全球化背景的网络安全新思维:他国镜鉴及其下一步

　　摘要：随着IT产业和信息化的深入发展，网络安全日益成为国家安全的重要组成部分。当前，世界各主要国家都将网络安全提升到国家战略层面去认识、规划和管理，甚至是将其列为传统安全威胁的一个方面。在构建网络安全新思维方面，无论是IT技术和信息化建设比较领先的英法还是IT技术和信息化建设不算先进的俄罗斯，都从各自国家战略利益出发，发展出相应的国家网络安全新思维。我国有必要在中央网络安全和信息化领导小组的总体架构下，充分认识和理解网络安全的国际最新发展趋势，不断完善体制机制，构建具有中国特色的网络安全战略框架。

　　关键词：网络安全；国家安全；信息化建设；

　　2014年是中国接入国际互联网20周年。在这20年的时间里，我国的互联网行业抓住机遇、快速发展，成绩斐然，我国已经成为名副其实的网络大国。但是，我国远非网络强国，我国网络安全正遭受较大威胁。在这样的背景下，我国于2014年2月27日成立中央网络安全和信息化领导小组(以下简称“领导小组”)。借鉴国际经验，加强和完善网络安全和信息化建设领导体制机制，为国民经济和社会发展信息化提供强有力的组织制度保障，就显得尤为紧迫。

　　一、网络安全和信息化领导机构建设的国际经验

　　网络安全随着IT产业以及信息化建设的深入发展而变得日益重要。近年来，越来越多的国家开始将网络安全纳入国家安全范畴，各国都认识到了网络安全的重要性，并开始加快相应的组织机构建设步伐。在网络安全战略发展方面，英国、俄罗斯和法国各具特色，具有比较显著的代表性，对建立完善我国网络安全和信息化建设的新型领导体制具有重要的参考价值。

　　(一)英国的网络安全战略与管理机构设置

　　信息网络时代，欧美发达国家占据了信息化潮流的先机。在英国，随着信息化战略的不断推进，国家经济社会生活对网络空间的依赖性也不断增强，越来越感受到信息安全的威胁。近年来英国政府基于自身的历史使命，充分利用信息网络的作用，逐步演化、发展出一套全面系统的网络空间战略，并通过设置相应的机构、出台配套的法律进行保障。

　　1.国家网络安全战略

　　英国充分认识到信息安全对国家安全和经济社会发展的重要影响，将信息安全列为国家安全战略的重要组成部分，确立了信息安全战略的重要地位，网络安全也越来越受到英国的重视。

　　近年来，英国不断制定国家层面的信息安全战略规划，连续发布了两份国家网络安全战略。2009年6月，英国首次发布《英国网络安全战略》报告，该报告的出台对英国国家安全战略的发展产生了深远影响。[1]该战略报告论述了如何通过综合建设和使用网络安全力量，追求网络安全优势。明确了英国网络安全战略的目标，即降低使用网络空间的风险和充分利用网络空间，从而保证英国在网络信息空间中的利益。构建了新的网络安全体制，成立了两个新的跨部门的网络安全管理机构：网络安全办公室和网络安全行动中心。

　　2011年11月，英国又发布了《英国网络安全战略：在数字世界里保护英国并促进国家发展》，旨在加强英国对网络威胁的恢复能力，并建立以政府通信总部为中心的监测网络。[2]在新的国家网络安全战略报告中，英国表示将建立更加可信和适应性更强的数字环境，以实现经济繁荣，保护国家安全和公众生活；并加强政府与私有部门的合作，共同创造安全的网络环境和良好的商业环境。鉴于互联网对社会、政治和经济增长的重要作用，新战略不仅针对威胁国家安全的恐怖主义，也将打击危害公众日常生活的网络犯罪，防范威胁网络安全的各种因素(1)。

　　除发布两份国家网络安全战略外，2010年10月英国政府还发布了国家安全战略报告———《不稳定时代中的强大英国：国家安全战略》，将网络安全界定为一级威胁[3]，开始启动新的国家网络安全计划。可见英国政府高度重视信息安全，三年之内出台了两次国家网络安全战略，在国家安全战略中也将网络安全战略置于重要地位。英国网络安全战略的总体愿景是构建一个充满活力的安全的网络空间，并以此促进经济繁荣、国家安全和社会稳定。英国的网络安全战略更关注于维护本国网络安全、加强本国网络安全产业竞争力、创造新的商业机遇，将网络安全作为新的经济增长点，从而促进经济增长和经济繁荣。[4]它强调政府间的跨部门协作和国际合作；注重发动社会的力量，鼓励全民参与；坚持技术为本，立足于网络安全技术的发展和更新；坚持积极防御和主动出击相结合。

　　2.网络安全管理机构的设置

　　为贯彻执行网络安全战略，英国政府也在网络安全管理体制方面不断地进行相应的调整，以使之更好地保障英国的国家安全，并日益成为实现英国国家战略目标的崭新武器。在维护网络安全方面，英国政府并没有设置全国统一的机构，而是在明确各部门职责分工的基础上加强统筹协作。英国政府与网络安全管理相关的机构设置及其职责如表1(下页)所示。

　　英国有着深厚的自由主义传统，这一传统也体现在英国的互联网管理上，它的特点是轻政府管制、重社会自治。[5]因此，在维护网络安全方面，除设置相应的政府部门行使职权外，自律组织和独立的规制机构也发挥着重要作用。英国形成了以网络观察基金组织(InternetWatchFoundation，IWF)为中心的行业自律体系，IWF是1996年由英国网络服务提供商自发成立的半官方组织，其前身是原来的安全网络基金会[6]，在英国城市警察署、内政部和英国贸易工业部的支持下开展日常工作。在规制方面，英国通讯办公室(OfficeofCommunication，Ofcom)是根据《2003通信法》成立的独立的规制机构，统一监管广播电视和电信机构，拥有高度的自主权，政府无权干涉其监管工作。

　　2013年3月，英国国家通信总局、政府通信总部、军情五处等情报机构和160家英国企业共同宣布成立“网络安全信息共享合作机制”(CyberSecurityInformationSharingPartnership)，政府、警方和企业都会派专家支持该机制，保证一旦出现网络攻击，机制内的所有参与者都能从一个安全网络门户获得共享信息，包括实时报警、网络攻击的技术细节及手段、应对措施等。[7]在维护网络安全方面，英国形成了政府、行业、领域和社会密切联系、互相配合的共管机制，并鼓励公众的广泛参与。[8]

　　3.立法保障和行业自律

　　自20世纪90年代以来，英国出台了很多互联网及相关领域的立法，网络自治自律机制也在不断发展。英国在网络管理方面的主要做法就是立法保障和行业自律，并辅之以政府指导。[9]在网络监管方面，英国拥有比较完善的法律框架，建立了完善的法律法规基础。最初关于互联网的立法，主要侧重于保护关键性信息基础设施，随着互联网的不断发展，逐渐开始强调网络信息的安全，加强对网络犯罪的打击。如《规管调查权法》明确赋予了相关机构的监听权力；《防止滥用电脑法》旨在打击互联网犯罪；《数据保护权法》《隐私和电子通信条例》旨在保护个人隐私。[10]除立法外，自律协议也发挥着重要作用，IWF为鼓励互联网从业者自律，于1996年颁布了《3R(1)安全规则》，这是国际上第一个网络监管的行业性法规，对提供网络服务的机构、终端用户和编发信息的网络新闻组进行了明确的职责分工。在控制和监管网络非法信息方面，行业自律发挥着重要的作用。

　　(二)俄罗斯的网络安全管理体系

　　为保障国民经济和社会发展信息化，俄罗斯建立了一套系统有效的网络安全管理体制，从战略思维、组织保障、法律法规体系以及管理制度建设等多层次、多角度地建立起综合立体的网络安全管理体系。

　　1.俄罗斯信息安全战略思维：国家信息安全学说

　　随着信息化建设步伐的加快，俄罗斯对国家信息安全的重视程度也日益提高，信息安全被纳入国家安全战略。为此，俄罗斯政府采取了一系列行之有效的措施，从1997年起，就开始认真考虑如何推进本国的信息网络化建设，并重新提出要深入研讨信息网络时代的国家安全问题以及建立有关国家网络安全机构的设想。此后，俄安全会议组织有关部门专家、学者着手制定俄联邦信息安全架构。2000年6月23日，《国家信息安全学说》讨论通过，为俄罗斯制定进一步的信息网络安全政策奠定了基础。该学说将“信息战”问题放在突出地位，认为未来国家安全利益面临着来自外部信息攻击的严重威胁。该学说主张加强信息对抗准备，要求成立国家信息安全与信息对抗领导机构，建立特种信息部队，组织相关技术领域的关键技术攻关等。学说的发表，表明俄罗斯已经将信息安全提升到国家战略高度，它为俄罗斯“构建未来国家信息政策大厦”奠定了基础，被视作加强信息安全的重要举措，为该领域国家政策的制定和专门立法活动提供了纲领性指导。

　　此后，俄罗斯基于该学说主要精神，分别制定了《2010年前俄罗斯信息化发展纲要》、《2002年至2010年电子俄罗斯联邦目标规划》、《俄罗斯联邦信息社会发展战略》等，进一步丰富和完善了该学说的精神内涵。

　　2.健全的信息安全管理机构

　　为贯彻落实以“国家信息安全学说”为主要内容的信息网络安全战略思想，俄罗斯逐步建立、完善了其信息化和网络安全管理组织体系(见表2)。

　　这一系列旨在维护国家网络安全的专门机构和组织，分工明确、职权清晰，可以更好地执行落实国家信息安全政策措施和法令法规。除此之外，俄罗斯联邦安全局还与国防部、对外情报局、内务部及其他单位密切合作。

　　3.完善的信息安全立法体系

　　俄罗斯重视信息领域的政策研究和法律规范制定，已经形成以联邦宪法规定为立法依据，以《信息、信息技术和信息保护法》为立法基础，以《俄罗斯国家安全构想》、《国家信息安全学说》及《2020年前俄罗斯国家安全战略》等若干纲领性文件为立法的政策指导和理论依托，以具体的法律规范为立法支撑，以专门机构的具体措施为立法保障的较为完善的信息安全立法体系(见表3)。[11]

　　4.完善的信息安全保障管理制度

　　2004年，俄罗斯进一步明确了信息安全保障体系的优先发展方向，包括发展信息安全保障体系、改进并研制新的信息安全保障方法和手段、改进信息安全机制、建立信息安全分析模型和方法、评估信息保护等级和发展信息质量管理系统等。2011年，俄罗斯联合中国、塔吉克斯坦、乌兹别克斯坦共同起草《信息安全国际行为准则》，呼吁各国在联合国框架内展开进一步讨论，并希望各国尽早就规范网络空间行为的规则达成共识。在2012年的国际电信大会上，俄罗斯提出议案，认为成员国政府对互联网管理以及各国在互联网资源分配等方面拥有平等权利，加强政府在互联网发展与管理中的作用。

　　俄罗斯在加强信息安全组织机构建设的同时，还建立了多种信息安全制度：强制认证制度，对信息加密保护设备进行认证，对从事保护国家秘密领域的活动实行许可制度，统一信息保护设备和方式的标准；国家干预和调控制度，在信息安全技术市场上实行国家干预和调控，保证优先发展特种信息保护设备和保护国家机密的手段；数据恢复与备份制度，注重数据的灾难恢复和备份工作，大力普及和推广应对灾难恢复的软件产品；网络信息检查制度，对互联网传播的信息进行监督检查，对个人在保护信息系统中的行为以及培养保障俄联邦信息安全干部的情况进行监督；安全评估制度，制定计算机系统安全评估标准等。[13]俄联邦还根据各个领域信息安全状况的特定因素制定不同的手段和方法，如经济领域、科学技术领域、国内政策领域、对外政策领域、国防领域等。

　　俄罗斯建立了一支特种网络部队，负责网络战的防护与实施。在积极关注网络斗争的同时，俄罗斯也特别注重有关信息网络安全法律的制定。为专门探讨和制定信息网络安全政策，俄罗斯在联邦安全会议下特设了“信息网络安全政策委员会”。俄总统通过联邦安全会议、总统的国家安全助理和有关部委，对信息网络安全工作进行直接领导和监督。俄罗斯保障信息网络安全的实施机制，是由有关的联邦执行权力机关和地方执行权力机关组成，遇到问题由联邦政府协调。

　　俄罗斯还致力于发展信息安全技术，大力支持国内信息安全技术和产品的研制与开发，在发展信息安全技术上坚持自主创新自成体系，尤其注重芯片和操作系统的研发。

　　(三)法国的网络安全保护

　　法国对网络安全的认识和理解主要从两个层面展开：一是对于国内社会公众的信息网络安全的保护；二是将网络安全向国家安全特别是与军事安全联系起来，网络安全也从非传统安全向传统安全转变。

　　就国内社会公众的信息网络安全保护来看，法国政府主要是通过制定相关法律、成立专门机构、应用新技术等综合手段管理网络、确保网络安全。2000年以来，法国先后出台多部保护国内信息安全的法律，如《互联网创作保护与传播法》、《互联网知识产权刑事保护法》、《数字经济信心法》、《国内安全表现规划与方针法》等，不断细化信息安全保护方面的法律条款。法国还成立了多个部门，负责网络调查和安全。司法系统内成立了专门打击网络犯罪的部门，该部门扮演网络警察的角色。此外，还成立了负责技术痕迹和信息处理的警察部门，并在大区级司法机关配备网络犯罪调查员。在技术层面，内政部设立了非法网站信息平台，网民可以匿名举报有违法信息的网站。[14]

　　就国家战略和传统安全来看，面对日益增长的网络威胁，2008年公布的《网络安全与防卫白皮书》强调法国应具备有效的信息防卫能力，对网络攻击进行侦查、反击，并研发高水平的网络安全产品。为更好地保护国家信息网络，2009年7月法国成立国家级信息系统安全机构———法国网络与信息安全局(FNISA)。该部门设立了24小时网络防卫中心，对敏感的政府网络进行全天候监视，加强对重要行政机关的网络安全警戒，通过技术手段加强防范措施，以发现和应对网络攻击。2012年7月，法国参议院公布的伯克勒报告将网络安全称为“世界的重大挑战，国家的优先问题”，网络安全开始上升到国家战略层面。2013年发布的《国防与国家安全白皮书》强调了应对信息化威胁的必要性以及信息攻势和信息情报对网络安全的重要性。2014年5月12日，法国中央国内情报局正式更名为法国国内情报总局，直接隶属于法国内政部。

　　二、国外网络安全管理的特点

　　从英国、俄罗斯、法国网络安全战略、网络安全机构设置及其职能等的分析，可得知国外网络安全管理的一般性特点。

　　(一)创新网络安全新思维，丰富完善国家安全战略内涵

　　无论是信息化比较发达的英法还是IT产业相对落后的俄罗斯，都高度重视网络安全问题，并将其融入各自的国家发展战略。英国在发展网络安全思维方面强调政府间的跨部门协作和国际合作，注重发动社会的力量，突出全民参与性。法国则将网络安全与军事安全联系起来，使网络安全从非传统安全向传统安全转变。俄罗斯则从维护自身国家安全利益出发，很早就发展了独具特色的“国家信息安全学说”，突出网络安全的对抗性，较早地组建了网络安全部队。

　　(二)统一领导，多部门分工协作

　　虽然在建立维护国家网络安全的组织机制方面，各国政府的运行机制不尽相同，但都将网络安全决策作为最高层的政府决策。[15]英国将网络安全作为国家安全的一级威胁，法国和俄罗斯对网络安全的重视程度也上升到国家战略高度。

　　为落实网络安全战略，英法俄三国都设置了许多相应的部门和机构，这使得网络安全管理的任务和职责比较分散，造成一定的资源重叠和重复性工作。如果指定一个独立的权威机构去全面负责网络安全的管理，协调各个部门和机构的活动，减少不必要的重复性工作，必将大大提高网络安全管理的效率，保证网络安全战略的顺利有效推进；但同时，也应该注意到网络安全管理的复杂性，它涉及国家发展的方方面面，包括经济领域、政策领域、国防领域、科技领域等，所以它不可能由任何一个单独的机构来独自承担管理的职责，必须在多个部门和机构分工协作的基础上，加强统筹和协调。

　　(三)加强立法，构建完善的网络安全法律保障体系

　　国家网络安全保障体系离不开法律的支撑和标准的配套，各国在保障网络安全方面都积极制定相关的法律法规，出台相关政策，保证网络安全管理机构的顺利运行。英国的网络监管措施，建立在比较完善的法律框架之上；法国不断加强立法，力求有法可依、依法治网，如旨在加大网络犯罪打击力度的《内部安全行动法》、旨在保护网络知识产权的《网络著作权保护法》、旨在保护个人信息隐私与自由的《互联网个人信息保护指南》等；俄罗斯经过多年的发展，也形成了比较完善的国家信息安全法规体系。

　　(四)促进技术与管理创新，共同保障网络安全

　　各个国家都十分重视开发网络安全技术，使技术开发与管理并重，共同保障网络空间的安全。英国紧跟美国的步伐，凭借其较为领先的科技水平，注重对网络安全技术的研发和应用。俄罗斯十分注重强调自主创新自成体系，注重芯片和操作系统的研发，强调数学模型的论证和应用。他们自己研制的智能卡操作简便、保密性好，在国内积极推广有保护的信息技术和网络技术，并采用自己研制的电子数字签名等。俄罗斯也在积极研究一系列信息安全防护技术，包括信息加密、信息鉴别、网络侦查技术等。

　　(五)政府领导，社会参与

　　网络安全问题是一个十分重大的问题，涉及面广，仅仅依靠政府的力量是不够的，必须在发挥政府部门主动性的同时，充分调动社会资源参与的积极性，建立一个全方位的防御体系：培养公民的网络安全意识、与民营企业建立合作伙伴关系、充分发挥学术科研机构的优势。在这方面，俄罗斯的做法比较典型。

　　俄罗斯网络和服务协会是俄罗斯信息技术和通信部于1994年发起建立的一个公共机构，其成员遍布俄罗斯各地，包括政府部门、科研机构和大专院校、供应商、运营商等，其研究范围涉及互联网安全和隐私的各个方面。该机构致力于在俄罗斯建立和推广信息安全的理念，拟订相关的法律草案。除此之外，俄罗斯还有名为PRIOR的机构，这是一个由个人和机构组成的自愿团体，是一项将公共部门、私营机构和非营利机构团结在一起的国家级信息化治理组织，致力于弥补俄罗斯信息社会和知识经济计划项目的不足。

　　(六)注重对关键信息基础设施的保护

　　关键信息基础设施关系到国家安全、社会稳定和民生领域，因而各个国家都十分重视对基础网络和重要信息系统的监管和安全测评。英国对关键信息基础设施的保护始终都很重视，设置了专门的国家基础设施保护中心，为保护这些关键信息基础设施建立了完整的法律框架。俄罗斯对关键信息基础设施的保护随着社会信息化的发展和战略环境的深刻变革显得越来越重要，“信息资源和信息基础设施已经成为争夺世界领先地位的舞台，未来的政治和经济将取决于信息资源”，很多部门都受益于关键信息基础设施的保护，如国防、经济、国家信息与通信系统部门、国内外政策部门等。

　　三、对我国网络安全和信息化的启示及建议

　　2014年2月27日，“领导小组”宣告成立。“领导小组”的成立，是加强网络安全和信息化发展顶层设计的重大举措，有利于确保国家网络和信息安全，满足公众日益增长的信息消费需求，是国家治理体系现代化的必然要求。下一步，要着力做好如下方面的工作。

　　第一，积极构建中国特色的网络安全战略。“领导小组”已经成立，但是在有关该小组地位和价值的理论论述方面仍然欠缺，特别是无法突出网络安全战略思维的重要性。当前，有必要从中国崛起、国家治理体系和治理能力现代化、中国军事理论现代化等几个关键环节入手，全面系统同时又有所侧重地构建中国特色的网络安全战略。为此，必须首先发展若干关键概念，并在此基础上构建我国的网络安全战略框架，明确其构成要素、各要素的地位、作用及其相关关系，确定落实该框架的任务和项目。

　　第二，推进法律法规的建设，加大依法管理网络的力度。网络安全必须要通过立法加以提升，但是当前的信息立法往往落后于信息化实践，法律的缺位已经成为限制经济社会发展和社会稳定的重要瓶颈。因此要注重信息立法的建设，使其更加科学，借鉴国外信息立法的情况，制定具有前瞻性的信息立法，使其满足信息化发展和维护网络安全的需求。

　　第三，重构互联网管理领导体制。“领导小组”的成立，结束了我国之前网络安全与信息化建设缺乏强有力的统筹协调的不利局面。但是，对于如何在“领导小组”的架构下进行合理布局，仍然是当前必须充分研究的问题。

　　根据前述的国际经验，“领导小组”应该是在充分发挥各职能部门在网络安全和信息化建设中的各自职责的基础上进行统筹协调的机制，“领导小组”办公室(以下简称“网信办”)是其日常办事机构。作为“领导小组”的日常办事机构，网信办应该与当前的“国务院互联网信息管理办公室”保持独立，而不应该是当前的“两块牌子一班人马”的状态。网信办应该是一个协助“领导小组”制定并统筹实施国家网络安全与信息化战略的机构，需要处理好同网络安全与信息化的具体业务领域的监管部门(例如，负责实施“两化融合”战略的工业和信息化部、国务院互联网信息管理办公室以及其他信息化建设管理部门)以及其他党政军系统之间的关系。为使“领导小组”真正发挥统筹协调的价值和作用，必须赋予网信办以信息化战略的规划落实、国家网络建设规划管理、关键技术系统开发与核心设备系统采购的宏观指导、国家网络安全评估与审查职能等。

　　第四，协调组织政府各方资源。网络安全是一项非常复杂和庞大的课题，涉及多个领域，没有任何一个部门能够独立包揽维护网络安全的责任，因而必须积极调动协调全社会各个机构甚至是个人的积极性，共同维护国家的网络安全。“领导小组”要发挥集中统一领导作用，统筹协调各个领域的网络安全和信息化的重大问题。

　　第五，建设和维护良好的信息基础设施。关键信息基础设施在各个国家的网络安全战略中都居于重要地位，是各国网络安全战略的重中之重。我国在推进信息化发展和维护网络安全方面，不能忽视信息基础设施的建设，将关键信息基础设施上升到国家战略的高度，并以此为出发点来制定和实施网络政策。当前，要摸清家底，加强对关键信息基础设施和党政军重要业务系统的统计调查；尽快建立国家网络安全评估制度；建立网络安全审查制度。

　　第六，增强自主创新能力，加强对关键核心技术设备的研发。任何一个国家都不能指望全然依赖国外的技术支撑，既不安全也不经济。像俄罗斯在信息安全技术和产品方面整体都比较落后，但为了促进其信息安全产业的发展，俄罗斯政府大力支持国内信息安全技术和产品的研制与开发，为保护国内市场创造一切有利的条件。俄罗斯借助其高等院校中著名的计算机和数学基础，在发展信息安全技术方面坚持自主创新，自成体系，尤其注重芯片和操作系统的研发。我国应该鼓励自主创新，制定信息领域的核心技术设备发展战略，促进我国IT产业和网络安全产业的可持续发展。

　　第七，建立一支素质良好的网络安全和信息化人才队伍。除注重管理体制建设、技术开发外，我国还必须有一支素质良好的专业人才队伍，并制定出一套合理的干部培训制度，从而为保障国家网络信息安全提供有力的智力支撑。

　　第八，积极开展互联网国际交流合作。我国不能闭门造车，要积极参与国家交流，加强与其他国家的交流与沟通。不仅要在发展信息基础设施和研制信息产品方面扩大国际合作，还要积极参与信息安全国际标准的制定工作。

　　我国的网络安全和信息化管理体制机制将发生深刻的变革，以往存在的多头管理、各自为政的局面将有所改观，国家的信息化战略将会出现大的调整，有望建立统一的信息化的管理体制。“领导小组”成立，不仅表明我国已经将信息化和网络安全上升到国家战略，并提上议事日程，同时也预示我国建立网络强国的决心，有望在未来信息技术和网络技术的争夺战中迎来新的突破。