关键词:总体国家安全观;中国;网络安全战略;国家安全
基金项目:国家社会科学基金项目“网络安全国际规范与我国战略选择研究”(18BGJ072)
20世纪90年代以来,在中国勃然兴起的互联网并没有因为21世纪第二个10年出现的逆全球化、民族主义、民粹主义和保守主义而受到削弱。随着高速、移动、安全的新一代信息基础设施的构建,万物互联、人机交互和天地一体的网络空间正在成形。在此情况下,作为影响越来越大的社会有机运行的神经指挥系统,互联网正在以更全面、更深入的姿态渗入全球发展进程之中,其影响已经从初始的经济、社会领域扩展至政治、外交、安全等领域。尤其是在国家安全领域,网络维度的重要性越来越大。近年来,绝非一般黑客或非政府组织力所能及的高级持续性威胁(APT)攻击,日益成为一种国家级对抗的重要手段,国家层面的网络安全对抗已经变成现实。
截至2018年12月,我国网民规模已超过8.29亿,电商与移动支付等业务走在全球前列,在量子信息技术、人工智能、区块链、超级计算机、工业互联网等信息领域,核心技术呈现出良好的发展态势。但是,网络主权意识不强、核心自主创新能力不够、多主体间缺乏有效协同、国际网络空间话语权有待提升等困境,使得我国在网络空间安全方面处于较为被动的局面。为全面认识、着力防范和有效化解各类别、各层次国内外重大风险挑战的整体联动和累积叠加,本文试从战略层面构建中国网络安全的路线图。
一、网络安全战略的共性与特色
根据国际电信联盟(ITU)的定义,网络安全是“集合使用工具、政策、安全概念、安全防护、指导原则以及风险管理的方法、行动、训练、最优活动、保证和技术等,以保护网络环境,保护组织、用户的数字与物理资产。”基于此,网络安全主要是指在有敌手对抗的环境下,通过对信息安全、运营技术安全和信息技术安全的工具和技术的治理、发展、控制和使用,来获得遵从规章制度、防御本方资产和削弱敌方资产效用(compromising the assets of adversaries)的结果。从主体来看,网络安全包括物理层的设施安全、逻辑层的系统安全和内容层的数据安全;从构成来看,网络空间安全不仅仅包括传统信息安全所研究的信息的保密性、完整性和可用性,同时还包括构成网络空间基础的各种设施的安全和可信;从目标来看,网络安全要认清威胁、建立防御机制,构建“关口前移,防患于未然”的网络安全管理体系。
网络安全威胁主要是指商业级威胁和国家级威胁,即基于政治、经济目的而恶意利用网络空间攫取利益。“棱镜门”事件、“震网病毒”扩散等事件表明,国家级网络安全对抗正在常态化,直接挑战主权、安全和发展等利益。这已经成为国家间顶级智慧的较量,也是各国战略决策界最关心的问题。
为应对国家级威胁,各国纷纷制定国家网络安全战略,以降低网络空间的脆弱性,提升网络安全。国家网络安全战略是一国网络安全的顶层设计和战略框架,体现了国家安全、危险管理和用户保护的三位一体。目前,根据不同的网络能力,全球网络防御可分成三个档次:发达国家,处于智能迭代为特点的智能防御3.0时代;发展中国家,部分进入安全可控为特点的主动防御2.0时代;欠发达国家,处于合规保障为特点的被动防御1.0时代。总体而言,各国网络安全战略有如下共性:其一,根本目的是提升综合国力,促进国家安全和发展,而基本思路就是遏制网络的消极影响,充分发挥网络的积极作用;其二,越来越多的国家把网络空间视为维护和拓展自身价值观的重要领域,使网络安全战略带有浓重的意识形态色彩;其三,为争夺网络空间权益特别是主导权,各大国积极进行战略谋划和利益协调,致力于构建网络战略同盟;其四,很多国家设立专门机构居中负责网络安全事务,协调政府各部门,整合政府、企业和社会力量,以形成整体合力;其五,各大国网络战略的目标,已经超越一国的网络安全,重点着眼于现实世界中的战略竞争,抢抓网络规则制定权,争夺网络空间战略优势[6]。可以说,因为发展阶段、价值理念、国际地位等的差异,各国网络安全战略存在诸多冲突之处。
自1994年接入互联网以来,中国在短短的20余年时间从一个后发国家进入信息化时代,成为数字经济大国,这一过程蕴含在中国人对现代国家的追求之中。中国仍然是发展中国家,在信息技术领域与发达国家相比存在着后发劣势和现实差距,面临被打压和被排挤的威胁。因此,在以开放理念吸收一切人类文明科技进步成果的同时,必须消除安全隐患和政治威胁:把安全风险控制到最低,是中国现代化进程中应有的战略思维和底线意识。
当前,网络安全战略的竞争态势和对网络国际主导权的争夺趋势愈演愈烈,网络政治化进一步加剧,网络军事化方兴未艾,而且网络军事化的重点开始由防御转向进攻。美国网络战略的演变体现了这个过程:克林顿政府是重点保护网络基础设施安全的“全面防御”;布什政府转向网络反恐,强调“攻防结合”;奥巴马政府强调“主动攻击”和“网络威慑”。与此同时,可约束各国实践的全球公认的网络治理规范仍在探索之中,世界各国政治社会治理和国际安全形势影响日益呈现出复杂化图景。在这种情况下,完善并成功实施中国特色网络安全战略已经成为当务之急。二、树立正确的网络安全观
十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》指出,我国将完善国家安全体系,建立健全国家安全风险研判、防控协同、防范化解机制,以提高防范抵御国家安全风险能力。在我国,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,“要树立正确的网络安全观”,促进实现从网络大国向网络强国的转化。
第一,正确认识网络空间的特点,提升应对非传统威胁的意识防线和认知能力。作为虚拟的人造空间,互联网的独特性在于它的开放性、全球互联、非中心化及架构层(设施层、协议层和信息层)之间的相互关联。因此,维护网络安全,必须是整体的、开放的、动态的、相对的和共同的,而不是割裂的、静态的、封闭的、绝对的和孤立的。这些新特点再加上社会发展中的基础性框架地位,使得互联网给政权、主权、安全和全球治理都带来了全新的挑战。构建国家网络安全战略,必须把握和顺应互联网的内在特点和发展大势,勇于创造、敢于变革,在理念、内容、手段、体制、机制等层面进行全方位创新。
第二,认清问题、对症下药,全面、系统地应对网络安全挑战。当今时代,网络安全作为国家经济社会发展的重要保障,已经成为国际上非传统安全领域竞争的热点。总体来看,网络空间面临七大挑战:一是互联网领域发展不平衡、规则不健全、秩序不合理等问题日益凸显;二是国家和地区间的“数字鸿沟”不断拉大;三是关键信息基础设施存在较大风险隐患;四是全球互联网基础资源管理体系难以反映大多数国家意愿和利益;五是网络恐怖主义成为全球公害,网络犯罪呈蔓延之势;六是滥用信息通信技术干涉别国内政,导致大规模网络监控等活动时有发生;七是网络空间缺乏普遍有效规范各方行为的国际规则,导致自身发展受到制约。当前,我国的网络安全同样面临严峻的挑战,比如,西方国家对网络话语权的垄断对我国的政治安全构成一定挑战;网络信息泄露和谣言传播危害我国的社会稳定和政治安全,各国加快网络战部队建设对我国主权和安全带来诸多影响等。对此,在国内层面,要摒弃“一怕、二躲、三堵”的心态,实现从“谋定后动”到快速反应、从行政指令到公共协商的转型,使公共治理与信息化相适应,促进“良法”与“善治”相结合。在科技层面, 要通过掌握核心技术来掌握竞争和发展的主动权,塑造有利于我国的国际政治经济力量对比。在国际层面,要通过国际合作和规范建构,消除信息领域的双重标准,塑造网络空间命运共同体,维护各国共同的信息安全。
第三,基于总体国家安全观,以习近平关于网络安全重要论述为指导,构建网络空间命运共同体。《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》指出,要完善国家安全体系,就要坚持总体国家安全观,统筹发展和安全,坚持人民安全、政治安全、国家利益至上有机统一。作为中国共产党历史上第一个被确立为国家安全工作指导思想的重大战略思想,总体国家安全观强调以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,统筹发展和安全、外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。总体国家安全观为其他基本方略的实施提供了重要指引和遵循。
在总体国家安全观的基础上,习近平关于网络安全建设的系列重要论述,形成了中国特色网络安全观:关于网络安全的定位,没有网络安全就没有国家安全,网络安全为人民、网络安全靠人民;关于安全和发展的关系,把握网络安全和信息化是一体之两翼、驱动之双轮,以安全保发展、以发展促安全的要求;关于网络安全法治,要秉持互联网不是法外之地的理念,坚持依法治网、依法办网、依法上网的原则;关于网络安全技术能力,要大力发展核心技术,加强关键信息基础设施安全保障,最关键、最核心的技术要立足自主创新、自立自强;关于网络安全人才建设,要认识到网络空间的竞争,归根结底是人才的竞争,要形成人才培养、技术创新、产业发展的良性生态;关于互联网国际治理,要尊重网络主权,维护和平安全,促进开放合作,构建良好秩序,构建网络空间命运共同体。
在2016年颁布的《网络安全法》《国家网络空间安全战略》和2017年颁布的《网络空间国际合作战略》中,中国网络安全的立场和主张进一步系统化和明确化。其一,强调网络空间的国家主权属性,支持联合国发挥主导作用。在网络空间究竟是“国际公域”还是国家新边疆这个属性争议上,习近平主席的系列讲话与中国相关文件都阐明了一个连贯一致和明白无误的态度:网络空间具有国家主权性质,国家在网络空间的主权不容侵犯,各国有权选择网络管理模式,有权根据本国国情制定有关法律法规并依法管理本国信息系统和本国疆域上的网络活动。其二,强调网络空间安全与国家政治安全紧密相关。正如中国在物理空间中反对干涉他国内政、攻击他国政治制度、煽动社会动乱、颠覆他国政权等活动,并将其视为对国家安全的首要威胁那样,在网络空间,中国也坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为。其三,网络空间的问题和挑战是全球性的,任何国家都难以独善其身,技术最发达的国家也概莫能外。因此,国际社会应本着相互尊重、互谅互让的精神,开展对话与合作,维护网络空间的和平与安全,促进开放与合作,以规则为基础实现网络空间全球治理。可见,树立了正确的网络安全观,才能准确把握网络安全形式、内容、条件和态势变化的新特点新趋势新要求,系统回应各种网络安全挑战,探索中国特色的网络安全道路。 三、构建完善的国家关键信息基础设施保护体系
关键信息基础设施(critical information infrastructure, CII)的安全居于网络安全的中心位置,事关国家安全、国计民生和公共利益。关键信息基础设施是指面向公众提供的网络信息服务,以及支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。关键信息基础设施物理层的设施安全、逻辑层的系统安全和内容层的数据安全,是网络安全的载体和基础,与用户个人信息保护、网络数据安全保障、网络安全产业培育、工业互联网安全体系建设等一起构成安全可靠的网络环境。其“关键性”体现在:一旦瘫痪或被摧毁,将会严重影响国家安全、社会经济和公共利益。因此,关键信息基础设施既是网络攻击的重点,也是各国防护的重点。
在“4·19讲话”中,习近平总书记要求加快关键信息基础设施安全保障体系建设。《网络安全法》明确规定国家应采取措施对关键基础设施进行保护,同时规定了关键信息基础设施运营者的安全保护义务,要求运营者每年至少进行一次检测评估。《关键信息基础设施安全保护条例(征求意见稿)》则进一步明确了运营者的安全防护责任,在不断完善制度进行监管和执法的基础上,更要进一步在技术支撑能力建设、产业平台建设、标准规范、服务保障等多方面,改进保护方法、构筑保障体系、提高威胁应对能力。
第一,进一步提高思想认识,扎实推进网络安全和信息化各项工作,深入贯彻习近平总书记关于网络强国战略的重要论述,以《网络安全法》为纲,加快制定关键信息基础设施保护等网络安全配套法律和制度,确保观念落地和政策实施。
第二,通用方法与特色方法相结合,探索并完善适合中国国情的做法。网络发达国家有成熟的关键信息基础设施保护策略与方法,但因面临的挑战和要求不同,这些并不适用于发展中国家。因此,中国要根据自己的现实,适应不断变化的环境,加快突破核心关键技术,推出更多安全可靠的新技术新产品新服务,提升关键信息基础设施的韧性或可恢复性,增加攻击难度,降低攻击造成的影响,提升网络安全产业发展水平,为网络安全保障提供坚实的产业支撑。
第三,实现从静态合规导向的安全向风险导向的持续动态安全转变,以风险管理的思路贯穿关键信息基础设施保护生命周期过程。面对复杂而动态的网络攻击威胁,必须提升风险发现能力。为此,要实现从“被动补救”向“主动防御”转变,实现7x24小时不间断识别、防护、监测、预警、处置和恢复,实现在线安全监测、预警通报和跟踪处置,从而构建全局性的、整体性的动态安全防护体系。
第四,实现从自我防护向协同防护的转变,打造“政产学研用资”协同的防护系统。以重点领域前沿技术和共性关键技术的研发供给、转移扩散和首次商业化为重点,通过创新性组织形式和科学灵活机制,发挥参与单位的积极性和资源价值,使产业上中下游形成紧密的联合体,实现多方参与和协同保护,发挥放大效应和聚合效应。
第五,聚全国之力用可信计算3.0构建网络空间安全主动免疫保障体系。等级保护制度是目前我国网络安全防护体系的重要依据,自1994年实施以来,等级保护工作取得了较大的成就,发挥了重要的作用;但仍存在一定的问题,例如传统“老三样”的杀病毒、防火墙、入侵检测已经难以应对智能攻击,且容易被攻击者利用。对此,构建可信计算3.0主动防御体系是实现应对网络安全动态变化的一条重要路径。目前,我国的可信计算技术已经发展到了3.0 阶段的确保全程可测可控、不被干扰的“主动防御体系”,即防御与运算并行的“主动免疫计算模式”。具体而言,就是要从国情出发,根据需要,适度、安全并逐步发展完善主动防御体系,建立健全网络安全技术支撑体系,完善可信主动防御新标准的制定,将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护,构建主动免疫的主动防御体系。
第六,要积极开展互利共赢合作,不断提升网络安全事件协同处置能力。同时,汇聚国际力量,推动双边和多边、政府和社会等各种方式、不同场合下的合作共赢,形成以关键信息基础设施保护作为“负责任国家行为”的国际共识。在此基础上,构建关键信息基础设施安全形势、网络安全态势感知和防护体系,打造中国网络空间的金刚罩。 四、实现全天候全方位感知网络安全态势
当下,“态势感知”已经成为网络空间安全领域聚焦的热点,也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现,更代表了网络安全攻防对抗的最新趋势。加强“网络安全态势感知”(cyber security situational awareness,CSSA)能力建设,以更好地识别和响应网络威胁与攻击,是网络安全战略中至关重要的一个组成部分。
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次,是为提升作战能力、分析作战环境信息、快速判断当前及未来形势以做出正确反应而进行的实践探索。在20世纪90年代,这个概念被引入信息安全领域,并随着网络的兴起而升级为网络安全态势感知,即在大规模、动态网络环境中,对现行网络空间态势和能够引起网络空间态势发生变化的各种要素进行获取、理解、可视化,并预测其未来的发展态势。
从构成互联网的时间和空间维度感知大量环境要素的意义并预测其未来状态,需要完成三个步骤:其一,态势认知,即识别与确认当前网络状态,以构成攻击的条件为标准,对状态、属性和动态等相关要素的来源和质量进行评价。其二,态势理解,即通过对识别到的信息进行整合,实现损害评估、行为分析(攻击行为的趋势与意图分析)和因果分析(包括溯源分析和取证分析)的整体化推进。其三,态势预测,即通过态势跟踪把握演化方向,通过情境推演评估可能影响,为未来的决策和行动提供理解基础。充分的网络空间安全态势感知能力是网络进攻与防御的前提,在大规模网络环境中,从态势感知出发,才能够快速发现攻击并进行定位和阻击,实现边界安全、终端安全、系统防护、应用安全、数据安全等多维度的安全运营和威胁应对模式。
网络安全与战争一样,本质是攻防双方的对抗。攻防之战,速度为王。防守方的目标是缩短攻击者的自由攻击时间,然而数据显示,在被发现之前,攻击方平均会在受害方网络存在长达205天之久。为及时发现、提前预防,中国提出“全天候全方位感知网络安全态势”的目标:“全天候”,即在时间维度上,要结合利用实时或准实时的检测技术和更长时间段内的数据,经由分析来发现不正常行为;“全方位”,即在内容维度上,分析对象要覆盖网络流量、终端行为、内容载荷三个方面。
为此,要把态势感知提升到战略层次和全局高度并贯彻始终,不仅在各行业和大企业倡导、建设和积极应用态势感知系统,而且在国家层面也要通过完善机制、加强系统建设以提高数据处理能力,深化技术研究,以提高数据、态势感知的可视化能力,坚持不懈地进行态势感知能力建设;同时,要将网络空间安全态势感知作为国家安全防御体系中的重要一环,增强国家在技术、商业、民用和军队战略层面的统一协调与配合,全面提升网络空间安全监视与漏洞分析能力,重视大数据分析技术的应用,以应对国家级的APT对抗。五、全面增强网络安全威慑能力
由于网络安全涵盖从终端到网络、从应用到系统、从软件到硬件、从管理到法律、从国内到国际等内容,其涉及范围之广、门类之多很容易造成网络安全防不胜防。在20世纪90年代,类似“网络战”“网络珍珠港”和“网络威慑”等概念已经出现。网络威慑是一国通过充分显示强大的网络优势和网络对抗能力,使敌方因惧怕不堪后果而不敢贸然采取行动或使其行动有所收敛的行为态势。网络威慑提出的思路同核威慑大体相似,强调威慑方拥有敌方难以承受的报复能力。在互联网商业化和全球化的近30年中,尽管国家决策层担心由于黑客攻击而导致关闭电网、炸毁油管、污染水源、开启闸门和干扰空中交通控制系统导致飞机坠毁等事件,但此类推演中的重大灾难在现实中并未发生。不过,“达摩克利斯之剑”随时可能在不期的情况中落下,相关可能性不能排除,需要有预案应对。在这其中,防御能力和威慑能力是一体之两面:筑造无“剑”可摧的防御体系、打造“一剑封喉”的威慑能力,是保障网络空间安全的重要手段。
不少网络强国都在构建自己的网络威慑战略,其中,美国在理念与实践层面最为成熟。2011 年5—7月间,美国相继发布了《网络空间国际战略》和《网络空间行动战略》两份政策文件,此举标志着美国网络空间报复战略正式出台。2018年9月,美国接连签发《国防部网络空间战略概要》和《国家网络安全战略》两份重点文件,均将网络威慑作为实现美国繁荣与安全战略目标的重要手段,摆出“不能坐视不理”的强硬姿态。可以说,网络威慑已经成为美国网络安全战略的重要组成部分,和核威慑战略、太空威慑战略共同构成了美国“新三位一体”国家安全战略。
进入2019年,受中美贸易战、逆全球化和民粹主义影响,中国的外部环境处于前所未有的大变局之中,国家安全问题的重要性更加凸显。一国对基础信息网络的依赖性越强,就越容易遭受网络打击,脆弱性越高。中国网信办2019年5月在第二届数字中国建设峰会上发布的《数字中国建设发展报告(2018年)》显示,2018年我国数字经济规模已经达到31.3万亿元,占GDP比重达34.8%。强大的数字经济在培育壮大发展新动能的同时,也使得中国的网络空间安全面临着来自国家、组织和个人黑客的攻击与挑战。为了遏制和消除可能的攻击,习近平主席强调要“增强网络安全防御能力和威慑能力”。为此,中国需要在四个层面构建有自己特色的网络威慑战略:一是通过政策宣示展现敢于反击的意志力;二是以强大的防御体系来形成“拒止”能力;三是通过超量建设,确保遭受攻击后网络系统能继续运转,提升复原力;四是加大打击恶意网络攻击的力度,通过强硬的网络威慑政策,对潜在对手的主观判断产生影响,从而劝阻其在网络空间对中国的可能威胁,捍卫中国利益。
互联网对于保护国家安全、增强经济福祉至关重要,而且这一作用随着科技进步更加凸显。对网络战争所需更大成本的衡量和顾虑,会使得国家越来越谨慎地使用网络武器,或许可能最终形成“不首先使用网络武器”的正式规范。对此,中国应以习近平主席“网络空间命运共同体”思想推动网络空间国际合作与互信,加速网络空间国际规范的建构,减少和避免网络武器的使用。六、构建“四位一体”的能力转换和责任传导体系
在网络空间,威胁来自国家级和商业级两个层面。国家级网络安全风险的来源是国家投入支持的国家网络战部队进行的高级可持续威胁攻击,它主要利用软硬件后门和网络战武器来控制、破坏国家关键基础设施。商业网络安全的风险则来源于极端个人、黑客团体和经济窃密者,他们为获取商业利益或进行破坏而层层渗透、寻找漏洞并发动攻击。
这两种威胁的风险等级是不同的。但是,任何单一威胁中的全息性和不同风险之间的关联性,为应对重大风险所必备的即时感知和提前防御提供了预警功能,因此,有必要借鉴平台共享经济模式,建立政府、企业、社会组织和亿万网民共同参与建构的“四位一体”的能力转换、责任传导体系以及安全保障平台,实现能力与需求的协同,形成政府主导、行业自律、社会监督、公众参与的网络空间安全建构新格局。
第一,8亿多网民是安全信息的基础。互联网有海量的信息和应用,仅依靠政府部门监管,无法维护良好的网络空间秩序。截至2018年12月,我国网民规模为8.29亿且依然处于快速增长之中。在此形势下,发挥公众参与在网络治理中的作用,可收到事半功倍、一举多得的效果。落实《中华人民共和国网络安全法》关于“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报”的规定,需用明确公民个人与政府部门之间的权利和责任,建立制度并规范流程,保障公民通过网络举报参与网络空间治理,实现顶层与基层信息沟通、互动的通畅有效。
第二,社会组织和企业是网络安全规则制定的重要补充。网络安全治理中政府主导型的科层制管理模式存在诸多缺陷,为此,《中华人民共和国网络安全法》规定:“国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”从动态攻防对抗的视角来看,任何时候都会存在着大量未知或已知未防的“后门”和“漏洞”风险。社会组织可以迅速发现这些风险并提出解决方案;而企业的快速反应优势,可以使对抗能力迅速转化成防护产品,并部署形成防护能力,实时和快速地响应和处置风险,从而更好应对现实威胁。
第三,强化公—私合作模式和网络安全信息共享机制。要充分发挥政府政策引导和资源分配能力、企业灵活与即时反应能力,以共享信息为手段建立合作关系,把企业掌握的大量网络安全信息用起来,明晰未知风险、化解已知风险,增强网络安全的弹性,构建网络安全共同体,从而使政府和企业在网络安全领域投入的大量人力、物力和财力发挥出最大的效用。作为全球第一贸易大国和世界经济的领头羊,中国企业和市场在快速演进发展的同时,亟须匹配更先进的网络安全策略和更强有力的网络安全措施来保驾护航,以应对、化解和反击无孔不入的网络入侵,构建更加有效的安全防御阵营。在此过程中,面对不断变异、演进且极具迷惑性的网络威胁和攻击,碎片化、局部性的解决方案无法实现真正有效的防御。为此,政府与企业要建立联动协作、着眼全局的防御体系,在理念与策略层面实现智能、自动安全防御以及威胁信息的共享,从而有效为企业安全保驾护航;同时使政府获得强大的安全效力和较低的总拥有成本,进而提升中国网络安全防御和反击能力,有效把握和利用全数字化时代的发展机遇。
第四,要在国家指导、企业合作、社会组织参与的基础上,大力培养网络人才,发展最新技术,投资人才发展计划,跟上全球互联网技术发展的步伐,解决网络安全技术短缺的问题。现有的信息系统和防御架构在本质上是静态的、相似的和确定的,体系架构透明而脆弱,成为网络空间最大的安全黑洞。因此,加强网络安全非常重要的一点就是培育和加强自主创新能力。要避免核心技术受制于人这个最大的“命门”,以“国产化替代”实现“安全可按”,人才培养是重中之重。面对“攻击的成本越来越低,防御的成本越来越高”的客观现实,国家在思考“花多少钱、怎样花钱”来保障安全的同时,更应该建立包容性的体制、制度和平台,实现网络安全维护的规模化、集约化和聚合化,达到“少花钱、多办事”的效果。七、以国际合作促进规范建构和制度安排
根据We Are Social和Hootsuite发布的报告称,2019年全球网民数量已经达到43.88亿,每月活跃用户超过20亿的脸书甚至被称为“全球最大的国家”。同时,全球物联的发展使联网设备呈指数级发展,到2020年,全球联网设备数量将达260亿台,物联网市场规模将达1.9万亿美元。与此同时,网络双刃剑的特征越来越明显:基于政治、经济目的而恶意利用互联网的动机和行为在不断增长。
目前,为解决不同层次的问题和冲突,网络空间的国际秩序正在规范建构、制度安排和国际合作三个层面展开。国家与非国家行为体通过遵循国际规范、建立制度安排,以国际合作的态度解决不同层次的问题和冲突,从而避免冲突升级至不可控的状态。
第一,磨合国际规范,使网络空间更加友好。联合国是关于网络安全国际规范辩论和推进的最早期和最重要的场所之一。比如,国际电信联盟(简称ITU)秘书长表示支持网络和平行动。该行动是一次“通过改变立场以使网络战争非法化的尝试”,并在网络袭击、网络战争和“电子珍珠港”等话语主导的辩论中提供一种反叙事(counter-narrative)视角。目前,网络空间缺乏一套明确的、得到多数行为体认可的规范体系,塑造网络空间中国家、企业、社会以及个人行为的规范,依然是国家和专家关注的重点。随着“塔林手册2.0”的发布,联合国新的政府专家组会议和全球网络稳定委员会(global commission on cyber stability)会议的召开以及网络空间全球会议在印度的举行,都显示网络空间规范正在缓慢出现、不断取得进展,并向规范化方向发展。
第二,建立国际制度,使网络安全更加结构化、可预期。伴随网络治理从技术、经济和社会层向公共政策和安全领域扩展,网络空间逐渐形成了多层次、多元化、全方位的治理体系。伴随WSIS(信息社会世界峰会)、IGF(互联网治理论坛)等全球性互联网治理机构相继成立,一些传统的国际组织和机构也将网络空间相关的议题纳入议程,勾勒出一幅貌似混杂无序的网络空间国际治理的制度蓝图。Nye通过规制理论从更广的视野绘制了网络治理的地图,发现没有单一的制度能够进行网络治理,一个宽松的融合了众多体制与规范的规制共同体已经出现,尽管诸多行动者对现有规范存在争议,但国家在很大程度上控制着网络安全走向,它们的合作至关重要。
需要注意的是,在参与国际互联网治理的过程中,民族国家的政府是全球制度建构中最重要的主体之一,掌握着决定网络安全的关键资源。“网络主权观”得到了全球大多数国家的支持,比如作为所谓民主与开放社会的印度,也倾向于政府领导的多边而非多方模式的互联网治理。同时,国际组织、技术社团、社会甚至个人等也发挥了一定的作用,尤其是国际组织,其本身就代表一项制度,或者是制度的组成部分,它们是有自己思维、惯例和模式的国际组织,其追求的目标与其委托方的需求有时并不完全相同。作为全球治理固定场所的国际组织,在协调政府对于安全和主权的敏感性、私人公司的商业利益(如美国支持的ICANN)以及国际社会和使用者团体的关系等一系列相互竞争的利益上,不仅发挥着重要作用,甚至决定着发展方向。
第三,增进国际合作,使网络安全更加普惠。从制度层面而言,国际合作是指“围绕或隐晦或清晰的原则、规范、规则和决策程序,各方的期望交集于某个特定的国际关系领域”。互联网从技术角度看是“无边界”的景像:一个用户在某国的网络行动可以影响另一个国家。但我们也看到了各国通过立法确定边界和通过具体技术(如防火墙)创造边界的现实:互联网的有效性需要各国确立网络流通的行为规则。这些发展趋势都使得跨国的及全球的国际合作成为必须。
当然,网络空间秩序总体上仍处于较低水平,甚至存在回潮、逆转的可能。目前,国际上关于网络空间秩序的理解方式、价值观、规范路径与制度选择尚无法形成共识。国家与非国家行为体群体内部及彼此之间的力量博弈,将最终决定网络空间国际秩序的演进过程和最终建构。为此,中国需要通过加强规范建构、参与制度建设和推动国际合作来增强主要通过解释、说明和说服等途径发挥作用的解释性权力;以网络空间命运共同体的理念加强价值观重塑、以网络主权观影响制度平台的选择、以“大家的事情大家办”的思想来制定规则。
大国网络安全博弈,不单是技术博弈和能力博弈,也是理念博弈、话语权博弈。在“总体国家安全观”指引下,构建合乎逻辑、富于想象力、系统整体的网络安全战略,不仅能够为实现中华民族伟大复兴的中国梦提供支撑,而且能够为全球发展提供“中国智慧”“中国方案”,进而走出一条中国特色、惠及全球的网络安全建构之路。
(作者单位:中国传媒大学)
欢迎光临 教师之友网 (http://jszywz.com/) | Powered by Discuz! X3.1 |