美国网络空间安全的“三大战略”规划 我国可借鉴

  互联网络和信息化浪潮已经遍及全球。互联网络完全融入到了社会生活的各个领域,正在颠覆性地改变着人类的生活方式和生产方式,形成了人类独立于陆地、海洋、航空、航天之外的第五维空间——网络空间。当前,全球网络空间秩序处于极不平衡的状态,美国拥有绝对的优势,全球因特网管理中所有重大决定仍由美国主导。全球互联网的全部网页中占81%的是英语,其它语种加起来不足20%;国际互联网上访问量最大的100个网站中,有94个在美国境内。

  目前,全世界只有1个主根服务器和12个辅根服务器,其中1个主根服务器和9个辅根服务器均放置在美国,其它3个辅根服务器分别放置在英国、瑞典和日本。然而,最重要的是根服务器是由美国政府授权的互联网名称与数字地址分配机构(ICANN)管理和控制,这就使得美国对全球互联网拥有最高的管理权和控制权。

  美国网络空间安全的“三大战略”规划

  美国政府从20世纪90年代后期开始关注关键基础设施来自网络空间的威胁,并逐步发展出成熟的国家和国际性网络空间安全战略,主要的战略性文件包括《网络空间安全国家战略》(以下称“国家战略”)、《网络空间国际战略》(以下称“国际战略”)和《网络空间行动战略》(以下称:“行动战略”)。

  “国家战略”是2003年在美国联邦、州和地方政府、高等院校以及相关组织的共同努力下制定的网络空间安全国家战略,该战略明确了实施网络空间安全保护计划的指导方针,提出了三大战略目标和五项重点任务:

  三大战略目标是:预防美国的关键基础设施遭到信息网络攻击;减少国家对信息网络攻击的脆弱性;减少国家在信息网络攻击中遭受的破坏,减少恢复时间。五项重点任务是:国家网络空间安全响应系统;国家网络空间威胁和脆弱性减少项目;国家网络空间安全意识和培训项目;国家网络空间安全保护政府网络空间的安全;国家安全和国际网络空间安全合作。

  “国家战略”强调要发挥法律法规,同时要重视市场的力量。该战略认为,法律法规不一定是保护网络安全的主要途径,以法律法规形式强制规定各机构信息系统配置的做法可能会对创造其它更成功的解决网络安全问题的方法产生影响,而市场是改善网络安全的主要推动力。

  “国际战略”是美国政府于2011年出台的首部网络空间安全国际战略。该战略主要强调要建立一个“开放、互通、安全和可靠”的网络空间,并为实现这一构想勾勒出了战略路线图,内容涵盖经济、国防、执法和外交等多个领域,基本概括了美国所追求的目标。

  “国际战略”列出了七个战略重点:一是通过制定国际标准、鼓励创新和开放市场,加强知识产权保护;二是确保网络的安全性、可靠性和韧性,并加强国际安全;三是深化执法合作并积极推出国际规则,以提高应对网络犯罪的能力,包括适时加强国际法律和法规;四是军方合作以帮助各联盟采取更多措施共同应对网络威胁,同时确保美军的网络安全;五是建立有效且多方参与的国际互联网治理架构;六是帮助其他国家建立其数字基础设施和建设抵御网络威胁的能力,通过发展支持新生合作伙伴;七是保障互联网自由和隐私安全。

  “行动战略”是2011年由美国防部发布的首份美军网络空间行动战略。该战略制订了五大行动计划:将网络空间列为与陆、海、空、太空并列的“行动领域”,国防部以此为基础对美军进行组织、培训和装备;变被动防御为主动防御,从而更加有效地阻止、击败针对美军网络系统的入侵和其他敌对行为;加强国防部与其他政府部门及私人部门的合作,在保护军事网络安全的同时,加强电网、运输系统等重要基础设施的网络安全防护;加强与美国的盟友及伙伴在网络空间领域的国际合作;重视高科技人才队伍建设并提升技术创新能力。

  尽管美国一再强调行动战略重在防御,但从种种迹象来看,美军已经将网络空间的威慑和攻击能力提升到更加重要的位置。美军已正式建立网络司令部,统一协调保障美军网络安全、开展网络战等与电脑网络有关的军事行动。

  美国网络空间安全立法概述

  在网络空间安全立法方面,美国一直走在全世界的最前面。

  当前美国国会的网络安全立法主要包括整合修订旧法律、审议通过新法律在内的一项系统工程,覆盖面宽、内容复杂,但脉络清晰且立法进程在加速。

  自2002年以来,美国通过了近50部与网络空间安全有关的联邦法律,其中包括《1984年伪造接入设备及计算机欺诈与滥用法》、《1986年电子通信隐私法》、《1987年计算机安全法》、《1995年削减公文法》、《1996年信息技术管理改革法》、《2002年国土安全法》、《2002年网络安全研发法》、《2002年电子政务法》、《2002年联邦信息安全管理法》等。

  近年美国国会关于网络安全主要综合性立法建议包括《2012年网络安全法案》、《确保IT安全法案》、众议院共和党工作组提出的综合性建议,促成了众议院的五个专门性法案以及奥巴马政府向国会递交的综合性网络安全立法建议等。其中,《2012年网络安全法案》是美国第112届国会关于网络安全最重要的法案。

  美国网络空间安全立法对我国的借鉴意义

  纵观美国网络空间安全立法,有以下五个方面很值得我国借鉴:

  实施网络空间安全的国家战略。美国的网络空间战略是从技术层面、资源层面、信息层面到法理层面抢占全球网络空间制网权和制高点的国际化战略,对我国的网络空间安全带来了全方位、多层次的深刻影响。比如《网络空间行动战略》宣称,美国将使用一切必要手段,捍卫至关重要的网络资产。美国将像对其它任何威胁一样,对网络空间的敌对行为作出反应。美国保留诉诸武力的权利。

  当前,美国拥有全球访问量最大的搜索引擎Google、最大的视频网站YouTube、最大的微博平台Twitter和最大的社交空间Facebook。美国控制的ICANN掌控着全球域名地址。Yahoo拥有近5亿的独立访问者;Intel垄断着全球电脑芯片,IBM在全世界推行着“智慧地球”计划;Microsoft掌控着电脑操作系统;Apple Store主导着世界的平板电脑市场。

  国土安全部在保护联邦信息系统方面的授权机制。美国的相关法案主张国土安全部在保护联邦信息系统方面的授权,美国国土安全信息网络均允许所有各州、主要都市地区在联邦、州和地方机构之间收集和分发信息,共同打击恐怖主义。

  重视培养高素质的网络安全专业人员。主要是培养高素质的联邦政府网络安全专业人员,并扩大其规模,尤其是加强对“下一代”网络安全专业人员的培训,联邦网络安全人员与私营部门网络专业人员经常保持沟通和交流。

  重视网络空间安全技术的研发。2002年美国就颁布了《网络安全研发法》,赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责。重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业,例如,卡内基-梅隆大学的软件工程研究所、乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSIS)的技术委员会、卡内基国际和平研究所的信息革命与国际关系研究项目等等。

  强调保护私有关键性基础设施。美国总统奥巴马曾签署行政命令,强调提高关键性基础设施网络安全,要求美国政府与运营关键性基础设施的合作伙伴加强信息共享,共同建立和发展一个推动网络安全的实践框架。行政命令要求联邦机构“及时”向运营商提供非保密的网络威胁信息。

  大力消除信息共享壁垒。为有效保护网络信息系统,应减少或移除有关部门内部及部门间的信息共享壁垒,明确信息共享的主体、规定如何共享某些机密信息、规定如何与私营部门进行信息交换、限定政府部门将共享信息用于特定目的等。只要共享信息是用于网络安全保护以及已采取合理措施保护可识别的个人信息,私主体就有权披露和接收合法获得的网络安全信息。

  我国网络空间安全立法的目标、结构及模式选择建议

  习近平主席指出,没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。他还特别强调,要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。

  笔者建议,网络空间安全立法需要立足中国国情,借鉴国际经验,渐进式推进,尤其要重视我国网络空间安全基本法的制定。

  制定国家网络空间安全中长期战略规划,注重顶层制度设计,建立健全国家网络空间安全体系。尤其是构建和夯实国家网络空间安全的五大体系:网络安全技术标准认证体系;网络安全行业规范自律体系;网络安全准入、使用、保护体系;网络安全侵权监管执法体系;网络安全法律法规规范体系。

  从国家安全战略的高度出发,中国必须建立自己的IPv6域名根服务器,目前至少要保证国内的站点由国内的域名服务器来解析。

  做好立法的全面规划,拓展网络空间安全基础性立法的研究。注重国家利益与一致性原则的有机统一,信息安全首先要体现国家利益原则,同时要避免重复立法和分散立法,增强立法的协调性,避免立法的盲目性、随意性和相互冲突。

  加强对网络空间安全立法的功能、价值取向、基本模式的研究,建立国家网络安全法律体系基础理论;要对国际立法经验系统进行全方位的梳理和跟踪,对国内网络空间安全立法的路径、缺陷和发展方向进行全面的总结,提出制度体系的理论与立法框架,增强网络空间立法的科学性、权威性和预见性。

  坚持国家网络空间安全与公民个人信息的同等保护原则,并将其明确为网络空间安全立法的重要原则。我国前期的一些网络立法过分强化政府对网络的管制而忽视对相关网络空间主体权利的保护。移动互联网时代的网络空间安全立法,既要强调“国家安全优先,政府主导与行业自律相结合,保护网络自由,维护利益平衡,保护个人信息,保障网络公共秩序”,又要坚持破解“被遗忘的权利”保护的机会平等、规则平等、制度平等难题,实现个人信息权益正当保护与国家网络空间安全有效守卫的相互平衡。

  树立既要遵循现行法律体系,又不拘泥于现行法律体系的理念。借鉴美国关于“以法律法规形式强制规定各机构信息系统配置的做法可能会对创造其它更成功的解决网络安全问题的方法产生影响,而市场是改善网络安全的主要推动力”的理念。

  随着移动互联网、大数据、云计算的不断发展,网络空间安全立法有可能与现有的法律重复乃至冲突。因此,在制订网络空间安全基本法时,要重视和鼓励网络空间安全的思维、技术和市场的创新,不要拘泥于现行法律体系的内容,对于网络空间安全的创新性内容要突破现行法律体系的框架。

  强调网络空间安全立法的国际合作。网络空间安全与法治保障是一项世界性的新课题,制定各国普遍接受的网络空间安全的国际规范。为此应当在深入研究现有国际法如何适用网络空间的同时,应当积极探索适合网络空间特点的新的国际规范,包括信息安全国际行为准则和负责任国家行为准则。

  当前亟需开展国际间的立法合作,构建国际网络空间安全立法的中国话语权,在国际网络安全立法中注入中国元素。在联合国的框架内制定相关的国际规则,增进各国之间的互信与合作,共同维护网络空间的和平与安全,共同推进网络安全国际化、体系化、制度化和法治化。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:智慧感知——无处不在的安全