由《國家信息化發展戰略綱要》看我國網絡安全頂層設計

左曉棟

由《國家信息化發展戰略綱要》看我國網絡安全頂層設計

左曉棟

左曉棟　博士，中國信息安全研究院副院長。

2016年7月，中辦、國辦印發了《國家信息化發展戰略綱要》（以下簡稱《戰略綱要》），這是規范和指導未來10年國家信息化發展的綱領性文件，是國家戰略體系的重要組成部分，是信息化領域規劃、政策制定的重要依據。其中，《戰略綱要》在總結已有成績基礎之上，面向新時期維護國家安全的重大需求，對網絡安全工作作出了新的頂層設計，這是近年來，我國以文件形式對國家網絡安全戰略的最清晰闡述。

一、歷史上我國對網絡安全作出的四次頂層設計

所謂頂層設計，既要有系統性，能夠從全局出發，涵蓋主要工作，并確保各項工作的協調一致；也要有前瞻性，能夠應對形勢的不斷發展，在相對較長一段時間有效；此外，還要有指導性，能夠指方向、立目標、定原則、明思路。在《戰略綱要》印發前，歷史上我國曾對網絡安全作出過四次頂層設計。其中包括三份文件，以及中央網絡安全和信息化領導小組成立后提出的“網絡強國”戰略。

一是，2003年9月，中辦、國辦印發了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號）。這是我國首次對網絡安全工作作出頂層設計，明確了加強網絡安全工作的總體要求和主要原則，提出了實行信息安全等級保護、加強以密碼技術為基礎的信息保護和網絡信任體系建設等任務。27號文的歷史地位十分重要，具有劃時代的意義。文件不但對安全與發展的關系、信息安全責任制等重大理論問題首次作出解答，統一了思想，還勾勒出了我國信息安全工作的發展脈絡。可以說，10年來我國的信息安全的主要工作基本上都是按照27號文的部署在推進。

二是，2005年5月，國家信息化領導小組印發了《國家信息安全戰略報告》（國信〔2005〕2號）。這是我國首部真正意義上的網絡安全戰略。27號文側重于工作部署，但戰略性不突出，對信息內容安全的關注也不夠，《國家信息安全戰略報告》則彌補了這一缺憾，在更高層面確定了國家信息安全的戰略布局和長遠規劃。但這份文件的知悉范圍有限，加之受后來的機構變化等因素影響，文件對實際工作的指導作用并沒有27號文顯著。在此之后，中辦、國辦印發了《2006—2020年國家信息化發展戰略》（中辦發〔2006〕11號），其中涉及到了網絡安全，但仍沒有超出27號文的范疇。

三是，2012年6月，國務院印發了《關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號）。文件繼承了27號文件，對2012年之后一段時期的重要工作提出了要求。但這些要求僅為了突出重點、解決急迫問題，不求面面俱到。一個顯著特點是，23號文有意避開了信息內容安全，因為國家互聯網信息辦公室成立后這方面的工作已另有部署。此外，23號文仍停留在“就事論事”的階段，不是戰略意義上的文件，沒有改變我國網絡安全戰略缺失、網絡安全工作的戰略統籌不夠的局面。

四是，中央網絡安全和信息化領導小組在2014年2月召開第一次會議，描繪了“網絡強國”的宏偉藍圖。此后，習近平總書記于2016年4月親自主持召開網絡安全和信息化工作座談會，進一步明確了我國網絡安全工作的一系列重大問題，使我國朝向網絡強國的戰略目標加速前進。這個目標分為近、中、遠期。近期目標是：技術強，即要有自己的技術，有過硬的技術；內容強，即要有豐富全面的信息服務，繁榮發展的網絡文化；基礎強，即要有良好的信息基礎設施，形成實力雄厚的信息經濟；人才強，即要有高素質的網絡安全和信息化人才隊伍；國際話語權強，即要積極開展雙邊、多邊的互聯網國際交流合作。中期目標是，網絡基礎設施基本普及、自主創新能力增強、信息經濟全面發展、網絡安全保障有力。遠期目標是，戰略清晰，技術先進，產業領先，制網權盡在掌握，網絡安全堅不可摧。

二、《國家信息化發展戰略綱要》在網絡安全戰略思想上取得新突破

《戰略綱要》并不是一份獨立的網絡安全戰略，但仍可看作是對我國網絡安全工作作出的第五次頂層設計，其在戰略理論上實現了多項突破。

（一）指導方針上，進一步深化了安全與發展的辯證關系

《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號）曾深刻指出，要正確處理安全與發展之間的關系，以安全保發展，在發展中求安全。這在2006年的信息化戰略中也是一條重要的指導方針。

此次《戰略綱要》更深刻詮釋了安全與發展“一體兩翼、雙輪驅動”的辯證關系，將“以安全保發展，在發展中求安全”升級為“以安全保發展，以發展促安全”。“以安全保發展”表明安全是發展的基礎，“在發展中求安全”強調了要在發展中解決安全問題，而不是用停滯發展來確保安全。但“以發展促安全”則進一步要求，要用發展的手段解決安全問題，通過發展為維護網絡安全提供物質基礎。這與習近平總書記總體國家安全觀中“富國才能強兵、強兵才能衛國”的思想一脈相承，內涵十分豐富，將安全與發展辯證關系升華到了新的高度。

（二）戰略目標上，立志解決最大的安全隱患

2006的信息化發展戰略提出的總體目標為“國家信息安全保障水平大幅提高”，這不是一個可衡量的、帶有階段性特征的目標，對實際工作的指導意義不強。這與當時我國網絡安全基礎薄弱、頭緒過多有關。在具體目標上，2006年的信息化發展戰略提出，在2020年前突破和掌握一批關鍵、核心技術，實現信息技術從跟蹤、引進到自主創新的跨越，并籠統要求“國家信息安全保障體系較為完善，信息安全保障能力顯著增強”。

此次《戰略綱要》則明確要求，在2025年“根本改變核心技術受制于人的局面，形成安全可控的信息技術產業體系”。核心技術是網絡安全的“命門”，核心技術受制于人是我們最大的隱患。只要這個問題不解決，我們的網絡安全體系就根基不穩、危在旦夕。倘若十年以后的“十四五”末期，我們還不能扭轉受制于人局面，“網絡強國”和“中華民族偉大復興中國夢”實在無從談起。對這樣一個十分具體而關鍵的目標，我們沒有任何退路，否則要承擔歷史責任。當然，這是對恒心、信心、重心的巨大考驗。

（三）更全面地揭示和遵循網絡安全的內在規律

2006年的信息化戰略對網絡安全內在規律有一個基本把握：網絡安全是基于風險的，要綜合平衡安全成本和風險，既要防止過保護，也要防止欠保護。這一基本規律直接決定了使用什么方法維護網絡安全，這之后的信息安全等級保護、風險評估等工作部署，均來源于此。

但這只是網絡安全內在規律的一部分。隨著對客觀世界認識的不斷深化，《戰略綱要》指出，要“樹立正確的網絡安全觀”。這包含五個方面：網絡安全是整體的而不是割裂的；網絡安全是動態的而不是靜態的；網絡安全是開放的而不是封閉的；網絡安全是相對的而不是絕對的；網絡安全是聯系的而不是孤立的。習近平總書記在4月19日的網絡安全和信息化工作座談會上，對“正確的網絡安全觀”進一步作了深刻闡述。

（四）由“防范”改為“應對”，防御和威懾能力并舉

2006年的信息化戰略要求堅持“積極防御、綜合防范”，兩者實際上是一回事，都是重在“防”，只是前者強調行動的事前性，后者強調手段的全面性。但再“積極”、“綜合”的“防御”與“防范”，終究是防守。面對嚴峻的網絡安全斗爭形勢，我們急需形成網絡威懾能力。當然，這不是要發展網絡攻擊，而是要通過威懾能力建設，使對手在采取行動前“三思而后行”，從而以懾止戰，達到更有效保護自身的目的，實現網絡空間真正的穩定與平衡。

為此，《戰略綱要》改為，要堅持“積極防御，主動應對”，并“增強網絡安全防御能力和威懾能力”，這對維護國家網絡空間主權、安全、發展利益具有重大意義。

三、《國家信息化發展戰略綱要》在網絡安全戰略任務上實現繼承與發展

作為信息化領域的戰略文件，《戰略綱要》無法對網絡安全工作作出全面部署。恰恰因為如此，其提出的網絡安全戰略任務構成了我國網絡安全工作最重要的“四梁八柱”，具有極端的重要性、緊迫性。

（一）保護重點由“2+8”擴展至關鍵信息基礎設施

任何一個國家的信息化或網絡安全戰略，都要確定保護重點，這是戰略文件的“規定動作”。2006年的信息化戰略確立的重點是“基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統”。在實際工作中，具體落實為廣播電視傳輸網、電信網、互聯網，以及銀行、保險、證券、民航、鐵路、稅務、海關、電力等領域的信息系統，俗稱“2+8”（三大基礎網絡由兩個部委主管）。

隨著信息通信技術在國民經濟各行業加速滲透，上述保護范圍顯然已經過窄。此外，鑒于這類系統的重要性，有必要建立專門安全管理制度。為此，近年我國提出了“關鍵信息基礎設施”的概念，取代了“基礎信息網絡和重要信息系統”。《戰略綱要》要求“建立實施關鍵信息基礎設施保護制度”。最近征求意見的《網絡安全法》（草案二審稿）則與此呼應，指出“關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定”。

（二）首次提出維護“網絡主權”的重大任務

網絡主權原則是我國關于全球網絡空間安全的核心主張。習近平總書記在第二屆世界互聯網大會上提出，要尊重網絡主權，不搞網絡霸權，不干涉他國內政，不從事、縱容或支持危害他國國家安全的網絡活動。我國《國家安全法》規定，維護國家網絡空間主權、安全和發展利益。《戰略綱要》將“維護網絡主權”作為一項重大任務，要求“堅定捍衛我國網絡主權”。主權不容侵犯，主權問題不容商量，為了維護網絡主權，我們應當采取包括政治、外交、經濟、司法等在內的一切手段，不排除軍事手段。

“網絡主權”是《戰略綱要》相比2006年信息化戰略的重大變化，這是提升我國在全球網絡空間治理活動中的制度性話語權的必然要求。

（三）更深刻地認識開放與自主的關系，建立起在開放環境中維護國家網絡安全的能力

在制定2006年的信息化戰略時，開放與自主尚未成為一對主要矛盾，對這個問題的認識尚停留在淺層次。當前，經濟全球化深入發展，信息流引領技術流、資金流、人才流。如何辯證認識和處理好開放與自主的關系，這是一項新的課題。一方面，確定核心技術的突破路線時，要考慮如何利用全球創新資源，選對“肩膀”；另一方面，我們的網絡安全政策要兼顧入世承諾。習近平總書記深刻指出，不能把自己封閉世界之外，必須樹立全球視野和開放心態。但在開放環境中維護國家網絡安全，需要科學的手段，以確保產品和服務的安全性、可控性，防止產品提供者借助提供產品之便，非法控制、干擾、中斷用戶系統，非法收集、存儲、處理和利用用戶有關信息。這就是網絡安全審查制度，《戰略綱要》將其作為一項重要的戰略任務予以部署。

（四）進一步強化基礎性工作

基礎不牢，地動山搖。網絡安全工作永遠要注重夯實基礎。但在不同時期，基礎性工作包含的內容有所差別。一方面，《戰略綱要》要求繼續抓好帶有長期性特點的基礎性工作，做深做實，如網絡安全技術研發、等級保護、風險評估、人才教育、標準化等工作；另一方面，對于沒有如期完成的專項基礎性工作，還要求盡快見效，如網絡安全認證認可工作。此外，針對網絡安全形勢發展，還有一些新的基礎性工作被提上了議事日程，如態勢感知工作，這些工作將在《戰略綱要》的指導下逐步落實。

（五）將國際合作推向深入

十年前，我們的重點是“辦好自己的事情”，如今，建設網絡空間命運共同體是大勢所趨。更重要的是，面臨日益復雜的網絡空間國際競爭，我們必須主動作為，增強在全球維護網絡空間安全利益的能力。

《戰略綱要》表明了我們在國際上對網絡安全的基本立場和主張，明確了我們的主要行動措施。一是在網絡空間這一新的治理領域，抓住新賽場新規則正在形成的機遇，積極參與國際網絡空間安全規則制定，為國際社會貢獻中國方案；二是推動建立多邊、民主、透明的國際互聯網治理體系，積極參與和推進ICANN國際化改革。我們并不反對多利益攸關方治理模式，但強調各利益攸關方必須按其角色和責任行事，不能抵消甚至取代政府的主導權；三是加強國際網絡空間執法合作，推動制定網絡空間國際反恐公約；四是健全打擊網絡犯罪司法協助機制，共同維護網絡空間和平安全。

四、結語

無疑，《戰略綱要》的出臺部分回應了國內外對我國網絡安全戰略的疑問或期盼。但這畢竟不是一份獨立的網絡安全戰略，無論是對外宣示，還是對內指導工作，都還不夠。我國在新時期的網絡安全戰略自2011年啟動編制，千呼萬喚難出來，不能不說是一種遺憾。《網絡安全法》（二審稿）規定，國家制定并不斷完善網絡安全戰略。這是以最嚴肅的形式表明國家對網絡安全戰略的重視，期盼能夠在不遠的將來落地。

（責任編輯：李曉暉）

G20

A