由《国家信息化发展战略纲要》看我国网络安全顶层设计
2016-11-08左晓栋
左晓栋
由《国家信息化发展战略纲要》看我国网络安全顶层设计
左晓栋
左晓栋 博士,中国信息安全研究院副院长。
2016年7月,中办、国办印发了《国家信息化发展战略纲要》(以下简称《战略纲要》),这是规范和指导未来10年国家信息化发展的纲领性文件,是国家战略体系的重要组成部分,是信息化领域规划、政策制定的重要依据。其中,《战略纲要》在总结已有成绩基础之上,面向新时期维护国家安全的重大需求,对网络安全工作作出了新的顶层设计,这是近年来,我国以文件形式对国家网络安全战略的最清晰阐述。
一、历史上我国对网络安全作出的四次顶层设计
所谓顶层设计,既要有系统性,能够从全局出发,涵盖主要工作,并确保各项工作的协调一致;也要有前瞻性,能够应对形势的不断发展,在相对较长一段时间有效;此外,还要有指导性,能够指方向、立目标、定原则、明思路。在《战略纲要》印发前,历史上我国曾对网络安全作出过四次顶层设计。其中包括三份文件,以及中央网络安全和信息化领导小组成立后提出的“网络强国”战略。
一是,2003年9月,中办、国办印发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)。这是我国首次对网络安全工作作出顶层设计,明确了加强网络安全工作的总体要求和主要原则,提出了实行信息安全等级保护、加强以密码技术为基础的信息保护和网络信任体系建设等任务。27号文的历史地位十分重要,具有划时代的意义。文件不但对安全与发展的关系、信息安全责任制等重大理论问题首次作出解答,统一了思想,还勾勒出了我国信息安全工作的发展脉络。可以说,10年来我国的信息安全的主要工作基本上都是按照27号文的部署在推进。
二是,2005年5月,国家信息化领导小组印发了《国家信息安全战略报告》(国信〔2005〕2号)。这是我国首部真正意义上的网络安全战略。27号文侧重于工作部署,但战略性不突出,对信息内容安全的关注也不够,《国家信息安全战略报告》则弥补了这一缺憾,在更高层面确定了国家信息安全的战略布局和长远规划。但这份文件的知悉范围有限,加之受后来的机构变化等因素影响,文件对实际工作的指导作用并没有27号文显著。在此之后,中办、国办印发了《2006—2020年国家信息化发展战略》(中办发〔2006〕11号),其中涉及到了网络安全,但仍没有超出27号文的范畴。
三是,2012年6月,国务院印发了《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)。文件继承了27号文件,对2012年之后一段时期的重要工作提出了要求。但这些要求仅为了突出重点、解决急迫问题,不求面面俱到。一个显著特点是,23号文有意避开了信息内容安全,因为国家互联网信息办公室成立后这方面的工作已另有部署。此外,23号文仍停留在“就事论事”的阶段,不是战略意义上的文件,没有改变我国网络安全战略缺失、网络安全工作的战略统筹不够的局面。
四是,中央网络安全和信息化领导小组在2014年2月召开第一次会议,描绘了“网络强国”的宏伟蓝图。此后,习近平总书记于2016年4月亲自主持召开网络安全和信息化工作座谈会,进一步明确了我国网络安全工作的一系列重大问题,使我国朝向网络强国的战略目标加速前进。这个目标分为近、中、远期。近期目标是:技术强,即要有自己的技术,有过硬的技术;内容强,即要有丰富全面的信息服务,繁荣发展的网络文化;基础强,即要有良好的信息基础设施,形成实力雄厚的信息经济;人才强,即要有高素质的网络安全和信息化人才队伍;国际话语权强,即要积极开展双边、多边的互联网国际交流合作。中期目标是,网络基础设施基本普及、自主创新能力增强、信息经济全面发展、网络安全保障有力。远期目标是,战略清晰,技术先进,产业领先,制网权尽在掌握,网络安全坚不可摧。
二、《国家信息化发展战略纲要》在网络安全战略思想上取得新突破
《战略纲要》并不是一份独立的网络安全战略,但仍可看作是对我国网络安全工作作出的第五次顶层设计,其在战略理论上实现了多项突破。
(一)指导方针上,进一步深化了安全与发展的辩证关系
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)曾深刻指出,要正确处理安全与发展之间的关系,以安全保发展,在发展中求安全。这在2006年的信息化战略中也是一条重要的指导方针。
此次《战略纲要》更深刻诠释了安全与发展“一体两翼、双轮驱动”的辩证关系,将“以安全保发展,在发展中求安全”升级为“以安全保发展,以发展促安全”。“以安全保发展”表明安全是发展的基础,“在发展中求安全”强调了要在发展中解决安全问题,而不是用停滞发展来确保安全。但“以发展促安全”则进一步要求,要用发展的手段解决安全问题,通过发展为维护网络安全提供物质基础。这与习近平总书记总体国家安全观中“富国才能强兵、强兵才能卫国”的思想一脉相承,内涵十分丰富,将安全与发展辩证关系升华到了新的高度。
(二)战略目标上,立志解决最大的安全隐患
2006的信息化发展战略提出的总体目标为“国家信息安全保障水平大幅提高”,这不是一个可衡量的、带有阶段性特征的目标,对实际工作的指导意义不强。这与当时我国网络安全基础薄弱、头绪过多有关。在具体目标上,2006年的信息化发展战略提出,在2020年前突破和掌握一批关键、核心技术,实现信息技术从跟踪、引进到自主创新的跨越,并笼统要求“国家信息安全保障体系较为完善,信息安全保障能力显著增强”。
此次《战略纲要》则明确要求,在2025年“根本改变核心技术受制于人的局面,形成安全可控的信息技术产业体系”。核心技术是网络安全的“命门”,核心技术受制于人是我们最大的隐患。只要这个问题不解决,我们的网络安全体系就根基不稳、危在旦夕。倘若十年以后的“十四五”末期,我们还不能扭转受制于人局面,“网络强国”和“中华民族伟大复兴中国梦”实在无从谈起。对这样一个十分具体而关键的目标,我们没有任何退路,否则要承担历史责任。当然,这是对恒心、信心、重心的巨大考验。
(三)更全面地揭示和遵循网络安全的内在规律
2006年的信息化战略对网络安全内在规律有一个基本把握:网络安全是基于风险的,要综合平衡安全成本和风险,既要防止过保护,也要防止欠保护。这一基本规律直接决定了使用什么方法维护网络安全,这之后的信息安全等级保护、风险评估等工作部署,均来源于此。
但这只是网络安全内在规律的一部分。随着对客观世界认识的不断深化,《战略纲要》指出,要“树立正确的网络安全观”。这包含五个方面:网络安全是整体的而不是割裂的;网络安全是动态的而不是静态的;网络安全是开放的而不是封闭的;网络安全是相对的而不是绝对的;网络安全是联系的而不是孤立的。习近平总书记在4月19日的网络安全和信息化工作座谈会上,对“正确的网络安全观”进一步作了深刻阐述。
(四)由“防范”改为“应对”,防御和威慑能力并举
2006年的信息化战略要求坚持“积极防御、综合防范”,两者实际上是一回事,都是重在“防”,只是前者强调行动的事前性,后者强调手段的全面性。但再“积极”、“综合”的“防御”与“防范”,终究是防守。面对严峻的网络安全斗争形势,我们急需形成网络威慑能力。当然,这不是要发展网络攻击,而是要通过威慑能力建设,使对手在采取行动前“三思而后行”,从而以慑止战,达到更有效保护自身的目的,实现网络空间真正的稳定与平衡。
为此,《战略纲要》改为,要坚持“积极防御,主动应对”,并“增强网络安全防御能力和威慑能力”,这对维护国家网络空间主权、安全、发展利益具有重大意义。
三、《国家信息化发展战略纲要》在网络安全战略任务上实现继承与发展
作为信息化领域的战略文件,《战略纲要》无法对网络安全工作作出全面部署。恰恰因为如此,其提出的网络安全战略任务构成了我国网络安全工作最重要的“四梁八柱”,具有极端的重要性、紧迫性。
(一)保护重点由“2+8”扩展至关键信息基础设施
任何一个国家的信息化或网络安全战略,都要确定保护重点,这是战略文件的“规定动作”。2006年的信息化战略确立的重点是“基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统”。在实际工作中,具体落实为广播电视传输网、电信网、互联网,以及银行、保险、证券、民航、铁路、税务、海关、电力等领域的信息系统,俗称“2+8”(三大基础网络由两个部委主管)。
随着信息通信技术在国民经济各行业加速渗透,上述保护范围显然已经过窄。此外,鉴于这类系统的重要性,有必要建立专门安全管理制度。为此,近年我国提出了“关键信息基础设施”的概念,取代了“基础信息网络和重要信息系统”。《战略纲要》要求“建立实施关键信息基础设施保护制度”。最近征求意见的《网络安全法》(草案二审稿)则与此呼应,指出“关键信息基础设施的具体范围和安全保护办法由国务院制定”。
(二)首次提出维护“网络主权”的重大任务
网络主权原则是我国关于全球网络空间安全的核心主张。习近平总书记在第二届世界互联网大会上提出,要尊重网络主权,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。我国《国家安全法》规定,维护国家网络空间主权、安全和发展利益。《战略纲要》将“维护网络主权”作为一项重大任务,要求“坚定捍卫我国网络主权”。主权不容侵犯,主权问题不容商量,为了维护网络主权,我们应当采取包括政治、外交、经济、司法等在内的一切手段,不排除军事手段。
“网络主权”是《战略纲要》相比2006年信息化战略的重大变化,这是提升我国在全球网络空间治理活动中的制度性话语权的必然要求。
(三)更深刻地认识开放与自主的关系,建立起在开放环境中维护国家网络安全的能力
在制定2006年的信息化战略时,开放与自主尚未成为一对主要矛盾,对这个问题的认识尚停留在浅层次。当前,经济全球化深入发展,信息流引领技术流、资金流、人才流。如何辩证认识和处理好开放与自主的关系,这是一项新的课题。一方面,确定核心技术的突破路线时,要考虑如何利用全球创新资源,选对“肩膀”;另一方面,我们的网络安全政策要兼顾入世承诺。习近平总书记深刻指出,不能把自己封闭世界之外,必须树立全球视野和开放心态。但在开放环境中维护国家网络安全,需要科学的手段,以确保产品和服务的安全性、可控性,防止产品提供者借助提供产品之便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。这就是网络安全审查制度,《战略纲要》将其作为一项重要的战略任务予以部署。
(四)进一步强化基础性工作
基础不牢,地动山摇。网络安全工作永远要注重夯实基础。但在不同时期,基础性工作包含的内容有所差别。一方面,《战略纲要》要求继续抓好带有长期性特点的基础性工作,做深做实,如网络安全技术研发、等级保护、风险评估、人才教育、标准化等工作;另一方面,对于没有如期完成的专项基础性工作,还要求尽快见效,如网络安全认证认可工作。此外,针对网络安全形势发展,还有一些新的基础性工作被提上了议事日程,如态势感知工作,这些工作将在《战略纲要》的指导下逐步落实。
(五)将国际合作推向深入
十年前,我们的重点是“办好自己的事情”,如今,建设网络空间命运共同体是大势所趋。更重要的是,面临日益复杂的网络空间国际竞争,我们必须主动作为,增强在全球维护网络空间安全利益的能力。
《战略纲要》表明了我们在国际上对网络安全的基本立场和主张,明确了我们的主要行动措施。一是在网络空间这一新的治理领域,抓住新赛场新规则正在形成的机遇,积极参与国际网络空间安全规则制定,为国际社会贡献中国方案;二是推动建立多边、民主、透明的国际互联网治理体系,积极参与和推进ICANN国际化改革。我们并不反对多利益攸关方治理模式,但强调各利益攸关方必须按其角色和责任行事,不能抵消甚至取代政府的主导权;三是加强国际网络空间执法合作,推动制定网络空间国际反恐公约;四是健全打击网络犯罪司法协助机制,共同维护网络空间和平安全。
四、结语
无疑,《战略纲要》的出台部分回应了国内外对我国网络安全战略的疑问或期盼。但这毕竟不是一份独立的网络安全战略,无论是对外宣示,还是对内指导工作,都还不够。我国在新时期的网络安全战略自2011年启动编制,千呼万唤难出来,不能不说是一种遗憾。《网络安全法》(二审稿)规定,国家制定并不断完善网络安全战略。这是以最严肃的形式表明国家对网络安全战略的重视,期盼能够在不远的将来落地。
(责任编辑:李晓晖)
G20
A