全球國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的變革*

吳關(guān)龍， 馮瀟灑

(西安交通大學(xué)法學(xué)院，陜西西安710049)

全球國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的變革*

吳關(guān)龍， 馮瀟灑

(西安交通大學(xué)法學(xué)院，陜西西安710049)

國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的興起體現(xiàn)了網(wǎng)絡(luò)安全“軟法治理”的思路。盡管各國(guó)對(duì)于網(wǎng)絡(luò)安全的概念尚未達(dá)成統(tǒng)一，但無(wú)一例外將網(wǎng)絡(luò)安全作為國(guó)家穩(wěn)定和經(jīng)濟(jì)發(fā)展的基礎(chǔ)。在2010年前后，新一代網(wǎng)絡(luò)安全戰(zhàn)略預(yù)示了全球網(wǎng)絡(luò)安全戰(zhàn)略的變革態(tài)勢(shì)，其理念、原則和策略變得更為豐富和彈性。我國(guó)目前正在積極部署自己的網(wǎng)絡(luò)安全戰(zhàn)略，全球國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略變革中的成果和經(jīng)驗(yàn)值得我國(guó)進(jìn)行深入研判。

國(guó)家網(wǎng)絡(luò)安全;戰(zhàn)略;變革

一、全球國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略變革態(tài)勢(shì)

盡管網(wǎng)絡(luò)安全①在法學(xué)領(lǐng)域，目前對(duì)于“網(wǎng)絡(luò)安全”的法律內(nèi)涵和基本屬性仍然存在不同的認(rèn)知維度，其可以被認(rèn)為是一種能力，措施或者活動(dòng)。歐盟在2004年關(guān)于建立歐洲網(wǎng)絡(luò)與信息安全機(jī)構(gòu)的2004460EC指令中將網(wǎng)絡(luò)安全界定為“在既定的保密水平下，確保網(wǎng)絡(luò)或信息系統(tǒng)能夠抵御意外事件或非法和惡意行為對(duì)該網(wǎng)絡(luò)或信息系統(tǒng)中存儲(chǔ)或傳輸?shù)臄?shù)據(jù)的可用性、完整性和保密性造成的損害，能夠抵御意外事件或非法和惡意行為對(duì)該網(wǎng)絡(luò)或系統(tǒng)中的相關(guān)服務(wù)的提供或訪(fǎng)問(wèn)造成的損害的能力?！狈姨m在2004年的《電子通信隱私保護(hù)法》中將網(wǎng)絡(luò)安全和信息安全界定為“保障數(shù)據(jù)僅被授權(quán)人員訪(fǎng)問(wèn)和使用的管理和技術(shù)措施。”美國(guó)《數(shù)字千年版權(quán)法》中將網(wǎng)絡(luò)和信息安全界定為“識(shí)別和階段政府計(jì)算機(jī)、計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)脆弱性的活動(dòng)。”這些差異也造成各國(guó)在網(wǎng)絡(luò)安全法律保障方面存在不同的規(guī)制路徑。在法學(xué)研究領(lǐng)域仍屬于尚在探索階段的新命題，但是國(guó)家網(wǎng)絡(luò)安全保障的緊迫性已經(jīng)迫使網(wǎng)絡(luò)安全迅速成為國(guó)家政策立法最為優(yōu)先的考慮事項(xiàng)。國(guó)家網(wǎng)絡(luò)安全保障的價(jià)值在于形成有效的規(guī)范體系，從純粹功能主義的角度考察，規(guī)范意味著在社會(huì)主體之間形成可預(yù)期的行為模式。如果將網(wǎng)絡(luò)安全視為法學(xué)范疇內(nèi)具備“自組織”特性的要素，那么為了實(shí)現(xiàn)社會(huì)主體對(duì)規(guī)范體系的一般性堅(jiān)守，相應(yīng)的網(wǎng)絡(luò)安全立法體系就必須具有足夠的“適應(yīng)性”②適應(yīng)性是網(wǎng)絡(luò)安全政策立法最為重要的參考值，考慮到信息技術(shù)的快速發(fā)展，適應(yīng)性要求網(wǎng)絡(luò)安全政策立法體系應(yīng)當(dāng)具有足夠的靈活性和延展性，能夠適應(yīng)快速變化的內(nèi)外部環(huán)境。這意味著網(wǎng)絡(luò)安全政策立法體系首先必須是多層次的，需要在國(guó)家、產(chǎn)業(yè)和個(gè)人的不同價(jià)值層面構(gòu)建網(wǎng)絡(luò)安全的一般規(guī)則;其次，網(wǎng)絡(luò)安全政策立法體系必然是以風(fēng)險(xiǎn)為導(dǎo)向的，無(wú)論是系統(tǒng)自身缺陷構(gòu)成的風(fēng)險(xiǎn)，還是行為濫用構(gòu)成的風(fēng)險(xiǎn)，這在一定程度上需要對(duì)傳統(tǒng)“行為+后果”的保障結(jié)構(gòu)進(jìn)行改良;再次，網(wǎng)絡(luò)安全政策立法體系需要對(duì)信息技術(shù)本身，或信息技術(shù)利用表明一種態(tài)度，這種態(tài)度決定了信息技術(shù)在相對(duì)固定的時(shí)間跨度內(nèi)可以保持穩(wěn)定的發(fā)展路徑。。信息技術(shù)向社會(huì)的滲透比任何技術(shù)都更為徹底，利益保障的多元化和信息技術(shù)的快速發(fā)展會(huì)與法律的穩(wěn)定性產(chǎn)生沖突，適應(yīng)性很難通過(guò)固化的成文法體系予以實(shí)現(xiàn)，各國(guó)國(guó)家網(wǎng)絡(luò)安全基本法的缺位在一定程度上可以反映上述困境。

各國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的興起①姜明安教授對(duì)于軟法興起的原因有過(guò)深入的探討，其列舉了軟法興起的5大原因，包括:人類(lèi)社會(huì)、經(jīng)濟(jì)的發(fā)展導(dǎo)致對(duì)法律需求的急劇增長(zhǎng)與硬法因立法和實(shí)施成本過(guò)高導(dǎo)致法的供給嚴(yán)重不足的矛盾使然;經(jīng)濟(jì)全球化對(duì)國(guó)際統(tǒng)一規(guī)則的需求不斷增加與民族國(guó)家因主權(quán)而各立各法的矛盾使然;人們追求公平、正義的美好理想與硬法因種種條件限制而實(shí)現(xiàn)公平、正義不足的矛盾使然;現(xiàn)代社會(huì)關(guān)系和事物的多樣性、復(fù)雜性、變動(dòng)性與國(guó)家立法者認(rèn)識(shí)能力的有限性的矛盾使然;人們追求自由、自治與自由、自治需要規(guī)則、秩序的保障的矛盾使然。國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的興起較為綜合地體現(xiàn)了上述原因。體現(xiàn)了網(wǎng)絡(luò)安全“軟法治理”②盡管我國(guó)學(xué)者對(duì)于軟法的認(rèn)識(shí)并不統(tǒng)一，這體現(xiàn)在軟法的內(nèi)涵和外延目前存在多種表述，但“軟法亦法”的觀點(diǎn)已經(jīng)獲得普遍共識(shí)。羅豪才教授將軟法界定為那些效力結(jié)構(gòu)未必完整、無(wú)須依靠國(guó)家強(qiáng)制保障實(shí)施、但能夠產(chǎn)生社會(huì)失效的法律規(guī)范，其創(chuàng)制方式與制度安排富有彈性。軟法的這一特性與網(wǎng)絡(luò)安全保障的客觀要求相契合。的思路。隨著信息技術(shù)的普及，包括能源、通信、醫(yī)療、金融、國(guó)防等在內(nèi)的國(guó)家關(guān)鍵領(lǐng)域和部門(mén)對(duì)信息系統(tǒng)和網(wǎng)絡(luò)的依賴(lài)度不斷提高，這導(dǎo)致信息技術(shù)從單純的通信工具轉(zhuǎn)變?yōu)閲?guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施，但我們所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)卻并沒(méi)有減弱。為此，各國(guó)紛紛通過(guò)調(diào)整或制定國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，評(píng)估和控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能對(duì)國(guó)家和社會(huì)運(yùn)行產(chǎn)生的影響。概括而言，國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略是“為達(dá)成國(guó)家綜合性安全的目標(biāo)，國(guó)家行為體維護(hù)網(wǎng)絡(luò)信息空間利益，保障網(wǎng)絡(luò)空間信息安全所制定的一系列中長(zhǎng)期路線(xiàn)方針?！雹刍葜颈?全球網(wǎng)絡(luò)空間信息安全戰(zhàn)略研究[M].上海:世界圖書(shū)出版公司，2013:61.這些路線(xiàn)方針?lè)从沉藝?guó)家應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)威脅所采取的方法和策略。為了適應(yīng)技術(shù)發(fā)展產(chǎn)生的“威脅差異”，國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略一直處于不斷的動(dòng)態(tài)調(diào)整中。在2010年前后，全球范圍內(nèi)的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略開(kāi)展凸顯變革之勢(shì)，傳統(tǒng)網(wǎng)絡(luò)安全強(qiáng)國(guó)開(kāi)始更新原有的網(wǎng)絡(luò)安全戰(zhàn)略，④例如，美國(guó)于2011年發(fā)布International Strategy for Cyberspace:Prosperity，Security and Openness in a Metworked World戰(zhàn)略，更新和支持2010年Comprehensive Mational Cybersecurity Initiative戰(zhàn)略。英國(guó)于2011年發(fā)布The UK Cyber Security Strategy.Protecting and promoting the UK in a digital world戰(zhàn)略，對(duì)2009年的Cyber Security Strategy of the United Kingdom:Safety，Security and Resilience in Cyber Space戰(zhàn)略進(jìn)行調(diào)整。澳大利亞于2011年發(fā)布Connecting with Confidence，Optimising Australia's Digital Future戰(zhàn)略，對(duì)2009年的Cyber Security Strategy戰(zhàn)略進(jìn)行更新。其他國(guó)家開(kāi)始制定符合本國(guó)利益的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略。⑤2011～2014年之間，包括日本、荷蘭、比利時(shí)、意大利、印度等國(guó)在內(nèi)的眾多國(guó)家制定了兼具基礎(chǔ)性和專(zhuān)門(mén)性特點(diǎn)的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略。新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略在理念、目標(biāo)、原則和措施方面均有所突破。

耐人尋味的是，盡管各國(guó)對(duì)于網(wǎng)絡(luò)安全的概念尚未達(dá)成統(tǒng)一，但無(wú)一例外將網(wǎng)絡(luò)安全作為國(guó)家穩(wěn)定和經(jīng)濟(jì)發(fā)展的基礎(chǔ)。這表明，各國(guó)對(duì)于網(wǎng)絡(luò)安全的重視，并不是通過(guò)基于經(jīng)驗(yàn)主義的推論而得出的先驗(yàn)性結(jié)論，而是根植于現(xiàn)實(shí)社會(huì)需求的前瞻性部署。在全球范圍內(nèi)，盡管各國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略仍然存在政策偏好，但對(duì)于網(wǎng)絡(luò)安全保障的迫切性方面保持了高度的一致性。這種緊迫性絕非來(lái)源于單純對(duì)技術(shù)發(fā)展的制度性依賴(lài)，而是對(duì)信息技術(shù)背景下國(guó)家秩序的深刻反思。目前，我國(guó)正在積極部署自己的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，新一代全球國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的變革根植于國(guó)際網(wǎng)絡(luò)安全環(huán)境的動(dòng)態(tài)變化，對(duì)于我國(guó)的網(wǎng)絡(luò)安全戰(zhàn)略具有深遠(yuǎn)的影響意義，其中的經(jīng)驗(yàn)和成果值得我國(guó)進(jìn)行深入研判。

二、國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的理念

國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的理念綜合反映了國(guó)家對(duì)待信息技術(shù)和網(wǎng)絡(luò)威脅的態(tài)度和策略。受限于信息技術(shù)的利用范圍和方式，早期的國(guó)家戰(zhàn)略對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)更貼近于一種技術(shù)解決方案，在戰(zhàn)略部署上體現(xiàn)出分散式的個(gè)體利益保護(hù)模式，例如建立不同社會(huì)主體之間相互獨(dú)立的網(wǎng)絡(luò)安全保護(hù)框架。隨著信息技術(shù)向社會(huì)生活的縱深滲透，“信息社會(huì)”的概念開(kāi)始廣泛影響各國(guó)對(duì)于信息技術(shù)的判斷，這種影響在日本2013年的網(wǎng)絡(luò)安全戰(zhàn)略中體現(xiàn)得尤為明顯，其認(rèn)為網(wǎng)絡(luò)空間(Cyberspace)和現(xiàn)實(shí)空間(Realspace)正在處于不斷的融合過(guò)程中，這是“信息通信技術(shù)的傳播和發(fā)展，以及該技術(shù)的使用或應(yīng)用造成的結(jié)果”①John Rollins.information security policy council，Cybersecurity Strategy-Towards a world-leading，resilient and vigorous cyberspace[R].Japan，2013:5.。這種認(rèn)識(shí)也在國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中構(gòu)筑了一條基本的邏輯路徑，即“依賴(lài)性”和“風(fēng)險(xiǎn)性”共同構(gòu)成了國(guó)家網(wǎng)絡(luò)安全保障的“緊迫性”，網(wǎng)絡(luò)安全問(wèn)題成為國(guó)家必須最為優(yōu)先解決的事項(xiàng)。

盡管這與各國(guó)早期的網(wǎng)絡(luò)安全戰(zhàn)略并沒(méi)有本質(zhì)區(qū)別，但是“依賴(lài)性”的認(rèn)知維度卻發(fā)生了深刻變化，導(dǎo)致傳統(tǒng)安全觀與綜合安全觀的分野，單維度的國(guó)家安全保障思路得到修正，經(jīng)濟(jì)發(fā)展成為與國(guó)家安全并重的戰(zhàn)略目標(biāo)。自信息技術(shù)出現(xiàn)伊始，網(wǎng)絡(luò)安全保障便始終圍繞“安全”和“發(fā)展”而展開(kāi)，盡管“安全”和“發(fā)展”并非總是在理念層面具有一致性，②馬民虎教授曾經(jīng)詳細(xì)論述了信息安全法的法理念，并將其細(xì)分為安全發(fā)展觀、相對(duì)安全觀、綜合安全觀、協(xié)同安全觀和實(shí)效安全觀。在“安全”和“發(fā)展”問(wèn)題上，其認(rèn)為信息安全與發(fā)展會(huì)在不同層次上出現(xiàn)和引起爭(zhēng)議，原初意義上的發(fā)展更具有絕對(duì)性的價(jià)值，而安全更多是一種工具性?xún)r(jià)值。為保障安全而犧牲發(fā)展利益的例子在網(wǎng)絡(luò)安全政策立法中并不少見(jiàn)。③例如為國(guó)家安全而將監(jiān)聽(tīng)需求植入密碼技術(shù)，這在客觀上產(chǎn)生密碼技術(shù)的出口困難，影響密碼產(chǎn)業(yè)的發(fā)展。然而，信息技術(shù)對(duì)于現(xiàn)代社會(huì)的支撐作用是廣泛的，幾乎所有的經(jīng)濟(jì)和社會(huì)部門(mén)都需要依賴(lài)信息技術(shù)實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。特別是歐美市場(chǎng)在傳統(tǒng)經(jīng)濟(jì)蕭條的情況下，互聯(lián)網(wǎng)經(jīng)濟(jì)成為帶動(dòng)經(jīng)濟(jì)增長(zhǎng)的突破點(diǎn)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)于經(jīng)濟(jì)發(fā)展的潛在威脅同樣成為國(guó)家必須正視的問(wèn)題。④例如，澳大利亞2009年的信息安全戰(zhàn)略將目標(biāo)定位于實(shí)現(xiàn)安全、彈性和可信的電子操作環(huán)境，以有效地保障國(guó)家安全，同時(shí)最大化數(shù)字經(jīng)濟(jì)帶來(lái)的利益。英國(guó)2011年的信息安全戰(zhàn)略同樣認(rèn)為互聯(lián)網(wǎng)主導(dǎo)了經(jīng)濟(jì)的增長(zhǎng)，同時(shí)越來(lái)越廣泛地支撐著社會(huì)的整體安全，網(wǎng)絡(luò)安全事件所導(dǎo)致的潛在的在線(xiàn)經(jīng)濟(jì)信賴(lài)?yán)娴臏p損會(huì)對(duì)英國(guó)的經(jīng)濟(jì)和社會(huì)發(fā)展產(chǎn)生損害。美國(guó)2009年的網(wǎng)絡(luò)政策審查強(qiáng)調(diào)“國(guó)家正在面臨維護(hù)外部環(huán)境和促進(jìn)效率的雙重挑戰(zhàn)，創(chuàng)新、經(jīng)濟(jì)繁榮和自由貿(mào)易必須同安全、保障、公民自由和隱私權(quán)利同等促進(jìn)，解決網(wǎng)絡(luò)空間的戰(zhàn)略漏洞是政府的首要職責(zé)，保障美國(guó)同全世界在信息技術(shù)變革中的利益”。

事實(shí)上，在技術(shù)發(fā)展中，依賴(lài)性并不是信息技術(shù)所獨(dú)有的政策描述，任何國(guó)家運(yùn)行所需要的技術(shù)都會(huì)體現(xiàn)出這種特性。為此，“技術(shù)中立”原則鼓勵(lì)政策立法不應(yīng)對(duì)特定技術(shù)施加偏好，而完全由市場(chǎng)決定技術(shù)發(fā)展的走向。但是信息技術(shù)向社會(huì)生活滲透地比以往任何技術(shù)都更為徹底，國(guó)家信息化的過(guò)程本身就是社會(huì)生產(chǎn)生活向信息系統(tǒng)遷移的過(guò)程，那么，信息技術(shù)的基礎(chǔ)性作用便不具有任何意義上的可替代性，由此而產(chǎn)生依賴(lài)性也就格外被強(qiáng)化，整個(gè)國(guó)家和社會(huì)都需要依賴(lài)“數(shù)字架構(gòu)”來(lái)實(shí)現(xiàn)和履行不同社會(huì)主體的根本職能。然而遺憾的是，盡管網(wǎng)絡(luò)空間的基礎(chǔ)設(shè)施正在變得越來(lái)越安全，但信息技術(shù)內(nèi)在的脆弱性并沒(méi)有獲得實(shí)質(zhì)性的改變，唯一改變的是國(guó)家對(duì)這種不安全的信息環(huán)境的依賴(lài)程度。為此，大多數(shù)國(guó)家的穩(wěn)定和經(jīng)濟(jì)繁榮都將依賴(lài)于其網(wǎng)絡(luò)空間的安全。也有國(guó)家認(rèn)為網(wǎng)絡(luò)空間更容易受到信息網(wǎng)絡(luò)和系統(tǒng)功能的干擾，而使國(guó)家面臨脆弱性。⑤楊柯，王維平.政策網(wǎng)絡(luò)理論與草根MPO的有效政策參與——基于“合陽(yáng)項(xiàng)目”的實(shí)證分析[J].思想戰(zhàn)線(xiàn)，2014，(4).

國(guó)家的“脆弱性”通常被描述為信息技術(shù)依賴(lài)性引入的不確定安全威脅，英國(guó)認(rèn)為這將造成“機(jī)會(huì)與威脅并存”的現(xiàn)實(shí)，⑥Robert B.Minister for the Cabinet Office，The UK Cyber Security Strategy:Protecting and promoting the UK in a digital world[R].UK，2011:15.澳大利亞更進(jìn)一步的對(duì)“機(jī)會(huì)”和“威脅”進(jìn)行了描述。⑦澳大利亞2013年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為網(wǎng)絡(luò)空間作為信息和通信空間、社會(huì)交互空間、經(jīng)濟(jì)和貿(mào)易空間、政策參與空間和控制空間，已經(jīng)成為國(guó)家、經(jīng)濟(jì)、科技和社會(huì)活動(dòng)的重要領(lǐng)域。但網(wǎng)絡(luò)空間同時(shí)也是犯罪和濫用空間，而使安全面臨風(fēng)險(xiǎn)和威脅。在這種情況下，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)⑧幾乎所有的新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略均對(duì)國(guó)家可能面對(duì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)估，并將其作為戰(zhàn)略部署的基礎(chǔ)，以增強(qiáng)具體措施的針對(duì)性?？刂凭妥兊糜葹橹匾?。畢竟，當(dāng)信息技術(shù)變得有如水和空氣一般必要時(shí)，絕對(duì)的“風(fēng)險(xiǎn)規(guī)避”成為無(wú)法實(shí)現(xiàn)的政策目標(biāo)，將風(fēng)險(xiǎn)降低到可接受的程度便成為唯一合理的政策選擇。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能源自信息系統(tǒng)內(nèi)外部的任何環(huán)境，包括惡意攻擊、意外事件或自然災(zāi)害。自2007年針對(duì)愛(ài)沙尼亞政府的網(wǎng)絡(luò)攻擊事件①2007年愛(ài)沙尼亞遭受大規(guī)模攻擊被認(rèn)為是歷史上第一個(gè)針對(duì)國(guó)家政府和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件。發(fā)生以后，網(wǎng)絡(luò)風(fēng)險(xiǎn)來(lái)源的“能力化”引起了各國(guó)政府的深入思考，這不僅局限于網(wǎng)絡(luò)風(fēng)險(xiǎn)所產(chǎn)生的非對(duì)稱(chēng)威脅②意大利2013年的網(wǎng)絡(luò)安全戰(zhàn)略將網(wǎng)絡(luò)威脅的非對(duì)稱(chēng)特性描述為:(1)攻擊者可以在世界任何地方發(fā)起攻擊; (2)攻擊者可以?xún)H僅利用單獨(dú)的漏洞攻擊非常復(fù)雜且采取完備保護(hù)措施的計(jì)算機(jī)系統(tǒng);(3)攻擊行為是即時(shí)性的，不會(huì)具有足夠的反應(yīng)時(shí)間;(4)攻擊行為很難溯源和偵測(cè)，使應(yīng)對(duì)措施變得非常困難。后果，也表明了各國(guó)政府對(duì)于“國(guó)家”可能成為攻擊主體的深刻擔(dān)憂(yōu)。③例如印度在2013年的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中指出，網(wǎng)絡(luò)空間的脆弱性表現(xiàn)為具有多樣性的安全事件，包括故意事件和意外事件，人為事件和自然事件，網(wǎng)絡(luò)空間數(shù)據(jù)的傳輸可能被國(guó)家或非國(guó)家主體惡意利用。很多國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略毫不避諱地強(qiáng)調(diào)，傳統(tǒng)的威脅來(lái)源正在模糊化，政治利益成為網(wǎng)絡(luò)攻擊新的動(dòng)機(jī)。④事實(shí)上，針對(duì)國(guó)家政府和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊是誘發(fā)各國(guó)網(wǎng)絡(luò)安全戰(zhàn)略理念變革的重要?jiǎng)右颍M管傳統(tǒng)網(wǎng)絡(luò)犯罪仍然是網(wǎng)絡(luò)安全戰(zhàn)略關(guān)注的重點(diǎn)，但對(duì)于大規(guī)模網(wǎng)絡(luò)攻擊造成國(guó)家運(yùn)行癱瘓的恐慌卻深深植入新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的預(yù)判中。例如，英國(guó)在其2011年的網(wǎng)絡(luò)安全戰(zhàn)略中認(rèn)為，“2007年針對(duì)愛(ài)沙尼亞政府網(wǎng)絡(luò)的攻擊、2009年針對(duì)韓國(guó)和美國(guó)的大規(guī)模拒絕服務(wù)攻擊、2008年針對(duì)伊朗核設(shè)施的震網(wǎng)病毒攻擊等等安全事件成為信息安全保障關(guān)注關(guān)鍵基礎(chǔ)設(shè)施的轉(zhuǎn)折點(diǎn)。”法國(guó)在其2011年的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中認(rèn)為，“針對(duì)國(guó)家基礎(chǔ)設(shè)施的大規(guī)模網(wǎng)絡(luò)攻擊將是國(guó)家在未來(lái)15年內(nèi)面對(duì)的主要風(fēng)險(xiǎn)”。這也導(dǎo)致各國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略在風(fēng)險(xiǎn)識(shí)別方面保持了高度的一致性，將風(fēng)險(xiǎn)控制的重點(diǎn)集中于網(wǎng)絡(luò)犯罪、⑤新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中對(duì)于網(wǎng)絡(luò)犯罪的范圍有所擴(kuò)大，認(rèn)為任何通過(guò)網(wǎng)絡(luò)空間予以實(shí)現(xiàn)的，包含犯罪目的的惡意行為都屬于網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)間諜、⑥網(wǎng)絡(luò)間諜是旨在通過(guò)互聯(lián)網(wǎng)非法獲取保密數(shù)據(jù)，根據(jù)數(shù)據(jù)來(lái)源的不同，又可以分為網(wǎng)絡(luò)情報(bào)間諜和網(wǎng)絡(luò)經(jīng)濟(jì)間諜等。網(wǎng)絡(luò)恐怖主義和網(wǎng)絡(luò)戰(zhàn)等網(wǎng)絡(luò)攻擊⑦北約2013年3月的《塔林手冊(cè)》(Tallinn Manual)第30條定義了網(wǎng)絡(luò)攻擊最廣為接受的概念，其認(rèn)為網(wǎng)絡(luò)攻擊是“可以在合理預(yù)期范圍內(nèi)造成人員傷亡，或造成物質(zhì)損毀的進(jìn)攻性，或國(guó)家防御性網(wǎng)絡(luò)活動(dòng)?！毙乱淮W(wǎng)絡(luò)安全戰(zhàn)略也有更為明確的界定，例如加拿大2010年的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，網(wǎng)絡(luò)攻擊包括故意或未經(jīng)授權(quán)的訪(fǎng)問(wèn)、使用、處理、中斷或毀壞電子信息、處理和存儲(chǔ)信息的電子和物理基礎(chǔ)設(shè)施。活動(dòng)，同時(shí)，網(wǎng)絡(luò)攻擊被認(rèn)為更為廉價(jià)、便利、有效和低風(fēng)險(xiǎn)。⑧John C.Government of Canada，Canada's Cyber Security Strategy:For a stronger and more prosperous Canada [R].Canada，2010:4～5.

考慮到信息技術(shù)利用對(duì)于國(guó)家安全和經(jīng)濟(jì)發(fā)展的持續(xù)性影響幾乎是不可預(yù)期的，這就決定了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的威脅會(huì)越來(lái)越多樣化，而且永遠(yuǎn)不會(huì)停止。這要求國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略必須是綜合性的，其著眼點(diǎn)在于所有可能面臨的潛在威脅。為此，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略格外強(qiáng)調(diào)“綜合性”和“彈性”的理念，開(kāi)始從側(cè)重對(duì)不同主體分別進(jìn)行保護(hù)轉(zhuǎn)變?yōu)閷⑿畔⑸鐣?huì)作為整體進(jìn)行保護(hù)，與網(wǎng)絡(luò)安全相關(guān)的社會(huì)、經(jīng)濟(jì)、教育、執(zhí)法、軍事、情報(bào)等要素被整合為統(tǒng)一的戰(zhàn)略框架內(nèi)予以實(shí)施。

三、國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的原則

國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的原則是戰(zhàn)略理念的進(jìn)一步細(xì)化，其在網(wǎng)絡(luò)安全戰(zhàn)略中被用于構(gòu)建符合本國(guó)利益的安全框架，也在一定程度上反映了國(guó)家對(duì)于網(wǎng)絡(luò)安全的理解和態(tài)度。網(wǎng)絡(luò)安全原則具有一定的普適意義，既可以作為政府指定信息安全政策的基本準(zhǔn)則，也可以作為公私部門(mén)設(shè)計(jì)信息安全政策的指引。

“對(duì)社會(huì)整體進(jìn)行保護(hù)”的理念變革促使網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的多元化，⑨例如荷蘭2013年的網(wǎng)絡(luò)安全戰(zhàn)略在強(qiáng)調(diào)風(fēng)險(xiǎn)控制的適度性原則時(shí)考慮了安全需求與基本公民權(quán)利保護(hù)之間的平衡，英國(guó)2011年的網(wǎng)絡(luò)安全戰(zhàn)略強(qiáng)調(diào)在保護(hù)國(guó)家安全的同時(shí)需要兼顧隱私等公民權(quán)利。這就突破了早期安全原則的桎梏，而得以體現(xiàn)不同社會(huì)層次安全需求的差異性，國(guó)家安全、經(jīng)濟(jì)發(fā)展和隱私保護(hù)被采用同等的原則加以保護(hù)。①例如加拿大在2010年的網(wǎng)絡(luò)安全戰(zhàn)略中將政務(wù)系統(tǒng)安全、聯(lián)邦政府以外的重要網(wǎng)絡(luò)系統(tǒng)安全和在線(xiàn)安全視為網(wǎng)絡(luò)安全戰(zhàn)略的三大支柱(Pillars)，而其中聯(lián)邦政府以外的重要網(wǎng)絡(luò)系統(tǒng)安全以經(jīng)濟(jì)繁榮為重點(diǎn)，在線(xiàn)安全以公民在線(xiàn)權(quán)益保護(hù)為重點(diǎn)。值得注意的是，在很多國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略中，戰(zhàn)略原則(Principal)、目標(biāo)(Objective)和指導(dǎo)方針(Guideline)往往沒(méi)有清晰的界限，存在相互滲透甚至混用的情況。例如芬蘭2013年的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略確定了8項(xiàng)基本原則，很多原則更貼近于對(duì)戰(zhàn)略目標(biāo)的描述。②例如其中第三條原則為:網(wǎng)絡(luò)安全依賴(lài)整個(gè)社會(huì)的信息安全，網(wǎng)絡(luò)安全依靠適當(dāng)和充足的ICT和通信網(wǎng)絡(luò)安全解決方案予以實(shí)現(xiàn)，這些解決方案應(yīng)當(dāng)由不同的參與者予以實(shí)施。多元化的合作和實(shí)踐應(yīng)當(dāng)用于促進(jìn)和支持網(wǎng)絡(luò)安全的實(shí)施。這也體現(xiàn)出一個(gè)趨勢(shì)，即網(wǎng)絡(luò)安全原則被作為重要的利益平衡方法納入戰(zhàn)略實(shí)現(xiàn)的整體框架中。同時(shí)，很多國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略原則較為零散，或者僅僅闡述網(wǎng)絡(luò)安全的客觀狀態(tài)，并不能直接體現(xiàn)戰(zhàn)略原則意欲實(shí)現(xiàn)的價(jià)值和所采用的方法，對(duì)同質(zhì)性原則缺乏通用性的描述。

這些問(wèn)題造成對(duì)于國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略原則存在認(rèn)知差異，需要進(jìn)行梳理和整合。筆者認(rèn)為，在各國(guó)的戰(zhàn)略原則中，目前較為重要且存在共識(shí)性的原則主要包括“合作原則”、“基本權(quán)利保護(hù)原則”和“風(fēng)險(xiǎn)原則”。這些原則都具有較強(qiáng)的包容性且相對(duì)獨(dú)立，能夠完整體現(xiàn)網(wǎng)絡(luò)安全戰(zhàn)略意欲實(shí)現(xiàn)的目標(biāo)，并對(duì)具體的戰(zhàn)略方法和策略提供符合國(guó)家價(jià)值判斷的指引。

具體而言，“合作原則”是新一代網(wǎng)絡(luò)安全戰(zhàn)略中最為重要的核心原則。傳統(tǒng)網(wǎng)絡(luò)安全保障由國(guó)家和政府主導(dǎo)，也就是將網(wǎng)絡(luò)安全視為國(guó)家任務(wù)，在保障措施上片面強(qiáng)調(diào)國(guó)家和政府職能的實(shí)現(xiàn)。然而遺憾的是，鑒于網(wǎng)絡(luò)安全的復(fù)雜性，沒(méi)有任何國(guó)家和政府可以信誓旦旦地承諾能夠獨(dú)立完成這一艱巨任務(wù)。新一代網(wǎng)絡(luò)安全戰(zhàn)略無(wú)一例外強(qiáng)調(diào)加強(qiáng)合作的重要意義，并努力促使合作形式在不同層級(jí)的安全保障工作中展開(kāi)，包括國(guó)家內(nèi)部政府間的合作、公私合作③例如意大利的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為必須促進(jìn)公私合作，以保障信息漏洞的持續(xù)性、安全性和可信性，私營(yíng)部門(mén)可以通過(guò)這種合作獲取網(wǎng)絡(luò)攻擊和實(shí)踐的共享信息，并反饋其風(fēng)險(xiǎn)和脆弱性評(píng)估，強(qiáng)化準(zhǔn)備措施。和國(guó)際合作，④德國(guó)的網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)一步指出，合作不應(yīng)僅僅在國(guó)家層面開(kāi)展，在整個(gè)歐盟層面，包括歐洲議會(huì)，MATO，G8，OSCE和其他多邊組織也應(yīng)當(dāng)合作保障網(wǎng)絡(luò)安全。甚至出現(xiàn)了專(zhuān)門(mén)負(fù)責(zé)合作事項(xiàng)管理的協(xié)調(diào)部門(mén)，體現(xiàn)了由“跨部門(mén)”到“核心部門(mén)”的網(wǎng)絡(luò)安全保障合作思路的轉(zhuǎn)變。⑤中國(guó)成立的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是這一趨勢(shì)的典型反映，該小組的主要職責(zé)是發(fā)揮集中統(tǒng)一領(lǐng)導(dǎo)作用，統(tǒng)籌協(xié)調(diào)各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問(wèn)題，制定實(shí)施國(guó)家網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，不斷增強(qiáng)安全保障能力，與目前國(guó)家網(wǎng)絡(luò)安全保障的國(guó)際趨勢(shì)十分吻合。在很多國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略中，合作思想通過(guò)責(zé)任分配的形式落實(shí)，認(rèn)為網(wǎng)絡(luò)安全是社會(huì)各參與主體的共同責(zé)任(Shared responsibility)，⑥因此，一些國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略中被稱(chēng)為“責(zé)任原則”?；趯?duì)不同社會(huì)角色的定義而對(duì)網(wǎng)絡(luò)安全保障責(zé)任進(jìn)行重新細(xì)分。簡(jiǎn)單來(lái)說(shuō)，就是“多方利益相關(guān)者⑦這些利益相關(guān)者通常包括政府、網(wǎng)絡(luò)服務(wù)提供商、科研機(jī)構(gòu)、個(gè)人用戶(hù)和中小企業(yè)等等。(Multi-stakeholders)應(yīng)當(dāng)根據(jù)與自身對(duì)應(yīng)的社會(huì)角色在多方合作中承擔(dān)各自的網(wǎng)絡(luò)安全責(zé)任”⑧John Rollins.information security policy council，Cybersecurity Strategy-Towards a world-leading，resilient and vigorous cyberspace[R].Japan，2013:22.。

“基本權(quán)利保護(hù)原則”是網(wǎng)絡(luò)安全戰(zhàn)略中的基礎(chǔ)性原則，其認(rèn)為在網(wǎng)絡(luò)安全保障中仍然需要保持對(duì)網(wǎng)絡(luò)基本權(quán)利的尊重?！皣?guó)際公認(rèn)的基本權(quán)利是指公民通過(guò)任何媒體自由獲取、接受和傳遞信息和思想的能力，而不受?chē)?guó)界的限制。”⑨The white house.International strategyfor cyberspace:Prosperity，Security，and Opennessin a Metworked World [R].USA，2011:5.其他類(lèi)似隱私保護(hù)、數(shù)據(jù)自由流動(dòng)和自由表達(dá)等基本公民權(quán)利也被融合在這一原則之下，從而與世界經(jīng)濟(jì)合作組織(OECD)2002年提出的民主原則(Democracy)保持一致，①OECD.Guidelinesfor the Security of InformationSystems and Metworks:Towards a Culture of Security[R]. OECD，2002:11.強(qiáng)調(diào)網(wǎng)絡(luò)安全需要遵從民主社會(huì)的基本價(jià)值，包括言論自由、信息的自由交互、信息和通信保密、對(duì)個(gè)人信息的保護(hù)和尊重等等。因此，與其他原則相比，“基本權(quán)利保護(hù)原則”更類(lèi)似于原則集或原則束，②例如，澳大利亞2013年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，網(wǎng)絡(luò)安全治理應(yīng)當(dāng)保障基本人權(quán)，特別是隱私、數(shù)據(jù)保護(hù)和信息的自由表達(dá)權(quán)。歐盟2013年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，網(wǎng)絡(luò)安全戰(zhàn)略只有以神圣不可侵犯的基本權(quán)利和自由為基礎(chǔ)，才是合理而有效的。愛(ài)沙尼亞2014年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，網(wǎng)絡(luò)安全應(yīng)當(dāng)尊重基本權(quán)利和自由，同時(shí)應(yīng)當(dāng)保護(hù)個(gè)人自由、信息和身份。土耳其2013年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，基本人權(quán)和自由，隱私保護(hù)應(yīng)當(dāng)被作為基本原則被接受。其項(xiàng)下的權(quán)利保護(hù)原則甚至可以作為獨(dú)立的原則予以實(shí)施。③例如美國(guó)2011年的《國(guó)際網(wǎng)絡(luò)安全戰(zhàn)略》就將隱私原則、數(shù)據(jù)流動(dòng)原則與基本權(quán)利保護(hù)原則相并列。在新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中，基本權(quán)利保護(hù)更進(jìn)一步被視為是對(duì)互聯(lián)網(wǎng)開(kāi)放和網(wǎng)絡(luò)中立的客觀反映，網(wǎng)絡(luò)安全保障需要實(shí)現(xiàn)“最大限度的信息公開(kāi)和訪(fǎng)問(wèn)，同時(shí)保障對(duì)個(gè)人權(quán)利的最小干預(yù)”④Mational Security Authority.Mational Cyber Security Centre，Mational cyber security strategy of the Czech republic for the period from 2015 to 2020[R].Czech republic，2014:9.。各種利益之間的平衡關(guān)系也被廣泛納入與此相關(guān)的原則實(shí)施中。⑤例如荷蘭2013年的網(wǎng)絡(luò)安全戰(zhàn)略在強(qiáng)調(diào)風(fēng)險(xiǎn)控制的適度性原則時(shí)考慮了安全需求與基本公民權(quán)利保護(hù)之間的平衡;英國(guó)2011年的信息安全戰(zhàn)略強(qiáng)調(diào)在保護(hù)國(guó)家安全的同時(shí)需要兼顧隱私等公民權(quán)利;拉脫維亞2014年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，通過(guò)促進(jìn)信息的可訪(fǎng)問(wèn)性和發(fā)展通信技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略，同時(shí)應(yīng)當(dāng)保障基本人權(quán)和自由，在自由、隱私、安全之間建立平衡。

嚴(yán)格來(lái)講，“風(fēng)險(xiǎn)原則”要求國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的構(gòu)建一定是基于風(fēng)險(xiǎn)的，其本身并不是對(duì)特定準(zhǔn)則的歸集或描述，而是對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的客觀反映。如前所述，新一代網(wǎng)絡(luò)安全戰(zhàn)略的所有策略幾乎都基于對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重新認(rèn)知，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)被視為各國(guó)需要面對(duì)的全新挑戰(zhàn)，“風(fēng)險(xiǎn)原則”得以在這種態(tài)勢(shì)下獲得延展。我們注意到，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估和分析構(gòu)成新一代網(wǎng)絡(luò)安全戰(zhàn)略的必要組成，國(guó)家網(wǎng)絡(luò)安全架構(gòu)的設(shè)計(jì)和實(shí)施也以風(fēng)險(xiǎn)控制為基礎(chǔ)和導(dǎo)向，可以說(shuō)，國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略就是以風(fēng)險(xiǎn)為核心的國(guó)家和社會(huì)事務(wù)動(dòng)態(tài)控制過(guò)程。原則屬性并不是其唯一的價(jià)值構(gòu)成，風(fēng)險(xiǎn)儼然已經(jīng)成為整個(gè)戰(zhàn)略部署的“原點(diǎn)”。⑥例如日本2013年的網(wǎng)絡(luò)安全戰(zhàn)略在基本原則部分強(qiáng)調(diào)，網(wǎng)絡(luò)風(fēng)險(xiǎn)的持續(xù)增長(zhǎng)態(tài)勢(shì)正在日益嚴(yán)峻，需要積極加以應(yīng)對(duì)，早期戰(zhàn)略所采取的方法和策略已經(jīng)不能應(yīng)對(duì)這些全球化的風(fēng)險(xiǎn)，亟須建立和增強(qiáng)以風(fēng)險(xiǎn)為基礎(chǔ)(Risk-based)的保護(hù)策略。為此，風(fēng)險(xiǎn)原則具有了越來(lái)越豐富的內(nèi)容，其被用于識(shí)別信息系統(tǒng)中的威脅和漏洞，圍繞信息系統(tǒng)內(nèi)外部的諸多要素有效展開(kāi)。其作用在于決定國(guó)家對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的可接受程度，幫助國(guó)家機(jī)構(gòu)選擇合適的控制措施弱化潛在威脅。

“彈性原則”是對(duì)新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的目標(biāo)、方法和策略進(jìn)行抽象后的基礎(chǔ)性原則。信息技術(shù)對(duì)于安全和經(jīng)濟(jì)的影響是由社會(huì)進(jìn)步的底層開(kāi)始的，技術(shù)利用對(duì)于國(guó)家和社會(huì)福祉的持續(xù)性改造幾乎是不可預(yù)期的，這就決定了網(wǎng)絡(luò)安全事件的發(fā)生幾乎是不可避免的，那么國(guó)家的網(wǎng)絡(luò)架構(gòu)就必須具有充足的彈性。在這里，彈性通常被理解為一種應(yīng)對(duì)能力，即保證在國(guó)家信息系統(tǒng)和網(wǎng)絡(luò)遭受網(wǎng)絡(luò)安全事件時(shí)，仍然能保持正常運(yùn)行和提供服務(wù)。⑦EMISA.Measurement Frameworks and Metrics for Resilient:Metworks and Services:Technical report[R].EU，2011:12.較于早期的網(wǎng)絡(luò)安全戰(zhàn)略，其內(nèi)涵有所擴(kuò)展，已經(jīng)將信息系統(tǒng)的恢復(fù)納入考量范疇。⑧例如法國(guó)2011年的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略將彈性定義為:“在計(jì)算領(lǐng)域，彈性是指信息系統(tǒng)抵御崩潰和網(wǎng)絡(luò)攻擊，并在安全事件后恢復(fù)到初始操作狀態(tài)的能力”。在很多國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略中，安全和彈性是密不可分的，其在不同的安全保障層級(jí)中植入彈性要求，①例如法國(guó)2011年的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略希望通過(guò)保護(hù)國(guó)家信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施保障國(guó)家彈性;意大利2013年的網(wǎng)絡(luò)安全戰(zhàn)略強(qiáng)調(diào)應(yīng)當(dāng)重視關(guān)乎社會(huì)和國(guó)家安全穩(wěn)定的服務(wù)的彈性和商業(yè)持續(xù)性;日本2013年的網(wǎng)絡(luò)安全戰(zhàn)略希望建立彈性的網(wǎng)絡(luò)空間;西班牙2013年的網(wǎng)絡(luò)安全戰(zhàn)略希望確保公共部門(mén)的信息和通信系統(tǒng)具有適當(dāng)水平的網(wǎng)絡(luò)安全和彈性。荷蘭2013年的網(wǎng)絡(luò)安全戰(zhàn)略希望加強(qiáng)荷蘭防御系統(tǒng)的彈性;歐盟2013年的網(wǎng)絡(luò)安全戰(zhàn)略將實(shí)現(xiàn)網(wǎng)絡(luò)彈性視為政策優(yōu)先事項(xiàng)。也出現(xiàn)了專(zhuān)門(mén)以彈性為考察對(duì)象的網(wǎng)絡(luò)安全戰(zhàn)略性文件。②例如歐盟2009年的《Communication on Critical Information Infrastructure protection(CIIP).Protecting Europe from large scale cyber attacks and disruptions:enhancing preparedness，security and resilience》;英國(guó)2009年的《Cyber Security Strategy of the United Kingdom.Safety，Security and Resilience in Cyber Space》。在彈性原則指導(dǎo)下的網(wǎng)絡(luò)安全戰(zhàn)略更加強(qiáng)調(diào)政策本身的完整性和綜合性，③澳大利亞2013年的網(wǎng)絡(luò)安全戰(zhàn)略認(rèn)為，網(wǎng)絡(luò)安全戰(zhàn)略必須建立在綜合性和完整性的基礎(chǔ)上。完整性強(qiáng)調(diào)國(guó)家、經(jīng)濟(jì)、學(xué)術(shù)界和公民社會(huì)之間的任務(wù)分擔(dān)，網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)當(dāng)包括戰(zhàn)略管理、意識(shí)與培訓(xùn)、風(fēng)險(xiǎn)評(píng)估等多方面考慮。同時(shí)，一項(xiàng)綜合性的網(wǎng)絡(luò)安全戰(zhàn)略意味著內(nèi)外部安全以及民用和軍事安全是緊密相連的。網(wǎng)絡(luò)安全的范圍超越了傳統(tǒng)的安全部門(mén)，包括許多其他政策領(lǐng)域的工具。以提高戰(zhàn)略整體的抗風(fēng)險(xiǎn)能力。

在上述原則之外，很多國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略采用了特殊的戰(zhàn)略原則，這些原則未能在全球范圍內(nèi)予以確立，反映出各國(guó)在網(wǎng)絡(luò)安全保障中的不同思路，也體現(xiàn)了網(wǎng)絡(luò)安全戰(zhàn)略利益訴求多元化的發(fā)展趨勢(shì)。例如法國(guó)強(qiáng)調(diào)的“主權(quán)原則”，④確保法國(guó)在保護(hù)主權(quán)相關(guān)信息過(guò)程中的決策能力。具體而言是保障法國(guó)政府機(jī)構(gòu)和風(fēng)險(xiǎn)管理部門(mén)在任何情況下具有秘密通信的能力。西班牙強(qiáng)調(diào)的“比例、理性和有效性原則”⑤即以動(dòng)態(tài)的方式，從技術(shù)利用的角度管理風(fēng)險(xiǎn)，平衡機(jī)會(huì)和威脅，在保護(hù)措施中確保比例性，避免阻礙新服務(wù)的發(fā)展。，歐盟強(qiáng)調(diào)的“同等保護(hù)原則”⑥即線(xiàn)下活動(dòng)所適用的法律和準(zhǔn)則同樣適用于網(wǎng)絡(luò)活動(dòng)。等等。需要注意的是，這些原則并不是分立的，而應(yīng)當(dāng)作為整體發(fā)揮作用。盡管各個(gè)安全原則都可以獨(dú)立指導(dǎo)網(wǎng)絡(luò)安全戰(zhàn)略的制定與實(shí)施，但其在國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中的體現(xiàn)應(yīng)當(dāng)是統(tǒng)一且相互影響的，應(yīng)當(dāng)綜合考慮各個(gè)原則之間的協(xié)同關(guān)系。

四、國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的策略

國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的策略是貫徹戰(zhàn)略理念，體現(xiàn)戰(zhàn)略原則和實(shí)現(xiàn)戰(zhàn)略目標(biāo)的方法途徑。在實(shí)施層面，國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略所構(gòu)筑的理念和原則框架仍然過(guò)于宏觀，雖然具有引導(dǎo)性，但并不具有操作性。也就是說(shuō)，戰(zhàn)略理念和原則僅僅解決了網(wǎng)絡(luò)安全的方法論問(wèn)題，網(wǎng)絡(luò)安全的實(shí)現(xiàn)仍然需要依靠體現(xiàn)為具體行動(dòng)計(jì)劃的策略。在新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中，策略通常是目標(biāo)與措施的結(jié)合，即在戰(zhàn)略目標(biāo)之下對(duì)應(yīng)設(shè)計(jì)匹配的措施，這就構(gòu)成了戰(zhàn)略理念、原則、目標(biāo)和措施的縱向體系結(jié)構(gòu)，由理念和原則指導(dǎo)目標(biāo)和措施，而目標(biāo)和措施落實(shí)理念和原則。

網(wǎng)絡(luò)架構(gòu)的全球化部署導(dǎo)致各國(guó)所面臨的安全風(fēng)險(xiǎn)具有相當(dāng)程度的同質(zhì)性，而且全球國(guó)家網(wǎng)絡(luò)安全的水平取決于保護(hù)力度最薄弱的國(guó)家。因此，為了弱化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)國(guó)家安全和經(jīng)濟(jì)發(fā)展造成的減損，各國(guó)政府均不遺余力地提升網(wǎng)絡(luò)安全保障能力，并且已經(jīng)在策略方面實(shí)現(xiàn)了諸多共識(shí)，初步形成了全球國(guó)家網(wǎng)絡(luò)安全治理的范式。如果忽略表述層面的差異性，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的策略部署保持了高度一致，傳統(tǒng)的網(wǎng)絡(luò)安全保障領(lǐng)域仍然是策略重點(diǎn)，也出現(xiàn)了適應(yīng)外部風(fēng)險(xiǎn)環(huán)境變化的新策略。

首先，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略以關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)為基礎(chǔ)，幾乎所有的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略均將其視為最為優(yōu)先的解決事項(xiàng)。各國(guó)采用不同的策略方式實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的彈性。例如，澳大利亞主要從政策管理的層面提高關(guān)鍵基礎(chǔ)設(shè)施保護(hù)力度，希望關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)商加入所有的國(guó)家網(wǎng)絡(luò)危機(jī)管理計(jì)劃(Mational Cyber crisis management)，建立包括風(fēng)險(xiǎn)和危機(jī)管理的綜合性安全框架。同時(shí)，關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)商應(yīng)當(dāng)指定安全官，并有義務(wù)報(bào)告嚴(yán)重的網(wǎng)絡(luò)安全事件。⑦Aus.Federal Chancellery of the Republic of Austria，Austrian Cyber Security Strategy[R].Austrian，2013:14.法國(guó)對(duì)于CIIP的認(rèn)識(shí)則更注重利用先進(jìn)技術(shù)保護(hù)重要信息的保密性，例如通過(guò)在部長(zhǎng)級(jí)網(wǎng)絡(luò)中引入身份認(rèn)證系統(tǒng)增強(qiáng)安全級(jí)別;在跨部門(mén)內(nèi)部網(wǎng)和電話(huà)網(wǎng)中部署終端加密產(chǎn)品，在部長(zhǎng)級(jí)決策中心中使用安全會(huì)議視頻系統(tǒng)等等。①Fra.Information systems defence and security strategy[R].France，2011:17.印度則側(cè)重于通過(guò)強(qiáng)制性的產(chǎn)品審查和管理過(guò)程保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，例如建立國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中心(MCIIPC)，強(qiáng)制要求實(shí)施國(guó)際安全的最佳實(shí)踐，鼓勵(lì)和強(qiáng)制要求使用經(jīng)過(guò)認(rèn)證的信息技術(shù)產(chǎn)品，強(qiáng)制要求定期的關(guān)鍵信息基礎(chǔ)設(shè)施安全審計(jì)等等。②Ind.Ministry of Communication and Information Technology，Department of Electronics and Information Technology，Mational Cyber Security Policy[R].India，2013:7.

第二，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略以打擊網(wǎng)絡(luò)犯罪為核心任務(wù)。網(wǎng)絡(luò)犯罪被認(rèn)為是各國(guó)需要面對(duì)的持續(xù)性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，目前已經(jīng)出現(xiàn)專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)犯罪的安全戰(zhàn)略。③英國(guó)內(nèi)政部在2010年發(fā)布了專(zhuān)門(mén)的網(wǎng)絡(luò)犯罪戰(zhàn)略，詳細(xì)描述了目前的網(wǎng)絡(luò)犯罪形勢(shì)和政府打擊網(wǎng)絡(luò)犯罪的方法。盡管各國(guó)打擊網(wǎng)絡(luò)犯罪的側(cè)重點(diǎn)不同，但大部分國(guó)家都將“提升執(zhí)法機(jī)構(gòu)的能力”作為實(shí)現(xiàn)戰(zhàn)略目標(biāo)的解決方案。例如西班牙強(qiáng)調(diào)需要擴(kuò)大和提高針對(duì)網(wǎng)絡(luò)恐怖主義和網(wǎng)絡(luò)犯罪的調(diào)查和起訴機(jī)構(gòu)的能力，并通過(guò)適當(dāng)?shù)男畔⒑颓閳?bào)交換渠道保證該能力與其他網(wǎng)絡(luò)安全活動(dòng)相一致。④Spa.Presidencia Del Gobierno，Mational cyber security strategy[R].Spain，2013:35.日本認(rèn)為除加強(qiáng)調(diào)查和分析能力外，有效的教育和培訓(xùn)、新技術(shù)的研發(fā)和系統(tǒng)準(zhǔn)備等措施應(yīng)當(dāng)擴(kuò)展至網(wǎng)絡(luò)攻擊分析中心、網(wǎng)絡(luò)攻擊調(diào)查機(jī)構(gòu)和未經(jīng)授權(quán)程序分析中心等機(jī)構(gòu)，包括先進(jìn)網(wǎng)絡(luò)監(jiān)控系統(tǒng)在內(nèi)的信息收集和分析設(shè)備應(yīng)當(dāng)被采用。⑤John Rollins.Information security policy council，Cybersecurity Strategy-Towards a world-leading，resilient and vigorous cyberspace[R].Japan，2013:22.德國(guó)認(rèn)為執(zhí)法機(jī)構(gòu)、聯(lián)邦信息安全辦公室和與打擊網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)破壞有關(guān)的私營(yíng)部門(mén)的保護(hù)能力應(yīng)當(dāng)被加強(qiáng)，并計(jì)劃建立執(zhí)法機(jī)構(gòu)與產(chǎn)業(yè)合作的聯(lián)合機(jī)構(gòu)。⑥Ger.Cyber Security Strategy for Germany[R].Germany，2011:6.

第三，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略普遍重視網(wǎng)絡(luò)安全組織機(jī)構(gòu)的建設(shè)。幾乎所有的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略都將加強(qiáng)公共管理機(jī)構(gòu)的組織性作為解決網(wǎng)絡(luò)安全問(wèn)題的核心措施，包括進(jìn)一步細(xì)化各政府部門(mén)之間的職權(quán)，建立新的組織機(jī)構(gòu)，強(qiáng)調(diào)高等級(jí)的領(lǐng)導(dǎo)能力等等。例如德國(guó)建立了國(guó)家網(wǎng)絡(luò)反應(yīng)中心，以?xún)?yōu)化現(xiàn)有的政府部門(mén)之間的網(wǎng)絡(luò)安全保障和實(shí)踐響應(yīng)合作機(jī)制，聯(lián)邦信息安全辦公室負(fù)責(zé)運(yùn)營(yíng)該中心，同時(shí)聯(lián)邦憲法保護(hù)辦公室、聯(lián)邦民防和災(zāi)難協(xié)助辦公室、聯(lián)邦刑事警察辦公室、聯(lián)邦警察、海關(guān)犯罪學(xué)辦公室、聯(lián)邦情報(bào)部等機(jī)構(gòu)都直接在各自的職責(zé)范圍內(nèi)參與網(wǎng)絡(luò)安全保障的合作事項(xiàng)。法國(guó)建立了國(guó)家信息安全系統(tǒng)(AMSSI)，該系統(tǒng)是一個(gè)政府部門(mén)之間的內(nèi)部協(xié)調(diào)機(jī)構(gòu)，作為政府內(nèi)部的應(yīng)急響應(yīng)機(jī)構(gòu)，其主要職責(zé)在于為政府提供安全的內(nèi)部通信手段，監(jiān)控政府系統(tǒng)，為系統(tǒng)提供認(rèn)證保護(hù)國(guó)家秘密，國(guó)際合作事項(xiàng)和信息安全培訓(xùn)等。

第四，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略更加重視網(wǎng)絡(luò)安全意識(shí)和培訓(xùn)。網(wǎng)絡(luò)安全的重要意義在于信息技術(shù)利用的普及性，⑦印度在2013年的網(wǎng)絡(luò)安全戰(zhàn)略中認(rèn)為，鑒于技術(shù)進(jìn)步所帶來(lái)的廣泛利益，網(wǎng)絡(luò)空間已經(jīng)被公民、商業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、軍隊(duì)和政府廣泛使用，目前已經(jīng)很難在這些主體之間劃分清晰的界限。其對(duì)于社會(huì)運(yùn)行的基礎(chǔ)性支撐作用導(dǎo)致網(wǎng)絡(luò)安全保障的任務(wù)由單極的政府職能轉(zhuǎn)變?yōu)槎鄻O的社會(huì)角色責(zé)任，國(guó)家網(wǎng)絡(luò)安全策略實(shí)施的有效性依賴(lài)于在更加廣泛的社會(huì)層面獲得公知。因此，提升網(wǎng)絡(luò)安全意識(shí)和培訓(xùn)不僅作為國(guó)家保障職能的有力輔助，更成為社會(huì)主體參與網(wǎng)絡(luò)安全治理的重要途徑。例如澳大利亞認(rèn)為意識(shí)和培訓(xùn)能夠幫助建立對(duì)網(wǎng)絡(luò)安全保障的理解，其通過(guò)強(qiáng)化網(wǎng)絡(luò)安全文化，將網(wǎng)絡(luò)安全和媒體能力納入所有層次的教育和培訓(xùn)中提升社會(huì)整體對(duì)網(wǎng)絡(luò)安全的認(rèn)知水平。⑧Aus.Federal Chancellery of the Republic of Austria，Austrian Cyber Security Strategy[R].Austrian，2013:14.挪威要求公共和商業(yè)部門(mén)加入或合作開(kāi)展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)或發(fā)展網(wǎng)絡(luò)安全文化的項(xiàng)目。①M(fèi)or.The Ministry of Government Administration，Reform and Church Affairs，Cyber Security Strategy for Morway[R].Morway，2013:24.

第五，新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的感知和響應(yīng)能力。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有不可逆的特點(diǎn)，一旦發(fā)生將對(duì)國(guó)家安全和社會(huì)發(fā)展產(chǎn)生災(zāi)難性的影響，各國(guó)均對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防控給予高度重視，通過(guò)強(qiáng)化國(guó)家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的感知和響應(yīng)能力，將風(fēng)險(xiǎn)性降低到國(guó)家可接受的程度。例如，各國(guó)均不同程度加強(qiáng)了本國(guó)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組的建設(shè)，②西班牙特別強(qiáng)調(diào)政府網(wǎng)絡(luò)應(yīng)急響應(yīng)小組和國(guó)家密碼技術(shù)中心網(wǎng)絡(luò)應(yīng)急響應(yīng)小組之間的合作和信息共享。澳大利亞通過(guò)提升和強(qiáng)化政府網(wǎng)絡(luò)應(yīng)急響應(yīng)小組的權(quán)限和能力，幫助各機(jī)構(gòu)和組織建立自己的應(yīng)急響應(yīng)小組。重視和強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息的收集和實(shí)時(shí)監(jiān)控能力，風(fēng)險(xiǎn)信息共享也在不同層級(jí)的組織機(jī)構(gòu)中廣泛開(kāi)展。

最后，IT供應(yīng)鏈安全成為新一代國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的關(guān)注點(diǎn)。IT產(chǎn)品和服務(wù)供應(yīng)的全球化在客觀上增加了IT供應(yīng)鏈的復(fù)雜程度，不安全或惡意的IT產(chǎn)品和服務(wù)將有更多的滲透渠道。③馬民虎，馬寧.IT供應(yīng)鏈安全:國(guó)家安全審查的范圍和中國(guó)應(yīng)對(duì)[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)，2014，(1).供應(yīng)鏈的安全缺陷將為網(wǎng)絡(luò)攻擊者提供更多的機(jī)會(huì)。④Can.Government of Canada，Canada's Cyber Security Strategy:For a stronger and more prosperous Canada[R]. Canada，2010:11.為此，針對(duì)IT供應(yīng)鏈安全的保障策略開(kāi)始出現(xiàn)在一些國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略中。例如，日本認(rèn)為針對(duì)IT供應(yīng)鏈的信息安全措施應(yīng)當(dāng)?shù)玫郊訌?qiáng)。⑤John Rollins.Information security policy council，Cybersecurity Strategy-Towards a world-leading，resilient and vigorous cyberspace[R].Japan，2013:32.印度通過(guò)建立IT安全產(chǎn)品評(píng)估、國(guó)際標(biāo)準(zhǔn)和實(shí)踐的符合性驗(yàn)證降低IT供應(yīng)鏈風(fēng)險(xiǎn)，通過(guò)建立產(chǎn)品和系統(tǒng)供應(yīng)商和服務(wù)提供商之間的可信關(guān)系提高IT供應(yīng)鏈安全的透明度。⑥Ind.Ministry of Communication and Information Technology，Department of Electronics and Information Technology，Mational Cyber Security Policy[R].India，2013:8.意大利強(qiáng)調(diào)使用認(rèn)證產(chǎn)品將存在風(fēng)險(xiǎn)的供應(yīng)商排除出IT供應(yīng)鏈。⑦Ita.Presidency of the Council of Ministers，Mational Strategic Framework For Cyberspace Security[R].Italy，2013:15.

Changes in the national cyber-security strategies in a global perspective

WU Guan-long&FENG Xiao-sa
(School of Law，Xi'an Jiaotong University，Xi'an 710049，China)

Recently，the emergence of the national cyber-security strategy reflects the mentality of" soft law governance".Though there is no internationally concerted definition on cyber-security，all the countries of the world regard it as the foundation of their national stability and economic development.Around 2010，the emergence of the new-generation cyber-security strategy predicted the new trend of the global cyber-security strategy，whose concepts，principles and strategies have become more flexible and whose achievements and experience can shed much light on China's current implementation of its own cyber-security strategy.

cyber-security;strategy;change

喬小洺]

D923

A

1000-5110(2015)05-0050-09

吳關(guān)龍，男，陜西周至人，西安交通大學(xué)副教授，碩士生導(dǎo)師，研究方向?yàn)樾畔踩c法理學(xué)。