0 引言

信息通信技術(shù)（ICT）發(fā)展和連通性排名

1993年，互聯(lián)網(wǎng)作為達(dá)蘭市法赫德國王石油與礦業(yè)大學(xué)（KFUPM）的一個學(xué)術(shù)項目被首度引入沙特王國，在該校計算機(jī)科學(xué)和工程學(xué)院實現(xiàn)了首次連接。[1]通過衛(wèi)星，該網(wǎng)絡(luò)連接通至直通美國馬里蘭州貝塞斯達(dá)市。當(dāng)時沙特有限的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施也由華盛頓協(xié)調(diào)中心（Washington Coordinating Center）管理。該中心同時還主管著沙特在美國的政府官網(wǎng)。由于國際寬帶有限以及連接速度慢，當(dāng)時法赫德國王石油與礦業(yè)大學(xué)的職工僅能使用電子郵件服務(wù)。整個二十世紀(jì)九十年代，沙特僅有學(xué)術(shù)、醫(yī)療、研究和政府等機(jī)構(gòu)的少數(shù)特定員工能實現(xiàn)有限上網(wǎng)。這些機(jī)構(gòu)基本都位于首都利雅得，使用法赫德國王?？漆t(yī)院和研究中心（KFSHRC）提供的64kbps互聯(lián)網(wǎng)頻道，并受沙特國家科技創(chuàng)新中心——阿卜杜拉國王科技城（KACST）的管理。法赫德國王?？漆t(yī)院和研究中心通過專有的衛(wèi)星鏈路實現(xiàn)聯(lián)網(wǎng)，阿卜杜拉國王科技城則通過微波鏈路連接到該中心。1994年，阿卜杜拉國王科技城成為沙特國家網(wǎng)絡(luò)域名.sa的主管部門，并負(fù)責(zé)全國范圍內(nèi)所有網(wǎng)絡(luò)服務(wù)的協(xié)調(diào)。沙特網(wǎng)絡(luò)滲透率見圖1。

圖1 沙特網(wǎng)絡(luò)滲透率：69.6%

1999年，沙特國內(nèi)所有民眾均可上網(wǎng)。

經(jīng)過數(shù)年研究和審議，沙特部長理事會（Saudi Council of Ministries）于1997年授權(quán)阿卜杜拉國王科技城將互聯(lián)網(wǎng)接入擴(kuò)展至全國，同時委任沙特國有企業(yè)及唯一的電信服務(wù)提供商——沙特電信公司（STC）來建設(shè)國內(nèi)必要信息基礎(chǔ)設(shè)施，以促進(jìn)國有互聯(lián)網(wǎng)主干和其它互聯(lián)網(wǎng)服務(wù)提供者（ISP）之間的相互連接。1998年，互聯(lián)網(wǎng)管理工作劃歸KACST下屬的互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)（ISU）負(fù)責(zé)，可向KACST負(fù)責(zé)科研支持的副主席直接匯報。1999年，互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)正式向取得牌照的商業(yè)化互聯(lián)網(wǎng)服務(wù)提供者開放其網(wǎng)絡(luò)，盡管沙特電信公司（直到2005年）是當(dāng)時唯一的互聯(lián)網(wǎng)服務(wù)提供商。通過互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)，KACST成為沙特國際和國內(nèi)之間唯一的互聯(lián)網(wǎng)交換節(jié)點和網(wǎng)關(guān)。由此，互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)負(fù)責(zé)對國內(nèi)的互聯(lián)網(wǎng)服務(wù)監(jiān)管、域名（.sa）運營以及制訂互聯(lián)網(wǎng)管理規(guī)章，包括入網(wǎng)控制、對“有害”、“非法”、“反伊斯蘭”或“具有攻擊性的”網(wǎng)絡(luò)信息過濾等。作為其職責(zé)之一，互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)實施了一個（可過濾進(jìn)出信息的）互聯(lián)網(wǎng)內(nèi)容控制系統(tǒng)，來使其在推進(jìn)公眾入網(wǎng)率的同時，保證網(wǎng)上的內(nèi)容符合該國保守的價值觀和伊斯蘭教義。

2003年，沙特通信委員會（Saudi Communications Commission）更名為通信和信息技術(shù)委員會（CTIC），代替KACST接管互聯(lián)網(wǎng)牌照發(fā)放、信息監(jiān)控和過濾工作。此外，它還向私營部門提供互聯(lián)網(wǎng)接入服務(wù)，以及負(fù)責(zé)解決私營電信公司之間的爭端?；ヂ?lián)網(wǎng)服務(wù)機(jī)構(gòu)則繼續(xù)為政府部門以及學(xué)術(shù)研究機(jī)構(gòu)提供網(wǎng)絡(luò)接入。如今沙特通過兩大國家層面的數(shù)據(jù)服務(wù)提供商——綜合電信公司（Integrated Telecom Company）和Bayanat al-Oula 網(wǎng)絡(luò)服務(wù)公司（Bayanat al-Oula for Network Services）實現(xiàn)網(wǎng)絡(luò)連接。同國有企業(yè)一樣，這些互聯(lián)網(wǎng)服務(wù)提供商必須遵守相關(guān)條款（例如過濾內(nèi)容等）。

1999年以來，互聯(lián)網(wǎng)接入在沙特民眾中變得普遍，沙特民眾對（尤其是商業(yè)部門提供的）互聯(lián)網(wǎng)服務(wù)需求不斷增長，沙特互聯(lián)網(wǎng)用戶的數(shù)量也在迅速增長（從1999年的10萬，增長至2001年的100萬，再到2016年底的1650萬）。2016年，幾乎所有的沙特大學(xué)院校都為本校職工和學(xué)生提供免費互聯(lián)網(wǎng)接入。沙特的醫(yī)院、銀行和公司也都推出面向民眾的網(wǎng)絡(luò)服務(wù)。近年來，沙特政府越來越重視互聯(lián)網(wǎng)，并將其視作經(jīng)濟(jì)增長和政府高效運行的驅(qū)動力，同時在教育和公共服務(wù)領(lǐng)域不斷擴(kuò)大網(wǎng)絡(luò)接入。沙特政府同時還將其視作擺脫過度依賴石油、實現(xiàn)經(jīng)濟(jì)多元化的重要手段。

如今，沙特已實現(xiàn)2100萬（接近其總?cè)丝诘?0%）的網(wǎng)絡(luò)接入。盡管阿聯(lián)酋、卡塔爾和科威特等其他海灣國家有著更高的網(wǎng)絡(luò)滲透率，但在面對互聯(lián)網(wǎng)帶來的新鮮事物上沙特民眾接受度卻更高，并在此方面為其它阿拉伯國家做出了表率。沙特民眾是全球最活躍的社交媒體用戶之一——沙特?fù)碛邪⒗貐^(qū)最大的推特（Twitter）用戶群。此外，其高手機(jī)持有率（177%的市場滲透率）也在不斷推動互聯(lián)網(wǎng)在沙特的使用，使得手機(jī)寬帶服務(wù)需求大幅增長。最后，使用翻墻軟件（如Hotspot Shield）以轉(zhuǎn)接到某些政府禁掉的內(nèi)容和服務(wù)的沙特民眾數(shù)量正不斷增加。

就資本存量和消費量來看，沙特是中東地區(qū)最大的信息通信技術(shù)(ICT)市場，正受到本地和國際公司的青睞。事實上，盡管IT產(chǎn)業(yè)目前對沙特GPD貢獻(xiàn)率僅占0.4%，且其ICT市場長期靠進(jìn)口拉動——超過80%的ICT消費都流向了外國企業(yè)，IT部門仍被視為其增長最快并能帶來巨大發(fā)展機(jī)會的的產(chǎn)業(yè)之一。2019年，其網(wǎng)絡(luò)安全市場將有望超過34億美元。

高度盈利的沙特電信公司目前已成為一家公開上市公司。由于依然是沙特最大的信息服務(wù)提供商和中東最大的網(wǎng)絡(luò)運營商之一，它提供了沙特絕大部分的手機(jī)、固話、互聯(lián)網(wǎng)和電視服務(wù)。然而在二十一世紀(jì)頭十年的中后期，Mobily和Zain等信息服務(wù)提供商紛紛進(jìn)入市場，該公司在手機(jī)和互聯(lián)網(wǎng)服務(wù)領(lǐng)域的壟斷地位開始被打破。2008年，沙特電信公司推出數(shù)字通信量更大、可靠性更高以及速度更快的3G技術(shù)服務(wù)。同年，Zain公司也攜4G（LTE）通信服務(wù)進(jìn)入沙特手機(jī)通信市場。

盡管沙特有著70%的互聯(lián)網(wǎng)滲透率和快速增長的手機(jī)使用率，但其電子商務(wù)仍有待發(fā)展。至少有三大原因?qū)е缕湓谠擃I(lǐng)域的發(fā)展遲緩。首先，沙特國內(nèi)創(chuàng)辦新企業(yè)十分困難。其次，沙特ICT費用高昂（沙特在世界ICT可負(fù)擔(dān)能力上的排名為101），其國內(nèi)企業(yè)通常不愿將昂貴的ICT引入企業(yè)運營中。最后，石油經(jīng)濟(jì)仍然主導(dǎo)著沙特的經(jīng)濟(jì)，貢獻(xiàn)了其超過90%的政府稅收，導(dǎo)致其企業(yè)大部分集中于石油開采、提煉、石油和液化天然氣（LNG）分銷等行業(yè)。

沙特政府認(rèn)識到，如要進(jìn)一步推進(jìn)其經(jīng)濟(jì)發(fā)展，必須改變過度依賴石油現(xiàn)狀，實現(xiàn)經(jīng)濟(jì)多樣化。因此，沙特王儲穆罕默德·本·薩勒曼（Muhammad bin Salman）—當(dāng)前沙特國王薩勒曼·本·阿卜杜勒-阿齊茲（Salman bin Abdulaziz Al-Saud）的王位繼承人，已制訂了改變沙特過度依賴石油的經(jīng)濟(jì)改革展望，意圖打造一個“強大、繁榮的沙特，為所有行業(yè)提供發(fā)展機(jī)會”，從而不再受“大宗商品價格波動或外部市場變化左右”。該展望內(nèi)容之后被2016年公布的《沙特2030愿景》加以陳述，從而為沙特未來經(jīng)濟(jì)結(jié)構(gòu)改進(jìn)提出了包含具體目標(biāo)的路線圖。

該雄心勃勃的經(jīng)濟(jì)發(fā)展戰(zhàn)略將數(shù)字化發(fā)展列為其目標(biāo)之一，但并未列入重點領(lǐng)域。盡管如此，該計劃也承認(rèn)，如要充分從ICT產(chǎn)業(yè)中實現(xiàn)經(jīng)濟(jì)利益，必須推動云計算等ICT技術(shù)的使用以及為民眾提供各類面向互聯(lián)網(wǎng)的服務(wù)。該計劃提出要打造三大支柱：（1）將沙特定位于阿拉伯和伊斯蘭世界的心臟；（2）將沙特的角色定位于全球投資的動力源；（3）將沙特的戰(zhàn)略位置打造成連接亞、歐、非三大洲的全球樞紐。[2]如同過去許多其它改變沙特依賴石油經(jīng)濟(jì)的措施一樣，該計劃試圖在宗教保守主義和實現(xiàn)現(xiàn)代化兩者之間保持平衡。該計劃也帶來一大矛盾：如何在有限制地使用現(xiàn)代技術(shù)和互聯(lián)網(wǎng)的同時，又能大力推動沙特的經(jīng)濟(jì)增長。

《沙特2030愿景》與2020年“國家轉(zhuǎn)型計劃（NTP）”中列出的重點發(fā)展行業(yè)相一致，均強調(diào)要通過促進(jìn)醫(yī)療、教育、基礎(chǔ)設(shè)施、娛樂和旅游業(yè)發(fā)展使經(jīng)濟(jì)多樣化，來提升私營部門的地位。該愿景的其它目標(biāo)還包括：推動外國直接投資；使私營部門成為就業(yè)市場的主要雇傭者，減少公共部門和官僚機(jī)構(gòu)的比重；創(chuàng)造更多就業(yè)機(jī)會，為勞動力市場培養(yǎng)相關(guān)技能；提供優(yōu)良的醫(yī)療服務(wù)；擴(kuò)大政府在裝備和軍火等軍隊制造業(yè)上投入等。

沙特經(jīng)濟(jì)與發(fā)展事務(wù)委員會（Saudi Council of Economic and Development Affairs ）已被授權(quán)建立必要機(jī)制和措施來實施該愿景，協(xié)調(diào)各利益相關(guān)部門共同落實，以及監(jiān)督其進(jìn)展情況。該委員會已成立大量機(jī)構(gòu)，如國家績效評估中心（National Center for Performance Measurement）、執(zhí)行機(jī)構(gòu)（Delivery Unit）、項目管理辦公室（Project Management Office）等，來對當(dāng)前的各類提案以及未來的各大項目進(jìn)行啟動、管理、監(jiān)督和評估。

盡管《沙特2030愿景》承諾將對投資者開放更多經(jīng)濟(jì)機(jī)會和推動國家快速轉(zhuǎn)型，但這一宏大的經(jīng)濟(jì)計劃依然沒有觸及政治或社會改革，也未談及如何解決當(dāng)前急需的外國技術(shù)工人問題。該愿景中也未明確沙特怎樣實現(xiàn)可持續(xù)的國家收入，來支持新型服務(wù)導(dǎo)向型經(jīng)濟(jì)所需的基礎(chǔ)設(shè)施建設(shè)。當(dāng)前油價持續(xù)下跌導(dǎo)致沙特國家收入銳減，讓愿景中提出的變革實施難以為繼。

此外，沙特長期飽受復(fù)雜多變的地區(qū)安全挑戰(zhàn)困擾。該安全問題導(dǎo)致了地區(qū)不穩(wěn)定的增加。[3]這些挑戰(zhàn)包括沙特在也門和敘利亞代價不菲的軍事行動、伊斯蘭國和其它極端組織不斷上升的暴力極端活動、與伊朗不斷緊張的雙邊關(guān)系以及正在與卡塔爾持續(xù)的外交危機(jī)。沙特政府試圖吸引外國直接投資和推動更多私營部門企業(yè)參與經(jīng)濟(jì)轉(zhuǎn)型，該計劃或?qū)⒈徊粩嘣鲩L的針對關(guān)鍵基礎(chǔ)設(shè)施和私營企業(yè)的網(wǎng)絡(luò)襲擊所破壞。

2012年8月，沙特國有油企沙特阿美石油公司就曾遭受過一場嚴(yán)重的破壞性網(wǎng)絡(luò)襲擊。當(dāng)時沙蒙（Shamoon）病毒使該公司成千上萬的硬盤驅(qū)動遭到感染、員工的郵件遭到停用、公司數(shù)據(jù)遭到破壞、以及四分之三（75%）的IT基礎(chǔ)設(shè)施資產(chǎn)遭到破壞。[4]沙特阿美公司花費了數(shù)周時間才使公司恢復(fù)正常運營。由于阿美公司貢獻(xiàn)了沙特政府收入80%且是世界最大的石油生產(chǎn)商，供應(yīng)了全球超過10%的石油和25%以上的液化天然氣，該事件因而視為一場針對沙特國家的直接襲擊。襲擊的惡意軟件一度試圖從業(yè)務(wù)系統(tǒng)侵入油氣生產(chǎn)和分銷網(wǎng)絡(luò)。即使石油設(shè)施局部遭到破壞，也會對石油供應(yīng)、石油價格甚至相應(yīng)的全球經(jīng)濟(jì)造成直接影響。該事件提升了沙特政府對網(wǎng)絡(luò)威脅的認(rèn)識，令其重新關(guān)切起應(yīng)對未來網(wǎng)絡(luò)襲擊的恢復(fù)能力。[5]

2012年沙特阿美石油公司遇襲事件后，沙特政府開始投入大量資源提升自身網(wǎng)絡(luò)安全能力，以及推進(jìn)國內(nèi)和國際措施來解決其網(wǎng)絡(luò)安全問題。在國內(nèi)，作為著重在民眾、過程和技術(shù)方面建立國家網(wǎng)絡(luò)安全、風(fēng)險消減、恢復(fù)能力框架的初步嘗試，沙特開始制定“國家信息安全戰(zhàn)略（NISS）”。該文件指出了“當(dāng)今互相連接的計算機(jī)網(wǎng)絡(luò)（以及）經(jīng)濟(jì)和金融活動對ICT不斷快速增長的依賴帶來的復(fù)雜性”，試圖提出“符合沙特國家信息和ICT目標(biāo)的整體戰(zhàn)略”，同時更好地支持沙特的長期國家經(jīng)濟(jì)愿景和戰(zhàn)略計劃?！皣倚畔踩珣?zhàn)略”和《沙特2030愿景》都強調(diào)沙特提升整體國家安全和國家恢復(fù)能力的必要性，以“為沙特向知識導(dǎo)向型經(jīng)濟(jì)轉(zhuǎn)變提供有效和安全的基礎(chǔ)”。

“國家信息安全戰(zhàn)略”和《沙特2030愿景》都強調(diào)沙特提升整體國家安全和國家恢復(fù)能力的必要性，以“為沙特向知識導(dǎo)向型經(jīng)濟(jì)轉(zhuǎn)變提供有效和安全的基礎(chǔ)”。

然而，“國家信息安全戰(zhàn)略”將重點置于通過制訂必要的政策、規(guī)章和培養(yǎng)技術(shù)工人來打造一個受中央政府管控的信息安全環(huán)境上，而忽略了其它國家網(wǎng)絡(luò)安全方面建設(shè)和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（CIP）。該戰(zhàn)略稱，網(wǎng)絡(luò)安全和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)建設(shè)“不在其范圍內(nèi)”，但由于二者是“該戰(zhàn)略的重要補充和沙特核心國家利益和資產(chǎn)全面保護(hù)的必要組成部分”，應(yīng)為其制訂發(fā)展戰(zhàn)略。它同時還警告，如要有效實施該戰(zhàn)略，沙特最高領(lǐng)導(dǎo)層需達(dá)成共識。同時該戰(zhàn)略最大的挑戰(zhàn)是，如何讓所有政府機(jī)構(gòu)一致同意建立一個集中的國家信息安全環(huán)境機(jī)構(gòu)。

除了“國家信息安全戰(zhàn)略”，沙特大部分安全機(jī)構(gòu)和部委也制訂了自己的相關(guān)規(guī)章和措施，并建立了自己的基礎(chǔ)設(shè)施系統(tǒng)，但均不受中央?yún)f(xié)調(diào)管理。而沙特缺乏一個權(quán)責(zé)清晰且有能力負(fù)責(zé)整體國家網(wǎng)絡(luò)安全的主管機(jī)構(gòu)的現(xiàn)實進(jìn)一步加劇了這些機(jī)構(gòu)各自為營的做法。

然而2017年7月，沙特國王薩勒曼發(fā)布了一系列法令，其中最突出的就是成立國家安全部（Presidency of State Security）——一個負(fù)責(zé)反恐和國內(nèi)情報工作的全新國家安全機(jī)構(gòu)。該機(jī)構(gòu)將兼并此前內(nèi)政部（MoI）下屬的一些部門，如特殊緊急部隊、技術(shù)事務(wù)、航空安全以及民事和軍事人員、以及其它負(fù)責(zé)反恐和安全問題的處室等。根據(jù)這些法令，國家網(wǎng)絡(luò)安全中心（NCSC）最早將于2018年1月從內(nèi)政部劃歸國家安全部下屬。屆時國家網(wǎng)絡(luò)安全中心將成為沙特網(wǎng)絡(luò)安全的權(quán)力中心。最后，該法令還下令對內(nèi)政部和皇家衛(wèi)隊精銳力量的高層作出職位變動，同時將新委任的國家安全部主管Abdulaziz bin Mohammed al-Howairini及其副手提升至部長級別。這些舉措旨在將網(wǎng)絡(luò)安全、反恐和國內(nèi)情報等安全事務(wù)上的權(quán)力集中化，將其置于單一機(jī)構(gòu)的主管之下，以能對沙特國王和王儲的指示作出直接響應(yīng)。[6]

如要全力支持這一新成立機(jī)構(gòu)，沙特需在接下來的幾個月里組建其領(lǐng)導(dǎo)層和確定初步行動。當(dāng)前沙特在國家網(wǎng)絡(luò)安全方面存在權(quán)責(zé)過于分散的問題，導(dǎo)致長期以來其網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃的缺失。沙特必須解決這一問題，確保其將有限的資源投入到即時和長期網(wǎng)絡(luò)威脅上，以改善其整體國家網(wǎng)絡(luò)安全現(xiàn)狀。[7]要實現(xiàn)《2030愿景》中提出的宏大目標(biāo)以及加入全球互聯(lián)網(wǎng)經(jīng)濟(jì)并從中獲益，沙特需了解ICT創(chuàng)新帶來的機(jī)會和風(fēng)險，同時減少其對網(wǎng)上內(nèi)容的過度篩查。

本報告采用網(wǎng)絡(luò)就緒度指數(shù)2.0（CRI2.0）評估了沙特應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的準(zhǔn)備度，并制定了一份行動藍(lán)圖，幫助沙特進(jìn)一步了解其互聯(lián)網(wǎng)基礎(chǔ)設(shè)施之間的依賴性及脆弱性?；趯ι程禺?dāng)前網(wǎng)絡(luò)安全形勢的分析，本報告還探討了沙特需要發(fā)展哪些能力，才能確保數(shù)字化順利推進(jìn)。本報告采用CRI2.0方法論，從七大維度（國家戰(zhàn)略、事件響應(yīng)、電子犯罪與執(zhí)法、信息共享、研發(fā)投資、外交與貿(mào)易、防護(hù)與危機(jī)應(yīng)對）對沙特的網(wǎng)絡(luò)安全工作及能力評估，如圖2所示。

圖2 沙特網(wǎng)絡(luò)就緒度評估（2017）

1 國家戰(zhàn)略

2011年，作為負(fù)責(zé)網(wǎng)絡(luò)安全和政府服務(wù)數(shù)字化的政府機(jī)構(gòu)之一，沙特通信與信息技術(shù)部（MCIT）制訂了沙特首個“國家信息安全戰(zhàn)略”。這一長達(dá)90頁的文件經(jīng)國際高級顧問和沙特國內(nèi)專家的制訂和多次完善，目前已是第七版。

沙特正面臨不斷增長的國家安全、經(jīng)濟(jì)福利和文化價值觀等方面威脅。這一現(xiàn)實凸顯出制訂國家網(wǎng)絡(luò)安全戰(zhàn)略的必要性。“國家信息安全戰(zhàn)略”指出，“沙特國內(nèi)外的網(wǎng)絡(luò)相互連接導(dǎo)致其出現(xiàn)巨大的新型安全漏洞，并導(dǎo)致沙特經(jīng)濟(jì)文化活動受到新型威脅。一些情況下，這些新威脅甚至能導(dǎo)致關(guān)鍵ICT系統(tǒng)停止工作、被破壞或摧毀?！?這些威脅還包括，敵對勢力可能“操縱和利用ICT系統(tǒng)直接損害沙特國家利益?！?/p>

該戰(zhàn)略為沙特確立了清晰的發(fā)展愿景，并闡明其目標(biāo)是通過吸收世界最佳實踐成果和依靠本國高素質(zhì)的專家和從業(yè)者，來為沙特提供安全堅實的數(shù)字化環(huán)境，主要包含五方面，即：（1）建設(shè)安全可靠且恢復(fù)能力佳的信息基礎(chǔ)設(shè)施；（2）訓(xùn)練一支專業(yè)化的網(wǎng)絡(luò)安全工作隊伍；（3）通過增加透明度和合作，來打造可提升相互信任和信心的信息安全環(huán)境；（4）通過對電子化政府服務(wù)和基礎(chǔ)設(shè)施提供支持，來實現(xiàn)國家安全目標(biāo)和ICT計劃及戰(zhàn)略；以及（5）通過研發(fā)及改善商業(yè)環(huán)境推動經(jīng)濟(jì)增長。此外，該戰(zhàn)略還制訂了10個含有并支持以上5大戰(zhàn)略目標(biāo)的10個一般目標(biāo)，包括：（1）制訂適當(dāng)穩(wěn)定的信息安全政策、指導(dǎo)方針和實踐方案；（2）提高國家信息系統(tǒng)和ICT基礎(chǔ)設(shè)施的安全性、可靠性、適用性和恢復(fù)能力；（3）改善人力資源條件；（4）建立信息安全威脅分析和緩解能力；（5）減少和預(yù)防正在增長的ICT漏洞；（6）實施信息安全合規(guī)和跟蹤流程；（7）培養(yǎng)研發(fā)、創(chuàng)新和創(chuàng)業(yè)環(huán)境；（8）確保關(guān)鍵ICT基礎(chǔ)設(shè)施和系統(tǒng)受到充分信息安全保護(hù)；（9）推動國內(nèi)外合作和信息共享；以及（10）提高安全風(fēng)險和個人責(zé)任意識。然而，盡管提出了5大宏觀戰(zhàn)略目標(biāo)和10大一般目標(biāo)，這一雄心勃勃的文件卻并未給出清晰的實施方案或具體指南來實現(xiàn)以上目標(biāo)。

該戰(zhàn)略也承認(rèn)其構(gòu)想或?qū)㈦y以實現(xiàn)。例如，目前沙特國內(nèi)還未有統(tǒng)一的網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)，各大政府機(jī)構(gòu)和部委普遍都以自己的方式保障自身網(wǎng)絡(luò)安全，而其各自建立的網(wǎng)絡(luò)安全系統(tǒng)并沒有多少共同性。同樣，網(wǎng)絡(luò)安全風(fēng)險和威脅評估標(biāo)準(zhǔn)存在缺失，導(dǎo)致政府機(jī)構(gòu)無法持續(xù)針對各類威脅制訂有效的戰(zhàn)略和政策。同時，沙特也缺乏精密的綜合性災(zāi)害恢復(fù)規(guī)劃程序來整合網(wǎng)絡(luò)安全行動。此外，該戰(zhàn)略也未明確沙特的國家網(wǎng)絡(luò)安全架構(gòu)，未確認(rèn)負(fù)責(zé)監(jiān)管國家整體網(wǎng)絡(luò)安全狀況的主管部門。最后，要跨越沙特網(wǎng)絡(luò)安全現(xiàn)狀和該戰(zhàn)略構(gòu)想的前景之間的鴻溝，最大的挑戰(zhàn)在于沙特缺乏數(shù)量充足、技術(shù)熟練和高素養(yǎng)的網(wǎng)絡(luò)安全勞動力——根據(jù)通信和信息技術(shù)部部長Abdullah Al-Swaha的說法，沙特目前缺少超過50000名ICT特殊技術(shù)工人。

為解決以上問題，該戰(zhàn)略提出了大量建議，包括2020年前成立一個集中管理的組織架構(gòu)——國家信息安全環(huán)境機(jī)構(gòu)（NISE），將沙特所有網(wǎng)絡(luò)安全利益相關(guān)者納入其中，“負(fù)責(zé)將國家信息安全戰(zhàn)略的目標(biāo)和倡議進(jìn)行具體落實”；以及成立國家風(fēng)險評估框架來支持建立一個高效安全的信息安全環(huán)境機(jī)構(gòu)。但是國家信息安全環(huán)境機(jī)構(gòu)具體如何構(gòu)建、其具體權(quán)力范圍、以及現(xiàn)有的、合并后的或新成立的機(jī)構(gòu)應(yīng)承擔(dān)其它哪些網(wǎng)絡(luò)安全責(zé)任仍未明確。該戰(zhàn)略指出，“沙特相關(guān)主管部門應(yīng)做出決定，成立哪些機(jī)構(gòu)及其附屬機(jī)構(gòu)，（以及）現(xiàn)有主管信息安全政府機(jī)構(gòu)的具體角色”。2017年7月，國王薩勒曼發(fā)布了系列皇家法令，決定成立國家安全部——一個負(fù)責(zé)反恐和國內(nèi)情報工作和網(wǎng)絡(luò)安全的全新國家安全機(jī)構(gòu)。該部委將作為承擔(dān)以上責(zé)任的唯一機(jī)構(gòu)，直接向國王和王儲報告。 “國家信息安全戰(zhàn)略”是否還會修改以及其建議是否還會重新排序，目前還不清楚。盡管如此，沙特目前尚未發(fā)布任何網(wǎng)絡(luò)安全戰(zhàn)略或者政策。

2013年，沙特發(fā)布了一條皇家法令，決定在內(nèi)政部下成立國家電子安全中心（NCES）。該中心之后被重命名為國家網(wǎng)絡(luò)安全中心。由于國家安全部或?qū)⒇?fù)責(zé)制訂下一版“國家信息安全戰(zhàn)略”，2017年皇家法令又將其級別提升并調(diào)整為國家安全部下屬。此外，該法令同時還決定，國家網(wǎng)絡(luò)安全中心最早將于2018年成為沙特國內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全的重心。目前，沙特網(wǎng)絡(luò)安全事務(wù)尚處于通信與信息技術(shù)部、內(nèi)政部以及其它政府部委和機(jī)構(gòu)共同管理之下。屆時國家網(wǎng)絡(luò)安全中心將承擔(dān)類似計算機(jī)應(yīng)急響應(yīng)小組（CERT）的功能，負(fù)責(zé)沙特政府和關(guān)鍵國家基礎(chǔ)設(shè)施（CNI）運營商的信息及通信系統(tǒng)和網(wǎng)絡(luò)的保護(hù)工作。該中心不僅限于在首都利雅得工作，同時還承擔(dān)大量任務(wù)，包括：制定國家信息基礎(chǔ)設(shè)施和關(guān)鍵資產(chǎn)的標(biāo)準(zhǔn)、規(guī)章；識別風(fēng)險和采集安全威脅情報；在國家層面協(xié)調(diào)網(wǎng)絡(luò)事件響應(yīng)和恢復(fù)工作；促進(jìn)不同行業(yè)部門之間的信息和安全預(yù)警流動。例如，國家網(wǎng)絡(luò)安全中心已建立包含分析和鑒別能力的信息保障和端對端的專業(yè)網(wǎng)絡(luò)防御能力，以及與政府機(jī)構(gòu)和大量關(guān)鍵國家基礎(chǔ)設(shè)施運營商之間進(jìn)行網(wǎng)絡(luò)威脅情報分享。目前這些任務(wù)仍處于完善中，各自的運行效果也不一。

戰(zhàn)略中提出的各項倡議所需的財政支持也未明確。沙特國家預(yù)算由財政部和其它各政府直屬機(jī)構(gòu)雙方協(xié)商制訂，并不受立法審查，因此也不向民眾公開。各政府部門的支出皆有預(yù)算可用，但是均并未包含網(wǎng)絡(luò)安全支出這一具體細(xì)項。

盡管沙特在網(wǎng)絡(luò)安全意識和能力上正在不斷取得進(jìn)步，但其在國家層面應(yīng)對網(wǎng)絡(luò)風(fēng)險的準(zhǔn)備度上與發(fā)達(dá)國家相比仍存在不小差距。沙特已提出了一些網(wǎng)絡(luò)安全相關(guān)的倡議并計劃對網(wǎng)絡(luò)安全創(chuàng)新科技進(jìn)行大力投入，但仍缺乏一個整體網(wǎng)絡(luò)安全戰(zhàn)略、一套通用的網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)、以及一個長效的國家網(wǎng)絡(luò)安全架構(gòu)。今年接下來的幾個月里，沙特國家安全部仍有機(jī)會通過制訂國家網(wǎng)絡(luò)安全框架和戰(zhàn)略來為沙特網(wǎng)絡(luò)準(zhǔn)備度開辟道路。

2 事件響應(yīng)

2016年，沙特成立其首個計算機(jī)應(yīng)急響應(yīng)小組，“作為受國家委托的信息安全權(quán)威參照物”。

2016年，沙特經(jīng)歷了新一輪網(wǎng)絡(luò)襲擊，大量政府機(jī)構(gòu)和私營企業(yè)受到影響。該事件再次顯示沙特建立網(wǎng)絡(luò)安全能力和恢復(fù)能力的緊迫性。這次襲擊與2012年沙特阿美公司遭受的攻擊事件類似，均利用了一種惡意軟件進(jìn)行入侵，從而導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施遭到大范圍破壞而無法運行。2017年2月，在利雅得舉行的第二屆國際互聯(lián)網(wǎng)安全大會年會上，沙特國家網(wǎng)絡(luò)安全中心總負(fù)責(zé)人Saleh Ibrahim Al-Motairi表示，僅在2016年，沙特就遭受到近1000次的持續(xù)網(wǎng)絡(luò)安全襲擊，襲擊目標(biāo)包括關(guān)鍵基礎(chǔ)設(shè)施、竊取數(shù)據(jù)、干擾網(wǎng)絡(luò)服務(wù)等。[8]

這類危及國家利益的網(wǎng)絡(luò)事件由沙特計算機(jī)應(yīng)急響應(yīng)小組（CERT-SA）負(fù)責(zé)處理。該小組“作為受國家委托的信息安全權(quán)威參照物”，于2006年成立。2007年，在網(wǎng)絡(luò)事件偵查、預(yù)防、意識提高、教育和培訓(xùn)等功能基礎(chǔ)上，CERT-SA開始提供事件處理咨詢服務(wù)。總體來說，CERT-SA提供的多種服務(wù)包括：（1）幫助各機(jī)構(gòu)遏制和處理網(wǎng)絡(luò)安全威脅，在必要時，對國家層面的網(wǎng)絡(luò)事件作出響應(yīng)；（2）通過在線資源、持續(xù)網(wǎng)絡(luò)安全意識推廣活動和研討會提升民眾網(wǎng)絡(luò)安全意識；（3）提供教育和培訓(xùn)活動，如與各大院校合作，為政府機(jī)構(gòu)和各大企業(yè)提供定制培訓(xùn)課程；（4）發(fā)布網(wǎng)絡(luò)威脅預(yù)警、網(wǎng)絡(luò)入侵警報和咨詢意見；（5）協(xié)助網(wǎng)絡(luò)安全利益相關(guān)者制訂和實施自身安全程序和進(jìn)程；以及（6）為特定網(wǎng)絡(luò)安全相關(guān)問題提供反饋意見和相關(guān)信息。此外，CERT-SA還負(fù)責(zé)對特定事件和響應(yīng)行動進(jìn)行信息收集、事后分析和發(fā)布報告。必要情況下，CERT-SA還會對網(wǎng)絡(luò)事件進(jìn)行分析并制訂預(yù)防和偵測方案，同時對其造成的破壞程度或損失作出計算。

盡管CERT-SA提供事件響應(yīng)支持及其它服務(wù)，但其并非是為整個政府層面和社會層面負(fù)責(zé)網(wǎng)絡(luò)事件響應(yīng)的中央?yún)f(xié)調(diào)部門，且并未為潛在緊急事件和危機(jī)制訂任何事件響應(yīng)方案。CERT-SA仍在很大程度上被視為一個事件反應(yīng)機(jī)構(gòu)，主要致力于在現(xiàn)有的網(wǎng)絡(luò)威脅方面提供出版物發(fā)布、咨詢和信息服務(wù)以及提供特殊事件響應(yīng)支持。目前，它也未建立起能對全面網(wǎng)絡(luò)襲擊進(jìn)行響應(yīng)協(xié)調(diào)行動和發(fā)布及時行動信息的能力。2012年沙特阿美公司遭襲事件令沙特重新重視起CERT-SA等國家計算機(jī)應(yīng)急響應(yīng)機(jī)構(gòu)在降低網(wǎng)絡(luò)事件對國家利益損害方面上的作用。此次襲擊事件后，CERT-SA加大了在發(fā)布監(jiān)測和預(yù)防網(wǎng)絡(luò)襲擊相關(guān)信息方面的工作力度，但仍無法提供整體協(xié)調(diào)作用和建立機(jī)制，來與政府機(jī)構(gòu)之間高效快速共享網(wǎng)絡(luò)威脅情報和態(tài)勢感知情況，以預(yù)防和降低網(wǎng)絡(luò)威脅。

此外，沙特還計劃在國家網(wǎng)絡(luò)安全中心下成立一個正式網(wǎng)絡(luò)威脅情報共享平臺，來支持關(guān)鍵國家基礎(chǔ)設(shè)施和政府機(jī)構(gòu)的安全保障工作，以及提供其它主動和被動服務(wù)，例如：網(wǎng)絡(luò)事件響應(yīng)行動規(guī)劃、監(jiān)督和顧問服務(wù)；惡意軟件分析；危害評估；以及網(wǎng)絡(luò)事件修復(fù)等。但該平臺仍未落實。

“國家信息安全戰(zhàn)略”還要求建立“國家安全運營中心（SOC），負(fù)責(zé)收集和發(fā)布網(wǎng)絡(luò)威脅和情報信息、分析網(wǎng)絡(luò)襲擊、減輕網(wǎng)絡(luò)威脅建議行動、協(xié)調(diào)國家響應(yīng)（及作為）資源協(xié)助政策制定者了解ICT開發(fā)和如何最佳解決和減少（網(wǎng)絡(luò)）風(fēng)險”。然而，該戰(zhàn)略未具體說明國家安全運營中心是代替CERT-SA和國家網(wǎng)絡(luò)安全中心，還是支持或與其協(xié)作來共享即時或者緊急的網(wǎng)絡(luò)威脅信息。該戰(zhàn)略中僅提到，國家安全運營中心將下屬于新成立的NISE來支持沙特國家層面的危機(jī)管理行動，以及“將利用現(xiàn)有的各個中心和能力來促進(jìn)國家信息分享和協(xié)調(diào)網(wǎng)絡(luò)事件危害減輕和響應(yīng)行動?！?新成立的國家安全部接下來需明確這些中心的各自角色和責(zé)任，以最大程度調(diào)用資源并提升其整體效率。

為了啟動國家層面的網(wǎng)絡(luò)風(fēng)險評估以及建立長久的國家網(wǎng)絡(luò)風(fēng)險評估和管理程序，該戰(zhàn)略提出，應(yīng)在NISE之下成立一個專門的國家風(fēng)險評估功能部門（NRAF），“以助于實施沙特國家風(fēng)險進(jìn)程管理系統(tǒng)（RPMS），來為其提供一個共同的風(fēng)險管控框架。” 目前， 該程序和機(jī)構(gòu)均尚未成立，沙特國內(nèi)的各大實體均在使用不同標(biāo)準(zhǔn)來評估網(wǎng)絡(luò)風(fēng)險及其嚴(yán)重或緊急程度。“國家信息安全戰(zhàn)略”指出，這一問題源自兩方面。首先，在現(xiàn)有的評估方式下，高級風(fēng)險管理“須能打破傳統(tǒng)國家部委或機(jī)構(gòu)的界限來對網(wǎng)絡(luò)風(fēng)險作出評估以及高水平的管控”，然而其“在當(dāng)前和未來國家重點發(fā)展方向已確定、有限的資源和復(fù)雜的全球形勢背景下，缺乏一個共同的風(fēng)險評估架構(gòu)來作出應(yīng)對網(wǎng)絡(luò)風(fēng)險的適當(dāng)決策?！?其次，沙特各大部委傾向于在各自負(fù)責(zé)的領(lǐng)域單獨行動，尚未認(rèn)識其數(shù)字依賴程度和在網(wǎng)絡(luò)安全方面需采取共同行動的緊迫性。為了解決該問題，NRAF將組建一個“嚴(yán)格挑選、有過網(wǎng)絡(luò)風(fēng)險處理經(jīng)歷且受訓(xùn)已久的高級主管團(tuán)隊”，并且將“有權(quán)對沙特國內(nèi)的各類國家綜合信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險評估效果進(jìn)行監(jiān)督?！钡侥壳盀橹?，該機(jī)構(gòu)仍未成立。“國家信息安全戰(zhàn)略”也指出，由于一些關(guān)鍵的網(wǎng)絡(luò)安全利益相關(guān)者擔(dān)心各自機(jī)構(gòu)的缺陷會因此曝光而對該機(jī)構(gòu)缺乏信任，如何讓N3i高級管理系統(tǒng)在風(fēng)險評估和管理功能上進(jìn)行與這些機(jī)構(gòu)有效協(xié)作將面臨巨大挑戰(zhàn)。NISS風(fēng)險評估和管理環(huán)形見圖3。

圖3 NISS風(fēng)險評估和管理環(huán)形

由于缺乏網(wǎng)絡(luò)威脅監(jiān)控、分析的正式機(jī)制以及對網(wǎng)絡(luò)安全產(chǎn)品的需求在不斷上升，一些外國私營企業(yè)已經(jīng)開始在沙特為政府和商業(yè)部門提供網(wǎng)絡(luò)安全服務(wù)，其產(chǎn)品包括網(wǎng)絡(luò)威脅監(jiān)控和數(shù)據(jù)管理服務(wù)等。這吸引了大量IT和網(wǎng)絡(luò)安全跨國公司進(jìn)駐沙特市場，其中一些甚至還與當(dāng)?shù)豂T 和電信企業(yè)合辦技術(shù)創(chuàng)新公司。例如，IBM與沙特手機(jī)運營商Mobily就成立了一家合資公司，該合資公司在利雅得還成立了一個跨國的“國家安全運營中心”。該中心使用IBM的網(wǎng)絡(luò)安全服務(wù)基礎(chǔ)設(shè)施協(xié)助進(jìn)行網(wǎng)絡(luò)安全日志和事件的收集、分析、關(guān)聯(lián)和排序。2014年，沙特教育部甚至還將該中心選為供應(yīng)商，來通過實時分析、建立潛在網(wǎng)絡(luò)威脅前期預(yù)警系統(tǒng)、以及保護(hù)教育部數(shù)據(jù)不受國外第三方獲取等方式幫助其增強對自身網(wǎng)絡(luò)安全態(tài)勢的掌握。

沙特通信與信息技術(shù)部也認(rèn)識到定期進(jìn)行國家級網(wǎng)絡(luò)安全演習(xí)的必要性，以測試其網(wǎng)絡(luò)響應(yīng)、恢復(fù)和重建方案的有效性，但這些演習(xí)是否會持續(xù)進(jìn)行下去尚不清楚。目前沙特公開報道的唯一一次網(wǎng)絡(luò)安全演習(xí)是2014年代號為“阿卜杜拉之劍”的軍事演習(xí)，內(nèi)容包括電子戰(zhàn)爭演練等。

盡管作出以上初步部署，沙特目前網(wǎng)絡(luò)事件響應(yīng)的方式很大程度上仍為被動反應(yīng)。近來遭受的大量網(wǎng)絡(luò)襲擊事件已經(jīng)使沙特再度有意抓緊落實提出的倡議，以對網(wǎng)絡(luò)事件反應(yīng)更為主動和更具恢復(fù)能力。

3 電子犯罪和執(zhí)法

沙特是 《阿拉伯公約》18個簽約國之一,但目前仍未批準(zhǔn)該條約。

沙特是《關(guān)于打擊信息技術(shù)犯罪的阿拉伯公約》（Arab Convention on Combating Information Technology Offenses，通常簡稱《阿拉伯公約》）的簽約國。這一阿盟（League of Arab States）內(nèi)部的國際法律框架于2010年生效，旨在促進(jìn)阿拉伯國家之間在“抗擊危害其國家安全、利益和聯(lián)盟安全的信息技術(shù)犯罪”方面進(jìn)行合作，以及使各簽約國“在打擊信息技術(shù)犯罪、保護(hù)阿拉伯社會安全上采取共同的刑事政策”。盡管沙特是《阿拉伯公約》18個簽約成員國之一，其也是目前唯一未正式批準(zhǔn)該公約的成員國。此外，該公約在網(wǎng)絡(luò)犯罪的定義和相關(guān)條款上十分模糊，因而盡管已被廣泛接受，卻仍未正式生效。事實上，其條款未參照任何阿拉伯國家的網(wǎng)絡(luò)犯罪法規(guī)，18個簽約國之間的協(xié)調(diào)工作也仍毫無效力。

此外，沙特既沒有加入任何全球性打擊網(wǎng)絡(luò)犯罪協(xié)定，如歐洲委員會的《網(wǎng)絡(luò)犯罪公約》（Convention on Cybercrime，通常也被稱為《布達(dá)佩斯公約》）或上海合作組織的《保障國際信息安全領(lǐng)域合作協(xié)定》（SCO Agreement on Cooperation in the Field on Ensuring International Information Security）等，也未參與其活動。

沙特參與了一些旨在促進(jìn)打擊網(wǎng)絡(luò)犯罪方面進(jìn)行合作的國際對話和戰(zhàn)略伙伴關(guān)系。它已經(jīng)建立了一些警方對警方、機(jī)構(gòu)對機(jī)構(gòu)等領(lǐng)域合作的雙邊關(guān)系和非正式渠道，并且正致力于進(jìn)一步擴(kuò)大在制訂國際標(biāo)準(zhǔn)、全球ICT安全政策、打擊網(wǎng)絡(luò)犯罪倡議和研究等方面的國際合作。

沙里亞法（Shari’a law）是沙特國內(nèi)刑事審判的官方法律基礎(chǔ)?；诖?，沙特已頒布兩部主要的網(wǎng)絡(luò)相關(guān)法律——《電子交易法》（Electronic Transaction Act）和《打擊網(wǎng)絡(luò)犯罪法》（Anti-Cyber Crime Law）。這兩部法律適用于打擊網(wǎng)絡(luò)犯罪和保障網(wǎng)絡(luò)安全，同時初步對電子商務(wù)和其它面向互聯(lián)網(wǎng)的服務(wù)進(jìn)行支持和管理。

2007頒布的《電子交易法》主要用于管理電子商務(wù)，建立起沙特國內(nèi)電子交易和數(shù)字簽名的法律體制。[9]這一法令促進(jìn)了沙特國內(nèi)外公共和私營部門在商務(wù)、醫(yī)療、教育、電子政府和支付系統(tǒng)等應(yīng)用領(lǐng)域的電子交易。該法旨在保護(hù)數(shù)字記錄、限制和預(yù)防潛在數(shù)字濫用、造假和盜用。它承認(rèn)網(wǎng)上和線下交易同等有效，以及電子簽名和手寫簽名具備同等法律效力。

根據(jù)此法成立的沙特通信和信息技術(shù)委員會負(fù)責(zé)該法的具體落實，包括向認(rèn)證服務(wù)提供商（ASP）頒發(fā)證照；核查認(rèn)證服務(wù)提供商的合規(guī)性；確保服務(wù)的延續(xù)性以及暫?；虺蜂N證照等。沙特內(nèi)政部和通信信息技術(shù)部共同負(fù)責(zé)為其頒布一般性政策和為電子貿(mào)易和簽名制訂發(fā)展方案和流程。內(nèi)政部成立國家信息中心（NIC），通過其在沙特全國用各個相互連接的分支組成的網(wǎng)絡(luò)，來提供信息交換和儲存服務(wù)，為各地區(qū)提供運營服務(wù)和支持各地朝圣（例如麥加朝圣）活動。此外，該法授權(quán)成立了沙特國家數(shù)字證書中心（NCDC），為公開金鑰基礎(chǔ)建設(shè)（PKI）管理提供綜合系統(tǒng)，來確?；ヂ?lián)網(wǎng)用戶電子貿(mào)易安全進(jìn)行。通過與財政部合作，國家數(shù)字證書中心成立了沙特電子數(shù)據(jù)互換（Saudi EDI）項目來提升電子商務(wù)貿(mào)易的速度和透明度。盡管該法案最初目的是為電子商務(wù)（電子進(jìn)出口貿(mào)易）改善交易環(huán)境，但目前其重點仍落在政府貿(mào)易層面，且已十多年未更新。沙特目前也正面臨不斷增長的國內(nèi)壓力，要求其順應(yīng)最新經(jīng)濟(jì)、技術(shù)環(huán)境和國際標(biāo)準(zhǔn)作出改變。

2007年，沙特通過了《打擊網(wǎng)絡(luò)犯罪法》（ACCL）。該法主要有四大目標(biāo)：（1）保障數(shù)據(jù)安全；（2）增加IT產(chǎn)業(yè)就業(yè)；（3）保護(hù)網(wǎng)絡(luò)知識產(chǎn)權(quán)；以及（4）保護(hù)民眾利益和社會公德不受侵犯。盡管該法旨在保護(hù)用戶免遭網(wǎng)絡(luò)犯罪侵害，但同時也包含有限制言論自由的條款。例如，該法將“制造損害公共秩序、宗教價值觀、社會公德和個人尊嚴(yán)的物品，或用信息網(wǎng)絡(luò)制作、散播或存儲該物品”定為犯罪行為。同時該法根據(jù)違法和犯罪嚴(yán)重程度對以上行為處以最高達(dá)10年的監(jiān)禁和500萬里亞爾（約合130萬美元）的刑罰。如該犯罪行為是犯罪團(tuán)伙有組織的行為、罪犯是公職人員、犯罪行為造成重大公共影響、案情涉及兒童、或重犯行為，還會有相應(yīng)的附加刑。

盡管《打擊網(wǎng)絡(luò)犯罪法》為處罰竊取敏感數(shù)據(jù)和網(wǎng)絡(luò)干擾等犯罪行為提供了法律框架，但由于其未提供沙特國內(nèi)或與國際伙伴之間怎樣進(jìn)行犯罪預(yù)防、偵測或合作措施，沙特起訴跨部門或跨境犯罪時顯得尤為困難。2012年沙特遭受的網(wǎng)絡(luò)襲擊案件中，由于襲擊者據(jù)信是伊朗政府的一個代理服務(wù)器，該法對此幾乎無能為力。此外，由于沙特尚缺乏一支訓(xùn)練有素的法官、公訴人、律師以及執(zhí)法隊伍，其在應(yīng)對網(wǎng)絡(luò)犯罪的各方面新特點以及如何有效調(diào)查和起訴犯罪分子方面仍捉襟見肘。

《打擊網(wǎng)絡(luò)犯罪法》已受到廣泛批評。許多法律專家和人權(quán)活動家認(rèn)為該法過度使用破壞“社會公德”條款來對社會活動者、博客異見者、以及有著政治或宗教訴求的沙特民眾進(jìn)行罰款、逮捕和提起訴訟，而并未真正用于處罰網(wǎng)絡(luò)犯罪行為和保護(hù)數(shù)據(jù)資產(chǎn)上。例如，2015年，一名32歲的沙特婦女因使用WhatsApp聊天軟件詆毀他人而被處以兩個月監(jiān)禁和5000多美元的罰款。2016年，一名醫(yī)生因在Twitter上詆毀沙特衛(wèi)生部，被處以6個月監(jiān)禁，另一名藥劑師則因同樣的罪名被判處4個月監(jiān)禁。2016年，該法甚至修改相關(guān)條款，給予執(zhí)法人員更大權(quán)限，使其在涉及宗教價值觀和社會公德方面案件最終判決已定的情況下，仍能公開傳喚犯罪嫌疑人。這一修改將該法的重點和執(zhí)法資源從打擊網(wǎng)絡(luò)犯罪方面撤走，或?qū)⒆罱K影響到沙特吸引外國直接投資和將石油主導(dǎo)的經(jīng)濟(jì)多樣化的成效。[10]

沙特的互聯(lián)網(wǎng)使用受到通信和信息技術(shù)委員會的長期監(jiān)控，且被其嚴(yán)格過濾被視為“有害”“非法”“反伊斯蘭”或“有攻擊性”的網(wǎng)絡(luò)內(nèi)容和社交媒體狀態(tài)，以及被長期封鎖“色情”“賭博”“毒品”“極端思想”以及人權(quán)或政治活動機(jī)構(gòu)等相關(guān)頁面。沙特公開承認(rèn)其對不符合沙里亞法的違反其道德觀和敏感的宗教信息進(jìn)行了審查。近年來，沙特的執(zhí)法機(jī)構(gòu)甚至還通過解開或繞過加密屏障，以保護(hù)國家安全和維持社會秩序的名義，將其審查范圍擴(kuò)大至網(wǎng)頁、博客、聊天室、社交網(wǎng)站、電子郵件和手機(jī)信息等平臺的政治、社會和宗教內(nèi)容。

沙特文化信息部還要求該國的博客、論壇、聊天室等熱門網(wǎng)站運營前須從該部獲得牌照，同時通信和信息技術(shù)委員會也要求手機(jī)網(wǎng)絡(luò)運營商登記用戶的真實姓名、身份證號碼、現(xiàn)在甚至還需指紋，來“限制通信使用帶來的負(fù)面影響和犯罪行為”。2014年沙特通過《反恐法》，將恐怖主義行為模糊地定義為“詆毀國家名譽”、“損害公共秩序”、“破壞國家安全”等，導(dǎo)致沙特的網(wǎng)絡(luò)用戶在網(wǎng)上發(fā)布、分享和點贊時不得不萬分謹(jǐn)慎。[11]《反恐法》有效地將所有質(zhì)疑伊斯蘭宗教旨意、支持任何類型“被禁停的組織”或政治改革的網(wǎng)上內(nèi)容都定為犯罪性質(zhì)。

除了上述法規(guī)和《治國基本法》中規(guī)定的一般性隱私權(quán)外，沙特鮮有涉及個人隱私和個人數(shù)據(jù)保護(hù)的相關(guān)法規(guī)。例如，沙特尚無國家數(shù)據(jù)保護(hù)主管部門。此外，政府或企業(yè)收集或處理用戶數(shù)據(jù)時，無需正式通知或登記要求。由于缺乏數(shù)據(jù)管理程序或規(guī)章，沙特國內(nèi)對數(shù)據(jù)轉(zhuǎn)移和數(shù)據(jù)常駐要求經(jīng)常模棱兩可。同時，沙特目前尚無對“個人數(shù)據(jù)”的明確定義，也未規(guī)定向個人或集體用戶告知哪一數(shù)據(jù)安全機(jī)構(gòu)對此負(fù)責(zé)。[12]

最后，上述戰(zhàn)略未提及沙特會劃撥多少人力或財政資源用以支持保護(hù)社會不受網(wǎng)絡(luò)犯罪破壞、減少國內(nèi)的網(wǎng)絡(luò)犯罪行為、或推動建立協(xié)調(diào)機(jī)制來處理國內(nèi)和國際網(wǎng)絡(luò)犯罪所需的進(jìn)一步法律和政策倡議。該戰(zhàn)略也并未明確沙特將計劃如何提升網(wǎng)絡(luò)執(zhí)法能力。由于國內(nèi)互聯(lián)網(wǎng)已經(jīng)越來越普遍以及更為便捷的網(wǎng)絡(luò)連接不斷涌現(xiàn)，同時伴隨而來的還有愈加常見的病毒感染和漏洞利用。沙特需提升其執(zhí)法機(jī)構(gòu)的執(zhí)法能力、投入更多資源來對不斷增長的網(wǎng)絡(luò)犯罪作出有效回應(yīng)以及減少網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不足之處。

4 信息共享

沙特目前尚未制定國家信息共享政策，但“國家信息安全戰(zhàn)略”中強調(diào)了國內(nèi)外信息共享和合作的重要性，并承諾沙特將擴(kuò)大在新興網(wǎng)絡(luò)威脅、漏洞以及相應(yīng)減輕威脅的技術(shù)方面的信息交流。

沙特國家網(wǎng)絡(luò)安全中心目前與政府機(jī)構(gòu)、關(guān)鍵國家基礎(chǔ)設(shè)施運營機(jī)構(gòu)以及其它利益相關(guān)者共享網(wǎng)絡(luò)威脅情報，但該信息共享能力仍有待提高。沙特已經(jīng)計劃建立更加強大的信息共享機(jī)制，包括在國家網(wǎng)絡(luò)安全中心之下成立網(wǎng)絡(luò)威脅情報共享平臺，以進(jìn)一步對保障關(guān)鍵國家基礎(chǔ)設(shè)施和政府機(jī)構(gòu)的網(wǎng)絡(luò)安全提供支持。其重要且必要的組成部分之一就是對關(guān)鍵國家基礎(chǔ)設(shè)施或全球其它地區(qū)發(fā)現(xiàn)的網(wǎng)絡(luò)威脅和惡意網(wǎng)絡(luò)活動提供預(yù)警。例如，2017年5月和6月，利用微軟系統(tǒng)軟件漏洞的網(wǎng)絡(luò)安全事件爆發(fā)，全球信息共享和對抗網(wǎng)絡(luò)威脅的響應(yīng)行動由此打響。只要任何一個國家或行業(yè)遭到襲擊，其它國家或行業(yè)就可迅速吸取其教訓(xùn)，切斷其網(wǎng)絡(luò)基礎(chǔ)設(shè)施中有漏洞的部分，并互相交流該為其軟件打哪種補丁，最終使其網(wǎng)絡(luò)基礎(chǔ)設(shè)施和企業(yè)免遭破壞?！皣倚畔踩珣?zhàn)略”強調(diào)，“這其實是很簡單的算法。只要（國內(nèi)和國際）信息合作、協(xié)作和共享增加了，信息丟失和ICT系統(tǒng)漏洞被利用的風(fēng)險就相應(yīng)減少?！?/p>

盡管如此，沙特缺乏國內(nèi)信息共享的傳統(tǒng)，更不用說與國際機(jī)構(gòu)進(jìn)行合作。沙特政府各部委之間極力維護(hù)己方官僚機(jī)構(gòu)和權(quán)限，往往互相敵視和喜歡互較高下。這一狀況與當(dāng)前網(wǎng)絡(luò)技術(shù)日新月異一起，使得“國家信息安全戰(zhàn)略”在網(wǎng)絡(luò)安全信息共享方面難以有效推進(jìn)。沙特在國際層面的信息共享上顯得十分不情愿；同時，其在中東地區(qū)與其他國家的經(jīng)濟(jì)利益、軍事緊張狀態(tài)以及在政治利益上的爭奪使得其跨境信息自由流動受阻。沙特、阿聯(lián)酋、巴林、科威特、卡塔爾和阿曼等國建立的海灣阿拉伯國家合作委員會（GCC）或許能為其探索怎樣增進(jìn)互信和推進(jìn)信息共享提供平臺。

沙特同時還是伊斯蘭會議組織計算機(jī)應(yīng)急響應(yīng)小組（OIC-CERT）的成員。該組織包含埃及、伊朗、土耳其、尼日利亞以及沙特等18個成員國，囊括了各成員國的計算機(jī)應(yīng)急響應(yīng)小組，旨在促進(jìn)伊斯蘭國家的信息共享。OIC-CERT為成員國組織培訓(xùn)、研討會和演習(xí)等活動，試圖為其提供網(wǎng)絡(luò)威脅和危機(jī)處理的即時經(jīng)驗，例如及時且實用的信息共享活動等。

“國家信息安全戰(zhàn)略”承認(rèn)，沙特在信息共享領(lǐng)域確實還需大力改進(jìn)。當(dāng)前沙特國家網(wǎng)絡(luò)安全中心和新成立的國家安全部仍有大好機(jī)會促進(jìn)和擴(kuò)大政府內(nèi)部之間以及其與外界之間可執(zhí)行信息的交流。沙特各大部委、關(guān)鍵國家基礎(chǔ)設(shè)施運營商、企業(yè)和國家合作伙伴目前都急需信息共享來改善自身安全狀況。目前，沙特政府和關(guān)鍵行業(yè)僅有的信息共享機(jī)制仍由CERT-SA和國家網(wǎng)絡(luò)安全中心提供。接下來的數(shù)月，沙特將考慮建立國家安全運營中心以及打造國家網(wǎng)絡(luò)安全中心的新角色，屆時沙特國內(nèi)進(jìn)行及時可行的信息共享或?qū)⒊蔀楝F(xiàn)實。

5 研發(fā)投資

“國家信息安全戰(zhàn)略”中明確提出，沙特將建立“一個長久繁榮、鼓勵研發(fā)和創(chuàng)業(yè)的信息安全經(jīng)濟(jì)部門”，同時還承認(rèn)沙特有必要“通過國際合作擴(kuò)大研發(fā)”，以幫助沙特在ICT和網(wǎng)絡(luò)安全部門開發(fā)更多功能。該戰(zhàn)略尤其強調(diào)“通過激勵和引導(dǎo)沙特國內(nèi)有著高度商業(yè)化和信息安全技術(shù)突破潛質(zhì)的信息安全研發(fā)項目，如加密互操作性、供應(yīng)鏈整合、計算機(jī)安全和快速高效訪問控制等，來滿足未來沙特信息安全需求”的必要性。

沙特指出，其必須在ICT和網(wǎng)絡(luò)安全部門開發(fā)更多功能，并將其作為國家信息安全戰(zhàn)略的“關(guān)鍵支柱”。

該戰(zhàn)略指出，沙特政府最初設(shè)立了一些項目用于提升現(xiàn)有的網(wǎng)絡(luò)能力，包括為研究人員和創(chuàng)新人員將成功的想法和研究轉(zhuǎn)化成專利和商業(yè)化產(chǎn)品提供支持等，但并未明確政府將如何對這些活動進(jìn)行支持、推進(jìn)和維系。相反，該戰(zhàn)略提出要通過吸收其他國家網(wǎng)絡(luò)安全團(tuán)體、政府機(jī)構(gòu)和行業(yè)的成果，來制訂“科研技術(shù)路線圖”指導(dǎo)沙特全國。

此外，該戰(zhàn)略要求構(gòu)建“集中的資助咨詢能力”，確保研發(fā)工作與沙特的戰(zhàn)略目標(biāo)相符。為此，該戰(zhàn)略提出建立“研發(fā)功能機(jī)構(gòu)（Research and Innovation Function）”來監(jiān)督對特定網(wǎng)絡(luò)安全項目的撥款和資助。該機(jī)構(gòu)將歸KACST主管，并與沙特通信與信息技術(shù)部進(jìn)行協(xié)調(diào)。

該戰(zhàn)略將人力資源視為其“關(guān)鍵支柱”，并提出多條計劃 “提升沙特信息安全從業(yè)者、研究人員、創(chuàng)新人員和企業(yè)家的信息安全能力”，同時將推進(jìn)其網(wǎng)絡(luò)安全培訓(xùn)和提高其網(wǎng)絡(luò)安全意識。例如，沙特已設(shè)立一些項目用于鑒別哪些婦女能勝任IT和網(wǎng)絡(luò)安全工作，哪些能在經(jīng)過進(jìn)一步培訓(xùn)后迅速滿足沙特的即時信息安全需求。該戰(zhàn)略還提出，將“雇傭經(jīng)審查后無正式證書但熟練掌握計算機(jī)技能的失業(yè)青年”。

作為對這一需求的回應(yīng)，沙特通信與信息技術(shù)部另啟動了一些人才培養(yǎng)項目，以及與全球的IT企業(yè)建立合作伙伴關(guān)系，在2017年至2020年間為超過56000名沙特青年提供關(guān)鍵ICT技能培訓(xùn)。同時其還與沙特阿美公司合作成立國家信息技術(shù)學(xué)院（National Information Technology Academy），來為沙特培養(yǎng)相關(guān)人才。此外，該戰(zhàn)略還設(shè)立了一個設(shè)在小學(xué)的項目，鼓勵兒童從小接觸計算機(jī)、培養(yǎng)分析能力、掌握網(wǎng)絡(luò)安全技能，并為每兩名學(xué)生配備一名導(dǎo)師來指導(dǎo)他們直至就業(yè)。這些青年將有望在維護(hù)沙特未來國家安全中發(fā)揮重要作用。

盡管沙特政府尚未建立任何正式項目或者激勵措施來鼓勵高校和學(xué)術(shù)機(jī)構(gòu)在基礎(chǔ)和應(yīng)用網(wǎng)絡(luò)安全方面進(jìn)行研究，但其為卻為所有公立大學(xué)提供了政策支持和資助。許多大學(xué)現(xiàn)已就ICT和信息安全開設(shè)了課程和設(shè)立了學(xué)位項目，例如達(dá)蘭市法赫德國王石油與礦業(yè)大學(xué)設(shè)立的安全與信息保障理科碩士學(xué)位項目。此外，法赫德國王石油與礦業(yè)大學(xué)在利雅得設(shè)立的通信與信息技術(shù)研究院（CITRI）參與了一些研發(fā)項目，項目范圍包括數(shù)字模擬集成電路芯片設(shè)計、綜合電子系統(tǒng)、通信和無線安全、機(jī)器人技術(shù)與智能系統(tǒng)、雷達(dá)防御系統(tǒng)、電子戰(zhàn)高級技術(shù)、激光和光纖應(yīng)用科研以及其它遵循了最新國際規(guī)格和標(biāo)準(zhǔn)的技術(shù)。通信與信息技術(shù)研究院在推動法赫德國王石油與礦業(yè)大學(xué)成為沙特預(yù)防網(wǎng)絡(luò)犯罪和數(shù)字犯罪法務(wù)研究的國家中心方面發(fā)揮了主要作用。該研究院為沙特政府機(jī)構(gòu)、高校和企業(yè)提供了專業(yè)技能支持、咨詢服務(wù)和多種主題的研究項目來滿足其研究和技術(shù)需求，從而實現(xiàn)國家規(guī)劃中提出的科技創(chuàng)新目標(biāo)。最后，CERT-SA也提供技術(shù)培訓(xùn)、組織網(wǎng)絡(luò)安全意識提升活動、以及與高校、政府機(jī)構(gòu)和企業(yè)合作開發(fā)客戶培訓(xùn)課程和研討會，安全質(zhì)量管理功能機(jī)構(gòu)。

就資本存量和消費而言，沙特是中東地區(qū)最大的ICT是場。據(jù)估計，僅2016年，沙特就已投入140億美元到網(wǎng)絡(luò)安全等ICT部門。沙特高速率的寬帶連接和為對抗?jié)撛谄茐男跃W(wǎng)絡(luò)威脅的網(wǎng)絡(luò)恢復(fù)能力，沙特正在對建立本地和國際物聯(lián)網(wǎng)（IoT）興趣漸濃。構(gòu)建利益相關(guān)者之間的互相合作以及提高網(wǎng)絡(luò)市場參與者在網(wǎng)絡(luò)安全方面的信心，已成為互聯(lián)網(wǎng)數(shù)據(jù)中心首席信息官峰會（IDC CIO Summit）等研討會和會議的主題。其中近期舉行的首席信息官峰會將政府官員、沙特商務(wù)官員以及世界各國專家齊聚一堂，來探討連接和依賴于互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全威脅解決方案等方面的ICT發(fā)展趨勢。

沙特2016年140億美元的ICT投入中，相當(dāng)大一部分被分配到提升電信基礎(chǔ)設(shè)施（尤其是高速寬帶）方面。目前，沙特國家收入在很大程度由通信行業(yè)拉動，據(jù)估計其20%來自于新增的網(wǎng)絡(luò)連接，并且該領(lǐng)域的國家收入還有望在明年穩(wěn)步上升。這就要求沙特加大基礎(chǔ)設(shè)施投入，其中就包括安全領(lǐng)域的產(chǎn)品供應(yīng)，但沙特目前仍未將網(wǎng)絡(luò)安全或恢復(fù)能力視為重點投入領(lǐng)域。沙特最大的互聯(lián)網(wǎng)服務(wù)提供商和中東最大的互聯(lián)網(wǎng)運營商之一——沙特電信公司及其競爭者M(jìn)obily和Zain目前正在互聯(lián)網(wǎng)連接方面加大投入。然而，它們都將焦點主要放在怎樣提供更多訪問上，而冷落數(shù)據(jù)安全步驟和程序。此外，這些公司之間目前幾無合作。

私營行業(yè)以及私營-公共部門合作成立的公司也開始合作建立創(chuàng)新中心，來研發(fā)和展示應(yīng)對地區(qū)或本地經(jīng)濟(jì)挑戰(zhàn)的技術(shù)創(chuàng)新，以及推動各個部門的經(jīng)濟(jì)增長。例如，沙特基礎(chǔ)行業(yè)公司（SABIC）是利雅得技術(shù)谷（Riyadh’s Techno Valley）創(chuàng)新中心的主要投資者。這一地區(qū)創(chuàng)新中心，或者創(chuàng)新家園（Home of Innovation）致力于石油化工和天然氣行業(yè)技術(shù)創(chuàng)新，旨在落實《沙特2030愿景》中提出推動本地下游產(chǎn)業(yè)增長、提高企業(yè)效率、以及構(gòu)建多樣可持續(xù)經(jīng)濟(jì)等經(jīng)濟(jì)戰(zhàn)略目標(biāo)。但上述倡議并未將網(wǎng)絡(luò)安全作為單獨的重點領(lǐng)域加以特別關(guān)注。[13]

2012年沙特阿美公司遭襲后，沙特政府開始擴(kuò)大其在網(wǎng)絡(luò)安全技術(shù)解決方案和服務(wù)（尤其是監(jiān)察技術(shù)、電子偵測設(shè)備、網(wǎng)絡(luò)攻擊偵查系統(tǒng)和預(yù)防技術(shù)以及生物統(tǒng)計學(xué)等方面）上的投入。這些領(lǐng)域?qū)⑽锢砜臻g安全和基礎(chǔ)設(shè)施和內(nèi)部網(wǎng)絡(luò)安全戰(zhàn)略相結(jié)合。沙特政府近年來也正對來自美國等國際合作伙伴的合作和資助產(chǎn)生濃厚興趣。目前，沙特國有的國防企業(yè)——沙特軍事工業(yè)公司（Saudi Arabia Military Industries）與美國國防承包商雷神公司（Raytheon）建立伙伴關(guān)系，在網(wǎng)絡(luò)安全等國防相關(guān)的項目和技術(shù)研發(fā)上進(jìn)行合作。作為其協(xié)議的一部分，沙特政府將能從該合作中為其國防系統(tǒng)和平臺獲得更多網(wǎng)絡(luò)安全解決方案，同時雷神公司將在利雅得成立一個新公司（Raytheon Arabia）負(fù)責(zé)項目實施，從而為沙特構(gòu)建本土國防、航天和安全能力。該伙伴關(guān)系因此將有助于幫助沙特實現(xiàn)《沙特2030愿景》中發(fā)展沙特本土有著專業(yè)能力和能拉動就業(yè)的國防生態(tài)系統(tǒng)的目標(biāo)。這將為沙特在此部門的經(jīng)濟(jì)發(fā)展建立長遠(yuǎn)基礎(chǔ)。[14]

6 外交與貿(mào)易

沙特并未將網(wǎng)絡(luò)安全視為其外交政策的首要議題之一，也并未將其列入外交部工作的重點領(lǐng)域。但沙特尤其在面對與伊朗關(guān)系緊張且受到源自伊朗境內(nèi)的網(wǎng)絡(luò)攻擊后，在海灣國家合作委員會內(nèi)正扮演著更為自信的角色。特別是，沙特正與海合會舉行大量會談，試圖擴(kuò)大雙方在網(wǎng)絡(luò)安全方面的合作以及就和平時期的網(wǎng)絡(luò)規(guī)范達(dá)成一致認(rèn)可。[15]同時作為2015年海合會《戴維營協(xié)議》（Camp David Accords），它還計劃與海合會合作成立工作組。根據(jù)該協(xié)議，海合會成員國一致同意每年開舉辦兩次會議來促進(jìn)其在反恐上的合作，以及簡化關(guān)鍵防御能力、導(dǎo)彈防御能力、軍事準(zhǔn)備程度和網(wǎng)絡(luò)安全領(lǐng)域的轉(zhuǎn)移。[16]

此外，沙特還大量參與同美國、印度等國的雙邊高級對話，試圖推進(jìn)雙方在打擊資金支持恐怖主義、洗錢、恐怖主義分子和犯罪集團(tuán)利用網(wǎng)絡(luò)從事犯罪活動等方面的信息交流。

沙特同時還通過國家網(wǎng)絡(luò)安全中心推動地區(qū)網(wǎng)絡(luò)安全合作和建立網(wǎng)絡(luò)安全意識。作為該努力的一部分，沙特定期舉辦網(wǎng)絡(luò)安全論壇年度會議等網(wǎng)絡(luò)安全相關(guān)活動，將阿拉伯國家以及其他國家的政府官員和行業(yè)專家聚在一起，探討如何改善網(wǎng)絡(luò)安全狀況、提升網(wǎng)絡(luò)威脅情報收集能力以及有效落實《沙特2030愿景》中提出的目標(biāo)。沙特還舉辦了由政府背書的年度國際網(wǎng)絡(luò)安全大會，其參會人員不光包括世界各國的網(wǎng)絡(luò)安全專家，沙特甚至派出了內(nèi)政部的最高級別官員與會。[17]

《沙特2030愿景》中強調(diào)，要將沙特的戰(zhàn)略位置打造成連接亞、歐、非三大洲的全球樞紐。沙特國土安全部應(yīng)利用其最新被賦予的權(quán)力和責(zé)任，為貨物、服務(wù)、數(shù)據(jù)和資金的跨境自由流動制訂愿景。該部應(yīng)利用沙特的G20成員國身份和影響力，推動可信的數(shù)字經(jīng)濟(jì)交易。網(wǎng)絡(luò)外交并不僅僅是制訂接觸和限制行為的規(guī)則，還應(yīng)通過信息自由流動來推動貿(mào)易。沙特如要同時實現(xiàn)經(jīng)濟(jì)增長和國家安全兩個目標(biāo)，需打造一支經(jīng)驗豐富的外交隊伍以保證將帶領(lǐng)地區(qū)實現(xiàn)其《2030愿景》中的目標(biāo)。

7 防御與危機(jī)應(yīng)對

由于近年來遭受的破壞性網(wǎng)絡(luò)襲擊不斷上升，沙特網(wǎng)絡(luò)防御能力建設(shè)已顯得越來越緊迫。

鑒于其經(jīng)濟(jì)、政治和文化以及戰(zhàn)略位置在本地區(qū)的重要地位，沙特在維護(hù)地區(qū)安全穩(wěn)定上扮演著關(guān)鍵性角色。中東地區(qū)目前正面臨著復(fù)雜多變的安全挑戰(zhàn)，尤其是沙特與伊朗之間的緊張關(guān)系在不斷加劇。因此新一任沙特王儲表示，沙特“將不會坐待戰(zhàn)爭降臨沙特境內(nèi)，而要將其留在伊朗?！?此外，鑒于近年來沙特頻繁遭受來自伊朗境內(nèi)的網(wǎng)絡(luò)攻擊，沙特網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防御能力建設(shè)已顯得越來越緊迫。

目前沙特政府已授權(quán)國防和航空部、內(nèi)政部等多個部委整合國家網(wǎng)絡(luò)防御體系。這些部委以及其它政府機(jī)構(gòu)正加大在網(wǎng)絡(luò)技術(shù)上的投入，提升其網(wǎng)絡(luò)能力。尤其在2017年，沙特通過與美國簽訂《安全合作協(xié)定》（Security Cooperation Agreement）來加大雙方合作力度，試圖以此來改進(jìn)其特種作戰(zhàn)和反恐部隊的訓(xùn)練效果、整合其防空和導(dǎo)彈防御系統(tǒng)、提升網(wǎng)絡(luò)防御能力以及強化海上安全保障能力。

此外，沙特也在試圖用網(wǎng)絡(luò)能力來武裝國民衛(wèi)隊（National Guard）等防御力量。例如，沙特國民衛(wèi)隊正投入近5億美元資金用于發(fā)展電子作戰(zhàn)能力。

目前尚不明確沙特是否制訂政策或頒布法令來成立軍事或情報服務(wù)領(lǐng)域的網(wǎng)絡(luò)安全部隊。沙特財政預(yù)算并不確定，導(dǎo)致發(fā)展以上機(jī)構(gòu)網(wǎng)絡(luò)能力的財政資助級別難以確定。同時，沙特國防和航空部是否進(jìn)行政府內(nèi)或軍事特別演習(xí)來展示其國家網(wǎng)絡(luò)防御準(zhǔn)備程度，也尚未明確。盡管如此，沙特最起碼還算是OIC-CERT內(nèi)的活躍成員。它曾承諾將組織聯(lián)合網(wǎng)絡(luò)作戰(zhàn)演習(xí)，但其是否真會付諸實踐目前尚不得而知。[18]

8 CRI 2.0概要

CRI 2.0評估結(jié)果顯示，沙特在網(wǎng)絡(luò)就緒上雖取得巨大進(jìn)步，但在CRI七大評估要素方面均仍不足。

分析結(jié)果反映了沙特當(dāng)前不斷變化的格局。沙特持續(xù)制訂并刷新其經(jīng)濟(jì)（數(shù)字）議程、國家網(wǎng)絡(luò)安全戰(zhàn)略、政策及各項舉措，尋求國家經(jīng)濟(jì)愿景與安全重點工作之間的平衡。國家概況的變化反映出國家在各個方面發(fā)生的變化，有利于監(jiān)測、跟蹤并評估沙特社會所取得的顯著進(jìn)步（見圖4）。

CRI 2.0利用全面、可比較、基于經(jīng)驗制定的方法論，幫助國家領(lǐng)導(dǎo)人在網(wǎng)絡(luò)化、競爭激烈、沖突叢生的世界中做出規(guī)劃，打造安全、有活力的數(shù)字世界。如需了解更多CRI 2.0的相關(guān)信息，請參閱：http://www.potomacinstitute.org/academic-centers/cyber-readiness-index。

★ 圖 4 網(wǎng)絡(luò)就緒度

[1] Khalid M. Al-Tawil.The Internet in Saudi Arabia[J].Telecommunications Policy, 2001,25(8-9):625-632.

[2] Full Text of Saudi Arabia’s Vision 2030[EB/OL].(2016-04-26).Saudi Gazette. http://saudigazette.com.sa/saudi-arabia/full-text-saudi-arabiasvision-2030/.

[3] U.S. Department of State.Fact Sheet: U.S. Security Cooperation With Saudi Arabia[EB/OL].(2017-01-20). https://www.state.gov/t/pm/rls/fs/2017/266861.htm.

[4] Melissa Hathaway et al..Cyber Readiness Index 2.0 – A Plan for Cyber Readiness: A Baseline and An Index,” Potomac Institute for Policy Studies[EB/OL].(2015-11-30). http://www.potomacinstitute.org/images/CRIndex2.0.pdf.

[5] Leon Panetta, speech given to Business Executives for National Security[EB/OL].(2012-10-12).http://archive.defense.gov/transcripts/transcript.aspx?transcriptid=5136.

[6] Saudi Arabia forms new apparatus of state security[EB/OL]. Arab News. (2017-07-21).http://www.arabnews.com/node/1132466/saudiarabia.

[7]Azhar Unwala.Cyber security in Saudi Arabia Calls for Clear Strategies[EB/OL]. (2016-07-27). http://globalriskinsights.com/2016/07/cyber security-saudi-arabia-calls-clear-strategies/.

[8]Aisha Fareed.Saudi facilities sustained nearly 1,000 cyber attacks in 2016[EB/OL]. Arab News. (2017-03-01). http://www.arabnews.com/node/1061151/saudi-arabia.

[9]Kingdom of Saudi Arabia, “Electronic Transactions Law[EB/OL]. (2017-03-26)http://www.citc.gov.sa/en/RulesandSystems/CITCSystem/Documents/LA_003_%20E_E-Transactions%20Act.pdf.

[10]Dino Wilkinson.Saudi Arabia Updates Cybercrime Law to Include 'Naming and Shaming' Penalty," Data Protection Report[EB/OL]. (2015-06-08) .http://www.dataprotectionreport.com/2015/06/saudiarabia-updates-cybercrime-law-to-includenaming-and-shaming-penalty/.

[11]Human Rights Watch.Saudi Arabia: New Terrorism Regulations Assault Rights[EB/OL]. (2014-03-20). https://www.hrw.org/news/2014/03/20/saudi-arabia-new-terrorismregulations-assault-rights.

[12]Eyad Reda and Turki Alsheikh, “Data protection in Saudi Arabia[EB/OL]. Thomson Reuters. (2012-10-01). https://uk.practicallaw.thomsonreuters.com/4-520-9455?tran sitionType=Default&contextData=(sc.Default)&firstPage=true&bhcp=1.

[13]Mohammed Rasooldeen.SABIC launches innovation hub[EB/OL]. Arab News. (2016-05-28). http://www.arabnews.com/node/930916/saudi-arabia.

[14]Raytheon Company.Raytheon and Saudi Arabia Military Industries announce strategic partnership[EB/OL].PR Newswire(2017-05-20).http://www.prnewswire.com/newsreleases/raytheon-and-saudi-arabiamilitary-industries-announce-strategicpartnership-300461082.html.

[15]White House.United States-Gulf Cooperation C o u n c i l S e c o n d S u m m i t L e a d e r s Communique[EB/OL]. (2016-04-21). https://obamawhitehouse.archives.gov/the-pressoffice/2016/04/21/united-states-gulfcooperation-council-second-summit-leaderscommunique.

[16]U.S. State Department.Fact Sheet: US Security Cooperation with Saudi Arabia[EB/OL].(2017-01-20). https://www.state.gov/t/pm/rls/fs/2017/266861.htm.

[17]Mark Sutton.ICSC to Discuss Saudi Cybersecurity[EB/OL]. (2016-11-06). http://www.itp.net/610073-icsc-to-discuss-saudicyber%20security.

[18]Tan Sri Dato' Seri Panglima Mohd Azumi, "OICCERT: Past, present and future[EB/OL]. OICCERT. (2016-12-14). https://www.oic-cert.org/event2016/files/Attachment%204%20-%20 Keynote%20Address.pdf.