摘要

为了应对日益严峻的网络威胁,日本在网络安全领域开展了的官民合作建设。但目前我国从官民合作角度探析日本网络安全建设的研究很少。通过对日本政策文件、调查报告、现行举措的收集和整理,分析日本网络安全官民合作建设的顶层构想,归纳了日本政府和民间团体分工合作的主要做法,并揭示了日本网络安全官民合作的一系列特点。在多年的网络安全建设中,日本的治理体系上,通过层化分权的形式“政府抓总,民间配合”的合作模式;在建设方法上,既注重放眼全局,又强调重点突出;同时,在官民信息共享上,呈现出以点带面、联动共享的态

当前,网络技术的兴起极大地改变了人类生产生 活方式,随之而来的网络威胁和风险也日益凸显、不断 加剧,成为世界各国面临的重大挑战。由于网络安全 具有非传统安全的特征⑴,其已不是政府能够单独应 对的领域。在预防和发现网络安全威胁、及时采取措 施应对网络安全事件等方面,企业具备政府无法拥有 的天然优势,因而官民合作、军民融合成为了各国网络 安全建设的共同选择。日本作为较早在网络安全领域 推行官民合作的国家之一,至今已形成了一套较为成 熟的日本模式,取得了一定的成效。

1、日本网络安全官民合作的背景

1.1 官民合作的外在推力

客观上,网络空间的特 殊性质决定了网络安全领域需要官民合作。就网络本 身的属性而言,网络的运行架构特殊,使得政府无法对 其进行有效管控,面对网络空间的分散性、虚拟化等特 点,政府的管理能力存在明显局限。同时,网络的物理 载体—大部分重要基础设施的设计、建立、维护、运 营乃至服务的供应是由个人行为体或私营企业所掌 控。统计数据显示截至2015年,日本90%的信息通信技术资产归行业所有。因此,政府如果需要调动 网络资源,就必须跟基础设施运营商等行业机构达成 一致。

此外,官民合作是应对网络威胁分散化、多样化的现实需求。伴随网络空间与实体空间向高度融合空间发展,网络攻击也呈现出新特点。截至2017年,全球网络空间攻击对象都在不断扩散。根据日本总务省资 料显示,日本国内网络攻击的对象也从最初的个体用 户向社会各个重要领域的团体扩散,近年来开始瞄准私营企业、社会重要基础设施、金融部门、加密货币市 场和供应链等领域。

针对重要基础设施的网络攻击在 2011-2013年内就翻了三番。 2017年,日本国内又接连爆出日立制作所、东日本铁路公司先后受到勒索 病毒Wanna Ciyptor的感染,从事外汇保证金交易的金融行业遭受了 DDos攻击等事件,造成了重大不良影响。可以看出,网络攻击投射范围已经远远超出了网络空间自身范围,在不断地向社会、金融、国防等领域渗透,严重危害日本社会安全。因此,日本政府必须加强同这些重要领域的沟通与协调,共创网络安全。

1.2 官民合作的内生动力

主观上,日本政府与民间企业对于利用网络空间实现安全和发展的共同追求推动了合作的开展。伴随国民经济信息化不断发展,网络经济、数字经济的规模正在迅速壮大。早在2011 年,日本的网络经济总量就达到了 23兆日元,占国内 生产总值(GDP)的4.3%,已经超过了汽车制造业这 一日本传统产业的产值。2011年至2013年,在日本 GDP维持较低增长率(1.8% )的情况下,网络产业的 增长率却达到了 7%⑷。

这些数据清楚地证明网络经 济在日本经济中占有举足轻重的地位。日本政府看见 了网络经济的巨大潜力,将其视为推动本国经济发展 的重要手段。与此同时,从民间角度来看,企业这一庞 大的网络用户也希望利用网络创造更多财富。网络空 间为顾客和供应商之间提供了实时信息交流的平台, 对企业的业务发展具有重要的意义。

在数字经济占主 导地位的将来,网络安全一旦受损,会直接影响企业的 业务连续性、商业信用,企业赖以进行数字创新的基础 也难以为继。因此,日本政府与民间在实现发展上达 到契合,成为官民合作的内生动力。

1.3 官民合作的可行性

日本政府为官民合作提供了良好的现实土壤。上世纪90年代以来,“产学官民合作”成为日本产业政策的关键词,一直延续至今。

目前,日本正从高速成长社会向成熟社会过渡,正面临人口逐年递减、老龄化少子化和经济发展停滞等经济社会问题。2014年修订的《日本再兴战略》中明确指 出“为促进日本经济可持续发展,要最大限度的发挥 日本民企力量,将民间活力注入到公共事务建设中 去”。

发展至今,官民合作已经成为日本为减轻财政 负担,提高效率的常规行政手段之一,并在法律政策、 管理体系、合作路径建设上形成了一套规律性做法,为 网络安全官民合作建立了良好的基础环境。

2、日本网络安全官民合作的顶层构想

近年来,日本根据网络空间主体多元化的特点和本国产学官界的实际情况,完善安全领域的战略方针、 法律规定、领导机制等层面的顶层设计,从而引领、规 范和推动官民合作。

2.1 官民合作的战略方针

在数十年的实践与发 展中,日毎政府对网络安全官民合作的认识与战略构 .想,先启堂历了起步期、转换期两个阶段,目前正处于强化期。

日本规划网络安全官民合作的起步期(2001- 2006)。该阶段日本在网络领域的建设重点是打造信 息社会,并在信息安全领域初步提出开展官民合作。2001年1月,日本政府出台了《e-japan I》战略,提出要加快打造“高度信息化社会”。

同时日本根据信息 社会建设的特殊性,预判仅凭政府的能力无法完成信 息安全建设全过程,因此亟需改变“政府一元化”的管理模式,最大化地发挥民间力量。随后,日本政府在 2003年出台的<e-japan U》战略中,确立“民间主导、政府支援”的信息社会建设方针,要在信息基础设 施建设、信息技术开发、IT人才培养等重要领域充分发挥市场机制的作用,同时将政府定位为对民间进行支援的角色,将其职能限定在把握建设方向、改革市场竟争等方面,以此激发民间积极性。

2003年,日本经 济产业省出台了首份以“信息安全”为名的国家战 略——信息安全综合战略》,该战略为实现《e-japan重点计划2003》中“确保高度通信网络安全性和可靠性”的目标提供了具体化对策⑹,同时提出构建“事故前提社会”。“事故前提社会”是指“有效预防事故发生,最大限度降低事故危害程度,确保系统恢复力的社 会。”

《信息安全综合故略》提出要在构建“事故前提社会”上区分“完全的政府施策领域”以及“官民合作”领域,由此开始了日本对信息安全领域官民合作的规划。整体而言,这一时期日本政府对信息安全还未足够重 视,《信息安全综合战略》虽有“安全”之名,但本质上仍是对《e-japan H》战略的延续,其发展重点依然在建 设信息社会上。因此日本该时期在信息安全建设中的 固有思维未得以转换,依旧沿用了信息社会建设中 “民间主导、政府支援”的方针。

日本网络安全官民合作的转换期(2006 -2014) 。“转换”是指建设方针从“民主导”逐渐转换为“官主导” ,政府角色从“参与者”转换为“领导者”。伴随着高度信息化社会的建设完成,日本政府意识到信息安 全对于信息社会发展的重要意义,将战略重点从信息社会建设转到信息安全建设上来,提出要在信息安全建设中建立新型官民合作模式。

20062月,日本政府在《第一次信息安全基本计划》中正式提出“新型官 民合作模式”构想。

首先,要在政府与民间各主体间 建立合理分工的新协作体制,并且确立官民合作的基 础框架。纵向上,将政府、重要基础设施、企业、个人明 确为信息安全对策实施主体,将政府、教育机构、相关IT企业以及新闻媒体确立为信息安金对策支援主体;横向上,将技术开发、人才培养,国际合作和打击网络犯罪这四个方面确立为信息安全基盘,明确了各主体 相互间的合作关系。

其次,强化政府应对能力,调整政 府在信息安全中的职能与定位,其中包裁若级rr战箫本部下的信息安全政策制定机构与内阁官房下的信息安全政策执行机构,提升政府的政策执行效率与力度;打破中央各省厅间相互独立、“各管一摊”的信息安全体制,向各部门间“一摊共管”的协同模式转换。

至此,《第一次信息安全基本计划》将政府职权从最初的 “确保自身信息安全”扩展到“对官民政策进行综合地 立案调整,推进形成跨越官民界限的、统一的信息安全 对策”,将政府角色从网络安全行动的“参与者”转变为“领导者”。

整体而言,这一时期日本开始真正意识 到网络安全的重要性,不断强化政府在信息安全中的 职能与权威,将“民主导”的官民合作方针变更为“官主导”的新方针。

日本网络安全官民合作的强化期2014年至今)。近年来,各国政府愈发重视网络空间建设,纷纷在网络安全领域开展了政企合作、军民融合。日本为适应当前网络安全建设的发展趋势,在该阶段提出要加强官民合作的制度化建设与体系化建设。

在制度化建设上,日本政府将官民合作确立为网络安全战略推进的基本原则,2015版《网络安全战略》中明确指出,“网络空间是由国家、地方政府、重要基础设施运营商、网络相关企业以及其他企业、教育研究机构以及个人等各级各类主体的活动构成的多维世界。为此,各主体都应履行各自责任与义务,加强统筹合作”。

随后,2018版《网络安全战略》又将官民合作明确为网络安全建设的路径以及跨领域措施,强调了官民合作对网 络安全建设的全局性作用。日本政府在2018年提出了“网络安全生态系统”建设构想,希望在网络信息安全生态链上实现官民等主体与人才、资金、信息以及技术这些客体资源的有效共享,开启了官民合作的体系化建设之路。

2.2官民合作的法律规定

在对网络安全官民合作进行相关战略规划的同时,日本也在不断推进网络安全相关法制建设,通过立法方式规定官民在网络安全中的职责与义务,为战略落实提供法律保障。

2000 年日本岀台了《IT基本法》,明确要通过官民合作的方式建设高度信息通信网络社会,将信息技术领域“民主导”的原则以法律形式加以规范,明晰了在信息国 家建设中官民的职责分工。

2014年,日本出台《网络安全基本法》旨在加强日本政府与民间在网络安全领域的协调和运用,主要内容如下:

一是规定了国家、地 方政府、重要基础设施运营商、网络相关企业、教育研 究机构以及国民个人在网络安全中的责任;

二是明确 了各主体在网络安全人才培养、技术研发等方面的合 作义务;

三是将“多主体合作”作为一条重要事项进行 规定和阚释⑻。

2017年,日本出台《官民数据活用推 进基本法》、《开放数据基本指针》,对官民之间的数据 提供、利用、互换、公开做出了明确规定。

从上述立法可以看出,相较于行政政策的更新与 完善,日本政府对网络安全官民合作的法制建设进展 较为缓慢,且以综合性法律为主,目前只是完成了从无 到有的转变。

对参与网络安全建设各主体的职责分工 与合作关系的义务性要求较为笼统,对各领域的具体 规定体现不多,对于其法律能够发挥的实际作用还有 待考量,法制建设整体上还处于初起阶段。

2.3 官民合作的领导机制

2005年日本出台了《第一次信息安全基本计划》,提岀建立政府与民间各主体合理分工的新协作体制。为推进这一体制建设, 日本政府2005年在ET战略本部下成立了“信息安全 政策会议”,同时将内阁官房信息安全对策推进室升 级为内阁官房信息安全中心NISC),负责统筹官民统一、跨领域的信息安全政策,推进网络安全官民行动。

信息安全政策会议下设“官民合作分科会”,主要负责网络安全战略有关官民合作政策规划的会议。“官民合作分科会”主要致力于完成以下四个方面的任务:政府应采取的对策,特别是完善在政府采购过程中对供应商的信息安全要求;政企联络与合作方式;政府对 产业界的支援与信息提供方式;企业安全意识的普及 与安全企业体制建设⑼。该会议的重点任务是推进日 本各领域信息共享机制建设,会议设置期间的最大贡 献就是规划了官民之间信息沟通桥梁的整体框架。

日本政府在2012年进行了内阁机构与职能改革, “官民合作分科会”被废止,其职能被分散至其它相关机构之中。2014年《网络安全基本法》颁布,将“信息安全政策会议”升格为“网络安全战略本部”,并且 从IT战略本部独立出来,内阁官房信息安全中心 (NISC)作为“网络安全战略本部”的事务局升格为 “内阁网络安全中心”。

负责推进官民统一,跨领域息安全措施。网络安全战略本部属于官民共同组成的政治共同体,政策共同体,下设多个分科会,会议成员多由政府、IT 产业界、学界的各方代表组成。

重要基础设施专门调 查会、研究开发战略专门调査会、普及启发人才培养专 门调查会等分科会也是采取官民共同政策体的形式直 接负责相关领域的官民合作政策规划。从官民合作分 科会的废止与各分科会的新设可以看出从日本的官民 合作的机构建设已经从最初的信息共享扩展到网络安 全的全面建设之中,成为日本推进网络安全建设的基 本途径。

3、日本网络安全官民合作的基本做法

目前,日本主要在网络安全系统共建、网 络安全信息共享以及网络安全资源互育共用这三个方面开展了官民合作。

3.1 网络安全系统共建

日本90%信息通讯技术(ICT)都掌握在产业界手中,政府部门只占6%,而且绝大多数网络基础设施的设计、建立、维护、运营乃至服务的供应是由个人行为体或私营企业所掌控。鉴于此,日本政府一直非常注重发挥私营企业在维护 网络安全中的积极作用,在产业网络安全建设上采取政企共同投入,以及在自卫队网络安全系统建设上采用任务外包的方式。

3.1.1 政企共同投入

在产业网络安全建设上, 日本政府同产业界之间开启了“自助”与“公助”模 式,共同对产业网络安全建设进行投资。

具体而言,首 先企业要进行“自助”,即企业自主进行网络安全投资。目前企业自主投资重点主要包括,企业内部的网 络安全人才、技术与体制建设;网络安全保险;对子公 司和客户进行的网络安全支援对策;ISAC、网络安全协议会等机构的建设。

在企业“自助”的基础上,日本政府考虑到企业运营负担重,因此也提供一系列财政支持,即“公助”。“公助”主要分为两种:

第一种是国家预算支持。近年来,产业网络安全建设一直是日本政府经费拨款的重 点。纵观经济产业省2015年至2019年的网络安全预算(表1),日本政府对产业网络安全的预算投资较为平稳,并逐步确定投资重点,主要包括如下四个方面:网络安全经济基础建设、产业系统网络安全建设、 网络安全人才培育和技术研发、IT产品的评估与认证。

第二种是辅助以各种灵活的财政政策,以“暗补” 的形式补贴网络安全经费。一方面,推动网络安全减 税政策。例如从2018年起,日本政府启动了“1OT投资减税”的税制改革,旨在通过扣除公司税来促进企业对物联网的投资。另一方面,以补助金的形式将经费划拨给网络安全相关企业及研究机构使用。目前日本已经建立起网络安全对策措施补助金制度,专门用于帮助实力有限的中小企业增强本企业的网络安全力量。

表1 日本2015-2019经济产业省网络安全预算

单位:亿日元

3.1.2 防卫任务外包

由于受到“和平宪法”的限制,日本在防卫力量建设上一直采用寓军于民的发展模式。2014年日本防卫省组建了“网络防卫队”,负责日本网络安全保障。之后防卫省同防卫产业之间也建立起网络安全合作伙伴关系,2018年5月,防卫省明确表示,将在接下来的防卫力量建设中,将部分网络防御任务委托给民间企业。

自卫队网络故的任务外包目前主要有两项内容:

一方面,网络作战人员的平战结合。防卫省将于2019年内对网络防卫队的编制人员从110人扩充至 150人左右I。考虑到人才培养耗费大、见效慢,为确 保完成人才短时间内的大幅扩充,日本自卫队考虑直 接从民间企业导入人才。

其一,日本防卫省打算从 2019年开始以任期制形式聘用民间网络安全专家(即 白帽黑客)进入网络防卫队,任期5年。其二,自卫队 还在网络安全人才建设上引入了“预备自卫官制度” (予備自衛官等制度)来构筑军地人才桥梁。“预备自 卫官”平时在地方企业供职,但是需要接受自卫官所 必须的培训,等到网络攻击发生时,可迅速进入防卫体 系加入作战。

另一方面,网络军民两用技术研发的任务外包。日本防卫省从2015年开始创设了安全保障技术研究推进制度,开启了军民两用技术研发的新阶段。日本认为发展军民两用技术能够减少国家投资的风险,降低武器装备的成本,并且有利于军工企业的稳定发展。

因此,日本防卫省正在对防卫领域大数据应用、网络攻 击人工智能分析、网络防卫队的反击能力建设、移动单 元无线通信网络性能改善、防御网络攻击的创新性手 段、网络病毒研发等领域展开重点研究。

而其技术研 发一般釆取委托给民间企业的形式,主要流程为防卫 省设定研究主题、进行招标、选择最佳机构、签订契约 正式将该项目委托给民间研究机构。其安全保障技术 研究推进制度如图1所示。

3.2 网络安全信息共享

网络安全的防御特点决定网络安全对信息共享有着极高的要求。归根结底, 安全性决策依赖于优质的信息信息是预防、监测 和应对网络事件的关键。但是面对市场竞争,不同企业之间存在商业秘密,并且各企业也有责任为其所服务的用户保护个人数据安全,因此一般的IT企业自发趋向于不进行信息合作。通过建立信息共享机制,有 助于对违反机制的行为起到一定的遏制作用,同时开展安全演习增强信息共享的实战能力。

图1 日本安全保障技术研究推进制度流程示意图

3.2.1 建立信息共享机制

目前日本在网络安全的重要领域,如打击网络犯罪、防卫产业保护、重要基础设施保护等方面都积极构建起相应的信息共享机制。其中目前级别最高的是2019年新设的网络安全协议会。该协议会是目前网络安全领域内所建立的打破之前传统框架限制的新型信息共享系统。

该协议会由内阁网络安全中心(NISC)主导,吸纳了政府、重要基础设施运营商、相关rr企业、教育研究机构、专家等社会各界人士,是日本网络安全领域内,可以将网络安 全对策信息迅速、战略性地在社会整体范围共享的跨 域信息共享机制。除此以外,日本在各个重要领域都 建立起了信息共享机制,如表2所示:

表2 日本主要网络安全信息共享机制

以上7个信息共享机制为日本网络安全领域最主要的信息共享机制。每个共享机制都有各自的中心任务,譬如CISTA的任务就是负责工业控制领域网络攻击预警J-CSIP的中心任务是防御针对性网络攻击。结构上,每个信息共享机制都有一个中心机构和若干会员机构。中心机构与每个会员机构之间建立联系, 它作为信息的中转站接收各个会员机构提供的各种信 息,再将预警信息与解决对策迅速同会员机构进行共享以网络防御委员会cdc为例,其信息共享流程意图如图2所示:

图2 网络防御委员会信息共享机制

3.2.2 开展网络安全演习

网络安全演习在信息共享中扮演着重要角色。为增强重要基础设施网络安全部门紧急事态响应能力,提高危机应对能力,日本政府每年会组织各种网络安全演习。从2006年起,日本政府由内阁官房牵头,联合日本国内重要基础设施 的主管省厅、运营商、从业机构等单位,组织日本重要 基础设施跨域演习。

在现行《重要基础设施信息安全对策行动计划》下,网络安全演习的主体由内阁网络安全中心、重要基础设施管辖省厅、重要基础设施运营商、以及IPA和 JPCERT/CC这两个法人机构组成。演习一般会预设一个突发事件,重要基础设施各行业间针对这一突发事件共同展开对策,最终要达到恢复重要基础设施正常运行的目标。

该演习主要是考察各重要基础设施间的信息共享能力,以及重要基础设施同相关省厅、 NISC、与IPA和JECPRT/CC之间的情报传递与应急处理能力。实战演练一般在专门实验室举行,主要是 针对某突发事件进行各参与方之间情报共享与合作的 训练,其示意图如图3所示:

图3 日本直要基础设施跨域演习示意图

网络安全演习可以对信息共享机制的运行状况进 行实证检验。演习框架基本依据信息共享体制而定, 因此在演习中出现的问题可以侧面暴露和反映现行信 息共享体制实际运行中存在的问题与漏洞,为事后体 制机制的完善与修订提供检验途径。

除此之外,NISC主导的信息联络训练(CEPTOAR -Council)、大规模网络攻击训练;经济产业省主导的电力、工业控制系统网络安全演习;,总务省主导的针对Telecom-IS AC的网络攻击演习、实践性防御演习 (CYDER);国土交通省主导的航空、铁路、物流等各重 要基础设施领域的演习,也在网络安全信息共享能力 建设中发挥着重要作用。

3.3 网络安全资源互育共用

日本政府将网络安全人才与技术视为网络安全的核心要素与基石。 相较政府而言,民间组织具有丰富的教育资源与压倒性的科研优势,因此日本在网络安全人才培养、技术开发上,基本依托产学官一体化的发展模式,通过借助民 间先进的技术研发能力以及教育资源,来完成网络安全保障性资源的共享。

3.3.1 转化网络安全技术成果

日本政府采取了产学官一体化的技术创新模式。 “学”是指大学和公共研究机构,“官”是指政府。阱谓 的产学官一体化就是将“学”的研究成果应用到“产” 的一种过程。在网络安全领域的技术研发阶段多为产 学合作研究,一般采用共同研究和委托研究的形式。共同研究是指该机构与企业、大学、公共研究机构之间 以对等的立场基于共同研究契约关系共同进行课题研 究,具有明确的职责分工。委托研究指该机构基于 受托研究契约关系,接受来自企业、大学、公共研究机 构的委托进行研究网。

图4日本网络安全技术转化示意图

其技术成果转化流程一般为公共研究机构、大学、企业等机构进行合作研究,将研究成果权力化后进行转让,提供给IT服务提供商、IT产品供应商,这些IT相关企业再将研究成果实用化、事业化后转化为相关产品和服务,提供给政府、重要基础设施、企业、个人等 IT用户。通过这一流程完成技术研发到实践应用的转化,既能为网络安全企业提供核心技术,有效降低技 术研发成本,同时可以减少研发机构技术创新的盲目 性。其流程示意图如图4所示。

3.3.2 打造网络安全人才培养生态链

目前,日本正面临严重的网络安全人才不足。根据经济产业省的调査显示,截至2016年,网络安全人才面临13.2万人的缺口,预计这一数字到2020年会扩增至19. 3万人㈤。根据IPA发布的《信息安全威胁2018》,安全人才不足问题已经成为各组织行业面临的第五大危机网,人才培育成为日本社会的当务之急。

为确保在网络安全人才培养上实现需求与供给的良性循环,确保人才具备扎实的专业能力的基础上还 具备较强的实践能力,日本政府连同产学界共同承担 起网络安全人才培养任务,依据各自主体优势进行任 务划分,协同发力,共同打造人才生态系统。其示意图 如图5所示:

图5 日本网络安全人才生态系统示意图

在此人才培养生态系统中,产、学、官的分工有如下倾向:日本政府作为“官”负责向教育界和产业界提供政策等保障,比如NISC以及相关省厅部门负责制定国家层面网络安全人才培养规划、建立资格评价体系、组织选拔性考试与演习、提高企业经营层对安全人才的认识,对产学界进行资源与资金支持;而教育界作为“学”则主要负责网络安全教育,各个层次的网络安 全人才培养、以及核心模拟课程的设计与实施,网络安 全教学理论的研讨等。

产业界作为“产”主要负责探讨网络安全人才需求、为其提供职业道路规划、完善雇佣与待遇,支援高校建立创新性研究院、实验室、实践基地,进行产业转化、创新创业。

同时,高校和企业进 行师资互派和互换,利用企业高级别实战人才到高校 任教,拓宽人才对实战前沿技术的掌握度,高校则可以 派理论方面优秀教师到企业任职,促进企业人才理论及综合能力的提升。

4、日本网络安全官民合作的特点

经过多年的实践,日本在网络安金官民合作上形成了其独有的特点:在网络安全治理上通过层化分权㈣,形成“政府抓总,民间配合”的合作模式,在网络安全建设上,官民合作既“放眼全局又突出重点”,在官民信息共享上呈现“以点带面,联动共享”的态势。

4.1 政府抓总,民间配合

网络安全治理是一个复杂的系统性工程,政府权力在网络空间中存在明显不足。为降低管理成本、形成优势互补、实现网络安 全治理效率的最大化,日本政府通过权力的层层让渡 与转移,形成了三层级“金字塔式”的国家网络安全进体系,整体上呈现“政府抓总,民间配合”的特点。

第一层是日本政府。这一层面的国家公权力主要负责统筹国家网络安全战略规划、制度保障、资金支持,可细分为两级:第一级是内阁网络安全中心 (NISC)。NISC是统筹日本网络安全事务的司令塔,也是网络安全战略本部的事务局,负责对日本网络安全政策进行整体实施;第二级省厅机构主要指防卫省、 警察厅、经济产业省、总务省、外务省、以及管辖重要基 础设施相关省厅组成。各省厅依据NISC的指令,负责统筹各领域内的网络安全相关行动计划与标准。

第二层是半官半民性质的相关非盈利集体——法人机构。日本政府将大部分网络安全相关规则制定与 专业事务性工作交由其落实。比如日本网络信息中心 (JPNIC)是总务省、经济产业省和文部科学省共同管辖的一般社团法人,其主要负责分配IP地址、管理日本根服务器等工作。

第三层是以产学民为代表的第三方机构民间组 织。政府将人才培育、技术开发和服务运营等支援性 工作交由民间组织负责,政府负责提供政策和资金上 的支持。

由此,日本政府通过将部分网络管理权力进行让渡和转移,在网络安全领域建立起指控关系明确的政 府一法人一地方三级“金字塔型”的推进体系,每层主体通过承担各自的职能与分工,来共同推进日本网络 安全建设中的各项事务,如图6所示:

图6 日本网络安全领导体系

4.2 聚焦重点,点面结合

日本网络安全官民合作既广泛又有重点,针对不同问题采取不同合作路径。合作的广泛性是指日本在相关战略、计划、指令等有关 网络安全的重要政策文件中,从宏观的国家战略规划、 定位到具体的合作路径、内容,几乎都无一例外地提到 “加强官民合作”。

这种广泛合作不仅体现在政策上, 也反映到现实的运作层面上,日本政府与企业的合作 遍布网络安全的各个领域。聚焦重点则体现在官民合 作紧紧围绕《网络安全战略》的重点任务展开,同时聚 焦日本当前面临的突出威胁问题。在打击网络犯罪、 重要基础设施防护等重点防御领域、信息共享、技术研 发和人才培养等核心对策方面形成惯常做法。

另外, 官民合作也及时跟进近年来日本在网络安全方面面临 的突出问题。例如,针对近年来一直位居日本十大信 息安全威胁榜首的“目标性攻击”,以信息处理推进机 构(IPA)为中心,同经济产业省,内阁网络安全管理中心、日本计算机应急处理队协调中心以及重要基础设施制造商、电力、电气、化学、石油五领域联合构建了网络信息共享倡议(J-CSIP),将攻击信息在官民间进行共享,同时以PA作为中心节点,在参与组织之间进行对策探讨。

再比如针对2018年各组织行业面临的第五大危机的人才不足,产学官界又在展开新一轮的合作路径探讨,拟建立以人才需求为牵引,教育、演习、资格认证三位一体的网络安全人才培养对策等等。

4.3 以点带面,信息联动

日本网络安全信息共享也呈现出“以点带面,信息联动”的发展特点。虽然每个信息共享机制的目桥、功能、参与者各不相同,但是各机制的组织结构具有相似性,基本呈现“网络化”的框架。信息共享“网络"的“中心节点”,是各机制的责任部门或主导部门,负责该机制的制度设计与实施,同时也是各会员机构的信息共享的统筹与归口单位,掌握着该机制的领航权网。相关会员机构相当于网络上每个节点,不仅同“中心”机构有着纵向信息共享,而且同其他同级会员机构也存在横向信息共享。

此外,信息共享机制中的会员机构还与其他相关机构存在合作关系,从而成为情报共享的“子节点”,以这个子节点为中心,又形成了多层级的信息共享网络,通过子节点实现了信息的纵横相互连接,以点带面,促使信息共享机制呈现网络化发展趋势,产生信息联动的效果,实现全方位信息态势感知。

在目前现有的信息共享框架下,日本政府于2019年在内阁网络安全中心内部新设的“网络安全协议会”将会增强官民信息共享的跨域共享能力。该协议会吸纳了内阁网络安全中心、相关省厅、地方政府、重要基础设施运营商、rr业界、教育研究机构、网络安全专家等成员,打破了目前日本网络安金信息共享局限于各个领域的传统框架,组成全日本的跨官民信息共享机制。作为官民信息共享机制的顶层协调机构对网络攻击进行检测、分析、判断和应对。该机构的设立也增强了日本信息共享体制的广度和高度。

5、对中国的启示

官民合作已经成为现代公共管理的一种常规手段。在网络安全领域,日本政府为了弥补自身能力的不足,同时促逬网络安全与发展,通过制定战略、法规和机构规划官民合作;通过网络安全系统共建、网络安全信息共享、网络安全资源互育共用三种方式实施官民合作,在规划与合作中形成了日本特色,取得了一定效果。日本在网络安全建设上采取的官民合作做法对我国网络安全建设也有借鉴意义。

5.1 将官民合作提升至国家战略高

2016年12月,我国发布了第一部《网络安全战略》,将尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展确立为战略原则。但是战略全文基本站位于政府视角,对企业在网络安全中发挥的作用和定位不够明确。如此一来,这种对民间定位的缺失可能会打击民间主体的积极性,为我国的网络安全建设带来消极影响。为此,我国应该在网络安全战略、法规中增添企业等民间主体在网络安全建设中的地位和职责等相关内容,将官民合作确立为我国推进网络安全建设的基本理念。

5.2 产学研多管齐下培养网络安全人才

据统计数据显示,截至2017年6月,我国人才缺口达到95%。网络安全领域的产学研交叉最为紧密,我国政企壁垒,通过产学研联合进行人才培养,来提升人才培养效率,降低人才培养成本。具体而頁,首先产亚界应发挥带头作用,明确网络安全人才需求。产业界处于网络安全防御的第一线,了解网络安全人才的实际需求,应该通过产业带动规划网络安全人才全景图,形成人才供需的良好循环。其次,通过校企联合进行网络安全人才培养。产业界拥有天然的网络安全实战环境,是网络安全人才进行锻炼的绝佳场所。同时大学等科研机构在网络安全理论研究方面独具优势,通过二者联合培养,可同时确保我国网络安全人才的理论水平与实践能力,提升人才的综合素质。

5.3 建立网络安全跨领域信息共享机制

目前,我国政府网络安全领域信息收集、分析与处理工作的主要职能部门包括国家网络与信息安全信息通报中心、国家互联网应急中心、公安部计算机信息系统安全产品质量监督检验中心等,上述职能部门因横跨政、军、地等多个系统而难以协调统一行动,存在多头管理等问题。基于此,我国也应效仿日本“网络安全协议会”,加快网络安全跨领域信息共享机制的建立,融合“碎片化”、“分散化”的信息共享机构,将它们拼接成一个接近于完整的全景信息态势图,提升我国整体的网络安全态势感知能力。

作者简介:

程景怡 ,硕士研究生,信息工程大学洛阳校区,研究方向:日本研究、日本网络安全研究。

本文来自情报杂志

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。