世界主要國家網絡安全戰略研究及我國應對啟示

◎中國信息安全研究院有限公司 王石 葛宏志

◎上海帕科信息科技有限公司 郭凱

一、網絡安全是大國逐鹿的必爭地

網絡安全是大國競爭的制高點，相對于陸海空天的安全威脅，最現實的安全威脅主要來自于網絡空間。西方國家對我國打壓遏制的主要手段之一就是在網信領域實施技術封鎖和產業控制。2021年5月，美國成立半導體聯盟（SIAC），將中國內地企業排除在外；美國以維護國家安全利益為借口，利用出口管制條例打壓我國企業，將我國23個實體被納入“實體清單”，矛頭直指我國重要網信企業，旨在削弱核心競爭力，阻礙國家科技創新進程。

今年是我國“十四五”開局之年，黨中央高度重視網信工作，在《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中要求堅定不移建設制造強國、質量強國、網絡強國、數字中國。“十四五”時期加強頂層設計，重點實施“2631”舉措：“2”是兩個健全：健全網絡安全法律法規和制度標準，健全關鍵信息基礎設施保護體系；“6”是六大加強：加強網絡安全關鍵技術研發，加強網絡安全基礎設施建設，加強重要領域數據資源、重要網絡和信息系統安全保障，加強跨領域網絡安全信息共享和工作協同，加強網絡安全風險評估和審查，加強網絡安全宣傳教育和人才培養；“3”是提升三種能力和競爭力：提升安全防護和維護政治安全能力，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力，提升網絡安全產業綜合競爭力；“1”是構建網絡空間命運共同體。

本文選取美國、歐盟、英國、日本和俄羅斯作為主要研究對象，綜合考慮了政治、經濟、軍事等重要性因素，分析上述國家網絡安全的發展歷程、目標和戰略舉措，以期為健全我國網絡安全體系提供借鑒。

二、世界主要國家網絡安全戰略評析

（一）美國：保持國際網絡空間安全的主導地位

1、美國網絡安全戰略發展歷程

美國創造了國際互聯網，擁有10條IPV4協議根邏輯域名服務器，在關鍵信息基礎設施方面具有優勢。上世紀九十年代克林頓發布了第63號總統決定令（PDD63）為標志，拉開網絡安全戰略序幕；小布什發布了全球第一份《網絡安全戰略》，加強對關鍵信息基礎設施防護和恢復能力；奧巴馬提出“國家網絡安全綜合計劃”，隨后頒布《增強關鍵基礎設施網絡安全（第13636號行政令）》（2012），增強網絡的安全性、可靠性以及韌性，在軍事上具備應戰能力；特朗普頒布《增強聯邦政府網絡與關鍵基礎設施網絡安全（第13800號行政令）》（2017）、《網絡安全戰略》（2018），旨在保持網絡空間的優勢。2021年5月，拜登政府頒布《關于加強國家網絡安全的行政命令》，進一步加強公私合作，推動網絡安全現代化和軟件產業鏈安全。

2、美國網絡安全戰略目標

拜登政府通過公私合作加強防御能力，提升政府網絡安全現代化、軟件供應鏈安全、事件檢測和響應以及對威脅的整體抵御能力；同時加強盟友合作，確保商業利益，保持國際領導地位。

3、美國網絡安全戰略主要舉措

美國制定了全球最為系統的網絡安全戰略，以保衛本土、促進繁榮、維護和平、提升國際影響力等四大核心，具體是[1,2]：一是政府與私營部門合作，消除共享威脅信息的障礙，鼓勵社會資本投資，共同保護關鍵信息基礎設施，提高檢測、修復、調查和補救能力，打擊網絡犯罪；二是市場化手段保障產業鏈、供應鏈，尤其是軟件供應鏈的安全性和完整性；三是加強網絡安全現代化，更新和實施更強的網絡安全標準，應用零信任安全模型，加快向安全云服務的轉移，以數字產業提振經濟；四是通過高層次網絡安全人才戰略搶占發展先機優勢，推廣網絡安全教育；五是加強國際產業界、學術界和民間機構合作，維護美國在世界范圍內的市場利益。

（二）歐盟：加強各國協作重返網絡安全領導地位

1、歐盟網絡安全戰略發展歷程

歐盟延伸傳統空間的規范、原則和價值觀至網絡空間，維護網絡空間的自由和開放[3]。2001年歐盟出臺《網絡與信息安全提案》，2004年啟動了“歐盟關鍵基礎設施保護規劃”，2016年頒布《網絡與信息安全指令》，統一成員國戰略協作和網絡安全框架。2017年修訂《網絡安全戰略》，從消極防御轉變積極防御，增強網絡威懾力，建設復原力、防御力和威懾力“三力一體”的網絡安全體系。2020年12月，歐盟新戰略特別關注關鍵信息基礎設施、網絡安全、恐怖主義等。

2、歐盟網絡安全戰略目標

歐盟完善既有網絡安全體制，強化法治、人權、民主、自由等基本價值觀，共同塑造歐洲未來數字發展模式，鞏固世界主要單一市場地位，致力于成為全球科技領導者。

3、歐盟網絡安全戰略主要舉措

歐盟新版戰略延續既有的網絡安全策略，實現戰略自主權和國際規則主導權，提升歐盟市場地位，實現歐洲復蘇計劃，重新成為信息基礎設施網絡安全的領導者，具體有[4]：一是加強各國統一協調性和關鍵信息基礎設施韌性。頒布《關鍵基礎設施指令（修正稿）》與《關鍵設施韌性指令》，建立歐盟安全行動中心網絡，形成共同體以加強預防、阻停與響應的能力，推動成員國制定關鍵信息基礎設施戰略，強化各國抗風險能力；二是統一網絡安全框架和資源要素，提高成員國網絡安全能力、技術研發能力、實踐應用能力和保障能力，著重調整、重組與擴充了相關產業，共同打造歐洲未來數字發展模式；三是協調各國的民事、外交、執法和國防安全等事務，增強網絡犯罪追蹤與偵查能，注重保護歐盟重要利益的事務與設施免受干涉與攻擊；四是通過推廣歐洲價值與歐洲理念，重返領導者地位。推廣人權價值理念，深層次影響國際網絡安全與人權問題。

（三）英國：構建安全可控的社會經濟發展環境

1、英國網絡安全戰略發展歷程

英國利用互聯網進行商業活動的規模遠超歐洲平均水平。上世紀九十年代以來構建了國家網絡安全執法體系，主要有《計算機濫用法》（1990）、《數據保護法案》（1998）、《電子通信法案》（2000）、《調查權管理法》（2001、2015）等法律法規保護關鍵信息基礎設施與數據安全[5]。2018年頒布網絡安全新標準，并強制執行。此外，2009年首發網絡安全戰略，2012、2016年更新，提升網絡安全，加速數字經濟發展。

2、英國網絡安全戰略目標

英國建立世界領先的網絡安全架構，具備一流的科研能力和專業人才，保持創新優勢，讓英國成為安全的數字國家，保持社會經濟的繁榮。

3、英國網絡安全戰略主要舉措

英國圍繞經濟繁榮和社會穩定兩大核心，構建世界上最安全的商務區，具體是[5]：一是成立國家網絡安全中心（NCSC），主導推進信息共享、國家安全、安全事件應急以及風險防控四大任務；二是落實《數字化戰略》[6]，從七大方面部署數字經濟和實現數字化轉型，到2025年實現2000億英鎊的產業規模；三是英國2016年開啟5年的《網絡安全戰略》，提升技術水平、改善工業水平、改進武裝部隊、培養網絡人才等八個方面；四是鼓勵國內社會資本介入，加強國際盟友多邊合作，提升軍民融合層級，從文化角度提升公民的網絡安全意識。

（四）日本：以防為主兼具威懾的網絡安全戰略

1、日本網絡安全戰略發展歷程

日本擁有先進的網絡信息技術，是亞洲唯一擁有IPV4根服務器的國家。日本網絡安全戰略發展經歷了三個階段，即萌芽階段，標志是2010年出臺《保護國民信息安全戰略》；確立階段，標志是2013年出臺首份《網絡安全戰略》；深化階段，標志是2015、2018年更新《網絡安全戰略》，并成立“網絡安全戰略本部”和“內閣網絡安全中心”。日本逐步形成了體系完善、層次分明的戰略規劃架構，戰略目標明確，行動方向清晰。

2、日本網絡安全戰略目標

通過新價值和新服務為國民帶來豐富效益，促進經濟活力和產業可持續發展，構建讓人民安心生活的社會環境。

3、日本網絡安全戰略主要舉措

日本采取政策、經濟、技術、法律等手段，遏制惡意活動，保障公民的安全與權利，具體舉措有[7,8]：一是政府成立網絡安全事件響應協調中心，牽頭制訂網絡信息安全標準，營造安全可靠的產業發展環境；二是建立公私協作的機制，推進跨部門、跨領域措施，注重人才教育與培養，提升公眾網絡安全意識；三是政府大力促進網絡安全技術研發，建立多元化供應鏈安全保障體系，尤其大力構建安全的物聯網系統及其標準化，以物聯網創造經濟效益；四是國內發展內循環生態系統，國外加強法治建設合作，協助發展中國家建設網絡安全。

（五）俄羅斯：實施網絡安全戰略助推國家復興

1、俄羅斯網絡安全戰略發展歷程

從葉利欽到普京再到“梅普”時期，俄羅斯網絡安全戰略總體上經歷“消極防御”、“積極防御”、“戰略反攻”、“戰略發展”等演變歷程[9]。俄羅斯早期頒布《信息、信息化和信息保護法》、《俄羅斯網絡立法構想》,基本形成了理論體系。面對國際新局面，俄羅斯頒布新版《信息安全學說》（2016），以及《2017-2030年俄羅斯聯邦信息社會發展戰略》、《〈俄聯邦“數字經濟”國家綱要〉在信息安全領域的實施計劃》等政策，2021年7月頒布新《國家安全戰略》，注重“信息安全”，逐步淘汰不符合信息安全標準的服務和產品，加強俄在信息空間的主權，注重金融市場基礎設施的安全。

2、俄羅斯網絡安全戰略目標

俄羅斯政府和軍隊重視網絡信息安全問題，為保護公民、企業和國家利益提供技術、組織和法律保障，提高公民意識，推進國家復興整體戰略。

3、俄羅斯網絡安全戰略主要舉措

俄羅斯制定國家網絡安全戰略稍晚，但是政府和軍隊日益重視網絡安全問題和威脅，具體措施有[10]：一是在關鍵信息基礎設施中優先使用本國技術和設備，保證硬件和數據技術獨立性和安全性，確保通信基礎設施的穩定，保障互聯網安全；二是通過科技創新改進網絡安全的路線和方法，大力發展新興前沿技術，重點突破量子通信、量子計算、云計算、人工智能與大數據融合的信息安全技術；三是逐步完善法律法規，強化信息空間監管，規范信息空間行為，加大信息安全審查力度，依法懲戒信息安全犯罪；四是將“數字經濟”融入世界經濟，參與制訂國際政策法規和標準，保障獨聯體國家整體外部環境；五是發展網絡空間作戰力量，全面提升網絡偵察、攻擊和防御能力，強化網絡空間作戰演習訓練與實戰運用，形成面對戰爭的信息控制和控制能力。

三、我國網絡安全戰略應對的啟示

黨和國家高度重視網絡安全戰略，在中國接入國際互聯網二十周年之際，于2014年成立中央網絡安全和信息化領導小組，2018年3月改為中央網絡安全和信息化委員會，集中力量建設網絡強國。黨的十八屆五中全會提出網絡強國戰略，頒布了《網絡安全戰略》，主要是堅定捍衛網絡空間主權、堅決維護國家安全、保護關鍵信息基礎設施、加強網絡文化建設、打擊網絡恐怖和違法犯罪、完善網絡治理體系、夯實網絡安全基礎、提升網絡空間防護能力、強化網絡空間國際合作等九大方面。如表1所示，從世界主要國家的網絡安全戰略目標來看，可以分為三類：第一類以美國和歐盟為代表，保持國際領導地位，保持科技創先和技術引領優勢，成為國際網絡安全的主導者；第二類以英國、日本為代表，和平利用網絡空間，保持科技領先，發展商業價值；第三類以中國、俄羅斯為代表，構建防御能力保障本土安全，維護自身的網絡空間利益。

通過對比分析可見我國網絡安全戰略相對全面，但在側重點上應有針對性地做好應對列強國家的快速發展，以及未來可能帶來沖擊的準備，主要體現在以下三個方面：一是加強關鍵核心技術的創新與突破，融合先進技術、結合龐大市場需求形成發展先機；二是在網絡安全領域進一步完善法律法規和標準規范，積極參與國際網絡安全治理和標準研制；三是重視人才的教育與培養，并通過定期全國性活動提高公眾的網絡安全意識。

四、我國網絡安全自主發展的建議

基于對世界主要國家網絡安全戰略分析，借鑒他們的舉措實施側重點，結合我國經濟和社會發展實際情況，重點從關鍵核心技術攻關、健全法規和加強標準體系建設、加大關鍵信息基礎設施投入、彌補核心領域人才短板等方面提出如下建議：

第一，加強頂層設計，布局前沿科技，建立自主創新體系，提升國家網絡安全綜合防護能力。加強科技創新頂層設計，歸核聚焦核心產品的技術路線，逐步完備自主架構和生態體系，根本解決應用局限、生態不完善等問題。加強組織體制創新，以有技術、有人才、有生態的龍頭企業為主體，保障資源要素，貫通產業鏈條，打贏這場科技創新的阻擊戰。

表1 我國和世界五大主要國家網絡安全戰略對比分析

第二，圍繞《網絡安全法》《數據安全法》等，逐步健全面向新技術應用的網絡安全相關法律制度和標準規范，為各方提供客觀衡量標準和工作指引；落實《關鍵信息基礎設施安全保護條例》共享機制和監管機制，充分發揮政府及社會各方面的作用，共同保護關鍵信息基礎設施網絡安全；同時充分借鑒國外標準規范，設計適合監管需求的評價指標體系和評價機制，以評促建，以評促改；積極參與國際網絡空間治理，圍繞構建人類命運共同體，開展對邊對話，為世界輸出網絡安全中國方案。

第三，大力推進產教深度融合發展，培育共同價值觀和使命感。大力推動產業教深度融合發展，構建網信領域高端人才和普及教育組織體系、運行機制，公眾建立網絡安全的使命感與共同價值觀，多角度多維度開展宣傳，形成心懷國家、凝聚力強的網絡安全文化氛圍。