本期關鍵詞：日本 網絡安全 戰(zhàn)略

　　2021年7月12日，日本內閣網絡安全中心（NISC）在官網上發(fā)布消息，公布最新版《網絡安全戰(zhàn)略》（草案）并征求公眾意見。

　　NISC稱，現(xiàn)行的網絡安全戰(zhàn)略（2018年7月）是“今后3年應實施的各項措施的目標和實施方針”，將于2021年到期，因此，網絡安全戰(zhàn)略總部制定了下一期網絡安全戰(zhàn)略（草案），并在8月10日前向國民廣泛征求意見。當前征求意見活動已經結束。下面是我們對日本最新版《網絡安全戰(zhàn)略》（草案）的簡介。其PDF版（55頁）及機翻譯文已放入三正公司知識星球，詳情歡迎點擊文末“閱讀原文”進入查看。

　　圖片來源：NISC官網

　　概要

　　1. 下一期網絡安全戰(zhàn)略的課題和方向

　　對進入2020年代的日本所處時代的認識：“新常識”與數(shù)字化社會的到來。

　　圍繞網絡空間的課題認識：國民整體參與到網絡空間中來。

　　鑒于數(shù)字經濟、數(shù)字改革、新冠疫情、遠程辦公和在線教育的發(fā)展、日益嚴峻的安全保障環(huán)境、東京奧運會和殘奧會的召開、期待數(shù)字技術對SDGs的貢獻等，日本政府制定了涵蓋全體國民等所有主體的“Cybersecurity for All”，以確保“自由、公正、安全的網絡空間。

　　圖片來源：NISC官網

　　2. 提高經濟社會活力及持續(xù)性發(fā)展

　　日本政府將于今年9月設置”數(shù)字廳“，推進數(shù)字社會建設。另，為了將網絡安全與企業(yè)價值結合，要提高數(shù)字投資與安全對策的一體性。

　　具體措施為：

　　經營層的意識改革：通過數(shù)字化管理行動指南的實踐，進一步推動網絡安全管理指南工作的可視化；

　　地區(qū)和中小企業(yè)中”DX with Cybersecurity“的推行：通過當?shù)厣鐓^(qū)的推廣和發(fā)展，以及面向中小企業(yè)的服務審查注冊制度，應對數(shù)字化面臨的知識和人才短缺問題；

　　建設基礎以確保供應鏈等的可靠性：基于 Society5.0 的框架等推進各種舉措；

　　提升包容性數(shù)字和安全能力：在推進信息教育的同時，與”數(shù)字化應用“團體合作，推進各種措施。

　　3. 實現(xiàn)國民安全且安心生活的數(shù)字社會

　　提供保護國民和社會的網絡安全環(huán)境；確保網絡安全，與以數(shù)字廳為龍頭的數(shù)字改革相融合；對支持經濟社會基礎的各主體采取措施；多樣化主體之間實現(xiàn)信息共享與合作，強化應對大規(guī)模網絡攻擊事件的體制。

　　4. 為國際社會的和平穩(wěn)定及日本的安全保障做出貢獻

　　日本周邊的安全保障環(huán)境日趨嚴峻，網絡空間成為國家間競爭的場所，這也反映了地緣政治的緊張局勢。為保障網絡空間安全穩(wěn)定，日本比以往任何時候都需要提高網絡領域在外交和安保方面的優(yōu)先地位。目標是：確保自由公正且安全的網絡空間、國際合作、提升日本的防御能力和狀況掌握能力等。

　　具體措施有：促進網絡空間的法治；加強防衛(wèi)省自衛(wèi)隊的網絡防衛(wèi)能力，確保尖端技術和防衛(wèi)產業(yè)的安全，強化日美同盟；加強各部門國際合作的多層次框架，在包括ASEAN（東南亞國家聯(lián)盟）在內的印度太平洋地區(qū)，通過企業(yè)、政府、學術界合作等，強化相應措施。

　　5. 為實現(xiàn)目標制定的橫向措施

　　日本將以橫向和中長期的角度，從研究開發(fā)、人才培育和全員普及工作的三個方面展開工作。

　　研究開發(fā)

　　增強國際競爭力，構建企業(yè)、政府、學術界聯(lián)合的產學官生態(tài)環(huán)境。

　　推進實用研究技術開發(fā)：應對供應鏈風險；培育和發(fā)展國內產業(yè)；對網絡攻擊進行掌握、分析和共享；推進密碼學研究。

　　著眼中長期的技術趨勢：發(fā)展AI技術，堅持AI為社會、社會為AI的方針。發(fā)展量子技術，尤其是抗量子計算機密碼學研究和量子通信/密碼學。

　　確保人才的培養(yǎng)和活躍

　　” DX with Cybersecurity“的推進：創(chuàng)造出能夠學習” plus  security“的環(huán)境；人員流動相關實踐（xSIRT、副業(yè)、兼職）的普及等。

　　應對日益巧妙和復雜的威脅：加強人才培養(yǎng)項目；為人才培育奠定共同基礎（對工業(yè)界與學術界的人才和知識開放）；面向資格證書制度的工作等。

　　政府機關工作：強化結構，以使用外部高級人才，例如積極錄取”數(shù)字分級“合格者，充實和強化研修等。

　　全員參加與相關普及啟發(fā)

　　基于數(shù)字化推進，推進和改善行動計劃等。

　　6. 推進機制

　　依據(jù)日本的網絡安全政策，為確保自由公正安全的網絡空間，需要政府一體化的推進體制。以”數(shù)字廳“作為推進數(shù)字化改革的司令部的同時，須進一步加強相關組織的應對能力和合作。此外，認識到國際合作的重要性，NISC將與相關部門合作，將此次戰(zhàn)略積極告知國內外相關者。

　　網絡安全戰(zhàn)略本部通過與NSC（日本國家安全保障會議）緊密合作，對重要事項進行審查。同時，與其它重要公共事業(yè)管轄機關（金融廳、總務省、厚生勞動省、國土交通省、經濟產業(yè)?。?、內閣官房和內閣網絡安全中心（含GSOC和CYMAT）、6家機關（警察廳、數(shù)字廳、總務省、經濟產業(yè)省、外務省、防衛(wèi)省）及網絡安全協(xié)會聯(lián)合，分別負責對公共建設事業(yè)、政府機關、企業(yè)和個人進行體制的進一步推行。

　　推進體制概念圖（圖片來源：NISC官網）

　　7.總結

　　本次戰(zhàn)略期內，為實現(xiàn)提高經濟社會活力與持續(xù)性發(fā)展、實現(xiàn)國民安心生活的數(shù)字社會、為國際社會的和平穩(wěn)定及日本的安全保障做出貢獻等目標，制定了三項橫向措施為：研究開發(fā)的推進；促進人才的確保、培養(yǎng)和活躍；全員參加相關普及啟發(fā)。

　　日本網絡安全戰(zhàn)略的確立和深化

　　隨著網絡技術的迅速發(fā)展，網絡空間威脅持續(xù)增長，歐盟及美國、英國、德國、法國、韓國等國家紛紛出臺國家網絡安全戰(zhàn)略。在此大環(huán)境背景下，日本政府于2013年出臺《網絡安全戰(zhàn)略》。這是日本網絡安全政策從信息安全政策中獨立出來的標志。2014年，日本通過《網絡安全基本法》，明確了網絡安全戰(zhàn)略的法律地位。此外，為有效應對不斷演變的網絡威脅，日本政府于 2015年、2018年兩次發(fā)布了升級版《網絡安全戰(zhàn)略》，明確日本網絡安全戰(zhàn)略的目標、原則、措施和未來發(fā)展方向。

　　以往《網絡安全戰(zhàn)略》簡介

　　1、《第一版網絡安全戰(zhàn)略》

　　2013年6月10日，日本發(fā)布了首個網絡安全戰(zhàn)略，目標是建設世界領先的、有韌性的、充滿活力的網絡空間。與之前將網絡安全視為純粹的技術問題、不涉及政治和國家安全的戰(zhàn)略形成鮮明對比，新的戰(zhàn)略尤其強調外交和國防，并首次明確提出”在國外，針對交通信號設備和關鍵基礎設施（如控制系統(tǒng)）的網絡攻擊，其復雜性和復雜程度都令人懷疑政府組織參與其中“。

　　在外交方面，該戰(zhàn)略強調了政府的工作：①《聯(lián)合國憲章》和國際人道主義法在網絡領域應用；②繼續(xù)執(zhí)行建立信任措施；③為雙邊和區(qū)域討論等提供支持，如東盟區(qū)域論壇內；④基于美日軍事同盟，從聯(lián)合訓練、共享威脅信息和制定國際規(guī)則方面加緊合作。

　　2、《第二版網絡安全戰(zhàn)略》

　　2015年9月，日本政府發(fā)布第二份網絡安全戰(zhàn)略。與以前的戰(zhàn)略相比，新文件明確表達了日本在網絡空間領域的戰(zhàn)略目標，即”建立自由、公平和安全的網絡空間，以有利于增強社會經濟活力和可持續(xù)發(fā)展，有利于建設人民安居樂業(yè)的社會，有利于維護國際社會和平穩(wěn)定和國家安全“。

　　為了實現(xiàn)這一目標，該戰(zhàn)略提出了三種措施：①”主動，不被動“，即日本將對未來的社會變化和潛在風險進行分析；②”作為催化劑，而不是被動參與“，明確提出日本將支持個人建設網絡空間，努力維護網絡空間的和平與穩(wěn)定；③”設想網絡空間是物理空間，而非獨立的網絡空間“，即認識到網絡空間具有物理屬性，其帶來的影響能與現(xiàn)實社會問題產生協(xié)同效應。

　　該戰(zhàn)略突出了三個基本支柱：首先，強調創(chuàng)建一個安全的物聯(lián)網產業(yè)/生態(tài)系統(tǒng)；其次，提出高層領導人應將網絡安全視為投資，而不是成本；三是改善供應鏈風險管理，支持日本企業(yè)的全球經營。

　　3、《第三版網絡安全戰(zhàn)略》

　　2018年7月，日本政府發(fā)布《第三項網絡安全戰(zhàn)略》。在威脅環(huán)境方面，該戰(zhàn)略特別強調了針對物聯(lián)網設備、金融科技部門、關鍵基礎設施和供應鏈的攻擊；在新興技術方面，該戰(zhàn)略指出人工智能的發(fā)展，可以提高異常檢測的精度，推動惡意軟件檢測自動化等自主系統(tǒng)的發(fā)展，但并未提到因使用機器學習系統(tǒng)而引入的新漏洞；在政策方法方面，該戰(zhàn)略再次強調，當前高層領導人仍將網絡安全視為成本，而不是必要的投資。為了糾正這種錯誤觀念，政府出臺一項計劃，以”發(fā)現(xiàn)并培訓能夠與高層領導解釋和討論網絡安全措施的人員“，并建立了一個供應鏈風險的網絡安全框架，創(chuàng)建了一份”已證明其可信性的設備和服務清單“。

　　在確保物聯(lián)網設備安全的背景下，該戰(zhàn)略還明確提出政府的意圖是穩(wěn)步改進必要的系統(tǒng)，以調查和識別存在缺陷的物聯(lián)網設備，并通過電信運營商迅速通知用戶。

　　結語

　　從日本網絡安全戰(zhàn)略的發(fā)展情況看，日本高度重視自身網絡安全能力建設，并力爭擴大其在網絡安全國際舞臺上的影響。而且，日本新的”網絡安全戰(zhàn)略“草案中，首次提出了可能面對來自中國和俄羅斯的”威脅“。日本在網絡空間罔顧基本事實、惡意渲染”鄰國威脅“的試探，無疑對全球網絡空間的戰(zhàn)略穩(wěn)定增加了更多不確定性。