澳大利亚网络安全体系建设及其启示

肖 军 陈嘉鑫

（1 西南政法大学国家安全学院 重庆 401120；2 西南政法大学刑事侦查学院 重庆 401120）

1 引言

当前，在全球网络安全博弈的大背景下，澳大利亚面临间谍活动与外国干涉、勒索软件网络犯罪、关键基础设施遭受攻击等网络安全威胁。为维护国家安全与促进经济繁荣，澳大利亚先后于2009年、2016年、2020年出台了三版《网络安全战略》[1]。最新版的《网络安全战略》认为，网络安全是政府、企业和社区之间的集体责任，需要确保在法律、技术和其他方面的合作。当前，国内学者对网络安全的域外研究主要集中在美国、英国、日本、俄罗斯等国家和欧盟等区域，甚少对澳大利亚维护网络安全富有特色的做法展开研究。本文借澳大利亚新网络安全战略出台之契机，先全面梳理澳大利亚网络安全体系建设的基本情况（相关做法），在此基础上提炼经验，并结合我国网络安全领域现存的问题，为完善我国维护网络安全做法提供借鉴。

2 澳大利亚开展网络安全体系建设的措施

2.1 设置多元化网络安全主体体系

在澳大利亚，政府设置多元化主体来维护网络安全。其中包括澳大利亚联邦警察、澳大利亚刑事情报委员会、澳大利亚安全情报组织、国防情报组织、澳大利亚网络安全中心、澳大利亚政府安全审查机构、国家情报办公室等。将这些主体大致分为网络犯罪调查主体、网络安全应对主体、网络安全应对协调主体、网络安全评估主体、网络安全应对决策主体。

网络犯罪调查主体主要是澳大利亚联邦警察、澳大利亚刑事情报委员会。澳大利亚联邦警察负责处理网络犯罪（包括计算机侵入、未经授权的修改或破坏数据、分布式拒绝服务攻击），并提供全面的支持和援助。澳大利亚联邦警察是澳大利亚政府的主要执法机构，具体负责侦查网络犯罪，保护联邦利益免受澳大利亚和海外网络犯罪活动的影响。1979年《澳大利亚联邦警察法》第8条概述了澳大利亚联邦警察的职能。澳大利亚刑事情报委员会是澳大利亚的国家刑事情报机构，与州和地区、国家和国际合作伙伴合作进行调查和收集情报，从而更有效地打击网络犯罪，其作用是减少对澳大利亚国家利益危害最大的网络犯罪威胁。

网络安全应对主体包括澳大利亚安全情报组织、国防情报组织以及多个数字机构。澳大利亚安全情报组织的职责是应对任何地方出现的网络安全威胁，并提供保护澳大利亚及其公民安全的建议。1979年《澳大利亚安全情报组织法》规定了澳大利亚安全情报组织的职能。《澳大利亚安全情报组织法》将安全定义为间谍活动、对澳大利亚领土和边境完整的严重威胁、蓄意破坏、出于政治动机的暴力、促进社区暴力、攻击澳大利亚国防系统以及外国干涉行为。国防情报组织分析来自各种来源的全球事件信息，它提供及时和准确的情报，以协助国防部长和国防高级官员的认识和决策。澳大利亚政府内部有许多数字机构和部门也承担一定的网络安全责任，如数字转型机构、数字卫生局、电子安全专员和信息专员[2]。

网络安全应对协调主体主要是澳大利亚网络安全中心。它与联邦、州和地区机构合作，并与私营部门合作，是加强各机构合作的一个枢纽。澳大利亚网络安全中心的目标是促进信息共享，提高对网络威胁的认识，并将采用新技术和服务带来的安全风险降至最低。澳大利亚网络安全中心在现有框架内运作，并以1979年《澳大利亚联邦警察法》、2001年《情报服务法》、2002年《澳大利亚犯罪委员会法》和1979年《澳大利亚安全情报组织法》规定的立法和政策授权为指导，协调各机构之间的关系[3]。

网络安全评估主体主要有澳大利亚政府安全审查机构、国家情报办公室。澳大利亚政府安全审查机构是澳大利亚政府的中央审查机构，为联邦、州和地区机构进行安全审查评估，其中包括网络安全审查评估。国家情报办公室主要任务是评估网络安全威胁，其基于澳大利亚政府获得的信息、其他情报机构提供的信息，以及新闻媒体和出版物等公开来源的材料。

网络安全应对决策主体主要是新组建的澳大利亚内政部、国防部以及总理和内阁部等。目前，澳大利亚在新组建的内政部领导下，进行网络安全决策。新内政部负责国家安全、执法、应急管理、边境控制、移民、难民、公民身份和多元文化事务[4]。国防部通过提供保护性安全服务，保护和促进澳大利亚的战略利益，进行网络安全决策以确保国家安全。总理和内阁部向总理、内阁、内阁部长和助理部长提供高质量的建议和支持，以实现政府政策制定和实施的协调和创新方法。总理和内阁部制定政府在经济、公共服务管理方面的政策，也包括网络安全方面的政策[5]。

至此，澳大利亚形成了以网络犯罪调查主体、网络安全应对主体、网络安全应对协调主体、网络安全评估主体、网络安全应对决策主体为多元主体的网络安全主体体系。

2.2 制定精细化网络安全法律体系

网络安全属于特殊领域的安全，其有关法律法规不得违反本国宪法和国际法的要求。澳大利亚制定了精细化的法律体系，如与网络安全密切相关的法律有：1979年《电信（拦截和访问）法》[Telecommunications （Interception and Access）Act 1979]、1988年《隐私法》（Privacy Act 1988）、2001年《网络犯罪法》（Cyber Crime Act 2001）、2003年《垃圾邮件法》（Spam Act 2003）、2012年《澳大利亚隐私原则》（The Australian Privacy Principles）、2018年《关键基础设施安全法》（Security of Critical Infrastructure Act 2018）等。此外，还有其他一些法律也涉及网络安全，譬如：1992年《广播服务法》涉及处理与媒体所有权和内容管制有关的问题；1999年《电信（消费者保护和服务标准）法》涵盖公共利益和电信服务内容；2015年《版权修正（网络侵犯）法》致力于解决互联网盗版问题；2015年《知识产权法修正案》则适用于网络知识产权领域。

近年来，随着中国社交软件的兴起，表情包在成为人们网络日常交流重要部分的同时，更是衍生出一门新的生意——表情包经济。近日有媒体报道，作为中国颇有名气的表情包出品企业，厦门萌力星球网络有限公司已经创造出多种受到欢迎的产品，如憨态可掬的小熊猫“野萌君”、又萌又可爱的浣熊“萌二”、圆滚滚的“汪蛋”等，这些表情包产品均是爆款，目前在市场上受到众多消费者的热捧。

自2021年以来，澳大利亚修法不断，包括《在线安全法案》《监视立法修正案（识别和干扰）法案》《隐私法修正案（加强网络隐私和其他措施）法案》《自主制裁法》。这些法律的修改，一方面是为了更好地监管网络安全，另一方面是对网络犯罪进行更好的制裁。这主要是针对之前打击犯罪与保障人权即权利与权力无法协调等情形。2021年6月，议会通过了新的《在线安全法案》，已于2022年1月生效，该法案完善了2015年《在线安全法案》建立的在线监管框架，并规定了额外的合规义务。2021年8月，澳大利亚通过了2021年《监视立法修正案（识别和干扰）法案》，通过增加执法权力的方式，提高了澳大利亚联邦警察和澳大利亚刑事情报委员会打击在线严重犯罪的能力。该法案规定，联邦警察和刑事情报委员会可申请三类新的令状：数据干扰令状、网络活动令状、账户接管令状。2021年10月，为了回应澳大利亚竞争和消费者委员会数字平台调查的最终报告，司法部长发布了1988年《隐私法》讨论文件和2021年《隐私法修正案（加强网络隐私和其他措施）法案》草案。2021年12月，澳大利亚通过了2021年《自主制裁法修正案（马格尼茨基类型及其他专题制裁）》，以修订2011年版《自主制裁法》，该项立法之所以值得关注，是因为其意味着澳大利亚政府可能会直接对网络黑客实施制裁措施，禁止他们访问澳大利亚或者用犯罪所得向澳大利亚投资[6]。法律修改的价值在于上述修改更好地在维护网络安全过程中平衡公民隐私权与机构执法权的关系。

此外，为了加强维护关键基础设施的网络安全以及弥补之前法律的不足（尤其是保护的范围有限、保护的措施有限、干预的措施有限、缺乏风险管理计划），根据2021年9月29日发布的2020年《安全立法修正案（关键基础设施）法案》草案咨询报告和2018年《关键基础设施安全法案》法定审查建议，《安全立法修正案（关键基础设施）法案》被一分为二。法案一于2021年11月22日获得通过，在2021年12月2日获得批准。该法案修订了2018年《关键基础设施安全法案》，主要修改部分在于通过以下方式提高了关键基础设施资产和系统的安全性：一是扩充了保护的范围，将公认为关键基础设施的工业部门从四个扩充到十一个，扩大范围后，部分资产将被视为关键基础设施，关键部门从电力、水、天然气和海运港口扩展到十一个，涵盖医疗保健、通信、金融服务、市场、食品和杂货，其中一些新的资产类别将通过行业特定规则得到进一步明确。二是增加了若干保护措施，包括采用关键基础设施风险管理计划和设定强制性网络事件报告制度，具体为网络安全关键事件（该资产用于提供基本商品或服务，且受到实质性干扰，则该事件将被视为关键事件）且有重大影响必须在行业实体意识到该事件后12小时内进行报告；如果其他网络安全事件对关键基础设施资产的可用性、完整性、可靠性或者保密性产生相关影响，则必须在72小时内进行报告。如果报告采用口头的方式，则必须在口头报告后的一定时间内提供书面报告。三是增加了若干干预措施，作为最后手段，该法案规定了政府援助和干预措施，以高效应对严重的网络事件。政府进行干预主要针对以下几类情况：网络安全事件已经发生、正在发生或者即将发生；事件已经、正在或者可能对关键基础设施资产产生“相关影响”；存在重大风险，即该事件已经、正在或者可能严重损害澳大利亚社会秩序、经济稳定、国家安全；联邦或者州政府现有的监管体系无法提供切实有效的回应。2020年《安全立法修正案（关键基础设施）法案》的其余非紧急内容已被修订为单独的法案（法案二），预计法案二将履行若干网络安全义务，包括实施和维护风险管理计划，不久后也将会实施。

2.3 实施现代化网络安全战略体系

澳大利亚在2009年11月23日就出台了《网络安全战略》（Cyber Security Strategy），这是澳大利亚首部国家网络安全战略。该战略第一次明确了国家领导、积极国际参与、伙伴关系、风险管理、责任共担、保护价值观等网络安全领域的六大指导原则。与此同时，其还提出了三大战略目标：使澳大利亚全体公民认识网络安全现实风险与潜在威胁；使澳大利亚政府确保其信息技术是安全可靠的；使澳大利亚企业能够安全使用信息技术，并保证客户的各类隐私信息。除此之外，其还确定了若干优先项：强化对网络安全威胁的分析与处置；为澳大利亚公民提供网络安全教育资源；培养具备网络安全技能的劳动力；借助权威有效的法律起诉网络犯罪；提升全球网络环境的安全性等等[7]。

2016年4月21日，澳大利亚发布了2016版《网络安全战略》（Australia's National Cyber Security Strategy），其有助于保障网络安全，实现澳大利亚的创新、发展与繁荣愿景。该版战略重视多元主体参与，着力强化国防部、联邦警察等有关机构的网络安全维护能力，并在澳大利亚网络安全中心之下设置了多个联合网络安全中心。其变化的主要原因在于网络安全并非国家机构的事情，而是整个国家的事（观念的转变），所以需要多元主体共同参与；而由于之前协调不力，因此设置多个网络安全中心进行协调，以便于政府、企业、研究机构、非政府组织在网络安全领域的沟通衔接。与此同时，该版战略强调国际合作，澳大利亚与其他国家的情报部门、执法机构、应急组织等相关主体在网络安全领域进行交流协作，携手应对网络安全威胁，共同打造安全、自由、开放的国际网络空间。该版战略主要包括五个关键领域，分别是：第一，全国性的网络伙伴关系。其明确了总理和内阁部、国防部等部门的角色和职责。第二，强大的网络防御能力。政府部门、企业公司与网络安全中心实时共享网络威胁信息，惩治恶意网络行为，不断完善网络安全防御系统。第三，全球的责任和影响力。澳大利亚明确了在网络空间领域也需要遵守国际法上的义务，积极创设并参与东盟地区、印太地区、欧盟委员会关于维护网络安全的合作机制，强化网络安全领域的双多边关系。第四，发展和创新。澳大利亚加大投入力度，积极研发网络安全产品，助推网络安全企业公司不断发展壮大。第五，网络智能国家。澳大利亚政府机构、教育部门、私人部门、技术服务组织与国际伙伴相互合作，不断健全网络安全教育体系，培养网络安全人才，持续增强民众的网络安全意识。

2020年8月6日，澳大利亚颁布了2020版《网络安全战略》（Australia's Cyber Security Strategy）。虽然该战略是澳大利亚联邦政府的一项举措，但州、地区和地方政府以及企业、学术界、国际合作伙伴在加强澳大利亚网络安全方面同样发挥着至关重要的作用。2020年颁布的《网络安全战略》是继2009年、2016年之后第三版《网络安全战略》，澳大利亚之所以要对战略进行更新，主要受到以下因素的影响：第一，澳大利亚正遭受日益严重的网络安全威胁甚至犯罪，网络安全问题在新冠肺炎期间尤为凸显，尤其是对企业的攻击。第二，为应对竞争日益激烈的网络空间格局，提升在网络空间领域博弈的能力，需要加强社区参与性。第三，为了推动数字经济的创新与发展，提升数字经济领域的安全性，需要政府助力。该版战略强调政府、企业与社区在惩治网络犯罪、保护关键基础设施、保障个人信息安全等领域的合作，强调维护澳大利亚的网络安全是三者共同的责任。与此同时，其也重视在打击网络犯罪行为、研发网络关键技术、推进网络能力建设等领域内的国际合作，这是因为维护网络安全已然成为国际社会共同的目标。该版战略重点支持以下三个方面的行动：政府行动、企业行动、社区行动。具体内容详见表1。

表1 澳大利亚2020 年《网络安全战略》具体行动

最新版的《网络安全战略》深刻影响着企业和社区，因为其明确地表达了相关利益群体的行动和期望。例如，澳大利亚政府定义了企业预期的行动，如“提高企业关键基础设施安全性”“提升中小企业网络安全水平”“提供安全的产品和服务”“培养熟练的劳动力”“采取措施来阻止恶意活动规模扩大”。通过该战略的实施，澳大利亚政府将会在未来十年投资16.7亿美元保护关键基础设施，为澳大利亚公民、企业和政府建立一个更安全的网络系统。资金将用于维护关键基础设施的安全；识别新型网络犯罪；提高政府网络和数据网络安全防御能力；改善协作机制；通过网络安全联合中心计划与私营部门合作；形成中小企业网络弹性框架；维护物联网设备的安全[8]。同时，在2020年《网络安全战略》中，对上述行动提供了衡量的标准，详见表2。

表2 澳大利亚2020 年《网络安全战略》行动衡量要素及其标准

2.4 建设宽领域网络安全合作体系

澳大利亚政府与州和地区政府密切合作，确保警察和安全机构拥有打击网络恐怖主义所需的权力。澳大利亚政府还与地区及以外的国际伙伴密切合作，如澳大利亚在国际网络安全方面的合作。国际合作最初是非正式的、战术层面上的，且范围有限，后来逐渐升级为正式的合作。在盟友中，澳大利亚帮助促进了实时监控和信息共享。澳大利亚还建议成立一个区域特别工作组，以加强与亚太地区国家在信息共享方面的国际合作。盟友、地区伙伴和更广泛的国际社会的安全和韧性对于确保澳大利亚自身的国家安全至关重要。澳大利亚致力于支持和维持促进经济发展的国际机制稳定，并在自愿基础上与伙伴合作，阻止和应对网络空间领域内不可接受的行为。

澳大利亚为国际标准化组织以及国际电信联盟提供了帮助，积极参与制定国际标准，力求为所有国家提供更安全的网络空间。澳大利亚通过向其他国家提供技术支持，如提高关键信息和通信技术、发展技术技能、弥合信息和通信技术的鸿沟来加强合作。在2020年《网络安全战略》中，澳大利亚政府已经承诺提供6000万美元来支持印度—太平洋地区的网络能力建设，以支持一个开放、自由和安全的网络空间，这包括一个为期7年、投资3400万美元的政府、工业界、民间社会和学术界网络合作项目；澳大利亚还承诺提供为期4年、投资1400万美元的澳大利亚—巴布亚新几内亚网络安全合作倡议，以加强巴布亚新几内亚的网络安全框架和技术能力；其还计划提供为期4年、投资1270万美元来建立澳大利亚—印度网络和关键技术伙伴关系。

3 澳大利亚维护网络安全的经验

3.1 根据网络安全形势调整责任主体、协调主体

澳大利亚有专门机构维护网络安全，同时这些机构不断在调整（成立新机构或撤销旧机构/职位）以适应新的网络安全威胁。澳大利亚联邦警察、澳大利亚安全情报组织、国家情报办公室等各自承担着维护网络安全的责任，呈现有序运行态势[9]。而根据2016年《网络安全战略》设立的总理网络安全特别顾问和协助总理的网络安全部长这两个职位，因不合时宜，在2019年就已经撤销了。这主要是因为：一是澳大利亚政府内部重新设置了一些数字网络机构和部门、专员，包括澳大利亚数字转型机构、数字卫生局、电子安全专员和信息专员，总理网络安全特别顾问和协助总理的网络安全部长已不再适应上述机构和部门。二是相较于2016版《网络安全战略》由总理和内阁部发布，2020版《网络安全战略》由内政部发布，为制定2020版《网络安全战略》，总理和内阁部的网络安全特别顾问、网络安全部长这两个职位自然取消。

3.2 政府、企业和社区共同维护网络安全

为了创建一个更安全稳定的澳大利亚，其政府、企业和社区都有自己的角色定位，只有共同努力维护，才能织密网络安全网。澳大利亚政府为了摆脱对军事机构的过度依赖，以弥补执法部门的缺位，实施了一系列措施来增强自己的责任意识，如开发更好的技术来检测即将到来的攻击信号。这些措施基本涵盖了人类、社会和环境福祉；以人为本的价值观；公平；隐私保护和安全；可靠性和安全性；透明度和可解释性等内容。而从实践来看，澳大利亚企业尤其是小企业受到了重点关注。勒索软件攻击、网络钓鱼攻击和商业电子邮件系统威胁的不断增加，迫使澳大利亚企业要熟悉网络风险并采取行动策略。目前，大型企业已采取各种措施来保护其信息和资产免受网络安全威胁[12]。

要想实现政府、企业和社区共同维护网络安全，人、技术和流程之间的高度相互依赖必不可少。其中就包括“组织结构、政策和程序、信息、文化和行为、技能”等多个要素。澳大利亚为了应对网络安全领域的技术挑战、人力资源挑战、组织成熟度挑战、行业标准挑战，已经将非传统安全的解决方案应用于维护网络安全，同时考虑到上述多个要素和三方职责，用整体性思维来解决[13]。

3.3 设置网络安全专门计划

勒索软件已经成为一种日益普遍的全球威胁，网络犯罪分子使用勒索软件对电子设备、文件夹和文件进行加密，导致用户无法访问系统。一旦文件被加密，犯罪分子就会向系统所有者索要赎金，以换取解密密钥。犯罪分子不仅使用勒索软件来加密文件，勒索软件还帮助犯罪分子进入网络，使他们能够窃取敏感信息。澳大利亚政府在制定勒索软件行动计划时采取的立场是不宽恕向网络罪犯支付赎金的行为。任何赎金支付行为，无论金额大小，都会助长勒索软件的发展。而且支付赎金并不能保证用户能够访问被锁定的系统或敏感数据，甚至可能会让受害者面临重复的网络攻击。2020年，澳大利亚《勒索软件行动计划》与《网络安全战略》同步实施，有助于政府处理勒索软件威胁问题。譬如：建立总体网络安全架构、设计围绕国家战略的框架来打击网络勒索犯罪[14]。而2023年3月，澳大利亚新增了勒索软件配置文件最新版本，提供了更多的关于勒索软件的背景、威胁活动和缓解建议的信息，以更好地预防勒索软件网络威胁[15]。

如果执法机构要在减少网络犯罪方面取得成效，就必须增强他们处理暗网和加密技术的能力。澳大利亚政府将努力确保执法部门有权力和能力调查包括在暗网上的网络犯罪。澳大利亚政府正在推进打击暗网行动的方法，包括通过资金支持，帮助企业保护自身安全，提高社区对如何实现网络安全的理解能力。打击暗网的专门行动计划包括澳大利亚政府的立法改革、自愿措施和激励措施，目的在于维护网络安全、加强信息共享并为关键基础设施、大型企业和中小型企业提供打击暗网的建议[16]。

除了《勒索软件行动计划》之外，还有相应的《加密货币行动计划》和新增加的《事件响应计划》等。《加密货币行动计划》利用计算机的处理能力来解决复杂的数学问题并验证网络货币交易的安全性，用户需要按照提示的步骤降低受到恶意软件影响的风险[17]。在确定网络安全事件后，应制定《事件响应计划》。当数据泄露发生时，有关组织应通知数据所有者并限制对数据的访问。在此过程中，受影响的系统可以关闭电源、删除其网络连接，或者对数据应用额外的访问控制。但应该注意的是，关闭系统可能会破坏对调查有用的数据。此外，应让用户意识到在发生数据泄露时应采取适当行动，例如不删除、复制、打印或发送电子邮件[18]。

4 澳大利亚维护网络安全经验对我国启示

因澳大利亚与中国在政治体制、法律规范、文化传统等方面具有明显的差异，导致两国在维护网络安全对策上存在区别。但网络安全问题是各国面临的共同挑战，每个国家应对网络安全威胁的做法，或许都有值得借鉴之处，这也符合习近平总书记提出的构建网络空间命运共同体理念。当然，我们决不能照抄照搬，而应重点关注澳大利亚应对网络安全问题的总体思路与特色做法，一是对维护我国网络安全是一个提醒，应该注意哪些地方、应该重点关注哪些地方，二是学习其中对维护我国网络安全具有启示的内容。由启发而制定的对策应依循战略、战术、主体三者逻辑：战略是对全局性、重要性、持久性事务的解决发挥指导性功能的方案计划，对应《网络安全战略》等内容；战术是指导和进行战斗的方法，是具体的行动计划，对应落实战略和法律的专门行动等内容；主体是指对客体有认识和实践能力的人，战略和战术都需要依靠人来实施，对应实施战略战术的责任人（主体）等内容。以三者逻辑体系对我国网络安全领域存在的问题进行梳理，为后续论述提供指引。

第一，在网络安全战略层面，存在滞后性、无法评估等问题。伴随着信息技术的迅速发展，《数据安全法》《个人信息保护法》《反电信网络诈骗法》等法律相继施行，我国《国家网络空间安全战略》并没有得到及时修改更新，以至于难以回应网络安全领域新近出现的问题。除此之外，由于我国《国家网络空间安全战略》现阶段缺乏衡量要素与标准，无法对实施效果开展有效评估。第二，在网络安全战术层面，存在专门行动缺失、法律难以落实等问题。当前，《网络安全法》等法律规定比较笼统，实践中没有针对网络安全的重点领域制定专门的行动计划（或是实施细则），导致维护网络安全的举措缺乏针对性。另外，虽然《网络安全法》《关键信息基础设施安全保护条例》的相关条款构建了我国关键信息基础设施的网络安全工作体系，但尚未制定专门的关键信息基础设施保护的具体行动方案，导致上述法律、条例规定在现实中难以落实。第三，在网络安全责任主体层面，存在权责不清、难以协调、合作受阻等问题。尽管我国《网络安全法》规定了有关主体保护网络安全的职责，但这些法条表述过于抽象、缺乏可操作性，导致了我国不同级别同类机构以及同一级别各类机构之间存在职责不清、职能交叉、多头管理的现实问题，相关部门维护网络安全工作效率低下[19]。与此同时，我国网络安全协调部门（如各级网信部门）统筹协调功能有待增强，法律对协调的具体事项亟待作出明确的规定。另外，由于不同国家、国际组织之间在展开合作时存在观念上的分歧，网络安全领域内的国际合作呈现出非正式的特点；国内不同合作主体之间尚未构建完善的合作机制且存在一定的利益争夺。

针对我国维护网络安全过程中出现的上述问题，可以适当借鉴澳大利亚维护网络安全的经验予以部分解决。

4.1 以战略思维为支撑，定期完善、评估网络安全战略

习近平总书记指出，要强化战略思维，努力提高战略思维能力。战略思维统揽全局、高瞻远瞩，善于把握事物发展的总体趋势与发展方向。党的二十大报告指出，要强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设。网络安全属于国家安全的重点领域，要从全局视角与长远眼光思考与处理网络安全战略问题。

针对网络安全出现的问题，澳大利亚先后发布了三版《网络安全战略》[20]。为顺应时代需求，我国需要紧密结合自身在网络安全领域存在的突出问题，及时对2016年版《国家网络空间安全战略》的内容进行修正调整，尤其是对战略中任务的调整。我国目前《国家网络空间安全战略》其中一部分的战略任务也明确了政府、企业和全社会的责任，但与澳战略有一定的区别[21]。一是，修订后战略是否需要明确政府和企业职责范围，使之可操作性更强？值得考虑。二是，除了政府和企业责任，澳大利亚和我国战略的关注点分别是社区责任、全社会责任，那么我们在调整过程中是否需要重点突出社区责任？由于两国的战略背景不同，在我国，社区目前还无法承担维护网络安全的责任。所以这部分可以维持现状，只是调整时更加明确全社会的责任范围为宜。同时，我们也需要不断提高社区的管理能力，使之逐步有网络安全防控意识，能够承担一部分维护网络安全的责任。

此外，我们需要在对2016年版的《国家网络空间安全战略》评估基础上进行调整。而在新出台战略后，为应对不断演变的网络安全挑战，仿照澳大利亚网络安全行业咨询委员会定期出版网络安全战略年度报告，我国国家互联网信息办公室、互联网安全协会等机构组织也可以定期对我国的网络安全战略进行评估并出台相关报告，概括网络安全战略的实施进度和效果，分析影响该战略实施的因素，积极探索关于网络安全保护的统一评价方式，将《国家网络空间安全战略》中和平、安全、开放、合作、有序这些目标作为评估考核的要点，并结合评估反馈的结果，制定未来的网络安全保护政策（如新的国家网络空间安全战略），发挥战略引领网络安全的作用。

4.2 以法治思维为引领，制定网络安全专门行动计划

法治思维是将法律作为判断是非与处理事务的准绳，其要求尊重法律、崇尚法治，善于运用法律手段来开展工作。依法维护国家安全，是全面依法治国的重要组成部分，也为国家的长治久安提供了有力保障。法律的生命在于实施。作为战术的一部分，完全可以利用专门行动计划来落实有关法律、战略、条例中打击网络恐怖和违法犯罪、保护关键信息基础设施等具体任务。

澳大利亚面临不断演变的网络安全挑战，[22]政府不仅会不断评估修改的法律，还在特定安全领域通过行动计划付诸实施[23]。实际上，为了有效防控网络盗窃、黑客攻击等违法犯罪行为，我国可以根据上述违法犯罪的特点、趋势与规律，针对性地出台专门的行动计划，从技术、心理、行为、文化等角度提出治理相关违法犯罪的路径，从而完成《国家网络空间安全战略》中的战略任务。

为了应对恶意攻击关键基础设施的行为，澳大利亚先后出台了法律予以回击。我国则可以适当学习吸收澳大利亚的合理做法，为落实《网络安全法》《国家网络空间安全战略》《关键信息基础设施安全保护条例》中规定的关键信息基础设施安全保护制度，除了及时修改调整法律，还应制定关键信息基础设施保护的专门行动计划（如《事件响应计划》等）：明确关键信息基础设施的定义与范围；强化政府机构与运营者等主体在关键信息基础设施安全保护工作的职责义务；明晰各类主体在关键信息基础设施安全保护实践中需要采取的措施；当发生威胁时，根据威胁程度的不同，采取差异化的事件响应措施等。

4.3 以系统思维为指引，打造网络安全多元主体（合作）共治模式

系统思维是指要全面地、普遍联系地观察事物，妥善处理好各种关系。系统思维强调任何事物及其运动过程都是一个多层次的系统，这个系统与环境一起构成了一个集合体。就网络安全责任主体而言，为解决上述问题，可以用系统思维以及整体的观点来看待、分析。每个主体都是系统的一个要素，只有要素及其组成的结构运转正常，这个系统才是完备的。所以既要厘清每个要素（主体）的职责，还要使要素组成的结构（主体协调、合作）顺畅。

澳大利亚对维护网络安全主体的职责作出了明确的规定。与此类似，我国可以通过《网络安全法》《个人信息保护法》《反电信网络诈骗法》等相关法律对国家网信部门、国务院电信主管部门、公安部门、网络运营者、其他有关部门保护网络安全的具体职能作出清晰的划分。譬如：互联网服务提供者、电信业务经营者应当对从事危害网络安全的行为进行监测识别和处置。另外，为更好地维护网络安全、化解主体职能不清的问题，澳大利亚网络安全中心应运而生。那么，我国需要重新设置主体（调整主体）履行组织协调的职责还是有效利用现有主体发挥统筹协调的功能呢？其实，现有主体完全可以承担统筹协调这项任务，只是目前协调机制还不完善。《网络安全法》有关条款规定，我国的国家网信部门承担着统筹协调网络安全的职责。下一步，我国各级网信部门应完善统筹协调工作体制，建立联席会议机制，贯彻落实好重大信息通报、重大事项会商、重大决策督办制度。同时，各级网信部门应发挥主观能动性、充分调动工作积极性，形成全国“一盘棋”的工作格局，指导、协调、督促有关部门保护网络安全。

此外，我国可以汲取澳大利亚在网络安全领域合作的经验，平衡不同主体的利益，建立长效的合作机制。我国应积极主办、参加各类网络安全国际合作论坛，表达自身对网络安全事务的主张，贡献中国智慧、建立中国话语体系，弥合观念上的分歧，与国际组织、其他国家建立全方位、多层次、宽领域的网络安全合作关系[24]。

5 结语

随着大数据、云计算、人工智能等新兴技术的飞速发展，计算机网络在社会中的各个领域得到了广泛运用，但网络技术也是一把“双刃剑”，在给人们生活带来便利的同时，也不可避免地引发了一些网络方面的非传统安全问题，直接影响着国家安全与社会稳定。由此，如何有效地化解网络安全领域的威胁挑战成了时下的一个热门话题。为构建具有中国特色的网络安全体系，我们应当以总体国家安全观蕴含的思维方法为指引[25]，从战略、战术、主体等多个角度发力，既要检视我国在网络安全领域的现实问题，还要吸取其他国家在维护网络安全方面的经验和规避教训。除此之外，我们需要坚持促进开放合作的基本原则，积极开展双边、多边网络安全国际交流合作，携手构建网络空间命运共同体。