文/陈根
网络安全已成为数字时代老生常谈的话题。
虽然网络安全在互联网诞生的最初就已有概念,但是从过去的Network Security到今天的Cybe rSecurity,网络安全的内涵和外延早已不可同日而语。信息化、数字化在近年来呈现出新的发展趋势,步入更高阶的数智化转型期,数字安全创新也将上升为数智时代的“内需”与“刚需”。
在这样的背景下,网络安全不仅关系到企业自身的生存和发展,更上升为国家战略,是社会和经济发展的重要保障。当前,网络安全态势正变得愈发复杂:国内外网络安全事件频发,造成巨大损失;欧洲和美国一系列网络主权的宣言和行动,也凸显了网络安全挑战在全球范围内正在发生的深刻变化。
因而,全面认识网络安全在国家生存与发展的作用,在此基础上提出改进网络安全治理的对策建议,有效应对网络安全的挑战,也成为提升国家竞争力的一个不容回避的迫切问题。
网络安全关乎国家发展
当前,网络已成为继海、陆、空、天之外的“第五空间”。网络技术的发展及广泛应用也推动全球经济进入数字化时代,促使万物链接成为可能。数字产业成为第一大产业,而数据更像水、电、石油一样,与所有行业和所有人都相关,成为一种基础资源。传统产业数字化转型,在线新经济迅速发展。
与此同时,网络安全成为网络的影子。哪里有网络,哪里就存在网络安全问题,快速发展的数字化进程也成为了数字化时代最大的挑战之一。当前,网络安全态势正变得愈发复杂,网络安全不仅关系到企业自身的生存和发展,更上升为国家战略,是社会和经济发展的重要保障。
网络安全的“不安全”最直接表现在数据泄露和各类网络攻击上。在网络时代,确保国家信息安全,对于国家政治安全的重要性空前增强。信息安全一旦失守,将会对国家政治安全等带来严重威胁。然而,近年来,随着信息技术的快速演进,全球数据泄露以及网络攻击等网络安全事件频繁发生,造成重大损失。
根据CCID发布《2019年网络安全发展白皮书》,以2018年为例,全球安全漏洞数量和严重性创下历史新高,国内重大网安事件也几乎每月必现。据Cybersecurity Ventures预测,到2021年全球因网络安全事件导致的损失将高达6万亿美元/年。
事实上,通过互联网进行的信息窃取和信息破坏活动,已成为网络时代国家政治安全面临的一个新威胁。发动网络攻击的主体,一是从属于国家的间谍机构,二是与政府无关的黑客个人或组织。网络攻击的对象,则包括政府部门、军事单位等权力要害部门,重要企业、科研机构、社会组织等民间性质的单位。
据美国媒体报道,美国国会、政府大多数部门、企业和大学等,是黑客攻击的主要目标。事实上,任何与互联网有联系、有值得破坏和窃取的信息的组织,都可能成为黑客攻击的对象,而这将给国家政治安全带来严重威胁。
此外,欧洲和美国一系列网络主权的宣言和行动,也凸显了网络安全挑战在全球范围内正在发生的深刻变化。2013年,联合国首次明确了《联合国宪章》下的主权平等原则适用于网络空间的立场。然而,信息化、数字化在近年来呈现出新的发展趋势,各国对于网络主权的守护与争夺也日益激烈。
在美国,在特朗普政府“美国优先”的路线下,“政策走向保守、战略转向收缩”的态势已然成型。从《出口管理条例》和《澄清域外合法使用数据法案》对数据流动的政府管制,到以网络安全、数据安全和意识形态潜在威胁为由,对华为、抖音和微信的制裁和禁令,均展现出美国在网络空间的重大政策转向。
2020年8月5日,美国国务卿蓬佩奥发起“清洁网络”计划,以期将中国的运营商、应用商店、应用程序、网络云和网络电缆排除在美国和其他国家使用的互联网基础设施之外。
在欧盟,2020年2月的《欧洲数据战略》、《塑造欧洲的数字未来》和《人工智能白皮书》集中提出了“技术主权”,在科技、规则和价值三方面强化了欧盟对网络空间的控制力和主导权,强调在网络关键技术、基础设施领域、规则制定和价值观上确保欧盟的自主性和选择的能力。
在新冠疫情的背景下,欧盟单一市场、供应链安全以及对欧盟外数字企业的依存度等问题越发突出,“欧洲数字主权”成为继“技术主权”之后的又一强力主张。
可以看见,互联网将世界联为一体,网络不分国界,全球性是互联网的首要特性。在这样的情况下,网络主权也成为网络安全的重要表现,是网络实力的组成部分之一。
网络安全是一种能力
数字时代下,尽管网络安全对于国家生存与发展具有重要作用,但根据国际战略研究所报告,中国网络实力被“夸大”,薄弱的网络安全和情报分析拖累其网络实力。改进网络安全治理,有效应对网络安全的挑战,已成为提升国家竞争力的一个不容回避的迫切问题。
具体来讲,2020年12月,美国官员发现,俄罗斯对外情报局(SVR)攻击了太阳风(Solar Winds)软件,以入侵华盛顿方面的政府目标,包括美国商务部和财政部。在这样的背景下,国际战略研究所(IISS)研究员尝试将各国按照网络能力进行排名。
排名指标涵盖数字经济强大程度、情报和安全职能成熟度、网络设施与军事行动的整合程度。其结果是,只有美国被该智库列为“第一梯队”网络强国,而中国、俄罗斯、英国、澳大利亚、加拿大、法国和以色列是第二梯队。第三梯队包括印度、印度尼西亚、日本、马来西亚、朝鲜、伊朗和越南。
据IISS,美国独自位列第一梯队的原因在于它无与伦比的数字产业基础,它的加密技术能力,以及对敌人实施“复杂、外科手术式”网络攻击的能力。与中国和俄罗斯等对手不同,美国还受益于和其他网络强国的紧密联盟关系,包括它的五眼联盟(美国、英国、加拿大、澳大利亚和新西兰)伙伴。
IISS网络、太空和未来冲突专家格雷格•奥斯汀表示,媒体报道往往只关注了中国数字进步的积极面——例如中国成为人工智能全球领导者的抱负。根据该报告,中国聚焦于“内容安全”,即限制国内互联网上的政治颠覆性信息,这也许削弱了其对监管传输信息的实体网络设施的关注。
显然,安全的本质是一种能力,而不是一个产品,也不是一个过程。要提升网络安全能力,就需要把网络安全视为一个复杂巨系统问题进行统筹应对。从国家角度考虑,更应从增强能力、政府与社会共同参与协作以及完善国际治理三个方面寻找应对新挑战的支撑力量。
首先,强化能力建设。进入新发展阶段后的中国全面提速开展新型基础设施、工业互联网、智能城市等的建设,网络安全问题将愈发突出,尤其在互联网核心技术、核心元器件严重依赖外国和供应链的“命门”受制于人的最大隐患之下,而只有技术实力与创新能力技高一筹,才不会陷入被动。同时,还要在机制、政策、法律、人才、产业、资源、国际话语等的较量中力争上游,形成立体防御和以体系对抗体系的全面反制。
其次,全社会参与和协作。随着信息技术的创新发展,互联网已经从简单的娱乐、消费与信息交换工具,转向具有更复杂的思想表达与政治参与功能。网络已经渗入社会和生产的方方面面,而网络安全自然也涉及到社会生活和生产的方方面面。
“网络安全人人有责”并非一句口号,而是应对网络安全防线过长、网络安全威胁主体多样化的有力保障。政府、企业、技术社群、公民、组织等既担负应尽的责任,更要形成合力,相互配合。
最后,完善国际治理。面对网络安全这一复杂的全球性挑战,国际社会既要坚持联合国框架下基于规则的国际治理体系,秉承尊重主权、和平解决争端等《联合国宪章》的精神,通过共商实现共治。同时,还要积极创新,通过协商处置一些新出现的具体事件,探索国际法原则在网络空间的落地实施,探索真正适应技术发展、利于享受技术红利的新国际治理框架。
网络信息时代,网络安全与个人、企业乃至国家都休戚相关,随着信息技术的持续进化,网络安全挑战也在不断变化和增加。因此,网络安全治理也必须更快地进化和完善,只有这样才能经受得住实战的考验。
