中国信息安全测评中心总工程师/研究员 王军
2016年12月27日,经以习近平总书记为组长的中央网络安全和信息化领导小组批准,国家互联网信息办公室发布了《国家网络空间安全战略》(以下简称《战略》)。这是继《网络安全法》之后我国网络空间安全领域的又一件具有里程碑意义的大事,也是我国第一次向全世界系统、明确地宣示和阐述我国对于网络空间发展和安全的立场和主张。该战略是我国国家安全战略的重要组成,将指导我国未来一段时间的网络安全工作。与国际上其他国家已经发布的网络空间安全战略相比,《战略》与之既有相通之处,但也突出体现了从我国国情出发的中国特色考虑,体现了“创新、协调、绿色、开放、共享”五大发展理念和“依法治国”国家治理基本方略在网络空间安全领域的落实。《战略》的中国特色主要表现在以下九个方面:
一、网络空间具有国家主权。网络空间究竟是“国际公域”还是国家类领土、领海、领空的新疆域是当前国际上存在争论的一个问题。在《战略》中所阐述的我国对网络空间主权的看法是:网络空间具有国家主权,国家在网络空间的主权不容侵犯,各国有权选择网络管理模式,有权根据本国国情制定有关法律法规并依法管理本国信息系统和本国疆域上的网络活动。任何国家都不应搞网络霸权,不搞双重标准,不利用网络干涉他国内政,不搞危害他国国家安全的网络活动。这种表述所包含的一个意思就是如何管理网络空间是一个国家的内部事务,哪些信息不允许在网络上传播、在必要时采取哪些技术措施来管控信息在网上的流动、对网络产品和服务如何进行审查等都是一个国家在网络空间行使主权的方式,其他国家应该予以理解和尊重。
二、网络空间安全与国家政治安全紧密相关。《战略》在分析网络空间面临的五方面严峻挑战时将利用网络干涉他国内政、攻击他国政治制度、煽动社会动乱、颠覆他国政权等活动视为对国家安全的首要威胁。一个国家的政治稳定是其经济发展、人民幸福的基本前提,任何一个国家都不应该在网络空间中或利用网络空间渠道强行推行自己的价值观而不顾他国的社会政治稳定,因此《战略》在九项战略任务的第一项中就提出要坚定反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为。《战略》还提出要加强网络反恐、反间谍、反窃密能力建设,严厉打击网络恐怖和网络间谍活动,这在《中华人民共和国国家安全法》《中华人民共和国反恐怖主义法》《中华人民共和国反间谍法》《中华人民共和国保守国家秘密法》和《中华人民共和国网络安全法》等法律中都有相应条款对应和要求。
三、网络安全核心技术装备、产品、服务要可控和可信。《战略》在阐述推进网络空间发展应达到“和平、安全、开放、合作、有序”五大目标时提出“核心技术装备安全可控”,在九项战略任务的第三项中提出要“提高产品和服务的安全性和可控性”,第七项中提出要“加快安全可信产品推广应用”,提出这些要求的原因之一是由于我国在信息技术领域与发达国家还存在着一定的差距。我国在走向现代化进程中要秉持开放理念,吸收人类文明科技进步的一切成果为我所用,同时也需要力图保证所使用的(包括所引进的)技术、产品、服务没有安全隐患,安全风险控制到最低。
四、要建立网络安全审查、等级保护、风险评估、漏洞发现等安全制度和机制。国家层面网络安全防御体系的建立需要配套落实一系列制度和机制,《战略》重申了网络安全审查制度,以及已经较为完善的重要信息系统等级保护制度、每年以网络安全大检查为代表的风险评估机制、为解决网络安全根源性问题的漏洞发现机制等工作,虽然相关概念国际通用,但经过我国持续的相关实践已充分形成了中国特色。
五、网络空间要和平利用和开展国际合作。《战略》把“和平”既作为推进网络空间发展五大目标的第一个,也作为推进全球互联网治理体系变革四项原则的第二个,通篇映射着希望网络空间不要成为战场的良好愿望。《战略》主张不在网络空间搞军备竞赛,不滥用信息技术来控制他国信息网络系统和窃取数据,不牺牲他国利益谋求自身的绝对安全,有效防范网络空间冲突。《战略》在九项战略任务中提出要建立与我国国际地位相称和网络强国相适应的网络空间防护力量。可以想象,建立网络空间防护力量,也会像物理空间的我国国家武装力量一样,成为维护世界和平、保卫祖国神圣疆域不受侵犯的重要力量。《战略》提出要强化网络空间国际合作,支持联合国发挥主导作用,深化在政策法律、技术创新、标准规范、应急响应、关键信息基础设施保护等5个领域的国际合作,建立多边、民主、透明的国际互联网治理体系。
六、鼓励企业尽责和创新发展。企业是我国社会主义经济发展和创新的重要主体,《战略》指出企业的商业秘密是网络安全的保护对象,掌握着大量信息和网络资源的企业(主要为央企)应尽责和政府一起保护好国家关键信息基础设施,同时提出以企业为主体尽快在核心技术上取得突破。《战略》还鼓励网络安全企业做大做强,为保障国家网络安全夯实产业基础。相信在这种思想指导下,国家会继续加大相应措施和举措力度,促进网络安全企业的壮大发展,在国际上能对等竞争。
七、强调对关键信息基础设施的保护。
虽然世界各国对关键信息基础设施的范围定义有所不同,但在国家网络安全战略中均强调对关键信息基础设施的保护,我国《战略》也用了最长的段落篇幅在9项战略任务中加以描述。与我国以前的“8+2”重要信息系统表述和《网络安全法》相比,在使用了相同的属性定义之外,《战略》点出了14个属于国家关键信息基础设施的大行业领域,即公共通信、广播电视传输、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公共事业、国家机关、重要互联网应用(例如淘宝、微信、百度等),随着我国经济社会的进一步发展,属于国家关键信息基础设施的行业领域范围可能还会进一步细化和扩大。
《战略》提出要采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏,表明了我保护国家关键信息基础设施安全的坚定信心和决心。《战略》提出要建立实施关键信息基础设施保护制度、网络安全审查制度、大数据安全管理制度等3个制度,与《网络安全法》中要求国务院制定关键信息基础设施的安全保护办法相对应。《战略》还提出在加强关键信息基础设施风险评估的基础上,逐步实现先评估后使用,这意味着风险评估将制度化地成为关键信息基础设施投入运行的前置条件。
八、强调要夯实网络安全基础。鉴于我国在信息技术基础上的薄弱,《战略》用了第二长的篇幅段落来阐述筑牢网络安全根基方面的诸多工作,包括创造创新政策环境和优化市场环境,加强基础理论和重大问题研究,加强标准化和认证认可,完善监测预警应急处置机制,实施网络内容建设、中华优秀文化网络传播、网络安全人才3个工程,办好网络安全宣传周提高全民网络安全意识等。同其他基础性工作一样,夯实打好网络安全基础,特别是人才培养工作,是稳固和持续发展其他网络安全工作的前提,在《战略》中怎么加以强调也不过分。
九、在网络空间其他要保护好的内容。在《战略》中提到的其他一些点也值得关注,如《战略》将“人权得到充分尊重”纳入发展目标,提出要保护知识产权、名誉权、财产权,提出要保护个人隐私、打击侵害公民个人信息行为,提出要提高青少年网络文明素养和加强未成年人上网保护,提出要弥合数字鸿沟等等。
《战略》的制定和公开发布,将成为在网络空间落实依法治国基本方略的重要指导性文件,让我们撸起袖子加油干,为努力实现战略中的各项规划任务和要求作出自己的贡献。