2023—2030年澳大利亚网络安全战略（译文）

澳大利亚政府

白运涛 译

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

网络安全是一个紧迫的国家问题，影响着每个澳大利亚人的生活，政府需要立即采取行动。在过去的18 个月里，数百万名澳大利亚公民受到了毁灭性网络事件的影响，平均每6 分钟就有一次网络犯罪报告被记录，仅勒索软件一项，每年就给澳大利亚经济造成高达30 亿美元的损失。人工智能和机器学习将带来新的风险，物联网将导致数十亿台额外的设备连接到互联网，为网络攻击开辟了新的空间，这种威胁将继续增长。同时，网络安全对澳大利亚来说也是一个巨大的机遇。全球网络产业规模巨大，发展迅速，并将持续存在。如果政府抓住这一机遇，澳大利亚将在为国民创造高薪工作和产品出口到世界各地等方面处于独特的地位。澳大利亚政府正在启动《2023—2030年澳大利亚网络安全战略》（以下简称《战略》），《战略》提出了大胆愿景，即到2030年，澳大利亚将成为网络安全领域的全球领导者。《战略》将改变澳大利亚网络安全的游戏规则，政府将建造6 个“网络盾牌”，以帮助、保护公民和企业免受网络威胁。同时，《战略》呼吁澳大利亚将进入一个网络合作的新时代，希望能够成为太平洋各国所选择的安全伙伴，并进行密切合作，以了解其他国家面临的独具特色的网络挑战。

到2030年，澳大利亚将成为网络安全领域的全球领导者。我们设想，未来将拥有更强大的网络防御能力，使我们的公民和企业能够繁荣发展，并在网络攻击后迅速响应。为了实现我们的愿景，将使用6 个网络盾牌，每一个网络盾牌都为抵御网络威胁提供了额外的防御层，并将澳大利亚公民和企业置于核心位置。在《战略》所涵盖的整个时期，澳大利亚政府和行业之间将进行多个阶段的持续合作，以加强澳大利亚网络防御能力，提高网络成熟度。基于此，我们将分为3 个阶段实施《战略》。

阶段1（2023—2025年）：加强基础。解决网络防护中的关键漏洞，为最脆弱的公民和企业提供更好的保护，并支持在整个地区提高网络成熟度。

阶段2（2026—2028年）：提高整个经济的网络成熟度。进一步投资网络生态系统，继续扩大网络产业规模，培养多样化的网络人才。

阶段3（2029—2030年）：推进全球网络安全的前沿发展。引领新兴网络技术的发展，以适应整个网络环境中的新风险和新机遇。

与行业密切合作。作为阶段1 的一部分，澳大利亚政府将与行业合作，共同设计一套里程碑式的立法改革，以加强网络防护。这将包括新的网络义务、简化报告流程、改进事件响应和更好地分享网络事件后的教训等。该立法改革的设计将经过仔细考虑，以最大限度地减少监管负担。《战略》标志着澳大利亚保护公民和企业免受网络威胁的方法发生了重大转变。通过建立和加强网络盾牌，澳大利亚人理应拥有黄金标准的网络防御，并获得强大的网络态势所带来的巨大经济机遇，以确保一个安全和繁荣的数字未来。《战略》规划了我们实现目标的路线。

1 战略背景

当前，澳大利亚面临着复杂的网络安全形势，网络攻击的数量、速度和复杂性都在增加。网络安全风险比以往任何时候都严峻，国家最敏感的数据和最脆弱的成员都面临网络安全风险。但我们也有一个极好的机会成为网络安全领域的全球领导者。澳大利亚经济数字化，依靠安全可靠的数字平台、技术和在线服务，这对澳大利亚生产力提高和未来繁荣发展至关重要。

网络犯罪分子、国家或国家支持的行为者经常以网络和数据为目标。网络犯罪的工业化使恶意行为者比以往任何时候都更容易窃取有价值的数据，破坏我们的系统，并勒索澳大利亚人获得相应经济利益。曾经完全属于国家领域的能力和技能现在可以由国家和非国家团体购买和雇用。国家支持的行为者继续利用网络行动窃取信息，挑战我们的主权。网络罪犯和相关国家不仅试图利用我们的设备和人员中的漏洞，还破坏澳大利亚关键的基础设施和政府系统。

人工智能、量子计算和生物技术等关键和新兴的网络安全技术，将彻底改变澳大利亚生活的方方面面。它们将创造经济和商业机会，改善澳大利亚政府提供的服务方式，并取得更好的成果。然而，这些技术也将为恶意网络参与者创造新的机会。随着全球网络和系统变得越来越互联，网络攻击面将不断扩大，使恶意行为者有更多的机会快速瞄准澳大利亚公民。今天数据安全不代表明天数据安全。如果不能保护国家免受网络攻击，那么对我们的社会和数字经济将产生毁灭性的影响。作为一个繁荣的国家，澳大利亚拥有高度的在线连接，是对网络犯罪分子非常有吸引力和有利可图的目标。勒索软件、网络勒索、诈骗和数字盗窃都对澳大利亚造成了重大损失，有关数据统计，澳大利亚企业预防网络犯罪成本每年增长高达14%。

澳大利亚拥有坚实的网络安全基础，可以成为网络安全领域的全球领导者。正是在这个基础上，我们制定了《战略》。澳大利亚的核心优势之一是拥有强大的立法体系和监管框架，将有助于实施新的网络安全标准，而快速更改这些法律的能力将帮助我们适应不断变化的网络安全需求。从根据2018年《关键基础设施安全法案》（以下简称《SOCI 法案》）监管关键基础设施，到根据保护性安全政策框架和相关州和地区安排保护澳大利亚政府的人员、信息和资产，澳大利亚政府可以利用一套杠杆来增强国家的网络安全。我们完全有能力制定进一步的立法改革，以实现真正的全社会变革。

我们不仅有强有力的法律，还有强有力的防御。澳大利亚拥有广泛的情报、防御和进攻的网络能力，以应对严重的网络攻击。澳大利亚信号局（Australian Signals Directorate，ASD）致力于全方位的网络运营，以保护澳大利亚免受全球威胁，并保护国家利益。ASD 获取信号情报，提供主动的网络风险建议和帮助，并可以部署进攻性网络行动。这些行动旨在威慑、破坏、降级和拒绝违反ASD 现有立法和监督框架，以及国内法和国际法的行为。法新社牵头调查影响政府、国家重要系统或严重影响澳大利亚经济的网络犯罪活动。许多其他政府机构、行业领导者和社区团体也支持ASD 和澳大利亚联邦警察（Australian Federal Police，AFP）的能力。这包括我们世界级的研究、教育和技术部门，它们正在推动网络安全及相关领域的重大技术进步。澳大利亚有许多全球成功的技术公司，并在关键技术（包括量子、机器人和人工智能）方面拥有强大的研究能力。学术界、行业和政府之间的深度合作使澳大利亚能够实现对网络安全目标的期望。

在太平洋地区，澳大利亚是值得信赖的首选伙伴。我们高度重视强大的区域和集体网络安全能力建设，通过支持建立国家计算机应急小组，协助制定新的国家网络战略及立法，开展提高认知行动，促进在线安全，并倡导全球科技公司认真对待安全保障，从而增强整个地区的网络弹性。在全球范围内，澳大利亚是网络安全的主要发声者。通过开展多边论坛，我们表明了对维护全球网络安全规则的国际秩序的长期承诺。我们支持网络空间领域中负责任的国家行为，并呼吁相关国家停止恶意网络行动。作为国际舞台上值得信任的发声者，澳大利亚有机会提高网络安全的全球标准。这些优势推动了我们对更安全的未来的愿景。通过发挥战略优势并抓住新的机遇，澳大利亚可以在2030年之前成为网络安全领域的全球领导者。

肺癌严重威胁着人类生命健康。近年来，我国肺癌的发病率和病死率已居恶性肿瘤之首，预计到2025年，我国新发肺癌病例人数将超过100万，尽管临床已规范化治疗，但预后仍较差，5年生存率仍较低[3-4]。血清CA153、CEA、CA125、CYFRA是辅助诊断肺癌较常用的肿瘤标志物，但早期辅助诊断肺癌的灵敏度和特异度均欠佳[1]。

2 战略主要内容

2.1 网络盾牌1：强大的企业和公民

澳大利亚公民和企业可以受到更好的保护，免受网络威胁，并可以在受到网络攻击后迅速反弹。到2030年，所有澳大利亚人都将受益于强大的数字经济。未来澳大利亚每个人和企业都拥有网络安全所需的技能和资源。

网络安全不再是技术主题，而是整个国家的共同责任。要将网络安全责任分担到整个行业，将更多的网络风险分配给最有能力解决这些风险的人。小型企业和弱势群体将得到澳大利亚政府和行业的专门支持。澳大利亚政府将帮助企业领导者了解他们的网络成熟度，并找到拥抱数字技术的方法，同时继续保护他们的客户。各种社区——包括偏远和区域社区、文化和语言多样性群体、年轻人、老年人、残疾人等人群——将有能力建设他们的网络弹性。澳大利亚公民将清楚地了解网络风险，并知道如何快速获得帮助。到2030年，澳大利亚将成为网络攻击的主要对象。我们的网络安全目标是破坏网络犯罪的商业模式，并使澳大利亚公民处于有效应对的强大地位。较大的企业将通过帮助能力较弱的人，在加强经济安全方面发挥核心作用。如果发生网络勒索，澳大利亚公民将知道如何安全应对。

网络事件不可避免，它是生活的一部分，也是在线商业的一部分。然而，如果出现问题，澳大利亚政府和社区将做好充分准备，共同努力，并迅速反弹。国家网络安全协调员（网络协调员）和国家网络安全办公室负责协调整个政府的事件响应工作。与普通公民相比，企业将更容易报告网络事件，网络犯罪的受害者将获得恢复网络安全所需的支持。

为了实现2030年愿景，澳大利亚政府将支持中小型企业加强其网络安全；帮助澳大利亚人保护自己免受网络威胁；扰乱和阻止网络威胁行为者攻击澳大利亚；加强与行业合作，打破勒索软件业务模式；为企业提供明确的网络指导；使企业在网络事件后更容易获得建议和支持；确保身份安全，并为身份盗窃受害者提供更好的支持。

2.2 网络盾牌2：网络安全技术

澳大利亚公民可以相信数字产品和服务是安全、可靠和符合国家标准的。网络安全是一项公益事业。到2030年，所有澳大利亚公民都应感受到来自安全的和有弹性的数字经济的保护。他们应该相信，网络安全将由技术供应链中最有能力的人来实施。消费者和企业将广泛采用网络安全标准，并从技术和软件市场中受益。在购买数字设备或软件时，消费者应该安心，相关产品会受到网络安全保护，并且没有将他们或他们的家庭置于网络安全风险中。在咨询过程中，业界呼吁对数字产品的网络安全标准采取统一的方法。网络安全技术标准将与国际最佳实践保持一致。澳大利亚将与业界和国际合作伙伴密切合作，设计和调整通用安全标准。

除了保护软件和硬件，还需要保护数据。最有价值的数据集需要与当前网络环境保持同步的充分保护，而不会对行业施加过分繁重的要求。这包括适当和合理的简化数据保留要求。此外，澳大利亚政府将继续积极开发以安全为核心的新兴关键技术。到2030年，澳大利亚公民应该能够安全地迎接新兴技术带来的机遇，包括量子、人工智能和6G 等网络安全技术。

为了实现2030年愿景，澳大利亚政府将确保公民可以信任他们的数字产品和软件；保护公民最有价值的数据集；促进全民安全地使用网络安全新兴技术。

2.3 网络盾牌3：世界级的网络威胁共享和拦截

澳大利亚可以访问实时威胁数据，并可以大规模阻止网络威胁。澳大利亚公民应该相信，政府和行业正在共同努力，在网络威胁造成重大伤害之前识别和阻止它们。网络威胁情报共享在提高威胁可见性方面发挥着关键作用，澳大利亚政府和行业之间的合作有助于构建整体网络威胁图景。政府利用从机密来源获得的知识和信息，帮助企业预测和应对复杂的网络威胁。与此同时，行业提供关于新出现的网络威胁和脆弱性的实时数据，帮助政府加强网络威胁防备和应对选择的能力。新的网络安全技术和做法将塑造新的网络威胁格局，并提高大规模共享网络威胁信息的能力。到2030年，澳大利亚将拥有整体经济威胁共享和封锁网络的能力，该网络将建立在ASD 现有的情报威胁共享平台上，以增强在全国范围内以机器速度共享网络威胁情报的能力。该网络将包括增强行业间的信息共享，提供多方向的“中心辐射”模型，将数据反馈到政府威胁情报系统中，并使信息能够有效地分发给行业。实时网络威胁共享将促进自动威胁拦截功能，使澳大利亚政府和行业能够及时阻止网络威胁。

为了实现2030年愿景，澳大利亚政府将创建一个完整的经济威胁情报网络；扩展威胁拦截功能，以阻止网络攻击。

2.4 网络盾牌4：受保护的关键基础设施

关键基础设施和重要政府系统能够抵御网络攻击并可从网络攻击中恢复。到2030年，每个澳大利亚人都应该安心，因为他们知道，基本服务——如电网、供水和银行系统——能够经受住网络攻击的破坏并可以迅速恢复。我们每天依赖的关键基础设施必须具有网络弹性，能够更好地预防网络攻击，并及时响应。关键基础设施和国家级系统的所有者和运营商需要清楚地了解面临的风险，包括网络威胁、人员风险、物理危害和自然灾害。根据《SOCI 法案》，他们必须制订适当的风险缓解计划，以防范这些威胁。通过监管和积极合作，澳大利亚政府将与行业合作，为所有者和运营商提供高水平保障。澳大利亚政府也将以身作则，并坚持对工业施加同样标准。随着越来越多地采用新技术来支持一系列政府服务，我们将努力实现高水平的网络成熟度，培养公众对符合世界级网络安全标准的信任，同时，将与州、地区和地方政府进行合作，建立全国一致且强大的网络弹性文化。

为了实现2030年愿景，澳大利亚政府将明确关键基础设施监管范围；加强关键基础设施的网络安全义务和合规性；加强联邦政府的网络安全能力，以及对关键基础设施进行压力测试，以识别漏洞。

2.5 网络盾牌5：主权能力

澳大利亚拥有蓬勃发展的网络产业，这得益于多样化和专业的网络劳动力队伍。到2030年，澳大利亚将形成一个蓬勃发展的网络安全生态系统，吸引、培养和保留人才，拥有强大的网络安全公司和能力，并培育创新技术。澳大利亚将因在网络技术和应用科学方面的开创性工作而受到认可，拥有大量、熟练和多样化的网络劳动人才。高质量的教育和培训机会将成为进入网络安全专业的既定途径。我们的网络劳动力将专业化，具有明确的标准来验证网络技能和经验。通过利用对移民、教育和培训系统里程碑式改革的现有承诺，将组建一支世界级的网络劳动力队伍，欢迎具有不同背景的人才。我们的网络劳动力将是包容性的，为不同的团队提供强大的职业机会——特别是女性，她们在该行业的代表性显著不足。澳大利亚将拥有一个蓬勃发展的网络安全行业，支持国家繁荣，创造高薪就业机会，并为当前和未来的网络安全需求创造创新解决方案。网络安全公司将得到强劲市场的支持，有更好的机会获得政府合同和投资，以促进增长。澳大利亚强大的学术和研究机构将继续推动世界领先的网络研究和创新。通过行业和政府之间更密切、重点突出的合作，我们可以解决一些最棘手的网络安全问题，并投资于人工智能和量子计算等新兴技术的安全发展。

为了实现2030年愿景，澳大利亚政府将扩充国家网络队伍并使之专业化，同时加快本地网络产业发展、研究和创新。

2.6 网络盾牌6：地区复原力和全球领导力

澳大利亚的网络弹性更强，并且正在数字经济中蓬勃发展。我们将继续维护国际法律和规范，并根据我们的共同利益制定全球规则和标准。到2030年，澳大利亚希望本地区能够更好地管理、减轻网络事件的影响并从中恢复。澳大利亚将继续与国际伙伴、行业和民间社会合作并建立联盟，以制定和倡导符合我们共同利益和价值观的规则、规范和标准。澳大利亚将是网络安全的首选合作伙伴，拥有管理该地区日益增长的威胁所需的信任和专业知识；我们将提供可持续和共享的网络弹性。在我们的帮助下，合作伙伴将发展并保留网络技能和能力，以增强网络弹性。尽管网络威胁激增，但很少有网络攻击会造成重大损害，因为我们保护措施强大，所以网络恢复迅速。澳大利亚公民和企业将从高质量标准和数字贸易规则中获得经济和安全利益。

为了实现2030年愿景，澳大利亚政府将作为首选合作伙伴，支持建立具有网络复原力的地区，塑造、维护和捍卫国际网络规则、规范和标准。

3 下一步：实施和评估

实施是愿景的核心。澳大利亚政府制定了《网络安全战略行动计划》（以下简称《行动计划》），将《战略》中的承诺和倡议转化为实现具体成果的直接行动。为确保我们实施各项举措，澳大利亚政府将采取以下措施。

3.1 为战略实施和管理分配资源

我们承诺在政府各部门和机构投入专用资源，以落实《战略》中的举措。这包括为实施具体计划，与行业合作伙伴共同投资，利益相关者参与计划，以及对战略实施的整体管理和监督提供资金。

3.2 明确实施责任

澳大利亚政府为《战略》中的每项举措分配了明确的责任。《行动计划》确定了负责执行每项行动的牵头机构和促进执行的支持机构。网络协调员将负责战略实施的全政府协调，包括与各州、地区和地方政府的合作。

3.3 继续与行业和社区密切磋商

《战略》是在与行业和民间社会密切磋商的基础上制定的。为了实现2030年愿景，澳大利亚政府将继续采取真正和透明的共同领导方式，尽可能地参与共同设计，并确保行动在强有力的监管和适当的激励措施之间取得平衡。在《战略》推动后，政府将启动有针对性的咨询程序，与行业共同制定具体举措。这将包括拟议的立法改革，以及将影响企业及其网络安全义务的其他举措。这一磋商过程将直接为这些举措的设计和实施提供信息。澳大利亚政府还将成立一个由行业领袖组成的行政网络委员会，以支持这种协商方式。这一新的战略合作伙伴关系每年召开两次会议，将就国家网络安全优先事项开展更广泛的合作。该委员会由来自各行业的高管组成，将与其他网络管理小组形成互补，通过强有力的领导来丰富完善澳大利亚的网络生态系统。

3.4 对进展进行稳健评估

对所有举措的有力评估将支持《战略》的实施。这将包括评估各项举措的影响和整体战略在实现2030年愿景方面的有效性。我们将继续评估威胁环境的性质和保护澳大利亚公民和企业的网络盾牌的强度。该评估将以行业和社区负责人的反馈意见、威胁情报及从网络事件中吸取的教训为依据。

3.5 根据网络环境变化调整计划

我们将采取灵活的方式来实施《战略》，以适应不断变化的地缘政治格局、威胁环境和技术市场趋势。澳大利亚政府将探索中长期新举措的机会，以确保我们继续在实现愿景方面取得有意义的进展。为确保我们的行动重点突出并符合目标，我们将每两年发布一次更新的《行动计划》。

4 结 语

我们将决心实施《战略》中概述的愿景，以确保澳大利亚在具备世界级网络安全产业、具有网络意识的公民、有效和针对性的政府监管、更好地支持行业及与国际合作伙伴的更深入合作的基础上，为未来持久的成功和繁荣做好准备。我们将加强网络弹性以面对网络攻击，并及时做出响应和反击，以维护我们的经济安全和国家繁荣。相信经过共同努力，可以实现到2030年成为网络安全领域全球领导者的愿景。