美欧俄网络安全战略与政策发展趋势研究
2021-10-30耿贵宁张格莹刘丽
◆耿贵宁 张格莹 刘丽
美欧俄网络安全战略与政策发展趋势研究
◆耿贵宁1,2张格莹1刘丽1
(1.中关村移动互联网产业联盟 北京 100190;2.北京奇虎科技有限公司 北京 100088)
随着冷战的结束和网络全球化的发展,全球都在重视国家网络的安全问题,都有了自己的政策发展。前后出台了很多与自己国家相关的策略、政策和法律,使得网络安全的国家安全战略地位显著提升,成为国家战略中不可分割的一部分。本文对美国、俄罗斯、欧盟、新西兰和澳大利亚还有日韩印新几个的国家网络安全战略与政策进行了研究分析,并阐述了对我国的影响。
网络安全;战略;政策
1 引言
随着网络技术的发展,互联网的应用越来越广泛,给人们带来便利的同时,也带来了危险,近几年网络安全事件频发,严重威胁到了人们的财产和生命安全。而近几年,又上升到了国家层面,频发的攻击事件,关系国家和人们的利益,因此,在国家层面需要建立完善的网络安全体系,制定完善的网络与信息安全法律法规,维护国家网络安全。下面就美国、欧盟、俄罗斯以及日韩印新几个国家的网络安全策略与政策进行简要分析,借以提出对我们的建议。
2 各个国家出台的政策
(1)美国作为全球网络技术最发达、信息化程度最高的国家,美国对网络空间安全所面临的巨大挑战有着清醒的认识。从20世纪90年代后期,美国开始着手研究应对策略,并逐步将这一问题上升到国家安全战略的高度。近些年来先后出台了《消费者隐私法案》、《国防部网络战略》、《国家网络战略》、《联邦网络空间安全研究和发展战略技术》、《分层网络威慑战略》等一系列政策性文件,加快构建网络空间安全的战略体系。通过对近二十年来美国出台的关键网络空间安全战略与政策的分析可以看出,美国政府一直在强化网络空间主导权。
图1 近三年来美国网络空间领域战略文件体系
(2)俄罗斯在网络安全方面的规划起步较早,20世纪90年代就颁布了《俄联邦信息、信息化和信息网络保护法》等一系列法律法规,将其纳入国家安全范畴。2000年颁布的《俄联邦信息安全学说》正式将信息安全问题上升到国家战略高度,2016年的最新版本中又进一步明确了俄罗斯在信息安全方面优先发展的方向。加上其他陆续发布的《俄联邦信息社会发展战略》《2020年前俄联邦国际信息安全领域国家政策框架》《俄联邦国家安全战略》等文件,共同构成了信息安全建设的顶层设计。
(3)欧洲联盟(简称欧盟)是世界范围内较早进行网络安全立法的地区组织,也是网络安全治理机制建立发展较完备的地区。欧盟委员会、欧洲议会和欧盟理事会、欧盟网络与信息安全局通过颁布条例、指令、决定、决议、公约等法律文件和发布协议、议程、战略、报告、框架、计划、通讯、措施和指南等政策报告,不断充实网络安全框架。在加大网络安全威胁打击力度,实现保护公民合法权益、维护网络安全等目标的同时,为欧洲经济和社会发展创造了良好数字化环境。
(4)澳大利亚与新西兰有很深的历史渊源和文化渊源。这两个国家都是讲英文的国家,绝大多数国民都是英国人后裔,在大航海时代,英国曾长期将澳大利亚和新西兰一块管辖。两个国家的文化完全一致,澳大利亚英语与新西兰英语几乎听不出分别。但是两个国家的网络安全战略与政策却差别很多。2019年9月5日,澳大利亚政府于发布了《网络安全战略2020》。该战略是继澳大利亚《网络安全战略2016》4年规划之后出台的最新网络安全战略。2020年7月1日,澳国防部发布《2020年国防战略更新》和《2020年部队结构规划》两份文件,概述了国防新战略以及为实现这一目标而进行的能力投资。
新西兰在2019年6月11日出台了《2019年国防能力计划》。2020年2月,在内阁批准约五个月后,新西兰发布了《打击恐怖主义和暴力极端主义国家战略》。 2020年3月31日,新西兰政府通信安全局发布的新《西兰信息安全手册》。这些政策的出台都向世界证明新西兰一直在强大
(5)日本、韩国、新加坡和印度为我国周边国家网络发展和网络安全治理比较有特色的国家,其中日本、韩国和新加坡网络发展起步早、发展水平高,网络安全治理开始时间早,法规组织体系完善,治理成效明显;印度网络发展时间较短,但发展速度较快,针对网络安全的治理处于发展探索阶段,但在治理过程中也取得部分成效。
3 各国家网络安全战略和政策特点
(1)美国强化网络空间主导权。从克林顿政府将网络安全逐步上升为国家安全战略,小布什政府以反恐为核心将网络空间发展战略从“发展优先”调整为“安全优先”,到奥巴马时期用软实力塑造网络空间规则,以硬实力谋求网络空间霸权,再到特朗普政府在“美国优先”原则和大国竞争话语影响下构建网络空间战略。2020年虽然受到疫情和选取双重影响,美国政府在网络安全领域的投入力度并未减弱,并且呈现出三个战略重点:一是“结盟”,美国一直在试图扩大其话语体系影响范围,联合更多国家缔造网络安全同盟阵线;二是“联合”,通过加强网络空间指挥控制能力与武器装备建设,不断提升网络空间作战能力以及支撑全部作战领域实施联合作战的能力;三是“整合”,通过构建一体化领导协调机制,力求打破网络空间政策、技术和行动“碎片化”。通过这些手段,美国政府既顺应了网络威胁与技术的发展演变,持续推进既有网络战略,明确防护重点,全面提升攻防能力,举全国之力与战略对手在网络空间展开全方位竞争,以抢夺主动权。
(2)俄罗斯采取了出台自主可控网络空间安全机制、研发自主可控网络空间安全法规、建立自主可控网络空间安全机制、研发自主可控网络空间安全技术、扶持本国自主可控信息技术产业,积极开展对他国的网络安全审查等一系列措施,强势推进俄罗斯自主可控信息系统建设,大力构筑自主可控网络空间安全体系。并将网络安全纳入信息安全整体范畴。构建网络安全多重保障体系。在实践领域,为了确保网络安全,俄罗斯多管齐下,虚实结合、软硬互补,构建多重安全保障。
图2 俄罗斯逐渐成熟的网络安全策略与政策体系
(3)欧盟是世界范围内较早进行网络安全立法的地区组织,也是网络安全治理机制建立发展较完备的地区。欧盟网络安全法律体系逐步完善,从2016年首部网络安全法律文件《网络与信息系统安全指令》的推出,到2018年对个人数据保护进行规定的《通用数据保护条例》,再到2019年《网络安全法案》对网络安全机构设置及认证等方面的细化规定,这几个法律文件一脉相承、相互补充,构建了更加完善的欧盟网络安全法律体系。网络安全职能机构权限逐步扩大,欧盟网络和信息安全署(ENISA)从2004年创立时的一个临时性的欧盟机构,到2019年《网络安全法案》指定ENISA为永久性的欧盟网络安全职能机构,该机构的职能逐渐得到拓展。对数据的监管更趋严格,2018年欧盟出台《通用数据保护条例》,以隐私保护为优先目的,侧重于对个人数据进行跨境流动处理。
(4)澳大利亚致力于打造公私部门间“共同领导”“共同责任”“自我约束”和“自主治理”的网络安全治理新模式,以维护网络空间的安全与稳定、保证国家网络安全、实现数字经济效益的最大化。目前,网络空间无政府状态下中美权力的竞争态势正在加剧,澳大利亚的网络安全战略带有一定的干预主义性质,并向“前沿防御”方向发展。从“保护”关键基础设施、应对网络恐怖主义,到精简网络组织机构、转移网络政策性权力、加强公私网络安全合作,澳大利亚的网络安全战略经历了一个循序渐进、逐渐成熟的过程。
(5)新西兰多以国防军事网络安全为主线制定策略。新西兰四周向海洋的独特环境以及对澳大利亚的政治、经济与军事合作关系,加上新西兰也没有什么好被“掠夺”的珍贵资源,所以直接遭受从别国而来的军事打击的可能性并不大,而恐怖主义为该国家和区域安全最大的挑战,冷战后新西兰重新检讨国防武力的架构、行动与能力,并赋予新西兰国防武力的主要任务:确保新西兰能抵御外部威胁,维护新西兰的主权利益,包含专属经济区的利益;使新西兰于利益所在的战略区域能对突发事件采取适当应对办法。为了能参与国际话题,需要提高自己的国防军事能力,那么在制定策略上大部分是以国防军事网络安全为主线。
(6)日本战略主动性不断增强,日本防卫省组建的“网络空间防卫队”的防御范围逐渐扩大,并着力加强“进攻”能力。高度重视营造安全环境,积极采取网络安全措施。以促进经济发展为战略导向,日本政府充分认识到信息和通信技术对经济发展的基础性作用,并将网络安全保障作为社会经济活动的基本保障。强调推进日美网络安全,日本网络安全领域国际合作的基石仍然是以日美安保体制为核心的日美合作。
(7)韩国网络安全战略体系框架完备,对于网络安全形势,韩国网络安全战略有较为全面的评估。战略倾向整体呈防御性,韩国政府提出的网络安全战略整体上呈现防御性,并不谋求主动进攻或者战略威慑他国。虽然整体呈防御性,但在某些方面,该战略带有进攻色彩,主要体现在支援发展中国家网络安全力量建设、深度参与国际制度规范建设、谋求韩国在网络空间领域的话语权三个方面。战略举措可操作性强,针对韩国网络安全战略提出的六项课题,韩国《国家网络安全基本规划》中均有可操作性较强的举措。
(8)印度以《信息技术法》为中心,各部门法相关规定相辅佐,形成点、线、面结合的互联网法律体系。2011年,印度出台了《国家网络安全策略(草案)》,强调发展本土信息技术产品,减少进口高科技产品对国家安全可能带来的威胁。2013年,印度通信和信息技术部公布了《国家网络安全政策》,企图建立一个网络安全总体框架,为政府、企业和网络用户有效维护网络安全提供指导。随着国家支持的网络攻击以及有组织网络犯罪集团的增多,全面修改2013年网络安全政策已经开始。2020新战略聚焦应对数据保护/隐私、网络空间执法、海外存储数据访问、社交媒体平台滥用、网络犯罪和网络恐怖主义国际合作等挑战;采取整体方式应对网络安全问题,包括强制实施网络安全措施、组建全国地区官员团队等;进行法律改革,包括组建专门的社交媒体信息分析团队、建立网络犯罪和罪犯数据库等。
(9)新加坡网络安全立法比较全面,主要涉及对网络内容安全、垃圾邮件管控和个人信息保护等方面。国家网络安全战略强调建立强健的基础设施网络,创造安全的网络空间,发展有活力的网络安全生态系统,强化网络相关的国际合作。
4 对我国网络安全战略发展的启示
(1)制定网络安全投入最低标准,落实网络安全问责制,扩大网络安全产业规模。明确信息化建设重大项目、重大工程、政府及企事业信息化建设和运维中网络安全投入的硬性比例要求。实施一系列重大工程项目,地方政府结合自身情况出台相关配套政策,扩大我国网络安全产业市场规模。在重要政府部门及企事业单位落实一把手全责制,加强对一把手及相关人员的问责或惩戒。
(2)鼓励技术创新,发展“杀手铜”技术,推动网络安全新应用、新业态取得突破。设立网络安全科技研发专项基金、重大重点科技专项,支持企业、高校、科研机构等进行技术创新。鼓励企业跟踪新兴领域安全技术,加大对安全可控研发工作的扶持,引导企业加快技术创新和产品研制。
(3)充分发挥产业集聚效应,加快建设网络安全产业集聚高地。加快培育打造层次鲜明、保障有力的产业梯队。鼓励科研机构、不同层级厂商搭建上下游协同配合的网络安全生态链。加快建设产业集聚高地,吸引高端资源和创新要素集聚园区,扩大示范带动效应。
(4)创新网络安全人才培养模式,建立健全人才激励机制。鼓励学校、企业、产业开展合作交流,培养适应企业实际工作需求的网络空间安全人才队伍。把网络安全纳入职业技能鉴定体系,为网络安全人才创造良好的就业机会。开辟人才引进绿色通道,在引进条件、引进程序等方面予以特殊安排。大力推进网络安全职业教育,鼓励民办网络安全培训机构培养网络防御型人才。促进网络空间安全教育交流与合作,举办论文评奖和安全大赛,以发现和选拔人才。
[1]闫晓丽.关键信息基础设施安全保护应把握几个要点[J].中国信息安全,2017(10):2.
[2]肖欢.“印太”视角下澳大利亚军事战略的调整与变化[J].区域与全球发展,2019,3(06):20-28+154.
[3]左晓栋.美国网络安全战略与政策二十年.中国工信出版社,2017,12.
[4]National Cyber Strategy of the United States of America. https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf . 2018.
[5]About International Telecommunication Union(ITU).International Telecommunications Union. https://www.itu.int/en/Pages/default.aspx . 2018.