文│ 战略支援部队信息工程大学 苟子奕 韩春阳
21世纪以来,日本不断重视强化网络安全治理,这既是基于数字经济重要性的不断提升与互联网使用与普及规模的扩大,也是由于日本网络安全领域面临威胁的不断加剧,网络安全问题亟待改善。在此基础上,日本根据自身情况出台相关政策与法律文件。早在 2013 年 12 月,日本在《国家安全战略》中将“网络攻击”视为新威胁之一,认为提高网络安全性和保护网络空间是国家安全的重心工作之一。2018 年 4 月 26 日,日本前首相安倍晋三在听取有关网络攻击对策的政策提案报告时表示,网络安全治理是紧迫的课题,日本在网络安全领域也必须成为先进国家。经过多年的建设,日本在网络安全治理领域不仅制定了相关政策,出台了相关法律,还成立及完善了网络安全机构,其网络安全治理实践取得了一定进展。
一、日本网络安全治理的机制保障
日本近年来努力构建自身的网络安全保障体系,结合自身网络空间特点,在突出数字经济建设的同时从完善网络空间法律框架、出台网络空间安全政策、组建网络空间安全机构等方面入手,旨在推行经济治理与安全治理两线融合的新时代网络安全治理战略,推动“网络空间强国”建设。
(一)法律框架趋于完善
早在 2000 年 12 月,日本政府便发布了首份涉及网络安全的法律。2014 年 11 月,日本国会批准了《网络安全基本法》,旨在加强日本政府与民间在网络安全领域的协调和运用,更好应对网络攻击。该法案首次从法律上定义了“网络安全”的概念,并在 2000 年基本法的基础之上明确了网络安全的基本原则与政策,规定设立网络安全战略总部,负责制定网络安全战略并保障其实施。实践上,日本以《网络安全基本法》为基础,根据网络安全形势的变化对法案做出调整。2018 年 12 月,为应对网络威胁的不断加剧与筹备保障 2020 年东京奥运会与残奥会,内阁提交法案对《网络安全基本法》做出修正,并拟成立网络安全委员会,以使各种公共与私人实体可以相互合作和共享网络安全信息并讨论必要的对策等。
除《网络安全基本法》外,日本还出台了多部专项法律。例如,2003 年 5 月发布的《个人信息保护法》,重点保障公民信息安全,并对个人与政府在个人信息领域的权责进行了明确。该法于 2015年 9 月完成修订,并于 2017 年 5 月生效。再如,《电信事业法》主要保障公民通信的保密性,规定不得违反电信业务运营商的通信保密规定。该法于 2018年 11 月进行了修订,使电信运营商之间得以共享有关恶意软件的信息,并通过新成立的第三方机构对可能成为网络攻击源的受感染设备进行保护。此外,日本还通过出台诸如《防止不正当竞争法》《禁止未经授权的计算机访问法》等法律对网络犯罪进行明确,突出网络安全的重要性。上述体现出日本政府以《网络安全基本法》为主轴,以其他专项法律为支撑,基本构建了网络空间相关的法律框架,并依据网络空间情况的变化适时对法律体系进行调整。
(二)相关战略和政策逐步出台
在法案不断出台的背景下,日本政府颁布网络空间安全治理的相关政策,同法案相互结合共同维护网络安全。2006 年 2 月,日本政府公布了首份网络安全战略,即《国家信息安全战略——创建一个值得信赖的社会》。该战略首次制定了系统的中长期计划,提出建立新的公私伙伴关系模式,在此基础上明确了权责关系,还提出跨部门演习以建立统一的信息安全资格和认证体系等举措。2009 年 2 月,日本发布了第二份《国家信息安全战略——在信息技术时代建立强大的“个人”和“社会”》。该战略相较于前版不再强调预防措施,而是着手加强对“事故假定社会”的响应,即相关部门必须特别注意采取事后措施,例如对网络安全事故的确认、分析、沟通等。
2013 年 6 月,日本发布了《网络安全战略》,旨在建设世界领先的、有韧性的、充满活力的网络空间。该战略重点强调维护外交和国防领域的网络安全,并先后于 2015 年和 2018 年发布第二版与第三版。其中,第三版《网络安全战略》涵盖了诸如物联网设备、人工智能等新兴技术领域面临的网络安全威胁,并指出“将网络安全治理视为成本而非必要投资”的错误观念,旨在完善供应链风险的网络安全框架。
除去上述总体战略外,日本政府还通过出台多项专项政策完善相关领域的网络安全治理。在保障关键基础设施的网络安全上,日本出台了《应对针对关键基础设施的网络恐怖主义特别行动计划》,规定通过包括开展风险分析、重新审查安全指导方针以及推动政府与供应商信息交流等方式推动网络安全治理。此外,信息安全政策委员会发布的《关键信息基础设施保护基本政策》明确了 14 个关键信息基础设施领域,并规定新的网络系统服务以维护网络安全。在军事领域,日本政府则通过《防卫计划大纲》《中期防卫力量整备计划》等政策文件强化网络防御,并将网络领域同太空和电磁领域多领域力量相结合建立“多次元统合防卫力量”。
(三)机构体系日益成熟
经过多年的建设,日本在网络安全治理领域已构建了较为完善的组织和机构体系,形成了以网络安全战略总部和网络安全策略和事件应对国家中心为核心,以防务省、经济产业省、总务省、法务省等部门下属机构为羽翼的机构体系。
在内阁下属的网络安全机构中,网络安全战略总部由内阁官房长官、国务大臣及来自企业与学术界的专家组成。该机构定期举行会议,主要负责根据标准评估相关网络安全计划,还负责促进网络安全政策的实施。网络安全策略和事件应对国家中心是网络安全战略总部的秘书处,负责为私营部门制定指导方针,向网络安全战略总部提供建议,并参与起草国家网络安全战略。该部门有主动和被动的两个机构构成:政府第一安全行动协调小组负责监测政府网络、分析恶意软件及收集关于网络威胁的信息,并将这些信息分发给各省厅和机构;网络事故援助小组作为被动响应机构,当任何部门或机构受到网络攻击时,便会提供技术支持和建议。
在各省厅下属的网络安全治理机构中,防卫省下属的防务建设规划局设立的情报与通信司负责防卫省信息系统的维护、管理、指挥、通信及监督,防务政策局下属的战略规划司则主要强化以美日网络安全合作为代表的多边网络安全治理。经济产业省下属的控制系统安全中心主要负责确保关键基础设施控制系统的网络安全。此外,除去各部门下属的网络安全机构外,日本政府还通过设立跨部门或独立机构从而更好地实现网络安全治理。2012 年,经济产业省同军事侦察机关联合成立了网络攻击分析委员会,旨在掌握针对日本的网络攻击演变脉络。日本国家信息与通信技术研究所主要任务是促进从基础领域到应用领域的信息与通信技术的全面研究与发展,从技术层面保障日本网络安全。日本计算机应急影响协调中心主要任务在于对网络攻击与网络威胁进行紧急响应,最大限度地减少损失。
二、日本网络安全治理的政策实践
在具体政策实践上,日本进一步强化网络人才教育与培养,并就网络安全治理谋求国际合作。
(一)着力培养网络安全治理人才
当前,日本面临网络安全人才的严重匮乏。根据经济产业省的数据显示:2020 年,网络安全技术人员缺口达 19.3 万人,大约一半的互联网公司认为其缺乏网络安全人员。根据国际电子商务顾问局的调查显示,日本网络安全专业人员的技能差距覆盖了从首席信息安全官(CISO)至安全分析师各个层次,且这些岗位均面临职位空缺的问题。为解决上述问题,日本政府从多方面着手,培养网络安全治理人才。
首先,日本政府出台政策文件引导加强对网络安全人才的培育。2017 年 3 月,日本发布了《网络安全人力资源开发计划》,强调维护网络安全不仅是成本支出,其提供的投资机会有利于创造新的商业价值和提高公司的国际竞争力,鼓励企业高管采取网络安全措施作为其社会责任的一部分,并提高网络安全意识。上述政策文件的提出有利于改变企业网络安全人才的培育导向,突出私营企业在网络安全人才培育中的作用。
其次,日本政府各部门均主办网络安全人才培训班,强化网络安全人才的培育。经济产业省和总务省已于 2017 年分别建立了独立的网络安全培训中心,前者主要负责关键基础设施保护的运营和信息技术方面的培训,后者则专注于互联网技术的研究与开发。2017 年 4 月,经济产业省还在信息技术促进局之下成立了网络安全卓越中心,该中心每年为多达100 名人员提供职业中期培训与高级管理人员培训。
最后,日本政府还通过组织网络防御演习,从实践层面强化网络安全人才的能力。日本国家网络培训中心开展的“SecHack365”计划,每年为 3000名中央和地方市政府官员和关键基础设施人员开展超过 100 次的网络防御演习。此外,总务省还发起了一项针对政府机构、地方政府、独立行政机构和关键基础设施供应商互联网技术人员的网络防御演习,参演人员在了解最新网络攻击趋势的同时对网络安全领域的实际问题进行分析与讨论。截至 2018年,共有 7929 人参与了该演习。
(二)就网络安全治理谋求国际合作
网络安全威胁已成为世界范围内的非传统安全问题,因此,对该问题的治理成为世界主要国家合作的重点议程。日本也在谋求国际层面的网络安全合作治理的同时,通过向部分国家提供网络安全服务谋求国家影响力的提升。
首先,日本谋求国际层面的网络安全合作治理。美日两国启动了多层次的网络安全对话合作机制,从宏观战略和微观政策上规划与落实网络安全合作,聚焦民用网络安全、军事网络安全和国际规则合作三大领域。此外,日本通过同欧盟发起的“日欧网络对话”强化网络安全合作,并于 2018年 1 月成为北约合作网络防御卓越中心的成员。日本还促进同英国、法国等国的双边网络安全合作,在谋求网络安全治理经验共享的同时致力于打击网络恐怖主义。在多边层面,日本加入多边机构为本国网络安全治理提供便利。2020 年 2 月 27 日,为网络安全专业人员提供培训的国际信息系统安全认证联盟宣布扩大同日本电信运营商的战略合作伙伴关系,为日本提供更多的网络安全培训,从而强化日本的网络安全治理实践。上述表明,日本的网络安全治理在不断发展的同时已表现出明显的全球化特征。
其次,日本通过向部分国家提供网络安全服务谋求国家影响力的提升。近年来,网络安全合作一直都是日本同东盟国家的重点合作议程,特别是新冠肺炎疫情影响下互联网重要性不断提升的背景成为双方合作深化的契机。日本同东盟国家共同启动了一项网络安全项目,重点在提升日本和东盟应对网络事件的能力,东盟国家防务人员将在日本网络安全专家指导下开展活动,并将特别侧重于实际训练。除政府主导的合作项目外,日本还通过引导私营网络安全企业向其他国家提供网络安全援助谋求影响力的提升。2020 年 3 月 2 日,日本趋势科技网络安全公司与哈萨克斯坦安全公司 T&T Security 签署了一项被称为“网络安全概念”或“哈萨克斯坦网络盾”的计划,该计划旨在开发和实施网络安全领域的合作项目,此举有利于加强哈萨克斯坦网络系统的安全状况。
三、日本网络安全治理实践的评价
日本在上述网络安全机制保障及政策实践下,已初步形成了较为完备的网络安全治理体系,表现出优势的同时也显现出一些不足之处。
日本网络安全治理实践优势表现在机构设置较为合理。为维护网络安全设立了多层次的职能机构,既涉及主动的网络态势感知与网络攻击的态势分析,也覆盖被动情况下遭受网络攻击时的应急处置与风险评估,还包括网络技术的研发与人员的培训。总体看,在内阁下属机构统筹国家网络安全事务的基础之上,各机构分工较为合理,避免了网络监管机构重叠的问题。此外,日本网络安全治理实践优势还表现在其以双边或多边形式参与网络安全治理的国际合作,并在国际规则与标准的制定上发挥了一定的作用。此外,日本还利用提供网络安全服务有效地强化了同部分国家的合作,深化双边关系的同时有利于日本在该地区影响力的提升。
在表现出优点的同时,日本网络安全治理实践也表现出诸多不足。首先,是政府主导性过强,私营企业的积极性调动不足。当前,日本网络安全市场面临的首要问题是企业和个人对网络安全领域的投资不足。日本政府为缓解上述问题更多依赖于激励举措,希望企业自愿参与,相对缺乏硬性规定。根据日本发布的风险管理调查报告,只有 52.5% 的公司将网络安全视为优先风险。相比之下,根据威利斯·韬睿惠悦公司的调查,美国 85% 公司将网络安全视为重中之重,二者差距明显。其次,是网络安全产品大量依赖外国,对本国需求量较少。目前,日本国内对本土网络安全产品的需求很少,互联网企业基于成本与效果考量更倾向购买美国产品。日本政府需要在进一步加大网络安全投资的同时改变网络安全市场导向,使企业能够更好地参与竞争并获得利益,网络安全产品声誉的提升将对日本产品和服务有利,从而形成良好的正向循环。
四、结语
对于中国来说,网络安全早已成为了国家安全的重要组成部分。中国正逐步推进网络安全与信息化并举的安全发展观,合理借鉴日本网络安全治理体系的建设与实践经验,可有利于促进我国的网络安全治理体系建设。首先,中国需要进一步完善网络安全治理机构体系的构建,明确不同机构之间的权责关系,避免出现监管机构重叠和相互掣肘的问题。其次,中国需进一步规范网络安全培训的相关标准,对相关从业人员进行资质认证,推动网络安全行业职业化,为网络安全人才的储备奠定坚实基础。再次,中国需要对网络安全市场导向进行调整,在强化政府主导性的同时发挥私营企业的重要作用。最后,中国需进一步拓展网络安全领域的国际合作,积极在国际网络安全治理领域发挥更大作用,提升中国在该领域的国际影响力与话语权。
(本文刊登于《中国信息安全》杂志2021年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。