0 引言

信息通信技術（ICT）發(fā)展和連通性排名

1993年，互聯(lián)網(wǎng)作為達蘭市法赫德國王石油與礦業(yè)大學（KFUPM）的一個學術項目被首度引入沙特王國，在該校計算機科學和工程學院實現(xiàn)了首次連接。[1]通過衛(wèi)星，該網(wǎng)絡連接通至直通美國馬里蘭州貝塞斯達市。當時沙特有限的互聯(lián)網(wǎng)基礎設施也由華盛頓協(xié)調中心（Washington Coordinating Center）管理。該中心同時還主管著沙特在美國的政府官網(wǎng)。由于國際寬帶有限以及連接速度慢，當時法赫德國王石油與礦業(yè)大學的職工僅能使用電子郵件服務。整個二十世紀九十年代，沙特僅有學術、醫(yī)療、研究和政府等機構的少數(shù)特定員工能實現(xiàn)有限上網(wǎng)。這些機構基本都位于首都利雅得，使用法赫德國王?？漆t(yī)院和研究中心（KFSHRC）提供的64kbps互聯(lián)網(wǎng)頻道，并受沙特國家科技創(chuàng)新中心——阿卜杜拉國王科技城（KACST）的管理。法赫德國王?？漆t(yī)院和研究中心通過專有的衛(wèi)星鏈路實現(xiàn)聯(lián)網(wǎng)，阿卜杜拉國王科技城則通過微波鏈路連接到該中心。1994年，阿卜杜拉國王科技城成為沙特國家網(wǎng)絡域名.sa的主管部門，并負責全國范圍內所有網(wǎng)絡服務的協(xié)調。沙特網(wǎng)絡滲透率見圖1。

圖1 沙特網(wǎng)絡滲透率：69.6%

1999年，沙特國內所有民眾均可上網(wǎng)。

經(jīng)過數(shù)年研究和審議，沙特部長理事會（Saudi Council of Ministries）于1997年授權阿卜杜拉國王科技城將互聯(lián)網(wǎng)接入擴展至全國，同時委任沙特國有企業(yè)及唯一的電信服務提供商——沙特電信公司（STC）來建設國內必要信息基礎設施，以促進國有互聯(lián)網(wǎng)主干和其它互聯(lián)網(wǎng)服務提供者（ISP）之間的相互連接。1998年，互聯(lián)網(wǎng)管理工作劃歸KACST下屬的互聯(lián)網(wǎng)服務機構（ISU）負責，可向KACST負責科研支持的副主席直接匯報。1999年，互聯(lián)網(wǎng)服務機構正式向取得牌照的商業(yè)化互聯(lián)網(wǎng)服務提供者開放其網(wǎng)絡，盡管沙特電信公司（直到2005年）是當時唯一的互聯(lián)網(wǎng)服務提供商。通過互聯(lián)網(wǎng)服務機構，KACST成為沙特國際和國內之間唯一的互聯(lián)網(wǎng)交換節(jié)點和網(wǎng)關。由此，互聯(lián)網(wǎng)服務機構負責對國內的互聯(lián)網(wǎng)服務監(jiān)管、域名（.sa）運營以及制訂互聯(lián)網(wǎng)管理規(guī)章，包括入網(wǎng)控制、對“有害”、“非法”、“反伊斯蘭”或“具有攻擊性的”網(wǎng)絡信息過濾等。作為其職責之一，互聯(lián)網(wǎng)服務機構實施了一個（可過濾進出信息的）互聯(lián)網(wǎng)內容控制系統(tǒng)，來使其在推進公眾入網(wǎng)率的同時，保證網(wǎng)上的內容符合該國保守的價值觀和伊斯蘭教義。

2003年，沙特通信委員會（Saudi Communications Commission）更名為通信和信息技術委員會（CTIC），代替KACST接管互聯(lián)網(wǎng)牌照發(fā)放、信息監(jiān)控和過濾工作。此外，它還向私營部門提供互聯(lián)網(wǎng)接入服務，以及負責解決私營電信公司之間的爭端?；ヂ?lián)網(wǎng)服務機構則繼續(xù)為政府部門以及學術研究機構提供網(wǎng)絡接入。如今沙特通過兩大國家層面的數(shù)據(jù)服務提供商——綜合電信公司（Integrated Telecom Company）和Bayanat al-Oula 網(wǎng)絡服務公司（Bayanat al-Oula for Network Services）實現(xiàn)網(wǎng)絡連接。同國有企業(yè)一樣，這些互聯(lián)網(wǎng)服務提供商必須遵守相關條款（例如過濾內容等）。

1999年以來，互聯(lián)網(wǎng)接入在沙特民眾中變得普遍，沙特民眾對（尤其是商業(yè)部門提供的）互聯(lián)網(wǎng)服務需求不斷增長，沙特互聯(lián)網(wǎng)用戶的數(shù)量也在迅速增長（從1999年的10萬，增長至2001年的100萬，再到2016年底的1650萬）。2016年，幾乎所有的沙特大學院校都為本校職工和學生提供免費互聯(lián)網(wǎng)接入。沙特的醫(yī)院、銀行和公司也都推出面向民眾的網(wǎng)絡服務。近年來，沙特政府越來越重視互聯(lián)網(wǎng)，并將其視作經(jīng)濟增長和政府高效運行的驅動力，同時在教育和公共服務領域不斷擴大網(wǎng)絡接入。沙特政府同時還將其視作擺脫過度依賴石油、實現(xiàn)經(jīng)濟多元化的重要手段。

如今，沙特已實現(xiàn)2100萬（接近其總人口的70%）的網(wǎng)絡接入。盡管阿聯(lián)酋、卡塔爾和科威特等其他海灣國家有著更高的網(wǎng)絡滲透率，但在面對互聯(lián)網(wǎng)帶來的新鮮事物上沙特民眾接受度卻更高，并在此方面為其它阿拉伯國家做出了表率。沙特民眾是全球最活躍的社交媒體用戶之一——沙特擁有阿拉伯地區(qū)最大的推特（Twitter）用戶群。此外，其高手機持有率（177%的市場滲透率）也在不斷推動互聯(lián)網(wǎng)在沙特的使用，使得手機寬帶服務需求大幅增長。最后，使用翻墻軟件（如Hotspot Shield）以轉接到某些政府禁掉的內容和服務的沙特民眾數(shù)量正不斷增加。

就資本存量和消費量來看，沙特是中東地區(qū)最大的信息通信技術(ICT)市場，正受到本地和國際公司的青睞。事實上，盡管IT產(chǎn)業(yè)目前對沙特GPD貢獻率僅占0.4%，且其ICT市場長期靠進口拉動——超過80%的ICT消費都流向了外國企業(yè)，IT部門仍被視為其增長最快并能帶來巨大發(fā)展機會的的產(chǎn)業(yè)之一。2019年，其網(wǎng)絡安全市場將有望超過34億美元。

高度盈利的沙特電信公司目前已成為一家公開上市公司。由于依然是沙特最大的信息服務提供商和中東最大的網(wǎng)絡運營商之一，它提供了沙特絕大部分的手機、固話、互聯(lián)網(wǎng)和電視服務。然而在二十一世紀頭十年的中后期，Mobily和Zain等信息服務提供商紛紛進入市場，該公司在手機和互聯(lián)網(wǎng)服務領域的壟斷地位開始被打破。2008年，沙特電信公司推出數(shù)字通信量更大、可靠性更高以及速度更快的3G技術服務。同年，Zain公司也攜4G（LTE）通信服務進入沙特手機通信市場。

盡管沙特有著70%的互聯(lián)網(wǎng)滲透率和快速增長的手機使用率，但其電子商務仍有待發(fā)展。至少有三大原因導致其在該領域的發(fā)展遲緩。首先，沙特國內創(chuàng)辦新企業(yè)十分困難。其次，沙特ICT費用高昂（沙特在世界ICT可負擔能力上的排名為101），其國內企業(yè)通常不愿將昂貴的ICT引入企業(yè)運營中。最后，石油經(jīng)濟仍然主導著沙特的經(jīng)濟，貢獻了其超過90%的政府稅收，導致其企業(yè)大部分集中于石油開采、提煉、石油和液化天然氣（LNG）分銷等行業(yè)。

沙特政府認識到，如要進一步推進其經(jīng)濟發(fā)展，必須改變過度依賴石油現(xiàn)狀，實現(xiàn)經(jīng)濟多樣化。因此，沙特王儲穆罕默德·本·薩勒曼（Muhammad bin Salman）—當前沙特國王薩勒曼·本·阿卜杜勒-阿齊茲（Salman bin Abdulaziz Al-Saud）的王位繼承人，已制訂了改變沙特過度依賴石油的經(jīng)濟改革展望，意圖打造一個“強大、繁榮的沙特，為所有行業(yè)提供發(fā)展機會”，從而不再受“大宗商品價格波動或外部市場變化左右”。該展望內容之后被2016年公布的《沙特2030愿景》加以陳述，從而為沙特未來經(jīng)濟結構改進提出了包含具體目標的路線圖。

該雄心勃勃的經(jīng)濟發(fā)展戰(zhàn)略將數(shù)字化發(fā)展列為其目標之一，但并未列入重點領域。盡管如此，該計劃也承認，如要充分從ICT產(chǎn)業(yè)中實現(xiàn)經(jīng)濟利益，必須推動云計算等ICT技術的使用以及為民眾提供各類面向互聯(lián)網(wǎng)的服務。該計劃提出要打造三大支柱：（1）將沙特定位于阿拉伯和伊斯蘭世界的心臟；（2）將沙特的角色定位于全球投資的動力源；（3）將沙特的戰(zhàn)略位置打造成連接亞、歐、非三大洲的全球樞紐。[2]如同過去許多其它改變沙特依賴石油經(jīng)濟的措施一樣，該計劃試圖在宗教保守主義和實現(xiàn)現(xiàn)代化兩者之間保持平衡。該計劃也帶來一大矛盾：如何在有限制地使用現(xiàn)代技術和互聯(lián)網(wǎng)的同時，又能大力推動沙特的經(jīng)濟增長。

《沙特2030愿景》與2020年“國家轉型計劃（NTP）”中列出的重點發(fā)展行業(yè)相一致，均強調要通過促進醫(yī)療、教育、基礎設施、娛樂和旅游業(yè)發(fā)展使經(jīng)濟多樣化，來提升私營部門的地位。該愿景的其它目標還包括：推動外國直接投資；使私營部門成為就業(yè)市場的主要雇傭者，減少公共部門和官僚機構的比重；創(chuàng)造更多就業(yè)機會，為勞動力市場培養(yǎng)相關技能；提供優(yōu)良的醫(yī)療服務；擴大政府在裝備和軍火等軍隊制造業(yè)上投入等。

沙特經(jīng)濟與發(fā)展事務委員會（Saudi Council of Economic and Development Affairs ）已被授權建立必要機制和措施來實施該愿景，協(xié)調各利益相關部門共同落實，以及監(jiān)督其進展情況。該委員會已成立大量機構，如國家績效評估中心（National Center for Performance Measurement）、執(zhí)行機構（Delivery Unit）、項目管理辦公室（Project Management Office）等，來對當前的各類提案以及未來的各大項目進行啟動、管理、監(jiān)督和評估。

盡管《沙特2030愿景》承諾將對投資者開放更多經(jīng)濟機會和推動國家快速轉型，但這一宏大的經(jīng)濟計劃依然沒有觸及政治或社會改革，也未談及如何解決當前急需的外國技術工人問題。該愿景中也未明確沙特怎樣實現(xiàn)可持續(xù)的國家收入，來支持新型服務導向型經(jīng)濟所需的基礎設施建設。當前油價持續(xù)下跌導致沙特國家收入銳減，讓愿景中提出的變革實施難以為繼。

此外，沙特長期飽受復雜多變的地區(qū)安全挑戰(zhàn)困擾。該安全問題導致了地區(qū)不穩(wěn)定的增加。[3]這些挑戰(zhàn)包括沙特在也門和敘利亞代價不菲的軍事行動、伊斯蘭國和其它極端組織不斷上升的暴力極端活動、與伊朗不斷緊張的雙邊關系以及正在與卡塔爾持續(xù)的外交危機。沙特政府試圖吸引外國直接投資和推動更多私營部門企業(yè)參與經(jīng)濟轉型，該計劃或將被不斷增長的針對關鍵基礎設施和私營企業(yè)的網(wǎng)絡襲擊所破壞。

2012年8月，沙特國有油企沙特阿美石油公司就曾遭受過一場嚴重的破壞性網(wǎng)絡襲擊。當時沙蒙（Shamoon）病毒使該公司成千上萬的硬盤驅動遭到感染、員工的郵件遭到停用、公司數(shù)據(jù)遭到破壞、以及四分之三（75%）的IT基礎設施資產(chǎn)遭到破壞。[4]沙特阿美公司花費了數(shù)周時間才使公司恢復正常運營。由于阿美公司貢獻了沙特政府收入80%且是世界最大的石油生產(chǎn)商，供應了全球超過10%的石油和25%以上的液化天然氣，該事件因而視為一場針對沙特國家的直接襲擊。襲擊的惡意軟件一度試圖從業(yè)務系統(tǒng)侵入油氣生產(chǎn)和分銷網(wǎng)絡。即使石油設施局部遭到破壞，也會對石油供應、石油價格甚至相應的全球經(jīng)濟造成直接影響。該事件提升了沙特政府對網(wǎng)絡威脅的認識，令其重新關切起應對未來網(wǎng)絡襲擊的恢復能力。[5]

2012年沙特阿美石油公司遇襲事件后，沙特政府開始投入大量資源提升自身網(wǎng)絡安全能力，以及推進國內和國際措施來解決其網(wǎng)絡安全問題。在國內，作為著重在民眾、過程和技術方面建立國家網(wǎng)絡安全、風險消減、恢復能力框架的初步嘗試，沙特開始制定“國家信息安全戰(zhàn)略（NISS）”。該文件指出了“當今互相連接的計算機網(wǎng)絡（以及）經(jīng)濟和金融活動對ICT不斷快速增長的依賴帶來的復雜性”，試圖提出“符合沙特國家信息和ICT目標的整體戰(zhàn)略”，同時更好地支持沙特的長期國家經(jīng)濟愿景和戰(zhàn)略計劃?！皣倚畔踩珣?zhàn)略”和《沙特2030愿景》都強調沙特提升整體國家安全和國家恢復能力的必要性，以“為沙特向知識導向型經(jīng)濟轉變提供有效和安全的基礎”。

“國家信息安全戰(zhàn)略”和《沙特2030愿景》都強調沙特提升整體國家安全和國家恢復能力的必要性，以“為沙特向知識導向型經(jīng)濟轉變提供有效和安全的基礎”。

然而，“國家信息安全戰(zhàn)略”將重點置于通過制訂必要的政策、規(guī)章和培養(yǎng)技術工人來打造一個受中央政府管控的信息安全環(huán)境上，而忽略了其它國家網(wǎng)絡安全方面建設和關鍵基礎設施保護（CIP）。該戰(zhàn)略稱，網(wǎng)絡安全和關鍵基礎設施保護建設“不在其范圍內”，但由于二者是“該戰(zhàn)略的重要補充和沙特核心國家利益和資產(chǎn)全面保護的必要組成部分”，應為其制訂發(fā)展戰(zhàn)略。它同時還警告，如要有效實施該戰(zhàn)略，沙特最高領導層需達成共識。同時該戰(zhàn)略最大的挑戰(zhàn)是，如何讓所有政府機構一致同意建立一個集中的國家信息安全環(huán)境機構。

除了“國家信息安全戰(zhàn)略”，沙特大部分安全機構和部委也制訂了自己的相關規(guī)章和措施，并建立了自己的基礎設施系統(tǒng)，但均不受中央?yún)f(xié)調管理。而沙特缺乏一個權責清晰且有能力負責整體國家網(wǎng)絡安全的主管機構的現(xiàn)實進一步加劇了這些機構各自為營的做法。

然而2017年7月，沙特國王薩勒曼發(fā)布了一系列法令，其中最突出的就是成立國家安全部（Presidency of State Security）——一個負責反恐和國內情報工作的全新國家安全機構。該機構將兼并此前內政部（MoI）下屬的一些部門，如特殊緊急部隊、技術事務、航空安全以及民事和軍事人員、以及其它負責反恐和安全問題的處室等。根據(jù)這些法令，國家網(wǎng)絡安全中心（NCSC）最早將于2018年1月從內政部劃歸國家安全部下屬。屆時國家網(wǎng)絡安全中心將成為沙特網(wǎng)絡安全的權力中心。最后，該法令還下令對內政部和皇家衛(wèi)隊精銳力量的高層作出職位變動，同時將新委任的國家安全部主管Abdulaziz bin Mohammed al-Howairini及其副手提升至部長級別。這些舉措旨在將網(wǎng)絡安全、反恐和國內情報等安全事務上的權力集中化，將其置于單一機構的主管之下，以能對沙特國王和王儲的指示作出直接響應。[6]

如要全力支持這一新成立機構，沙特需在接下來的幾個月里組建其領導層和確定初步行動。當前沙特在國家網(wǎng)絡安全方面存在權責過于分散的問題，導致長期以來其網(wǎng)絡安全戰(zhàn)略規(guī)劃的缺失。沙特必須解決這一問題，確保其將有限的資源投入到即時和長期網(wǎng)絡威脅上，以改善其整體國家網(wǎng)絡安全現(xiàn)狀。[7]要實現(xiàn)《2030愿景》中提出的宏大目標以及加入全球互聯(lián)網(wǎng)經(jīng)濟并從中獲益，沙特需了解ICT創(chuàng)新帶來的機會和風險，同時減少其對網(wǎng)上內容的過度篩查。

本報告采用網(wǎng)絡就緒度指數(shù)2.0（CRI2.0）評估了沙特應對網(wǎng)絡安全風險的準備度，并制定了一份行動藍圖，幫助沙特進一步了解其互聯(lián)網(wǎng)基礎設施之間的依賴性及脆弱性?；趯ι程禺斍熬W(wǎng)絡安全形勢的分析，本報告還探討了沙特需要發(fā)展哪些能力，才能確保數(shù)字化順利推進。本報告采用CRI2.0方法論，從七大維度（國家戰(zhàn)略、事件響應、電子犯罪與執(zhí)法、信息共享、研發(fā)投資、外交與貿易、防護與危機應對）對沙特的網(wǎng)絡安全工作及能力評估，如圖2所示。

圖2 沙特網(wǎng)絡就緒度評估（2017）

1 國家戰(zhàn)略

2011年，作為負責網(wǎng)絡安全和政府服務數(shù)字化的政府機構之一，沙特通信與信息技術部（MCIT）制訂了沙特首個“國家信息安全戰(zhàn)略”。這一長達90頁的文件經(jīng)國際高級顧問和沙特國內專家的制訂和多次完善，目前已是第七版。

沙特正面臨不斷增長的國家安全、經(jīng)濟福利和文化價值觀等方面威脅。這一現(xiàn)實凸顯出制訂國家網(wǎng)絡安全戰(zhàn)略的必要性。“國家信息安全戰(zhàn)略”指出，“沙特國內外的網(wǎng)絡相互連接導致其出現(xiàn)巨大的新型安全漏洞，并導致沙特經(jīng)濟文化活動受到新型威脅。一些情況下，這些新威脅甚至能導致關鍵ICT系統(tǒng)停止工作、被破壞或摧毀?！?這些威脅還包括，敵對勢力可能“操縱和利用ICT系統(tǒng)直接損害沙特國家利益。”

該戰(zhàn)略為沙特確立了清晰的發(fā)展愿景，并闡明其目標是通過吸收世界最佳實踐成果和依靠本國高素質的專家和從業(yè)者，來為沙特提供安全堅實的數(shù)字化環(huán)境，主要包含五方面，即：（1）建設安全可靠且恢復能力佳的信息基礎設施；（2）訓練一支專業(yè)化的網(wǎng)絡安全工作隊伍；（3）通過增加透明度和合作，來打造可提升相互信任和信心的信息安全環(huán)境；（4）通過對電子化政府服務和基礎設施提供支持，來實現(xiàn)國家安全目標和ICT計劃及戰(zhàn)略；以及（5）通過研發(fā)及改善商業(yè)環(huán)境推動經(jīng)濟增長。此外，該戰(zhàn)略還制訂了10個含有并支持以上5大戰(zhàn)略目標的10個一般目標，包括：（1）制訂適當穩(wěn)定的信息安全政策、指導方針和實踐方案；（2）提高國家信息系統(tǒng)和ICT基礎設施的安全性、可靠性、適用性和恢復能力；（3）改善人力資源條件；（4）建立信息安全威脅分析和緩解能力；（5）減少和預防正在增長的ICT漏洞；（6）實施信息安全合規(guī)和跟蹤流程；（7）培養(yǎng)研發(fā)、創(chuàng)新和創(chuàng)業(yè)環(huán)境；（8）確保關鍵ICT基礎設施和系統(tǒng)受到充分信息安全保護；（9）推動國內外合作和信息共享；以及（10）提高安全風險和個人責任意識。然而，盡管提出了5大宏觀戰(zhàn)略目標和10大一般目標，這一雄心勃勃的文件卻并未給出清晰的實施方案或具體指南來實現(xiàn)以上目標。

該戰(zhàn)略也承認其構想或將難以實現(xiàn)。例如，目前沙特國內還未有統(tǒng)一的網(wǎng)絡安全政策和標準，各大政府機構和部委普遍都以自己的方式保障自身網(wǎng)絡安全，而其各自建立的網(wǎng)絡安全系統(tǒng)并沒有多少共同性。同樣，網(wǎng)絡安全風險和威脅評估標準存在缺失，導致政府機構無法持續(xù)針對各類威脅制訂有效的戰(zhàn)略和政策。同時，沙特也缺乏精密的綜合性災害恢復規(guī)劃程序來整合網(wǎng)絡安全行動。此外，該戰(zhàn)略也未明確沙特的國家網(wǎng)絡安全架構，未確認負責監(jiān)管國家整體網(wǎng)絡安全狀況的主管部門。最后，要跨越沙特網(wǎng)絡安全現(xiàn)狀和該戰(zhàn)略構想的前景之間的鴻溝，最大的挑戰(zhàn)在于沙特缺乏數(shù)量充足、技術熟練和高素養(yǎng)的網(wǎng)絡安全勞動力——根據(jù)通信和信息技術部部長Abdullah Al-Swaha的說法，沙特目前缺少超過50000名ICT特殊技術工人。

為解決以上問題，該戰(zhàn)略提出了大量建議，包括2020年前成立一個集中管理的組織架構——國家信息安全環(huán)境機構（NISE），將沙特所有網(wǎng)絡安全利益相關者納入其中，“負責將國家信息安全戰(zhàn)略的目標和倡議進行具體落實”；以及成立國家風險評估框架來支持建立一個高效安全的信息安全環(huán)境機構。但是國家信息安全環(huán)境機構具體如何構建、其具體權力范圍、以及現(xiàn)有的、合并后的或新成立的機構應承擔其它哪些網(wǎng)絡安全責任仍未明確。該戰(zhàn)略指出，“沙特相關主管部門應做出決定，成立哪些機構及其附屬機構，（以及）現(xiàn)有主管信息安全政府機構的具體角色”。2017年7月，國王薩勒曼發(fā)布了系列皇家法令，決定成立國家安全部——一個負責反恐和國內情報工作和網(wǎng)絡安全的全新國家安全機構。該部委將作為承擔以上責任的唯一機構，直接向國王和王儲報告。 “國家信息安全戰(zhàn)略”是否還會修改以及其建議是否還會重新排序，目前還不清楚。盡管如此，沙特目前尚未發(fā)布任何網(wǎng)絡安全戰(zhàn)略或者政策。

2013年，沙特發(fā)布了一條皇家法令，決定在內政部下成立國家電子安全中心（NCES）。該中心之后被重命名為國家網(wǎng)絡安全中心。由于國家安全部或將負責制訂下一版“國家信息安全戰(zhàn)略”，2017年皇家法令又將其級別提升并調整為國家安全部下屬。此外，該法令同時還決定，國家網(wǎng)絡安全中心最早將于2018年成為沙特國內負責網(wǎng)絡安全的重心。目前，沙特網(wǎng)絡安全事務尚處于通信與信息技術部、內政部以及其它政府部委和機構共同管理之下。屆時國家網(wǎng)絡安全中心將承擔類似計算機應急響應小組（CERT）的功能，負責沙特政府和關鍵國家基礎設施（CNI）運營商的信息及通信系統(tǒng)和網(wǎng)絡的保護工作。該中心不僅限于在首都利雅得工作，同時還承擔大量任務，包括：制定國家信息基礎設施和關鍵資產(chǎn)的標準、規(guī)章；識別風險和采集安全威脅情報；在國家層面協(xié)調網(wǎng)絡事件響應和恢復工作；促進不同行業(yè)部門之間的信息和安全預警流動。例如，國家網(wǎng)絡安全中心已建立包含分析和鑒別能力的信息保障和端對端的專業(yè)網(wǎng)絡防御能力，以及與政府機構和大量關鍵國家基礎設施運營商之間進行網(wǎng)絡威脅情報分享。目前這些任務仍處于完善中，各自的運行效果也不一。

戰(zhàn)略中提出的各項倡議所需的財政支持也未明確。沙特國家預算由財政部和其它各政府直屬機構雙方協(xié)商制訂，并不受立法審查，因此也不向民眾公開。各政府部門的支出皆有預算可用，但是均并未包含網(wǎng)絡安全支出這一具體細項。

盡管沙特在網(wǎng)絡安全意識和能力上正在不斷取得進步，但其在國家層面應對網(wǎng)絡風險的準備度上與發(fā)達國家相比仍存在不小差距。沙特已提出了一些網(wǎng)絡安全相關的倡議并計劃對網(wǎng)絡安全創(chuàng)新科技進行大力投入，但仍缺乏一個整體網(wǎng)絡安全戰(zhàn)略、一套通用的網(wǎng)絡安全政策和標準、以及一個長效的國家網(wǎng)絡安全架構。今年接下來的幾個月里，沙特國家安全部仍有機會通過制訂國家網(wǎng)絡安全框架和戰(zhàn)略來為沙特網(wǎng)絡準備度開辟道路。

2 事件響應

2016年，沙特成立其首個計算機應急響應小組，“作為受國家委托的信息安全權威參照物”。

2016年，沙特經(jīng)歷了新一輪網(wǎng)絡襲擊，大量政府機構和私營企業(yè)受到影響。該事件再次顯示沙特建立網(wǎng)絡安全能力和恢復能力的緊迫性。這次襲擊與2012年沙特阿美公司遭受的攻擊事件類似，均利用了一種惡意軟件進行入侵，從而導致關鍵基礎設施遭到大范圍破壞而無法運行。2017年2月，在利雅得舉行的第二屆國際互聯(lián)網(wǎng)安全大會年會上，沙特國家網(wǎng)絡安全中心總負責人Saleh Ibrahim Al-Motairi表示，僅在2016年，沙特就遭受到近1000次的持續(xù)網(wǎng)絡安全襲擊，襲擊目標包括關鍵基礎設施、竊取數(shù)據(jù)、干擾網(wǎng)絡服務等。[8]

這類危及國家利益的網(wǎng)絡事件由沙特計算機應急響應小組（CERT-SA）負責處理。該小組“作為受國家委托的信息安全權威參照物”，于2006年成立。2007年，在網(wǎng)絡事件偵查、預防、意識提高、教育和培訓等功能基礎上，CERT-SA開始提供事件處理咨詢服務。總體來說，CERT-SA提供的多種服務包括：（1）幫助各機構遏制和處理網(wǎng)絡安全威脅，在必要時，對國家層面的網(wǎng)絡事件作出響應；（2）通過在線資源、持續(xù)網(wǎng)絡安全意識推廣活動和研討會提升民眾網(wǎng)絡安全意識；（3）提供教育和培訓活動，如與各大院校合作，為政府機構和各大企業(yè)提供定制培訓課程；（4）發(fā)布網(wǎng)絡威脅預警、網(wǎng)絡入侵警報和咨詢意見；（5）協(xié)助網(wǎng)絡安全利益相關者制訂和實施自身安全程序和進程；以及（6）為特定網(wǎng)絡安全相關問題提供反饋意見和相關信息。此外，CERT-SA還負責對特定事件和響應行動進行信息收集、事后分析和發(fā)布報告。必要情況下，CERT-SA還會對網(wǎng)絡事件進行分析并制訂預防和偵測方案，同時對其造成的破壞程度或損失作出計算。

盡管CERT-SA提供事件響應支持及其它服務，但其并非是為整個政府層面和社會層面負責網(wǎng)絡事件響應的中央?yún)f(xié)調部門，且并未為潛在緊急事件和危機制訂任何事件響應方案。CERT-SA仍在很大程度上被視為一個事件反應機構，主要致力于在現(xiàn)有的網(wǎng)絡威脅方面提供出版物發(fā)布、咨詢和信息服務以及提供特殊事件響應支持。目前，它也未建立起能對全面網(wǎng)絡襲擊進行響應協(xié)調行動和發(fā)布及時行動信息的能力。2012年沙特阿美公司遭襲事件令沙特重新重視起CERT-SA等國家計算機應急響應機構在降低網(wǎng)絡事件對國家利益損害方面上的作用。此次襲擊事件后，CERT-SA加大了在發(fā)布監(jiān)測和預防網(wǎng)絡襲擊相關信息方面的工作力度，但仍無法提供整體協(xié)調作用和建立機制，來與政府機構之間高效快速共享網(wǎng)絡威脅情報和態(tài)勢感知情況，以預防和降低網(wǎng)絡威脅。

此外，沙特還計劃在國家網(wǎng)絡安全中心下成立一個正式網(wǎng)絡威脅情報共享平臺，來支持關鍵國家基礎設施和政府機構的安全保障工作，以及提供其它主動和被動服務，例如：網(wǎng)絡事件響應行動規(guī)劃、監(jiān)督和顧問服務；惡意軟件分析；危害評估；以及網(wǎng)絡事件修復等。但該平臺仍未落實。

“國家信息安全戰(zhàn)略”還要求建立“國家安全運營中心（SOC），負責收集和發(fā)布網(wǎng)絡威脅和情報信息、分析網(wǎng)絡襲擊、減輕網(wǎng)絡威脅建議行動、協(xié)調國家響應（及作為）資源協(xié)助政策制定者了解ICT開發(fā)和如何最佳解決和減少（網(wǎng)絡）風險”。然而，該戰(zhàn)略未具體說明國家安全運營中心是代替CERT-SA和國家網(wǎng)絡安全中心，還是支持或與其協(xié)作來共享即時或者緊急的網(wǎng)絡威脅信息。該戰(zhàn)略中僅提到，國家安全運營中心將下屬于新成立的NISE來支持沙特國家層面的危機管理行動，以及“將利用現(xiàn)有的各個中心和能力來促進國家信息分享和協(xié)調網(wǎng)絡事件危害減輕和響應行動?！?新成立的國家安全部接下來需明確這些中心的各自角色和責任，以最大程度調用資源并提升其整體效率。

為了啟動國家層面的網(wǎng)絡風險評估以及建立長久的國家網(wǎng)絡風險評估和管理程序，該戰(zhàn)略提出，應在NISE之下成立一個專門的國家風險評估功能部門（NRAF），“以助于實施沙特國家風險進程管理系統(tǒng)（RPMS），來為其提供一個共同的風險管控框架。” 目前， 該程序和機構均尚未成立，沙特國內的各大實體均在使用不同標準來評估網(wǎng)絡風險及其嚴重或緊急程度?！皣倚畔踩珣?zhàn)略”指出，這一問題源自兩方面。首先，在現(xiàn)有的評估方式下，高級風險管理“須能打破傳統(tǒng)國家部委或機構的界限來對網(wǎng)絡風險作出評估以及高水平的管控”，然而其“在當前和未來國家重點發(fā)展方向已確定、有限的資源和復雜的全球形勢背景下，缺乏一個共同的風險評估架構來作出應對網(wǎng)絡風險的適當決策?！?其次，沙特各大部委傾向于在各自負責的領域單獨行動，尚未認識其數(shù)字依賴程度和在網(wǎng)絡安全方面需采取共同行動的緊迫性。為了解決該問題，NRAF將組建一個“嚴格挑選、有過網(wǎng)絡風險處理經(jīng)歷且受訓已久的高級主管團隊”，并且將“有權對沙特國內的各類國家綜合信息基礎設施的網(wǎng)絡安全風險評估效果進行監(jiān)督?！钡侥壳盀橹?，該機構仍未成立?！皣倚畔踩珣?zhàn)略”也指出，由于一些關鍵的網(wǎng)絡安全利益相關者擔心各自機構的缺陷會因此曝光而對該機構缺乏信任，如何讓N3i高級管理系統(tǒng)在風險評估和管理功能上進行與這些機構有效協(xié)作將面臨巨大挑戰(zhàn)。NISS風險評估和管理環(huán)形見圖3。

圖3 NISS風險評估和管理環(huán)形

由于缺乏網(wǎng)絡威脅監(jiān)控、分析的正式機制以及對網(wǎng)絡安全產(chǎn)品的需求在不斷上升，一些外國私營企業(yè)已經(jīng)開始在沙特為政府和商業(yè)部門提供網(wǎng)絡安全服務，其產(chǎn)品包括網(wǎng)絡威脅監(jiān)控和數(shù)據(jù)管理服務等。這吸引了大量IT和網(wǎng)絡安全跨國公司進駐沙特市場，其中一些甚至還與當?shù)豂T 和電信企業(yè)合辦技術創(chuàng)新公司。例如，IBM與沙特手機運營商Mobily就成立了一家合資公司，該合資公司在利雅得還成立了一個跨國的“國家安全運營中心”。該中心使用IBM的網(wǎng)絡安全服務基礎設施協(xié)助進行網(wǎng)絡安全日志和事件的收集、分析、關聯(lián)和排序。2014年，沙特教育部甚至還將該中心選為供應商，來通過實時分析、建立潛在網(wǎng)絡威脅前期預警系統(tǒng)、以及保護教育部數(shù)據(jù)不受國外第三方獲取等方式幫助其增強對自身網(wǎng)絡安全態(tài)勢的掌握。

沙特通信與信息技術部也認識到定期進行國家級網(wǎng)絡安全演習的必要性，以測試其網(wǎng)絡響應、恢復和重建方案的有效性，但這些演習是否會持續(xù)進行下去尚不清楚。目前沙特公開報道的唯一一次網(wǎng)絡安全演習是2014年代號為“阿卜杜拉之劍”的軍事演習，內容包括電子戰(zhàn)爭演練等。

盡管作出以上初步部署，沙特目前網(wǎng)絡事件響應的方式很大程度上仍為被動反應。近來遭受的大量網(wǎng)絡襲擊事件已經(jīng)使沙特再度有意抓緊落實提出的倡議，以對網(wǎng)絡事件反應更為主動和更具恢復能力。

3 電子犯罪和執(zhí)法

沙特是 《阿拉伯公約》18個簽約國之一,但目前仍未批準該條約。

沙特是《關于打擊信息技術犯罪的阿拉伯公約》（Arab Convention on Combating Information Technology Offenses，通常簡稱《阿拉伯公約》）的簽約國。這一阿盟（League of Arab States）內部的國際法律框架于2010年生效，旨在促進阿拉伯國家之間在“抗擊危害其國家安全、利益和聯(lián)盟安全的信息技術犯罪”方面進行合作，以及使各簽約國“在打擊信息技術犯罪、保護阿拉伯社會安全上采取共同的刑事政策”。盡管沙特是《阿拉伯公約》18個簽約成員國之一，其也是目前唯一未正式批準該公約的成員國。此外，該公約在網(wǎng)絡犯罪的定義和相關條款上十分模糊，因而盡管已被廣泛接受，卻仍未正式生效。事實上，其條款未參照任何阿拉伯國家的網(wǎng)絡犯罪法規(guī)，18個簽約國之間的協(xié)調工作也仍毫無效力。

此外，沙特既沒有加入任何全球性打擊網(wǎng)絡犯罪協(xié)定，如歐洲委員會的《網(wǎng)絡犯罪公約》（Convention on Cybercrime，通常也被稱為《布達佩斯公約》）或上海合作組織的《保障國際信息安全領域合作協(xié)定》（SCO Agreement on Cooperation in the Field on Ensuring International Information Security）等，也未參與其活動。

沙特參與了一些旨在促進打擊網(wǎng)絡犯罪方面進行合作的國際對話和戰(zhàn)略伙伴關系。它已經(jīng)建立了一些警方對警方、機構對機構等領域合作的雙邊關系和非正式渠道，并且正致力于進一步擴大在制訂國際標準、全球ICT安全政策、打擊網(wǎng)絡犯罪倡議和研究等方面的國際合作。

沙里亞法（Shari’a law）是沙特國內刑事審判的官方法律基礎?；诖?，沙特已頒布兩部主要的網(wǎng)絡相關法律——《電子交易法》（Electronic Transaction Act）和《打擊網(wǎng)絡犯罪法》（Anti-Cyber Crime Law）。這兩部法律適用于打擊網(wǎng)絡犯罪和保障網(wǎng)絡安全，同時初步對電子商務和其它面向互聯(lián)網(wǎng)的服務進行支持和管理。

2007頒布的《電子交易法》主要用于管理電子商務，建立起沙特國內電子交易和數(shù)字簽名的法律體制。[9]這一法令促進了沙特國內外公共和私營部門在商務、醫(yī)療、教育、電子政府和支付系統(tǒng)等應用領域的電子交易。該法旨在保護數(shù)字記錄、限制和預防潛在數(shù)字濫用、造假和盜用。它承認網(wǎng)上和線下交易同等有效，以及電子簽名和手寫簽名具備同等法律效力。

根據(jù)此法成立的沙特通信和信息技術委員會負責該法的具體落實，包括向認證服務提供商（ASP）頒發(fā)證照；核查認證服務提供商的合規(guī)性；確保服務的延續(xù)性以及暫停或撤銷證照等。沙特內政部和通信信息技術部共同負責為其頒布一般性政策和為電子貿易和簽名制訂發(fā)展方案和流程。內政部成立國家信息中心（NIC），通過其在沙特全國用各個相互連接的分支組成的網(wǎng)絡，來提供信息交換和儲存服務，為各地區(qū)提供運營服務和支持各地朝圣（例如麥加朝圣）活動。此外，該法授權成立了沙特國家數(shù)字證書中心（NCDC），為公開金鑰基礎建設（PKI）管理提供綜合系統(tǒng)，來確?；ヂ?lián)網(wǎng)用戶電子貿易安全進行。通過與財政部合作，國家數(shù)字證書中心成立了沙特電子數(shù)據(jù)互換（Saudi EDI）項目來提升電子商務貿易的速度和透明度。盡管該法案最初目的是為電子商務（電子進出口貿易）改善交易環(huán)境，但目前其重點仍落在政府貿易層面，且已十多年未更新。沙特目前也正面臨不斷增長的國內壓力，要求其順應最新經(jīng)濟、技術環(huán)境和國際標準作出改變。

2007年，沙特通過了《打擊網(wǎng)絡犯罪法》（ACCL）。該法主要有四大目標：（1）保障數(shù)據(jù)安全；（2）增加IT產(chǎn)業(yè)就業(yè)；（3）保護網(wǎng)絡知識產(chǎn)權；以及（4）保護民眾利益和社會公德不受侵犯。盡管該法旨在保護用戶免遭網(wǎng)絡犯罪侵害，但同時也包含有限制言論自由的條款。例如，該法將“制造損害公共秩序、宗教價值觀、社會公德和個人尊嚴的物品，或用信息網(wǎng)絡制作、散播或存儲該物品”定為犯罪行為。同時該法根據(jù)違法和犯罪嚴重程度對以上行為處以最高達10年的監(jiān)禁和500萬里亞爾（約合130萬美元）的刑罰。如該犯罪行為是犯罪團伙有組織的行為、罪犯是公職人員、犯罪行為造成重大公共影響、案情涉及兒童、或重犯行為，還會有相應的附加刑。

盡管《打擊網(wǎng)絡犯罪法》為處罰竊取敏感數(shù)據(jù)和網(wǎng)絡干擾等犯罪行為提供了法律框架，但由于其未提供沙特國內或與國際伙伴之間怎樣進行犯罪預防、偵測或合作措施，沙特起訴跨部門或跨境犯罪時顯得尤為困難。2012年沙特遭受的網(wǎng)絡襲擊案件中，由于襲擊者據(jù)信是伊朗政府的一個代理服務器，該法對此幾乎無能為力。此外，由于沙特尚缺乏一支訓練有素的法官、公訴人、律師以及執(zhí)法隊伍，其在應對網(wǎng)絡犯罪的各方面新特點以及如何有效調查和起訴犯罪分子方面仍捉襟見肘。

《打擊網(wǎng)絡犯罪法》已受到廣泛批評。許多法律專家和人權活動家認為該法過度使用破壞“社會公德”條款來對社會活動者、博客異見者、以及有著政治或宗教訴求的沙特民眾進行罰款、逮捕和提起訴訟，而并未真正用于處罰網(wǎng)絡犯罪行為和保護數(shù)據(jù)資產(chǎn)上。例如，2015年，一名32歲的沙特婦女因使用WhatsApp聊天軟件詆毀他人而被處以兩個月監(jiān)禁和5000多美元的罰款。2016年，一名醫(yī)生因在Twitter上詆毀沙特衛(wèi)生部，被處以6個月監(jiān)禁，另一名藥劑師則因同樣的罪名被判處4個月監(jiān)禁。2016年，該法甚至修改相關條款，給予執(zhí)法人員更大權限，使其在涉及宗教價值觀和社會公德方面案件最終判決已定的情況下，仍能公開傳喚犯罪嫌疑人。這一修改將該法的重點和執(zhí)法資源從打擊網(wǎng)絡犯罪方面撤走，或將最終影響到沙特吸引外國直接投資和將石油主導的經(jīng)濟多樣化的成效。[10]

沙特的互聯(lián)網(wǎng)使用受到通信和信息技術委員會的長期監(jiān)控，且被其嚴格過濾被視為“有害”“非法”“反伊斯蘭”或“有攻擊性”的網(wǎng)絡內容和社交媒體狀態(tài)，以及被長期封鎖“色情”“賭博”“毒品”“極端思想”以及人權或政治活動機構等相關頁面。沙特公開承認其對不符合沙里亞法的違反其道德觀和敏感的宗教信息進行了審查。近年來，沙特的執(zhí)法機構甚至還通過解開或繞過加密屏障，以保護國家安全和維持社會秩序的名義，將其審查范圍擴大至網(wǎng)頁、博客、聊天室、社交網(wǎng)站、電子郵件和手機信息等平臺的政治、社會和宗教內容。

沙特文化信息部還要求該國的博客、論壇、聊天室等熱門網(wǎng)站運營前須從該部獲得牌照，同時通信和信息技術委員會也要求手機網(wǎng)絡運營商登記用戶的真實姓名、身份證號碼、現(xiàn)在甚至還需指紋，來“限制通信使用帶來的負面影響和犯罪行為”。2014年沙特通過《反恐法》，將恐怖主義行為模糊地定義為“詆毀國家名譽”、“損害公共秩序”、“破壞國家安全”等，導致沙特的網(wǎng)絡用戶在網(wǎng)上發(fā)布、分享和點贊時不得不萬分謹慎。[11]《反恐法》有效地將所有質疑伊斯蘭宗教旨意、支持任何類型“被禁停的組織”或政治改革的網(wǎng)上內容都定為犯罪性質。

除了上述法規(guī)和《治國基本法》中規(guī)定的一般性隱私權外，沙特鮮有涉及個人隱私和個人數(shù)據(jù)保護的相關法規(guī)。例如，沙特尚無國家數(shù)據(jù)保護主管部門。此外，政府或企業(yè)收集或處理用戶數(shù)據(jù)時，無需正式通知或登記要求。由于缺乏數(shù)據(jù)管理程序或規(guī)章，沙特國內對數(shù)據(jù)轉移和數(shù)據(jù)常駐要求經(jīng)常模棱兩可。同時，沙特目前尚無對“個人數(shù)據(jù)”的明確定義，也未規(guī)定向個人或集體用戶告知哪一數(shù)據(jù)安全機構對此負責。[12]

最后，上述戰(zhàn)略未提及沙特會劃撥多少人力或財政資源用以支持保護社會不受網(wǎng)絡犯罪破壞、減少國內的網(wǎng)絡犯罪行為、或推動建立協(xié)調機制來處理國內和國際網(wǎng)絡犯罪所需的進一步法律和政策倡議。該戰(zhàn)略也并未明確沙特將計劃如何提升網(wǎng)絡執(zhí)法能力。由于國內互聯(lián)網(wǎng)已經(jīng)越來越普遍以及更為便捷的網(wǎng)絡連接不斷涌現(xiàn)，同時伴隨而來的還有愈加常見的病毒感染和漏洞利用。沙特需提升其執(zhí)法機構的執(zhí)法能力、投入更多資源來對不斷增長的網(wǎng)絡犯罪作出有效回應以及減少網(wǎng)絡基礎設施的不足之處。

4 信息共享

沙特目前尚未制定國家信息共享政策，但“國家信息安全戰(zhàn)略”中強調了國內外信息共享和合作的重要性，并承諾沙特將擴大在新興網(wǎng)絡威脅、漏洞以及相應減輕威脅的技術方面的信息交流。

沙特國家網(wǎng)絡安全中心目前與政府機構、關鍵國家基礎設施運營機構以及其它利益相關者共享網(wǎng)絡威脅情報，但該信息共享能力仍有待提高。沙特已經(jīng)計劃建立更加強大的信息共享機制，包括在國家網(wǎng)絡安全中心之下成立網(wǎng)絡威脅情報共享平臺，以進一步對保障關鍵國家基礎設施和政府機構的網(wǎng)絡安全提供支持。其重要且必要的組成部分之一就是對關鍵國家基礎設施或全球其它地區(qū)發(fā)現(xiàn)的網(wǎng)絡威脅和惡意網(wǎng)絡活動提供預警。例如，2017年5月和6月，利用微軟系統(tǒng)軟件漏洞的網(wǎng)絡安全事件爆發(fā)，全球信息共享和對抗網(wǎng)絡威脅的響應行動由此打響。只要任何一個國家或行業(yè)遭到襲擊，其它國家或行業(yè)就可迅速吸取其教訓，切斷其網(wǎng)絡基礎設施中有漏洞的部分，并互相交流該為其軟件打哪種補丁，最終使其網(wǎng)絡基礎設施和企業(yè)免遭破壞?！皣倚畔踩珣?zhàn)略”強調，“這其實是很簡單的算法。只要（國內和國際）信息合作、協(xié)作和共享增加了，信息丟失和ICT系統(tǒng)漏洞被利用的風險就相應減少?！?/p>

盡管如此，沙特缺乏國內信息共享的傳統(tǒng)，更不用說與國際機構進行合作。沙特政府各部委之間極力維護己方官僚機構和權限，往往互相敵視和喜歡互較高下。這一狀況與當前網(wǎng)絡技術日新月異一起，使得“國家信息安全戰(zhàn)略”在網(wǎng)絡安全信息共享方面難以有效推進。沙特在國際層面的信息共享上顯得十分不情愿；同時，其在中東地區(qū)與其他國家的經(jīng)濟利益、軍事緊張狀態(tài)以及在政治利益上的爭奪使得其跨境信息自由流動受阻。沙特、阿聯(lián)酋、巴林、科威特、卡塔爾和阿曼等國建立的海灣阿拉伯國家合作委員會（GCC）或許能為其探索怎樣增進互信和推進信息共享提供平臺。

沙特同時還是伊斯蘭會議組織計算機應急響應小組（OIC-CERT）的成員。該組織包含埃及、伊朗、土耳其、尼日利亞以及沙特等18個成員國，囊括了各成員國的計算機應急響應小組，旨在促進伊斯蘭國家的信息共享。OIC-CERT為成員國組織培訓、研討會和演習等活動，試圖為其提供網(wǎng)絡威脅和危機處理的即時經(jīng)驗，例如及時且實用的信息共享活動等。

“國家信息安全戰(zhàn)略”承認，沙特在信息共享領域確實還需大力改進。當前沙特國家網(wǎng)絡安全中心和新成立的國家安全部仍有大好機會促進和擴大政府內部之間以及其與外界之間可執(zhí)行信息的交流。沙特各大部委、關鍵國家基礎設施運營商、企業(yè)和國家合作伙伴目前都急需信息共享來改善自身安全狀況。目前，沙特政府和關鍵行業(yè)僅有的信息共享機制仍由CERT-SA和國家網(wǎng)絡安全中心提供。接下來的數(shù)月，沙特將考慮建立國家安全運營中心以及打造國家網(wǎng)絡安全中心的新角色，屆時沙特國內進行及時可行的信息共享或將成為現(xiàn)實。

5 研發(fā)投資

“國家信息安全戰(zhàn)略”中明確提出，沙特將建立“一個長久繁榮、鼓勵研發(fā)和創(chuàng)業(yè)的信息安全經(jīng)濟部門”，同時還承認沙特有必要“通過國際合作擴大研發(fā)”，以幫助沙特在ICT和網(wǎng)絡安全部門開發(fā)更多功能。該戰(zhàn)略尤其強調“通過激勵和引導沙特國內有著高度商業(yè)化和信息安全技術突破潛質的信息安全研發(fā)項目，如加密互操作性、供應鏈整合、計算機安全和快速高效訪問控制等，來滿足未來沙特信息安全需求”的必要性。

沙特指出，其必須在ICT和網(wǎng)絡安全部門開發(fā)更多功能，并將其作為國家信息安全戰(zhàn)略的“關鍵支柱”。

該戰(zhàn)略指出，沙特政府最初設立了一些項目用于提升現(xiàn)有的網(wǎng)絡能力，包括為研究人員和創(chuàng)新人員將成功的想法和研究轉化成專利和商業(yè)化產(chǎn)品提供支持等，但并未明確政府將如何對這些活動進行支持、推進和維系。相反，該戰(zhàn)略提出要通過吸收其他國家網(wǎng)絡安全團體、政府機構和行業(yè)的成果，來制訂“科研技術路線圖”指導沙特全國。

此外，該戰(zhàn)略要求構建“集中的資助咨詢能力”，確保研發(fā)工作與沙特的戰(zhàn)略目標相符。為此，該戰(zhàn)略提出建立“研發(fā)功能機構（Research and Innovation Function）”來監(jiān)督對特定網(wǎng)絡安全項目的撥款和資助。該機構將歸KACST主管，并與沙特通信與信息技術部進行協(xié)調。

該戰(zhàn)略將人力資源視為其“關鍵支柱”，并提出多條計劃 “提升沙特信息安全從業(yè)者、研究人員、創(chuàng)新人員和企業(yè)家的信息安全能力”，同時將推進其網(wǎng)絡安全培訓和提高其網(wǎng)絡安全意識。例如，沙特已設立一些項目用于鑒別哪些婦女能勝任IT和網(wǎng)絡安全工作，哪些能在經(jīng)過進一步培訓后迅速滿足沙特的即時信息安全需求。該戰(zhàn)略還提出，將“雇傭經(jīng)審查后無正式證書但熟練掌握計算機技能的失業(yè)青年”。

作為對這一需求的回應，沙特通信與信息技術部另啟動了一些人才培養(yǎng)項目，以及與全球的IT企業(yè)建立合作伙伴關系，在2017年至2020年間為超過56000名沙特青年提供關鍵ICT技能培訓。同時其還與沙特阿美公司合作成立國家信息技術學院（National Information Technology Academy），來為沙特培養(yǎng)相關人才。此外，該戰(zhàn)略還設立了一個設在小學的項目，鼓勵兒童從小接觸計算機、培養(yǎng)分析能力、掌握網(wǎng)絡安全技能，并為每兩名學生配備一名導師來指導他們直至就業(yè)。這些青年將有望在維護沙特未來國家安全中發(fā)揮重要作用。

盡管沙特政府尚未建立任何正式項目或者激勵措施來鼓勵高校和學術機構在基礎和應用網(wǎng)絡安全方面進行研究，但其為卻為所有公立大學提供了政策支持和資助。許多大學現(xiàn)已就ICT和信息安全開設了課程和設立了學位項目，例如達蘭市法赫德國王石油與礦業(yè)大學設立的安全與信息保障理科碩士學位項目。此外，法赫德國王石油與礦業(yè)大學在利雅得設立的通信與信息技術研究院（CITRI）參與了一些研發(fā)項目，項目范圍包括數(shù)字模擬集成電路芯片設計、綜合電子系統(tǒng)、通信和無線安全、機器人技術與智能系統(tǒng)、雷達防御系統(tǒng)、電子戰(zhàn)高級技術、激光和光纖應用科研以及其它遵循了最新國際規(guī)格和標準的技術。通信與信息技術研究院在推動法赫德國王石油與礦業(yè)大學成為沙特預防網(wǎng)絡犯罪和數(shù)字犯罪法務研究的國家中心方面發(fā)揮了主要作用。該研究院為沙特政府機構、高校和企業(yè)提供了專業(yè)技能支持、咨詢服務和多種主題的研究項目來滿足其研究和技術需求，從而實現(xiàn)國家規(guī)劃中提出的科技創(chuàng)新目標。最后，CERT-SA也提供技術培訓、組織網(wǎng)絡安全意識提升活動、以及與高校、政府機構和企業(yè)合作開發(fā)客戶培訓課程和研討會，安全質量管理功能機構。

就資本存量和消費而言，沙特是中東地區(qū)最大的ICT是場。據(jù)估計，僅2016年，沙特就已投入140億美元到網(wǎng)絡安全等ICT部門。沙特高速率的寬帶連接和為對抗?jié)撛谄茐男跃W(wǎng)絡威脅的網(wǎng)絡恢復能力，沙特正在對建立本地和國際物聯(lián)網(wǎng)（IoT）興趣漸濃。構建利益相關者之間的互相合作以及提高網(wǎng)絡市場參與者在網(wǎng)絡安全方面的信心，已成為互聯(lián)網(wǎng)數(shù)據(jù)中心首席信息官峰會（IDC CIO Summit）等研討會和會議的主題。其中近期舉行的首席信息官峰會將政府官員、沙特商務官員以及世界各國專家齊聚一堂，來探討連接和依賴于互聯(lián)網(wǎng)的基礎設施的網(wǎng)絡安全威脅解決方案等方面的ICT發(fā)展趨勢。

沙特2016年140億美元的ICT投入中，相當大一部分被分配到提升電信基礎設施（尤其是高速寬帶）方面。目前，沙特國家收入在很大程度由通信行業(yè)拉動，據(jù)估計其20%來自于新增的網(wǎng)絡連接，并且該領域的國家收入還有望在明年穩(wěn)步上升。這就要求沙特加大基礎設施投入，其中就包括安全領域的產(chǎn)品供應，但沙特目前仍未將網(wǎng)絡安全或恢復能力視為重點投入領域。沙特最大的互聯(lián)網(wǎng)服務提供商和中東最大的互聯(lián)網(wǎng)運營商之一——沙特電信公司及其競爭者Mobily和Zain目前正在互聯(lián)網(wǎng)連接方面加大投入。然而，它們都將焦點主要放在怎樣提供更多訪問上，而冷落數(shù)據(jù)安全步驟和程序。此外，這些公司之間目前幾無合作。

私營行業(yè)以及私營-公共部門合作成立的公司也開始合作建立創(chuàng)新中心，來研發(fā)和展示應對地區(qū)或本地經(jīng)濟挑戰(zhàn)的技術創(chuàng)新，以及推動各個部門的經(jīng)濟增長。例如，沙特基礎行業(yè)公司（SABIC）是利雅得技術谷（Riyadh’s Techno Valley）創(chuàng)新中心的主要投資者。這一地區(qū)創(chuàng)新中心，或者創(chuàng)新家園（Home of Innovation）致力于石油化工和天然氣行業(yè)技術創(chuàng)新，旨在落實《沙特2030愿景》中提出推動本地下游產(chǎn)業(yè)增長、提高企業(yè)效率、以及構建多樣可持續(xù)經(jīng)濟等經(jīng)濟戰(zhàn)略目標。但上述倡議并未將網(wǎng)絡安全作為單獨的重點領域加以特別關注。[13]

2012年沙特阿美公司遭襲后，沙特政府開始擴大其在網(wǎng)絡安全技術解決方案和服務（尤其是監(jiān)察技術、電子偵測設備、網(wǎng)絡攻擊偵查系統(tǒng)和預防技術以及生物統(tǒng)計學等方面）上的投入。這些領域將物理空間安全和基礎設施和內部網(wǎng)絡安全戰(zhàn)略相結合。沙特政府近年來也正對來自美國等國際合作伙伴的合作和資助產(chǎn)生濃厚興趣。目前，沙特國有的國防企業(yè)——沙特軍事工業(yè)公司（Saudi Arabia Military Industries）與美國國防承包商雷神公司（Raytheon）建立伙伴關系，在網(wǎng)絡安全等國防相關的項目和技術研發(fā)上進行合作。作為其協(xié)議的一部分，沙特政府將能從該合作中為其國防系統(tǒng)和平臺獲得更多網(wǎng)絡安全解決方案，同時雷神公司將在利雅得成立一個新公司（Raytheon Arabia）負責項目實施，從而為沙特構建本土國防、航天和安全能力。該伙伴關系因此將有助于幫助沙特實現(xiàn)《沙特2030愿景》中發(fā)展沙特本土有著專業(yè)能力和能拉動就業(yè)的國防生態(tài)系統(tǒng)的目標。這將為沙特在此部門的經(jīng)濟發(fā)展建立長遠基礎。[14]

6 外交與貿易

沙特并未將網(wǎng)絡安全視為其外交政策的首要議題之一，也并未將其列入外交部工作的重點領域。但沙特尤其在面對與伊朗關系緊張且受到源自伊朗境內的網(wǎng)絡攻擊后，在海灣國家合作委員會內正扮演著更為自信的角色。特別是，沙特正與海合會舉行大量會談，試圖擴大雙方在網(wǎng)絡安全方面的合作以及就和平時期的網(wǎng)絡規(guī)范達成一致認可。[15]同時作為2015年海合會《戴維營協(xié)議》（Camp David Accords），它還計劃與海合會合作成立工作組。根據(jù)該協(xié)議，海合會成員國一致同意每年開舉辦兩次會議來促進其在反恐上的合作，以及簡化關鍵防御能力、導彈防御能力、軍事準備程度和網(wǎng)絡安全領域的轉移。[16]

此外，沙特還大量參與同美國、印度等國的雙邊高級對話，試圖推進雙方在打擊資金支持恐怖主義、洗錢、恐怖主義分子和犯罪集團利用網(wǎng)絡從事犯罪活動等方面的信息交流。

沙特同時還通過國家網(wǎng)絡安全中心推動地區(qū)網(wǎng)絡安全合作和建立網(wǎng)絡安全意識。作為該努力的一部分，沙特定期舉辦網(wǎng)絡安全論壇年度會議等網(wǎng)絡安全相關活動，將阿拉伯國家以及其他國家的政府官員和行業(yè)專家聚在一起，探討如何改善網(wǎng)絡安全狀況、提升網(wǎng)絡威脅情報收集能力以及有效落實《沙特2030愿景》中提出的目標。沙特還舉辦了由政府背書的年度國際網(wǎng)絡安全大會，其參會人員不光包括世界各國的網(wǎng)絡安全專家，沙特甚至派出了內政部的最高級別官員與會。[17]

《沙特2030愿景》中強調，要將沙特的戰(zhàn)略位置打造成連接亞、歐、非三大洲的全球樞紐。沙特國土安全部應利用其最新被賦予的權力和責任，為貨物、服務、數(shù)據(jù)和資金的跨境自由流動制訂愿景。該部應利用沙特的G20成員國身份和影響力，推動可信的數(shù)字經(jīng)濟交易。網(wǎng)絡外交并不僅僅是制訂接觸和限制行為的規(guī)則，還應通過信息自由流動來推動貿易。沙特如要同時實現(xiàn)經(jīng)濟增長和國家安全兩個目標，需打造一支經(jīng)驗豐富的外交隊伍以保證將帶領地區(qū)實現(xiàn)其《2030愿景》中的目標。

7 防御與危機應對

由于近年來遭受的破壞性網(wǎng)絡襲擊不斷上升，沙特網(wǎng)絡防御能力建設已顯得越來越緊迫。

鑒于其經(jīng)濟、政治和文化以及戰(zhàn)略位置在本地區(qū)的重要地位，沙特在維護地區(qū)安全穩(wěn)定上扮演著關鍵性角色。中東地區(qū)目前正面臨著復雜多變的安全挑戰(zhàn)，尤其是沙特與伊朗之間的緊張關系在不斷加劇。因此新一任沙特王儲表示，沙特“將不會坐待戰(zhàn)爭降臨沙特境內，而要將其留在伊朗?！?此外，鑒于近年來沙特頻繁遭受來自伊朗境內的網(wǎng)絡攻擊，沙特網(wǎng)絡安全和網(wǎng)絡防御能力建設已顯得越來越緊迫。

目前沙特政府已授權國防和航空部、內政部等多個部委整合國家網(wǎng)絡防御體系。這些部委以及其它政府機構正加大在網(wǎng)絡技術上的投入，提升其網(wǎng)絡能力。尤其在2017年，沙特通過與美國簽訂《安全合作協(xié)定》（Security Cooperation Agreement）來加大雙方合作力度，試圖以此來改進其特種作戰(zhàn)和反恐部隊的訓練效果、整合其防空和導彈防御系統(tǒng)、提升網(wǎng)絡防御能力以及強化海上安全保障能力。

此外，沙特也在試圖用網(wǎng)絡能力來武裝國民衛(wèi)隊（National Guard）等防御力量。例如，沙特國民衛(wèi)隊正投入近5億美元資金用于發(fā)展電子作戰(zhàn)能力。

目前尚不明確沙特是否制訂政策或頒布法令來成立軍事或情報服務領域的網(wǎng)絡安全部隊。沙特財政預算并不確定，導致發(fā)展以上機構網(wǎng)絡能力的財政資助級別難以確定。同時，沙特國防和航空部是否進行政府內或軍事特別演習來展示其國家網(wǎng)絡防御準備程度，也尚未明確。盡管如此，沙特最起碼還算是OIC-CERT內的活躍成員。它曾承諾將組織聯(lián)合網(wǎng)絡作戰(zhàn)演習，但其是否真會付諸實踐目前尚不得而知。[18]

8 CRI 2.0概要

CRI 2.0評估結果顯示，沙特在網(wǎng)絡就緒上雖取得巨大進步，但在CRI七大評估要素方面均仍不足。

分析結果反映了沙特當前不斷變化的格局。沙特持續(xù)制訂并刷新其經(jīng)濟（數(shù)字）議程、國家網(wǎng)絡安全戰(zhàn)略、政策及各項舉措，尋求國家經(jīng)濟愿景與安全重點工作之間的平衡。國家概況的變化反映出國家在各個方面發(fā)生的變化，有利于監(jiān)測、跟蹤并評估沙特社會所取得的顯著進步（見圖4）。

CRI 2.0利用全面、可比較、基于經(jīng)驗制定的方法論，幫助國家領導人在網(wǎng)絡化、競爭激烈、沖突叢生的世界中做出規(guī)劃，打造安全、有活力的數(shù)字世界。如需了解更多CRI 2.0的相關信息，請參閱：http://www.potomacinstitute.org/academic-centers/cyber-readiness-index。

★ 圖 4 網(wǎng)絡就緒度

[1] Khalid M. Al-Tawil.The Internet in Saudi Arabia[J].Telecommunications Policy, 2001,25(8-9):625-632.

[2] Full Text of Saudi Arabia’s Vision 2030[EB/OL].(2016-04-26).Saudi Gazette. http://saudigazette.com.sa/saudi-arabia/full-text-saudi-arabiasvision-2030/.

[3] U.S. Department of State.Fact Sheet: U.S. Security Cooperation With Saudi Arabia[EB/OL].(2017-01-20). https://www.state.gov/t/pm/rls/fs/2017/266861.htm.

[4] Melissa Hathaway et al..Cyber Readiness Index 2.0 – A Plan for Cyber Readiness: A Baseline and An Index,” Potomac Institute for Policy Studies[EB/OL].(2015-11-30). http://www.potomacinstitute.org/images/CRIndex2.0.pdf.

[5] Leon Panetta, speech given to Business Executives for National Security[EB/OL].(2012-10-12).http://archive.defense.gov/transcripts/transcript.aspx?transcriptid=5136.

[6] Saudi Arabia forms new apparatus of state security[EB/OL]. Arab News. (2017-07-21).http://www.arabnews.com/node/1132466/saudiarabia.

[7]Azhar Unwala.Cyber security in Saudi Arabia Calls for Clear Strategies[EB/OL]. (2016-07-27). http://globalriskinsights.com/2016/07/cyber security-saudi-arabia-calls-clear-strategies/.

[8]Aisha Fareed.Saudi facilities sustained nearly 1,000 cyber attacks in 2016[EB/OL]. Arab News. (2017-03-01). http://www.arabnews.com/node/1061151/saudi-arabia.

[9]Kingdom of Saudi Arabia, “Electronic Transactions Law[EB/OL]. (2017-03-26)http://www.citc.gov.sa/en/RulesandSystems/CITCSystem/Documents/LA_003_%20E_E-Transactions%20Act.pdf.

[10]Dino Wilkinson.Saudi Arabia Updates Cybercrime Law to Include 'Naming and Shaming' Penalty," Data Protection Report[EB/OL]. (2015-06-08) .http://www.dataprotectionreport.com/2015/06/saudiarabia-updates-cybercrime-law-to-includenaming-and-shaming-penalty/.

[11]Human Rights Watch.Saudi Arabia: New Terrorism Regulations Assault Rights[EB/OL]. (2014-03-20). https://www.hrw.org/news/2014/03/20/saudi-arabia-new-terrorismregulations-assault-rights.

[12]Eyad Reda and Turki Alsheikh, “Data protection in Saudi Arabia[EB/OL]. Thomson Reuters. (2012-10-01). https://uk.practicallaw.thomsonreuters.com/4-520-9455?tran sitionType=Default&contextData=(sc.Default)&firstPage=true&bhcp=1.

[13]Mohammed Rasooldeen.SABIC launches innovation hub[EB/OL]. Arab News. (2016-05-28). http://www.arabnews.com/node/930916/saudi-arabia.

[14]Raytheon Company.Raytheon and Saudi Arabia Military Industries announce strategic partnership[EB/OL].PR Newswire(2017-05-20).http://www.prnewswire.com/newsreleases/raytheon-and-saudi-arabiamilitary-industries-announce-strategicpartnership-300461082.html.

[15]White House.United States-Gulf Cooperation C o u n c i l S e c o n d S u m m i t L e a d e r s Communique[EB/OL]. (2016-04-21). https://obamawhitehouse.archives.gov/the-pressoffice/2016/04/21/united-states-gulfcooperation-council-second-summit-leaderscommunique.

[16]U.S. State Department.Fact Sheet: US Security Cooperation with Saudi Arabia[EB/OL].(2017-01-20). https://www.state.gov/t/pm/rls/fs/2017/266861.htm.

[17]Mark Sutton.ICSC to Discuss Saudi Cybersecurity[EB/OL]. (2016-11-06). http://www.itp.net/610073-icsc-to-discuss-saudicyber%20security.

[18]Tan Sri Dato' Seri Panglima Mohd Azumi, "OICCERT: Past, present and future[EB/OL]. OICCERT. (2016-12-14). https://www.oic-cert.org/event2016/files/Attachment%204%20-%20 Keynote%20Address.pdf.