制原则等关于保护个人数据隐私和跨境流通的国家适用基本原则。

OECD对信息系统和网络安全的隐私保护和政策监管,可概括为以下两方面:一是数字份管理,2011年的《自然人数字身份管理:促进互联网经济创新与信任》旨在为政策制定者提供自然人数字身份管理战略发展的指导,包括政府应明确数字身份管理国家战略、身份管理措施应在各部门中得到协调、国家战略应在建立一个唯一通用的数字互动证书和采用证书生成两种方式间建立平衡、各国政府应共建跨境数字身份管理等[14] ;二是网络攻击研究,2011年的《降低系统性网络安全风险》报告指出恶意软件、分布式拒绝服务、谍报活动、网络犯罪、娱乐黑客等破坏网络安全的行为,提出确保国家层面建立网络安全政策、鼓励广泛批准与使用《网络犯罪公约》、加强特种警察与取证计算资源的开发等相关建议[15] 。

区域性政府间治理除上述 EU、NATO、OECD所建立的系列机构及发布的政策文件之外,代表性的还有国际刑警组织ICPO 及其数字犯罪研究中心、亚太经合组织APEC及《APEC 领导人反恐声明》《APEC 网络安全战略》、美洲国家组织及其《美洲网络安全综合策略》、上海合作组织及其《信息安全国际行为准则》等,在此不一一展开。

国家网络主权安全治理的典型战略分析

网络安全作为非传统安全领域的核心内容和体现国家主权的重要标志,在整体国家安全战略中起着举足轻重的作用。一旦网络安全出现问题,与网络技术高度融合渗透的政治安全、国土安全、军事安全、经济安全和社会安全等方面都将会发生系统性重大风险。当下网络空间正在重塑国家安全边界、非传统安全威胁改变着国家安全形态,各国政府也都形成了各自的国家网络主权战略。本文在调研国际上主要主权国家相关战略及政治动态的基础上,概括分析了以美国为代表的美国式网络军事化战略、以英法德为代表的欧洲式防御威慑型战略、以及以日韩为代表的日韩式合作阵营型战略。

3.1 美国式网络军事化战略

美国政府在网络安全政策上不断完善,特朗普政府出台的各种网络安全政策表现出更显著的主权安全意识。从各项网络安全战略的出台到各种形式的网络扩张计划,美国已经在网络任务部队、网络军事政策和网络行动计划等方面表现出了强有力的网络军事化战略。

美国近10年来已发布了超过10部网络安全相关战略及规划,从国家网络安全综合计划、网络空间行动战略,到数字政府战略等(见表2),由表2可知,美国已形成了以《网络空间国际战略》、《网络空间行动战略》和《网络安全战略》为基础的较为完善的网络空间战略体系。美国政府当局在网络空间治理中,将组建网络任务部队、强化网络军事政策、开展各种网络行动计划等,作为其强化国家网络主权的重要战略部署。

表2 美国网络安全相关战略及规划表

3.1.1 组建网络任务部队

从2014年美国国防部发布《防务评估报告》(Quadrennial Defense Review 2014),宣称到2019年建设133支网络任务部队[16] ,到2017年美国总统特朗普声明将网络司令部(U.S. Cyber Command)从战略司令部中独立成为第10个美军最高级别的司令部并直接向国防部长汇报[17] ,美国的国家主权意识正在逐步加强,其网络部队也从防御为主转变为进攻为主。

(1)美国国防信息系统局(DISA),作为吸纳了空军商业通信管理局、白宫信号局(白宫通信局)及国防部损毁评估中心(联合参谋部支援中心)的国防企业计算中心,承担着配合国防部为军队提供可靠通信网络的职能[18] 。在网络安全方面,通过卫城系统进行网络整体态势感知、通过风险表盘持续监控和评级,并提供任务保障决策系统和联合事故管理系统支持。

(2)美国战略司令部和网络司令部,作为美军战略部队的统一作战指挥司令部,主要负责网络信息作战、情报监视和侦察,以及分析和定位[19] ,对口军种包括陆军空间与导弹防御司令部、空军航天司令部、海军舰队司令部等。独立后的美国网络司令部,负责组织并实施各类网络空间作战行动,并进行有重点的网络防御和网络进攻,是美国备战网络战争、争夺“制网权”所迈出的重要一步。

(3)全球网络作战特遣部队(JTF-GNO),作为美军网络作战的最高指挥机构,与网络战联合职能司令部并列为发挥网络战职能的两个重点系统。主要任务是指导全球信息栅格的运作和防御,并支持美国国防部范围内的作战、情报和事务性任务[20] 。此外还有陆军网络作战部队及其维持的独立全球网络作战与安全中心、海军网络作战部队及其舰队网络作战中心、空军网络作战部队及其网络集成中心等,均服务于国防部网络司令部下的网络空间安全防御。

3.1.2 强化网络军事政策

从国防部文件到陆军战地手册、海军文件、空军文件,再到军法官参考文件,均是美国军方军事思想的体现。就国防部层面而言,国防部参谋长联席会发布的《军事行动的法律支持》规定战略司令部的军法参谋提供的建议应特别关注网络空间等领域的国际法和行动法[21] ,其后的《网络空间行动国家军事战略》、《国防部网络空间政策报告》等,提出了 “主动网络空间防御”、“集体自卫和集体威慑”等概念,将武力行为的思想表露在网络空间甚至延伸至现实世界。就陆海空等军中战地文件及手册而言,陆军的《信息行动:原则、策略、技巧和程序》、《网络行动》[22] 等文件,宣称将用网络手段回应网络威胁,一旦发生将立即采取清除措施;海军的《海军原则出版物:海战》[23] ,提出全球公有领域不属于任何国家的海洋、太空和网络空间部分,对其保持足够的控制是极为迫切的事项;空军的《网络空间行动》[24] ,明确承认国际法、国内法和武装冲突法及交战规则构成评估作战行动的法律框架,应将网络空间相关行为主体告知决策者和政策制定者。以上军方文件,均在探讨网络攻击与使用武力关系的基础上,逐渐宣示其国家主权。

美国政府从克林顿政府时期到小布什政府时期,从奥巴马政府时期再到特朗普政府时期,日益凸显国家网络主权安全的意识扩张。克林顿签发的《打击恐怖主义》、《保护关键基础设施》、《新世纪国家安全战略》多次提及网络威胁概念,奠定了美国网络空间政策的基调;小布什通过签发《信息时代关键基础设施保护》、《保障网络空间安全国家战略》等文件,对美国网络空间政策进行了扩充;奥巴马出台的《2011年网络空间国际战略》等[25] ,则对一些长期模糊的态度进行了明显突破,公开宣布了美国的网络威慑战略;特朗普发布的最新《2018年国家网络策略》[26] 则将网络安全议题纳入政治军事高度,表明美国政府未来应对来自外部的网络攻击及间谍活动时将采取更强硬的手段。

3.1.3 开展网络行动计划

在开展网络计划方面,美国政府对内治理与对外交际双管齐下。一方面注重国内公民的隐私保护,另一方面强调以国家为主体的网络主权甚至于网络霸权。

对内而言,美国政府致力于公民个人数据保护与网络空间数据治理。 2012 年开展跨部门大数据应用试点项目 “海王星”(Neptune)与“地狱犬” (Cerberus)[27] ,对各领域数据制定共同数据属性,形成了一套对数据全生命周期进行监控的分类规则。这两个试点项目涉及到姓名、出生日期和公民身份等核心身份信息,是美国进行数据治理和网络主权保护的典型案例。 2014 年美国国防部高级研究计划局DARPA推出 Memex(记忆延伸)计划[28] ,致力于开发提升在线搜索能力的软件,改进军队、政府和商业组织等查找公开可用信息的能力,助力国防部打击人口贩运的关键任务。

对外而言,美国政府高度警惕网络威胁,并将进攻性战略作为网络安全战略的主要基调。 2017年1月,特朗普上台后便做出了美墨边境筑墙、签署“禁穆令”、宣布退出《跨太平洋伙伴关系协定》TPP等多条行政决定;同年5月美国参议院举行了 “国外针对美国的网络威胁”听证会,发布的《国外针对美国实施网络威胁的联合声明》[29] 公然将俄罗斯、中国、伊朗、朝鲜、恐怖分子和犯罪分子列为对美国构成严重网络威胁的6大攻击行为体。 2018年3月,美国对华启动 “301条款”调查挑起贸易战,加征信息技术领域关税;同月在微软案件背景下,美国总统签署《澄清合法使用境外数据法》(CLOUD Act),授权执法部门要求电子通讯服务商提供处于其控制下的电子数据,而不论该电子数据存储在美国境内与否。以上均是美国网络霸权的充分体现。

3.2 欧洲式防御威慑型战略

不同于美国军事化的网络安全战略,欧洲国家更侧重于防御和治理层面的国家安全战略。以英、法、德为代表的欧洲国家,在世界范围内网络和信息化建设都较为先进,并聚焦于在保障本国网络安全的基础上,提升国家各产业竞争力。通过构建网络防御空间、威慑网恐敌对分子和发展网络保障能力等措施,稳定本国在网络空间的优势地位,从而促进并实现国家的经济繁荣、国家安全和社会稳定。

自20世纪90年代以来,欧洲国家不断完善其网络安全战略体系。英国网络安全主要从监控计算机滥用、监控并保存通信数据、构建战略防御并实施安全评估等方面入手(如表3所示),以确保英国的经济安全及国家安全;欧洲其他国家也基本以“防御”为主导思想,相继出台信息技术安全法、国防与国家安全与军事规划法、国家数字安全战略等(如表4所示)。

表3 英国网络安全主要立法及战略

表4 欧洲其他主要国家网络安全战略

英国政府于 2010 年起相继发布《国家安全战略:不确定时代的强大英国》、《战略防御与安全评估:保护不确定时代的英国安全》和《2016—2021年国家网络安全战略》,同时启动国家网络安全计划,旨在通过构建安全的网络空间,以促进国家的经济繁荣和社会稳定[30] 。德国政府在个人隐私保护方面推出的《联邦数据保护法》,为加强基础设施管理和加强网络犯罪监管而出台的《信息技术安全法》和《网络执行法》[31] ,以及法国政府相继颁发《国防和国家安全白皮书》《信息系统防御和安全战略》《法国国家数字安全战略》[32] 等,均是通过规划“国家网络安全计划”的形式,设立相关机构保护本国免受网络攻击并加强网络威慑能力建设,是实施防御威慑型的国家网络主权战略的典型代表。

3.2.1 构建网络防御空间

根据《英国国家网络安全战略 (2016—2021)》,英国政府成立了网络安全中心(NCSC)[33] 并提出未来5年的网络安全行动计划。根据2011年《德国网络安全战略》,德国政府也设立了国家网络防御中心[34] ,聚集了联邦信息安全办公室(BSI)、联邦宪法保护办公室、联邦情报局、海关犯罪调查局、联邦刑警办公室等多个部门的资源,旨在对系统入侵者进行相关网络防御。英、法、德等国的《国家网络安全战略》防御思想主要体现在构建关键部门信息技术系统、加强合作进行主动网络防御,以及保护政府网络和数据的安全等方面。

(1)构建关键部门信息技术系统。《德国网络安全战略》明确指出其关键部门包括能源信息技术和电信、运输、健康、水、食品、金融和保险、国家和行政以及媒体和文化,并提出了保护重要信息基础设施、保护德国信息技术系统等战略。英国政府也在“构建更安全的互联网”举措中提出政府应率先采用新型网络安全技术,提供安全的在线服务,减少软件的推广使用风险,提升政府系统的网络防护能力等。

(2)加强合作进行主动网络防御。英国政府于2013年启动网络安全信息共享合作伙伴关系(CISP),由国家安全局 (军情五处)、政府通信总部、国家打击犯罪局和行业相关人员组成的“融合小组”负责运行,提供网络威胁早期预警和解决方案等免费服务。主动网络防御计划(ACD)在近两年又被广泛提出,其细化措施包括设置域名服务器过滤功能,阻止政府办公网络访问恶意网站;构建 DMARC 协议下的邮件检查服务,阻止恶意电子邮件收取;构建Web Check服务,帮助公共部门与组织发现网站漏洞并提供解决方案等。

(3)保护政府网络和数据的安全。法国《信息系统防御和安全战略》提出要加强行政管理部门的信息系统维护,英国也提出政府需确保提供的新数字化服务“默认安全”,指出应提高政府和公共部门抵御网络攻击的弹性、定期开展网络事件演习和测试政府网络的安全性,以及强化医疗保健和国防领域敏感通信的安全等。

3.2.2 威慑网恐敌对分子

法国国家信息系统安全局(ANSSI)[35] 的一项重要职能便是对敏感的政府网络进行全天候监视,严密应对网络攻击和网络恐怖主义。英国国防部长在 2017 年 Chatham House会议上的讲话也强调“加强威慑力”,并就应对网络威胁提出了相关措施[36] 。以英、法、德为代表的典型欧洲国家,在其网络安全战略中均对减少网络犯罪、打击国外势力以及制止恐怖主义等方面做出了相关规划。

(1)减少网络犯罪。《德国网络安全战略》明确提出要对网络空间犯罪进行有效控制,要在欧盟《网络犯罪公约》的基础上,实现网络犯罪相关刑法的全球协调与统一。英国政府也提出应提高追查、起诉和威慑英国境内外网络犯罪分子的执法能力,采取早期干预措施以防止个人遭诱惑涉入网络犯罪,以及与行业合作从上游瓦解网络犯罪活动等措施。

(2)打击外国敌对势力。欧盟《内部安全战略》及《数字化议程》为其成员国进一步采取行动应对ICT 技术威胁提供了指导方针,英、法、德等多国政府已明确表态支持欧洲网络与信息安全局相关法令的延伸和适度扩大。其理念包括促使各国达成自愿协定并制定互信机制,加强国际法在网络空间的适用;加强集体防御、安全合作和提升北约成员国的威慑力等多种形式的国际合作;研究制订威慑和应对网络威胁的各种可行方案等。

(3)制止恐怖主义。德国政府将网络间谍定义为“由国外情报机构发起或管理的、针对IT系统保密性的网络攻击”。英国也提出投资“国家进攻性网络计划”,指出将进一步开发应对网络攻击所需的工具、技能和谍报技术,同时发展武装力量、强化制止恐怖主义和部署进攻性网络的能力。此外,欧洲各国相继提出了强化侦察对本国及盟国进行破坏性网络行动的敌对分子,与国际伙伴密切合作以有效应对网络恐怖主义威胁等应对方法。

3.2.3 发展网络保障能力

强大的网络保障能力,一方面依赖网络安全技术,为关键信息基础设施建设、国家网络安全体系构建提供基础支撑;另一方面依赖相关的网络人才,为推进国家网络安全建设、保障国家网络空间安全提供智力支持。此外,从长远角度而言,国家政府还应帮扶中小企业及初创企业发展,以促进网络安全行业的整体发展。

(1)发展网络安全科学与技术。英国制定了“网络科技战略 ”,明确鼓励科研的合作创新、灵活的资助模式以及科研成果的商业化等,并在网络物理系统和物联网、智慧城市、自动化系统验证等重点领域创建新的研究机构,推出与“创新英国”研究理事会合作资助“重大挑战”项目等计划。法国也在密码学、形式系统方法论等领域拥有世界级的研究团队,其网络防御科研中心定期开展密码学研究、攻击组织及方法研究、恶意软件和信息技术漏洞鉴定等培训工作和相关科研活动。

(2)重视网络人才的招募和培养。 2017年德国国防军举办的 “网络日”活动特别招募网络信息技术专家,以补缺军队和民兵部队中有关信息技术人才的职位缺口,并为 “网络与信息空间司令部”扩充实力;2018年德国政府与最大运营商德国电信公司达成协议,将针对开设信息技术安全培训课程、定期交换专业人员等开展紧密合作。英国政府也将人才培育作为重点写入了国家网络安全战略,典型代表如“Cyber First”[37] 计划,邀请11岁—17岁的青少年参加网络安全挑战赛、国家数学竞赛等各类竞赛,从中挖掘高潜力人才用以培养 “下一代网络安全专家”。

(3)帮扶中小企业及初创企业发展。德国联邦经济和能源部于2011年组建了一支负责IT安全的专职小组,2016 年发布的《数字战略2025》中提出将针对中小型企业数字化投资项目进行资助。此外,德国和以色列于 2017 年11月启动首个网络安全领域创新和合作项目“黑森以色列网络安全合作加速器”,以网络技术、软件安全等为主题,吸引德国、以色列等国的相关人才参与,并为拥有高端技术的创业者提供多样化机会[38] 。

3.3 日韩式合作阵营型战略

与美国近乎军事化的网络战略不同,也与欧洲国家的强大网络空间防御有所差异,日韩主要是通过系列相关立法战略的出台,巩固本国的基础设施建设,并致力于寻求与他国的合作伙伴关系。日本网络安全专家 Shinichi Yokohama在《企业管理与网络安全———高管的数字弹性》(Business Management and Cybersecurity:Digital Resiliency for Executives ) [39] 一书中便指出日本与美国等国家在网络安全方面的差异,在网络安全领域日本行业的被动态度给其社会和经济带来了一定的负面影响。

日韩两国自21世纪以来出台的主要国家安全战略如表5、表6 摘录所示。日本自形成《e-Japan战略重点计划》以来,便围绕关键基础设施建设展开,并提出强化内阁功能、强化公共政策、建设事故前提型社会系统等推进战略;韩国也形成了以《IT839战略》《个人信息保护法》和《国家网络安全综合计划》为核心的国家网络安全治理框架。下文将从构建合作伙伴关系、出台网络安全战略和建设关键信息基础设施三方面分析日韩等国的战略。

表5 日本相关网络信息安全战略体系重点摘录

表6 韩国相关网络信息安全战略体系重点摘录

3.3.1 构建合作伙伴关系

日本先后成立经济产业省的“信息安全对策办公室”、IT战略本部的“信息安全对策推进会”、电子商务促进会的 “日本网络安全协会”等,负责保障本国网络系统安全、进行国际战略共享合作[40] 。 2013 年发布《网络安全合作国际战略》,提出了加强亚太区域合作、深化日美安保条约、加强日欧网络安全论坛合作、向非洲、南美洲提供网络安全技术援助等重点举措;2015年新版《日美防卫合作指针》出台,增加了两国在太空与网络空间的合作内容,美国助力日本“解禁集体自卫权”;2017年日本与美国签署网络信息共享协议[41] ,正式加入美国国土安全部 DHS的自动指标共享 AIS平台,与美国双向共享网络威胁指标。

韩国在网络安全管理方面有“韩国互联网安全委员会”和“韩国信息安全局”两个国家级机构,其职责包括促进健康的网络文化发展、研究制定相关政策,以及开展国际合作等。在构建合作伙伴关系方面,韩国军方于 2009 年与美国国防部签署了《信息保障和计算机网络防御合作谅解备忘录》[42] 及《韩美信息保障工作团构成及运行协议书》,并成立了联合工作组以监督两国之间的合作。此外在与北约的合作方面,《2010年国防白皮书》指出:“北约组织已经和日韩等多国建立了密切的合作机制,韩国政府将加强与北约的合作,共同应对网络安全威胁”。

3.3.2 出台网络安全战略

在法律法规方面,日本将发展高度信息通讯网络社会作为 21 世纪主要发展战略之一,韩国也致力于推行《IT839 战略》,实现国家信息化战略 U-Korea目标。

(1)在保护个人信息和互联网用户权益方面,日本政府于2000年10月提出《关于个人信息保护基本法制的大纲》,并于2003年正式制定《个人信息保护法》,此后日本国家行政机关、独立行政法人和地方共同团体相继制定多项法规,以此为个人信息保护的相关具体问题提供法律依据;韩国作为世界上首个推行 “网络实名制”的国家,于 2001 年先后发布了《不健康网站鉴定标准》《互联网内容过滤法令》《促进利用和通讯网络法案》等法令法规,用以保护未成年人的合法权益不受有害网络信息的侵害,并于 2007 年起在主要网站陆续实施“网络实名制”,于2011年起相继颁布《个人信息保护法》《位置信息保护法》等,对个人基本信息、位置信息等的采集、使用等做出了详细规定。

(2)在打击网络犯罪、保护国家安全方面,日本从2000 年相继出台《关于非授权计算机接入的法律》《关于禁止不正当存取行文的法律》《特定电子邮件法》和《反垃圾邮件法》等,通过法律和技术的双重手段在打击网络犯罪方面取得了一定成效,并于 2003 年发布首个国家网络安全专门战略《信息安全综合战略》,提出“通过强化内阁功能整体推进信息安全”、“通过强化公共政策实现信息安全保障”等具体方针,2015年最新版的《网络安全战略》则重新评估了日本当下的网络形势,提出了新的战略目标, 并确定了日本网络安全的发展体制[43] ;韩国由于三星、LG 等世界级通信企业的涌现,政府相继推出《IT 韩国未来战略》《国家网络安全综合计划》等,通过助力信息技术应用、软件、广播通信、互联网基础设施等领域的发展,来提升国家产业实力、保障国家网络空间安全。

3.3.3 建设关键信息基础设施

关键信息基础设施被视为国家的重要战略资源,以立法形式保护其安全已经成为日、韩等国网络空间制度建设的核心,两国的具体举措包括建立关键基础设施保障机构、健全相关安全标准体系等。

(1)建立关键信息基础设施保障机构。由日本网络安全战略部于2015年创立的关键基础设施专门调查会,是关键基础设施保障的决策机构,其成员由日本首相直接任命的各领域专家组成。其下的关键基础设施保障组,则专门负责相关措施的具体执行工作。 2015 年 5月,开始实施第3 个 “关键信息基础设施保护基本政策”(CILP),确定了基于 CILP的基本措施和第一行动计划建立的公私信息共享框架。

(2)健全关键信息基础设施相关安全标准体系。在相关标准体系建设方面,日本一方面通过经济产业省推动操作系统安全中心与安全兼容协会合作,对所有涉及其国内关键信息基础设施相关的系统程序执行 EDSA(嵌入式设备安全保障)认证;另一方面逐步推出 CSMS(操作系统安全管理体系)认证制度,2015年起已在全日本的关键基础设施行业推广,其信息系统安全管理体系也在逐步完善。

结语

如今全球主要国家已经围绕网络空间的发展权、主导权和控制权展开了激烈角逐,网络空间主权安全已成为新的国家战略重心。无论是美国式通过组建网络任务部队、强化网络军事政策和开展网络行动计划而形成的网络军事化战略,或是欧洲式通过构建网络防御空间、威慑网恐敌对分子和发展网络保障能力而形成的防御威慑型战略,抑或是日韩式通过构建合作伙伴关系、出台网络安全战略和建设关键基础设施而形成的合作阵营型战略,均是在经济竞争、政治博弈、军事对抗以及文化角逐的网络环境下,形成的与其本国实力相匹配的战略阵营。以上概括的国家网络主权安全战略,对于我国在保障关键基础设施和网络信息系统安全、防范网络威胁并打击网络犯罪、培育网络人才并发展长期的网络保障能力等方面均有借鉴意义,希望对我国网络安全战略体系构建、网络主权保障模式建设等有所贡献。