【编者按】日本是世界上信息化程度最高、网络信息技术最发达的国家之一，同时也是对网络安全最为重视的国家之一。近年来，为全面有效地推进网络安全政策，日本政府接连推出了2013年版、2015年版和2018年版《网络安全战略》，详细阐述日本政府的网络安全理念，明确提出网络安全的战略目标、基本原则和行动方向，成为指导和加强国家网络安全建设的纲领性文件。同时，日本政府还于2014年通过《网络安全基本法》，对网络安全战略的法律地位进行明确。从日本网络安全战略的发展及实施情况看，日本高度重视自身网络安全能力建设及扩大其在网络安全国际舞台上的影响，某种程度上表明网络安全建设已成为日本实现所谓“国家正常化”的重要抓手之一。

一、战略演进

随着信息安全、网络安全认识的不断加深，日本网络安全战略的发展演进大致经历了“战略萌芽”、“战略确立”和“战略深化”三个阶段。

（一）战略萌芽阶段：出台信息安全战略

这一阶段的主要特征是信息安全政策从日本IT 战略中独立出来，其标志是 2010 年《保护国民信息安全战略》的出台。为寻找新的经济增长点和弥补与美国的信息技术差距，日本政府于 2000 年11 月推出《IT 国家基本战略》，并于 2001 年 1 月颁布《IT 基本法》，同时在内阁成立高度信息通信网络社会推进战略本部（简称 IT 战略本部），全面推进“IT 立国”战略。与此同时，日本政府开始将信息安全推上日程。2000 年 7月，日本政府推出《信息安全政策指导方针》。2003 年 10 月，日本经济产业省出台《信息安全总体战略》，将信息安全提升至国家安全层面。为加强信息安全措施，日本政府于 2005 年 4 月成立内阁官房信息安全中心（NISC:National Information Security Center），同年 5月于IT 战略本部下成立信息安全政策委员会（ISPC），并将 NISC 作为 ISPC 的事务局。之 后，ISPC 于2006 年 2 月出台《第一期信息安全基本计划》，提出要实现利用信息技术“推动日本经济可持续发展”、“改善国民生活水平”、“应对信息安全威胁”三大基本目标，以及将日本建设成为“世界上信息最安全国家”的最终目标，同时提出未来三年政府与民间各主体适当分担责任的新协作体制；2009 年2 月推出《第二期信息安全基本计划》，提出要建立一套稳定可靠的快速反应机制来应对网络威胁。2010 年 5 月，ISPC 在前两期信息安全基本计划的基础上又制订了《保护国民信息安全战略》，旨在通过关键基础设施的保护努力提高日本的信息安全水平，成为日本重要的国家战略之一。该战略的核心内容具有预防性、适应性和主动性三个特征，意指日本信息安全政策应当立足于预防网络攻击，强化应急处置；信息安全政策应当具有较强的网络环境适应能力；以及信息安全政策应当主动应对网络安全问题。

（二）战略确立阶段：制订网络安全战略

这一阶段的主要特征是网络安全政策从信息安全政策中独立出来，其标志是 2013 年《网络安全战略》的出台。《保护国民信息安全战略》出台之后，随着网络技术的迅猛发展与广泛应用，网络空间迅速扩展并持续向现实空间渗透，与此同时网络空间威胁持续增长，变得日益严重化、普遍化和全球化，从 IT 战略中脱离独立的信息安全战略已无法适应应对网络威胁挑战的需求。而放眼海外，为应对网络空间威胁的严峻挑战，欧盟及美国、英国、德国、法国、韩国等国家已纷纷出台国家网络安全战略。在此大环境背景下，日本政府为推行与网络空间安全相关的措施，并区别于此前确保信息安全的努力，于是将网络安全从信息安全中独立出来，并于 2013 年 6 月发布首份《网络安全战略》，从国家层面对网络安全建设进行设计和指导。该战略确立了构建“世界领先、强大而充满活力的网络空间”、实现“网络安全立国”的目标，并提出未来三年的行动方向和强化措施。2014 年 11 月，日本出台《网络安全基本法》，以法律条文的形式明确网络安全的概念、各参与主体的责任及网络安全战略的理念等事项，是日本进一步将网络安全从信息安全中剥离的重要文件。

（三）战略深化阶段：战略和机构双升级

这一阶段的主要特征是网络安全战略及组织机构的升级，其标志是 2015 年版、2018 年版《网络安全战略》的出台，以及“网络安全战略本部”及“内阁网络安全中心”（NISC ：National Center of Incident Readinessand strategy for Cybersecurity）的成立。一是组织机构升级。根据《网络安全基本法》，日本政府于 2015 年 1月将信息安全政策委员会升级为获得法律授权的“网络安全战略本部”，作为日本推进网络安全政策的最高指挥机构。与此同时，日本还将内阁官房信息安全中心升级编成“内阁网络安全中心”。升级后，两个组织机构的工作职能都获得了大幅拓展。二是网络安全战略升级。为有效应对不断演变的网络威胁，日本政府于 2015 年 9月、2018 年 7月两次发布了升级版《网络安全战略》，这是建立在《网络安全基本法》之上的战略升级。其中，2015 年版战略提出了“努力确保自由、公平和安全的网络空间，促进社会经济提高活力和可持续发展，构建让人民安全安心生活的社会，促进国际社会的和平稳定和保障日本的国家安全”的愿景目标，确立了日本未来三年网络安全政策的基本方向，相较 2013 年版战略更加强调网络安全防御机制的积极主动性，并且实现战略的基本原则和措施更加具体明确。2018 年版战略延续了2015 年版战略提出的愿景目标和基本原则，重点是结合网络威胁的发展演变对实现战略目标的政策方法和行动措施进行了调适，更加强调服务提供者的任务保证、网络安全的风险管理以及和平时期个人与组织的参与和协作。

二、主要内容

日本 2018 年版《网络安全战略》主要包括网络空间的发展变化、增长的网络空间威胁、战略的愿景和目标、实现目标的措施，以及推进体制建设等五个部份内容。在该战略文件中，日本政府重点阐明了未来的网络安全基本立场，并明确未来三年网络安全建设的行动计划。

（一）愿景目标

新战略坚定维护日本在网络安全方面的基本立场，并基于该立场以及当前对网络空间及其未来情景的理解，提出了网络安全基本愿景。一是坚持网络安全的基本立场。包括《网络安全基本法》的目标和 2015 年版《网络安全战略》提出的基本理念与基本原则。在此立场下，日本将采取包括政治、经济、技术、法律、外交等在内的有效手段，持续遏制恶意行为者的活动和保障公民的安全与权利。其中，《网络安全基本法》的目标包括“社会经济活力提高和可持续发展”、“实现国民安全安心生活的社会”以及“促进国际社会的和平稳定和保障日本的国家安全”等 3 个。2015 年版《网络安全战略》提出的基本理念是构建“一个自由、公平和安全的网络空间”，为实现《网络安全基本法》的目标做贡献；五项基本原则分别为“确保信息自由流通”、“法治”、“开放”、“自治”和“多方合作”。二是明确以网络安全为目标的基本愿景。日本的目标是构建一个网络空间可持续发展的社会，不断产生新的价值和服务，为人民带来丰富的利益。

（二）行动计划

1、促进社会经济活力提高和可持续发展。一是推动网络安全作为价值创造的驱动力。政府将与私营部门和学术界合作，帮助企业高管提升网络安全风险管理的意识；通过与私营部门合作促进网络安全保险的使用等措施，激励企业持续网络安全投资；与私营部门合作分析先进技术的使用风险并研拟对策，促进企业利用先进技术支持网络安全业务的创新。二是通过多元连接构建供应链进而创造价值。政府将与私营部门合作，制定供应链网络安全框架，使供应链中的中小企业等易于实施网络安全措施；建立供应链网络安全保障体系，包括设备及其生成数据与相关服务的可信证明系统、可信设备及服务清单的管理系统等。三是公私合作构建安全的物联网系统。物联网系统体系框架的完善和国际标准化：政府将促进各利益相关方达成对网络安全基本要素的共同理解，并明确各方的角色和职能；推动促进公私部门各利益相关方共同合作的举措，包括促进各利益相关方问题和措施的全景可视化、建立信息共享机制等，同时促进自主的网络安全措施；促进实现安全物联网系统所需网络安全基本要素的国际标准化工作，实现物联网系统价值创造机制，并在全球推广安全物联网系统为国际经济发展做贡献。针对物联网设备脆弱性建立解决方案：政府将与私营部门合作，制订涵盖物联网设备全生命周期（从设计、制造、应用到废弃）的网络安全对策；根据各物联网设备的特征列出其网络安全要求，并鼓励使用符合安全要求的物联网设备；改进检查、识别网络上易受攻击物联网设备的机制，并能通过电信运营商迅速向用户发出警报。

2、建设人民安全安心生活的社会。一是保护人民和社会的措施。将与网络企业合作推行“积极网络防御”措施，包括利用技术诱导攻击方式收集攻击者信息、促进威胁信息共享利用、促进可靠信息基础设施发展、与加密货币服务提供商合作等，构建安全安心的网络空间使用环境；强化打击网络犯罪措施，包括加强网络犯罪情报资料掌握、提高调查取证能力、提高分析最新数字设备或恶意软件的技术能力等。二是公私合作保护关键基础设施。政府将推广信息安全标准制定指南、将网络安全措施定位为相关法令的安全规定，并通过公私联合培训与演习、公私联合促进工控系统人才开发等，促进关键基础设施运营商网络安全防护能力的提升；通过更新安全策略指南、确保业务网络安全级别、开发网络安全人才及预算保证等，增强地方政府的服务安全。三是强化政府机构及政府有关实体的安全。政府将通过实时监控信息系统状态、推广使用可靠云服务、抢先利用先进技术、跨组织分析各机构审计数据等，努力提高政府机构和政府有关实体的网络安全水平。四是确保大学教育和科研环境的安全。政府将根据高校教育与科研环境的多样性推进网络安全措施，包括制定指导方针促进高校自主实施网络安全措施、支持高校事件响应体系建设和信息共享、促进校际合作应对网络攻击等，确保教育和科研环境安全。五是确保 2020 年东京奥运会与残奥会的安全。政府将推进网络安全事件响应协调中心（Cyber Security Incident Response Coordination Center）的建设，以及持续促进网络安全风险评估、网络威胁信息共享等措施，确保2020 年东京两大赛事的网络安全，并于赛事结束后扩大网络安全措施的应用范围，以强化日本网络安全。六是构建超越传统框架的信息共享 / 协作框架。政府将通过开发建立新的信息共享系统、创设激励信息共享的诱因和环境等举措，促进各利益相关方安心共享网络安全信息，并建立超越与公私部门、行业相关的传统部门边界的共存和共同发展关系。七是加强大规模网络攻击的应对准备。包括开展网络攻击应对培训与演习、加强公私部门信息共享，以及推进互联网监控等。

3、促进国际社会的和平稳定和日本的国家安全。一是维护自由、公平和安全的网络空间。将通过国内多利益相关方的协调合作维持自主和可持续发展的网络空间生态系统，并向国际社会传播自由、公平和安全的网络空间理念；积极促进网络空间国际法治建设，包括促进现有国际法在网络空间的适用、与外国执法机构合作打击网络犯罪等。二是提高日本防御、威慑和态势感知能力。确保防御能力：将推进网络安全措施，保障政府机构国安任务的执行、关键基础设施和其他社会系统运营商社会服务的提供，保护日本的先进技术与国防相关技术；促进国防部和自卫队加强保护其行动所依赖的网络基础设施，提高网络防御部队抵御网络攻击的能力；加强网络空间中恐怖组织活动信息的收集分析，并与国际社会合作采取必要措施打击恐怖组织恶意使用网络空间的活动。提高威慑能力：密切协调盟国和志同道合国家，利用政治、经济、技术、法律和外交等有效手段对破坏国家安全的网络威胁实施果断响应；加强政府机构之间的响应协调，增强执法机关和自卫队的能力；与各国建立信任措施，避免不必要的误会与冲突。加强网络态势感知：提高政府机构信息收集分析能力，包括开发和保护高水平人才，开发和利用检测、调查、分析网络攻击的技术等；促进政府内部及与盟国和志同道合国家之间的威胁信息共享。三是加强国际合作。将利用双边对话及国际会议时机分享网络安全专业知识和威胁信息，并与战略合作伙伴加强网络安全政策协调；通过联合培训和参与国际演训，提高国际网络事件的协调响应能力；协助发展中国家推进网络安全能力建设。

4、网络安全跨领域措施。一是人才开发与保障。政府将与产业界、学术界及公共部门合作，加强战略管理层、业务层及技术层人员的培训，并促进中小学的师资培训、学生基础教育以及高等教育阶段的人才开发；加强各机构人才的保障和开发；与主要国家建立人才开发合作机制。二是促进技术研发。促进实用技术的研发，包括设备和软件安全检查技术、网络攻击检测与防御技术、加密技术等；着眼信息技术和社会中长期演变的应对，促进网络安全各学科研究的协调统一。三是促进全体用户参与合作。制定培养公众网络安全意识的综合战略与行动计划，以及建立有效促进各利益相关者分工协作的机制等。

三、保障措施

为有效推进网络安全战略各项措施，顺利实现网络安全战略目标，日本政府近年来积极推动多项保障措施，包括出台多项配套法规政策、加强组织机构职能建设、组建网络空间防卫力量、构建网络安全管理机制、加强意识宣传及人才培养等。

（一）出台多项配套法规政策

自首份网络安全战略推出以来，日本政府陆续出台了多项法规政策，用以保障网络安全战略的稳步实施。法律法规方面：包括 2014 年 11月通过的《网络安全基本法》、2016 年 12 月推出的《促进公私部门数据利用基本法》等。其中，《网络安全基本法》旨在加强日本政府与民间在网络安全领域的协调和运用，其主要内容包括：一是明确了网络安全的概念，界定了中央政府、地方政府和其他相关利益相关方的作用和职责；二是以法律条文形式明确了涉及《网络安全战略》的修订、公布和资金保障等相关事项；三是要求设立网络安全战略本部作为国家网络安全政策的最高指挥机构，负责协调推进网络安全政策；四是对电力、金融等基础设施运营商落实网络安全相关措施提出了要求。政策文件方面：包括 2013 年 10 月推出的《网络安全国际合作政策》、2016 年 8 月修订的《网络安全政策评估基本方针》以及 2018 年 7月推出的《关键基础设施信息安全措施第 4 期行动计划（修订版）》等。其中，《网络安全国际合作政策》明确提出了推进网络安全国际合作的基本原则、基本方针和优先领域，目的是在网络安全领域促进与世界各国的合作关系。

（二）加强组织机构职能建设

为统筹推进网络安全建设，日本政府近年来重视持续推进以网络安全战略本部和内阁网络安全中心为核心的职能机构建设。日本政府在 2013 年版《网络安全战略》中提出，要进一步加强内阁官房信息安全中心（2005 年 4月成立）作为日本构建“世界领先、强大而富有活力的网络空间”最高指挥机构的职能，包括从根本上加强政府机构网络安全跨部门监视和应急协调小组（GSOC）、通过政府部门与相关专业机构各项职能的机制化合作加强网络安全事件的动态响应等。2015 年 1月，日本政府根据《网络安全基本法》将信息安全政策委员会升格编成网络安全战略本部，同时将内阁官房信息安全中心升格编成内阁网络安全中心，升格后两个组织机构的工作职能获得了大幅拓展。2015 年版《网络安全战略》明确，网络安全战略本部是推进《网络安全战略》的最高指挥机构，内阁网络安全中心是网络安全战略本部的事务局，主要负责推进基于本战略的各项网络安全措施。2018 年版《网络安全战略》指出，内阁网络安全中心将促进有关政府机构不断提高网络安全能力，确保本战略各项措施的稳步执行；网络安全战略本部将与 IT 战略本部密切合作并与国家安全保障会议密切协调，处理与网络安全相关的重大事项。

（三）组建网络空间防卫力量

为应对持续升高的网络空间威胁，确保日本的网络空间安全，日本政府十分重视通过网络防卫力量的建设，加强互联网络的监控和网络攻击的应对。一是建立专职网络战部队。日本政府在 2013 年版《网络安全战略》提出，将新建网络防卫队以加强自卫队应对网络攻击的能力。2014 年 3月，日本正式成立由防卫相直辖的网络防卫队。这是日本自卫队第一支专职网络战部队，由来自陆上、海上及航空自卫队的人员组成，主要担负网络安全情报的搜集分析、防卫省和自卫队网络的实时监控，以及网络攻击事件的应对等任务。网络防卫队成立初期约有90 人，至 2018 年底约有 150 人，日本防卫省计划至 2019 年底将其扩充至 220 人。二是建立“准军事网络安全部队”。日本警察厅于 2013 年 4月在东京、大阪、福冈等共 13 个都道府县的警察总部内设立了网络攻击特别搜查队，专门负责应对网络攻击；同年 5月设立了黑客攻击分析中心，负责指挥日本全国警察开展调查、信息搜集分析工作。此外，日本政府还在所有省厅成立了网络攻击防范小组，负责应对黑客的网络攻击。2015 年版《网络安全战略》还提出，将从质量和数量两方面增强执法机构、自卫队和其他组织的网络防卫能力，以应对日益多样复杂的网络攻击。

（四）构建网络安全管理机制

随着网络威胁和风险日益突出，单纯依靠政府部门或军队进行防御已无法满足网络防御的现实需求，为此日本政府明确将“多方合作”作为实现网络安全战略目标的基本原则之一，并推动建立了危机处理协调、网络安全情报共享等管理机制，用于增进各方在网络安全领域的合作。一是危机处理协调机制。对于网络安全的危机管理，《网络安全基本法》规定：日常网络安全危机管理，由网络安全战略本部的事务局即内阁网络安全中心负责应对；大规模网络安全突发事件，由内阁危机管理监、负责危机管理的内阁官房副长官助理、紧急事件应对室负责应对；发生武力攻击时，由国家安全保障局应对。二是网络安全情报共享机制。为促进政府各部门、政府与民间、国家与国家之间密切网络安全情报合作，日本已于网络安全领域建立了由政府跨部门情报共享、官民情报共享、国际情报共享三个子机制共同构成的庞大而复杂的情报共享机制体系。其中，日本防卫省于 2013 年 7月成立了网络防御委员会（CDC），用以强化与民间企业之间的情报共享；日本政府于 2018 年 11月与东盟国家建立了网络攻击情报共享机制，各国网络安全事务官员可通过设立的专门信息网站共享网络攻击的相关情报信息和应对网络攻击的措施。

（五）加强意识宣传及人才培养

为应对网络空间威胁的持续增长，日本政府近年来积极采取措施加强公众网络安全意识宣传和网络安全人才培养，希望借此促进网络安全防御力和网络空间活力的提升。一是公众网络安全意识宣传。日本政府于每年 2 月 1 日至 3 月 18 日举办“网络安全月”活动，通过网络安全研讨会、论坛、沙龙等活动形式加强网络安全知识普及和意识宣传。日本政府还于每年 10 月举办“国际网络安全运动”（International Cyber Security Campaign），用以促进网络安全的国际合作和意识宣传。另外，日本总务省设立有国家网络安全意识教育网站，用于宣传介绍网络安全威胁、传播网络安全知识和提供各种基本防护工具，为公众和中小企业加强网络安全措施提供服务和帮助。二是网络安全人才培养。日本的网络安全建设也同许多国家一样面临着人才严重短缺的问题，根据日本经济产业省的调查数据，截至2016 年日本网络安全人才缺口约 13 万人。为解决人才短缺问题，日本政府先后于 2014 年 5月、2017年 4月分别推出《新信息安全人才培养计划》和《网络安全人才培养计划》，其中后者着眼保障 2020 年东京奥运会和残奥会期间的网络安全，计划在未来三年大力加强人才培养。2018 年版《网络安全战略》明确提出，将加强战略管理层、业务层和技术层的网络安全人才培训和学生的信息安全基础教育。

四、主要特点

日本网络安全战略发展及实施的主要特点包括：

（一）注重积极网络防御策略

从日本 2015 年版及 2018 年版《网络安全战略》可看出，日本网络安全建设推行的是“积极网络防御”政策。一是强调事前积极防御措施。2015 年版《网络安全战略》提出，实现战略目标的各项实施措施必须尽可能符合“从事后应对转为事前防御”和“从被动实施变为倡议主导”的政策方法；2018 年版《网络安全战略》更明确提出，日本政府施行“积极网络防御”策略，为促进事前积极防御措施，政府将与网络企业合作，利用技术诱导攻击方式搜集攻击者信息，进而增进威胁信息的共享使用。二是重视提高网络威慑力。日本网络安全战略体系以日美同盟为基础，日本认为日美同盟应适应美国在网络空间推行网络威慑的这种趋势，在网络空间实施“威慑战略”。2018 版《网络安全战略》提出，日本将通过增强执法机关与自卫队的能力、协调有关国家利用各种有效手段果断响应网络威胁等举措，提高日本的网络威慑力。此外，日本政府 2018 年 12 月公布的新版《防卫计划大纲》也强调，自卫队需具备“网络反击能力”。

（二）强调网络安全国际合作

日本在前后三版的《网络安全战略》中均阐明了一个理念，即网络攻击可以轻易跨越国界，日本不可能独自应对已扩至全球范围的网络空间安全风险，因此必须加强网络安全国际合作，尤其是与盟国和志同道合国家的合作，以促进国际社会的和平稳定并保障日本的国家安全。正是基于这个理念，日本政府在《网络安全战略》中专门就网络安全国际合作进行了行动部署，包括：利用各种国际场合表明日本的网络安全基本立场，积极参与和促进网络空间国际法治建设，加强与盟国及志同道合国家的威胁信息共享，以及支持发展中国家推进网络安全能力建设等。其中日美合作方面值得一提的是，日美在 2015 年 4月发布的修订版《日美防卫合作指针》中，首次明确将网络空间纳入日美合作范畴，提出将加强情报共享、网络安全、联合演练等方面的合作。近年来，随着美国“亚太再平衡战略”、“印太战略”的实施以及日美同盟关系的重新定位，日本急剧“右倾化”，谋求成为“正常国家”的步伐正在加快。初步分析，日本积极谋求在网络安全的国际舞台上发挥作用和扩大影响，除了促进国际社会的和平稳定和保障日本的国家安全外，应还有助力日本实现“国家正常化”的考虑因素在其中。

（三）突出关键基础设施保护

日本认为，关键基础设施（CI）是国民社会生活和企业经济活动的基础，若设施功能遭损害或破坏将造成严重后果，因此保护 CI 免遭网络攻击已成为国家安全保障和危机管理的重大课题，采取最佳的网络安全措施至关重要。有鉴于此，日本政府前后三版《网络安全战略》都明确将 CI 保护列入规划中。其中 2013 年版战略要求针对 CI 制订新的安全标准、加强供应链风险管理，以及建立威胁信息共享机制与信息安全评估认证机制等；2015 年版战略提出要在公私合作的基础上为 CI 保护提供服务，包括修订扩大 CI 保护范围、确保信息共享有效及时等；2018 年版战略提出要通过推广信息安全标准制定指南、将网络安全措施定位为相关法令的安全规定等措施，保护 CI 安全。为落实战略措施，日本政府还于 2014 年推出《CI 信息安全措施第 3期行动计划》，将 CI 范围由 10 个领域扩增为 13 个领域；2015 年于网络安全战略本部下设立 CI 专门调查会，作为日本 CI 保护领域的最高领导和决策机构，同时于内阁网络安全中心下设 CI 保障组，负责 CI 保护政策的具体推行；2018 年推出《CI 信息安全标准制定指南》和《CI 信息安全措施第 4 期行动计划（修订版）》。

来源：网信军民融合