全球国家网络安全战略的变革*
2015-02-14吴关龙冯潇洒
吴关龙, 冯潇洒
(西安交通大学法学院,陕西西安710049)
全球国家网络安全战略的变革*
吴关龙, 冯潇洒
(西安交通大学法学院,陕西西安710049)
国家网络安全战略的兴起体现了网络安全“软法治理”的思路。尽管各国对于网络安全的概念尚未达成统一,但无一例外将网络安全作为国家稳定和经济发展的基础。在2010年前后,新一代网络安全战略预示了全球网络安全战略的变革态势,其理念、原则和策略变得更为丰富和弹性。我国目前正在积极部署自己的网络安全战略,全球国家网络安全战略变革中的成果和经验值得我国进行深入研判。
国家网络安全;战略;变革
一、全球国家网络安全战略变革态势
尽管网络安全①在法学领域,目前对于“网络安全”的法律内涵和基本属性仍然存在不同的认知维度,其可以被认为是一种能力,措施或者活动。欧盟在2004年关于建立欧洲网络与信息安全机构的2004460EC指令中将网络安全界定为“在既定的保密水平下,确保网络或信息系统能够抵御意外事件或非法和恶意行为对该网络或信息系统中存储或传输的数据的可用性、完整性和保密性造成的损害,能够抵御意外事件或非法和恶意行为对该网络或系统中的相关服务的提供或访问造成的损害的能力。”芬兰在2004年的《电子通信隐私保护法》中将网络安全和信息安全界定为“保障数据仅被授权人员访问和使用的管理和技术措施。”美国《数字千年版权法》中将网络和信息安全界定为“识别和阶段政府计算机、计算机系统或计算机网络脆弱性的活动。”这些差异也造成各国在网络安全法律保障方面存在不同的规制路径。在法学研究领域仍属于尚在探索阶段的新命题,但是国家网络安全保障的紧迫性已经迫使网络安全迅速成为国家政策立法最为优先的考虑事项。国家网络安全保障的价值在于形成有效的规范体系,从纯粹功能主义的角度考察,规范意味着在社会主体之间形成可预期的行为模式。如果将网络安全视为法学范畴内具备“自组织”特性的要素,那么为了实现社会主体对规范体系的一般性坚守,相应的网络安全立法体系就必须具有足够的“适应性”②适应性是网络安全政策立法最为重要的参考值,考虑到信息技术的快速发展,适应性要求网络安全政策立法体系应当具有足够的灵活性和延展性,能够适应快速变化的内外部环境。这意味着网络安全政策立法体系首先必须是多层次的,需要在国家、产业和个人的不同价值层面构建网络安全的一般规则;其次,网络安全政策立法体系必然是以风险为导向的,无论是系统自身缺陷构成的风险,还是行为滥用构成的风险,这在一定程度上需要对传统“行为+后果”的保障结构进行改良;再次,网络安全政策立法体系需要对信息技术本身,或信息技术利用表明一种态度,这种态度决定了信息技术在相对固定的时间跨度内可以保持稳定的发展路径。。信息技术向社会的渗透比任何技术都更为彻底,利益保障的多元化和信息技术的快速发展会与法律的稳定性产生冲突,适应性很难通过固化的成文法体系予以实现,各国国家网络安全基本法的缺位在一定程度上可以反映上述困境。
各国国家网络安全战略的兴起①姜明安教授对于软法兴起的原因有过深入的探讨,其列举了软法兴起的5大原因,包括:人类社会、经济的发展导致对法律需求的急剧增长与硬法因立法和实施成本过高导致法的供给严重不足的矛盾使然;经济全球化对国际统一规则的需求不断增加与民族国家因主权而各立各法的矛盾使然;人们追求公平、正义的美好理想与硬法因种种条件限制而实现公平、正义不足的矛盾使然;现代社会关系和事物的多样性、复杂性、变动性与国家立法者认识能力的有限性的矛盾使然;人们追求自由、自治与自由、自治需要规则、秩序的保障的矛盾使然。国家网络安全战略的兴起较为综合地体现了上述原因。体现了网络安全“软法治理”②尽管我国学者对于软法的认识并不统一,这体现在软法的内涵和外延目前存在多种表述,但“软法亦法”的观点已经获得普遍共识。罗豪才教授将软法界定为那些效力结构未必完整、无须依靠国家强制保障实施、但能够产生社会失效的法律规范,其创制方式与制度安排富有弹性。软法的这一特性与网络安全保障的客观要求相契合。的思路。随着信息技术的普及,包括能源、通信、医疗、金融、国防等在内的国家关键领域和部门对信息系统和网络的依赖度不断提高,这导致信息技术从单纯的通信工具转变为国家的关键信息基础设施,但我们所面临的网络安全风险却并没有减弱。为此,各国纷纷通过调整或制定国家网络安全战略,评估和控制网络安全风险可能对国家和社会运行产生的影响。概括而言,国家网络安全战略是“为达成国家综合性安全的目标,国家行为体维护网络信息空间利益,保障网络空间信息安全所制定的一系列中长期路线方针。”③惠志斌.全球网络空间信息安全战略研究[M].上海:世界图书出版公司,2013:61.这些路线方针反映了国家应对日益严峻的网络威胁所采取的方法和策略。为了适应技术发展产生的“威胁差异”,国家网络安全战略一直处于不断的动态调整中。在2010年前后,全球范围内的国家网络安全战略开展凸显变革之势,传统网络安全强国开始更新原有的网络安全战略,④例如,美国于2011年发布International Strategy for Cyberspace:Prosperity,Security and Openness in a Metworked World战略,更新和支持2010年Comprehensive Mational Cybersecurity Initiative战略。英国于2011年发布The UK Cyber Security Strategy.Protecting and promoting the UK in a digital world战略,对2009年的Cyber Security Strategy of the United Kingdom:Safety,Security and Resilience in Cyber Space战略进行调整。澳大利亚于2011年发布Connecting with Confidence,Optimising Australia's Digital Future战略,对2009年的Cyber Security Strategy战略进行更新。其他国家开始制定符合本国利益的国家网络安全战略。⑤2011~2014年之间,包括日本、荷兰、比利时、意大利、印度等国在内的众多国家制定了兼具基础性和专门性特点的国家网络安全战略。新一代国家网络安全战略在理念、目标、原则和措施方面均有所突破。
耐人寻味的是,尽管各国对于网络安全的概念尚未达成统一,但无一例外将网络安全作为国家稳定和经济发展的基础。这表明,各国对于网络安全的重视,并不是通过基于经验主义的推论而得出的先验性结论,而是根植于现实社会需求的前瞻性部署。在全球范围内,尽管各国国家网络安全战略仍然存在政策偏好,但对于网络安全保障的迫切性方面保持了高度的一致性。这种紧迫性绝非来源于单纯对技术发展的制度性依赖,而是对信息技术背景下国家秩序的深刻反思。目前,我国正在积极部署自己的国家网络安全战略,新一代全球国家网络安全战略的变革根植于国际网络安全环境的动态变化,对于我国的网络安全战略具有深远的影响意义,其中的经验和成果值得我国进行深入研判。
二、国家网络安全战略的理念
国家网络安全战略的理念综合反映了国家对待信息技术和网络威胁的态度和策略。受限于信息技术的利用范围和方式,早期的国家战略对网络安全的认识更贴近于一种技术解决方案,在战略部署上体现出分散式的个体利益保护模式,例如建立不同社会主体之间相互独立的网络安全保护框架。随着信息技术向社会生活的纵深渗透,“信息社会”的概念开始广泛影响各国对于信息技术的判断,这种影响在日本2013年的网络安全战略中体现得尤为明显,其认为网络空间(Cyberspace)和现实空间(Realspace)正在处于不断的融合过程中,这是“信息通信技术的传播和发展,以及该技术的使用或应用造成的结果”①John Rollins.information security policy council,Cybersecurity Strategy-Towards a world-leading,resilient and vigorous cyberspace[R].Japan,2013:5.。这种认识也在国家网络安全战略中构筑了一条基本的逻辑路径,即“依赖性”和“风险性”共同构成了国家网络安全保障的“紧迫性”,网络安全问题成为国家必须最为优先解决的事项。
尽管这与各国早期的网络安全战略并没有本质区别,但是“依赖性”的认知维度却发生了深刻变化,导致传统安全观与综合安全观的分野,单维度的国家安全保障思路得到修正,经济发展成为与国家安全并重的战略目标。自信息技术出现伊始,网络安全保障便始终围绕“安全”和“发展”而展开,尽管“安全”和“发展”并非总是在理念层面具有一致性,②马民虎教授曾经详细论述了信息安全法的法理念,并将其细分为安全发展观、相对安全观、综合安全观、协同安全观和实效安全观。在“安全”和“发展”问题上,其认为信息安全与发展会在不同层次上出现和引起争议,原初意义上的发展更具有绝对性的价值,而安全更多是一种工具性价值。为保障安全而牺牲发展利益的例子在网络安全政策立法中并不少见。③例如为国家安全而将监听需求植入密码技术,这在客观上产生密码技术的出口困难,影响密码产业的发展。然而,信息技术对于现代社会的支撑作用是广泛的,几乎所有的经济和社会部门都需要依赖信息技术实现业务连续性。特别是欧美市场在传统经济萧条的情况下,互联网经济成为带动经济增长的突破点,网络安全风险对于经济发展的潜在威胁同样成为国家必须正视的问题。④例如,澳大利亚2009年的信息安全战略将目标定位于实现安全、弹性和可信的电子操作环境,以有效地保障国家安全,同时最大化数字经济带来的利益。英国2011年的信息安全战略同样认为互联网主导了经济的增长,同时越来越广泛地支撑着社会的整体安全,网络安全事件所导致的潜在的在线经济信赖利益的减损会对英国的经济和社会发展产生损害。美国2009年的网络政策审查强调“国家正在面临维护外部环境和促进效率的双重挑战,创新、经济繁荣和自由贸易必须同安全、保障、公民自由和隐私权利同等促进,解决网络空间的战略漏洞是政府的首要职责,保障美国同全世界在信息技术变革中的利益”。
事实上,在技术发展中,依赖性并不是信息技术所独有的政策描述,任何国家运行所需要的技术都会体现出这种特性。为此,“技术中立”原则鼓励政策立法不应对特定技术施加偏好,而完全由市场决定技术发展的走向。但是信息技术向社会生活渗透地比以往任何技术都更为彻底,国家信息化的过程本身就是社会生产生活向信息系统迁移的过程,那么,信息技术的基础性作用便不具有任何意义上的可替代性,由此而产生依赖性也就格外被强化,整个国家和社会都需要依赖“数字架构”来实现和履行不同社会主体的根本职能。然而遗憾的是,尽管网络空间的基础设施正在变得越来越安全,但信息技术内在的脆弱性并没有获得实质性的改变,唯一改变的是国家对这种不安全的信息环境的依赖程度。为此,大多数国家的稳定和经济繁荣都将依赖于其网络空间的安全。也有国家认为网络空间更容易受到信息网络和系统功能的干扰,而使国家面临脆弱性。⑤杨柯,王维平.政策网络理论与草根MPO的有效政策参与——基于“合阳项目”的实证分析[J].思想战线,2014,(4).
国家的“脆弱性”通常被描述为信息技术依赖性引入的不确定安全威胁,英国认为这将造成“机会与威胁并存”的现实,⑥Robert B.Minister for the Cabinet Office,The UK Cyber Security Strategy:Protecting and promoting the UK in a digital world[R].UK,2011:15.澳大利亚更进一步的对“机会”和“威胁”进行了描述。⑦澳大利亚2013年的网络安全战略认为网络空间作为信息和通信空间、社会交互空间、经济和贸易空间、政策参与空间和控制空间,已经成为国家、经济、科技和社会活动的重要领域。但网络空间同时也是犯罪和滥用空间,而使安全面临风险和威胁。在这种情况下,网络安全风险⑧几乎所有的新一代国家网络安全战略均对国家可能面对的网络安全风险进行识别和评估,并将其作为战略部署的基础,以增强具体措施的针对性。控制就变得尤为重要。毕竟,当信息技术变得有如水和空气一般必要时,绝对的“风险规避”成为无法实现的政策目标,将风险降低到可接受的程度便成为唯一合理的政策选择。网络安全风险可能源自信息系统内外部的任何环境,包括恶意攻击、意外事件或自然灾害。自2007年针对爱沙尼亚政府的网络攻击事件①2007年爱沙尼亚遭受大规模攻击被认为是历史上第一个针对国家政府和关键基础设施的网络攻击事件。发生以后,网络风险来源的“能力化”引起了各国政府的深入思考,这不仅局限于网络风险所产生的非对称威胁②意大利2013年的网络安全战略将网络威胁的非对称特性描述为:(1)攻击者可以在世界任何地方发起攻击; (2)攻击者可以仅仅利用单独的漏洞攻击非常复杂且采取完备保护措施的计算机系统;(3)攻击行为是即时性的,不会具有足够的反应时间;(4)攻击行为很难溯源和侦测,使应对措施变得非常困难。后果,也表明了各国政府对于“国家”可能成为攻击主体的深刻担忧。③例如印度在2013年的国家网络安全战略中指出,网络空间的脆弱性表现为具有多样性的安全事件,包括故意事件和意外事件,人为事件和自然事件,网络空间数据的传输可能被国家或非国家主体恶意利用。很多国家的网络安全战略毫不避讳地强调,传统的威胁来源正在模糊化,政治利益成为网络攻击新的动机。④事实上,针对国家政府和关键基础设施的网络攻击是诱发各国网络安全战略理念变革的重要动因,尽管传统网络犯罪仍然是网络安全战略关注的重点,但对于大规模网络攻击造成国家运行瘫痪的恐慌却深深植入新一代国家网络安全战略的预判中。例如,英国在其2011年的网络安全战略中认为,“2007年针对爱沙尼亚政府网络的攻击、2009年针对韩国和美国的大规模拒绝服务攻击、2008年针对伊朗核设施的震网病毒攻击等等安全事件成为信息安全保障关注关键基础设施的转折点。”法国在其2011年的国家网络安全战略中认为,“针对国家基础设施的大规模网络攻击将是国家在未来15年内面对的主要风险”。这也导致各国国家网络安全战略在风险识别方面保持了高度的一致性,将风险控制的重点集中于网络犯罪、⑤新一代国家网络安全战略中对于网络犯罪的范围有所扩大,认为任何通过网络空间予以实现的,包含犯罪目的的恶意行为都属于网络犯罪。网络间谍、⑥网络间谍是旨在通过互联网非法获取保密数据,根据数据来源的不同,又可以分为网络情报间谍和网络经济间谍等。网络恐怖主义和网络战等网络攻击⑦北约2013年3月的《塔林手册》(Tallinn Manual)第30条定义了网络攻击最广为接受的概念,其认为网络攻击是“可以在合理预期范围内造成人员伤亡,或造成物质损毁的进攻性,或国家防御性网络活动。”新一代网络安全战略也有更为明确的界定,例如加拿大2010年的国家网络安全战略认为,网络攻击包括故意或未经授权的访问、使用、处理、中断或毁坏电子信息、处理和存储信息的电子和物理基础设施。活动,同时,网络攻击被认为更为廉价、便利、有效和低风险。⑧John C.Government of Canada,Canada's Cyber Security Strategy:For a stronger and more prosperous Canada [R].Canada,2010:4~5.
考虑到信息技术利用对于国家安全和经济发展的持续性影响几乎是不可预期的,这就决定了网络安全风险的威胁会越来越多样化,而且永远不会停止。这要求国家网络安全战略必须是综合性的,其着眼点在于所有可能面临的潜在威胁。为此,新一代国家网络安全战略格外强调“综合性”和“弹性”的理念,开始从侧重对不同主体分别进行保护转变为将信息社会作为整体进行保护,与网络安全相关的社会、经济、教育、执法、军事、情报等要素被整合为统一的战略框架内予以实施。
三、国家网络安全战略的原则
国家网络安全战略的原则是战略理念的进一步细化,其在网络安全战略中被用于构建符合本国利益的安全框架,也在一定程度上反映了国家对于网络安全的理解和态度。网络安全原则具有一定的普适意义,既可以作为政府指定信息安全政策的基本准则,也可以作为公私部门设计信息安全政策的指引。
“对社会整体进行保护”的理念变革促使网络安全战略目标的多元化,⑨例如荷兰2013年的网络安全战略在强调风险控制的适度性原则时考虑了安全需求与基本公民权利保护之间的平衡,英国2011年的网络安全战略强调在保护国家安全的同时需要兼顾隐私等公民权利。这就突破了早期安全原则的桎梏,而得以体现不同社会层次安全需求的差异性,国家安全、经济发展和隐私保护被采用同等的原则加以保护。①例如加拿大在2010年的网络安全战略中将政务系统安全、联邦政府以外的重要网络系统安全和在线安全视为网络安全战略的三大支柱(Pillars),而其中联邦政府以外的重要网络系统安全以经济繁荣为重点,在线安全以公民在线权益保护为重点。值得注意的是,在很多国家的网络安全战略中,战略原则(Principal)、目标(Objective)和指导方针(Guideline)往往没有清晰的界限,存在相互渗透甚至混用的情况。例如芬兰2013年的国家网络安全战略确定了8项基本原则,很多原则更贴近于对战略目标的描述。②例如其中第三条原则为:网络安全依赖整个社会的信息安全,网络安全依靠适当和充足的ICT和通信网络安全解决方案予以实现,这些解决方案应当由不同的参与者予以实施。多元化的合作和实践应当用于促进和支持网络安全的实施。这也体现出一个趋势,即网络安全原则被作为重要的利益平衡方法纳入战略实现的整体框架中。同时,很多国家的网络安全战略原则较为零散,或者仅仅阐述网络安全的客观状态,并不能直接体现战略原则意欲实现的价值和所采用的方法,对同质性原则缺乏通用性的描述。
这些问题造成对于国家网络安全战略原则存在认知差异,需要进行梳理和整合。笔者认为,在各国的战略原则中,目前较为重要且存在共识性的原则主要包括“合作原则”、“基本权利保护原则”和“风险原则”。这些原则都具有较强的包容性且相对独立,能够完整体现网络安全战略意欲实现的目标,并对具体的战略方法和策略提供符合国家价值判断的指引。
具体而言,“合作原则”是新一代网络安全战略中最为重要的核心原则。传统网络安全保障由国家和政府主导,也就是将网络安全视为国家任务,在保障措施上片面强调国家和政府职能的实现。然而遗憾的是,鉴于网络安全的复杂性,没有任何国家和政府可以信誓旦旦地承诺能够独立完成这一艰巨任务。新一代网络安全战略无一例外强调加强合作的重要意义,并努力促使合作形式在不同层级的安全保障工作中展开,包括国家内部政府间的合作、公私合作③例如意大利的网络安全战略认为必须促进公私合作,以保障信息漏洞的持续性、安全性和可信性,私营部门可以通过这种合作获取网络攻击和实践的共享信息,并反馈其风险和脆弱性评估,强化准备措施。和国际合作,④德国的网络安全战略进一步指出,合作不应仅仅在国家层面开展,在整个欧盟层面,包括欧洲议会,MATO,G8,OSCE和其他多边组织也应当合作保障网络安全。甚至出现了专门负责合作事项管理的协调部门,体现了由“跨部门”到“核心部门”的网络安全保障合作思路的转变。⑤中国成立的中央网络安全和信息化领导小组是这一趋势的典型反映,该小组的主要职责是发挥集中统一领导作用,统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力,与目前国家网络安全保障的国际趋势十分吻合。在很多国家的网络安全战略中,合作思想通过责任分配的形式落实,认为网络安全是社会各参与主体的共同责任(Shared responsibility),⑥因此,一些国家的网络安全战略中被称为“责任原则”。基于对不同社会角色的定义而对网络安全保障责任进行重新细分。简单来说,就是“多方利益相关者⑦这些利益相关者通常包括政府、网络服务提供商、科研机构、个人用户和中小企业等等。(Multi-stakeholders)应当根据与自身对应的社会角色在多方合作中承担各自的网络安全责任”⑧John Rollins.information security policy council,Cybersecurity Strategy-Towards a world-leading,resilient and vigorous cyberspace[R].Japan,2013:22.。
“基本权利保护原则”是网络安全战略中的基础性原则,其认为在网络安全保障中仍然需要保持对网络基本权利的尊重。“国际公认的基本权利是指公民通过任何媒体自由获取、接受和传递信息和思想的能力,而不受国界的限制。”⑨The white house.International strategyfor cyberspace:Prosperity,Security,and Opennessin a Metworked World [R].USA,2011:5.其他类似隐私保护、数据自由流动和自由表达等基本公民权利也被融合在这一原则之下,从而与世界经济合作组织(OECD)2002年提出的民主原则(Democracy)保持一致,①OECD.Guidelinesfor the Security of InformationSystems and Metworks:Towards a Culture of Security[R]. OECD,2002:11.强调网络安全需要遵从民主社会的基本价值,包括言论自由、信息的自由交互、信息和通信保密、对个人信息的保护和尊重等等。因此,与其他原则相比,“基本权利保护原则”更类似于原则集或原则束,②例如,澳大利亚2013年的网络安全战略认为,网络安全治理应当保障基本人权,特别是隐私、数据保护和信息的自由表达权。欧盟2013年的网络安全战略认为,网络安全战略只有以神圣不可侵犯的基本权利和自由为基础,才是合理而有效的。爱沙尼亚2014年的网络安全战略认为,网络安全应当尊重基本权利和自由,同时应当保护个人自由、信息和身份。土耳其2013年的网络安全战略认为,基本人权和自由,隐私保护应当被作为基本原则被接受。其项下的权利保护原则甚至可以作为独立的原则予以实施。③例如美国2011年的《国际网络安全战略》就将隐私原则、数据流动原则与基本权利保护原则相并列。在新一代国家网络安全战略中,基本权利保护更进一步被视为是对互联网开放和网络中立的客观反映,网络安全保障需要实现“最大限度的信息公开和访问,同时保障对个人权利的最小干预”④Mational Security Authority.Mational Cyber Security Centre,Mational cyber security strategy of the Czech republic for the period from 2015 to 2020[R].Czech republic,2014:9.。各种利益之间的平衡关系也被广泛纳入与此相关的原则实施中。⑤例如荷兰2013年的网络安全战略在强调风险控制的适度性原则时考虑了安全需求与基本公民权利保护之间的平衡;英国2011年的信息安全战略强调在保护国家安全的同时需要兼顾隐私等公民权利;拉脱维亚2014年的网络安全战略认为,通过促进信息的可访问性和发展通信技术实现网络安全策略,同时应当保障基本人权和自由,在自由、隐私、安全之间建立平衡。
严格来讲,“风险原则”要求国家网络安全战略的构建一定是基于风险的,其本身并不是对特定准则的归集或描述,而是对网络安全态势的客观反映。如前所述,新一代网络安全战略的所有策略几乎都基于对网络安全风险的重新认知,网络安全风险被视为各国需要面对的全新挑战,“风险原则”得以在这种态势下获得延展。我们注意到,对网络安全风险的评估和分析构成新一代网络安全战略的必要组成,国家网络安全架构的设计和实施也以风险控制为基础和导向,可以说,国家网络安全战略就是以风险为核心的国家和社会事务动态控制过程。原则属性并不是其唯一的价值构成,风险俨然已经成为整个战略部署的“原点”。⑥例如日本2013年的网络安全战略在基本原则部分强调,网络风险的持续增长态势正在日益严峻,需要积极加以应对,早期战略所采取的方法和策略已经不能应对这些全球化的风险,亟须建立和增强以风险为基础(Risk-based)的保护策略。为此,风险原则具有了越来越丰富的内容,其被用于识别信息系统中的威胁和漏洞,围绕信息系统内外部的诸多要素有效展开。其作用在于决定国家对于网络安全风险的可接受程度,帮助国家机构选择合适的控制措施弱化潜在威胁。
“弹性原则”是对新一代国家网络安全战略的目标、方法和策略进行抽象后的基础性原则。信息技术对于安全和经济的影响是由社会进步的底层开始的,技术利用对于国家和社会福祉的持续性改造几乎是不可预期的,这就决定了网络安全事件的发生几乎是不可避免的,那么国家的网络架构就必须具有充足的弹性。在这里,弹性通常被理解为一种应对能力,即保证在国家信息系统和网络遭受网络安全事件时,仍然能保持正常运行和提供服务。⑦EMISA.Measurement Frameworks and Metrics for Resilient:Metworks and Services:Technical report[R].EU,2011:12.较于早期的网络安全战略,其内涵有所扩展,已经将信息系统的恢复纳入考量范畴。⑧例如法国2011年的国家网络安全战略将弹性定义为:“在计算领域,弹性是指信息系统抵御崩溃和网络攻击,并在安全事件后恢复到初始操作状态的能力”。在很多国家的网络安全战略中,安全和弹性是密不可分的,其在不同的安全保障层级中植入弹性要求,①例如法国2011年的国家网络安全战略希望通过保护国家信息系统和关键基础设施保障国家弹性;意大利2013年的网络安全战略强调应当重视关乎社会和国家安全稳定的服务的弹性和商业持续性;日本2013年的网络安全战略希望建立弹性的网络空间;西班牙2013年的网络安全战略希望确保公共部门的信息和通信系统具有适当水平的网络安全和弹性。荷兰2013年的网络安全战略希望加强荷兰防御系统的弹性;欧盟2013年的网络安全战略将实现网络弹性视为政策优先事项。也出现了专门以弹性为考察对象的网络安全战略性文件。②例如欧盟2009年的《Communication on Critical Information Infrastructure protection(CIIP).Protecting Europe from large scale cyber attacks and disruptions:enhancing preparedness,security and resilience》;英国2009年的《Cyber Security Strategy of the United Kingdom.Safety,Security and Resilience in Cyber Space》。在弹性原则指导下的网络安全战略更加强调政策本身的完整性和综合性,③澳大利亚2013年的网络安全战略认为,网络安全战略必须建立在综合性和完整性的基础上。完整性强调国家、经济、学术界和公民社会之间的任务分担,网络安全战略应当包括战略管理、意识与培训、风险评估等多方面考虑。同时,一项综合性的网络安全战略意味着内外部安全以及民用和军事安全是紧密相连的。网络安全的范围超越了传统的安全部门,包括许多其他政策领域的工具。以提高战略整体的抗风险能力。
在上述原则之外,很多国家的网络安全战略采用了特殊的战略原则,这些原则未能在全球范围内予以确立,反映出各国在网络安全保障中的不同思路,也体现了网络安全战略利益诉求多元化的发展趋势。例如法国强调的“主权原则”,④确保法国在保护主权相关信息过程中的决策能力。具体而言是保障法国政府机构和风险管理部门在任何情况下具有秘密通信的能力。西班牙强调的“比例、理性和有效性原则”⑤即以动态的方式,从技术利用的角度管理风险,平衡机会和威胁,在保护措施中确保比例性,避免阻碍新服务的发展。,欧盟强调的“同等保护原则”⑥即线下活动所适用的法律和准则同样适用于网络活动。等等。需要注意的是,这些原则并不是分立的,而应当作为整体发挥作用。尽管各个安全原则都可以独立指导网络安全战略的制定与实施,但其在国家网络安全战略中的体现应当是统一且相互影响的,应当综合考虑各个原则之间的协同关系。
四、国家网络安全战略的策略
国家网络安全战略的策略是贯彻战略理念,体现战略原则和实现战略目标的方法途径。在实施层面,国家网络安全战略所构筑的理念和原则框架仍然过于宏观,虽然具有引导性,但并不具有操作性。也就是说,战略理念和原则仅仅解决了网络安全的方法论问题,网络安全的实现仍然需要依靠体现为具体行动计划的策略。在新一代国家网络安全战略中,策略通常是目标与措施的结合,即在战略目标之下对应设计匹配的措施,这就构成了战略理念、原则、目标和措施的纵向体系结构,由理念和原则指导目标和措施,而目标和措施落实理念和原则。
网络架构的全球化部署导致各国所面临的安全风险具有相当程度的同质性,而且全球国家网络安全的水平取决于保护力度最薄弱的国家。因此,为了弱化网络安全风险对国家安全和经济发展造成的减损,各国政府均不遗余力地提升网络安全保障能力,并且已经在策略方面实现了诸多共识,初步形成了全球国家网络安全治理的范式。如果忽略表述层面的差异性,新一代国家网络安全战略的策略部署保持了高度一致,传统的网络安全保障领域仍然是策略重点,也出现了适应外部风险环境变化的新策略。
首先,新一代国家网络安全战略以关键信息基础设施保护为基础,几乎所有的国家网络安全战略均将其视为最为优先的解决事项。各国采用不同的策略方式实现关键信息基础设施的弹性。例如,澳大利亚主要从政策管理的层面提高关键基础设施保护力度,希望关键基础设施的运营商加入所有的国家网络危机管理计划(Mational Cyber crisis management),建立包括风险和危机管理的综合性安全框架。同时,关键基础设施的运营商应当指定安全官,并有义务报告严重的网络安全事件。⑦Aus.Federal Chancellery of the Republic of Austria,Austrian Cyber Security Strategy[R].Austrian,2013:14.法国对于CIIP的认识则更注重利用先进技术保护重要信息的保密性,例如通过在部长级网络中引入身份认证系统增强安全级别;在跨部门内部网和电话网中部署终端加密产品,在部长级决策中心中使用安全会议视频系统等等。①Fra.Information systems defence and security strategy[R].France,2011:17.印度则侧重于通过强制性的产品审查和管理过程保护关键信息基础设施,例如建立国家关键信息基础设施保护中心(MCIIPC),强制要求实施国际安全的最佳实践,鼓励和强制要求使用经过认证的信息技术产品,强制要求定期的关键信息基础设施安全审计等等。②Ind.Ministry of Communication and Information Technology,Department of Electronics and Information Technology,Mational Cyber Security Policy[R].India,2013:7.
第二,新一代国家网络安全战略以打击网络犯罪为核心任务。网络犯罪被认为是各国需要面对的持续性网络安全风险,目前已经出现专门针对网络犯罪的安全战略。③英国内政部在2010年发布了专门的网络犯罪战略,详细描述了目前的网络犯罪形势和政府打击网络犯罪的方法。尽管各国打击网络犯罪的侧重点不同,但大部分国家都将“提升执法机构的能力”作为实现战略目标的解决方案。例如西班牙强调需要扩大和提高针对网络恐怖主义和网络犯罪的调查和起诉机构的能力,并通过适当的信息和情报交换渠道保证该能力与其他网络安全活动相一致。④Spa.Presidencia Del Gobierno,Mational cyber security strategy[R].Spain,2013:35.日本认为除加强调查和分析能力外,有效的教育和培训、新技术的研发和系统准备等措施应当扩展至网络攻击分析中心、网络攻击调查机构和未经授权程序分析中心等机构,包括先进网络监控系统在内的信息收集和分析设备应当被采用。⑤John Rollins.Information security policy council,Cybersecurity Strategy-Towards a world-leading,resilient and vigorous cyberspace[R].Japan,2013:22.德国认为执法机构、联邦信息安全办公室和与打击网络犯罪、网络间谍和网络破坏有关的私营部门的保护能力应当被加强,并计划建立执法机构与产业合作的联合机构。⑥Ger.Cyber Security Strategy for Germany[R].Germany,2011:6.
第三,新一代国家网络安全战略普遍重视网络安全组织机构的建设。几乎所有的国家网络安全战略都将加强公共管理机构的组织性作为解决网络安全问题的核心措施,包括进一步细化各政府部门之间的职权,建立新的组织机构,强调高等级的领导能力等等。例如德国建立了国家网络反应中心,以优化现有的政府部门之间的网络安全保障和实践响应合作机制,联邦信息安全办公室负责运营该中心,同时联邦宪法保护办公室、联邦民防和灾难协助办公室、联邦刑事警察办公室、联邦警察、海关犯罪学办公室、联邦情报部等机构都直接在各自的职责范围内参与网络安全保障的合作事项。法国建立了国家信息安全系统(AMSSI),该系统是一个政府部门之间的内部协调机构,作为政府内部的应急响应机构,其主要职责在于为政府提供安全的内部通信手段,监控政府系统,为系统提供认证保护国家秘密,国际合作事项和信息安全培训等。
第四,新一代国家网络安全战略更加重视网络安全意识和培训。网络安全的重要意义在于信息技术利用的普及性,⑦印度在2013年的网络安全战略中认为,鉴于技术进步所带来的广泛利益,网络空间已经被公民、商业、关键信息基础设施、军队和政府广泛使用,目前已经很难在这些主体之间划分清晰的界限。其对于社会运行的基础性支撑作用导致网络安全保障的任务由单极的政府职能转变为多极的社会角色责任,国家网络安全策略实施的有效性依赖于在更加广泛的社会层面获得公知。因此,提升网络安全意识和培训不仅作为国家保障职能的有力辅助,更成为社会主体参与网络安全治理的重要途径。例如澳大利亚认为意识和培训能够帮助建立对网络安全保障的理解,其通过强化网络安全文化,将网络安全和媒体能力纳入所有层次的教育和培训中提升社会整体对网络安全的认知水平。⑧Aus.Federal Chancellery of the Republic of Austria,Austrian Cyber Security Strategy[R].Austrian,2013:14.挪威要求公共和商业部门加入或合作开展网络安全意识培训或发展网络安全文化的项目。①Mor.The Ministry of Government Administration,Reform and Church Affairs,Cyber Security Strategy for Morway[R].Morway,2013:24.
第五,新一代国家网络安全战略进一步强化网络安全风险的感知和响应能力。网络安全风险具有不可逆的特点,一旦发生将对国家安全和社会发展产生灾难性的影响,各国均对网络安全风险的防控给予高度重视,通过强化国家对网络安全风险的感知和响应能力,将风险性降低到国家可接受的程度。例如,各国均不同程度加强了本国网络应急响应小组的建设,②西班牙特别强调政府网络应急响应小组和国家密码技术中心网络应急响应小组之间的合作和信息共享。澳大利亚通过提升和强化政府网络应急响应小组的权限和能力,帮助各机构和组织建立自己的应急响应小组。重视和强化网络安全风险信息的收集和实时监控能力,风险信息共享也在不同层级的组织机构中广泛开展。
最后,IT供应链安全成为新一代国家网络安全战略的关注点。IT产品和服务供应的全球化在客观上增加了IT供应链的复杂程度,不安全或恶意的IT产品和服务将有更多的渗透渠道。③马民虎,马宁.IT供应链安全:国家安全审查的范围和中国应对[J].苏州大学学报(哲学社会科学版),2014,(1).供应链的安全缺陷将为网络攻击者提供更多的机会。④Can.Government of Canada,Canada's Cyber Security Strategy:For a stronger and more prosperous Canada[R]. Canada,2010:11.为此,针对IT供应链安全的保障策略开始出现在一些国家的网络安全战略中。例如,日本认为针对IT供应链的信息安全措施应当得到加强。⑤John Rollins.Information security policy council,Cybersecurity Strategy-Towards a world-leading,resilient and vigorous cyberspace[R].Japan,2013:32.印度通过建立IT安全产品评估、国际标准和实践的符合性验证降低IT供应链风险,通过建立产品和系统供应商和服务提供商之间的可信关系提高IT供应链安全的透明度。⑥Ind.Ministry of Communication and Information Technology,Department of Electronics and Information Technology,Mational Cyber Security Policy[R].India,2013:8.意大利强调使用认证产品将存在风险的供应商排除出IT供应链。⑦Ita.Presidency of the Council of Ministers,Mational Strategic Framework For Cyberspace Security[R].Italy,2013:15.
Changes in the national cyber-security strategies in a global perspective
WU Guan-long&FENG Xiao-sa
(School of Law,Xi'an Jiaotong University,Xi'an 710049,China)
Recently,the emergence of the national cyber-security strategy reflects the mentality of" soft law governance".Though there is no internationally concerted definition on cyber-security,all the countries of the world regard it as the foundation of their national stability and economic development.Around 2010,the emergence of the new-generation cyber-security strategy predicted the new trend of the global cyber-security strategy,whose concepts,principles and strategies have become more flexible and whose achievements and experience can shed much light on China's current implementation of its own cyber-security strategy.
cyber-security;strategy;change
乔小洺]
D923
A
1000-5110(2015)05-0050-09
吴关龙,男,陕西周至人,西安交通大学副教授,硕士生导师,研究方向为信息安全与法理学。
