沈逸：重视国家网络空间安全与发展的顶层设计

编者按：网络空间安全与发展的顶层设计注定是非常复杂的系统工程。两会前夕，习总书记在中央网络安全和信息化领导小组第一次工作会议上的讲话，是顶层设计上一个良好的开端。两会之后，只有更加坚定地履行网络空间安全与发展的国家责任，在深入剖析外部结构性威胁和内部宏观、中观、微观不足的过程中，进一步依据轻重缓急与难易程度，拟定近、中、远期目标，并转化为上下联动、全民一致的执行力，才能加速实现从网络大国到网络强国的伟大梦想。

2014年召开的“两会”，必将是一次特殊的“两会”，因为它承担着为国家网络空间安全与发展进行顶层设计的特殊使命。“两会”之前中央网络安全和信息化领导小组第一次工作会议，尤其具有战略意义。这是自2013年6月前美国中央情报局雇员斯诺登披露“棱镜”项目之后，国家网络安全与发展战略建设进程中的重要一步，也是当代中国应对来自网络空间威胁的必要前提。

一、正视国家面临的网络空间技术、战略与能力层面结构性威胁

国家网络空间面临的安全威胁是一种结构性的挑战，至少包括了技术、战略与能力三个不同的层面：

（一）从技术上来说，网络空间的核心技术仍然掌握在欧美发达国家手中

这种技术上的压倒性优势，可从互联网工程师工作组（IETF）技术文本中略见一斑。中国工程师提出的技术文本只有总量的1%，而正是这些技术文本，体现出互联网真正的关键技术、技术标准及其未来走向。欧美国家在战略、制度设计以及具体行为上表现出来的优势，根植于这些技术文本之中，根植于天然被注入了某种市场化基因的技术研发能力之中。中国如果不能在这个层面和意义的技术领域实现实质性的突破，则始终无法从根本上扭转网络空间安全面临的巨大挑战。

（二）从战略上来说，欧美发达国家在网络安全与发展战略上有显著的先发优势

欧美国家均制定了相对完整、全面的网络空间安全与发展战略，这些战略的基础，是其长期累积的技术优势、战略优势以及本国企业在全球网络产业链中占据的优势地位。这种综合性的全面优势，使得美国等国家能够实施一种具有强烈塑造特征网络空间安全战略，以谋求建立全球范围空间行为准则为主要目标。

（三）从能力上来看，“棱镜”项目折射出的是整个国际体系面临的全新挑战

导致这一挑战来临的原因，是技术发展导致的两个维度的能力分化：一个维度是国家与非国家行为体之间的能力分化。凭借发达的全球信息传播网络，类似斯诺登、“维基揭秘”这样的非国家行为体能够有力地对美国这样的国家提出重大的挑战，至少严重动摇其国家声望；另一个维度是国家与国家之间的能力分化，“棱镜”项目折射出的是国家行为体之间应对网络挑战能力的巨大分化。像埃及这样的国家，无力掌控网络空间信息流动，凸显出社会运行巨大的脆弱性；美国这样的国家，悄然间获得了令人无法想象的数据监控能力，让世界耳熟能详的“老大哥”在悄然之间成为世界最大的威胁者。在这样一个复杂而剧烈动荡的世界里，以中国、俄罗斯等为代表的新兴大国如何面临“棱镜”项目所折射的网络安全的严峻挑战，不能不成为“两会”代表观察、研究与思考网络空间安全与发展的焦点。

二、国家网络空间安全与发展面临的宏观、中观、微观不足

上述挑战，具体表现为如下宏观、中观和微观三个方面的主要不足：

（一）认识观念、机制体制和政策法规方面的不足表现为失控、无序、失范的态势

首先，相当数量的决策者对网络安全的认识，还停留在单机时代或者桌面互联网时代，依然用单机时代或者是桌面互联网时代的安全观念来指导移动互联网时代的安全实践。

其次，战略制定仍然受到部门分割、军民分离的影响，基本停留在各自为战、分头行动的状态，缺乏真正意义上的有效整合与协同应对。

第三，政策工具相对比较单一，选择有限。时常让自己陷入要么无所作为，忍受信息泄露带来的损失；要么简单粗暴，使自己陷入信息和舆论的“孤岛”，甚至以信息技术和信息产业的滞后发展为代价，来换取单纯信息层面的安全。

在具体实践中，上述缺陷的主要表现是：无法真正有效地明确哪些信息是必须严格防护和保密的，哪些信息是完全可以主动公开的；在公开信息时，要么什么都不公开，要么什么都公开，面对压力应对失措，不知道如何有选择、有步骤、有计划的通过主动公开信息的方式来争取战略层面的主动；在设计网络基础设施时，缺乏有效的规划，没有有效的具有可操作性的安全标准，供政府作为决策依据，无法在国家安全、技术发展、经济收益三者之间，实现有效的均衡。

整体来看，面对美国网络空间监控战略，中国在战略层面的确包括：失控，指的是关系中国网络空间安全的数据主权处于失控范围；无序，指的是中国网络空间安全的相关行为处于自发运行的无序状态；失范，指的是中国作为一个国际社会的单一行为主体，其在全球网络空间的行为缺乏单一战略规范的明确指导。

（二）严重缺乏与制定整体性国家网络空间安全战略相匹配的机构规划与设置

中观层次的中国网络空间处于有初步的技术、能力、资源，但缺乏有效整合的尴尬状态，严重缺乏与制定整体性国家网络空间安全战略相匹配的机构规划与设置。互联网是21世纪的治国方略，国家网络安全战略的制定和实施是考验、判断和评价大国基本资格的核心能力。与美国相比，中国的战略制定以及协调能力严重不足。美国的网络空间安全战略，由白宫的总统网络安全事务协调官总体牵头协调，整合国防部、国务院、商务部、国土安全部、司法部等部门的资源和力量，协同制定，兼顾基础设施安全、信息自由流动、电子商务规范等安全、政治、经济领域的诸多内容。目前管理互联网的网信办、工信部、公安部等部门，基本适应网络空间国内维稳的能力需求，但对制定涵盖全球网络空间在内的国家网络安全战略，其能力严重短缺，有待大力整合提升。

（三）微观层次支撑中国网络空间的技术、产业以及教育培训咨询基础严重不足

这方面的不足，中国网络安全发展根基欠扎实，后劲不足。相比其他领域的国家安全问题，网络安全问题的显著特征之一是对现实基础的巨大需求。这里的现实基础，是指支撑网络空间发展的技术、产业以及有针对性的教育、咨询和培训能力。美国实施网络空间监控战略的底气，包括美国网络技术创新能力的压倒性优势、美国互联网跨国公司的垄断性地位以及高度领先和发达的教育、咨询和培训能力。中国已经取得了一定的成绩，比如国产计算机芯片已经用于超级计算机的研发，但是，只能用于通信功能，而不能用于核心的计算功能，因为，西方公司研发的商业软件拒绝兼容中国自主研发的芯片。在1~3年的短期内，中国在技术、产业、教育培训咨询等微观基础能力，可以用法律、制度、政策安排等手段弥补，3~5年的中期，替代性弥补手段的不足就会暴露，5~10年期的长期，技术发展最终将决定国家在网络空间博弈的成败。

三、明确国家网络空间安全与发展顶层设计的远、中、近期目标

中国网络空间安全与发展的顶层设计，应该是制订一条符合中国国家利益需求的发展路线，分远期、中期、近期三个阶段，梯次展开：

（一）短期目标是在政策、法律以及实践层面做出快速的响应和调整

国家网络空间安全和发展获得一个良好的开端，必须在政策、法律以及实践层面做出快速的响应和调整。选择网络入侵检测等关键性的技术领域，用国家资源扶持具有真正创新活力的民营网络安全企业，不是全面铺开而是选择重点突破的打造符合中国国家需要的创新队伍，可以看做是良好的切入点；参照俄罗斯、以色列等国家的经验，选择这些安全关键技术作为突破口和切入点，通过有效的卡位战术，可以实现真正有效的赶超。中国国内各种市场化的民营安全企业已经有此觉悟和资质，理应得到有效的资助；建立并实施国家级别的网络安全演习机制，模拟可能面临的威胁，整合各种资源，寻找有效的防范策略，是短期内可以见到的第二种尝试；对相关的管理措施在短期内做出更加科学和符合技术发展以及民众预期的调整，则可以看作是短期内做的第三种尝试。

（二）中期目标是建设和完善有助于技术发展和能力提升的制度环境

应对中国网络安全与发展所需的制度，进行深刻而有效的改革。中国已经建立了网络安全和信息化工作领导小组，这是推动跨部门协调，改革网络安全与发展政策的基础和前提，但整个改革事关各种重大利益调整，因为网络产业自身的特点，包括日新月异的发展速度及其中所蕴含的巨大经济收益，以往采取的各种临时性政策都可能因为面对巨大利益的诱惑而变成某种长期存在，变革政策就是触动利益，难度可想而知。但中期的监视是必不可少的，因为整个网络安全与发展必须在一个符合网络技术发展客观规律与内在需求的环境下才能真正有效地展开和实现。

（三）远期目标是突破关键技术，实质性提升网络安全能力

远期目标当然是从与网络安全与发展相关的关键技术、基础设施、关键设备等方面，实质性地提升和改善中国的网络安全能力，改善中国在全球网络产业链中所处的地位，实现国家主席习近平所提出的“建设网络强国”目标，将网络安全与发展最终掌握在自己手中，让中国的民众、企业以及整个国家，都从网络安全与发展中获得实质性的收益。同时，必须要保持足够的耐心和恒心，因为这种层面的技术突破，必然不是短期内可以真正实现的。

（来源：中国信息安全）