日本网络安全战略:发展、特点及借鉴

　　摘要：面对日益严峻的网络安全形势，2014年2月，我国成立了中央网络安全和信息化领导小组，标志着网络安全和信息化建设加快推进。作为世界上信息化程度最高、网络信息技术最发达的国家之一，日本同样面临着网络安全问题的严峻挑战，因而近年来从国家战略层面不断加强网络安全顶层设计，出台多份国家战略文件，部署实施了一系列战略举措。本文梳理分析日本网络安全战略发展历程和近年的主要战略文件，归纳总结了日本网络安全战略的主要特点以及对我国的借鉴意义。

　　关键词：网络安全；信息安全；国家战略；

　　日本是亚洲最早将信息技术应用于国民经济部门和社会生活的国家，是世界上信息化程度最高、网络信息技术最发达的国家之一，同时也是对网络安全最为重视的国家之一。近年来，随着国际范围内网络安全问题日益突出，日本政府对网络安全保障的重视程度也逐步提升，强调将网络安全保障作为日本综合安全保障体系的核心，并逐步确立起建设世界一流的“信息安全先进国家”和“网络安全立国”的国家战略目标。本文拟对日本网络安全战略发展历程和近年的主要战略文件进行梳理分析，归纳总结日本网络安全战略的特点，以期对我国正在加快推进的网络安全和信息化建设提供启迪与借鉴。

　　一、日本网络安全战略的发展

　　早在2000年，日本政府就成立了先进信息与通信网络社会推进战略指挥部，即“IT战略指挥部”，制定了“IT基本战略”，通过了《构建先进信息和通信网络社会基本法》，以全面统筹日本信息化建设。在加快推进信息化建设的同时，为应对日益严峻的网络安全威胁和挑战，日本政府发布了多份国家战略文件，采取了一系列战略举措，保障国家网络安全。纵观日本网络安全战略发展，大体可以分为3个阶段。

　　1.起步阶段。这一阶段从20世纪末至2005年。2001年日本政府发布“电子日本”(e-Japan)战略，提出要“确保信息通信网络的安全性及可靠性”，强调确保政府网络安全，要求制定防范网络犯罪的政策，增强公民信息安全意识，研究开发信息安全基础技术。2003年日本经济产业省制定了《日本信息安全综合战略》，要求通过强化内阁功能，全面保障国家信息安全。在2004年日本内阁会议颁布的防卫大纲中，日本政府首次提出要以最尖端的信息技术提高国家防卫能力。2005年日本防卫省根据防卫大纲，制定了信息战略计划。[1]

　　2.全面实施阶段。这一阶段自2006年至2012年，以三份国家信息安全战略的发布实施为标志。2006年2月，日本信息安全政策委员会制定了《第一份国家信息安全战略》，明确提出日本信息安全保障的基本目标是建设“安全的IT环境”，不仅要实现安全，而且要通过“预防”、公民的“认可与体验”、安全的“可持续性”3项条件的满足，使国民在使用信息网络时具有安全感，最终将日本建设成为世界一流的“信息安全先进国家”。

　　2009年2月日本信息安全政策委员会制定了《第二份国家信息安全战略———打造IT时代强大的个人与社会》。该战略对日本面临的网络安全现状进行了分析，提出了保障信息安全的基本原则、目标、行动措施和组织保障。与第一份战略的关注重点为信息安全技术研发等“预防措施”不同，第二份战略关注重点在“应急响应”，侧重于紧急情况发生时的应急措施和及时恢复工作，力求建立重大网络安全突发事件紧急状态下一体联动的安全措施，突出强调了信息安全风险的难以避免，没有绝对安全，应当采取措施建立起稳定快速的应急响应系统。该战略还强调增强日本社会和国民的信息安全意识，进一步树立正确的信息安全观念；强调日本的信息安全政策应当具有更高的可用性，以便被国际社会接受；强调加强情报信息收集工作，包括全球信息安全标准措施、最先进的技术、新风险趋势；强调信息安全工作的全社会共同参与，政府与私营部门的充分合作和信息共享等。

　　随着国内外网络安全环境发生的新变化，特别是美国和韩国发生了大规模网络攻击事件，2010年5月日本信息安全政策委员会又通过了《日本保护国民信息安全战略》，旨在通过加强对关键基础设施的保护，降低国民在使用信息技术时所面临的风险。该战略涵盖《第二份国家信息安全战略》的全部内容，立足于安全保障、危机管理和保护用户权益三个基本点，主动采取适应信息安全环境变化的新措施，具有时间跨度长(2010—2013年度)、内容涉及面广等特点，是一个全面的信息安全战略。[2]

　　3.强化拓展阶段。这一阶段自2013年至今，以一份网络安全战略和一份网络安全合作国际战略的发布实施为标志。2013年6月，日本国家信息安全中心发布了《网络安全战略》。该战略是对2010年《日本保护国民信息安全战略》的全面强化和升级，提出了日本国家网络安全战略目标，确立了保障网络安全需要遵循的基本原则和采取的具体措施。与此同时，日本高度重视加强网络安全保障的国际合作，积极拓展网络安全领域的国际空间和国际话语权。2013年11月，日本信息安全政策委员会发布《网络安全合作国际战略》，对日本开展网络空间国际合作的目标、原则、重要举措和国家间合作机制建设等作出阐述，这被看作是日本建设世界一流的“信息安全先进国家”的国际宣言。

　　为保障国家网络安全，日本还不断健全相关组织机构。2005年4月，日本内阁官房成立国家信息安全中心；5月，成立信息安全政策委员会。2014年3月，日本防卫省组建“网络空间防卫队”。日本政府还成立“政府安全行动协调组”，负责24小时监控政府机构的网络信息系统，监督国家信息安全中心的工作开展，协调各部门加强网络防御工作。

　　二、日本网络安全战略文件分析

　　日本网络安全战略文件相互间的继承性特点非常突出，从而保障了在执政党频繁更迭的情况下，日本网络安全政策的连续性和贯彻实施。这里对日本近年几个主要的网络安全战略文件进行具体分析。

　　1.《日本保护国民信息安全战略》

　　该战略确立了使日本成为世界上一流的“信息安全先进国家”的战略目标。为实现这一目标，提出了两个方面具体行动举措：

　　(1)为应对潜在大规模网络攻击进行充分准备。具体包括：组织政府部门进行重大网络突发事件应急演练，确保能够应对大规模网络攻击；建立政府部门与国家关键基础设施运营商间的联盟，确保公共和私营部门的密切合作；借鉴其他国家维护网络安全的经验，强化网络攻击防御能力；通过情报交换和参加相关国际会议，巩固打击网络攻击的国际联盟；加强网络安全事件信息搜集、分析和信息共享系统建设，特别是加强内阁官房与相关政府机构间的信息共享系统建设等。

　　(2)加快强化有效应对网络安全环境变化的政策。具体包括：一是加强政府部门信息安全基础设施，强化政府机构首席信息安全官职能，增强政府安全行动协调小组搜集和分析网络安全信息的能力，持续改善政府机构信息系统的安全措施，在政府电子政务系统中推广使用密码技术，审查《中央政府计算机信息系统信息安全措施标准》；二是强化国家关键基础设施安全，加强信息共享系统建设，促进关键基础设施保护委员会发挥作用和安全标准的制定、应用和改进，通过加强网络安全威胁分析和组织实施跨部门应急演练，增强关键基础设施的信息安全措施；三是加强相关领域信息安全防护能力，改进应对恶意软件的反制措施，制定适用于云计算、物联网的信息安全措施等；四是强化面向国民的网络安全保护，深入开展网络安全宣传教育，向国民提供信息安全相关咨询服务，促进个人信息保护，审查《个人信息保护法案》；五是加强网络安全领域国际合作，通过双边机制加强与美国、东盟、欧盟之间的网络安全合作，建立信息共享机制，从战略上强化与相关国家的政治联盟；六是推进信息安全技术战略发展，加快推进信息安全技术研发和人才培养等。

　　2.《网络安全战略》

　　2013年6月10日，日本国家信息安全中心发布《网络安全战略———构建世界领先的坚强而充满活力的网络空间》。这份国家战略是2010年《日本保护国民的信息安全战略》的升级版。该战略明确提出构建“世界领先的”、“坚强的”、“充满活力的”网络空间，努力做到不断创新、有效应对各种网络威胁、激发国民自豪感，从而实现“网络安全立国”的战略目标，确立了需要遵循的4项基本原则，即，确保信息自由流动；通过创新举措应对日益突出的网络威胁；实施基于变化的网络风险应对方法；网络空间责任共担。[3]该战略明确了网络安全领域相关主体职责，提出三个层面的目标和具体措施。

　　(1)网络安全领域相关主体职责

　　该战略要求通过各类主体的履职与合作，共同应对网络空间威胁。一是政府机构。各政府机构应当模范施行网络安全措施，强化国家信息安全中心职能，加强政府机构间的共享与合作，有效开展政策制定、科技研发、安全项目推行、高端人才培养以及国民网络安全意识提升工作等。二是国家关键基础设施运营商。通信、金融、航空、铁路、航运、电力、燃气、行政服务、医疗、物流等领域的关键基础设施运营商应采取行之有效的安全措施，确保网络安全。三是私营企业和教育科研机构。应加强与业务承包机构等的合作与信息共享，采取联合措施共同应对网络安全问题，确保掌握的知识产权信息和个人信息安全。采取差异化信息安全管理标准，自觉接受第三方专门机构的风险评估和监督管理。四是个人用户和中小企业。个人用户应从“不危及他人”的标准出发，采取相应的网络安全措施。中小企业可能与关键基础设施运营商等存在合同关系，掌握重要的国家信息资源，因而应加强信息共享，采取必要的网络安全措施。五是网络运营商及相关机构。应加强网络空间相关产品和技术研发，降低信息安全风险，及时发现漏洞隐患并采取补救措施，同时，应加强对网络安全事件的分析研判，最大限度降低安全事件带来的损失。

　　(2)目标与具体措施

　　该战略针对建设“坚强的”、“充满活力的”、“世界领先的”网络空间三个层面，提出了强化网络安全的目标和措施。一是目标。通过提升网络攻击防御和恢复能力、强化网络安全事件预警研判、促进网络安全信息共享等，建设“坚强的”网络空间；通过促进网络安全产业发展、加强科技研发、培养高端人才、提高国民网络安全意识和素质等，建设“充满活力的”网络空间；通过加强信息共享和国际合作、积极参与国际规则制定、提升国民信任度等，建设“世界领先的”网络空间。二是具体措施。主要包括：提高政府信息系统安全防护水平，有效应对来自网络的威胁；制定国家关键基础设施防护策略；强化网络安全事件的分析研判和相关信息共享；提升日本网络安全产业国际竞争力，解决严重依赖国外技术、产品和服务问题；研发更具创新性的网络安全技术，提高网络攻击监测和分析能力；加强网络安全专业高等教育、产学合作以及职业资格认证，培养高素质网络安全人才；提升国民信息安全素养；加强日美双边和有共同价值观国家的多边网络空间合作，就有关问题增进共识并探讨共同解决方案等。

　　3.《网络安全合作国际战略》

　　2013年10月，日本信息安全政策委员会发布《网络安全合作国际战略》，对日本开展网络空间国际合作的目标、原则、重要举措和国家间合作机制建设等作出阐述，是日本全面提升网络空间安全能力，实现网络安全强国战略的国际宣言。

　　根据该战略，日本提出了网络安全国际合作的重点领域，包括强化网络安全事件动态响应，建立计算机安全事件响应组并组织演习；建立各国网络安全主管部门信息共享和应急协调机制，推进网络空间国际合作全球框架建设；加强各国网络空间事务处理能力建设，提升全球网络安全标准，通过国际合作发展应对网络威胁的先进技术；推动网络空间国际规则制定，积极参加各类多边框架下的网络空间政策制定和能力建设磋商，传播日本的网络安全基本原则和政策等具体主张。

　　日本还提出了若干加强区域合作的重点举措。包括：加强亚太区域合作，特别是深化日本与东盟在网络空间人才建设、技术研发、信息共享和关键基础设施保护等方面的合作，开展日本与印度间网络安全磋商，发展伙伴关系；深化日美安保条约基础上的日美伙伴关系，强化两国政府部门间网络安全对话、联合演习和信息共享等方面合作；加强日欧网络安全合作，发展日英网络对话和日欧网络安全论坛等基础上的日欧伙伴关系；向非洲、南美洲提供网络安全技术援助。

　　4.日本信息安全保障的特别措施———《特定秘密保护法案》

　　为防止涉及日本国家安全的特定秘密信息泄露，维护日本国家信息安全，2013年12月，日本颁布了《特定秘密保护法案》。

　　该法案包括特定秘密的确定与保护、特定秘密的提供、涉密人员资格审查、法律责任等7章，共25条。主要内容包括：一是明确特定秘密的定义及范围。特定秘密是指泄露后会对国家安全构成明显危害的信息，主要涉及防卫、外交、反间谍和反恐4个方面。二是明确定密人及保密期限。定密人包括行政机关负责人及其授权人。保密期限为定密之日起5年，如需延长，在原保密期限结束前由行政机关负责人审批后可延长至10年；保密期限原则上不能超过30年，若达到30年期限时，相关行政机关认为解密后仍对国家安全构成威胁，经内阁审批后最多可延长至60年；对尚在保密期限内需要解密的，可由行政机关负责人审批后予以解密；部分涉及武器装备、密码、情报来源等7项特定秘密可确定为永久秘密。三是明确特定秘密保护措施。包括标记涉密载体、审查涉密人员保密资格、配备相关防护设施等。符合条件的企业需要知悉或持有特定秘密的，行政机关要与其签订保密协议，确定企业内知悉特定秘密的人员范围并进行资格审查。四是明确涉密人员资格审查范围及内容。需要处理特定秘密的公职人员及相关企业员工等应接受资格审查，但行政机关负责人、国务大臣等7类政府高级官员则免予审查。审查内容包括是否从事间谍活动或恐怖主义、是否有犯罪经历、是否曾经违规处理涉密信息、是否滥用药品、是否有精神疾病、是否酗酒、信誉及经济状况等7个方面。审查范围包括被审查人员的父母、子女、兄弟姐妹，配偶的父母、子女，以及其他共同居住的人员。五是明确法律责任。该法案规定的最高刑罚为10年以下有期徒刑及1000万日元以下罚款，对象包括泄露特定秘密的涉密人员，施行欺诈、暴力、胁迫、盗取、窃听或非法访问计算机等行为获取特定秘密的人员等。[4]

　　从总体上看，由于该法案对“特定秘密”定义模糊，将便于日本政府隐藏更多信息，进而侵犯国民知情权。同时，该法案的实施将有利于日本与美国及其他盟国分享国家安全情报，加快日本国家安全委员会建设步伐，强化日本在全球安全中的角色，创建一个更为独裁的日本政府。更为值得注意的是，该法案将有利于日本修改二战后由美国起草的日本宪法，为增强日本政府实力、拓展其外部空间奠定基础。

　　三、日本网络安全战略的特点

　　综观近十余年来日本政府出台的主要网络安全战略文件，其网络安全保障的思维理念与其国家安全保障的特殊环境生态密切相关，既积极借鉴美国网络安全保障的理念和模式，又具有自身的显著特点，整体上服务于日本谋求拓展国际政治、军事空间的国家战略需要，从而经历了由单纯防御、被动保障的模式，向积极防御、进取扩张模式的转变。从日本网络安全战略的具体内容及其发展演变分析，体现出以下几个突出特点：

　　1.战略主动性不断增强。日本网络安全战略通常被认为是保障型国家战略，这种战略在特定历史时期对维护日本的网络安全发挥了重要作用。但随着网络安全整体态势和安全环境的变化以及日本内政外交政策的转型，日本的网络安全战略理念也在发生显著变化。特别是2010年《日本保护国民信息安全战略》发布实施以来，日本网络安全政策的主动性不断增强，积极防御、进取扩张的态势明显。比如强调制定主动而不是被动的网络安全措施，要求区别于传统的发现问题再行补救的被动措施，从战略上研究和实施从根本上解决网络安全问题的措施，并建立起能够主动落实网络安全政策的组织体系。这种战略调整转向还体现在日本组建的专门网络防御力量更加突出进攻性。日本防卫省组建的“网络空间防卫队”的防御范围逐渐扩大，并着力加强“进攻”能力，其职能从确保内部网络安全、应对网络攻击向主动研制和运用木马病毒等网络武器实施网络攻击方面扩展。[5]

　　2.高度重视营造安全环境。日本的网络安全保障工作从起步时起就高度重视营造网络安全环境，将目标定位在使包括全体国民在内的网络用户建立起使用网络的信心，消除国民在网络安全方面的忧虑。《日本保护国民信息安全战略》强调，为利用信息和通信技术应对经济发展、社会老龄化和环境恶化等挑战，营造一个安全可靠的网络安全环境非常必要；要营造这样一种环境，使国家的每一个网络用户全面了解信息技术存在的风险，并积极采取网络安全措施。为提高全体国民的网络安全意识，促进国民积极主动采取信息安全措施，日本政府广泛开展网络安全宣传教育，自2010年2月开始，将每年2月作为“信息安全月”并组织开展一系列活动。

　　3.以促进经济发展为战略导向。虽然曾经世界上仅次于美国的二号经济强国，但是日本经济经历了多年的萧条和停滞，因而发展经济、促进经济增长成为历届日本政府的首要目标。日本政府充分认识到信息和通信技术对经济发展的基础性作用，并将网络安全保障作为社会经济活动的基本保障。日本认为对信息和通信技术的投资将刺激日本的经济增长，解决日本经济面临的问题，从而要求制定实施能够有力服务于经济增长战略的国家网络安全政策措施。这种导向性在日本多个网络安全战略文件中均有反映。

　　4.内化于国家政治和军事战略。近年来，随着日本右翼势力抬头，日本政府谋求解禁集体自卫权、修改和平宪法的各种动作频出。其实在网络空间，日本政府早已将网络安全战略作为其政治和军事战略的重要组成部分，在一手加强网络防御的同时，另一手早已开始研制包括新型病毒在内的具备攻击能力的网络武器，以强化自身的网络攻击能力。由于网络空间相关国际法和国内法并不健全，对“网络攻击”与现实的“武力攻击”、“网络入侵”与实际的“军事入侵”的区别界定也缺乏国际公认的标准和规则，未来日本政府将有可能以遭到别国网络攻击为由，越过一个很低的门槛而启动所谓“自卫权”。此外，日本在多份网络安全战略文本中强调加强国际合作。与其国家政治、军事战略相一致，日本网络安全领域国际合作的基石仍然是以日美安保体制为核心的日美合作，强调推进日美网络安全对话，共同应对网络安全问题；在亚太地区，则仅强调深化与东盟、印度的网络安全合作；同时值得注意的是，日本将积极向中国有广泛影响的非洲、南美洲提供技术援助，作为其网络安全战略的重要内容，以不断拓展其在相关地区的政治影响，实现其国家利益。

　　从日本的网络安全战略发展看，经过多年努力特别是近几年的快速发展，日本已基本建立起较为完备的网络安全保障体系，国家战略的目标和行动举措逐步清晰并得到落实。但也要看到，日本网络安全保障也面临一些突出问题。比如，日本在网络安全的法律保障、组织保障方面还比较滞后，国家网络安全战略确立的许多目标、原则和战略措施尚未在立法层面得到确认，这也在一定程度上影响了有关战略措施的有效推行；日本内阁官房设立的信息安全政策委员会和国家信息安全中心，是日本应对网络安全事件的“司令部”，承担着日本网络安全保障的统筹协调和组织实施等重要职能，但该机构的设置依据为首相政令，而非国家法律，在诸如网络安全事件调查等方面由于缺乏相应法律授权而使其职能发挥受到限制。日本政府也已经认识到了这些方面的不足，着手制定“网络安全基本法案”，该法案的制定和实施，将有力推动日本网络安全战略体系的完善。

　　四、日本网络安全战略的借鉴意义

　　1.从国家战略层面整体谋划网络安全发展。网络空间使国家利益的边界得到极大延伸和扩展，网络日益成为国家政治、经济、文化和社会活动的基础平台，成为实体经济的命脉和整个社会赖以正常运转的神经系统，由此，网络安全已不仅仅是网络自身的安全问题，其影响已辐射至国家安全和国家利益的方方面面，从而也必然要求从国家战略层面整体谋划部署一国的网络安全问题。日本政府正是基于对网络安全性质的深刻认识和对日本面临的网络安全环境的准确判断，提出将网络安全保障作为日本综合安全保障体系的核心，并逐步确立起建设世界一流的“信息安全先进国家”和“网络安全立国”的国家战略目标，提出构建“世界领先的”、“坚强的”、“充满活力的”网络空间，并在近年通过连续发布多份国家战略文件，整体部署实现其网络安全发展目标的具体措施。作为信息化飞速发展的世界性大国，我国应加快网络安全国家战略制定出台步伐，阐明我国网络安全边界和重大国家利益关切，提出我国维护网络安全的战略目标、方针原则、主要任务和行动举措，这也是我国与国际接轨，构建国家网络安全保障体系和建设“网络强国”的必然战略选择。

　　2.统筹协调网络安全保障与国家政治、经济等战略目标的实现。在信息化条件下，网络安全的综合性安全特征，使网络安全保障必然直接影响国家政治、经济、文化、社会等国家战略目标的实现。但也要清醒看到，保障网络安全本身并不是一国国家战略的终极目标，其既影响、也服务于国家政治、经济、文化、社会等战略目标。日本的网络安全战略强调以促进日本经济发展为战略导向，并在具体举措层面内化于国家政治、军事战略，服务于国家政治、军事战略目标的实现，就充分体现了日本政府对网络安全保障与政治、经济等国家战略关系的深刻认识和战略考量。对我国而言，随着我国在地区和世界范围内的政治、经济、军事等国家利益的迅速拓展，网络安全保障已不能仅仅局限于国土范围内的基础信息网络和重要信息系统安全，而应随着国家安全和利益边界的扩展相应扩展其边界。同时，保障国家网络安全的许多具体措施，也可以成为实现政治、经济、军事等国家战略目标的重要手段和方式。

　　3.全面提升国家网络安全重大突发事件应急处置能力。日本历来具有强烈的国家危机意识，在其发布的多份网络安全国家战略中，均强调为应对潜在大规模网络攻击进行充分准备，通过组建应急响应和协调机构，定期组织政府部门、自卫队进行重大网络突发事件应急演练，加强信息搜集、分析和信息共享系统建设、推动建立多方动态响应的国际机制等一系列措施，提高日本网络安全重大突发事件应急处置能力。中央网络安全和信息化领导小组的成立，是解决我国网络管理体制“九龙治水”、职能交叉、权责不一、效率不高问题的重要战略举措，但相关管理体制的完善还需要一个过程，跨部门跨行业跨领域的网络安全综合演练不够，网络重大突发事件应急处置能力不强成为一大隐患。面对基础信息网络和重要信息系统将来可能发生的网络安全重大突发事件，甚至是国家行为体之间的大规模网络攻击，我国亟须建立起一个政府部门、军队直至企业、公民共同参与、有效共享、协调联动的快速响应和应急处置体系。

　　4.高度重视并积极推动网络安全国际合作。日本政府在网络安全领域积极谋求国家合作，既是出于拓展和实现其政治、军事利益的需要，也是基于对网络安全本质属性的深刻认识。由于网络安全问题的跨国性，在维护网络安全问题上，一国无法“自扫门前雪”，网络安全不是单一国家责任，而必然需要国与国之间的协调配合。我国应加快研究形成与国际接轨的我国维护网络安全的话语体系，在包括联合国等国际组织框架内积极宣誓我国的安全主张，凝聚国际共识；同时，应积极利用参加的地区和国际组织，建立和强化网络安全双边、多边协调机制，以解决面临的网络安全现实问题。