日本网络安全战略总则

【知远导读】日本政府认为，在人工智能、物联网技术不断发展的背景下，网络攻击对稳定安全的日本国民生活造成了威胁，甚至出现个别国家参与网络攻击的事例。鉴于此，日本政府公布了最新的网络安全战略，将携手相关企业、国民共享国内外网络攻击方面的信息，推进“积极的网络防御”措施，防患于未然。本文是对日本网络安全战略的综述，介绍了日本网络战略的发展规划和远景目标，以及实现该战略的基本政策方针。

日本网络安全战略综述

（内阁于2018年7月27日决定）

中长期规划

1.介绍

1.1网络空间带来社会范式的转变（在网络空间中，人们可以利用创造和创新来显著拓展他们的活动。向“社会5.0”的范式转变，是人类从未经历过的）

1.2自2015年开始产生变化（日益严重的网络威胁和现实中的威胁相统一，新战略必须要前瞻性地关注第32届奥运会和2020年东京残奥会）

2.理解网络空间

2.1网络的好处

——网络空间的知识、技术和服务，例如人工智能（AI）和物联网（IoT），正逐渐在社会中建立并引领着改变现有结构的革新。它们在诸多领域的应用越来越广泛，丰富了人类的生活。

2.2网络空间的威胁日益增加

——网络技术的提供者总是有可能会失去对这些技术的控制。针对物联网、关键基础设施、供应链的攻击以及涉嫌某些国家支持的事件，将成倍地增加社会经济损失。

3.本战略的远景和目标

3.1坚持网络安全的基本立场

（1）网络安全的基本行为目标；

（2）基本理念（“自由、公平、安全的网络空间”）；

（3）基本原则（保障信息自由流通，法治，开放，自治，与利益相关各方的合作）。

3.2以网络安全为目标的基本愿景

（1）目标（网络安全可持续发展——推广“网络安全生态系统（Cybersecurity Ecosystem）”）；

（2）三种途径（为网络服务供应商提供安全支援；风险管理；参与、合作、协作）。

三年战略期（2018-2021）

4.实现这一目标的政策方针

4.1促进社会经济活力和可持续发展

（1）把增强网络安全作为价值创造的驱动力

<示例>

——提升管理意识（从“成本”到“投资”）。

——网络安全投资的激励措施（对公司所发布和披露的信息进行市场评估，网络安全保险的使用）。

——基于安全设计的网络安全提升业务。

（2）通过不同的连接建立供应链进而创造价值

<示例>

——基于中小企业商业行为中的供应链风险，制定相应的网络安全框架（设备、数据和服务的供应网络）。

（3）建立安全的物联网系统

<示例>

——完善物联网体系结构和国际标准。

——建立物联网设备漏洞的模型并找到解决方案。

4.2为国民建设一个安全的社会

（1）保护国民和社会的措施

<示例>

——实施有针对性的积极预防措施（主动网络防御）。

——强化打击网络犯罪的举措。

（2）通过公共部门与私人的合作保护关键基础设施

<示例>

——修订和完善安全制度（将网络安全措施定位为相关法律法规之内的安全法规）。

——增强地方政府安全。

（3）加强和改善政府机构和政府有关实体的安全

<示例>

——实时监管信息系统的状态。

——利用尖端技术进行先发制人的操作。

（4）确保大学教育和科研环境的安全

<示例>

——鉴于高校和研究机构的多样性，制定相应的改进措施。

（5）为2020年东京奥运会及后续活动提出的倡议

<示例>

——推进网络安全事件响应协调中心（Cyber Security Incident Response Coordination Center）的建设。

——成果作为遗产加以利用。

（6）构建超越传统框架的信息共享/协作框架

<示例>

——促进利益相关各方之间的信息共享/协作

（7）加强对大规模网络攻击事件的应对

<示例>

——加强对大规模网络攻击事件的防范，做好网络空间和现实社会的风险管控工作。

4.3为国际社会的和平稳定和日本的国家安全做出贡献

（1）致力于一个自由、公平和安全的网络空间

<示例>

——传播自由、公平、安全的网络空间理念。

——推进网络空间法治建设。

（2）加强防御、威慑和态势感知能力

<示例>

——确保国家恢复活力

a.任务保障；

b.保护日本的先进技术和国防相关技术；

c.打击恐怖组织恶意利用网络空间的措施。

——加强威慑能力

a.有效的威慑手段；

b.建立信任的举措。

——加强网络态势感知

a.提高有关政府机构的能力；

b.威胁信息的共享。

（3）国际合作与同盟

<示例>

——分享专业知识和协调政策。

——响应事件的国际协作。

——开展相关能力建设的合作。

4.4网络安全的交叉途径

（1）网络安全人力资源的开发与保障

<示例>

战略管理层面的培训和使用，战役和专家层面的培训（包括高级人力资源），为网络安全人力资源开发打下基础，加强机构间网络安全人力资源的保障和开发，促进国际伙伴关系。

（2）促进研究和发展

<示例>

——促进可实际运用技术的研发（提高对攻击的检测和防御能力，开发能够进行必要技术检查的系统）。

——针对包括人工智能等在内的技术和社会中长期发展，做出正确的反应。

（3）网络安全需要每个使用者的参与

<示例>

制定网络安全教育计划，向公众传播必要信息（推广“网络安全意识月（Cybersecurity Awareness Month）”），提升网络安全教育质量。

5.网络安全战略的促进和落实

为确保战略得以实现，在网络安全战略总部（Cybersecurity Strategy Headquarters）和国家网络安全事件应急及战略中心（National center of Incident readiness and Strategy for Cyersecurity，NISC）的指导下，相关政府机构将继续致力于提升他们的网络安全能力。在协调政府部门协作，促进企业、学术界、公共部门和私人之间的合作上，国家网络安全事件应急及战略中心将发挥主导作用。网络安全战略总部将设法确保和执行政府所需的预算，以便各项措施得以落实。

声明：本文来自知远战略与防务研究所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。