网络空间安全管理体系篇1
【关键词】美国;网络空间;一体化管理模式
美国凭借巨大的信息技术优势,在网络空间领域确立了世界领先地位。但庞大网络空间发展规模和迅速提升的数字化、软件化、网络化水平,也使美国面临更多网络空间管理与安全保障方面的问题。近年来,美国从管理机构建设、顶层设计、军民协作、国际合作、采办管理、供应链安全管理等方面着手,采取多项措施解决网络空间建设和运行过程中遇到的管理难题,形成独具特色的网络空间一体化管理模式。
1.建立多层面、分工明确的管理机构
目前,美国的网络空间管理体系主要由政府、军队和部际合作机构三个层面组成(如图1所示),它们之间分工明确,形成体系,互相协作,共同保障美国网络空间的快速发展和安全运行。
图1美国网络空间管理机构
1.1政府层面,白宫统一协调,各部门各司其职
白宫设立网络安全协调办公室,在其统一协调下,各部门各司其职,形成政府层面的网络安全管理体系。其中,国防部制定网络整体发展战略和政策,运行和保护国防信息系统和网络;国务院负责与网络安全相关的外交工作;国土安全部作为联邦政府确保网络安全的核心机构,协调全国网络安全告警和关键信息基础设施信息共享;联邦调查局负责美国国内恶意网络活动;中央情报局、国家安全局负责国外网络空间恶意活动;商务部制定与网络安全相关的标准和框架;财务部、司法部也承担了一些辅管理工作。
1.2军队层面,网络司令部抓总,各军种予以配合
美军网络司令部与2009年成立,主要负责规划、协调、集成、同步和指导作战活动,各军种也建立了网络作战指挥机构以支持网络司令部。网络司令部向国防部首席信息官提出作战与信息保障需求,首席信息官据此制定具体政策、流程和标准。
2013年,美国防部对网络司令部进行调整,将其下辖力量划分为网络防护部队、国家任务部队和作战任务部队三类,使其职责更为明确。其中,网络防护部队负责军队的网络安全;国家任务部队负责保护美国电网、金融机构及其他关键基础设施的网络安全;作战任务部队负责为地区作战指挥人员提供网络攻击能力。
1.3部际合作层面,成立跨部门机构,加强协作
美国已形成一个覆盖国土安全、情报、国防、执法四个领域的网络空间事件应急体系,成立了跨部门的计算机应急响应小组、国家电信协调中心、国家网络安全中心、工业控制系统网络应急响应小组、国家响应协调中心、国家基础设施协调中心、国家网络调查联合特遣队等机构,有效加强了部门间协作,提升了处理网络空间紧急事件的能力。
2.从顶层设计指导网络管理工作
2.1构建国家顶层战略政策体系,宏观规划网络力量总体建设
美国进一步提高了网络安全在国家安全中的战略地位,通过制定或修订政策和法律框架,指导政府网络安全管理工作。近年来,美国已密集出台了《网络空间国际战略》、《网络空间可信身份认证国家战略》等战略与政策,基本构建起国家顶层的战略政策体系,从外交、经济、情报、军事和技术等角度宏观规划美国网络空间力量的总体建设。
2.2出台作战顶层指导文件,细化网络作战管理
除制定战略、政策外,美国防部还出台了一系列网络作战顶层文件,指导网络作战管理,细化各机构的权限与职责。《美国网络司令部作战概念》1.0版确定了网络司令部在作战中与各军种和地区司令部之间的指挥协调关系。2012年6月颁布的《参联会网络行动过渡性指挥与控制方案》,将更大的网络攻击与防御权授予各战区作战司令部,在每个战区建立联合网络中心和网络保障单元部队,按照地区作战部队的作战计划和行动来规划和实施相应网络行动,将网络行动与作战行动集成,使作战效果最大化。2013年3月,以美国为首的北约《适用于网络战的国际法――塔林手册》,明确了北约国家发起网络攻击时应遵循的原则,以及抵御网络攻击时可采取的反制措施。
3.以军民协作和国际合作方式加强管理
3.1建立军民协作的网络科学技术研发管理体系
由负责研究与工程的助理国防部长领导的引导委员会及相关工作组织组成网络科技研发管理机构,负责解决共性、基础性问题及跨部门协调工作;国防信息系统局、国防高级研究计划局及各军种科研机构负责管理技术研发;相关信息技术企业、大型防务公司承担军方具体的研发工作,同时美军还加快吸收商用网络空间技术。通过这种模式,美国可以更高效地解决人才、技术、管理和资金方面的矛盾。
3.2利用军民机构协作强化应对网络攻击
美军已与国土安全部、能源部、联邦调查局、中央情报局、国家安全局等机构建立了跨部门协作机制。如果攻击源头经确定在海外,由网络司令部、中央情报局、国家安全局负责;如果攻击源头在国内,则属于联邦调查局、国土安全部的职权范畴。此举可有效提升政府处理网络空间紧急事件的能力,同时减少网络空间管理机构的重复建设。
3.3通过国际合作建立共同应对网络威胁的机制
美国政府非常重视加强与他国管理机构的交流与合作,2010年,美国和欧盟初步达成覆盖军、民领域的网络空间合作战略。2012年,美军和日、韩等国军队加强了在网络空间的合作。2013年,美国与日本政府达成协议,加强两国网络空间管理机构在网络威胁信息共享、国际网络安全政策协调合作、打击关键基础设施网络威胁等领域的合作。
4.探索网络空间装备新型采办管理模式
4.1针对网络空间装备更新换代的特点优化采办程序
《2011财年国防授权法》针对网络空间装备的需求急缓程度、重要性、成本、技术复杂性、使用风险等方面,提出“快速程序”和“审慎程序”两种采办程序,并进行进一步的深化论证,调整采办程序,改革相关的决策管理体制以及繁琐的决策审查过程。2012年底的《海军快速采办与部署信息保证和网络安全能力》,也针对网络空间系统的不同应用提出三种采办程序。
4.2升级渐进式采办策略并加强软件升级管理
针对网络空间装备使用后快速失效、需要不断升级的特点,2011年国防部《国防业务系统采办政策》备忘录,采用渐进式采办模式,将每个采办批次划分为多次能力迭代,每个迭代过程实现部分功能并进行测试评估,以尽早发现设计缺陷与漏洞并及时调整。另外,美军将网络空间的软件升级理解为一种持续的改进,一方面通过软件升级修补现有缺陷,另一方面通过软件版本更新满足新的网络攻击与防御需求。
4.3透明化投标程序吸引更多创新公司
美军正通过建立更加明确的投标程序等途径吸引更多创新公司参与投标,以加强竞争并提高经费使用效率。美空军计划在2014财年支出989万美元用于非保密进攻性网络空间系统的运营保障,5年内推出一个完整的有关网络系统后勤保障的后续合同。为此,美空军将围绕特定的网络空间运营业务,公开进行审查分类,以便于公司投标。
网络空间安全管理体系篇2
关键词:赛博空间;Cybernode;全域安全到达;全域安全控制;全域安全感知
1概述
在新世纪世界新军事变革的影响下,以美国为世界各军事强国日益重视和发展赛博空间(Cyberspace)的背景下。2009年5月,美国总统奥巴马在白宫公开发表“确保国家赛博空间安全”的讲话,宣布赛博空间安全是美国的最高国策,并认为现在是关键的历史转型时刻,美国需要建立全新的、全面的保卫赛博空间的战略。奥巴马的讲话表明了现阶段美国对信息技术的战略谋划,在全世界引起了广泛的关注。实际早在上世纪90年代初美军就提出了赛博(Cyber)战的概念,2005年美空军将其作战任务范围扩展为“空中、空间和赛博空间”,并于2006年11月成立了空军赛博司令部。
赛博空间是一个极度分散的区域,特点是日益增加的全球联接、无所不在和机动性。通过赛博空间,可以以较低成本,迅速对兵力进行部署及远程控制。美国国防部定义赛博空间为作战中“以使用电子和电磁频谱来存储、修改,以及通过网络系统和一体化物理基础设施交换数据为特征的领域”。国家安全不可避免地同赛博空间领域紧密联系,因而冲突不再局限于地理或时间限制。美国国防部认为赛博空间是一个类似于领陆、领海、领空和大气空间一样的全球领域,美国的军队必须可以在这一领域内畅通无阻地展开军事行动,并且有能力制止敌对方有效地利用这种赛博空间能力。
从军事角度看,赛博空间涉及到网络战、信息战、电子战、空间战、指挥控制战、C4iSR等领域,是超越了传统陆、海、空、天四维作战空间的第五维作战空间;从作战和指挥控制的角度看,对赛博空间的有效控制能提高精确交战、态势感知等能力。
2国外研究现状
美国是世界上最早提出赛博空间、赛博作战等概念的国家,也是投入最大、研究体系性最强、成果最多的国家。2000年,美国国防部官员理查德・克拉克就在“网络战争”一书中提出了“数字珍珠港”的概念。美国前国际网络影响部门主任斯格特・伯格认为,大多数国家能顶住持续2~3天的大规模网络攻击。但是,如果部分关键性基础设施被瘫痪达8~10天之久,那么由此造成的社会经济损失足可将一国拖垮。尤其令美国政府担心的是国防部内部的问题。美国防部在全球88个国家和地区的4000多个军事基地内就拥有超过15000个电脑网络。随着计算机网络在军事领域应用的普及,网络系统为武器装备和指挥控制系统的功能和性能提升提供了强大的技术和信息资源,已经成为提升军队作战能力的“倍增器”,最为熟知的是“网络中心战”和“联合作战”。如同制海权、制空权、制天权一样,争夺赛博空间控制权已逐渐演变成为美军维持军事霸权的重要组成部分。美军方重要智库兰德公司也指出,工业时代的战略战是核战争,信息时代的战略战主要是网络战。因此,这种新的作战模式以“意志”臣服对手,可能改变以往以“武力”臣服对手的战争模式。
目前,美国对于赛博空间认识和研究现状如下:
(1)将赛博空间安全作为美国的最高国策。2003年美国政府就提出了“保护赛博空间的国家战略”;2009年5月美国总统办公室正式了有关赛博空间安全的政策评述报告,报告称:来自赛博空间的威胁已经成为美国面临的最严重的经济和军事威胁之一,并且美国21世纪的经济繁荣取决于赛博空间安全。
(2)明确了赛博司令部的使命,并从赛博空间特性角度对美国空军传统的“三大能力”提出了新的要求,包括:①全球警戒:感知、传递;②全球到达:连接、传输;③全球作战:威慑、打击,从而为该司令部尽早实现全面作战能力的要求确定了努力方向。
(3)提出了实现赛博空间作战能力的主要手段:①建立赛博空间:实现全球范围赛博空间作战能力、网络与安全作战的指挥控制以及赛博空间民用设施保障;②利用赛博空间:利用己方的电磁频谱作战,并阻止敌方利用赛博空间,实现赛博空间作战能力与陆、海、空、天作战同步化和一体化;③控制赛博空间:赛博空间防御作战与赛博空间进攻对抗。
(4)组建了赛博空间作战部队和司令部。2009年6月23日,美国国防部正式宣布成立赛博战司令部,以统一协调保障美军赛博安全和开展赛博战等军事行动,应对日益严重的赛博安全威胁。据估计,美军赛博战部队人数大约在8.8万名左右。
(5)研制了赛博战武器装备及Suter系统等。在软攻击方面,美军已经研制出2000多种计算机病毒武器,如“逻辑炸弹”和“陷阱门”等;硬件方面,美国正在研究或已开发能对别国网络的物理载体进行攻击的电磁脉冲弹、次声波武器、动能拦截弹和高功率微波武器等装备和系统,其中包括Suter机载系统,它将传统电子战的“侦察-干扰-物理摧毁”过程改变为“侦察-处理-网络入侵-控制”过程,通过无线注入等方式侵入并操纵敌方网络传感器,使得敌方丧失空战预警能力。
(6)突破了多项关键技术,包括:病毒植入、病毒同化、计算机网络系统嗅探、服务否认、信息篡改、中途窃取和欺骗、嗜食集成电路芯片的微生物,以及破坏电路的微米/纳米机器人等。
(7)进行了多次演习并拟建设赛博空间靶场。美军于2006年和2008年先后举行了两次代号为“CYBeRStoRm”的大规模网络战演习;并从2001年1月起,先后开展了5次Schriever系列作战演习。除美国之外,俄罗斯、英国、德国、印度、韩同等其他国家也积极开展赛博空间或Cyber作战方面的研究和部署。如俄罗斯将Cyber战称为“第六代战争”;英国颁布了首个国家赛博安全战略;德国国防军组建了6000人的赛博战部队;韩国组建赛博战司令部等。
3赛博网络空间的设计难点
3.1赛博空间网络体系构架研究与设计
定义赛博空间网络的总体设计原则,研究和设计赛博空间网络体系构架等都是赛博网络空间的设计难点:
(1)赛博空间的开放网络基础构架设计。
与现有网络不同的是,赛博空间网络是为彼此相连的网络而不是彼此相连的节点提供各种网络服务,例如对于QoS或者媒体传送的支持。这样的观点主要是由于现有的以节点为中心的网络设计思路对于许多应用场景而言是不适用的,例如将个域网或传感器网络与其他网络相连时。在赛博空间网络中将假定通信的一端为某个网络,因此,用“Cybernode”来取代终端节点这一说法。在赛博空间网络当中定义了一组支持功能来满足终端需求。对于终端环境而言,各种功能得到了最大程度的分解,并在控制功能之间建立了端到端的关系。存在的挑战在于,如何提供合适的机制来支持这样的关系。
(2)基于网络合成和自我管理赛博空间网络构架设计。
在赛博空间网络的研究当中将网络的自动合成和自动重新配置作为指导性的设计原则,从而能够将网络合成和自我管理功能作为网络架构的基本逻辑构件。这其中也包括跨越不同实体的网络的合成以及对于基于策略的网络结构的广泛支持。现有的各种网络在提供基本的传输能力(分组转发)方面具有高度的一致性,然而网络的控制功能却分散在多个层面,并且因其所采用的网络技术、通信策略甚至是具体的实现方式的不同而不同。对于赛博空间网络而言,需要对协议层面和信息层面在逻辑上进行分离,而且对于赛博空间网络的各个部分都互相兼容。
(3)赛博空间网络的可扩展性研究
不同的传统网络在内部结构和用户接口上均存在着差异,因而限制了网络结构的可递归性和可扩展性。在赛博空间网络中并不会出现这样的区别,该网络结构的设计原则之一就是可以允许网络之间不必始终保持相连状态,特别是对于诸如个域网在内的小型网络而言,它们常常与具有合成关系的其他网络断开,此时,应确保这些网络仍然能够正常地工作。
3.2赛博空间网络安全防护体系研究与设计
赛博空间安全体系结构面临着安全性、终端设备与无线网络的异构性等系列矛盾,尤其是赛博空间与其他现有网络融合的安全要求,迫切需要对赛博空间安全体系结构进行深入研究和设计,以满足未来赛博空间发展的安全需要。笔者所在的项目组对此的研究分两个方面,一是从赛博空间安全管理的角度,设计一种基于管理的赛博空间安全体系结构。该体系结构是由三层管理体系构成,分别是移动终端安全平台、集成化的赛博空间接入管理平台和赛博空间安全管理平台。该结构从接入点的角度,基于安全中间件的思想,设计赛博空间异构性安全与差异性安全的解决方案;另一方面是从Cybernode的角度设计自适应的终端继承安全认证体系结构方案,并通过软件系统的实现,验证集成安全方案的可行性。
4目前已取得的突破
笔者所在的项目组近十年来一直在从事信息安全、无线传感网构架相关方法与技术研究,在多层次无线传感网构架、软件体系结构、安全管理系统体系等方面开展了大量工作。而依托南京理工大学模式识别与智能系统国家重点学科和无锡特种传感网应用技术研发中心的实验环境,项目组对于赛博空间网络构架、安全体系及关键技术研究等方面开展了研制工作,并取得了以下一些突破。
(1)赛博空间协议模型设计。赛博空间协议模型是设计网络系统的分层次的框架,它使得所有类型的Cybernode可以通信,保证全域感知、全域到达、全域控制能力的实现。
(2)层间的接口和各层组织。定义清楚的接口和层功能使得网络可以模块化。只要一个层向它的上层提供了预期的服务,则这个层的功能的特定实现就能够被修改或替换,而不需要对其他的一些层进行改动。
(3)全域安全感知。赛博空间由通过无线/有限直接接入转向混合多源多跳接入,导致相应的安全需求和安全防护体系结构都要做出相应的变化。本项目从安全需求和安全防护体系的演化两个方面进行讨论,给出赛博空间安全体系的框架设计研究思路。
(4)全域安全到达。赛博空间的异构性和安全性是赛博空间面临的难题,本项目从赛博空间的安全需求出发,提出一个赛博空间抽象层面的安全体系结构,通过安全引擎和移动安全中间件技术,解决移动终端的异构性与安全性的难题,给出赛博空间环境下终端安全的自修复框架。该体系结合风险管理技术,集成多种不同的安全技术和安全层次,实现赛博空间环境下的有效防护,实现安全管理的自动化与智能化。
(5)全域安全控制。目前,赛博空间尚未形成统一的安全技术体制,用户不能自适应地实现各种网络的接入认证,这就导致了网络安全管理配置复杂,使用不方便和重复投资等问题。现有安全技术体制各有其特点和优势,对于所有网络强制实行统一的安全技术体制而不区分服务与应用的解决方案是不现实的。为了有效解决用户自适应接入的各种问题,本项目组从接入端出发,提出一个赛博空间集成安全接入体系结构方案,并对部分关键技术进行分析与原型实现。
参考文献
[1]JoSepHHSCHeRReR,wiLLiam.CGRUnD.aCyberspaceCommandandControlmodel[m].airUniversitypress,2009.
[2]CHaLRSCLUm.CyberspacepolicyReview:assuringatrustedandResilientinformationandCommunicationsinfrastructure[eB/oL].[2010-12-19].aupress.au.a.fmi.l.
[3]KaRmaGaBRieLLe.CyberVisionandCyberForceDevelopment[eB/oL].[2010-10-02].research.au.a.fmi.l.
[4]李敏勇,张建昌.新指挥控制原理[J].情报指挥控制系统与仿真技术,2004,26(1):1-10.
网络空间安全管理体系篇3
军用网络系统由于包含敏感信息和机密技术。容易遭受恶意网络攻击。在这份报告中,兰德公司对美国空军如何通过控制采办/寿期管理提高军事系统全寿期的网络安全进行了分析。报告重点关注了空军能在设计、体系结构、协议和接口上进行掌控的采办系统分系统和相关技术,如武器系统、平台信息技术等,而不是业已成熟的商用网络信息技术。
该报告的主要发现包括:当前网络安全法律和政策的制定主要针对管理商用网络信息系统。无法充分应对保护军用网络的挑战,因此可能对作战产生影响。具体如下:
网络安全存在缺陷的根源在于空军缺乏有效的网络安全控制。
网络安全环境复杂,瞬息万变,难以预测,但当前的网络安全管理政策更适合简单、稳定和可预测的环境,因此导致了网络安全管理的重大缺陷。
现行的网络安全管理不是在军事系统的全寿期中始终保持警惕,而是仅仅依靠采办推动(主要在采购期间)。这导致相关政策不足以全面覆盖网络安全问题。
军事系统网络安全的控制权和责任分散在众多机构中,没有进行有效整合。这导致责任不明确,从而削弱了对网络安全的统一指挥和控制能力。
对网络安全的监控和反馈不完整、缺乏协调,无法有效地进行决策或问责。
针对以上发现,报告提出12条建议,以提高空军军事系统在全寿期的网络安全。具体包括:
制定空军军事系统网络安全目标。
重新明确网络安全风险评估的职责分工,主要针对系统的薄弱环节、面临威胁及其对作战行动的影响,授权有关官员整合和裁决各部门之间的网络安全问题。
为授权官员分配系统资源和投入资金,确保所有系统能在全寿期得到全面监管。
鼓励项目办公室采取更全面的网络安全措施――包括合理的系统安全工程,以增加必要的安全控制。
促进网络安全创新和自适应,在各个具体的项目中分散落实所有涉及系统安全工程方法的新政策。
降低网络安全问题的复杂性,减少相互连接的数量,并尽可能改变以往默认系统连接的传统做法。
设立网络安全专家小组,可以根据需要在全寿期内构建矩阵模型,使小项目和维护人员也可调用大量资源。
以用户为优先导向,评估和解决传统系统中的网络安全问题。
对空军各项目的网络安全状态进行常规、长期的评估,并要求项目经理对其负责。
组建致力于采办/全寿期管理的空军网络安全应急小组。
网络空间安全管理体系篇4
网络空间全球互联网互通,一方面,网络空间作为全球信息通道,无法独立分割,由全球网民共享使用,其有序运行关系所有国家的利益,任何国家或实体都无法独自拥有或支配,另一方面,网络空间是人造空间,由人类依托网络设施开展网络活动并叠加、融合而成的;其存在和运作摆脱不了主权国家的影响,每个行为体、网络设施和网络活动都处在国家的管辖范围内,受到所在国利益取向和价值观的影响。因此,结合网络空间的特殊性,为网络空间构建完善的国际法体系,不仅关系到全球网络空间的和平、安全、稳定和有序运行,涉及国际社会共同利益,而且关系到国家的主权、安全和发展利益,涉及每个国家和公民的合法权益保障。
构建网络空间国际法体系首先要明确网络空间国际法治的基础和规则制定的出发点。网络空间虽是全球治理的新兴领域,但其并非法外之地或体制外的事物,现行国际法基本体系和基本原则、国际关系基本准则,特别是构成战后国际体系法律基础的《联合国宪章》同样适用于网络空间。另一方面,网络空间是新事物,仍受到在不断深刻发展的新技术革命的持续塑造,其发展也不断带来新的法律问题,各国和国际社会有必要基于实际情况和需要制定新的国际规则。只有坚持继承和发展相结合,一般原则和具体情况相结合,才能在构建网络空间的国际法治的道路上行稳致远。
2网络空间国际规则制定的进展
出于构建网络空间国际秩序和规则、维护网络安全的共同需求,在大国推动和国际社会共同努力下,网络空间国际规则制定在近年取得不少进展,网络空间国际法体系的雏形日渐清晰。
2.1现行国际法的适用和国际条约的制定
2013年和2015年联合国信息安全政府专家组的报告中确认国际法、特别是《联合国宪章》适用于网络空间。G20安塔利亚峰会及杭州峰会对此也予以确认。上述专家组的两个报告还具体确认了国家主权、主权平等、禁止使用武力、和平解决国际争端、不干涉内政原则、尊重人权和基本自由等国际法基本原则的可适用性;确认各国对境内网络设施拥有管辖权,对可归责于该国的国际不法行为承担责任。此外,报告还强调了《联合国宪章》的整体适用性,以及各国依据宪章采取措施的固有权利;注意到人道原则、必要性原则、相称原则和区分原则等现有的国际法基本原则。
在国际条约制定方面,目前已有欧洲委员会《布达佩斯网络犯罪公约》(2001年)、上合组织《保障信息安全政府间合作协定》(2009年)、阿拉伯联盟《打击信息技术犯罪公约》(2010年)、中俄《关于在保障国际信息安全领域合作协定》(2015年)等。近年来,中国等新兴国家和不少发展中国家积极推动在联合国制定打击网络犯罪国际公约,但目前为止,网络安全领域尚未形成全球性的公约。
2.2自愿性质的软法规范的制定
这包括在负责任国家行为规范和信任措施建设两个方面。在负责任国家行为规范方面,上述专家组的2015年报告提出11条建议,包括一国不得在知悉的情况下允许本国领土被用于实施国际不法行为、合作应对网络恐怖主义和网络犯罪、保护关键基础设施、维护供应链安全、防止有害信息通讯技术工具的扩散等。中俄等上合组织成员国在2015年1月向联合国大会提交了最新的信息安全国际行为准则(internationalCodeofConductforinformationSecurity)草案并作为联大文件散发,该准则提出了13条网络空间国家行为规范,涵盖国际和平与安全、人权和基本自由、打击网络犯罪和恐怖主义、互联网国际治理、能力建设和信任措施建设等方面,是目前国际社会在该领域最为综合系统的文件。在信任措施方面,上述报告提出了9条具体建议,包括各国之间建立网络安全政策和技术联络点、增强网络安全政策和组织体制透明、加强政策立法等信息交流、开展互联网应急响应交流等;今年年初成立的新一届联合国信息安全政府专家组正在继续讨论如何将上述规则进一步具体化、可操作化和普遍化。此外,欧洲安全合作组织(oSCe)2013年和2016年先后就加强该组织成员国之间的网络安全信任措施建设通过决议,东盟地区论坛(aRF)在2015年外长会上通过《网络安全工作计划》,并在近年来就加强信任措施建设举行了一系列的研讨会。此外,在双边层面,中美、中英、美俄等也就建立网络安全热线和__磋商机制等取得成果。
2.3关于国际法适用于网络空间的塔林手册
2009年开始,北约的研究和培训机构网络防务合作卓越中心组织由20名学者组成的国际专家组编纂《关于网络战国际法适用的塔林手册》(2013年出版),随后又组织撰写包括平时法在内的《塔林手册》2.0版(将于2017年初出版)。虽然该进程不是政府间进程,有关作品本质上属于学术出版物,并无法律约束力,但由于其具有北约的背景,由多国(几乎清一色西方国家)组成编撰专家组,内容涵盖使用武力法、国际人道法、国家责任法、外交法、人权法、海洋法、国际电信法、维和行动法等几乎所有现行的国际法,系国际学界首次对国际法适用网络空间进行系统、全面和深入的论述,引发广泛关注。
3网络空间秩序和规则主导权博弈仍十分激烈
随着网络空间自身的发展及在人类社会中重要性的提升,围绕网络空间国际规则制定的日益深入,主要各方在网络空间秩序和规则的主导权的仍博弈十分激烈,构建有效的网络空间国际法体系仍面临不少挑战。
3.1网络空间治理的根本理念之争。
美国主张网络自由和多利益攸关方平等参与治理,但美国政府一直单边垄断全球互联网域名管理权,该做法被广受诟病。迫于国际社会长期的压力,美国承诺交出互联网域名管理权,但进展一直缓慢,直到斯诺登事件曝光美国大范围监控全球互联网,为扭转不利形象、减少声誉损失,美国政府才加速移交管理权的进程。但美国选择的移交对象不是联合国、国际电信联盟或其他政府间机构,而是全球互联网多利益攸关社群。对此,美国国家电信和信息局辩称,长期以来,美国政府在互联网域名系统管理中的角色一直是让外国政府不满的一个源头,一些国家因此呼吁由联合国、国际电信联盟或新设立一个政府间机构来接管域名系统管理权,如果美国政府不完成这一权力的移交,各国以多边政府运行方式取代多利益攸关模式的呼声只会越来越高。因此,美国将iCann管理权移交全球多利益攸关方社群,实际上是其化危为机,争取互联网治理理念主导权和话语权,增强其网络自由旗帜的号召力和网络领域整体软实力的一个重要举措。
发展中国家则坚持国家主权及主权平等原则,强调政府在网络治理中的主导地位,以及联合国在制订网络空间国际规则上的主渠道作用,要求平等参与网络空间国际治理,分享网络基础资源和发展成果。例如,在2012年底召开的国际电信世界大会上,发展中国家在新修订的《国际电信规则》中纳入国际电信联盟对互联网的监管的相关内容,但美国等西方国家以不符合多利益攸关方治理为由,拒绝在该规则上签字。此外,在今年8月底召开的新一届联合国信息安全政府专家组会议中,一些发展中国家也提出在联合国框架下设立网络安全特别委员会或者国际机构等想法,加强主权国家和联合国在网络国际治理中的作用和地位。
3.2网络空间规则制订的议题着力点之争。
美国、欧盟等发达国家在其网络空间战略中,明确反对制订任何新的有约束力的国际法律文书,将网络空间规则制订的着力点放在:推动对现行国际法在网络空间的适用,并着重关注就使用武力法、国家责任法、武装冲突法、国际人权文书等领域做出对其有利的解释。重点就自身关切的问题制订自愿性的负责任国家行为规范(例如,美国主张将不攻击关键基础设施、反动网络商业窃密、不得妨碍互联网应急响应组织保护网络安全的国际合作、管控境内对他国的恶意网络活动、协助调查源自境内的对他国的恶意网络活动等4-5条规则作为普遍适用的和平时期负责任国家行为规范)、信任措施建设(例如,制定和网络安全战略、建立网络安全和网络外交专门机构、建立网络安全事件国际合作热线等)等软法方面。
发展中国家特别是新兴市场国家将网络空间作为推动全球治理体系变革和建立更加公正合理的国际秩序的新兴领域和重要的突破口,积极参与网络空间规则制订,一方面强调要全面平衡适用现行国际法,另一方面积极寻求根据网络空间的特性和国际社会实际需要,制订新的具有约束力的国际法律文书。在这方面的典型的例子包括中俄等上合组织成员国共同提交联合国大会的信息安全国际行为准则,以及以金砖国家为代表的发展中国家在联合国预防犯罪和刑事司法委员会框架下推进制定网络犯罪国际公约所作的努力。
3.3网络空间规则制定的法律标准之争,以网络犯罪问题最为典型
这集中体现在制订打击网络犯罪国际公约问题上,美欧国家通过设立全球能力建设项目等方式,在全球范围内推广由欧洲委员会2001年制定的地区性打击网络犯罪公约《布达佩斯公约》,试图将其打造为打击网络犯罪全球性法律标准,并反对谈判制定新的全球性打击网络犯罪公约。该公约2001年参与谈判的包括27个欧委会成员国和4个域外国家(美、日、加拿大、南非,但南非近年来明确表示不会批准该公约),15年后,公约缔约国包括41个欧委会成员国和10个域外成员国,增幅十分有限,离全球公约的标准相差甚远。
包括中国在内的多数发展中国家则认为,《布达佩斯公约》系少数国家制定的区域性公约,不具备全球性公约的真正开放性和广泛代表性,不能反映各国特别是发展中国家的普遍关切。例如,该公约内容范围较窄,重点针对涉及计算机硬件和系统的犯罪,对于网络恐怖主义以及其他各种利用互联网实施的传统犯罪等均无涉及;加入该公约需要现有缔约国全部同意,可能增加新成员的入约成本;该公约对网络犯罪调查程序的要求和标准较高,其有关可不经领土所属国同意即可跨境调查取证的规定对国家司法主权构成冲击,这些均难以为发展中国家所普遍接受和实施。所以,中俄等发展中国家推动在联合国框架下制订打击网络犯罪全球性公约,并推动联合国预防犯罪和刑事司法委员会在2010年设立联合国网络犯罪问题政府专家组,研究网络犯罪问题并提出应对建议;专家组于2011年和2013年召开两次会议,主持起草了300多页的《网络犯罪问题综合研究报告(草案)》,涉及网络犯罪在全球的趋势、特点、危害程度、当前国际应对的状况和局限等,并提出包括制定综合性全球法律文书、国际示范条款等应对方案,得到多数国家支持。值得一提的是,金砖五国为推动专家组进程作出了积极努力:在2013年预防犯罪和刑事司法会议上五国联合推出加强打击网络犯罪的国际合作决议草案并最终获会议通过,明确授权专家组继续开展后续工作;2015年联合国预防犯罪和刑事司法大会重申专家组授权;2014年、2015年金砖国家领导人峰会的宣言均强调在联合国框架下制订打击网络犯罪的具有约束力的普遍性法律文书,2016年果阿宣言重申上述方针,并强调要共同努力打击网络犯罪和恐怖活动。
我国在2014-2016年连续为专家组捐款共计50万美元,用于支持专家组秘书处翻译上述报告、筹备召开第三次会议及其他推动专家组尽快完成其授权的工作;我国还推动亚非法协设立网络空间国际法工作组,讨论打击网络犯罪国际合作问题,并资助亚非法协在今年5月联合国预防犯罪和刑事司法会议期间举办网络犯罪边会;此外,我国还通过与主要西方国家的安全或执法合作对话、外交部法律顾问磋商等就推动制订打击网络犯罪国际公约做对方工作。
目前,专家组秘书处正就筹备召开第三次专家组会议开展工作。能否打破目前的僵局,推动专家组召开第三次会议并尽快形成成果,将是联合国制订打击网络犯罪国际公约能否取得突破的关键。
4中国在网络空间国际法领域近期实践
外交部条约法律司作为我国网络国际法领域的主管部门,近年来积极开展网络空间国际法问题实务和调研,包括牵头网络空间全球大会即伦敦进程(theLondonprocess)、中国欧盟网络工作小组、亚洲非洲法律协商组织网络空间国际法工作组、联合国网络犯罪政府专家组等重要平台,同时参与其他部门涉网络外交和法律事务。近期主要开展以下方面的工作:
(1)积极跟踪和深入研究网络空间国际法前沿问题。包括网络空间国家主权、数字时代的隐私权、数据跨境流动国际规则、云时代的数据长臂管辖问题、网络恐怖主义问题、制定网络犯罪国际公约等问题,为总体网络外交及国内相关工作提供法律支持。
(2)推动亚洲非洲法律协商组织建立网络空间国际法工作组。在中国的建议下,亚非法协在2014年德黑兰年会上首次将网络国际法问题纳入议题,并在2015年北京年会上决定成立工作组,重点关注网络空间国家主权、和平解决国际争端、打击网络犯罪国际合作以及其他国际法问题。该工作组在2016年5月在新德里召开了首次会议,第二次会议预计将在2017年上半年举行。工作组为促进亚非国家关注网络空间国际法前沿问题,加强交流与合作,维护共同利益提供了新的重要平台。
网络空间安全管理体系篇5
伴随着这一系列事件和全球信息化进程的推进、新信息技术的应用,以及全球网络犯罪与攻击行为的蔓延,政府、企业和个人都表现出对信息安全的极大关注。各国政府都在加强网络监管,企业在信息安全体系建设上的投资不断增加,加强数据安全和隐私保护并提升it基础设施防御能力成为全球信息安全产品的主流。
目前,全球各个国家将对信息安全建设的重视上升到国家安全军备竞争的高度,促使全球范围内的信息安全产业得以快速发展。信息安全上升到经济安全、社会安全和国家安全层面,美国、欧盟、俄罗斯、日本、中国等持续加强信息安全软硬件和安全服务的投资。全球信息安全产业的竞争已经超越传统产业的范畴,加快信息安全产业发展是国家信息安全保障体系建设工作的一项重要任务,是保证信息化建设健康推进的基本要求。
信息安全投入不断增强
世界上多数国家都将网络空间视为发展重点,高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力,网络空间已经成为领土、领海、领空和太空之外的第五空间。
首先,世界各国都在加快组建网络部队,已经有美国、俄罗斯、以色列、伊朗、韩国等将近46个国家成立了网络部队,并且在逐步扩大网络部队的规模。其次,世界各国不断增加网络武器、网络安全人才等方面的投入。最后,各国不断加强网络演习,以提高网络对抗实战能力。
从资金投入上来看,美国国防部2012年在网络安全和网络技术方面的预算达到34亿美元,主要用于新一代网络武器研发方面,北约C3局(nC3a)于2012年3月份签署了合同价值约5800万欧元的网络防御投资计划,韩国于2012年投入19亿韩元启动“白色黑客”计划以培养网络安全人员。
各国纷纷建立信息安全生态体系
全世界主要国家和地区已经就信息安全着力构建了各自的生态系统,在关键技术、行业标准、评估认证体系方面都有很多切实行动。
总体看来,美国已经建立了较为完善的信息安全保障体系:信息安全技术体系、信息安全法律体系、信息安全防御体系、主管机构管理体系。美国有众多政府部门可以获得信息安全建设的相关资助,受资助单位包括美国国防部高级研究计划局、美国国家安全局、nSF、美国海军等。美国在多个领域拥有关键技术,如防火墙、入侵检测系统、容错网络、公钥密码等。此外,美国拥有一大批技术水平领先的it企业/信息安全厂商,如思科、iBm、mS、mcafee、emC/RSa、赛门铁克、Juniper等。
英国拥有多项国际标准,如英国BS7799标准(国际信息安全管理标准体系)已成为国际标准,并主导iSo/ieC27000(信息安全管理系统标准族)系列标准。英国建立了完善的信息安全评估与认证体系,如由英国贸工部和通信电子安全局建立的UKitSeC体系。CeSC评估机构是拥有独立管理权的信息安全评估中心,它可以帮助网络设备厂商与政府和国家安全机构一起制定相关安全保障措施。此外,英国还拥有健全的信息安全法律保障体系,如《计算机滥用法》《调查权力规范法》《电子通信法案》《电子签名法》等。
欧盟也积极建立信息安全战略体系,希望通过重大信息基础设施保护战略,来应对任何网络攻击和入侵。其战略重点是准备和预防、监测和响应、减灾和灾后恢复、推动国际和欧盟范围内的合作,以及树立iCt部门的标准。在信息安全管理机构体系方面,欧盟成立了欧洲信息安全局,用于收集、分析成员国信息和向欧盟委员会提供分析结果,提供相关咨询和帮助,增强合作,并协助欧盟与工业界对话,跟踪信息安全相关产品和服务标准的发展状况等。此外,欧盟还不断推动信息安全法规体系的完善,通过颁布决议、指令、建议、条例等组成法律框架,目前已经出台了《信息安全框架决议》、《关于打击信息系统犯罪的欧盟委员会框架决议》等法规。
俄罗斯具备全面的联邦信息安全立法体系:以《俄罗斯联邦宪法》为立法依据,以《信息、信息技术和信息保护法》为立法基础,以系列纲领性文件为立法的政策指导和理论依托,以具体的法律规范为立法支撑,以国际合作作为信息安全立法视角。俄罗斯在信息安全建设方面的特点是,信息安全法制观念强,重视纲领性文件的制定,及时修订现行法律,重视加强国际合作。至于信息安全技术体系,俄罗斯在信息安全技术上坚持自主创新、自成体系,强调数学模型与论证发挥自动控制理论的作用,注重芯片和操作系统的研发。其密码服务体系自成系统,保密性强,在金融信息安全方面与加密领域做了大量工作。
日本已经建立了较为完善的信息安全保障体系。其运作模式为:针对计算机网络信息安全管理,专门制订了一套相应的规则,以制订―引入―运用―评价―修正的步骤有序进行。日本强调官民协作,政府不断加强与民间团体、企业研究机关之间的信息交换,以求建立官民紧密协作、联动的合作机制。
韩国则注重建立信息安全防御体系,并取得了一定成果。目前,韩国拥有“三线防御体系”,即国际接口局、互联网服务商、企业,从不同角度探测和防范网络恐怖袭击的机制。韩国还制定了国家网络安全综合计划,目的是开发下一代能动型网络信息保护系统,为信息通信系统提供自动保护。在政企合作方面,韩国政府鼓励政府部门和民间企业对重要信息加密,要求主要it设施具备数据备份功能,并构筑灾难恢复系统。
网络空间安全管理体系篇6
空军网络空间防御作战系统(aCD)。aCD持续监控机密与非机密网络,重点检测和阻止网络攻击,并验证确认攻击来源、途径和影响。aCD由圣安东尼奥-拉克兰联合基地与空军国民警卫队合作开展。
网络安全与控制系统(CSCS)。CSCS持续监控网络活动,鉴别并标识异常活动,做出实时应对。该系统由最初负责加固指挥专用网络,发展为以管理为中心的网络,对登陆和退出空军基地网络的流量进行过滤,阻止可疑网络访问。此外,还运行并管理机密与非机密网络。
空军内联网控制系统(aFinC)。aFinC是空军各基地接入互联网的主界面,是访问空军信息网的入口,是各基地内部通信的网关。该系统整合并替代了各种区域性管理的空军网络,形成了包括纵深防御、主动防御、网络标准化与态势感知四个分支的整体网络系统。
网络空间防御分析系统(CDa)。CDa监控通过非机密系统的空军信息,判断信息是否敏感或机密。该系统的监控包括六个领域:互联网功能,电子邮件往来,非机密电话网络,涵盖手机、地面移动无线电、无线局域网在内的无线通信,以及网络风险评估。该系统向战地指挥官等报告解决方案,开展网络入侵导致的信息损失评估,和对空军非机密网站进行评估。
网络空间安全管理体系篇7
网络安全是整体的而不是割裂的。指出,“网络安全对国家安全牵一发而动全身。”目前,我国网络安全整体态势感知能力还比较薄弱,亟待加强国家关键基础设施建设,实现全社会优势资源整合,依据规则实现信息共享。
网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。网络安全风险是动态的。一是系统漏洞是动态的,信息化基础设施和重要信息系统在不断改进、不断升级、不断扩容,使网络系统漏洞和脆弱性增多;二是产品漏洞是动态的,这些新技术新应用需要大量进口软硬件产品,以及国产化软硬件产品,这些产品中的脆弱性、安全漏洞和产品供应链带来的安全隐患仍然不可忽视;三是管理漏洞是动态的,这些变更的新系统、新产品在管理运维上同样可以出现安全漏洞,新的安全制度、管理规定尚未重新制定,甚至出现复杂系统资产底数不清,给网络安全管理带来潜在隐患;四是威胁手段是动态的,从近年来发生的安全事件看,很多网络攻击长期潜伏,只靠传统安全措施来保障新时期网络高度发展变化的系统,显然是不可能的。
网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。今天的网络安全概念应该立足于在恶劣的网络环境中保证网络安全。因为网络是互联互通的,封闭的网络没有大作为,封闭的网络没有大作用,要建立互联网环境下的安全保障体系。
同时,信息化建设需要国际合作,需要国际技术交流。今天,我们在国产化创新推进中仍然需要国际合作,软硬件产品供应链是全球化的,不可能不开放。供应链是开放的,产品是开放的,人才是开放的,技术是开放的,网络安全也是开放的,要达到如同“密码算法是开放的,密码保护作用是可靠”的效果。
网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。网络安全和信息化是一体之双翼,驱动之双轮,需要平衡驾驭。网络空间随信息化发展进步而延展放大,网络空间随网络安全对抗博弈而健康完善。网络安全在整个信息化建设中就如同一个庞大的免疫系统,免疫系统越完善,信息化建设就会越健康、安全稳定;免疫系统越薄弱,抵抗不住病毒侵害和网络攻击,信息化建设就会越脆弱,甚至会瘫痪停服。
因此,我们要引入“问题导向”理念,引入“风险管理”的理念,对高风险、高威胁采取有效防护措施,对低风险、低威胁采取安全监视的策略,千万不要把大量资金用到不需要加固的地方。用创新技术解决突出、高风险的安全问题;不要总是采用“千人一面”的安全解决方案。
网络空间安全管理体系篇8
1 网络信息安全应急机制的理论基础
1.1 基础 是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。
在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。
1.2 社会连带责任思想 社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。
首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。
其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。
美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。
1.3 权利平衡理念 从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。
为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。
2 网络信息安全应急机制的价值目标
所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。
2.1 安全价值 安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。
安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。
2.2 经济价值 网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。
网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。
2.3 发展价值 发展价值是应对网络安全紧急状态的约束价值,是人们应对紧急状态这种非常态规则的限制思想,是正确认识发展与安全、效率之间关系的理性抉择。首先,根据心理学理论,企业长期处于应急状态,必然会影响发展,所以应急立法应当以“尽快结束紧急状态”为其基本原则,设计制度、建立机制。其次,对应急过程中的行政紧急权力进行必要的限制,以防止行政紧急权力的滥用对重要领域企业的发展造成不利的影响。同时,建立合理的紧急状态启动程序和终止程序,这对于企业健康快速发展也至关重要。第三,对政府在紧急状态下的征用、断开、责令停产停业等措施对公司、企业造成的经济损失,在紧急状态结束后应该给予相应的赔偿,以增加企业对政府的信任度,促进企业经济发展。
网络信息安全应急机制的价值目标是一个由安全价值、经济价值和发展价值构成的有机体系。安全价值是核心,是首要目标,位于第一层次。网络信息安全应急机制中安全价值的地位类似于法律制度中位阶最高的法律价值,它指导和贯穿整个网络信息安全应急的过程。在目标体系中,经济价值是第二价值目标,位于第二层次;发展价值是第三价值目标,位于第三层次。经济目标和发展目标必须服从于安全目标的要求,只能在保障安全的基础上考虑应急的效率性和国民经济的发展。
3 网络信息安全应急机制的法律保障
从网络信息安全应急机制的理论基础出发,为实现网络信息安全应急机制的安全价值目标,笔者认为,法律应从以下几方面进行界定:
3.1 建立适合我国国情的网络信息安全应急管理体系 应急管理体系是网络信息安全应急保障的重要内容。应急管理体系是否合理直接关系到法律实施的效果。根据国务院27号文的总体精神,文章认为,我国网络信息安全应急管理体系应为一元化的两层结构。所谓一元化,是指国家应当建立应急协调机构,统一负责网络信息安全应急管理工作。所谓两层结构是指应当发挥行业和地方政府的优势,加强应急管理。
a.国家应急协调机构及其职责。国家应急协调机构是我国网络信息安全紧急状态应急的最高决策机构[6]。在美国,主要由国土安全部负责开发国家网络空间安全响应系统,对网络攻击进行分析,告警、处理部级重要事故,促进政府系统和私人部门基础设施的持续运行。在我国,国家应急协调机构为信息产业部互联网应急处理协调办公室。国家应急协调机构应当履行以下主要职责:协调制定和贯彻国家信息安全应急法律法规政策;协调国家应急响应基础设施建设;协调国家紧急状态下应急技术的攻关和开发;授权、终止国家和区域性的紧急状态命令。
b.行业应急管理部门及其职责。行业应急管理部门是指根据国家法律和行政规章授予的职权,建立行业内网络应急管理的部门,如军队可以分兵种建立信息安全应急管理体系,国务院可以按照行政职权的不同分别建立网络安全应急管理体系,中共中央和政协系统也可以建立各自应急管理体系。行业应急管理部门依法对管辖的国家关键基础设施的紧急状态进行管理。
行业应急管理部门的主要职责应当包括:贯彻落实国家关于网络信息安全应急的政策和法律;实施行业应急响应基础设施的规划、建设;在行业内部建立应急预警和检测体系,建立预警网络平台,加强与其他行业之间的合作;对行业内重要部门有关危害网络安全的警告;组织协调行业应急响应工作。
c.地方政府应急管理部门及其职责。地方政府应急管理部门负责其辖区内的网络信息安全应急管理工作。在美国,新墨西哥关键基础设施保护委员会(nmciac)就是一个私人-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(fbi)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥关键基础设施的保护。nmciac致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响nmciac成员组织和普通民众的那些因素所采取的各种响应进行研究。
3.2 建立准确、快速的预警检测机制 建立一套快速有效的网络信息安全应急预警、检测和通报机制,成为实际处理突发事件成功的关键。网络信息安全应急的目的就是要预防网络安全紧急事件的发生,或者是将紧急事件的危害降到最低。建立常设的预警机构,及时准确地收集掌握各种情报信息,把握事件发生的规律和动态,才能对事件的性质、范围、严重程度做出准确的判断,最终才能打赢应急这场仗。
美国《网络空间安全国家战略》指出,在网络信息安全应急响应检测预警机制的建设上,将网络告警与信息网从联邦政府网络检测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供了一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调。这种建立统一平台、共享网络告警信息的做法对我国有着非常重要的借鉴价值。
笔者认为,一个完善的预警检测应包括以下几个方面的内容:a.建立一个全国性的能够对重大基础设施攻击发出预警的国家中心,各个部门还应该建立事前收集掌握各种紧急状态信息的检测判定和应急响应的日常机构。同时,建立自己的网络监测平台,连入cncert/cc的监测平台,实现信息共享。b.各级政府、行业应急部门及其社会性的应急部门要制定预防网络安全紧急事件的应急预案,针对不同的计算机信息系统,按照事件发生后的影响程度(时间长短、业务范围、地域范围等因素)制定不同的预案。要对应急预案进行测试和演练,不演练和改进,所有好的预案都等于零。c.建立统一的网络安全紧急事件预防控制体系,及时准确地收集掌握各种深层次、前瞻性的情报信息,及时把握事件发生的规律和动态。d.对预警、检测规定法律责任。
3.3 明确应急过程中的行政紧急权力的限制和法律救济机制 为了应对紧急状态,临时剥夺某些公民、单位的私权益,是各国应急法的普遍实践。行政紧急权力是一种必要的权利,但又是一种最为危险的权利,这些权利一旦滥用,社会就会出现新的混乱。关闭网络、封堵部分网络路由,征用关键通信设施、监控电子通信等等应急措施可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法制的轨道。
a.严格界定紧急状态的定义及其分级。为了防止政府随意宣布进入紧急状态,随意启动行政紧急权力,同时也为了防止政府在紧急状态下的消极不作为,有必要通过法律界定紧急状态的定义。一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态[7]。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。
b.明确宣布进入紧急状态的主体。紧急状态是否形成危险以及危险的程度,不同人会有不同的认识和判断,为了减少紧急状态确认的随意性,增加宣告的权威性和认同感,紧急状态的宣布主体必须是法定的权威机关。
c.对行使行政紧急权力的具体程序进行严格的规定,不但要规定启动行政紧急权的程序,而且还要规定撤销紧急状态的程序,以及发生与公民隐私权冲突情况下的处理程序。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。
d.建立首席信息安全官(cio)制度,确保对私权益的尊重和保护。
e.确定私权保护的最低标准。政府活动的底线就是尊重和保护基本人权,即使是在紧急状态情况下,也不得随意克减基本人权,否则就很容易放纵国家权利机关滥用行政紧急权利。
f.明确规定应急主管机关在紧急状态下的职责和义务,防止渎职和失职现象。为防止在关键时刻出现渎职和失职情况,法律必须明确规定应急主管机关的具体职责,为渎职和失职设定明确的法律后果,并建立有效的责任监督和追究机制。
在隐私权的保护方面,美国信息系统保护国家计划v1.o要求,国家计划中所有的提议要与现有的隐私期望完全一致,要求每年召开一次关于计算机安全、公民自由和公民权利的公-私讨论会,以确保国家计划的执行者始终关注公民的自由。政府检查公民计算机或电子通信的任何举动必须与现有法律如《电子通信隐私法案》相一致。
在紧急状态得到控制后,应急计划的启动者应当终止紧急状态的命令,恢复正常的社会秩序。结束紧急状态意味着被暂时剥夺的私权益将得到恢复。网络紧急状态终止后,国家基础设施运营部门应当向国家应急协调机构、行业和地方应急管理机构提交详细的应急响应报告,行业和地方应急管理部门应当向国家应急协调机构提交应急管理工作的总结报告。对政府在紧急状态下的征用、责令停产停业等措施对公司、企业或个人财产造成损失,在紧急状态结束后应该给予相应的赔偿,对补偿的标准要予以明确的规定。要明确规定受害人获得行政救济和司法救济的途径。
法律救济始终是各部门法律不可欠缺的重要环节。没有救济规定的法律是不完整的法律。如法国《紧急状态法》就规定,凡依法受到紧急处置措施羁束的人,可以要求撤销该措施。韩国《法》也规定,从宣布“非常”时起,司令官掌管区域内的一切行政和司法事务,在“非常”地区,司令官在不得已时,可在“非常地区”破坏或烧毁国民财产,但必须在事后对造成的损失进行适当的赔偿。
3.4 建立应急技术储备的法律保障 网络信息安全应急需要装备先进技术,这已是不争的事实。应急本质是一种信息对抗。控制紧急状态的恶性发展,对抗就是防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。但是依赖进口,将无法摆脱应急受制于人的被动局面,国家必须化大力气,扭转被动局面,关键应急技术的自主研究是我们掌握网络信息安全主动权的根本出路。美国信息系统保护国家计划v1.o规定,在技术的研究、开发和人员的培训方面,由科技政策办公室(ostp)来领导,并与各机构和私营部门合作来进行技术开发。
建立应急技术储备的法律保障首先要明确国家对关键应急技术研究的责任,以及应急响应的经费保障问题;其次,要明确调动民间资本展开应急技术研究的范围,以及国家、社会采购、征用的条件;第三,要明确应急技术市场化的管制方式和控制环节;第四,对必要引进的国外应急产品和服务的范围和控制力度要有明确的法律规定;第五,国家要进行财政预算,对应急技术开发支持;第六,要在一定的限度内加强国际间的应急技术交流与合作。
【参考文献】
1 商继政,傅华.“概念辨析”.四川大学学报(哲学社会科学版),2003;(6)
2 郑尚元.社会法的存在与社会法理论探索.法律科学(西北政法学院学报),2003;(3)
3 江必新.紧急状态与行政法治.中国法学,2004;(2)
4 庞德.通过法律的社会控制.北京:商务印书馆.1984
网络空间安全管理体系篇9
2013年我国信息安全面临更加严峻的挑战。国际信息安全环境日趋复杂,西方各国加强网络战备,并通过安全壁垒打压我国高技术企业。同时,基础网络、重要信息系统、工业控制系统的安全风险日益突出,网络犯罪和新兴技术的安全威胁持续加大。国内外因素交织,我国信息安全发展形势严峻而复杂。
当前,网络空间已经上升为与海、陆、空、太空并列的第五空间,世界各国都高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力。已经有美国、俄罗斯、韩国等近40个国家成立了网络部队,并逐步扩大网络部队的规模。同时,世界各国不断增加网络武器、网络安全人才等方面的投入。
随着中国经济的快速发展,西方各国频繁使用各种手段为中国企业设置贸易壁垒,如技术壁垒和绿色壁垒等,近来一些国家又启动了安全壁垒这种新的贸易保护主义工具。2012年3月份,澳大利亚政府以担心来自中国的网络攻击为由,禁止华为技术有限公司对数十亿澳元的全国宽带网设备项目进行投标。
我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品。据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。
网络安全损失日趋严重,影响程度将进一步加剧。当前,因网络安全问题产生的经济损失大幅提高,造成的危害也明显增大。2012年诺顿网络安全报告显示,在过去的一年中,网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元,每秒就有18位网民遭受网络犯罪的侵害,平均每位受害者蒙受的直接经济损失总额为197美元。
我国信息安全之所以面临严峻挑战,是因为我国信息安全存在诸多问题。
我国信息安全政策法规不够完善。我国信息安全政策扶持力度不够,政府投入不足,且现有投入较为分散,难以形成拳头效应;在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性;我国尚未形成完善的信息安全监督管理制度体系,现有的信息系统等级保护制度在一些行业和领域刚刚起步、重视程度不够,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和关键产品,尚未建立有效的信息安全审查制度;我国信息安全行业监管规范还不够完善,而且目前的一些监管方式并不符合wto规则,容易在国际上引起争议。
我国信息安全体制机制存在缺陷。我国缺少一个国家统一领导下的信息安全最高决策机构。虽然国家设立了网络与信息安全协调小组,但事实上该小组的统筹协调能力较弱。信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。我国信息安全领域存在多头管理现象,相关职能部门涉及公安部、保密局、密码办、工业和信息化部等,部门之间职责界定不清晰,管理权限存在交叉。我国信息安全支撑机构管理混乱,难以形成合力,对于重大信息安全问题、核心信息安全技术的研究工作持续性不够,无法完成我国信息安全保障工作的要求。
国家信息安全防御力量建设有待加强。我国部级投入相对较少,相关企业转型也比较慢,大都没有进入到信息安全领域。大规模网络对抗能力不足。我国目前在网络空间的战略部署还很薄弱,没有建立有建制的网络部队,在信息安全人才招募和网络武器研发方面也远远落后西方国家。
信息安全技术产业支撑能力较弱。我国信息安全相关技术研发能力不足。涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。
针对上述各种问题,国家应该尽快做出相应调整,扭转当前信息安全不利的局面。
加快完善我国信息安全政策法规建设。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务;建立完善的信息安全监督管理制度体系,进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。
加强我国信息安全保障体制机制建设。进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力,加强信息安全工作体制机制建设,建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制;逐步对各部委信息安全职能单位进行调整,打破现在各部门“分工负责、各司其职”的条块方式;成立部级的信息安全支撑机构,整合各方信息安全支撑机构,打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队,形成对信息安全领域重大问题、关键技术的持续研究能力,提高我国信息安全产业的核心竞争力。
网络空间安全管理体系篇10
共生的价值观――全球互联网治理的逻辑起点
任何治理体系的建立,价值观是根本。人类从原始社会走到今天,经历了许多划时代的革命,每一个时代都会形成与之相适应的观念和文化。迄今为止,我们沿用的依然是弱肉强食、零和博弈的丛林法则。但丛林法则产生的基础是物质极度匮乏下的利益争夺,这是典型的实体空间思维模式。网络时代则不同,网络空间资源可以再生,数据可以复用,信息可以共享。自然界中的石油越用越少,而大数据作为网络空间的“新石油”却越用越增值。这种可复制、可增值的资本催生了新的生产关系和生产方式。人们可以共同拥有生产资料,人类正逐渐形成“你中有我”、“我中有你”的共生关系。未来,决定人类生存的基础,不能再是“你死我活”的pK模式,而是非零和博弈的分享模式。这将改变甚至颠覆人类社会原始的竞争逻辑和处世之道,激发超越实体空间的新文明的觉醒,即构建以“共生”、“共赢”为核心的人类命运共同体。
为此,丛林法则应该让渡于休戚与共;画地为牢应该让渡于开放共享;惟我独尊应该让渡于共生共荣;以意识形态划线应该让渡于尊重差异、包容多样。尽管这些提法离当下的共识还相距甚远,但它毕竟是21世纪人类应当看到的愿景和奋斗的目标,也是当下全球互联网治理必须确立的基本共识和逻辑起点。
共同的安全观――全球互联网治理的基本规约
基本规约是确保治理体系有效运转的关键。经过半个世纪的打造,互联网不仅进入了全球高速发展期,也进入了安全威胁的上升期。在网络空间规则还未确立,共识尚未形成的情况下,采用什么样的方式应对安全威胁,成为互联网治理亟待解决的问题。
而一些传统强国往往沿用实体空间思维定势,习惯套用“动网”即“动武”的行为准则,追求一种绝对的安全。这不但解决不了网络空间面临的问题,而且会带来诸多麻烦。网络空间行为体多种多样,鱼龙混杂;数字化的东西容易伪造,溯源取证困难重重;用于实体空间的武装冲突法的很多规则难以在网络空间适用。这使得网络空间的战争与和平难以界定,军用目标和民用目标很难区分,“中立”概念的适用存在诸多问题。简单化地降低打击门槛不仅会让中立国或无辜者蒙受灾难,还会给整个世界带来犹如“多米诺骨牌”般的负面效应。当年,美国打伊拉克的理由是其存在大规模杀伤性武器,结果动用了几十万军队,直到退兵为止,也没发现一件证据,只能不了了之。但那次动武的恶果却在不断发酵,我们看到的是今天伊斯兰国家对美国仇恨的加剧,以及恐怖主义在全球的泛滥。目前,iSiS欲借加密软件构建“网络伊斯兰帝国”,招募黑客打造网络圣战队伍,计划对美、西方发动大规模黑客攻击。
新空间的复杂特性、归因溯源问题的难以解决一再警示人们,草率诉诸武力不仅伤人,也会伤己;任性地发起攻击,在给别人造成灾难的同时,自己一定会付出代价。一味谋求一方的绝对安全只能给自己,甚至整个世界带来更大的不安全。靠武力、零和来应对安全挑战的时代己经过去,取而代之的是沟通协商的和平方式。而根据《联合国》,任何国家没有权利对他国进行武力侵犯,也不支持由单一或少数国家单方制定的动武规则。因此,面对日益猖獗的网络犯罪、不断泛滥的网络恐怖主义等网络威胁,摒弃动辄使用武力的解决方式,将联合国作为规约制定和危机管控的主要平台,进行对话沟通是解决问题的上策;在此基础上,制定诸如“君子动口不动手,吵架总比打架强”的君子协定,这应该成为构建网络空间新秩序框架中的基础规约。
共商的治理观――全球互联网治理的主导模式
治理模式解决的是治理主体的问题,是治理制度落实的组织保障。在网络空间,采用何种治理模式是多方利益博弈的结果,这里既有大国关系的角逐,又有东西方文化的对冲,还需兼顾发达国家和发展中国家的利益平衡。长期以来,国际社会在互联网治理过程中,始终面临两个重要而又基础性问题:一是在互联网参与主体多元化、社会扁平化的情况下,如何充分发挥多利益攸关方(多方模式)的作用?二是在网络威胁不断蔓延,跨国犯罪层出不穷,数字鸿沟不断拉大等全球性问题日益凸显的情况下,如何发挥各国政府和联合国(多边模式)的主导作用?
从网络空间体系构成看,其由基础层、应用层、核心层组成。物理层包含的是基础设施。在这一层追求的是标准化、全球一网、互联互通。应用层包含了互联网平台在现实中的广泛运用,涉及科技、贸易、文化、社会、生活等人类活动。在这一层实现多边和多方共治,实现自由和秩序平衡。核心层包含政权、法律、政治安全和意识形态,涉及执政根基,是一个国家的核心利益。这一层重在体现政府的主导作用,即每个国家对境内的信息基础设施和承载的信息拥有天然的管辖权。可以看出,“多边”和“多方”分别在网络空间的不同层面发挥着不同的主导作用,他们之间是互补的共存关系。我们提出发挥政府在“多方治理”中的作用,并不是反对多方治理模式,而是防止以“多方”排斥“多边”在关键时候的主导作用;反对打着“多方”旗号,以事实上的“单边治理”,取代“多边共治”的做法。2016年,在浙江杭州召开的G20峰会通过了《数字经济发展与合作倡议》,强调政府、私营部门、民间社会、技术团体和国际组织等应积极参与互联网治理,在不同层面发挥不同的主导作用。
而当前,有关网络空间国际治理的“多边”和“多方”磋商、对话机制很多,如何整合这些机制已成为推动网络空间治理发展的重要问题。联合国是当今世界最具代表性和权威性的国际组织,是能够有效整合各方力量的主要平台。因此,要建立在合框架下,“多边”与“多方”互补而不是互斥的新的治理机制。2015年7月,联合国信息安全政府专家组(UnGGe),正式提交了《关于从国际安全角度看信息和电信领域的发展专家组报告》,确认了包括网络原则在内的《联合国》确立的国际法基本准则适用于网络空间。2016年,上合组织元首理事会会议发表《塔什干宣言》,支持在联合国框架内制定网络空间负责任国家行为的普遍规范、原则和准则。
共赢的发展观――全球互联网治理的重要前提
互联网是美国为人类创造的新大陆或称地球村,这个贡献无与伦比。但是由于事物的两重性,互联网在普惠人类的同时,也把更新的危机模式和更高的危机概率带给人类。如何让网络世界不仅实现互联互通,而且达到共享共治?不是单极发展,而是共同发展;不是一家安全,而是共同安全。显然,作为互联网的发明者,同样具有无与伦比的历史责任。这个问题之所以关键,是因为当前网络世界掌控资源、主导规则、最具技术优势的还是美国这样的网络强国,解铃还需系铃人。可以说,网络安全体系的钥匙都在美国手里。如果美国不首先提供安全保障,居于高度恐慌中的其他国家,很难再做出更多选择与让步;如果美国不首先释放安全信任,分享技术成果,也很难结成打击黑客和网络恐怖主义的国际联盟。如果没有安全的保障和信任,人类在网络空间的共同发展只能是“纸上谈兵”。
目前,“球”在强国手里,传好了,网络空间将加快良性发展的步伐,人类将共同收获网络发展的“红利”;传不好,网络将迟滞各国的发展,人类也将面临前所未有的严峻挑战。作为网络强国的自信不应只来自“能够绝对打赢网络战争”,更应来自“对他国有效释放安全保证、对自己进行能力约束”。要摒弃任何形式的霸权思维和单赢思维。做到强大不任性、先进不凌人;要充分尊重世界各国的网络,主动填平与发展中国家的数字鸿沟,积极让渡全球共享的网络资源和管理;要克制用不对称手段谋取短期利益的冲动。运用相互尊重、包容互鉴、照顾各方舒适度的平等方式,_启网络空间新秩序。