世界各國網絡安全戰略分析與啟示

李欲曉，謝永江

（1.中央網絡安全和信息化領導小組辦公室，北京100010；2.北京郵電大學互聯網治理與法律研究中心，北京 100876）

世界各國網絡安全戰略分析與啟示

李欲曉1，謝永江2

（1.中央網絡安全和信息化領導小組辦公室，北京100010；2.北京郵電大學互聯網治理與法律研究中心，北京 100876）

國家網絡安全戰略是一國網絡安全的頂層設計和戰略框架，體現了國家安全、危險管理和用戶保護三位一體。目前世界上主要發達國家均制定了國家網絡安全戰略。我國應當借鑒世界網絡發達國家的經驗，制定我國的網絡安全戰略。其內容應包括網絡勢態評估、戰略目標、戰略行動、網絡治理體制和機制等。關鍵詞：網絡；網絡安全；戰略

1　引言

網絡安全是網絡空間狀態的一種期望目標，即網絡空間風險降低到可接受的最小程度[1]。戰略是為實現長期或總體目標而制定的行動計劃[2]。各國普遍認為，網絡安全是影響社會各個層面的戰略性國家問題。制定國家網絡安全戰略是提升國家基礎設施和服務安全性、可恢復性的重要手段[3]。它是一國網絡安全的頂層設計和戰略框架，通過確立全國性的網絡安全戰略目標，并規定一系列在一定時間內應予完成的優先任務，以提升國家的網絡安全，體現了國家安全、危險管理和用戶保護三位一體。我國2015年7月公布的《網絡安全法》草案專設一章“網絡安全戰略、規劃與促進”，足見國家對網絡安全戰略的重視。本文通過對世界各國網絡安全戰略進行分析，發現網絡安全戰略的一些規律性內容，以期有益于我國網絡安全戰略的制定。

2　各國網絡安全戰略簡要分析

2.1各國網絡安全戰略制定概況

自從2000年俄羅斯出臺《網絡信息安全學說》、2003年美國制定《確保網絡空間安全的國家戰略》以來，截至2015年8月，世界上已有64個國家制定了網絡安全國家戰略[4,5]，其中除了俄羅斯、美國少數國家的網絡安全戰略制定于2010年前外，絕大多數國家的網絡安全戰略均在2010年之后密集出臺。另有希臘、巴基斯坦、沙特阿拉伯等國家的網絡安全戰略正在制定中。經濟合作與發展組織的34個成員國中，只有7個國家沒有制定網絡安全戰略（沒有制定網絡安全戰略的國家為智利、希臘、冰島、以色列、墨西哥、葡萄牙、斯洛文尼亞）。歐盟28個成員國中，只有6個國家沒有制定網絡安全戰略（沒有制定網絡安全戰略的國家為保加利亞、克羅地亞、希臘、馬耳他、葡萄牙、斯洛文尼亞）。此外，歐盟作為一個國際組織，也在2013年制定了歐盟網絡安全戰略；美國和俄羅斯還出臺了網絡安全國際戰略。可見，除了中國外，世界上網絡大國或網絡發達國家幾乎都制定了網絡安全國家戰略。

各國網絡安全戰略之所以如此密集地出臺，主要是因為隨著互聯網的迅速發展和普及，各國政府、關鍵基礎設施、企業和公民均嚴重依賴于網絡的可靠功能。網絡安全出現問題，將嚴重危及政府和企業的運轉，極大影響公眾的社會生活。可以說，網絡安全是一國繁榮發展的“生命線”。就像美國《確保網絡空間安全的國家戰略》所指出的那樣：“網絡是（關鍵基礎設施的）神經中樞——我國的控制系統。網絡空間包括成千上萬連接在一起的計算機、服務器、路由器和光纜，至關重要的基礎設施依賴于它們來工作。因此，網絡的正常運轉對經濟和國家安全都是必不可少的。”確保網絡空間的可用性以及網絡空間數據的完整性、真實性和保密性已經成為21世紀的重要課題。

2.2各國網絡安全戰略基本內容

分析比較各國網絡戰略的主要內容，一般包括以下幾個方面。

2.2.1網絡勢態評估

各國網絡安全戰略基本上首先都要對網絡發展形勢進行評判，并對本國所面臨的網絡威脅進行評估。只有在正確評估的基礎上，才能制定符合本國國情的網絡安全戰略。這種評估一般包括兩個方面。

一方面是對網絡的依賴性。政府、企業、社團和公民已經嚴重依賴互聯網所提供的便利和創造的機會。互聯網支撐著國家的經濟發展、社會進步和人民生活的提高。

另一方面是面臨的網絡安全威脅。對網絡的依賴日益加重使各國存在被網絡攻擊的潛在漏洞。網絡產品和服務發生故障、信息基礎設施損壞以及嚴重的網絡攻擊可以給政府、企業和公民帶來極大損害，甚至影響一國的社會生命線。各國紛紛將網絡安全威脅列入國家安全的優先事項。法國更是明確將網絡安全與核威懾、彈道導彈、彈道導彈戰略核潛艇和攻擊核潛艇并列，均屬于為維持戰略上和政治上的國家自治所必需的優先發展項目。

2.2.2戰略目標

國家網絡安全戰略主要是為國家網絡安全政策提供一個頂層設計框架，明確和引導各項行動和計劃，以增強國家網絡空間的安全態勢，指導有關網絡空間安全的行動。各國的網絡安全戰略目標核心內容大同小異。總的目標大體是建設一個世界領先的（主要針對網絡發達國家）、安全的、穩定的、可恢復的、可信的、有活力的網絡空間。

總目標可以化為若干個具體目標。具體目標通常包括制定網絡防御政策、建設網絡防御能力、實現網絡可恢復性、減少網絡犯罪、支持網絡安全產業發展、保護關鍵信息基礎設施等。

2.2.3戰略行動

各國網絡安全戰略除了規定戰略目標外，還會規定實現戰略目標擬采取的具體行動和措施。由于網絡空間不斷發展，網絡安全形勢也不斷變化，需要持續地跟蹤評估，因此各國網絡安全戰略行動一般都有一個時間限制，一般是3~5年。之后要根據網絡安全形勢的變化進行不斷調整，因此網絡安全戰略是一個“活文件”[3]。

各國網絡安全戰略行動一般包括以下幾個方面。

1)提高偵測、預防、阻止和處置網絡攻擊風險的能力，控制網絡犯罪。例如，英國網絡安全戰略優先行動之一是繼續提高察覺和分析尖端網絡威脅的能力；韓國提出要在國家層面偵測和阻止網絡攻擊。

2)保護關鍵信息基礎設施。關鍵信息基礎設施幾乎是所有關鍵基礎設施的核心組件，并且變得越來越重要。因此關鍵信息基礎設施的保護是各國網絡安全的主要優先項。

3)加強政府、企業和公眾的合作。各國均認為，政府部門的能力有限，無力單獨完成網絡安全保護工作。因此，需要政府、企業、社會公眾同心協力，各負其責，共同維護網絡安全。例如，美國要求聯邦政府致力于創立并將參與公共與私營部門之間的合作伙伴關系；韓國提出要建立私人部門、公共部門和軍事部門聯合響應體系；日本的戰略明確了政府、重要基礎設施供應商、私營公司、教育機構和科研機構、個人用戶、中小企業以及網絡空間相關運營商的角色。

5)完善網絡安全法律。法律是維護國家網絡安全的重要手段。許多國家均提出要制定和完善網絡安全法律法規，反映技術進步和最新實踐，利用法律手段打擊網絡犯罪，保護網絡信息安全。例如，英國提出要確保英國有一個強健的法律框架來使法律執行部門有效處理網絡犯罪；俄羅斯提出要完善俄羅斯聯邦信息安全保障的法律基礎。

6)重視網絡安全專業人才培養。網絡安全專業人才是維護網絡安全的關鍵。許多國家都非常重視網絡安全人才的教育、培養和培訓。例如，美國將網絡安全人才培訓列入優先目標；德國把加強聯邦網絡安全人員的培訓作為實現安全戰略的信息安全保障措施之一；澳大利亞將推動網絡安全熟練工人的培訓作為戰略優先項目；俄羅斯將制定信息安全和信息技術領域人才培訓的統一規定作為應當重視的任務之一。

7)加強信息共享。實現網絡安全應當基于綜合手段，這要求更加徹底的信息共享和協調。維護網絡安全需要跨部門的合作，因此信息共享成為協同行動的前提，建設信息共享網絡成為首選項。例如，美國強調聯邦、州、地方的信息共享和行業信息共享；印度將信息共享合作作為實現國家網絡安全的策略之一。

8)培養網絡安全意識。網民是互聯網治理的重要組成部分。網民的網絡安全意識對國家網絡安全戰略的實施具有重要作用，因此各國非常重視網民的網絡安全意識培養。例如，日本決定從小學、中學階段開展增強網絡安全意識的活動；澳大利亞每年設網絡安全意識周；印度決定推動和發起綜合性的有關網絡空間安全的國家意識項目，通過電子媒體持續開展安全素質意識和宣傳運動，幫助公民意識到網絡安全的挑戰，管理、支持和幫助網絡安全講習班、研討會和認證；韓國設立國家“信息保護日”，在小學、初中和高中階段加強網絡安全教育，以便提高公眾意識和擴大網絡安全領域的基礎。

9)加強國際合作。網絡空間是無國界的空間。各國均認識到，加強國際合作是維護網絡安全必不可少的條件。例如，美國將國際網絡空間安全合作作為優先目標之一；英國將尋求國際合作來發展規范網絡空間行為的國際規范和準則作為優先行動之一。

2.2.4組織保障

維護網絡空間安全需要一個強有力的領導機構。各國對此均非常重視，紛紛設立新的網絡安全監管機構，提升網絡安全監管能力。例如，美國組建了國土安全部；英國建立了一個新的網絡防御運行組織來整合網絡方面的國防能力，并新設立了一個全球運行和安全控制中心；法國設立了網絡與信息安全局；德國為了優化所有政府部門之間的行動合作，提高保護和應對IT突發事件響應措施的協調能力，設立國家網絡響應中心和國家網絡安全委員會；日本加強建設“國家信息安全中心”作為指揮標桿的功能，在內閣設立網絡安全戰略本部；韓國在國家網絡安全中心下設立“國家網絡威脅聯合響應小組”；印度設立24×7 h國家關鍵信息基礎設施保護中心；澳大利亞在《網絡安全戰略》中發揮重要作用的是兩個新的相互支持的組織——澳大利亞計算機應急響應小組和網絡安全行動中心；俄羅斯更是強調維護網絡安全的組織體系，包括：聯邦總統、聯邦會議的聯邦委員會、國家杜馬、聯邦政府、聯邦安全理事會、行政權力機構、聯邦總統和聯邦政府建立的跨部門國家委員會、俄羅斯聯邦組成實體的執行機構、地方自治政府、司法機構、社團和民眾等。

3　我國網絡安全戰略基本內容

通過比較和分析世界上主要國家的網絡安全戰略，可以認為，我國的網絡安全戰略應包括以下主要內容。

入庫河道中豐富的生物物種，形成了一個復雜、動態平衡的生態系統。多樣的生物物種和適宜的河道環境（水環境、地形條件、水文條件等）是河流系統可持續發展的基本要素條件。因此，入庫河道生態建設需綜合考慮生物的棲息條件，為生物生長、發育、捕食、繁殖等創造適宜條件，保護和恢復入庫河道生態系統的完整性和多樣性，從而維持河道的可持續發展需要。

3.1網絡勢態評估

我國網絡安全戰略首先要對網絡發展形勢進行評判，并對我國所面臨的網絡威脅進行評估，從而為戰略的制定、執行和評估提供必要的決策信息。

一方面，應明確我國政府、企業、社團和公民已經嚴重依賴互聯網所提供的便利和創造的機會。我國的經濟和社會發展繁榮離不開互聯網。2015年以來，國務院相繼發布了《關于促進云計算創新發展培育信息產業新業態的意見》、《關于大力發展電子商務加快培育經濟新動力的意見》、《關于積極推進“互聯網+”行動的指導意見》、《關于促進大數據發展的行動綱要》等重要文件，大力拓展互聯網與經濟社會各領域融合的廣度和深度，以圖利用互聯網推動經濟提質增效和轉型升級。這都表明，互聯網成為最重要的經濟社會增長劑，并具有不可替代的作用。這就是習近平主席所說的：“沒有信息化就沒有現代化。”

另一方面，這種對網絡的依賴也暴露了我國網絡安全措施的不足，國家安全存在被網絡攻擊的潛在危險。關鍵信息基礎設施發生故障、損壞以及遭受嚴重的網絡攻擊都可以給政府、企業和公民帶來極大損害，甚至影響我國的政治安定、經濟發展和社會進步的生命線。2013年“斯諾登事件”也暴露了我國網絡安全的脆弱性。這就是習近平主席所說的：“沒有網絡安全就沒有國家安全。”網絡安全戰略應當對當前我國面臨的境內外網絡安全風險來源、性質、類型、后果等做出全面、清晰、準確的判斷。

3.2戰略目標

我國的網民數量世界第一，無疑是網絡大國，但還不是一個網絡強國。2014年2月，習近平主席在中央網絡安全和信息化領導小組第一次會議上強調，網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要努力把我國建設成為網絡強國[6]。在致首屆世界互聯網大會的賀信中，習近平主席提出，要維護網絡安全，共同構建和平、安全、開放、合作的網絡空間。另外，《國家安全法》第25條明確提出，國家建設網絡與信息安全保障體系，維護國家網絡空間主權、安全和發展利益。因此，我國網絡安全戰略總目標可以表述為：建設一個世界領先、和平、安全、開放、合作的網絡空間，維護國家網絡空間主權、安全和發展利益。

總目標可以化為若干個具體目標。就我國而言，網絡安全戰略目標應包括：1)偵測、評判、預防、阻止網絡攻擊；2)保護關鍵信息基礎設施安全，確保關鍵信息基礎設施的安全運行；3)確保以最快速度恢復網絡正常運行，將網絡威脅損失最小化；4)確保網絡信息安全，防止敵對勢力利用網絡宣傳危害國家安全。

3.3戰略行動

網絡安全戰略的制定不是一勞永逸的，通常需要根據質量管理的“PDCA模型”（計劃—執行—檢查—處置）不斷改進。我國網絡安全戰略行動實施期限可以設定為5年，應包括以下9個方面。

1)提高偵測、預防、阻止和處置網絡攻擊風險的能力，預防和控制網絡犯罪。

2)保護關鍵信息基礎設施。完善網絡安全等級保護制度，明確關鍵信息基礎設施運營者的安全責任。

3)加強政府、企業和公眾的合作，建立各方共同維護網絡安全的有效機制。

4)加強能力建設，開發自主可控技術。提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。

5)完善網絡安全法律。目前，要盡快制定《網絡安全法》、《個人信息保護法》、《網絡信息服務管理法》、《電子商務法》、《電子政務法》等網絡安全領域的基本法律，反映技術進步和最新實踐，保護網絡安全。

6)重視網絡安全專業人才培養。建設網絡強國，要培養造就世界水平的科學家、網絡科技領軍人才、卓越工程師、高水平創新團隊[6]。國家應完善網絡安全人才教育培養體系和培訓體系，建立有利于網絡安全特殊人才成長的培養方案和獎勵制度。

7)加強信息共享。我國應建立國家網絡安全信息共享平臺，協調優化配置資源，調動一切力量應對網絡安全威脅。

8)培養網絡安全意識。順應網絡安全需要，我國從2014年開始設立了“國家網絡安全宣傳周”，但這遠遠不夠。培養網絡安全意識應當從占網民總數四分之一的學生抓起[7]，在國民教育中建立完善的網絡安全意識培養機制。

9)加強國際合作。網絡空間無國界。要本著相互尊重、相互信任的原則，深化國際合作，共同構建和平、安全、開放、合作的網絡空間，建立多邊、民主、透明的國際互聯網治理體系。

3.4網絡治理體制和機制

高效的網絡治理體制和機制是網絡安全戰略目標得以實現的組織保障。這一治理結構應包括政府、企事業單位和社會公眾的共同參與。

我國近年先后設立中央網絡安全與信息化領導小組辦公室和國家互聯網信息辦公室，這是順應了網絡安全發展態勢的要求。目前我國已經基本形成了網信辦負責頂層設計和統籌協調，工信部負責行業管理，公安部負責打擊網絡違法犯罪，國信辦負責網絡信息內容管理，其他部門在各自職責范圍內分工負責“1+3+X”的網絡監管體制。為了保障網絡空間的有效治理，應該建立高效的統籌協調機制和可信信息共享機制，并以法律的形式對各部門的職責權限以及統籌協調、信息共享機制予以明確。

除了政府部門外，有關企業、科研機構、社會組織和社會公眾在參與網絡治理與網絡安全保障方面的權利、義務和責任也應明確，形成一個各方共同參與的、可信可控、共享共治的網絡安全保障機制。

3.5關于網絡安全國際戰略

目前，世界上大多數國家都只制定了網絡安全國家戰略，而美國和俄羅斯在網絡安全國家戰略之外，還出臺了網絡安全國際戰略。美國在2011年出臺了《網絡空間國際戰略》；俄羅斯于2013年出臺了《俄羅斯聯邦國際信息安全國家政策基本原則》。美俄出臺網絡安全國際戰略的目的主要在于，推銷自己的戰略意圖和價值觀，謀求制定網絡空間國際治理規則的主動權，構建有利于其國家利益的網絡空間國際秩序。

我國作為網絡大國和未來的網絡強國，也應考慮在制定網絡安全國家戰略的同時，出臺國際戰略，積極主動參與網絡空間國際治理規則的制定，以維護我國網絡空間主權，實現我國國家利益的最大化，確保我國由網絡大國順利發展成為網絡強國。

4　結束語

網絡空間作為繼陸地、海洋、天空、太空之后的第五大空間，已經成為大國博弈的新領域。如美國，其早已在網絡信息技術、網絡空間規則、網絡人才儲備等方面進行了戰略布局。我國作為網絡后起大國，也應當及時跟進，盡快出臺網絡空間國家戰略和國際戰略，協調政府、企業和社會公眾的力量，確保國家的網絡空間安全和利益。

[1]德國網絡安全戰略[R].(2011-02-23).Cyber Security Strategy for Germany[R].(2011-02-23).

[2]Oxford English dictionary[M].Oxford:Oxford University Press,2012.

[3]European Network and Information Security Agency.National cyber security strategies:setting the course for national efforts to strengthen security in cyberspace[R].2012.

[4]北約合作網絡防御卓越中心.網絡安全戰略文件[EB/OL].(2015-08-03).https://ccdcoe.org/strategies-policies.html.CCDCOE.Cyber security strategy documents[EB/OL].(2015-08-03).https://ccdcoe.org/strategies-policies.html.

[5]國際電信聯盟.國家戰略[EB/OL].https://www.itu.int/en/ITU-D/ Cybersecurity/Pages/National-Strategies.aspx.ITU.Nationalstrategies[EB/OL].https://www.itu.int/en/ITU-D/ Cybersecurity/Pages/National-Strategies.aspx.

[6]習近平:把我國從網絡大國建設成為網絡強國[EB/OL].(2014-02-27).http://news.xinhuanet.com/politics/2014-02/27/c_119 538788.htm.XI Jin-ping:building the China from the big internet country to the power internet country[EB/OL].(2014-02-27).http://news.xinhuanet.com/politics/2014-02/27/c_119538788.htm.

[7]中國互聯網絡信息中心.第36次中國互聯網絡發展狀況統計報告[R].(2015-07-23).CNNIC.The 36th Statistical Report on Internet Development in China[R].(2015-07-23).

Analysis and enlightenment on the cybersecurity strategy of various countries in the world

LI Yu-xiao1,XIE Yong-jiang2

(1.Office of the Central Leading Group for CyberspaceAffairs,Beijing 100010,China; 2.Institute of Internet Governance and Law,Beijing University of Posts and Telecommunications,Beijing 100876,China)

National cybersecurity strategy is the top-level design and strategic framework of the country,which includes the national security,risk management and the personal protection.Now the main developed countries in the world have made the national cybersecurity strategy.So the strategy of our country drawing lessons from the experience of the developed countries should also be enacted.And the strategy should include the cybersecurity situation assessment,strategic target,strategic actions,the system and mechanism of internet governance,and so on.Key words:network,cybersecurity,strategy

Major Consultant and Research Project of ChineseAcademy of Engineering(No.2015-ZD-10)

D922.1

A

10.11959/j.issn.2096-109x.2016.00017

2015-12-07；

2015-12-29。通信作者：謝永江，xieyongjiang@bupt.edu.cn

工程院重大戰略咨詢基金資助項目（No.2015-ZD-10）

李欲曉（1969-），男，安徽肥西人，北京郵電大學互聯網治理與法律研究中心主任，主要研究方向為網絡法與網絡治理。

謝永江（1973-），男，江西撫州人，博士，北京郵電大學互聯網治理與法律研究中心常務副主任、研究員，主要研究方向為網絡法和經濟法。