张向宏，耿贵宁，林 涛，卢 坦，崔 翀，冯远方，刘树栋

(中国电子信息产业集团有限公司 中国信息安全研究院，北京 100191)

美日俄信息安全体制机制研究(一)信息安全战略

张向宏，耿贵宁，林 涛，卢 坦，崔 翀，冯远方，刘树栋

(中国电子信息产业集团有限公司 中国信息安全研究院，北京 100191)

编者按： 计算机和网络在给世界带来巨大便利的同时也带来前所未有的挑战，信息安全越来越为各国所重视，纷纷对各自信息安全工作机制进行了一系列的调整与改进。主要集中体现在三个方面，一是制定完善的信息安全战略，指导信息安全建设工作；二是制定全面的信息安全法规体系，从法律法规标准指南等多方面对信息安全进行规范；三是建立上下协调、职能明确的信息安全机构，确保信息安全战略政策的顺利实施。美日俄三国是世界信息技术较发达的国家，研究其信息安全体制对我国制定信息安全政策和法律法规等起到良好的借鉴作用。中国电子信息产业集团有限公司（CEC）中国信息安全研究院对该专题进行了深入研究。本刊将在2015年11～14期，分期连载CEC中国信息安全研究院的专题研究成果报告《美日俄信息安全体制机制研究》。本报告从信息安全战略体系、信息安全法规、信息安全组织机构三个层面研究了美日俄三国的信息安全体制机制，总结其特点并进行比较分析，以期推进我国的信息安全研究进程。

信息安全战略是指导国家制定信息安全政策、计划的纲领性文件，其宗旨与思想对于国家的基本信息安全发展趋势起着重要的作用。进入21世纪以来，美日俄三国各自制定了国家信息安全战略，提出了信息安全目标及确保信息安全的重要手段。

1 美国信息安全战略

美国现行的信息安全战略属于“扩张型”的信息安全战略。美国一直在努力设计一种战略来应对信息安全威胁和保护自身利益，从“主张发展优先”逐渐变化为“主张安全优先”，从“适度安全”到“先发制人”，通过不断改变信息安全战略，来确保国家的网络信息安全。克林顿时期信息安全战略主要注重对网络基础设施的保护，重点在于“全面防御”；小布什时期的信息安全战略受“9 · 11”事件的影响，主题变为网络反恐，重点在于“攻防结合”；奥巴马时期的信息安全战略以“预防为主，网络威慑”为主题，不仅把网络列为关键基础设施，而且把它升级为国家战略资产，是国家安全与经济的命脉，进一步加大了在网络领域的战略攻防力度，注重运用军事手段维护信息安全，试图强化并利用其在网络空间中的领先优势，谋求全面“制网权”。

在美国颁布的众多信息安全战略中，较为重要的有五个。一是《确保网络空间安全的国家战略》，该战略将信息安全提升至国家安全的战略高度；二是《美国网络安全评估报告》，该报告表示来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一；三是《国防网络安全战略》，这是美军网络司令部自成立以来颁布的第一份总纲式文件；四是《网络空间国际战略》，该战略主要介绍了美军在网络领域的战略计划，包括把网络空间正式列为与陆、海、空、太空并列的美军“作战领域”；五是《国防部网络空间行动战略》，旨在加强美军以及重要基础设施的信息安全保护。

（1）《确保网络空间安全的国家战略》。该战略于2003年2月14日公布，是美国在信息安全方面专门出台的第一份国家战略，既凸显了小布什政府对美国信息安全的担心与重视，也显示出其在新世纪确保美国信息霸权和安全的长远战略目标，对美国未来的国家安全战略指导思想、信息安全管理机制产生深远的影响。该战略强调发动社会力量参与保障信息安全，重视发挥高校和社会科研机构的力量，重视人才的培养和公民的信息安全意识教育。

（2）《美国网络安全评估报告》。该报告于2009年奥巴马上台后公布，表示网络空间以及它带来的威胁都是真实的，保护网络基础设施将是维护美国国家安全的第一要务。报告建议任命网络安全官员，负责协调美国的网络安全政策和行动，对民众开展网络安全教育，制定网络安全事件应急计划等。

（3）《国防网络安全战略》。该战略于2011年颁布，提出两大战略措施以实施网络战策略：一是将网络空间看作是与海陆空天一样重要的作战领域；二是采用主动的网络防御措施。美军网络司令部强调，必须发展有效的探测、监控和攻击能力，积极探讨“跨境先发制人”的可行性。

（4）《网络空间国际战略》。该战略于2011年公布，是白宫发布的其历史上第一份网络空间国际战略，制定了针对网络空间的全盘计划。它被白宫官员称为“美国在21世纪的历史性政策文件”，标志着美国互联网政策第一次有了顶层设计，对全球互联网发展趋势产生深远影响。它阐述了美国政府在网络空间着力推进的七大政策重点，分别涉及经济、网络安全、司法、军事、网络管理、国际发展、网络自由等领域，这七大政策重点构成了美国“网络外交”的主要内容。

（5）《国防部网络空间行动战略》。该战略于2011年公布，被美国国防部长称为是保护国家免受灾难性网络攻击战斗中的一座里程碑。它的颁布旨在加强美军及重要基础设施的网络安全保护。新战略包括五大支柱：第一，将网络空间列为与陆、海、空、太空并列的“行动领域”，国防部以此为基础进行组织、培训和装备，以应对网络空间存在的复杂挑战和巨大机遇；第二，变被动防御为主动防御，从而更加有效地阻止、击败针对美军网络系统的入侵和其他敌对行为；第三，加强国防部与国土安全部等其他政府部门及私人部门的合作，在保护军事网络安全的同时，加强重要基础设施的信息安全防护；第四，加强与美国的盟友及伙伴在网络空间领域的国际合作；第五，重视高科技人才队伍建设并提升技术创新能力。

2 日本信息安全战略

日本实施的是“保障型”信息安全战略，强调“信息安全保障是日本综合保障体系的核心”。日本积极推进IT立国战略，在信息产业领域，日本先后制定了三项重大的国家战略，即e-Japan战略、u-Japan战略和i-Japan战略。这三个战略紧密围绕日本信息产业乃至整个国民经济在不同时期的发展方针和重点，形成一个前后衔接、循序渐进的战略体系，推动了日本信息化进程，使得信息化建设飞速发展。

日本制定的一系列信息安全保障策略中较为重要的有五个。一是e-Japan战略，该战略宗旨是使每个国民都能灵活运用IT技术，最大限度地享受IT技术带来的恩惠，实现知识创造型社会；二是u-Japan战略，该战略是希望催生新一代信息科技革命，实现无所不在的便利社会；三是i-Japan战略，要点在于实现数字技术的易用性，确保信息安全；四是《日本保护国民信息安全战略》，旨在保护日本公众日常生活正常运转不可或缺的关键基础设施的安全；五是《网络安全战略》，旨在创建“领先世界的强大而有活力的网络空间”，实现“网络安全立国”。

（1）e-Japan战略。该战略于2001年公布，是日本的ICT（信息和通讯技术）战略。其目标是到2005年日本成为世界最先进的ICT国家，宗旨是使每个国民都能灵活运用IT技术，最大限度地享受IT技术带来的恩惠，实现知识创造型社会。具体采取建设超高速互联网实现网络的常时联通制定电子商务交易规则、实现电子政府、 重点培养适应新时代需求的IT人才等措施，创造一个宽松的环境，使民间企业按照市场经济原理最大限度地发挥自身能力，在5年之内使日本跻身世界最先进国家行列。

（2）u-Japan战略。该战略于2004年公布，其理念是以人为本，实现所有人与人、物与物、人与物之间的连接，计划到2010年将日本建设成一个“任何时间、任何地点、任何人、任何物”都可以上网的环境，并由此催生新一代信息科技革命。此战略将以基础设施建设和利用为核心在三个方面展开。一是泛在社会网络的基础建设；二是ICT的高度化应用；三是与泛在社会网络基础建设、ICT应用高度化相关联的安心、安全的“利用环境整备”。

（3）i-Japan战略。该战略于2009年公布，旨在构建一个以人为本、充满活力的数字化社会，让数字信息技术如同空气和水一般融入每个角落，并由此改革整个经济社会，催生新的活力，积极实现自主创新。其要点在于实现数字技术的易用性，突破阻碍数字技术适用的各种壁垒，确保信息安全，最终通过数字化和信息技术实现向经济社会的渗透，打造全新的日本。“

（4）《日本保护国民信息安全战略》。该战略于2010年公布，通过实施该战略，力争于2020年前，在确保日本国民有效利用互联网及信息系统等IT技术的同时，努力克服信息技术方面的脆弱性，从而为日本国民打造一个能放心使用的信息通信环境（高品质、高可靠性、安全且安心的环境），使日本成为世界“信息安全先进国”。

（5）《网络安全战略》。该战略于2013年公布，旨在创建“领先世界的强大而又有活力的网络空间”，实现“网络安全立国”。其中提出了多项强化措施，包括将在自卫队设立“网络安全卫队”，2015年还将组建属于日本政府的网络安全中心，并提出重视应对作为国家安全新课题的网络攻击以及太空安全利用的方针。

3 俄罗斯信息安全战略

俄罗斯依据本国国情，实施“综合型”信息安全战略，强调“以维护信息安全为重点，维护国家的综合安全”。随着信息化建设步伐的加快，俄罗斯对国家信息安全的重视程度也日益提高，信息安全已被纳入国家安全战略。俄罗斯政府认为，社会的稳定、公民权利和自由的保障、法制秩序以及国家财富的维护，在现阶段很大程度上都取决于信息安全保障和信息防护等问题的有效解决。

俄罗斯政府推出的一系列信息安全战略中较为重要的有四个。一是《俄罗斯国家安全构想》，在该构想中，信息安全被明确定为是保障国家安全的重中之重；二是《俄罗斯联邦信息安全学说》，该学说是制定俄罗斯联邦信息安全保障方面的国家政策和进行信息安全活动的基础；三是《俄罗斯2020年前国家安全战略》，该战略的制定表明俄罗斯已经结束信息化过渡时期，进入了长期战略发展的高水平时期；四是《2020年前国际信息安全国家基本政策》，这份由俄罗斯多个部门联合审议的文件将成为未来一段时间内，俄罗斯应对信息安全威胁的纲领性文件。

（1）《俄罗斯国家安全构想》。该构想于1997年公布，是由俄罗斯总统签署的第一份构想文件。它的颁布标志着俄罗斯“综合型”信息安全战略的初步框架成型。该“构想”强调“信息安全是重中之重”，在当前和可以预见的未来，俄罗斯面临的主要威胁不具有军事性质，而主要是内部性的，并集中于内政、经济、社会、生态、信息和精神领域。在保持核遏制潜力的情况下，俄罗斯和世界主要国家关系的全新发展以及事实上不存在对俄罗斯发动大规模入侵的威胁。

（2）《俄罗斯联邦信息安全学说》。该学说于2000年公布，是俄罗斯信息安全领域最重要的纲领性文件。它是有关俄罗斯联邦信息安全保障的目标、任务、原则及基本方针等官方观点的总和，是制定俄罗斯联邦信息安全保障方面的国家政策和进行信息安全活动的基础，全面阐述了俄罗斯联邦在信息领域的国家利益及其保障、面临的信息安全威胁种类和来源，以及俄罗斯联邦信息安全的现状与保障信息安全的主要任务，并在此基础上提出了保障国家信息安全的基本方法。该学说为“构筑未来国家信息大厦”奠定了基础，为对抗外国向俄罗斯政治、经济、军事等领域的信息情报渗透起到指导作用。

（3）《俄罗斯2020年前国家安全战略》。该战略于2009年颁布，是对2000年版《俄联邦国家安全构想》的继承和发展，既保持了俄罗斯国家安全领域政策的延续性，也反映出新时期俄安全战略的一些新变化。《战略》的制定表明，俄罗斯已经结束过渡时期，进入了信息化长期战略发展的高水平时期。该战略被俄总统称为国家“综合性基础文件”，阐述了俄罗斯在国防、内政、外交及经济等领域面临的主要安全威胁及应对手段，界定了俄罗斯的国家安全利益所在。

（4）《2020年前国际信息安全国家基本政策》。该政策于2013年公布，将成为未来一段时间内，俄应对信息安全威胁的纲领性文件。文件指出，俄罗斯在网络安全领域面临的威胁包括将信息通信技术用于恐怖活动等目的，以及制作和传播有害程序等。俄罗斯应对国际网络安全威胁的主要方式是开展国际合作。俄罗斯希望在上合组织、独联体集体安全条约组织和金砖国家盟友的帮助下，实施在该领域的一系列倡议。

4 美日俄信息安全战略比较

美日俄三国依据各自的信息化发展速度及其基本国情制定了相应的信息安全战略，并随着时间的推进，对信息安全战略进行了相应的调整。纵观三国的信息安全战略，存在以下四个特点：

（1）大国安全竞争态势突出。为争夺网络空间权益特别是主导权，各大国积极进行战略谋划和利益协调，致力于构建网络战略同盟。美国力争实现网络霸权，在2011年的《网络空间行动战略》中提出，要以传统军事手段和网络攻击方式来反击网络攻击；日本力争与美国合作控制网络空间，在获取更大权利方面与美展开激烈竞争，日本已明确表示将建立攻击型网络部队，并在必要时主动发动网络战争；而俄罗斯积极反对西方借推行网络自由之名，行霸权之实。

（2）网络军事化趋势不可逆转。近几年，美日俄在信息安全战略方面都非常注重“网络战”，美国将“网络空间”称为其第五大作战领域，并于2011年在《网络空间行动战略》中宣称，要以传统军事和网络进攻方式来主动反击网络攻击。并于同年率先成立网络司令部；日本则在最新的信息安全战略草案中提出日本政府将在自卫队专门部署“信息安全卫队”，以应对网络攻击；俄罗斯2000年公布的《俄罗斯联邦信息安全学说》本身就是为了“在同西方的信息竞争中确保俄罗斯的生存与发展，为同西方进行信息战做准备”而制定的信息安全战略。

（3）意识形态成为重要战略目标。越来越多的国家把网络空间视为维护和拓展自身价值观的重要领域，使信息安全战略带有浓重的意识形态色彩。美国提出互联网自由政策，在网络空间内大力推进民主、自由、人权等美式核心价值观；日本提出的建设未来社会的目标之一是建设一个向世界传播信息，并引以为豪的社会，提高日本在国际社会中的作用；俄罗斯确定的网络国家利益之一就是保护公民权利、俄罗斯精神复兴、加强社会的道德价值观、爱国主义和人道主义传统。

（4）各国信息安全战略的侧重点不同。美国采取的是“扩张型”信息安全战略，组建全球最强大的“世界信息战略指挥中心”，构建了“网络中心战”和覆盖全球的信息网络，培训全球最强大的信息化军队，精心研究开发信息战高新技术，研究探索信息战的规律并制定扩张型信息战战略战术；日本实施的是“保障型”信息安全战略，强调“信息安全保障是日本综合保障体系的核心”。通过颁布新战略计划、成立信息安全机构、打击网络黑客、治理垃圾邮件等，以保证本国的信息安全；俄罗斯实施的是“综合型”信息安全战略，强调“以维护信息安全为重点，维护国家的综合安全”，并为此采取了种种措施，如提出并实践“第六代战争”论即网络信息战，加快信息安全理论转变等。

（未完待续，系列之二《信息安全法规建设》见下期）