日本网络安全体系的布局、特征及其启示
2021-07-08胡薇
胡薇
摘 要:网络空间治理和网络安全已经成为社会经济治理与国家安全的重要组成部分。在“IT立国战略”背景下,日本高度重视网络安全,建立了一整套颇具特色的网络安全治理体系。在对日本网络安全体系结构和特点进行探讨的基础上,重点分析其网络安全战略观和国际化策略背后的实际动机,以及从中折射出的西方发达国家对于网络空间主权的态度,提出对于我国网络安全体系建设的启示。
关键词:网络安全;网络空间;国家战略;日本
基金项目:国家社会科学基金后期资助项目“日本智库研究: 经验与借鉴”(17FGJ004)。
[中图分类号] D73/77 [文章编号] 1673-0186(2021)004-0126-011
[文献标识码] A [DOI编码] 10.19631/j.cnki.css.2021.004.011
网络空间又称“信息空间”,指的是基于互联网设施或其他网络设备而产生的信息存储与交换的虚拟空间。随着互联网和通信技术的发展以及计算机和移动电话等信息通信设备的普及,网络空间的范围迅速扩大,已经渗透到公民生活的各个角落。与此相应,网络空间不仅成为经济与社会生活的重要载体,也成为不法分子攻击的目标和国家及各种政治势力之间渗透与反渗透的战场。网络空间治理和网络安全已经成为社会经济治理与国家安全的重要组成部分。
日本不仅是世界上网络信息技术研发水平和信息化建设程度双高的国家之一,也对网络安全与防御能力建设极为重视。在进入21世纪之后,日本在网络空间治理方面制定了全面的战略计划,进行了大量制度建设,并且积极推进广泛的国际合作,形成了较为全面的网络安全管理机制。日本在网络空间治理上的举措为我们提供了一个了解西方国家网络空间主权问题真实心态的窗口,同时也为我国的网络空间治理和网络安全提供了借鉴。
一、日本网络安全战略的顶层设计与组织架构
日本为构建“世界最尖端的IT国家”,十分重视与之相匹配的“安全的网络空间”的顶层设计,以及相应的法律与政策基础和组织架构。
(一)日本网络安全战略的顶层设计
日本政府在确立并全面推进“IT立国战略”到“网络强国战略”过程中,经历了从IT国家基本战略到信息安全政策再到网络安全战略的布局转换。2000年7月日本内阁宣布成立“IT战略本部”,时任首相森喜朗亲任部长。其后,为了进行与基本战略制定和其他官民统一、横贯性信息安全对策推进相关的企划、立案以及综合调整,作为信息安全政策的指挥塔,2005年4月在内阁官房设置了“信息安全中心”,在“IT战略本部”下成立了“信息安全政策委员会”,由内阁官房长官担任议长,内阁官房信息安全中心作为信息安全政策委员会的事务局,进一步强化了内阁主导网络安全工作的地位与作用。
2014年日本制定了《网络安全基本法》,明确了网络安全战略的法律地位。其后,日本政府相继制定并发布了2013年版、2015年版、2018年版《网络安全战略》,作为日本国家网络安全建设的纲领性文件,对日本政府的网络安全理念、战略目标、基本原则、行动方向、具体举措等做出了详细阐述。其中2015年版《网络安全战略》被时任首相安倍晋三称为“未来网络安全政策的指南针”和“日本安全保障的重要战略支柱”,在重新评估日本网络安全形势的基础上,提出了日本网络安全战略新的目标、原则和措施,确定了日本网络安全的体制和未来方向。根据该法规定,日本政府将“信息安全政策委员会”升级为“网络安全战略本部”,作为具有法律授权的国家网络安全政策最高指挥机构①,由内阁官房长官牵头负责,并将“内阁官房信息安全中心”升级为“内阁网络安全中心”,作为网络安全战略本部的事务局,主要负责推进基于本战略的各项网络安全措施,发布与网络安全相关的政策文件,并负责政策解读。
(二)日本网络安全战略的法律与政策基础
作为一个重视法制建设的国家,日本政府在推进网络安全相关组织机构建设时,均要求法律先行,强调依法管理,通过法律来体现和实施其网络安全战略。与之相适应,实施网络安全战略政策文本得到不断充实和完善,以确保有法可依。从《信息安全政策指导方针》的出台到《IT国家基本战略》的发布再到《IT基本法》的颁布施行,从《保护国民信息安全战略》到《网络安全战略》再到《网络安全基本法》,日本以法律条文的形式对“网络安全”的定义、主体、权责及战略理念等内容均做出了明确规定,使其拥有了国家网络安全建设的纲领性文件。以基本法为核心的相关政策文本和法律条文为日本政府制定国家层面的网络安全战略提供了有力的法律依据和保障,如2001年1月日本政府依据《IT基本法》在内阁成立“高度信息通信网络社会推进战略本部”;2013年6月发布首份《网络安全战略》,不但确定了日本建立“引领世界、强大且富有活力的网络空间”的目标,同时还提出了以“网络安全立国”方针为基础的未来三年行动方向和强化措施,要求进一步强化作为最高指挥机构的“内阁官房信息安全中心”的职能,有效加强网络安全领域政府機构跨部门监测与应急协调机制,以及政府部门和相关专业机构针对网络安全事件的动态响应的机制化合作等①;2015年9月和2018年7月日本政府依据《网络安全基本法》分别制定并发布了两版《网络安全战略》。
为了推进官民一体的信息安全对策,日本政府依据《IT基本法》设置的“信息安全政策会议”先后于2006年和2009年制定发布了第一期和第二期《信息安全基本计划》,在确立信息安全政策和基本目标的同时,持续关注确保信息自由流通与切实应对风险之间的平衡,促进政府机构和关键基础设施机构提升信息安全水平,加强对网络攻击的应对机制与能力建设等。《保护国民信息安全战略》将针对网络空间所有威胁的应对能力提升到世界最高水平为目标,强调不断推进应对海外大规模网络攻击事件等环境变化及其相应处置体制的完善、日常信息收集与共享体制的构建、从安全保障和危机管理角度出发的措施强化等。为促进日本在网络空间领域与世界各国的合作关系,2013年10月制定的《网络安全国际合作政策》明确提出了推进网络安全国际合作的基本原则、方针和优先领域②。此外,为了有效强化对信息安全问题的应对,日本制定并颁布实施了一系列有关信息安全和网络安全的基础法案,包括《特定电子邮件法》《反垃圾邮件法》《个人情报保护法》和《交友类网站限制法》等[1],为有效推进网络空间治理、打击网络犯罪提供了法治保障。
(三)日本网络安全战略的组织架构
日本政府在网络安全上的方针是通过确保网络安全,进而促进信息通信技术和相关数据的应用,夯实经济社会活动基础,以谋求日本的安全保障。在此方针之下,相关部门发挥各自职能的同时,政府一体化推进网络安全对策成为关键。为此,日本网络安全战略本部以其事务局“内阁网络安全中心”为中心,强化相关机构的能力建设,同时肩负以促进各府县厅之间的综合协调和产官学民共同合作为核心的主导作用。为了保障各府县厅基于《网络安全战略》的各项措施能够得到切实有效的实施,网络安全战略本部要确保并执行必要的经费预算。在统一标准下,各府县厅的最高信息安全责任者(CISO)负责在各年度初期制定《对策推进计划》。内阁官房基于各府县厅的《对策推进计划》,结合上一年度的业绩综合评价结果,以及本年度关于网络安全对策的整体规划,汇总编制预算方案。
日本网络安全战略主要涉及的政府部门包括内阁、经济产业省、总务省,密切相关部门有防卫厅和警察厅。在日本网络安全机制架构中,经济产业省居于核心地位。2013年的《网络安全战略》即由经济产业省制定发布。经济产业省通过独立行政法人信息处理推进机构(IPA:Information-technology Promotion Agency,以下简称“信息处理推进机构”)发送旨在推进经营保密相关对策的信息等,同时还基于《反不正当竞争法》的修订,制定与合理数据共享及应用相关的业务指南。
经济产业省借助信息处理推进机构在日本全国开展网络安全救援的具体业务,明确中小企业的真实情况和所需的服务内容与级别等,注重提升中小企业的网络安全意识。为了强化中小企业的安全对策,经济产业省通过信息处理推进机构普及《中小企业信息安全对策指导方针》,举办“讲习能力培训班”,为中小企业援助机构等主办的信息安全对策援助培训班提供合作支持等。经济产业省通过产业网络安全研究会举办的WG1(制度、技术、标准化)负责制定并不断推进“网络与现实安全对策框架”的社会实践,针对“Internet of Things(物联网,以下简称“IoT”)”设备等构建的网络空间及其与现实空间之间的连接,为确保整个系统的安全性和可靠性开展相关研究。
总务省与其主管的国立研究开发法人信息通信研究机构(NICT:National Institute of Information and Communications Technology,以下简称“信息通信研究机构”)密切合作,承担维护网络系统安全的职责。以IoT系统的安全为例,总务省负责针对网络上脆弱的IoT设备制定安全保障对策,信息通信研究机构则针对密码设定等方面存在的缺陷以及受到网络攻击恶意利用威胁的IoT设备进行调查,运用“NOTICE”系统通过电气通信运营者向使用者发出警示,利用“网络攻击观测网”向检测到被恶意软件入侵的机器使用者发出提示。
此外,防卫厅负责组织网络安全战略中反网络攻击相关技术的研究[1],搜集与分析网络安全信息,进行网络实时监控,应对网络攻击事件等。自卫队也越来越深入地介入网络安全事务,2014年3月,自卫队在其指挥控制通信计算机系统司令部下设立了“网络防卫小组(Cyber Defense Group)”。防卫厅2018年12月发布的《2019财政年度及以后的国家防御计划指南》中更是将网络空间安全纳入日本自卫队的职责范围,并且计划成立专门的部队进行网络攻防作战①。
二、日本网络安全战略的特点
在欧盟和美国、英国、德国、法国、韩国等国家相继出台国家网络安全战略的大背景下,日本自2013年6月发布首份《网络安全战略》以来,不断推进和完善国家网络安全建设及其相关措施,并已逐步建立了一套具有日本特色的网络安全治理体系。
(一)重视官民合作
与日本军事工业“寓军于民”的风格极为类似,日本的網络安全战略体系也极为强调“官民合作”。在日本的网络安全体系中,企业、大学、智库等民间力量占有重要地位。在不断强化网络安全风险意识的基础上,日本政府积极引导这些民间力量参与相关政策制定和技术研发,并进行多种形式的交流与协作,以弥补政府能力和资源的不足。例如,从内阁网络安全中心(2013年前为“内阁官房信息安全中心”)官方网站公布的委托研究项目情况可知,在2004—2017年完成的40个项目中,由内阁官房信息安全中心发布的成果有2项、公益财团法人未来工学研究所发布的成果有5项,除4家企业完成了8项成果外,其余25项成果分别由8家企业智库完成并发布,其中,完成项目成果最多的企业智库为株式会社三菱综合研究所,共10项;其次是株式会社信息通信综合研究所共6项;株式会社NTT数据经营研究所完成5项,瑞穗信息综研株式会社完成4项,株式会社野村综合研究所完成1项②。
在参与日本网络安全战略体系的民间机构中,智库扮演着特殊的角色,不仅在公共政策决策中提供智力支撑,还承担政府机构与民间实施主体间的桥梁作用,推进网络安全相关政策的落实与执行,如作为半官方智库的信息通信研究机构依据《国立研究开发法人信息通信研究机构法》第14条的规定,从事信息的电磁流通以及电波利用方面的相关技术调查、研究、开发等业务。作为日本唯一一家专门以信息通信技术为专业领域的公共研究机构,信息通信研究机构积极响应日本的网络安全政策,致力于从中长期视角出发推进世界最尖端的基础性研究开发工作;在研究开发的基础上,不断努力开展相关业务,力求实现研究成果社会价值的最大化①。信息通信研究机构与政府部门间保持着密切联系,其业务相关事项中大部分由总务大臣作为业务主管大臣,一部分业务则由总务大臣分别和财务大臣、文部科学大臣、农林水产大臣、国土交通大臣或国家公安委员会共同作为业务主管大臣。
信息处理推进机构作为经济产业省主管的政策实施机构成立于2004年1月5日,其前身是设立于1970年10月1日的“特别认可法人信息处理振兴事业协会”。信息处理推进机构积极践行其半官方智库的职能,承接以网络安全战略总部和内阁网络安全中心为主委托的研究业务,旨在提高各独立行政法人及指定法人机构自主制定并持续完善网络安全对策的能力,基于信息安全监查(建言型管理监查和渗透测试)和对不正当通信的监查,实施网络攻击监测等业务②。
(二)推动数据共享
为了便利网络安全领域的官民合作,最大程度地发挥相关研究成果的社会价值,日本积极推动网络安全系统与数据的共享,构建了规模庞大且结构复杂的网络安全信息共享机制,并于2016年12月颁布了《促进公私部门数据利用基本法》。例如,信息通信研究机构开发的“DAEDALUS”是基于大规模网络监测的预警系统,可监测并识别感染病毒造成的网络攻击。早在《促进公私部门数据利用基本法》颁布之前的2013年11月,信息通信研究机构就开始向地方政府提供警报信息服务,运用DAEDALUS系统对登录的观测对象进行监测,并提供网络攻击监测通报和应对手册,目前参与合作的地方政府已近600个,并且DAEDALUS的成果应用还进一步向商用拓展,面向一般企业提供网络攻击的监测警报信息服务③。
再如,为了防止网络攻击造成损害的扩大化,2011年10月25日,信息处理推进机构在经济产业省的协助下,以重工、重电、关键基础设施所使用的机器制造厂商为中心,作为信息共享和早期应对的平台,提出了“网络信息共享倡议(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)”。其后,13个SIG(Special Interest Group,相似产业领域同行集结为一组)和263个参加组织共同构成的信息共享体制,以及情报处理推进机构支持特定行业内信息共享活动的“信息合作体制”分别确立,网络攻击相关信息共享体制投入实际运行④。J-CSIP充分发挥了信息处理推进机构作为公共机构信息集合点的作用,在参与成员机构之间实现信息共享,推动相关数据信息在网络攻击对策中的有效运用。基于信息处理推进机构和各参与成员机构(或约束参与成员机构的业界团体)之间签订的保密协议(NDA),参与成员机构及其团体企业检测到的网络攻击信息等都会汇集提供给信息处理推进机构。在对信息提供方的身份和遭受损害的事实等细节进行匿名化处理之后,信息处理推进机构会进行相应的分析,然后将这些信息在参与成员机构之间进行共享。
(三)注重人才建设
随着网络攻击的增加,网络安全对策的重要性不断提升,与之相较,能承担此对策的人才明显不足。日本政府为加强人才培养先后推出了《新信息安全人才培养计划》和《网络安全人才培养计划》[2],并已建成两个大型网络安全培训基地,即总务省主管的信息通信研究机构设立的北陆StarBED技术中心和经济产业省设立的控制系统安全中心。
针对具备网络安全相关高水平且有实践能力的人才,日本从2016年10月开始设立了登记制国家资格“信息处理安全专家(RISS:Registered Information Security Specialist)”制度。作为本项制度的实施机构,信息处理推进机构负责考试、登记、讲习等任务,并基于公开登录信息开展人才可视化业务,帮助企业和相关机构获取所需的网络安全人才。截至2019年10月1日,登记人数达到19 417名。与此同时,日本还设立了“信息处理技术人员考试”。它是作为信息处理技术人员的知识和技能达到一定水平以上,由经济产业省进行认定的国家级考试,依据《促进信息处理的相关法律》,与“信息处理安全确保支援士考试”一起,都由信息处理推进机构负责实施。2018年的报考人数达到534 518名。2019年“信息处理安全确保支援士”的报考人数为43 412名,实际参加考试人数28 520名,考试合格人数5 447名①。
为更好地培养专业化人才,日本第一所专门从事信息安全的独立研究生院——信息安全研究生院大学——于2004年开学。该校强调从技术到管理的实践能力,提供灵活的教育计划,以满足信息和网络安全相关学生的各种学习需求,致力于信息安全领域的教育和研究,创造并不斷改进完善全球化信息安全学术体系,包括加密、网络、系统技术、组织管理以及与信息安全相关的法律和道德规范。大学不仅提供技术培训,还开展跨学科的教育和研究,包括法律和伦理学等人文和社会科学领域。为此,该校的教师团队由信息安全技术高级研究人员、顶级管理经验者、IT公司工程师和法律专家等组成,以体系化、系统化的学术方法促进“产业—学术”合作。该校校长后藤厚宏教授曾任NTT网络空间研究所所长、信息处理学会理事、日本学术会议合作成员等职②。此外,该校通过与多家公司、大学和政府机构建立密切的合作伙伴关系,建立合作教授机制,提供包括实习、跨学科研讨会和以实践能力为重点的安全演习,支持企业和政府机构的安全人力资源开发,以实习为中心的短期强化培训课程等,同时还努力加强与当地社区和行业的合作,包括开展联合研究项目和定期举办信息安全公开讲习班等,为提高安全实践能力提供了机会,促进了信息安全技术的研究开发与教育教学的结合。
(四)强调国际合作
日本政府在2018年版《网络安全战略》中明确提出“日本作为国际社会负责任的一员,将为全球网络空间的和平与稳定建言献策”①。为实现“网络安全立国”目标,践行国际责任,日本政府积极向国际社会表明其对于网络安全的基本立场和态度,传播其网络空间理念,积极参与和促进网络空间的国际法治建设,维护网络空间的国际权利,加强国际联合打击网络犯罪等。
在官民等多样化主体参与的国际会议、国际联盟和地区性组织等各种国际场合,日本政府都积极参与网络空间的相关行动规范、对于利用网络空间行为的国际法适用和互联网治理等网络空间相关议题。针对网络空间的安全保障,日本参加了联合国第一委员会下属的政府专家协会,并于2013年6月向联合国提交了关于《国际法也适用于网络活动》的报告。
在网络安全的国际标准方面,日本参加了作为信息安全领域国际标准化活动的ISO/IEC JTC 1/SC 27和ITU-T SG17主办的国际会议,积极推广日本的研究开发成果和以IT环境、基准、指标等为基础的国际标准化,同时开展活动推进物联网(IoT)产品和系统的安全设计(Security By Design)的国际化拓展,在加强日本产业竞争力的同时,以提升国际化IoT安全级别为目标,持续推进日本主导下的网络安全基本框架的国际标准化。
与此同时,参与网络安全政策的日本智库也大力推进国际化建设。如信息通信研究机构不断加强研究开发成果的国际拓展,与日本国内外机构缔结《亚洲与欧洲间研究教育用网络系统备忘录》,加强用于国际研究与教育的网络相互支持,以及和日本国内外研究教育机构间的合作关系。为促进国际拓展,信息通信研究机构基于和东南亚的研究合作关系,于2015年2月设立了虚拟研究合作组织“ASEAN IVO(ICT Virtual Organization of ASEAN Institutes and NICT)”,已推进合作研究项目13个,2019年新启动合作研究项目5个②。
信息通信研究机构不断加强研究开发成果的最大化应用,并加强向国际拓展研究开发成果。信息通信研究机构作为日本国内规模最大的网络安全大数据基地,有能力开展数据驱动的网络安全研究,具备实现从安全大数据到安全信息提取的能力。为此,信息通信研究机构以自身作为试验平台,不断提升网络安全自有技术的验证与评价,并将日本研创的自有安全技术向全球推广。
日本政府为增进互信,避免冲突与误会,积极推进政府间合作,加强网络空间治理和网络威胁信息的采集、分析与国际共享,通过联合演习、国际培训等方式,提高国际网络事件的联合应对与协调能力。日本还通过举办国际会议、签署合作协议、建立多边合作机制等多种形式与渠道,推进网络空间安全国际化建设,其中首推基于日美安保同盟的两国间国际合作。
人才培养也是日本在网络安全国际合作领域的重要内容。为了援助亚洲各国的IT人才培养,日本与菲律宾、泰国、越南、缅甸、蒙古、孟加拉国6国合作设立了以日本信息处理技术人员考试为基础设置的“ITPEC考试(亚洲共通统一考试)”,信息处理推进机构对考试实施进行援助、对考试问题编制等进行指导。此外,信息处理推进机构还积极推进与中国、印度、新加坡、韩国等亚洲圈内实施本国特定IT国家考试的相互认证①。信息通信研究机构与日本国内外机构缔结亚洲与欧洲间研究教育用网络系统备忘录,加强用于国际研究与教育的相互支持与合作。
三、对日本网络安全战略的解读及相关启示
本文从国家主权和参与互联网国际治理合作两个视角出发,重点分析日本的网络安全战略观和国际化策略背后的实际动机,并试图通过借鉴学习日本网络安全战略的具体内容和举措,提出它对于我国网络安全体系建设的几点启示。
(一)从国家主权高度认识互联网安全
日本对于网络安全的高度重视以及相关的战略规划并不是一个独立事件。事实上,出于各种动机,西方发达国家近年来显著加强了以网络安全为名的互联网空间干预能力的建设与合作,并且纷纷制定了有关“网络安全”(尽管网络安全的定义还没有形成各国统一的理解和认定)的国家战略,日本就是其中一个典型代表。这些举措也折射出西方发达国家对于网络空间主权的真实态度。
长期以来,以美国为首的西方国家一直对于网络空间主权概念及相关议题持消极态度,从而与我国等发展中国家的积极态度形成了鲜明对比。这种反差很大程度上是双方在互联网技术与影响力上存在较大差异的结果。正如同当年的12海里领海制度之争一样,在互联网领域处于优势地位的西方国家更希望在网络空间的国家治理权限上保持模糊状态,从而使其享有更大的自由度。但是这种状况在近年来有了较大改变。一方面,我国等新兴市场国家的互联网影响力迅速崛起使得双方的实力不再那么悬殊,相应地,美国政府在我国等互联网企业上的双重标准使得其在“互联网是全球公域”这一意识形态口号下的真实态度昭然若揭;另一方面,美国互联网巨头在世界各地大肆扩张也引发了西方国家内部关于互联网治理的摩擦。在这种情况下,西方国家开始悄然改变在网络空间主权问题上的立场,从《网络行动国际法塔林手册》这类互联网国际规则体系不同版本内容的变化上就可见端倪。这些迹象提醒我们,需要为应对网络空间主权问题上新的国际格局做好准备。
习近平总书记在2018年4月20日全国网络安全和信息化工作会议上的讲话指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”[3]。这一论断是极为高瞻远瞩的。在经济与社会生活高度数字化的今天,网络空间已经成为国家社会治理的重要对象,事实上也成为国家主权的一部分。就目前情况来看,网络空间主权被正式纳入国际法体系还需要时间,但这并不意味着维护网络主权的问题不具有紧迫性。恰恰相反,在国际规则尚处于模糊阶段时,我们更需要通过自身的能力建设来维护网络安全和网络空间权利,以做到未雨绸缪,为网络空间“确权”时具有足够的谈判能力打下坚实的基础。
(二)积极参与互联网国际治理合作
随着信息通信技术的普及与精进,网络空间不断扩大并向现实空间渗透,网络攻击的对象范围从个人、家庭等私人空间扩展到社会基础设施等公共空间,从国内网络空间扩展到国际网络空间。网络空间的风险日趋严峻化,更具有匿名性高、难以留痕、受地理和时间限制较少、易于在短时间内影响到不特定多数人的特性。网络空间治理业已成为世界各国共同面对的问题,采取基于全球化视角的措施变得非常必要。
日本网络安全战略的一个重要特征就是对于国际合作的热衷。日本高度重视网络信息技术的研发,全力加强网络安全的维护,不断提升网络安全能力,并积极扩大日本在网络安全领域的国际话语权和国际影响力。日本在前后三个版本的《网络安全战略》中始终强调为应对全球化的网络空间安全,必须加强国际交流与合作,促进国际社会达成合力应对超越国界网络攻击的共识。在维持已有的两国间双边对话与合作机制的基础上,日本积极拓展与其他国家间的对话合作及意见交换,特别是基于日美安保同盟关系的合作。日本通过开展网络对话,积极推进对于网络空间各种相关问题的认知,特别是涉及安全保障与经济发展等深层次问题的理解,分享对于网络威胁的认识,深化从联合演练等關键基础设施防护到网络空间领域的具体应对措施的国际合作研究和国际规则制定等各项议题的研讨。
日本强调为促进国际社会和平稳定并保障日本国家安全而参与和推动网络安全领域的国际合作,注重发展ASEAN地区等新兴经济体和发展中国家等能与日本共同发展的合作关系,积极援助这些国家应对网络攻击等威胁的能力建设,但日本这些主张的背后是日本对于网络空间国家主权的追求。日本在《网络安全战略》中强调,国家必须强化网络空间的相关国家基本职能,具体而言,包括积极参与国际标准、国际规范的制定等网络空间外交、抵御外国政府等介入的网络攻击、保护日本网络空间的“网络空间防卫”、网络空间犯罪对策等。通过互联网空间中“正常国家”的身份认定,反过来解除物理世界中国家行为面临的政治约束。《2019财政年度及以后的国家防御计划指南》高调赋予日本自卫队网络安全防卫的重要职责,以及某些日本智库提出修改《自卫队法》以利于自卫队在网络安全战略中发挥更大作用①,就是其中一些值得警惕的信号。
在国际舞台上,国际规则制定权与国际合作主导权直接关系到国际话语权的争夺和国际影响力的提升。进入网络时代后,传统的国际政治领域主导权之争相应延伸到了网络空间领域,其主要体现就是网络空间规则的制定[4]。日本2018年版的《网络安全战略》中明确提出,日本要积极推动国际法在网络空间的适用,并参与制定网络空间国际规则[5]。同样,我国也需要积极参与互联网的国际治理,尤其是要参与并争取主导其中的规则制定,这不仅是为了维护我国和广大发展中国家在相关领域的正当权利,也是作为一个世界大国所应尽的国际义务。
2015年12月16日,习近平主席在第二届世界互联网大会开幕式上的讲话提出,要“推动互联网全球治理体系变革,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的全球互联网治理体系”[6]。在2016年第三届世界互联网大会开幕式上的视频讲话中,习主席更提出了“网络空间命运共同体”[3]的概念,生动地阐明了互联网国际治理合作的重要意义。通过积极参与互联网国际治理合作,提升国际社会对网络空间主权概念的认同,提高我国在网络空间治理上的话语权,推动有利于我国和世界其他国家发展共赢的互联网治理规则实施,是我们需要努力实现的目标。
(三)完善网络安全体系建设
虽然日本网络安全战略背后的真实动机值得推敲,但其中的具体内容和举措则有不少值得我们借鉴之处,尤其是法律基础建设、官民结合体系、数据共享机制等方面都有着鲜明特色,并且取得了一定成效。相比之下,尽管我国党和政府对于网络安全给予了高度重视,并且确立了以《中华人民共和国网络安全法》为基本法的网络安全法律体系,但是客观来看,我国的网络安全体系在完备性和效能上与美国、日本等发达国家仍然存在着较大差距。这其中有着技术与制度上的客观原因,如网络空间的资源分配权掌握在美国手中,我国在互联网治理中仍处于规则接受者的地位,部分核心基础设施受制于人,信息服务系统能力不足,导致企业尤其是金融机构在数据处理方面对于国外厂商具有较大的依赖性,并且也在一定程度上带来了数据和信息安全隐患等等。同时,在我国网络安全体系中也存在一些由主观原因导致的薄弱环节,需要尽快加以强化。
薄弱环节之一是网络安全防护的政府协调联动机制。目前虽然由中央网络安全和信息化委员会负责网络安全领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实等相关工作,但是各政府部门和企事业单位等的网络安全协调与协作仍然是一个短板。政府应推进超越组织壁垒的有效合作,提高网络系统的整体安全级别,积极策划、举办、援助针对各种网络攻击的应对训练,面向社会各界积极提供技术攻防信息,培养并提供网络信息安全紧急救援力量,以便在大规模网络攻击发生时,能够协调并推进多方关联机构间的合作。
薄弱环节之二是网络安全方面的军民融合与官民合作。2018年4月20日,习近平总书记在全国网络安全和信息化工作会议上强调,“网信军民融合是军民融合的重点领域和前沿领域,也是军民融合最具活力和潜力的领域”[7]。网络安全已经成为军事斗争的一个重要战场,日本也因此将网络安全体系作为其军事力量“正常化”的一条路径。网络安全内容和斗争形式的复杂性决定了军队与地方、政府与民间的密切合作、相互融合,才是提高网络斗争能力、维护网络空间安全的有效途径,而这需要相关体制机制的设计、协调与磨合。
薄弱环节之三是网络安全的数据与信息共享体制。数据权利的界定是网络空间治理的一项重要内容,有效的数据产权体制能够极大地促进数据共享,提高数据的使用效能。在网络安全方面,数据共享同样具有重要作用。在日本网络安全防护体系中,数据共享是一项核心内容,并且有相关法律作为支撑。在我国,这方面的工作仍处于起步阶段,需要构建并充分应用官民共建的信息共享机制,在确保数据安全和隐私的基础上,实现最新网络攻击技术和动向等方面的信息共享,形成抵御网络风险、破解网络攻击的巨大合力。
参考文献
[1] 宋凯,蒋旭栋.浅析日本网络安全戰略演变与机制[J].华东科技,2017(7):45-47.
[2] 福州先知信息咨询有限公司.日本网络安全战略发展及实施情况[J].网信军民融合,2018(12):56-61.
[3] 张晓松,朱基钗.敏锐抓住信息化发展机遇 自主创新推进网络强国建设[N].人民日报,2018-04-22(01).
[4] 韩宁.日本网络安全战略[J].国际研究参考,2017(6):35-42.
[5] 梁怀新.日本网络安全治理模式及其对中国的启示[J].西南民族大学学报(人文社科版),2019(3):208-213.
[6] 习近平.在第二届世界互联网大会开幕式上的讲话[N].人民日报,2015-12-17(02).
[7] 张璁,张素轩,岳小乔.携手共建网络空间命运共同体[N].人民日报,2016-11-19(01).
(责任编辑:易晓艳)