不久前,国家互联网信息办公室发布了《国家网络空间安全战略》(以下简称《战略》)。《战略》经中央网络安全和信息化领导小组会议审议通过,体现了中央维护国家网络空间安全的意志,举一纲而万目张,解一卷而众篇明。同时,《战略》阐明了我国关于网络空间发展及安全的重大立场,对网络安全工作提供了总体指导,是网络安全领域的一件大事。
完善网络安全顶层设计
眼下,网络空间正全面改变人们的生产生活方式,深刻影响人类社会历史发展进程。网络安全对国家安全牵一发而动全身,政治、经济、文化、社会、军事等各个领域的安全,都直接受其影响。因此,开展网络安全工作,首先需要加强全局谋划、做好顶层设计。而毋庸置疑,战略又是顶层设计的核心内容。
据不完全统计,目前全球已有60多个国家发布或更新了国家网络安全战略,力图从国家层面加强统筹、协调和指导,摸索、总结网络空间规律,维护国家在网络空间的安全和利益,同时也为在新一轮的国家综合实力竞争中掌握主动而结网布局。
2001年,国务院重新组建国家信息化领导小组时,就高度重视网络安全顶层设计。2005年,国务院信息办组织制定了《国家信息安全战略报告》,以国家信息化领导小组名义发布。这是我国首部真正意义上的国家网络安全战略,初步确定了国家网络安全的战略布局和长远规划。但遗憾的是,这份文件的密级较高,知悉范围有限,加之受后来机构变化等因素影响,文件对实际工作的指导作用并没有得到充分发挥。
中央网络安全和信息化领导小组成立后,习近平总书记指出,领导小组要发挥集中统一领导作用,统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划及重大政策,不断增强安全保障能力。由此,制定国家网络安全战略列入领导小组的年度重点工作,国家互联网信息办公室会同有关部门成立《战略》联合起草组,历经两年有余完成,经领导小组会议审议通过并公开发布。
2016年11月通过的《网络安全法》第四条规定,国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。这是以法律的形式,明确了战略在国家网络安全工作中的重要作用。
值得注意的是,“不断完善”指明了网络安全战略的一个客观规律。从各国制定网络安全战略的经验来看,虽然战略要管长远,但也要因时因势而变,很多国家的战略都维持着两到三年更新一次的频率,这也是我国在制定《战略》时把握的一点。
《战略》定位及其反映的主张
《战略》具有对外、对内两方面的意义与作用。对外而言,它是“举旗”“划线”,对内则是“指路”。
“举旗”即宣示我国对网络空间安全的基本立场和主张。纵观全球,在网络安全这样一个敏感领域,公开发布战略是惯例。其背后的原因就是各国要通过公开发布战略打出“旗帜”,以聚集志同道合者,扩大自己的“朋友圈”,从而提升国际话语权和影响力。
《战略》从重大机遇和严峻挑战两个角度,阐述了我国对网络空间的认识,继而提出对网络空间发展的愿景,即网络空间和平、安全、开放、合作、有序,这便是我们的“旗帜”。
为实现这一目标,《战略》提出了尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展等4个基本原则,这既包括我国对网络空间国际事务的处理原则,也包括网络安全工作的原则。以上目标及原则构成了我国的基本立场和主张,核心是谋求安全与和平,反对滥用信息技术,反对网络霸权。
“划线”则是明确我国在网络空间的重大利益。《战略》明确指出,网络渗透危害政治安全,网络攻击威胁经济安全,网络有害信息侵蚀文化安全,网络恐怖和违法犯罪破坏社会安全,个别国家强化网络威慑战略、加剧网络空间军备竞赛,这些都是我国对网络空间安全的重大关切。基于此,我国在网络空间的核心利益体现为国家主权和国家政治安全。
《战略》指出,网络空间主权不容侵犯,这是我们的底线。对所有侵犯我国网络空间主权的行为,国家将采取包括经济、行政、科技、法律、外交、军事等一系列措施予以应对;对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为,国家将坚决回击,没有丝毫退让余地。
“指路”就是对今后若干年的网络安全工作作出布局。《战略》指出,当前和今后一个时期,国家网络空间安全工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。有必要指出,我国网络安全的顶层设计由一系列文件构成,《战略》是其中的核心,但对很多具体的工作,特别是实施层面的工作,还需要五年规划等文件进行部署。
捍卫网络空间主权是根本任务
主权是现代国家的根本属性,没有主权就没有现代国家。随着时代的发展,主权的实践也在与时俱进、不断创新。信息时代,网络空间成为现代国家的新疆域、全球治理的新领域,《联合国宪章》确立的主权平等原则,也应该适用于网络空间,因此产生了网络空间主权的概念。
习近平总书记在第二届世界互联网大会上提出,要尊重网络主权,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。我国国家安全法规定,维护国家网络空间主权、安全和发展利益。网络安全法开宗明义:要维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。
什么是国家主权,这在国际关系领域已有定论和共识。但网络空间主权包含哪些内容,目前在国际上争论很大。我国作为网络空间主权的提出者、捍卫者,此次也通过《战略》对外阐述了我们的观点。
首先,各国主权范围内的网络事务由各国人民自己做主,各国有权根据本国国情,借鉴国际经验,制定网络管理政策,这种“在互联网领域的公共政策制定权”是信息社会世界峰会的共识;其次,各国有权采取必要措施,管理本国信息系统及本国疆域上的网络活动,这是管辖权;再次,各国有权保护本国信息系统和信息资源免受侵入、干扰、攻击和破坏,保障公民在网络空间的合法权益,这是自卫权;最后,各国有权防范、阻止和惩治危害国家安全和利益的有害信息在本国网络传播,维护网络空间秩序,这是我们维护政治安全和政权安全的基本要求。
为了保护国家网络空间主权,网络安全法作出了两项规定,以法律形式明确了我国维护国家网络主权的手段。其中第五条规定:国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。第七十五条规定:境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
关键信息基础设施是防护重点
任何一个国家的网络安全战略,都要确定防护重点,这是战略文件的“规定动作”。10余年前,我国网络安全防护的重点是“基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统”。在实际工作中,具体落实为广播电视传输网、电信网、互联网,以及银行、保险、证券、民航、铁路、税务、海关、电力等领域的信息系统。
随着信息通信技术在国民经济各行业的加速渗透,上述范围显然已经过窄,有必要建立专门的安全管理制度。为此,《战略》特别提出“保护关键信息基础设施”的任务。根据《战略》的描述,关键信息基础设施的范围比较大,其中包括重要互联网应用系统。这一方面反映了信息化深入发展的现实情况,另一方面也符合国际惯例。
关键信息基础设施保护作为我国网络安全的基本内容,网络安全法单辟一章,提出了具体要求。根据该法的授权,由国务院制定关键信息基础设施安全保护办法,这也是对《战略》中提出的“依法综合施策,切实加强关键信息基础设施安全防护”的落实。
此外,《战略》还对保护关键信息基础设施作出了一项特殊的制度安排,即网络安全审查制度。当前,随着经济全球化深入发展,信息流引领技术流、资金流、人才流的趋势愈发明显。如何辩证地认识并处理好开放与自主的关系,这是一项新的课题。
习近平总书记深刻指出,不能把自己封闭于世界之外,必须树立全球视野和开放心态。但需要注意的是,在开放环境下维护国家网络安全,需要科学的手段,确保产品和服务的安全性、可控性,防止产品提供者趁机非法控制、干扰、中断用户系统,或非法收集、存储、处理和利用用户有关信息。网络安全审查制度不是排斥国外,而是对国内外一视同仁,目的是要安全地使用网络产品和服务,防范安全风险,防止受制于人。
夯实网络安全基础是长期任务
基础不牢,地动山摇。夯实基础是网络安全工作永恒的话题。但在不同时期,基础性工作包含的内容又有所差别。网络安全事业发展到今天,《战略》对以下几项基础性工作作出了布局:
一是突破核心技术。习近平总书记指出,核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。关于什么是核心技术、怎样突破核心技术,总书记已经在2016年4月19日的网络安全和信息化工作座谈会上作了深刻阐述。《战略》提出这一要求正是贯彻落实总书记的重要讲话精神,特别强调要“以企业为主体,产学研用相结合,协同攻关、以点带面、整体推进”。
二是实现网络强国战略目标的“基础强”和“内容强”,从而为维护国家网络安全提供丰富的物质基础。其中包括发展网络基础设施,丰富网络空间信息内容,实施“互联网+”行动,大力发展网络经济等。
三是确保新技术、新应用的安全,我们不仅要实施国家大数据战略,还要建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新与应用。
四是发展网络安全产业,一方面要优化市场环境、减轻企业负担、治理恶性竞争,另一方面鼓励网络安全企业做大做强。
五是建立完善国家网络安全技术支撑体系,提升网络安全自主创新能力,加强网络安全基础理论和重大问题研究。
六是加强网络安全标准化与认证工作,充分发挥标准与评定制度的作用,更多地利用标准规范网络空间行为。
七是做好等级保护、风险评估、漏洞发现等工作。这些是维护网络安全的重要基础,需长期实施,不断完善。《战略》还进一步要求,完善网络安全监测预警和网络安全重大事件应急处置机制。
八是加强网络安全人才培养和宣传教育。网络空间的竞争,归根结底是人才的竞争。《战略》部署了实施网络安全人才工程的重要任务,其中重要的举措是打造一流网络安全学院和创新园区。这是培养网络安全人才的新模式,基本思路是实现学院与创新园区紧密互动,构建起类似于硅谷和斯坦福大学的产学研环境。
强化国际合作是重要依托
如今,互联网让世界变成了“鸡犬之声相闻”的地球村,没有一个国家可以置身事外、独善其身,建设网络空间命运共同体是大势所趋。更重要的是,面临网络空间日益复杂的国际竞争,我们必须主动作为,增强在全球维护网络空间安全利益的能力。网络空间是新赛场,治理规则尚不健全,西方国家还没有形成强势,这成为我国参与全球治理的绝佳突破口。《战略》阐述了我国强化网络空间国际合作的主要措施。
一是推动互联网全球治理体系变革,推进互联网地址、根域名服务器等基础资源管理国际化,建立多边、民主、透明的国际互联网治理体系。
二是支持联合国发挥主导作用,积极参与国际网络空间安全规则制定,为国际社会贡献中国方案,体现中国主张,彰显和平正义。
三是加强对发展中国家和落后地区互联网技术普及和基础设施建设的支持援助,努力弥合数字鸿沟。眼下,信息技术水平已成为国家实力的要素,为了落实习近平总书记“国家利益在哪里,信息化就覆盖到哪里”的重要指示,要借“一带一路”契机使我国网信企业“走出去”,畅通信息丝绸之路,并利用好世界互联网大会等全球互联网共享共治平台,共同推动全球互联网健康发展。
(作者:左晓栋,原载于《保密工作》2017年第5期)