美國網絡空間安全體系建設分析與思考

劉鵬++楊健++劉福強

摘 要：網絡空間安全建設是一項系統工程，涉及國家戰略、標準技術、組織管理等諸多因素，各種因素相互影響、相互制約。論文介紹了美國網絡空間安全體系的建設情況，簡要分析了美國網絡空間安全戰略、法律法規、標準規范、安全技術、組織管理、教育與培訓等方面的發展歷程和主要特點，并結合我國網絡空間安全建設現狀，從組織協調、產業發展、教育培訓、國際合作等幾個方面，提出了我國網絡空間安全體系建設的幾點建議。

關鍵詞：網絡空間；安全；體系

1 引言

以互聯網為核心的網絡空間已成為繼陸、海、空、天之后的第五大戰略空間，各國均高度重視網絡空間的安全問題。作為世界上實力最強大的國家，美國最早提出網絡空間概念，并將網絡空間安全提升至國家安全層面，在該領域的綜合實力也遠遠領先于其他國家。近年來，為了應對日益嚴峻的網絡空間安全挑戰，確保美國國家安全和經濟繁榮，奪取網絡空間優勢，維持霸主地位，美國越來越密集地發布針對性國家政策，組建專門的組織機構。在整個安全體系建設、確立國家在網絡空間的定位、設立高級別協調機構、完善產學研用創新機制等方面，有很多做法和經驗值得我們學習和借鑒。

2 美國網絡空間安全體系現狀分析

美國從國家戰略、法律法規、標準規范、安全技術、組織管理等多個方面對網絡空間安全領域進行了整體布局、規劃和協調，各方面相互影響、相輔相成，構建了完善的安全體系[1]。

2.1 戰略規劃

美國是世界上第一個制定網絡空間安全戰略的國家，并將其視為國家安全戰略的重要組成部分。該戰略歷經網絡防御、攻防一體再到全球網絡威懾的演變[2，3]，逐步確立起美國的制網權。

20世紀80年代開始，隨著互聯網的迅速發展，為了維護國家信息網絡安全，美國制定了《聯邦計算機系統保護法案》、《計算機安全法案》等文件，實施以保障信息的安全保密為核心的信息安全戰略。90年代初，為了支撐美國從工業時代向信息時代轉型，刺激經濟發展，美國提出了“信息高速公路”計劃。同時，政府認識到信息安全保障在信息時代對于國家安全的重要性，先后發布了《關于保護美國關鍵基礎設施的第63號總統令》、《2000年總統國家安全戰略報告》等文件，在國家安全戰略層面提出國家信息安全計劃。這個階段，安全保障的主題是基礎設施保護，其戰略重點在于全面防御?！?·11”事件使美國政府意識到國家網絡空間安全面臨的嚴峻挑戰，從2001年開始，美先后發布了《信息時代的關鍵基礎設施保護》、《保護網絡空間的國家戰略》、《關鍵基礎設施和重要資產物理保護的國家戰略》等文件，界定了關鍵基礎設施的內涵和外延，突出了國家層面的戰略任務。與此同時，美國防部提出加強網絡空間安全研究作為重點發展方向之一，開始重視美軍網絡戰能力建設，大力開發計算機網絡戰武器。

此階段安全保障的主題為網絡反恐，戰略重點轉變為攻防結合。到奧巴馬政府時期，美國把網絡安全確立為國家安全和經濟發展的最大挑戰。2011年，相繼發布了《網絡空間國際戰略》和《網絡空間行動戰略》，前者目標是突破網絡空間中的疆界限制，后者則為美國防部在網絡空間領域制定了戰略方針和行動原則。以“棱鏡門”事件為典型，揭示出美國安全保障的戰略重點已轉變為“攻擊為主，網絡威懾”。

作為信息技術的發源地，技術領先和綜合實力超強的大國，美國對網絡空間的安全問題有著清醒的認識，一直都對網絡空間安全戰略高度重視，并圍繞美國國家核心利益，持續調整戰略以適應不斷變化的環境。當前，美國網絡空間安全戰略已全面覆蓋政治、經濟、軍事、外交等各個領域，主要呈現出四個特點。

（1）為了維持網絡空間戰略優勢和技術領先，美政府通過法律法案、組織機構設置等多種手段，加大技術研究和人才培養的支持力度。

（2）利用信息技術推動美國經濟持續發展，為此極力維護自身網絡安全，爭取更大的經濟利益，防范任何借助網絡威脅國家安全利益的行為。

（3）引入網絡戰概念，組建網絡戰部隊，制定網絡空間軍事戰略，謀求網絡空間絕對優勢和行動自由，實施戰略威懾。

（4）利用網絡優勢，控制網絡空間，制造有利于美國的輿論，開展價值觀和意識形態輸出，塑造一個符合美國國家利益的戰略大環境，對其他國家施加影響。

2.2 法律法規

與安全戰略相配套，美國發布了一系列針對網絡空間安全的法律法規，形成當前世界上數量最多、內容最豐富的網絡空間安全法律體系[1，4]。1978年，美國頒布了《聯邦計算系統保護法案》，首次將計算機系統納入法律保護范疇。1984年，美國對《聯邦刑法》進行了修改，并通過了《假冒訪問設備及計算機欺詐和濫用法案》，對未經授權訪問和使用計算機網絡行為規定了刑事處罰措施。20世紀90年代初，隨著《國家信息基礎設施計劃》和《全球信息基礎設施計劃》的提出，為應對基于網絡的信息系統和重要基礎設施的安全威脅，保障計劃的實施，美相繼制定了《NII保護法案》、《關于保護美國關鍵基礎設施的第63號總統令》。“9·11”事件后，相繼頒布《愛國者法案》、《國土安全法案》等重要法律，加強對信息監控和關鍵信息基礎設施保護，并推出《網絡空間國際戰略》，謀求網絡空間安全領域國際合作，全方位保護美國安全。

截止目前，美國在網絡空間安全領域頒布了100多項法律，規格高、數量多、內容全、涉及范圍廣，為其保護網絡空間提供了全方位的法律保障；法律的出臺始終服務于國家發展利益和戰略規劃，并根據變化持續不斷地進行調整和完善；法律靈活采用法案、總統令、政策、指南等多種形式，具有很強的針對性和可操作性。

2.3 標準規范

網絡空間安全標準是網絡空間安全建設的基礎。美國歷來重視標準制定工作，通過立法推進標準體系的發展，在網絡空間安全領域相繼制定和發布了大量標準，形成了完善的安全標準體系和組織體制[5]，為國家戰略的制定和實施提供支撐，不斷擴大和鞏固美國國際領導地位和影響力。美國網絡空間安全標準體系主要呈現四個特點。endprint

（1）大力推進國內標準國際化，獲取網絡空間主導權。美國積極參與ISO、IEC等國際標準組織機構的活動，確保在國際標準中的領導地位，以圖打開海外市場，獲取全球經濟優勢。

（2）極力維持標準的先進性，根據需求變化，及時對現有標準進行修訂和更新。

（3）推進標準公開透明和融合互補，促進產品質量提升。

（4）突出自愿原則，形成靈活、適應性強的體系結構，積極促進經濟發展和技術進步。

2.4 安全技術

在技術體系框架方面，基于縱深防御和風險管理思路，美國相繼發布了信息保障技術框架、風險管理框架、網絡空間可信身份國家戰略、提升關鍵基礎設施網絡空間安全技術框架等文件，這些技術框架文件為美國建立信息安全保障體系提供了解決方案，促進了標準的制定和推廣，推進了安全技術的發展。

在技術發展規劃方面，以安全技術體系框架文件為出發點，結合時代背景，圍繞保護網絡和信息系統安全、構建可信網絡空間、提升安全態勢感知能力、保護關鍵基礎設施安全、應對信息戰和網絡戰等重點領域，以及應對云計算、大數據等新技術應用帶來的安全威脅，美國投入大量經費和人員，支持安全技術基礎研究，促進基礎研究和應用研發協同發展。

此外，美國建立了包括政府、高校、企業和非盈利性組織等在內的科研體系和管理體制，非常重視網絡空間安全技術研發工作，從頂層設計和戰略規劃角度，引導技術研發方向；不斷出臺科研規劃文件，重視人才培養，加強經費支撐，鼓勵技術創新，建立了完善的專利保護、成果轉讓制度和人才引進機制，有力保證了美國在網絡空間安全技術領域的領先地位。

2.5 組織管理

美國從沒有機構到多個機構管理，再到多個跨部門機構的協調管理，在安全機構設置和管理協調方面積累了豐富的經驗。在機構設置方面，美國網絡空間安全機構遍布于聯邦政府的各類行政機構，主要包括白宮、國家安全局、網絡空間戰司令部等。這些機構職能基本覆蓋了大到安全戰略制定、小到科研經費管理的所有領域。為實現各個機構協同合作，美國還專門設置了一些跨部門的協調機構，如負責全國網絡空間安全態勢感知的協調機構、應急響應協調機構等。根據重大事件出現或戰略轉變，美國網絡安全機構也根據現實需求不斷進行著調整，以適應整體戰略規劃。

2.6 教育與培訓

美國非常重視網絡安全人才的培養工作。1998年，提出了“信息系統保護的國家計劃”，旨在推進網絡空間安全培訓和教育的發展。1999年制定的《國家信息安全戰略框架》，明確提出了美國需要進行網絡安全意識培養工作，啟動了國家信息保障教育培訓計劃，旨在通過政府、學術界和企業的多方合作，開展網絡安全培訓工作。2000年，發布了《信息系統保護國家計劃》，組織政府、高校和企業共同開展網絡空間安全教育活動。2003年，美國國家標準和技術研究院（NIST）發布了《信息技術安全意識和培訓項目建設指南》，規范了信息技術安全意識和培訓項目的設計、開發、應用和評價要求。2006年，發布了《美國競爭力計劃》，提出培養具有科學、技術、工程和數學（STEM）素養人才的目標。2009年，發起了創新教育運動，對美國教育進行改革，加強STEM教育活動。2010年，制定了《國家網絡空間安全教育計劃》[6]，負責對美國網絡空間安全教育工作進行全局指導；制定了《國際網絡空間安全教育計劃戰略規劃》，明確網絡空間安全需求范圍和具體目標。將每年10月定為國家網絡空間安全月，面向美國網絡用戶開展網絡空間安全常識宣傳、教育和培訓活動。

美網絡空間的安全教育主要依托政府、學校、企業等組織，分工明確，職責清晰。政府對美國網絡空間安全教育工作進行整體規劃、協調和推動；學校肩負傳授網絡空間安全知識、培養專業人才的職責；企業除了進行內部培訓外，還可以為高校提供安全教育實踐和應用場所。

3 對我國網絡空間安全體系建設的啟示

3.1 我國網絡空間安全體系建設現狀

在我國，隨著“寬帶中國”戰略推進實施，互聯網全面升級提速，網絡化和信息化水平顯著提高，極大地促進了傳統產業轉型升級，成為帶動經濟增長的重要動力。維護網絡空間安全，是保障我國各領域信息化工作和促進產業經濟持續穩定發展的先決條件。

（1）在戰略規劃方面，2003年，與美國出臺《網絡空間安全國家戰略》幾乎同步，我國頒布了信息安全保障的綱領性文件《關于加強信息安全保障工作的意見》，明確了信息安全保障工作的總體方針、目標和原則，在國家層面的認知和基本舉措上，與美國國家戰略基本保持了同步。但直到2016年12月，我國才發布了《國家網絡空間安全戰略》，首次公開闡明中國關于網絡空間發展和安全的立場，宣示了未來我國網絡安全治理的目標、原則和任務[7]?？傮w而言，我國與美國較早的把信息安全確定為國家戰略、制定詳細的措施并持續發展相比還存在一定差距。

（2）在法律法規方面，我國從20世紀90年初開展制定與網絡安全相關的法律，但主要是對已有的主要法律文件（如憲法、刑法等）進行修訂，增加與網絡安全相關的條款。2016年11月，我國通過了網絡安全領域首部綜合性、框架性法律—《網絡安全法》，在保護個人信息、治理網絡詐騙、保護關鍵信息基礎設施等方面做出了明確規定[7]。此外，我國相關部門根據現實需求也制定了相關規章制度（如公安部發布的《計算機信息網絡國際聯網安全保護管理辦法》）。與美國龐大的法律法規體系相比，我國安全法律還很不完善，存在立法層次低、出臺連續性差、與傳統法律兼容性差、網絡監管和網絡犯罪懲治力度小、缺乏國際合作等問題。

（3）在標準規范方面，近年來，我國建立了信息技術安全標準化技術委員會（CITS）和中國通信標準化協會（CCSA）的網絡與信息安全技術工作委員會，但標準組織機構相對年輕，研究工作剛剛起步，與美國等發達國家短期內仍存在很大差距。endprint

（4）在安全技術方面，由于長期以來我國信息化建設缺乏核心技術，網絡安全技術自主創新能力不足，對發達國家技術和裝備依賴性強。目前，我國正在重點推進芯片、操作系統等自主產權軟硬件研發和應用工作，但與美國相比這些產品還存在可用性、可靠性等方面的問題，構建我國自主可控的信息技術體系還任重道遠。

（5）在組織管理方面，2014年我國成立了中央網絡安全和信息化領導小組，統一領導協調國家網絡安全和信息化工作，把網絡安全問題提高到了戰略高度來統籌領導和總體布局，明確了網絡安全與信息化工作的工作重點和前進方向。但由于網絡空間安全工作涉及領域和部門眾多，還需要加強統籌協調，改變職責使命模糊、管理職能分散、沒有形成合力的現狀。

（6）在教育和培訓方面，2016年，我國出臺了《關于加強網絡安全學科建設和人才培養的意見》，從戰略層面開始大力推動網絡安全人才培養工作。但面對日益突出的網絡安全問題，我國網絡用戶的網絡安全意識還相對薄弱，缺乏網絡安全防御意識和能力；教育師資力量薄弱，課程設置和教育培養模式不夠完善，學科建設和人才選拔、培養工作還相對滯后。

3.2 主要啟示

我國在網絡空間安全領域建設起步晚、基礎弱，但隨著中央網絡安全與信息化領導小組的成立，以及《國家網絡空間安全戰略》、《網絡安全法》和相關重要政策的陸續出臺，我國網絡空間安全體系建設正加速推進。借鑒美國經驗和做法，我們還需注重加強幾方面工作。

（1）加強協調管理，提高網絡安全管理、政策執行和監督的力度。盡快建立國家層面的網絡空間安全協調機構，建立上下貫通、橫向聯動的協作機制，整合全國網絡空間安全力量，加強信息共享和行動協調，保障戰略規劃、頂層設計的有效推進和實施。

（2）加強教育和培訓力度，提升國民網絡安全意識。應綜合利用各類媒介，加強網絡空間安全宣傳教育和專題培訓，努力提升國家網絡安全社會氛圍。

（3）加強網絡安全產業培育，提升網絡安全核心技術創新和研發能力。網絡安全技術和產業是獲取網絡空間安全優勢的重要基礎。應對安全技術領域研究進行整體規劃和戰略指導，加強經費支持力度，拓展經費支撐渠道，建立激勵機制，鼓勵科研投入；加強研究團隊的交流與合作，加速成果轉化；加強對網絡安全產業的扶植政策，扶持優勢企業，加快產業發展整合步伐，提升技術競爭力。

（4）加強國際間網絡空間安全交流合作，應對網絡安全共同威脅和挑戰。參與相關網絡安全標準和國際條約制定，爭取話語權；加強國際網絡犯罪打擊方面的協作，防范跨境網絡攻擊，促進國際網絡空間領域的公平和正義，維護我國網絡空間主權。

4 結束語

為了應對日益凸顯的網絡空間安全威脅，美國政府圍繞國家核心利益，不斷調整國家網絡安全戰略，全方位推進網絡空間安全體系建設，不僅將網絡列為關鍵基礎設施，還將其升級為國家戰略資產，利用戰略、技術、產業、軍事等方面的絕對優勢，積極推動網絡空間國際規則構建，進一步鞏固其在網絡空間的壟斷地位。

我國自從2004年中央網絡安全與信息化辦公室成立以來，《網絡安全法》、《國家網絡空間安全戰略》等重要制度性文件相繼發布，標志我國在網絡空間安全體系頂層設計全面展開并初步成型，正在加快推進網絡強國戰略。圍繞戰略目標，2016年以來，相繼出臺了《國家信息化發展戰略綱要》、《關于加強國家網絡安全標準化工作的若干意見》、《工業控制系統信息安全防護指南》等一系列重要政策文件，對網絡空間安全頂層規劃、學科建設、人才培養、標準規范、基礎設施保護等方面全面展開并穩步推進。但我國在網絡空間安全體系建設方面起步較晚，與美國還存在不小差距。我們應借鑒美國等網絡安全強國經驗，確立并完善符合本國國情的網絡空間安全戰略，提升技術和產業實力，強化安全基礎設施建設，才能改變當前受制于人的狀態，有效維護我國網絡空間權益。

參考文獻

[1] 劉峰，林東岱，等.美國網絡空間安全體系[M].北京：科學出版社，2015.

[2] 劉勃然.21世紀初美國網絡安全戰略探析[D].吉林大學，2013.

[3] 李曉巖.美國20世紀末以來網絡空間安全戰略研究[D].外交學院，2012.

[4] 柏慧.美國國家信息安全立法及政策體系研究[J].信息網絡安全，2009， 104（8）：44-46.

[5] 國家信息技術安全研究中心.美國信息安全標準化組織機制研究[J].信息網絡安全， 2009， 104（8）：16-19.

[6] 韓臻，王星，等.美國NICE網絡空間安全人才隊伍框架分析[J]. 保密科學技術，2012， 24（9）：53-57.

[7] 信息安全與通信保密編輯部.年全球網絡空間安全重要政策[J].信息安全與通信保密， 2017， 277（1）：18-21.endprint