本文作者:许善品 汪书丞
本文刊登于《国际安全研究》实体期刊2019年第6期
提要
澳大利亚致力于打造公私部门间“共同领导”“共同责任”“自我约束”和“自主治理”的网络安全治理新模式,以维护网络空间的安全与稳定、保证国家网络安全、实现数字经济效益的最大化。当前,澳大利亚的网络安全战略正处于转型期,特恩布尔政府在继承既有战略的基础上,对澳大利亚的网络安全战略进行了适时调整,包括增加对“印太地区”的网络安全投入、保持澳美网络安全战略的联动性、提高网络进攻能力以适应互联网军事化需要等。目前,网络空间无政府状态下中美权力的竞争态势正在加剧,澳大利亚的网络安全战略会带有一定的干预主义性质,并向“前沿防御”方向发展。受此影响,澳大利亚的对华网络安全政策可能会面临冲击。但是,中国与澳大利亚的网络安全合作仍在向前发展。虽然中澳网络安全合作仍处于起步阶段,但澳大利亚对中国建设网络强国持欢迎态度,愿意与中国就制定网络行为规范、维护网络空间秩序开展合作。
【关键词】数字时代;澳大利亚;特恩布尔政府;网络安全;网络空间;安全战略
【作者简介】许善品,博士,湘潭大学东亚研究中心研究员;汪书丞,湘潭大学国际关系专业2016级硕士研究生
引言
伴随着“大数据”“人工智能”和“物联网”等概念的相继诞生,互联网已成为国际经济、社会和政治互动的媒介和基础平台。网络安全正是在时代的变化中孕育而出,一般是指保护自身的网络免受外界攻击或针对敌方的网络进攻而提高网络防御能力。[1]澳大利亚自我界定为数字时代的全球领导者,希望最大限度地发挥数字化时代的经济转型优势,推动国家的创新、增长和繁荣。澳大利亚作为中等强国,在维护网络空间的战略稳定、避免大国网络冲突升级发挥了独特作用。2017年4月21日,中澳首次高级别安全对话会议就网络安全等议题开展了对话。中澳网络安全合作仍蕴涵广阔的扩展空间。中国的网络安全战略可以借鉴、吸收澳大利亚网络安全战略的成功经验,从而更好、更快地推进网络强国建设。本文拟对澳大利亚网络安全战略的动因、演进、内涵等进行简要分析,并阐释当前澳大利亚网络安全战略的新动态以及对中国的启示。
[1]Myriam Dunn Cavelty, Cyber-Securityand Threat Politics: U.S. Efforts to Secure the Information Age, New York: Routledge, 2008, p. 20.
一 澳大利亚网络安全战略的动因
澳大利亚在网络空间拥有合法、正当的国家权益。近年来,澳大利亚的国家安全日益受到恶意的网络活动威胁,政府、企业和关键基础设施成为重要攻击目标。与此同时,传统商品和数字商品之间的界限逐渐模糊,数字应用已成为网络空间的发展趋势。机遇与挑战催生澳大利亚出台新的网络安全战略,以适应国家安全与数字经济的融合,推动国家的创新发展。
(一)网络安全威胁日益严峻
网络空间使国家利益的边界得到极大的延展,澳大利亚在网络空间存在广泛的利益,比如在数字贸易中获取经济利益、保护澳大利亚免受网络犯罪分子的威胁、维护网络空间的和平稳定。然而,各种网络犯罪、网络恐怖主义等活动给澳大利亚网络安全构成严重威胁。澳大利亚政府虽然没有明确定义网络恐怖主义,但是对恐怖主义的行为作了阐释。[1]
澳大利亚的网络威胁主要有两大来源:第一,网络经济犯罪直接危害企业和个人的安全。第二,澳大利亚国内社会对信息与通信技术(ICT)的高度依赖,致使关键基础设施面临潜在的网络安全威胁。澳大利亚政府面临的网络威胁形式多样,对澳大利亚国民经济和国民福祉造成严重影响。2017年澳大利亚政府遭受网络安全攻击类型的前三依次是鱼叉式网络钓鱼、服务器泄露和窃取凭证(参见图1)。
据美国的网络安全公司赛门铁克(Symantec)统计,60% 的澳大利亚成年人遭遇网络犯罪,2013年每名受害者被网络攻击导致的经济损失平均为187.8美元。[2]截至2017年,网络犯罪仍然是威胁澳大利亚国家安全的最主要形式。2017年,网络犯罪分子共从澳大利亚消费者手中窃取了23亿美元。[3]网络犯罪组织在利益的驱使下,不断从事经济犯罪活动,尤其是澳大利亚的私企一直是恶意网络活动的攻击对象。网络犯罪组织主要攻击盈利多、竞争力强和声誉好的企业,严重损害了澳大利亚企业的竞争优势。除此以外,网络恐怖主义的威胁也不容小觑。澳大利亚一度发布网络威胁报告认为:“网络恐怖主义会制造重大的网络破坏,网络空间的攻击目标将呈现多样化,网络恐怖组织可能会掌握更复杂的网络攻击能力。”[4]
(二)网络空间的大国竞争日趋激烈
网络空间是国家间合作和竞争的新领域。随着网络空间战略意义的凸显,当前世界主要大国和集团将权力的触角伸向网络空间,纷纷制定或者提升国家网络安全战略。由于国家的网络安全能力属于国防机密而不能轻易公开,导致国家间缺乏互信和彼此猜疑,不信任程度上升。目前,大多数国家仍然奉行防御型的网络安全政策,但一些国家正在秘密发展网络进攻性能力,并倾向采取隐秘的进攻型网络安全政策,这就会造成潜在的网络安全冲突。[5] 2008年爆发的俄-格战争是全球第一次针对制网权的大规模网络战争,[6]加之朝鲜和伊朗也都发动了进攻性的网络行动,其中一些行动造成了广泛的破坏。[7]美国情报机构的一份报告认为,截至2016年年末,已有三十多个国家在开发进攻性网络能力。[8]当前大国网络竞争以美国、俄罗斯和中国为主线。近年来,澳大利亚的网络安全不断受到大国网络对抗的冲击,网络安全形势不容乐观。据统计,针对600多名关键基础设施供应商的互联网与信息通信技术和安全管理人员的全球调查中,有超过60% 的澳大利亚受访者认为,外国政府参与了对澳大利亚关键基础设施的攻击活动。[9]
2016年美国大选的“黑客门”事件加剧了网络空间安全冲突的升级,使网络空间安全更加复杂化。有证据表明,针对美国总统大选的恶意网络活动并不是国际社会的孤立事件。美国国家安全局和网络司令部部长迈克尔·罗杰斯(MichaelRogers)认为,俄罗斯在网络投票选举方面的运作是“非常成功”的,而且可能成为未来选举安全的常态。[10]澳大利亚战略政策研究所也认为:“鉴于俄罗斯利用网络手段干预美国和欧洲的选举,澳方必须要在日益复杂的网络空间环境中未雨绸缪。”[11] 2017年2月,受俄罗斯黑客可能“干预”美国总统选举的冲击,澳大利亚网络安全中心(AustraliaCyber Security Centre, ACSC)应澳大利亚总理要求,向政府安全部门提交了一份关于网络干预选举进程的机密简报。[12]同年12月,中澳关系屡生枝节,澳大利亚政府认为中国对澳实施网络干预。美俄中的网络安全事件充分揭露了澳大利亚网络与信息环境越来越复杂。面对严峻的国际形势,澳大利亚迅速采取措施,以适应网络空间的地缘政治格局的新变化,加快制定网络安全战略步伐,提高政府应对网络安全威胁的能力。
(三)为建设数字化、信息化国家提供支撑
在21世纪的国际竞争中,信息化程度的高低已经成为一个国家科技实力的重要标志,并且在很大程度上决定着国家未来发展的潜力。[13]
澳大利亚政府历来重视数字化、信息化建设。澳大利亚网络安全战略的一个重要目标是加快澳大利亚互联网经济的发展,利用数字贸易和数字经济推动网络智慧国家建设。为此,澳大利亚出台了一系列促进互联网产业化发展的政策文件,2009年发布的《澳大利亚数字经济:未来方向》和2011年发布的《国家数字经济战略》两份指导性文件,力求将澳大利亚建设成全球领先的数字经济体。[14]澳大利亚政府虽然不断调整网络安全政策,但没有详细和全面的计划去解决数字时代的安全和商业经济问题。[15]在国际电信联盟发布的《2016年度社会发展衡量报告》(Measuring the Information Society 2016)中,澳大利亚的IDI[16]排名从2015年的第12名下降到2016年的第14名。截至2017年年末,澳大利亚国家宽带网络(NBN)铺设进程已过半,但由于国家的人员调配有限和资金短缺等问题,导致相当一部分群体仍没有固话宽带网络。为此,特恩布尔政府出台的新版《网络安全战略》也提到,将陆续在三年内投资1 500万澳元打造一个新的数字市场,优化国内网络基础设施,刺激网络安全产业的发展,合理解决数字化商业问题;并通过培养和招募网络技术人才,来解决人才短缺的难题,为国家实现数字化、信息化建设提供支撑。
[1]网络恐怖主义是指通过对计算机网络和其中存储的信息进行非法攻击和威胁,旨在恐吓或强迫主权国家和公民达到一定政治目的。参见Dorothy Denning, “Cyber Terrorism: TheLogic Bomb versus the Truck Bomb,” Global Dialogue, Vol. 2, No. 2, 2000, p. 29。恐怖主义行为是一种行为或实施某一行为的威胁,其目的是通过胁迫手段蓄意强迫或影响公众和政府,推行某种政治、宗教或思想主张,此类行为通常会造成人员死亡、严重伤害或人身威胁;重大财产损失;对公众健康或安全构成重大风险;严重干扰、破坏或毁坏关键基础设施,如电信或电网。参见Department of the Attorney General’s, Commonwealth of Australia, “Counter-Terrorism Laws,” 2011, p. 4, https://www.ag.gov.au/NationalSecurity/Counterterrorismlaw/Documents/Australias%20counter% 20terrorism%20laws.pdf。
[2]Symantec Corporation, “2013 Norton Report: Australia,” 2014, p. 1, http://www.symantec.com/content/en/us/about/presskits/b-norton-report-2013-australia.pdf.
[3]Australia Cyber Security Centre, “Threat Report ACSC,” 2017, p. 15, https://www.cyber.acsc.gov.au/publications/acsc_threat_report_2017.
[4]AustraliaCyber Security Centre, “Threat Report ACSC,” 2016, p. 7, https://acsc.gov.au/ publications/ACSC_Threat_Report_2016.pdf.
[5] CM Dunn,“Breaking the Cyber-Security Dilemma: Aligning SecurityNeeds and Removing Vulnerabilities,” Science and Engineering Ethics,Vol. 20, No. 3, 2014, p. 702.
[6]程群:《美国网络安全战略分析》,载《太平洋学报》2010年第7期,第74页。
[7] Councilon Foreign Relations Cyber Operations Tracker, https://www.cfr.org/interactive/cyber-operations.
[8]James Clapper, Marcel Lettre and Michael S. Rogers, “ Foreigncyber threats to the United States, Joint Statement for the Record to theSenate Armed Services Committee,” CongressionalTestimonies 2017, January 5, 2017,https://www.armed-services.senate.gov/download/clapper-lettre- rogers_01-05-17.
[9]Chris Brookes, “Cyber Security:Time for an Integrated Whole-of-Nation Approach in Australia,” TheCentre for Defence and Strategic Studies, 2015, p. 4,http://www.defence.gov.au/ADC/Publications/IndoPac/150327%20Brookes%20IPS%20paper%20-%20cyber%20(PDF%20final).pdf.
[10] ZoeHawkins, “Securing Democracy in The Digital Age,” The AustraliaStrategic Policy Institute,2017, p. 14, https://s3-ap-southeast-2.amazonaws.com/ad-aspi/2017-08/ASPI%20Securing%20 emocracy.pdf?j6I4yMJ0WZvVnLo3JodbYjg_2PLx6Jlp.
[11]Tom Uren and Danielle Cave, “Threat Posedby Evil Nations and Criminals in Cyber-land is Rising,” Australia Strategic Policy Institute, https://www.aspi.org.au/opinion/threat-posed-evil-nations-and-criminals-cyber-land-rising.
[12]该简报对2017年澳大利亚联邦大选前夕澳大利亚选举署和澳大利亚选举委员会如何开展网络安全做了具体部署,包括:重新对参议院投票系统进行技术审查,为澳大利亚选举委员会门户网站提供漏洞扫描工具,并讨论如何提升网上投票系统的安全。参见 Australia Cyber Security Centre,“Threat Report ACSC,” 2017, p. 50,https://acsc.gov.au/publications/ACSC_Threat_Report_ 2017.pdf。
[13]余丽:《互联网国际政治学》,北京:中国社会科学出版社2017 年版,第227 页。
[14]王光厚、王媛:《澳大利亚网络安全战略论析》,载《中国与世界》2016年第1期,第165页。
[15] Zoe Hawkins and Liam Nevill, “Australia’s Cyber Security Strategy: Execution &Evolution,” ASPI’s International Cyber Policy Centre, 2017, p. 3,https://www.acs.org.au/content/dam/acs/acs- publications/ Australias%20offensive%20cyber%20capability.pdf.
[16]信息与通信技术发展指数(ICTDevelopment Index, IDI),是由国际电信联盟发布。该指标包括信息化发展水平等在内的11个要素,作为各国政府、运营商、科研机构衡量各国之间数字鸿沟以及信息通信技术绩效的复合指标。参见International Telecommunication Union (ITU),“Measuring the Information Society,” 2016, http://www.itu.int/net4/ITU-D/idi/2016/#idi2016countrycard-tab&AUS.pdf。
二 澳大利亚网络安全战略的演进
民用网络制度化的建立拉开了澳大利亚网络空间时代的序幕。从“保护”关键基础设施、应对网络恐怖主义,到精简网络组织机构、转移网络政策性权力、加强公私网络安全合作,澳大利亚的网络安全战略经历了一个循序渐进、逐渐成熟的过程。
(一)起步时期(1991~1996年):以民用网络安全机制为开端
澳大利亚的网络安全起始于保罗·基廷(Paul Keating)执政时期。1988年初,美国联邦调查局曾与澳大利亚执法机构接触,认为澳大利亚的网络黑客对美国的网络安全造成威胁。随后,澳大利亚联邦政府颁布了1989年的《犯罪立法修正法》(CrimesLegislation Amendment Act),使犯罪分子非法获取和破坏计算机数据受到法律的惩处。澳大利亚是美国模式的早期学习者,为应对网络威胁,1992年澳大利亚三家公立大学在政府拒绝进行资助的情况下决定自筹资金,联合采用美国的计算机安全事故反应小组(ComputerSecurity Incident Response Teams, CSIRTs)的制度化组织形式,此后,澳大利亚民间的计算机应急小组(Australia Computer EmergencyResponse Team, Aus CERT)应运而生。[1]总之,澳大利亚的网络安全战略是建立在国内的网络安全机制基础上,并经过后续政府不断发展和完善。
(二)发展时期(1996~2007年):网络安全议题日趋多元
到约翰·霍华德(John Howard)执政时期,基层的网络社区组织化已经初步建立。霍华德政府继承了来之不易的改革遗产,将继续推行工党政府在教育、网络安全等政策规定。[2]由于该时期正处于世纪交替,互联网急剧膨胀,加上澳大利亚政府开始转向网络线上服务,如何保护信息安全成为政府的重要议题。虽然霍华德政府已在网络和信息安全领域颁布了一系列政策和措施,但并未持续推进,更多的是从联邦政府的电子政务和保护关键基础设施等领域来确保网络安全。九一一事件发生后,澳大利亚对恐怖主义采取高压姿态。2001 年,该政府发布《澳大利亚国家信息安全章程》和《政府信息安全行动计划》,加大了对反恐和关键基础设施安全的投资。同年9月发布的《全国电子(化)安全议程》[3]明确提出,努力降低澳大利亚关键基础设施和政府信息通信系统的安全风险,加强对家庭用户的保护。联邦政府通过《情报服务法》授权澳大利亚国防信号局(DefenceSignals Directorate, DSD)开展网络安全行动,[4]包括向政府提供密码学、通信和计算机技术服务;协助国防部队支持军事行动,处理情报数据安全事宜;保护政府和国防基础设施的通信信息安全完整性。
总体来说,霍华德政府时期的网络安全政策涉及关键基础设施、政府信息通信系统、国内网络安全立法等领域,呈现多元议题。但该时期政府并没有形成统一的制度化框架或制定优先目标事项,并且还增设多个网络行政机构,导致政府在网络安全行政上效率和领导力下降。
(三)形成时期(2007~2014年):网络安全战略初步形成
自2008 年金融危机以来,澳大利亚已然成为网络攻击的横行之地。这一阶段通过陆克文(Kevin Rudd)和朱莉娅·吉拉德(JuliaGillard)两届政府将澳大利亚网络安全推向顶层制度化设计。在陆克文时代,为进一步加强网络和信息安全,澳政府于2009年11月出台了《网络安全战略》,这是澳大利亚第一部国家网络安全战略,明确了网络安全的原则和目标,并建立起两个新组织,即网络安全行动中心(CyberSecurity Operations Centre, CSOC)和澳大利亚国家计算机应急小组(CERT)。陆克文政府将澳大利亚国家计算机应急小组部署在总检察署内,试图把民用的功能和经验融入到政府网络安全部门,提高政府应对网络安全的能力,而且在部门内设立了澳大利亚安全委员会,以此来加强网络安全政策与国家关键基础设施政策的结合。但此时,政府在处理公私伙伴关系时,并没有取得重大进展。此外,陆克文在2009年的国防白皮书中强调“网络战”的威胁与日俱增,然而,白皮书未能实施陆克文就卸任了。
2010年,朱莉娅·吉拉德的过渡政府在陆克文政府的基础上继续开展机构改革。2011年,时任总理吉拉德宣布,网络安全政策权力将由总检察署移交给总理。在2013年发布的《强大与安全:澳大利亚国家安全战略》中将“恶意网络活动”视为国家安全七大风险之一,主张精简网络行政部门并在2014年组建国家网络安全中心,全方位打击网络威胁,以提高数字网络的防御能力。吉拉德任期内创设了多部门联合的网络安全中心,促使实施网络政策的权力从总检察署转移到了总理和内阁部,一定程度上增强了联邦政府对网络安全政策的领导力。
事实上,从2007年至2014年澳大利亚的网络安全政策多集中于机构改革和国内的网络安全治理问题上。
(四)完善时期(2014年至今):网络安全渐成体系
托尼·阿博特(TonyAbbott)执政时期,其网络安全战略忽视了与亚太地区国家的网络安全合作,在网络政策制定过程中淡化了政府的领导力,网络政策呈现真空化倾向。
马尔科姆·特恩布尔(Malcolm Turnbull)政府上台后,迅速调整网络安全战略,网络安全渐成体系。2016 年4 月,该政府发布新的网络安全战略《澳大利亚网络安全战略:助推创新、发展与繁荣》(Australia’s Cyber Security Strategy: EnablingInnovation, Growth Prosperity),该战略打破了2009年以来历届政府的沉默。[5]此文件由澳大利亚、美国和英国的网络安全专家及商业团队组成的咨询小组来规划和设计,并作为澳大利亚网络安全战略的纲领性文件,提供了清晰的公私网络安全治理模式,增强了澳大利亚对数字安全防御能力的信心。澳大利亚网络安全部长安格斯·泰勒(Angus Taylor)表示:“该战略凸显‘国家网络防御’,核心要素是建立具有应急反应能力和研判网络安全事件性质的框架,以有效防御网络攻击。”[6]
2017年12月,特恩布尔政府外交和贸易部又发布《国际网络参与战略》(Australia’s InternationalCyber Engagement Strategy),对澳大利亚参与国际网络安全的目标和重点进行了全面规划,综合运用外交、经济,军事等手段保证网络空间环境的开放、自由、安全。
现阶段,澳大利亚的网络安全战略强调建立一个积极、外向、协作的宏观系统,其中最重要的是政府与私营部门通力合作,有效提高网络安全机构的透明度、执行力。澳政府希望通过对网络安全数据有效加密,高效识别网络安全威胁的数据来源,全方位地应对网络安全威胁。
[1]Frank Smith and Graham Ingram, “Organising Cyber Security in Australia and Beyond,”Australia Journal of International Affairs, Vol. 71, No. 6, 2017, pp. 645-646.
[2][澳]斯图亚特·麦金泰尔:《澳大利亚史》,潘兴明译,上海:东方出版中心2015年版,第270页。
[3]Kelly Mudford, “E-SecurityNational Security National Agenda,” Department of Communications IT and the ArtsAustralia,2007, https://www.itu.int/ITU-D/cyb/events/2007/hanoi/ docs/mudford-australia-E-security-national-agenda-hanoi-28-aug-07.pdf.
[4] ChrisHanna, “Cyber Operations and the 2009 Defence White Paper: Positioning theAustralia Defence Organisation to Be Effective, Transparent and Lawful,” Security Challenges, Vol. 5, No. 4, 2009, p. 110.
[5]Attorney-General’s Department, “Cyber Security Strategy 2009,” 2009, https://www.ag. gov.au/RightsAndProtections/CyberSecurity/Documents/AG%20Cyber%20Security%20Strategy%20-%20for%20website.pdf.
[6] DarraghO’Keeffe, “Federal Government Updates Cyber Security Strategy:Taylor,” Governmentnews, August 8, 2018, https://www.governmentnews.com.au/federal-government-updates-cyber-security-strategy-taylor/.
三 澳大利亚网络安全战略的内涵
基于对网络安全性质和面临网络安全环境的认识,特恩布尔政府制定的网络安全新战略,将网络安全提升到国家战略高度,为澳大利亚未来国家网络安全的发展提供了清晰的蓝图。
(一)建立全国性的网络安全合作网络
第一,建立新型政府组织结构,明确部门分工和角色定位。澳大利亚总理和内阁部将加强在网络安全政策方面的主导作用,对政府的网络安全战略执行情况进行综合监督。联邦政府已设立一名新部长,辅助总理处理网络安全事务,实现国内政策、外交事务与网络业务的三者有机融合,[1]其下属的网络安全顾问负责牵头多部门开展合作,推动战略实施。网络安全事务主任将领导国际网络安全事务,增进民众对国际网络安全事务的了解。此外,澳大利亚网络安全中心通过网络行政机制改革,将澳大利亚情报组织、计算机应急小组等机构统筹在一个整体,加强了国内各部门的合作与协调,提高了政府部门对资源的有效利用率(参见图2)。
澳大利亚作为人口较少但经济发达的国家,如何在节省人力资源成本的情况下建立一套行之有效的治理组织架构,这关乎澳大利亚网络安全战略的实施效果。澳大利亚新版的网络安全战略在很大程度上杜绝增设新的网络安全政策运行机构,并在现有的治理组织架构中完善,对政府机构进行了改组、调整,保持原有政府部门的功能属性。这将有助于集中网络安全政策和扩展业务机构的范围,以提高效率。根据澳大利亚网络安全中心发布的数据显示,“2017年澳大利亚的重大网络安全事件数量正在呈下降趋势”。[2]这也从侧面反映出目前的政府治理模式已初见成效。
第二,新版的网络安全战略也很重视与私营部门共建网络安全。澳大利亚政府与私营部门建立“全国性网络伙伴关系”是澳大利亚网络安全战略的中心环节。从20世纪90年代开始,私营部门一直反对承担更多的网络安全责任。随着网络安全风险的上升,为应对共同网络威胁,增强网络安全的集体责任感,公共和私营部门开始采取集体合作的方式来打击恶意网络活动。尤其是特恩布尔政府重视与私营企业共同建立网络安全信息共享机制,通过各地区的联合网络安全中心和网络安全信息门户网站,对网络威胁信息进行实时发布。2017年2月,在布里斯班(Brisbane)建立了第一个联合网络安全中心(Joint Cyber Security Centres, JCSC),该中心通过政府、企业和研究机构的合作,以交流敏感的网络威胁信息来应对网络威胁。[3] 2018年9月26日,澳大利亚时任国防部长克里斯托弗·佩恩(Christopher Pyne)宣称:“在南澳大利亚的阿德莱德又建立了一个新的联合网络安全中心”。澳大利亚内政部长彼得·达顿(Peter Dutton)表示:“联合中心规模的不断扩大能有效提高澳大利亚政府应对国家安全威胁的挑战,保证澳大利亚民众、企业主、运营商和大型关键基础设施公司,都能从全国各地的网络安全联合中心获得服务。”[4]
澳大利亚政府通过在联邦各州政府和行业之间建立完备的网络安全机制化合作网络,广泛吸引合作伙伴,并开展独特合作形式的数据共享和情报监听。不仅可以激发民间投资活力,也可以获取经济“红利”,分享创新成果。公私部门之间需有强烈的合作意识,私营部门愿意履行社会责任,并从被动认可政府向主动认可政府转变。一方面,澳大利亚的网络安全战略,注重民用网络安全的理念和方法,打造政府与私营部门“共同领导”“共同责任”“自我约束”和“自主治理”的网络安全治理模式;另一方面,澳政府建立全国性的网络安全合作框架能更好地协调中央政府与地方政府之间的权责关系,处理好政府内部各部门与私营部门之间的责任划分,构建互利互惠的政商关系。
(二)积极参与网络空间国际治理
当前网络空间国际治理已进入深水区。2017年6月,联合国信息安全政府专家组谈判无果而终,致使以联合国为主导的网络空间行为规则谈判陷入窘境。澳大利亚既反对政府在网络管理中的控制权,也反对在联合国系统内部(如国际电信联盟内部)对网络空间进行治理。澳大利亚主张积极参与网络空间国际治理,已经成为其外交政策的核心议题。[5]澳大利亚网络空间治理的目标是:实现网络空间的公平合作和有序治理,营造一个开放、自由、安全的网络空间环境。
1. 采用多利益攸关方的治理模式应对大国网络空间竞争
澳大利亚对多利益攸关方的治理模式可谓青睐有加,认为该模式是应对大国网络空间竞争加剧的有效工具,通过其制度设计和科学方法可以消除任何群体(包括政府)对网络空间施加的控制。2013 年,澳大利亚加入《欧洲委员会网络犯罪公约》(Council of Europe’s Convention on Cybercrime),[6]以打击网络犯罪,维护国际网络秩序。但澳大利亚认为该公约参与主体有限,未能吸收广大印太地区新兴国家,也不符合澳方的多利益攸关方的治理理念。目前,澳大利亚主张在“互联网域名和数字地址分配机构”(Internet Corporation for Assigned Names and Numbers, ICANN)和“全球和区域的互联网治理论坛”(Global andregional Internet Governance Forums, IGFs,包括东盟区域论坛、国际电信联盟、二十国集团等)平台中开展多利益攸关方的治理模式。[7]例如,美国政府在2016年10月将互联网域名管理权转交给ICANN的过程中,澳大利亚也发挥了积极的推动作用,并致力于继续深化ICANN的多利益攸关方治理模式,妥善解决各方分歧,避免大国在网络空间技术治理领域的分歧进一步蔓延到网络空间安全领域。
2. 提高印太地区国家的网络空间治理水平
澳大利亚与印太地区的国家在网络空间治理方式、治理理念和治理对象等问题上,加强沟通,共同塑造安全的网络空间环境。包括在多边组织中就“网络安全议题”继续与中国、印度、韩国、日本、新西兰等国进行网络安全合作。2017年2月,澳大利亚与印度尼西亚举办的法律与安全部长理事会议就将“网络安全议程”列入两国安全合作领域。2017年12月至2018年3月,在东盟—澳大利亚特别峰会筹备过程中,澳大利亚外交贸易部委托澳大利亚战略政策研究所的国际网络政策中心就如何加强东盟区域的网络空间政策提出建议,并鼓励澳大利亚智库与东盟成员国的研究机构加强学术沟通和交流,从而为2018年4月东盟领导人发表“关于网络安全宣言”提供前提条件。[8]澳大利亚利用对网络空间国际治理的科学认识,为成员国提供智力支撑,东盟峰会最终达成重要共识,增加了东盟地区的网络安全信任,减少或消除信息通信技术带来的恐惧和误判。
总体而言,澳大利亚为印太地区国家参与网络空间国际治理提供建设性意见,提高了国际社会的网络空间国际治理水平。
(三)促进国内网络安全与国际网络空间安全双向并举
澳大利亚在建立国内网络安全机制的同时,也高度重视网络空间的安全与稳定,认为只有将网络空间外部环境的威胁降到最低限度才可以保障澳大利亚的网络安全。目前,澳大利亚对于维护网络空间采取的措施如下:
1. 对网络空间中的不可接受行为采取有效回应和遏制
澳大利亚认为网络空间中的“不可接受行为”是与国际法和国际行为规范背道而驰的恶意网络活动。[9]澳大利亚将构建高效灵活的协调机制来回应和遏制不可接受行为,包括采取执法、外交施压、经济制裁和军事打击等多种措施。2017年6月3日,澳大利亚信号局(Australia Signals Directorate, ASD)成立了一个具备攻击性能的网络作战部门,该局旨在破坏(Disrupt)、削弱(Degrade)、拒止(Deny)和威慑(Deter)恶意网络活动以确保国家的网络安全。特恩布尔政府的新版《网络安全战略》也提到,澳大利亚将在总检察署内建立关键基础设施运行中心,开展对外资企业投资基础设施项目的风险评估,为政府决策提供支持。
2. 对主权国家在网络空间的行为设定明确的预期目标
澳大利亚严格遵守网络空间的国际法和行为规范框架,[10]并认为有必要阐释国际法的主体、规则、原则在网络空间的适用性以及如何约束国家行为。特别是在数字安全领域,国际法存在严重滞后的问题,澳方认为商定国际行为规范可对特定群体在特定情况下的国家在网络空间的行为设定预期目标,推动网络空间的新国际法体系形成。2015年联合国政府专家组出台11条准则,强调了网络规范的重要作用,并明确规定了国家在网络空间的行为预期目标。澳大利亚也将定期公布相关国际法是否适用于网络空间行为,及时表明国家持有立场。事实上,澳大利亚一直想通过商定网络空间的国际行为规范的方式,来把各个国家维持在一个总体上遵约的层面,而不应该纠结具体而又严格的条例和规则上。这种总体上的遵约从利益的角度和维护规范的效力上来说是“可接受的行为”。[11] 2015年11月,在G20峰会上澳方也与各方一道,明确提出禁止任何国家窃取贸易机密以获取商业收益的议案。2019年1月20日,澳大利亚政府与泰国政府达成“关于网络安全和数字合作的谅解备忘录”,备忘录指出:“两国要深化对国际法和国际规范在网络空间的应用和理解,并支持东盟制定和实施建立信任的具体措施。”[12]
(四)创新网络安全产业新形态
网络空间可以为经济增长和多元化的商业模式提供新的机遇。澳大利亚网络安全成长中心(The Australia Cyber Security GrowthNetwork, ACSGN)正处于网络安全生态系统革新的边缘。该中心正在培育具有潜力的网络安全公司,推动澳大利亚网络安全公司进入全球网络安全市场。澳大利亚网络安全成长中心鼓励澳大利亚网络安全企业开发技术、创新思维,并为网络安全公司提供资金支持。澳大利亚充分利用本国的优势网络资源发展商机,虽然国内的网络安全产业规模不大,但享有良好的国际声誉。[13]澳大利亚网络安全成长中心已经将澳大利亚的国内网络安全产品和服务推广到世界。
2017年2月,在澳大利亚贸易投资委员会(Austrade)的推动下,澳大利亚网络安全成长中心率领26个国内网络安全公司特派团参加全球网络安全会议(RSA2017),并为网络安全公司提供会议简报、现场访问计划和后勤保障支持。澳大利亚网络安全成长中心首席执行官克雷格·戴维斯(Craig Davies)认为,澳大利亚需要创建一个充满活力的网络安全产业,并为澳大利亚国内新增就业机会、创设合作平台,这样才能为澳大利亚带来可观的经济利益。[14]
目前,由于澳大利亚国内严重缺失网络安全从业人员,制约了政府创新网络安全产业新形态的努力。正如特恩布尔所说:“澳大利亚在创新时代的经济增长和生活水平将由人力资本和智力资本所决定。释放创新和想象力,准备好迎接改变,就会迎来‘思想繁荣’。”[15]针对该问题,澳大利亚将创新网络安全人才的培育方式,通过整合有限的资源,合理利用现有的社区网络合作关系来培养技术型人才。目前,澳方正在打造“网络安全卓越学术中心”(Academic Centres of CyberSecurity Excellence)项目。在这一项目中,政府将在四年内(2016~2020年)提供190万美元帮助澳大利亚高校建立“网络安全卓越学术中心”,充实国家网络安全队伍,为政府和工业部门提供教育培训,增加国家网络安全专业人员数量,引领世界网络安全研究。[16]
澳大利亚网络安全战略在提高网络安全能力的同时,兼顾网络安全产业的创新发展及人才培养。虽然,澳大利亚在网络安全的科技能力和创新意识方面尚与美国、英国的网络安全战略存在不小差距,但澳大利亚的网络安全战略仍值得中国学习借鉴。
[1] 2016年7月,丹·特汉(Dan Tehan)议员当选部长助理职位,主张政府与私营部门建立合作伙伴关系,并利用公共外交,成功提高了在网络政策上的公众知名度。2011年5月,麦克·吉本(Alastair Mac Gibbon)担任澳大利亚网络安全顾问,并牵头多部门开展合作,支持政府在网络安全战略上的变革,推动战略的实施。托比阿斯·弗金(Tobias Feakin)在2017年1月担任澳大利亚第一任网络安全事务主任,联邦政府在外交和贸易部设立这个职务有利于提升澳大利亚在印太地区的网络领导力。参见Zoe Hawkins and Liam Nevill, “ Australia’s CyberSecurity Strategy: Execution & Evolution,” ASPI’s International Cyber Policy Centre, 2017, pp. 5-7。
[2]Christian Leup Precht and Stephanie Maclellan, “Governing Cyber Security inCanada, Australia and the United States,” The Centre for International Governance Innovation, April 4,2018, pp. 12-16,https://www.cigionline.org/publications/governing-cyber-security-canada-australia-and- united-states.
[3]Rohan Pearce,“Government Launches Joint Cyber Security Centre in Brisbane,” Computer World, February 24, 2017, https://www.computerworld.com.au/article/614787/government-launches-joint-cyber-security-centre-brisbane/.
[4] “Australia’s Joint Cyber Security Centre Opensin Adelaide,” Army-Technology, November 26, 2018, https://www.army-technology.com/news/joint-cyber-security-centre/.
[5]Departmentof the Prime Minister and Cabinet, Commonwealth of Australia, “Australia’s Cyber Security Strategy,”April 21, 2016, p. 40, https://www.pmc.gov.au/sites/default/files/ publications/australias-cyber-security-strategy.pdf.
[6]UN General Assembly, “Group ofGovernmental Experts on Developments in the Field of Information andTelecommunications in the Context of International Security,” July 25, 2014, http://www.un.org/ga/search/view_doc.asp?symbol=A/68/98.
[7]Departmentof Foreign Affairs and Trade, Commonwealth of Australia, “Australia’s International CyberEngagement Strategy,” October, 2017, p. 59, http://dfat.gov.au/international- relations/themes/cyber-affairs/aices/index.html.
[8]Australia Strategic Policy Institute, “PracticalFutures for Cyber Confidence Building in the ASEAN region,” September 2018, pp.2-5, https://dfat.gov.au/people-to-people/foundations-councils- institutes/australia-asean-council/grants/Pages/practical-futures-for-cyber-confidence-building-in-the-asean-region.aspx.
[9]Australia Cyber Security Center, “Threat Report ACSC,” 2016, p. 6, https://acsc.gov.au/publications/ACSC_Threat_Report_2016.pdf.
[10]目前,澳大利亚所承认的符合网络空间的国际行为规范和国际法框架包括:第一,《联合国宪章》,禁止使用武力的规定(第2条第4款)、和平解决争端(第33条)以及联合国会员国受到攻击时,有单独或集体行动的自然权利(第51条)。第二,联合国政府专家组关于信息和通信技术的报告。第三,北约网络空间建议性指南:《塔林手册》。参见Departmentof Foreign Affairs and Trade, Commonwealth of Australia, “Australia’sInternational Cyber Engagement Strategy,” October2017, p. 48, http://dfat.gov.au/international-relations/themes/cyber-affairs/aices/index.html。
[11][美]莉萨·马丁、贝思·西蒙斯主编:《国际制度》,黄仁伟、蔡鹏鸿等译,上海:上海人民出版社2006年版,第284页。
[12]Department of Foreign Affairs and Trade, Commonwealth of Australia, “Memorandumof Understanding on Cyber and Digital Cooperation between the Government of theKingdom of Thailand and the Government of Australi,” January 2019, https://dfat.gov.au/international-relations/themes/cyber-affairs/Pages/mou-on-cyber-and-digital-cooperation-australia-thailand.aspx.
[13]谢邦秀、刘丽丽:《2016 澳大利亚网络安全战略解析》,载《湖北警官学院学报》2016年第4 期,第74-75页。
[14]Department of the Prime Minister and Cabinet, Commonwealth of Australia, “Australia’sCyber Security Strategy,” 2017, pp. 19-20,https://cybersecuritystrategy.homeaffairs.gov.au/sites/all/ themes/cybersecurity/img/cyber-security-strategy-first-annual-update-2017.pdf.
[15]李弘扬、赖海隆:《澳大利亚启动国家创新与科学计划迎接思想繁荣》,中国新闻网,2015年12月7日,http://www.chinanews.com/gj/2015/12-07/7660016.shtml。
[16]Department of the Education and Training, Common Wealth of Australia, https://www.education.gov. au/academic-centres-cyber-security-excellence-accse.
四 澳大利亚网络安全战略的新动向
由研究可知,澳大利亚的网络安全战略注重整合已有优势资源,并通过精简机构和确立优先事项来降低网络安全建设成本。当前,澳大利亚的网络安全战略仍处于转型期,不过已经呈现某些值得关注的战略新动向,如加大在印太地区的网络安全投入、致力于网络军事化变革、加强与传统军事盟友的合作,以适应互联网军事化变革。
(一)加大对“印太地区”的网络安全投入
近些年“印太”概念逐渐兴起,并进入澳大利亚战略话语体系。澳大利亚作为印太地区的重要国家,一直以来希望提升在该地区政治地位,更大程度介入地区事务。笔者统计了澳大利亚的网络安全战略文件,[1]其中“印太地区”出现的频率总计百余次。可见澳大利亚对印太地区的重视。目前印太地区正处在深刻转型期,特恩布尔政府的印太战略作为亚太地缘政治扩张的产物,还存在内容不全面、功能不完备、形式带有安全色彩等问题。澳大利亚政府想以网络安全战略为着力点,实现区域包容性发展,[2]丰富印太战略的内涵。2017年的全球互联网用户调查显示,有50% 以上的消费者位于印太地区,但该地区只有46.4% 的家庭拥有互联网。[3]澳大利亚深知印太地区拥有广阔的市场前景,澳方增加印太地区的网络安全投入,可以利用印太地区的市场资源,打造数字时代的全球领导者地位。当前澳大利亚的印太战略具备过多的安全内容,通过提高印太地区的网络安全投入,来增强印太战略的经济功能,使印太战略具有长久的生命力。值得注意的是,澳方也想借增加印太地区的网络安全投入对冲中国的“一带一路”倡议在印太地区的经济影响。
澳大利亚政府增加在印太地区的网络安全投入,主要以基础设施的互联互通和预防网络安全犯罪为主题,致力于改善印太地区互联网的基础设施状况。澳大利亚电信公司将打造与东南亚国家之间的新型海底电缆体系,并使用具有抗灾能力的互联网技术。据澳大利亚《2017年外交政策白皮书》所公布的资料,到2030年澳大利亚将在巴布亚新几内亚投资460亿美元,其中就包括电信基础设施等项目。[4]澳大利亚也逐渐加大了在网络安全合作项目(Cyber Cooperation Program)的双边、区域和多边合作投入程度。例如澳大利亚每年举办的“网络安全周”活动,通过向国际社会和客户展示澳大利亚的网络安全能力,提供具有前瞻性的网络安全建议和解决方案。澳大利亚联邦警察署与印太国家的警察机构,开展培训合作共同解决网络犯罪问题。澳方与新加坡建立的国际刑警组织全球创新联合中心(Interpol Global Complex for Innovation, IGCI)提供了打击网络安全犯罪的多边区域平台,澳方将在该组织中发挥引领作用并致力于提高印太地区网络安全能力。2016年10月,澳大利亚与联合国毒品和犯罪问题办公室开展合作,在泰国曼谷建立了一个网络犯罪培训项目,与其他国家(如巴布亚新几内亚、越南和印度尼西亚)举办了网络讲习班和培训方案。
澳大利亚通过加大对印太地区的网络安全投入,不仅可以提升澳大利亚的国际形象,还可以更好地推进印太战略,减少各国对印太战略的误解,避免印太战略空洞化。澳大利亚以网络安全战略为突破口,丰富了印太战略的内涵,也有助于构建开放、包容与繁荣的印太地区。
(二)适应网络军事化变革、提高网络进攻性能力
网络空间可以通过发展军事或军事威慑来保护,各国政府一直遵循这种方式,向军方投入资金和技术,以保证国家的网络安全,并采取主动进攻战略寻求战略主动权。[5] 20世纪90年代中期,美国国防部率先采用网络军事进攻理论,开始重视网络的军事价值。当时的美国参谋长联席会议副主席比尔·欧文斯(Bill Owens)向澳大利亚国防部长介绍了情况。[6]时过境迁,特恩布尔政府为推动澳大利亚的知识和信息化变革,强调政府在网络军事化变革中的公共政策领导力,将优先发展国防部的网络进攻性能力。[7]目前,澳大利亚国防军正在经历一场重大军事变革,网络作战部门正开发新的作战指挥系统,发展网络军事作战理论,它将保卫澳大利亚的军事设施免受网络攻击,并具备对外国军队发动网络进攻的能力。澳大利亚的网络安全战略正由过去的被动的防御性网络战略向主动的进攻性网络战略转变。
澳大利亚新南威尔士大学的格雷格·奥斯汀( Greg Austin)教授也认为,这是澳大利亚国防战略最大的转变之一。[8] 2016年4月,特恩布尔政府对外界宣布澳大利亚具备网络进攻性能力。同年6月,澳方承认在打击“伊斯兰国”等恐怖组织中使用了网络进攻能力。[9] 2017 年6月30日,澳大利亚又公开承认将运用网络进攻性能力打击“国际网络犯罪组织”。同日,澳大利亚时任网络安全部长丹·特汉(Dan Tehan)宣布,将在国防军内部组建信息化网络作战部。据澳大利亚国际网络政策研究中心披露:澳大利亚信号局将负责具体操作。目前有两套操作流程:一是网络安全防御流程(Cyber Security);二是网络行动流程(Cyber Operations)(参见图3)。[10]
澳大利亚国防部将根据网络安全威胁的目标、性质、动因适时采取不同流程。另外,发动网络作战是在联合行动长官的指导下进行,由信号局和联合作战司令部共同实施。[11]澳大利亚在网络进攻性能力上着重强调实施的透明度,严格遵守国际法和网络交战规则,并接受网络情报和安全总监的监督。未来澳大利亚的网络进攻能力将重点放在:威慑和应对网络安全突发事件;支持盟军的联合军事行动(在伊拉克和叙利亚的联合行动);打击跨国网络犯罪以及情报收集。澳大利亚的网络进攻性能力依托高度一体化的组织机构,具体有以下三个优点:[12]第一,提高情报和军事活动的互动效率,增强网络进攻性能力的实际操作水平。第二,通过组织机构整合以增加隐性和显性的知识转移机会。例如在发动网络进攻性行动时,会涉及具体的进攻性技术操作、技术指令等,而通过机构一体化实现知识技术的转移。第三,可以有效地分配资源,尽量减少任务重叠。
据估算,未来十年内澳大利亚国防军的网络安全专家将由原来的100名增加到900名。澳大利亚国防力量学院(Australia Defence Force Academy,ADFA)将继续为澳大利亚国防军输送新一代的网络战技术专家。2016年,该学院为适应网络军事化变革,新设网络安全硕士学位,并培养具有网络谍报攻防转换能力的实战型信息技术人才。国防力量学院还设有澳大利亚安全中心,该中心将为澳国防部的网络作战指挥中心人员提供先进的网络安全培训。[13]从目前掌握的资料来看,澳大利亚的网络进攻性能力才刚起步,配套设施并不完善,尤其是对网络安全人才的需求不能满足现实需要。这些都限制了澳大利亚网络进攻能力的发展。
澳大利亚的网络进攻性能力是国家安全能力的重要补充,但澳方只是想将其作为保障国家安全的一种手段,目前不足以独立实施真正意义上的网络威慑战略,距离发动网络战还有一定距离。
(三)保持澳美网络安全战略的联动性
在分析澳大利亚网络安全战略时,美国是影响澳大利亚网络安全战略动态的重要因素。澳大利亚希望美国加大在印太地区的网络安全的投入力度,保持澳网络安全战略的联动性。对澳大利亚来说,美国在印太地区的盟国中拥有广泛的网络安全资源,澳可利用美国先进的网络安全技术和情报数据共享平台来防范其他大国的潜在威胁。澳大利亚一直将澳美同盟与五眼联盟[14](美、英、加、新、澳)作为澳美网络安全战略协调一致的重要制度保证。早在2001年澳美就建立了网络安全合作伙伴关系。2011年,澳美两国宣布将“网络攻击”纳入双边安全条约中。[15] 2016年9月,澳美政府召开“澳美网络合作对话”(Australia-US Cyber Cooperation, AUCC),重点包括共同打击网络犯罪,加强与私营部门合作,促进开放、规范的互联网的环境,保障亚太地区的数字经济安全。[16]澳大利亚与美国的网络安全合作围绕情报搜集、信息共享、协同反间谍等网络联合行动展开。澳方也积极参加美国主导的网络风暴演习(Cyberstorm Exercise),借助演习的真实对抗,从而在“一些关键基础设施遭受大型网络攻击”中评估自身的网络水平。
近年来,澳美网络安全合作并不顺利,合作质量呈下降趋势。澳方认为目前美国的网络安全战略侧重于减缓自身正在衰落的网络空间实力,有选择地优先给予盟国网络安全支持。美国国防部作战试验与评估办公室主任罗伯特·贝勒(Robert Behler)表示该中心正与韩国军队合作开发“网络靶场环境”的适应性训练,为其提供网络战的训练大纲。当前,澳大利亚国防部正在开发网络生存性的试验和评估(Cyber-Survivability Test and Evaluation)工作,迫切需要美国的帮助。澳大利亚认为美国将澳方置于亚太网络情报收集的前沿,却没有履行其应有的义务。例如美国近年来在澳大利亚中部地区的联合情报设施松树谷(Pine Gap Station)进行系统更新,但由于该设施高度依赖对互联网的信息数据平台和操作系统,也会存在网络攻击的风险。[17]
特朗普上台以来,其对网络安全政策的定位和内容缺乏足够的讨论,不断对外释放前后矛盾的信号,[18]加大了澳方的担忧,具体表现为:美政府高层与情报界的关系紧张;美方将网络作战的先进技术优先部署于东亚地区;美方可能再次出现泄露敏感信息事件,[19]都对澳大利亚的国家安全利益造成威胁。特朗普政府对网络安全的轻视可能使澳大利亚的国家安全面临威胁。因此,保持澳美网络安全战略的联动性、继续巩固联盟内部的网络情报合作关系和战略互信对澳大利而言至关重要。未来,美国对澳大利亚网络安全的支持力度很大程度上将决定澳大利亚网络安全战略的实施前景。
[1]此处笔者主要考察的是特恩布尔政府发布的《澳大利亚网络安全战略》和《国际网络参与战略》两份文件。
[2][澳]梅丽莎·康利·泰勒、阿卡提·班次瓦特:《澳大利亚与印度在“印太”认识上的分歧》,钟爱译,载《印度洋经济体研究》2014年第1期,第142页。
[3]Department of Foreign Affairs and Trade, Commonwealth of Australia, “Australia’sInternational Cyber Engagement Strategy,” 2017, p. 13, http://dfat.gov.au/international-relations/themes/cyber-affairs/aices/chapters/part_2_cyber_security.html.pdf.
[4]Department of Foreign Affairs and Trade, Commonwealth of Australia, “2017Foreign Policy White Paper,” 2017, p. 110,https://dfat.gov.au/international-relations/themes/cyber-affairs/Pages/news- and-announcements.aspx#2019.
[5]Mary Ellen O’Connell, “CyberSecurity without Cyber War,” Journal of Conflict & Security Law,Vol. 17, No. 2, 2012, p. 209.
[6]Greg Austin, “Australia’s Military to Develop Cyber-EnabledWarfare Doctrine,” The Diplomat, May 2015, http://thediplomat.com/2017/05/australias-military-to-develop-cyber-enabled-warfare-doctrine/.
[7]目前而言,国际学术界对“网络进攻性能力和行动”的定义主要集中于美国和英国等西方国家。本文所涉及的“网络进攻性能力和行动”的定义主要涉及军事范畴。澳大利亚虽然没有明确的定义但基本沿袭美欧等国家的用法,本文将澳大利亚的网络进攻性能力或行动定义为,通过网络空间来操纵、拒止、削弱、阻断或破坏对手的计算机、信息和通信技术(ICT)和网络基础设施,以此来实现战术目标。参见Joint Chiefs of Staff, JP3-12, Cyberspace Operations, Joint Publication 3-12 (R), February 5, 2013, https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_12R.pdf; UK Ministry of Defence, “Ministry of Defence’s Cyber Good PracticeGuide to Protecting Yourself in Cyberspace,” Cyber Primer, 2nd edition, July 2016,pp. 6-10, https://assets. publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/549291/20160720-Cyber_Primer_ed_2_secured.pdf;Defence Cyber Strategy, “Aan de Voorzitter van de Tweede Kamer derStaten-Generaal Den Haag,” letter from the Minister for Defence, February 23, 2015,pp. 1-10; Tom Uren and Bart Hogeveen and Fergus Hanson,“Defining Offensive Cyber Capabilities,” AustraliaStrategic Policy Institute, July 4, 2018, pp. 2-5, https://www.aspi.org.au/report/defining-offensive- cyber-capabilities。
[8]Ashlynne McGhee, “Cyber Warfare UnitSet to be Launched by Australia Defence Forces,” ABC News, June 30,2017, http://www.abc.net.au/news/2017-06-30/cyber-warfare-unit-to-be-launched- by-Australia-defence-forces/8665230.
[9]Malcolm Turnbull, “Address to Parliament: National Security Update on CounterTerrorism,” Transcript, November 23, 2016,https://www.aspi.org.au/report/australias-offensive-cyber-capability.
[10]防御流程包括自卫和被动防御。“自卫”是指提高国防部队的基础设施防御能力和安全防范意识;“被动防御”是指按照网络安全防御标准进行操作。攻击流程包括主动防御和发动进攻。“主动防御”是指识别入侵对象和判断威胁程度而采取的措施;“发动进攻”是指发动网络进攻指令等一系列操作。参见Fergus Hanson and Tom Uren, “Australia’s OffshoreCyber Capability,” International Cyber Policy Centre, April 10, 2018,https://www.aspi.org.au/opinion/secrecy-surrounds- cyber-warfare-team-canberra-basement。
[11]Fergus Hanson and TomUren, “Australia’s Offshore Cyber Capability,” International Cyber Policy Centre, April 10, 2018,https://www.aspi.org.au/opinion/secrecy-surrounds-cyber-warfare- team-canberra-basement.
[12] MaxSmeets, “Integrating Offensive Cyber Capabilities: Meaning, Dilemmas, and Assessment,”Defence Studies, Vol. 18, No. 4, 2018, pp. 395-410.
[13]Clive Hamilton, Silent Invasion: China’s Influence and in Australia, Melbourne: Hardie Grant,2018, pp. 154-155.
[14]五眼联盟(Five Eyes)作为盟军的多边情报网络共享平台,起源于第二次世界大战期间盟军情报合作与交流。该情报网络是根据1947年最高机密的(美国、英国、澳大利亚、新西兰、加拿大)“UKUSA协议”分工协作的,澳大利亚目前主要负责的范围包括:中国的南部地区、中南半岛以及中国的邻国(如印度尼西亚)的网络情报搜集,在情报链上属于初级合作伙伴。参见 Andrew O’Nei, “Australiaand the ‘Five Eyes’ Intelligence Network: the Perils of an Asymmetric Alliance,”Australia Journal of International Affairs, Vol. 71, No. 5, 2017, p. 529。
[15]参见 Australia Cyber Security Centre, “ThreatReport ACSC,” 2016, p. 5, https://acsc.gov.au/ publications/ACSC_Threat_Report_2016.pdf。
[16] MatthewHolding, “Trump’s Threat to Australia-US Cyber Cooperation,” Australia Institute of International Affairs, July 7,2017, http://www.internationalaffairs.org.au/Australiaoutlook/trumps- threat-australia-us-cyber-cooperation/.
[17] DavidSchaefer, “Australia’s New Alliance Dynamics, US-China Rivalry and Conflict Entrapmentin Outer Space,” Australian Journal of International Affairs, Vol. 72, No.1, 2018, p. 37.
[18]张腾军:《特朗普政府网络安全政策调整特点分析》,载《国际观察》2018年第3期,第67页。
[19]澳大利亚担心美国特朗普当局会再次出现类似“棱镜门计划”的网络情报项目的泄露,由于特朗普团队给外界的不确定性导致澳方对澳美之间的网络安全合作项目缺乏信任。
五 澳大利亚网络安全战略对中国的启示
澳大利亚作为中等强国在维护网络空间的战略稳定、避免大国网络冲突升级发挥了独特作用。2017年4月21日,中澳首次高级别安全对话会议就网络安全等议题开展了合作。中澳网络安全合作蕴涵着广阔的扩展空间。中国的网络安全战略可以吸收借鉴澳大利亚网络安全战略的成功经验,从而更好更快地推进网络强国建设。澳大利亚政府长期致力于网络安全实践,对构建中国的网络安全战略具有重要的借鉴意义,也对中国制定网络安全战略提供了有益的启示。
(一)密切关注澳美网络进攻性战略合作的新进展
澳大利亚网络安全战略是美国亚太战略的风向标。澳大利亚是美国在亚太地区的前哨,也是沟通亚洲与西方世界的桥梁。澳大利亚网络安全战略的建立和发展,借鉴了美国和英国的经验。澳大利亚网络安全战略的制定既反映了澳美在安全上的紧密联系,也反映出澳美网络安全战略协调不一致。在特朗普政府将于亚太地区进行战略收缩的背景下,作为美国“保护国”的澳大利亚显然非常焦虑。澳大利亚2016年《国防白皮书》也提到,[1]澳大利亚国防军需要美国的信息作战平台,从而能够增强澳大利亚网络攻击的威慑力量。澳大利亚的网络安全战略偏向于前沿防御,并带有一定的干预主义性质。澳大利亚希望美国继续加大在亚太地区的军事和政治存在,以制衡中国日益增长的权力和影响力,其中就表现在网络安全领域。
在此背景下,澳大利亚倾向于与中国保持一定距离,甚至不惜拒绝“一带一路”倡议在网络安全领域的对接。目前,澳大利亚政府和媒体对中国华为公司进入澳大利亚国内5G市场十分担忧。据报道:“特恩布尔政府已采取新的措施,阻止中国公司投资澳大利亚电信产业。”[2] 2018年8月,澳大利亚新一任总理莫里森(Scott Morrison)公开表示,联邦政府出于国家安全考虑,禁止中国科技巨头华为公司参与澳国内5G移动基础设施的投资。[3]
从中国角度看,在印太地区深刻转型期间,应提高对澳大利亚网络安全战略的关注程度。当前美国和澳大利亚欲联合打造印太战略,将矛头直指中国。虽然澳美网络安全合作还没有在印太战略中显现,但是中国更要提高警惕。一旦澳美网络安全战略联动形成,会对中国造成不小的挑战,中国应密切注意澳美进攻性网络安全战略的新变化、新趋势,以一定的战略定力,妥善处理。
(二)加快建立中国特色的公私网络综合长效机制
澳大利亚的网络安全战略是建立在市场私有化基础上的,中国不能生搬硬套澳方的公私网络治理模式。加之当前澳大利亚政府的网络安全治理改革派对国家中心主义的提倡,使政府在依托私营的过程中重视力度不够。新南威尔士大学的两位高级网络安全专家亚当·亨利(Adam Henry)和格雷格·奥斯汀也都抨击了澳大利亚的网络安全战略,认为政府与私营和教育存在脱节的状态,澳大利亚网络安全中心和内政部的官员似乎偏好于“极简主义”。[4]
中国应形成以网络安全为立法核心,以党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与的中国特色公私网络综合治理长效机制。2017年6月1日开始实施的《中华人民共和国网络安全法》,极大程度地完善了互联网法律法规体系,从根本上加强了网络安全。同时,我们也应注意到仅依靠政府的力量是薄弱的,由于私营部门相对于公共部门在应对网络安全突发事件中具有的灵活性和创新性,政府应与企业在网络安全上开展广泛合作,采取联合共治。在此基础上要以政府为导向,以企业为主体,特别要支持私企在网络安全治理上发挥的积极作用。
中国可考虑设立一个统筹网络安全的常设委员会,用于协调政府、企业和学术专家之间的伙伴关系,并考虑采用澳大利亚的“信息共享”方式,制定公私网络合作的具体行为准则和执行计划,明确公私责任边界、确立短期合作目标、完善对私营企业的激励制度。政府公共部门要加大对非机密性信息的共享程度,从而调动私营部门的积极性。私营部门应与政府共同创新治理方式和治理手段,政府也要积极引导私营部门承担社会责任,投身网络安全公益活动,共同努力建设网络强国,构建互惠互信的政商关系,直至形成具有中国特色的现代化网络治理体系。
(三)保障“数字丝绸之路”安全 推动网络强国建设
当前,国际体系与数字时代正趋于融合,大国关系激烈动荡。中国正处于社会转型重要阶段,提高中国在数字时代的网络安全产业转型质量、推动网络强国建设等问题日益重要。中国要保障“数字丝绸之路”的安全,为世界各国提供可靠的网络安全服务。
近年来,中国网络安全产业保持高速发展态势,2018年中国网络安全产业规模达到510.92亿元,较2017年增长19.2%,预计2019年达到631.29亿元,从业企业近3000余家,产业体系日趋健全,技术创新高度活跃,综合实力显著增强,为保障国家网络空间安全奠定了坚实的产业基础。[5]中国应抓住互联网升级换代的过程,持续推进网络基础设施优化升级,助力网络强国建设。全球安全产业规模从2016年至2020年有望保持超过8%的增长速率。与美、日等国家相比,中国的网络安全投入仍有较大增长空间。中国可以此为“跳板”,打造本土优势品牌,加快网络安全的科技创新,促进新兴企业发展,特别在网络安全产业部门,鼓励国内网络安全产业扩大到全球市场。中国应大力推进“中国制造2025”计划中涉及网络安全的行业,扶持中国科技巨头。中国作为网络大国必将以网络安全技术和产业为支撑,抢占互联网市场。目前中国已在非洲、南太平洋岛国的多个国家建立了通信基础设施和平台,通过持续保障“数字丝绸之路”安全、可靠,从而改善全球互联网状况。
2018年4月,中共中央第一次召开全国网络安全和信息化工作会议,习近平主席在会上指出,核心技术是国之重器,要推动产业数字化,利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造,提高全要素生产率,释放数字对经济发展的放大、叠加、倍增作用。[6]中国作为“数字丝绸之路”的倡导者和建设者,应加强与澳大利亚等国家在数字化战略和数字经济政策的对接、缩小数字鸿沟,推动网络强国建设。
(四)积极推动中澳网络安全合作 塑造负责任大国形象
网络空间的开放性决定了网络安全不分国界,只有通过国家间合作才能应对网络威胁。中国和澳大利亚在网络主权和治理方式上还存在分歧,澳方主张互联网自由、尊重人权,抵制互联网审查制度,认为中国的审查制度侵害了澳大利亚的网络主权。澳大利亚对华的态度也表现出了怀疑和不信任,认为中国政府和具有国有控股背景的企业长期“窃取”澳大利亚的企业机密和贸易机密,对中国的网络强国建设更是横加指责,把中国看作构成现实和潜在的网络安全“威胁”。究其原因,既有网络空间无政府状态(cyberanarchy)下中美权力之间的博弈,也有基于对互联网治理理念和网络空间秩序观点的迥异。
针对澳方的质疑,中国应加强两国战略对话,利用现有的中澳网络安全合作框架,妥善处理分歧。中澳尤其应在打击网络犯罪中继续深化合作,扩大彼此共识。当前,中国提出的构建“网络空间命运共同体”正是着眼现实,从人类共同福祉出发,树立负责任大国的良好形象,推动全球互联网治理朝着更加公正合理的方向发展。
虽然澳大利亚和中国的网络合作还处于起步阶段,总体上澳大利亚对中国建设网络强国道路持欢迎态度,[7]愿意与中国就制定网络行为规范、维护网络空间秩序开展合作,这也符合澳大利亚网络安全战略既定目标。未来中国提出的网络空间治理方案应积极争取澳方支持,中澳网络安全合作仍蕴含广阔的扩展空间。
[1]Department of Defence (Australia), “The Defence White Paper,” 2016, pp. 51,85-86, 89, 121, 150, http://www.defence.gov.au/whitepaper/Docs/2016-Defence-White-Paper.pdf.
[2]David Crowe, “Phone Users Set to Foot the Bill Amid Fears over China Tech Power,”Sydney Morning Herald, March 24, 2018, https://www.smh.com.au/politics/federal/phone-users-set-to-foot-the-bill-amid-fears-over-china-tech-power-20180323-p4z5y4.html.
[3]Susan HarrisRimmer, “Australia Should Brace for a Volatile Year in ForeignPolicy in 2019,” The Conversation, January 4, 2019,https://theconversation.com/australia-should-brace-for-a-volatile- year-in-foreign-policy-in-2019-19006.
[4]Matt Johnstonand JulianBajkowski, “Australia’s Cyber Management ‘Minimalist’, Hostage to Handfulof Bureaucrats,” itnews, December 20, 2018,https://www.itnews.com.au/news/australias- cyber-management-minimalist-hostage-to-handful-of-bureaucrats-517128.
[5]中国信息通信院:《中国网络安全产业白皮书(2018)》,2019年9月18日,http://www.caict. ac.cn/kxyj/qwfb/bps/201909/P020190923420831742865.pdf。
[6]人民日报评论员:《核心技术是国之重器!建设网络强国,习近平提出新要求》,中国新闻网,2018年4月21日,http://www.chinanews.com/gn/2018/04-21/8496963.shtml。
[7]许善品:《后冷战时代澳大利亚的“中国观”》,载《太平洋学报》2015年第9期,第43页。
六 结语
澳大利亚的网络安全战略布局远、涵盖广、理念新,彰显当前自由党—国家党联盟对网络安全战略的重视程度,但其中的一些目标能否实现有待进一步观察。
总体来说,澳大利亚的网络安全战略深受自由主义影响。在国内层面:澳大利亚政府希望通过网络安全机构的“同地办公”来提高办公效率,并整合现有的组织架构。澳大利亚国内的网络安全治理模式最大的优势就是通过建立联邦政府与地区政府之间、公共部门与私营部门之间的全国性、多层次的网络伙伴关系,将原先孤立的各州或地区政府网络机构数字化,从而优化国家总体网络安全态势。澳大利亚之所以能建立其全国性、多层次的网络伙伴关系,也要归因于澳历届政府坚持采用民用网络安全的基本方针:即基础设施应由私人占有、私营部门可自愿参加网络安全治理、基层社区组织应实现网络自治。
在国际层面:澳大利亚的总体战略目标是在中美之间维持大致的战略平衡,即在依靠美国获得安全保护和依赖中国获取经贸实惠之间保持平衡。由于数字经济相对实体经济易受到地缘政治结构和国内政治生态的影响,致使澳大利亚的对华网络安全政策受到冲击。澳国内网络安全事务很可能成为中美权力竞争的缩影,具体体现在电信立法、情报监视、互联网审查、网络安全市场、互联网政治操纵等领域。
出于对国家安全的考虑,澳大利亚对中澳间的网络安全合作仍心存疑虑。中国应通过加强两国战略对话,利用已有的中澳网络安全合作框架,妥善处理分歧。未来,澳大利亚网络安全战略的重点是继续扩大国际网络安全合作、倡导开放和自由的网络空间环境、保护国家的关键基础设施免遭破坏、预防印太地区的网络犯罪活动。
从澳大利亚参与网络全球治理的实践来看,澳方大力推崇多利益攸关方的网络治理模式,想以此降低大国在网络空间的竞争烈度。中国在制定网络安全战略时需谨慎界定“明智的利益”,[①]兼顾他国在网络空间的合法权益,并顾及各利益攸关方的重大关切,最终实现合作共赢的新型网络安全治理目标。
[①]“明智的利益”是指大国在维护本国利益的同时也要承认其他国家与其实力相应的正当利益。
【收稿日期:2018-12-26】
【修回日期:2019-01-21】
【责任编辑:齐 琳】
(本文部分图片源于网络)
声明:本文来自国际安全研究ISS,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。