2013 年,中国国家主席习近平提出共建“丝绸之路经济带”和“21 世纪海上丝绸之路”的重大倡议,简称“一带一路”倡议。目前,共建“一带一路”倡议及其核心理念已经被纳入联合国、二十国集团、亚太经合组织、上合组织等重要国际机制成果文件。截至2019 年3 月底,中国已同125 个国家和29 个国际组织签署了173 份合作文件。

一带一路”建设为各国经济增长开辟了新动力,为各国经济社会发展增加了新潜力,为实现联合国可持续发展目标做出了贡献。机遇与挑战并存。在全球信息化进程中,供应链的深度嵌套,数字资源的跨境流动,信息技术的突飞猛进,使得世界各国在网络空间中有更多的交流与合作,也有升级的矛盾和摩擦。

网络安全关系到国家的文化传承、经济发展、政治稳定。“一带一路”共建国家网络基础欠发达,传统安全环境比较复杂。面对破坏力越来越强的网络威胁,各国均陆续出台网络安全相关政策法律,以对抗敌对力量,维护本国利益,实现自身在网络空间的战略稳定。

1、网络安全纳入国家战略,在网络空间中体现国家意愿

网络空间是实体空间的全息映射,网络安全是国家安全的基础。在当前更为复杂的国际环境下,网络安全在很多国家上升至国家安全战略的高度,旨在为国家利益提供保护。以下以乌克兰为例展开分析。

2015 年,乌克兰电网遭受黑客攻击,引发大规模停电事故。但这并不意味着乌克兰对于网络安全没有给予充分重视。相反,因为俄罗斯信息技术的强大,乌克兰的国家机密系统、关键信息基础设施以及选举,无不感受到压力和威胁。网络空间对于乌克兰而言,是真实的战场。

2015 年,乌克兰发布《国家安全战略》。确立网络与信息安全的战略地位,并明确:(1)坚决抵制不利于国家安全的虚假信息传播。(2)保护军队、能源、交通、通讯、银行等国家关键信息基础设施;对信息资源、电子政务系统、密码信息保护等加强保护。(3)打击网络恐怖主义,加强合作。(4)在欧盟和北约的标准基础上,对国家机密系统加强保护。(5)展开网络安全培训,提高公众的网络安全意识。

2016 年,《乌克兰网络安全战略》发布,目标是建立现代的、有弹性的国家网络安全系统,保障信息空间中乌克兰国家利益。战略明确了网络安全的原则、网络安全所面临的主要威胁,以及应对网络威胁的主要举措方向。

2017 年,《信息安全学说》发布。明确在对抗俄罗斯网络破坏及不利影响下,信息安全领域的国家政策应优先注重以下三方面:(1)保障信息安全;(2)保护和发展乌克兰信息领域,保护宪法给予公民在信息方面的权利;(3)塑造乌克兰积极正面的国际形象。

乌克兰还推出配套政策:2006 年《保护信息通讯系统规则》、2016 年《国家信息资源的在线漏洞扫描》和2018 年《乌克兰网络安全战略实施行动计划》。

在实践中,乌克兰一方面强调和欧盟的对接,另一方面将和俄罗斯之间的冲突也映射到网络空间。2017 年5 月,乌克兰总统签署法令,要求在乌克兰境内屏蔽多家俄语网站、多个俄语社交软件和若干俄语邮箱服务器。全球最大的俄语搜索引擎Yandex、社群软件VK、邮件服务Mail.ru 均在屏蔽之列,杀毒软件卡巴斯基也被乌克兰政府禁用。

2、网络安全助力数字经济,在网络空间中体现经济实力

数字经济成为经济发展的重要动能,网络安全则在数字经济发展进程中发挥着无可替代的重要作用。下面以经济发达的卢森堡为例展开分析。

卢森堡大公国人均GDP 连续多年排名世界第一,拥有世界第一大钢铁集团和世界第二大卫星运营商。同时,卢森堡是世界第八大金融投资中心。

2012 年卢森堡出台了第一版《网络安全国家战略》。战略涵盖五个层面:(1)保障通讯信息设施及信息系统的运营安全;(2)完善法律框架;(3)展开国内及国际合作;(4)培养、加强风险意识教育;(5)开发并落实标准及规范。

2015 年5 月27 日,卢森堡发布第二版《网络安全国家战略》,战略扩展到七个层面,强调提升数字设施弹性,打击网络犯罪,并明确要落实规则、标准、认证、标识及框架,为政府和关键基础设施提供保护。

2018 年5 月8 日,第三版《网络安全国家战略》发布。明确“网络安全为网络环境、组织及用户的财产提供保护”。战略既是在“数字卢森堡”倡导下,增强公众对数字环境的信心,更好地推进数字化社会的发展;同时也是欧盟“一揽子计划”在具体国家的落地。卢森堡《网络安全国家战略》与其稳健的经济步伐相协调,在短短六年时间内,作了两次丰富和充实,对网络安全具体建设给予了更明确的定义和方向,同时在全球网络空间中,稳定与其国力相匹配的战略地位。

3、网络安全对抗网络犯罪,在网络空间中强化国际合作

伴随着互联网发展, 黑客入侵、网络诈骗、网络盗窃、网络贩卖违禁品等网络犯罪行为层出不穷。打击网络犯罪、保障网络与信息安全、促进社会稳定、经济增长,已经成为各国需要共同面对的难题。

同时,恐怖主义的发展和网络空间的融合,给“一带一路”共建国家带来巨大忧患。根据经济与和平研究所(Institute for Economics and Peace)《全球恐怖主义指数 2015》的数据,2014年全球范围受恐怖主义影响指数排名前十位的国家几乎都在“一带一路”沿线区域。印度、也门、泰国、菲律宾、乌克兰、埃及等国家的恐怖主义影响指数也都在前 20 位。而恐怖主义组织正不断加大对网络的利用。例如: 2015 年 11 月 13日,法国巴黎系列恐怖主义爆炸事件后,“伊斯兰国”公布了一份安全手册,其中包含使用加密浏览器和邮箱进行沟通,利用脸书和推特的注意事项等。“伊斯兰国”还在跨平台即时通讯工具 Telegram 中创建了一个帮助桌面,为组织成员和支持者提供技术支持和实时指导。

目前,不少“一带一路”共建国家将打击网络犯罪提升到国家级层面上,并积极展开区域间合作,打击网络恐怖主义,和网络犯罪展开斗争。这使得网络空间会形成新的区域性战略稳定。以下以南非和塔吉克斯坦为例展开分析。

(1)南非

2002 年,南非发布《电子通信与交易法》。该法是保障南非信息安全稳定的关键立法,对网络犯罪行为予以界定,并出台相关程序以加强执法。

2012 年,南非《国家网络安全政策框架》发布。框架从国家级层面上给出对抗网络犯罪、网络恐怖主义、网络战等的必要举措。其中包括:通过对政策框架、战略、结构的建设完善,实现网络安全行为的中心化合作,支撑国家安全和经济发展;面对新型网络威胁,需要综合技术、政策、战略、日常检查和监管,以及提升网络安全意识等多方面手段来探求有效解决路径;对涉及网络安全、网络犯罪的相关实体法和程序法予以加强;建立政府、私营部门、社会团体之间的协调合作,以期形成对抗网络犯罪的合力;加强国际合作;深化对于技术、研发及能力的培育发展;推广网络安全文化;推进网络安全相关标准,使产品和服务合规化。

2018 年11 月,南非发布《网络犯罪和网络安全法案》。立法在和英国、欧洲理事会联合打击网络犯罪的基础上,纳入了最佳实践和政策目标,旨在实施整合的网络安全法律框架,以发展网络安全,有效打击网络犯罪。法案对网络犯罪予以分类,并特别提出对宣扬仇恨、歧视和暴力的数据信息进行管控处理。

(2)塔吉克斯坦

2003 年,塔吉克斯坦明确了“信息安全的定义”,强调需要识别出:(1)信息空间内及其传递中涉及国家利益的;(2)信息安全空间中的各种威胁及漏洞;(3)信息安全空间中威胁及漏洞的源头。

2014 年7 月,塔政府通过“信息通信技术发展之国家项目(2014-2017)”。其中对信息安全和数据保护有明确规定。例如:在打击网络犯罪、防止计算机信息被非法入侵读取方面,可根据情节严重程度,处以不同级别的罚款或者监禁。

2018 年5 月,塔吉克斯坦参加“首次联合国会员国反恐机构首长高级别会议 ”。同年,塔总统拉赫蒙在“反对恐怖主义和防止暴力极端主义高级别国际会议”上表示,需要加强多方合作,以打击网络犯罪,对抗网络恐怖主义。

4、网络安全加强信息监管,在网络空间中保持政局稳定

随着人们对社交媒体等互联网产品产生越来越强的依赖性,以及大数据等互联网技术的应用深入,过度的互联网自由对国家安全和社会稳定带来巨大影响。不明身份的对手,利用社交媒体为工具,在网络空间上营造舆论导向,从而对选举结果产生颠覆性的影响,这是对网络空间战略稳定的明确冲击。对此,“一带一路”共建国家在积极展开探索和实践。 以下以新加坡为例展开分析。

2019 年年底,新加坡将展开选举。2019 年5 月8 日,新加坡通过《防止网络虚假信息和网络操纵法案》,旨在保护社会免受恶意行为者在网上制造谎言和进行操纵的危害。法案监管主要涉及两项关键信息:“政治目的趋向”和“危害公共利益”。

“政治目的趋向”是指:(1)促进在新加坡有政治目的的政党或其他群体的利益;(2)影响或试图影响总统选举、议员普选、议员补选或公民投票;(3)影响或试图影响公众舆论和在新加坡属于公共利益或公共争议的事项;(4)在整个或部分新加坡影响或寻求影响立法程序或立法结果的法律变化。

“危害公共利益”是指:(1)危害新加坡或新加坡任何部分的安全;(2)损害公共健康、公共安全、公共安宁或公共财政;(3)影响新加坡与其他国家的友好关系;(4)影响选举结果,包括总统选举、议员普选、议员补选或公民投票;(5)在不同群体之间煽动敌意、仇恨或恶意;(6)削弱公众对于政府的信心。

5、网络安全保护基础设施,在网络空间中落实关键保护

关键信息基础设施的网络保护已然是网络空间战略稳定的重要高地。虽然各国对关键信息基础设施的定义和范畴不同,但都意识到关键信息基础设施的安全意义重大。以下以俄罗斯为例展开分析。

俄罗斯作为具有信息技术发展优势的国家,不仅注重从国家高度把握关键信息基础设施的界定,还关注细化关键信息基础设施保护的义务和方法。

2012 年,俄发布《保障关键基础设施领域自动化生产和技术流程系统安全的国家政策的主要方向》,旨在提高国家关键基础设施及信息通讯系统的安全水平,尽可能把网络风险带来的危害降到最低水平。

2013 年,普京签署总统令授权俄联邦安全局建立监测、防范和消除计算机隐患的国家计算机信息安全机制,具体内容包括分析预测信息安全形势,评估国家重要信息基础设施抵抗网络攻击的防护水平,研究制定保护重要信息基础设施受到不可控干涉的风险降到最低。普京还签署了应对信息安全威胁的纲领性文件——《2020 年前国际信息安全国家基本政策》。

2016 年,《信息安全学说》第2 版明确要求提高总体信息基础设施的防护水平及确保它们在平时和战时功能发挥稳定,发展针对信息威胁的探测与预警机制及威胁出现后的后果消除机制。根据这一要求,2017 年1 月,俄国家杜马一读通过了《关键信息基础设施安全法(草案)》。该法案建议建立重要信息基础设施安全防护机制,以降低设施遭受攻击的安全威胁及脆弱性;建立重要信息基础设施清单,并制定相应的安全保护要求。此外,法案针对破坏重要信息基础设施的行为规定了严格的处罚措施。

2018 年2 月,《关于确认俄罗斯联邦关键信息基础设施客体等级划分的规定以及俄罗斯联邦关键信息基础设施客体重要性标准参数列表》决议发布。决议内容包括等级划分规定、关键信息基础设施客体重要性标准参数列表以及划分的参数值。

网络空间安全关系到各国的战略重点和核心利益,也关系到网络空间战略稳定。“一带一路”共建国家均对网络空间安全予以高度重视,各项政策法律的陆续出台,都表明各国在积极努力,降低网络威胁带来的危害,加强网络空间安全建设,以实现合作共赢的网络空间战略稳定。

(为便于排版,已省去原文注释)

作者:汪丽,国家信息中心国信卫士网络空间安全研究院副秘书长。主要研究领域为“一带一路”沿线国家网络安全与信息化研究。现任中国网络空间安全协会网络治理与国际合作工作委员会委员。

(本文选自《信息安全与通信保密》2019年第七期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。