为适应国家网络快速发展的需要，积极应对日趋复杂的网络安全形势，促进我国网络安全保障体系建设，国家互联网信息办公室于3月18日至4月7日，在澳大利亚举办了“国家网络安全保障体系研修班”，笔者作为成员有幸参与其中。

　　在澳期间，研修班较为详细地了解了澳大利亚网络安全总体情况、工作特点和发展趋势，开阔了眼界，打开了思路，得到了启发。研修班分别在澳大利亚悉尼、墨尔本两大互联网重要城市开展集中培训和走访。先后在悉尼大学、墨尔本大学、新南威尔士大学、迪肯大学、墨尔本皇家理工大学、维多利亚大学、莫纳什大学等7所大学现场听课。授课老师囊括了当前澳大利亚网络安全领域顶尖的专家和研究团队。授课内容包括：澳大利亚网络安全管理体系、网络安全及个人信息保护立法执法、网络安全领域最新研究成果、重点高校网络安全学科建设及人才培养等核心热点问题。

　　为进一步了解澳大利亚网络安全产业的前沿信息技术和发展态势，研修班又分别赴IBM、赛门铁克、埃森哲等高科技跨国公司企业的澳洲总部，澳洲电信（TELSTRA）、澳大利亚工业集团、澳大利亚信息产业集团、墨尔本数字信息公司等本土龙头网信企业以及DLA PIPER律师事务所等进行实地调研和交流。还听取了澳大利亚外交部、澳大利亚网络安全中心（ACSC）、澳大利亚信息安全委员会有关工作人员关于澳大利亚 “三级政府”（联邦、州、地方）组织架构，澳大利亚网络安全政策和主要工作机构有关情况的介绍。专程拜访了位于悉尼的新南威尔士州隐私委员会主要负责人，详细了解了澳大利亚官方对网络空间个人信息保护的政策导向和具体措施。

　　通过学习，笔者对当前澳大利亚开展网络安全保障工作的战略设计、政策法规和管理措施有了较为深入了解，同时，对加强我市网络安全服务保障体系建设有了新的思考，对开展工作的重点、着力点有了新的认识。

　　澳大利亚网络安全保障工作基本内容和特点

　　政府高度重视网络安全，将网络安全上升到国家战略高度：

　　在2011年相继发生英国《世界新闻报》丑闻和“维基解密”网站风波后，澳大利亚政府进一步加强对网络的监管，并逐步将其上升到了国家战略的高度。2013年1月，澳大利亚政府公布了第一份国家安全战略，并将网络安全作为国家的首要任务。2016年，澳大利亚政府公布了《澳大利亚网络安全战略》，为澳大利亚未来4年（至2020年）确立了针对网络安全行动的五个主题：全国性的网络合作、稳固的网络防御能力、全球性责任及影响、发展与创新及网络智能国家。并计划四年内花费近2.3亿澳元在国家重要基础设施的攻击防护上，包括成立网络威胁中心、在重要城市建立情报分享中心，继续提高澳大利亚国家计算机应急响应中心（CERT）能力等。

　　在澳大利亚网络安全工作中，政府（或议会）相关部门起到主导作用，部门健全、责任明确。重点任务有：确保关键基础设施安全；联系企业，确保线上交易等行为的安全性；教育引导公众，提高全社会的网络安全意识；负责个人隐私保护工作，成立了隐私委员会专职保护个人隐私（该机构直接服务于议会，在国家和州两级都设有该机构）；推动立法工作及落地实施等。

　　设置高级别的网络安全工作机构，协调处置网络安全重大事项及突发事件：2010年，澳大利亚国防部设立国家网络安全运行中心，聘请130余名高水平信息科技专家、工程师及分析师组成专业团队，旨在不断掌握高新科技，追踪和瓦解复杂的网络攻击，在保护国家网络和信息安全方面发挥重要作用，为政府决策提供可靠的安全建议和协助。2014年，澳大利亚又专门成立国家网络安全中心（Australia Cyber Security Centre，即ACSC），由国防部下属的澳大利亚信号局（Australia Signals Directorate ，即ASD）负责人担任ACSC协调员，员工约300人，主要职责是研究调查网络安全威胁、协调处置网络安全、组织协调网络安全运维及资源、提高网络安全意识等。ACSC成立伊始，澳大利亚总理即视察了该中心，提出了明确工作要求。该中心的职责包括：对内协调包括澳大利亚犯罪委员会、联邦警察署、安全情报机构、国家网络应急组、国防情报机构等部门，联合研判网络安全状态，评估网络安全风险，研究提出网络安全突发事件应对处置意见和建议。据了解，仅在2013年该中心就处理了940宗重大的网络安全事件。

　　较早建立了完善的法律法规和严格的执法机制，特别重视个人隐私和数据保护：澳大利亚是世界上最早制定互联网管理法律法规的国家之一。早在1988年，澳政府即专门制定了保护个人信息安全的《隐私法》，为联邦公共部门制定了 11 条信息隐私原则，为私人部门组织制定了10条国民隐私原则。这些隐私原则涉及个人信息处理的全过程，并针对个人信息的收集、使用、披露，以及信息的性质和安全性的判定提出了具体的标准。2012年，澳大利亚政府颁布了《隐私（加强隐私保护）修正案》，对1988年的隐私法进行了补充和修正，增加对个人身份标识的定义，并重申了个人信息的定义。当年，还通过了《个人控制的电子健康记录法》，对个人健康信息的收集、使用和披露作出严格的限制，对未经授权收集、使用、披露和二次披露个人健康信息的行为给予罚款处罚。

　　在相关法律法规建设方面，目前，澳政府已发布了《隐私法》《反网络犯罪法案》《反垃圾邮件法》《隐私修正案》《国家安全信息法》，以及《广播服务法》《互联网内容法规》和《电子营销行业规定》等，为相关主管部门开展互联网管理工作提供了法律依据。在执行层面，澳政府在1989年任命了第一位个人隐私保护专员 （Privacy Commissioner），各州政府根据本州实际情况，设立州个人信息保护专员办公室。为便于操作，澳大利亚联邦政府、州政府还制定发布相应的隐私指南、保护原则、手册等。如澳大利亚隐私原则（APPs）提出“大部分澳大利亚和诺福克岛的政府机关、所有私人部门和年营业额超过300万澳元的非盈利组织、所有私立医疗服务提供者和一些小型企业必须处理、使用和管理个人信息”。此外，澳政府设有联邦网络安全隐私保护委员会办公室，负责颁布国家网络安全与隐私保护政策，调查处置网络安全个人隐私信息泄漏事件。

　　澳大利亚较为完善的法律法规，杜绝了互联网时代诸多违法行为，在我国频发的电信诈骗、伪基站、网络非法集资、贩卖个人信息等问题，均不曾在澳发生。

　　网络安全学科建设和人才培养方面成效显著，在全社会开展教育培训方面意识超前：多年来，澳大利亚非常注重网络安全人才培养，在高等教育方面已经形成较为完整的学科体系，专业设置和教学大纲、教材结构比较细致、系统。特别是近年来，针对信息安全人才需求不断上升但供给短缺的问题，澳政府在教育学科中进一步增加信息安全教育课程，完善课程和教材体系。为满足市场需求，企业、学校也积极开展信息系统安全专业人员、信息安全审计师、大数据分析师等专业人才培养。同时，澳政府近年来加强了在网络安全基础理论和基础研发的投入，并与产业界合作共同推进技术攻关和产业应用。目前，悉尼大学、墨尔本大学、新南威尔士州大学、迪肯大学、维多利亚大学等高校，在项目研究、论文、技术和成果转化等方面都取得了很大成绩，特别是有些跨学科研究成果处于世界领先地位，如将密码学、计算机、电子信息等学科进行综合教学和研究等。

　多年来，澳政府非常重视网络安全和隐私保护意识培养，并融入到教育和宣传的各个环节，积极开展网络安全教育，宣传网络安全文化，为中小学提供网络安全教育模式，从小培养网络安全风险意识。社会组织机构也积极支持网络安全教育，比如，通过网络告诫青少年不要向网友透露家庭地址、学校名称等个人信息。

　　重视云计算、大数据、物联网等新技术新应用带来的网络安全问题，并从技术和管理上探寻应对之策：目前，澳国防部下属的国家信号局建立了信息安全评价制度（AISEP），对操作系统等软硬件产品、云计算服务、密码产品等进行评估，公布了相应的产品和服务目录。同时，澳政府对云计算用于商业目的的提供商和服务进行可信认证，例如亚马逊、微软的特定云服务等，可以在政府部门中使用。云计算和大数据公司也提供了多种从业人员考试认证项目，考试合格即由相关行业协会颁发证书，作为持证上岗的依据，这对于整个行业的规范和发展提供了便利条件，也对网络安全人才培养起到积极的推动作用。同时，对于跨境数据流动，则要求涉及隐私和敏感数据必须存储在澳本土。

　　澳政府注重发挥龙头网信企业的作用解决网络安全问题。赛门铁克作为老牌杀毒软件和防火墙起家的公司，正向综合性安全解决方案提供商转型。他们展示的STP分析模式充分说明面对黑客攻击需要三层协调联动：通报协调、网络操作部署、评价与统计。这正是政府、网络运营商、科研评估机构共同参与完成的多方联动的成功实践。Telstra电信公司对采购的信息安全产品有明确的检测确认要求，自身注重管理体系建设，获得了27000系列证书，对加强关键信息基础设施安全保障起到重要作用。这与我国网络安全法的认证和审查工作有类似之处，只是澳方不属于国家强制。所以，如何既体现国家意志，又能保证网络安全在国家控制范围内，对于我们而言要在实践中认真加以探讨。

　　总体来讲，在应对新技术新应用带来的安全问题上，澳大利亚遵循的是在政策上强调引导疏导，在法规上强调基本遵循，在职业操守上强调行业自律。由于没有强制企业必须要做认证和接受检查，也就没有因政府抓安全而给企业增加负担。而网络弹性（Resilia）等网络安全管理标准在澳大利亚网络安全实践中得到深入应用，为增强IT系统的安全性提供了参照标准。

　　注重发挥协调机构和社会团体作用，形成合作共赢局面：澳政府在提供适合发展的良好环境的同时，注重发挥相关机构和社团组织的作用。澳信号局（ASD）、通信和媒体局（ACMA）等从政府角度负责管理和推进网络安全工作，州议会设立隐私保护委员会负责相关工作。在实际工作中，澳大利亚网络安全中心（ACSC）、国家打击网络犯罪工作小组（NCWG）、国家互联网应急中心（CERT）等多部门与社团组织互联网产业协会（AFP）横向联合，并加强与企业的联动，做了诸多颇有成效的工作。如依托澳大利亚网络安全中心（ACSC），会同国防和相关企业建立了应急处理和风险管理联动机制。在具体操作中，通过云计算和人工智能分析，及时发现网络安全隐患并预警，然后经专家团队的研判分析，分类别对突发事件进行科学合理应对处置。

　　另外，澳政府还努力打造富有弹性的环境，一般事务性工作不由政府机构直接处置。如在处理法律纠纷方面，属于协调机构的隐私保护委员会办公室代表政府出面做调解工作，新南威尔士大学法学院则为其提供重要的法律研究支持。在企业运作方面，IBM、赛门铁克等知名公司依法依规提供网络安全服务，保护公共、私营部门的网络安全。

　　启示与建议

　　网络安全作为国家安全体系的重要组成部分，关系到政治安全、经济繁荣和社会进步，也关系到人民福祉。通过学习培训，笔者深切感受到：习总书记的“没有网络安全就没有国家安全”的精辟论断，必须植根于各级领导干部心中，必须深入到全民的安全意识当中。借鉴在澳学习培训期间的心得和体会，拟对北京市网络安全保障体系建设提出以下工作建议。

　　建立健全产学研用机制推进科技成果转化：要充分利用我市的资源优势，打通高校、科研机构和市场的渠道，增强网络安全领域活力，推动网络安全科研向产业转化。要积极打造成果转化服务平台，将高校优秀的科研论文、项目成果、先进技术等转化成可以运营的产品。成果转化平台亦可采取企业化运营，各参与方通过合作机制进行投入和获利。

　　进一步强化全社会的网络安全宣传教育工作：与西方发达国家相比，我国公众的网络安全意识和技能水平亟待提高。因种种原因，我国互联网上的个人隐私数据没有得到有效保护，数据泄漏甚至个人生命财产损失的现象频频发生。解决这样的问题，首先要通过媒体宣传给公众提供常态的、看得见、摸得着的具象教育，使广大公众尽快提升自我保护意识。其次，借助《网络安全法》的落地，进一步加强法律实践和法条解读，细化相关规范。第三，要强化社会面宣传，通过开展教育培训和丰富多彩的活动，努力营造良好的网络安全社会氛围。

　　加快网络安全学科建设和人才培养的步伐：总体来看，澳大利亚目前在互联网新应用、新业态方面还相对滞后，原因在于人口基数小（与北京市人口数相当），市场需求不够旺盛。但是在教育科研、人才培养等方面是具有超前意识的，也取得了显著成效。北京虽然是世界互联网高地，但在网络安全人才培养和储备上还与其所处的地位不相匹配。因此建议：一方面要不断完善市属网络安全学科建设和院系建设，完善全日制和在职培训网络安全人才培养体系，适时组建北京网络安全学院。另一方面，要加大网络安全职业技术学校建设，培养具有专业技能的高级“蓝领”。另外，还应鼓励科研院所和高校在工业4.0、大数据、云计算等网络安全新技术协同创新，推进前沿技术领域的应用和创新。

　　充分发挥社会组织、行业协会在维护网络安全工作中的作用：据澳大利亚的实践经验，网络安全治理除了政府、高校、机构的参与，社会组织的作用非常重要。就目前我国的社会组织状况看，大多数还是政府主导和设立的。应借鉴首都互联网协会的成功经验，在维护网络安全方面，考虑组建能够真正集纳资源，为政府和公众服务的社会组织，由他们出面做好社会层面的网络安全工作。同时，行业协会作为政府与企业的桥梁和纽带，在标准制定、行业准入、行业自律方面有着不可替代的作用，要充分加以利用，以此形成共赢机制。

　　强化网络安全产业的支撑作用：政府主管部门要积极引领网络安全产业的健康发展，出台相关政策，制定行业标准和规范，营造良好的市场竞争环境。同时，鉴于目前国内从事网络安全服务的多为民营企业，北京地区的比例达到80%，因此做大做强国有网络安全企业及云服务企业至关重要。在一些敏感领域，如特殊公共信息资源的收集、存储、共享、分析等方面，必须由“国家队”承担，以规避诸多问题的出现。

　　切实加强对关键信息基础设施的保护：要进一步加强对全市关键信息基础设施保护的统筹协调，建立健全关键基础设施网络安全保障体系和应急机制，在重要部门、重点行业开展网络安全应急演练，不断提升防护能力。通过技术手段，努力形成感知、预警、反击、恢复、威慑、审查等综合能力。有关主管部门应积极推动关键设备国产化，引导自主产品的部署和使用，促进产品优化提升，形成良性循环，最终实现关键信息基础设施的安全可控。

(作者单位：北京市互联网信息办公室网络工作协调处，编辑吴欢)