依托科技创新 构建网络边防 维护网络主权
方滨兴(中国工程院院士、北京邮电大学原校长)
王 军(中央民族大学马克思主义学院副院长)
李保东(中国外交部副部长)
郎 平(中国社科院世界经济与政治研究所国际政治研究室副主任)
俞晓秋(中国信息安全测评中心顾问)
傅 聪(中国外交部网络事务协调员)
在国家间存在着网络战威胁的今天,越来越多国家制定了有关国家网络安全战略,对关键基础设施的保护是该战略的重要内容
方滨兴:近年来,美国已在法律层面显现出“网络空间领土观”的趋势。2010年,美国基于修改《2002年国土安全法》及加强美国网络与通信基础设施安全的目的,审议了《2010年将网络空间视为国家资产保护法》,将网络空间定义为“相互关联的信息基础设施网络”,包括“互联网、通信网络、计算机系统,以及重要企业中的嵌入式处理器和控制器”。美国在《2010年国际网络空间与网络安全合作法》中引用网络政策评估报告称:“国家也需要制定一份网络空间战略,以适应国际环境,并让想法相同的国家一起面对大量热点问题,如涉及属地管辖权、国家责任和强制使用的技术标准和适用的法律规范。”另外,美国《2010美国国土安全网络与物理基础设施保护法》更是将本国网络安全和网络基础设施安全的管理职能直接赋予国土安全部,这直接反映了美国已将网络空间安全和网络基础设施安全视为国家领土安全。
事实上,美国已将网络空间与海洋、陆地、天空、太空相提并论,形成了“网域”的概念。美国的三大战略包括核战略、太空战略和网域战略,五大主权领域和战场包括领海、领土、领空、领天和领网。在国家间存在着网络战威胁的今天,国家主权越来越多地体现在对领网的控制上。
郎平:随着网络在国家经济、政治和社会生活中的重要性日益增加,对网络的高度依赖会加深国家的不安全感。一旦这种依赖被切断或被利用,国家安全将面临严峻挑战。因此,必须明确本国的利益需求并采取各种措施加强自身能力建设,确保国家在网络空间的防御能力、适当的情报获取能力以及降低关键设施和经济体运行风险的能力,这就构成了国家的网络安全战略。
目前,全世界已有30多个国家制定了有关网络空间或互联网使用的政策,不少国家开始加强网络空间的防御和攻击能力,如建立相关理论、设立网络协调中心、加强协作能力、加大网络空间的兵力投送以及对网络攻击能力的开发等。
对关键基础设施的保护是国家网络安全战略的一个重要内容,但不同国家对“关键基础设施”的界定不同。有些将基础设施的“功能”作为界定标准,有些将基础设施一旦遭破坏后给国家带来的后果作为界定标准。如欧盟将其定义为“成员国的系统或资产,对维持极其重要的社会功能、卫生、治安、安全以及人们的经济或社会福利必不可少,对其干扰或破坏会给成员国带来严重后果”,属于前者;美国将其定义为“对美国极其重要的物理或虚拟系统或资产,一旦瘫痪或破坏将会对国家安全、经济安全、公共卫生或治安等领域带来削弱性后果”,属于后者。按照不同界定,美国共列出了18个关键基础设施领域。
俞晓秋:近10年来,美、俄、欧盟等先后从自身情况出发,制定了保护本国或本地区的网络安全战略以及网络空间国际政策。2000年俄罗斯颁布《国家信息安全学说》,2011年美国发布《网络空间国际战略》和《网络空间行动战略》,2013年欧盟公布指导成员国的网络安全战略。这些战略各具特点。譬如,俄罗斯《国家信息安全学说》注重信息传播、争夺、控制、对抗和威慑等;欧盟网络安全战略和法律政策着重打击网络犯罪、保护数据和个人隐私;美国侧重关键性信息基础设施、信息资产保护、网络反恐和确立全球网络空间主导权等。其他国家也日益重视网络应用安全,加强对技术漏洞风险与黑客入侵攻击防范。
王军:各国对网络安全与网络空间国家安全的内涵与外延的判定,及解决网络威胁的工作思路与重心有所不同。大体上,英美等国展现了强技术、弱社会视角的倾向,俄中等国则更加均衡地考虑技术视角与社会视角。
美国和俄罗斯两国在外交上就网络安全议题达成的共识甚为稀缺,两国解决网络安全问题的方法和理念也大相径庭。除都强调物理隔离和武力防卫的“堡垒战略”外,美国在国内惯于采用法律方法,在国际层面则往往采用自愿的国际协调方法;俄罗斯则聚焦于通过建立各种国际机制来化解来自国内外的各种网络安全挑战,并强调限制网络空间的军事化用途。美国最关注来自国家与非国家行为体的技术挑战,同时由于美国已取得制网权优势,并不太希望通过建立相关国际机制来治理网络空间,因此偏爱更少约束的国家协调方法。俄罗斯在网络空间军事化方面落后于美国,不仅面临网络空间的技术挑战,也面临网络意识形态等政治挑战,因此一方面希望以国际规则来约束网络空间内的技术风险与军事风险,另一方面希望通过主权原则和方法来因应网络空间的政治安全挑战。
美国之所以敢贼喊捉贼,源于其制网权优势。构建和保护网络边防,加强自主可控的信息技术研发和安全审查非常关键
方滨兴:网络主权与国家安全息息相关。对一个主权国家,网络必须有网防。网络主权涉及到网络辖域,网络辖域自然涉及到网络疆界,即一国所有直接连接到其他国家网络设备的路由器端口的集合。所有这些连向其他国家的端口如果被管控起来,就相当于构建了一个网络边防。在网络主权意义上,每个国家都面临着如何将本国的网络防护技术以何种方式纳入到网络主权的保障体系中去的战略规划制定,以及对境内的信息、信息系统以及信息服务等进行管理的问题。
就信息而言,既要保证涉密、隐私信息不能外泄,又要防止违反法律的信息在网络上出现。因此政府对保存信息的服务商、提供信息服务的服务商进行监管,并出台了一系列的隐私保护条例和保护国家秘密条例等法规。
就信息系统而言,要求确保涉及国家经济命脉、社会稳定、公众生活的信息系统稳定可靠。例如,交通、能源、金融、通讯、政府公务、医疗、教育等重要信息系统,必须采取相应等级的保护措施。所采购的设备,也必须符合相应的规范要求,防止出现产生重大影响的安全事故。为此,政府制定了信息系统安全等级保护制度。
就信息服务而言,要保证这类服务不会给国家、社会、公民带来损害,必须接受政府的管理,并且政府有条件、有手段加以管理。例如,微博服务就不能作为传播有害信息的平台,必须制定相应的管理规定,以防止对国家稳定产生危害;云计算平台必须符合相关的可信标准,既不能给云的企业用户带来损害,也不能被恶意利用成为网络攻击的源头;金融服务不能因服务的缺陷导致用户出现经济损失;手机信息服务,不能成为窃取用户信息的源头。如此等等,在必要时需要采取信息安全审查机制,以及时发现、确认、阻止这类事件的发生。
没有硝烟的网络主权竞争背后,是国家实力的竞争,涉及国家主权和国家尊严。在维护网络主权的竞争中,每个国家都应发出自己的声音、积极应对,才能避免“人为刀俎,我为鱼肉”。2014年5月19日,在斯诺登事件余波未消之际,美方以所谓网络窃密为由宣布起诉5名中国军官。美国监听全世界的事实路人皆知,竟然无视其定制接入行动办公室侵入中国计算机与通信系统15年之久的事实,倒打一耙,演出一场贼喊捉贼的闹剧。美国之所以有恃无恐,在于他们的网络攻击能力十分强大,难以抓住他们的现行。美国有数千个IP地址直接控制我国境内上百万台主机,如何追溯谁在幕后操控?获取了我国什么方面的信息?要想把目前与美国之间严重不对称的网络安全对抗态势扭转,至少要有像核武器一样的技术装备,具备不对称中的震慑力才行。目前的客观形势是我们是信息技术进口大国,美国是信息技术出口大国,这势必导致一种天然的不对称。因此说,加强自主可控的信息技术能力也是一项很关键的措施。
我国网民数量全球第一,域名总量全球第二。在日益严峻的国际网络空间形势下,我国宜全面进行网络与信息安全的战略布局,积极参与并开展领网安全立法,尽快着手建设国家网络边防,构建信息科技自主创新和信息技术方面的中国话语权,打造网络疆域的保护体系。这是我国从网络大国走向网络强国的必由之路。
王军:目前美国掌握着全球互联网13台域名根服务器中的10台。理论上,只要在根服务器上屏蔽该国家域名,就能让这个国家的国家顶级域名网站在网络上瞬间“消失”。在这个意义上,美国具有全球独一无二的制网权,有能力威慑他国的网络边疆和网络主权。譬如,伊拉克战争期间,在美国政府授意下,伊拉克顶级域名“.iq”的申请和解析工作被终止,所有网址以“.iq”为后缀的网站从互联网蒸发。2004年4月,由于在顶级域名管理权问题上发生了分歧,利比亚顶级域名“.ly”瘫痪,利比亚诸多官方网站在互联网上消失了3天。2009年5月30日,微软遵照美国政府的意志,将古巴、伊朗、叙利亚、苏丹和朝鲜5国互联网用户的聊天软件“微软网络服务”(MSN)关闭。一些国家为了防止美国瘫痪自己的顶级域名,在技术上积极攻关,进而形成了替代性的国内网络服务体系,可以在美国停止网络域名解析后,使该国网络依然能在国家范围内系统运行,但不与国外网络链接。
方滨兴:今年5月,国家互联网信息办公室发布消息,我国将实行网络安全审查制度。审查制度将由国家互联网信息办公室主管,全国信息安全标准化技术委员会具体落实,审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和专家组参与,保证过程的客观公正。
信息安全审查机制并不是常规性的门槛制度,而是在发现有可能出现潜在危害时需要采取的必要行动。在这一方面,美、英、法、日等国很早就建立了相关制度。我国由于过去长期缺乏明确的网络安全统筹管理主体,使得这项工作没有得到推动和实施。现在我国成立了由习近平总书记担任组长的中央网络安全和信息化领导小组,并下设专门办公室,这些都强化了网络安全管理主体和层级,有了这样一个抓总的机构,就促使信息安全审查制度得以很快出台。在信息安全领域,早就有信息安全产品认证的入市门槛制度,但这是白名单式的放行机制。信息安全审查制度不同,是战术层面的事情,需要通过对提供技术、系统、服务的企业进行背景审查,对所提供的技术、系统、服务的历史情况进行审查,对其带来的潜在危害性进行评估,然后才能考虑是否能够进入市场,或者有条件(例如必须达到某种要求)进入市场。这相当于黑名单式的禁止机制,并不是所有的技术、系统、服务都必须进行信息安全审查,但一旦纳入审查,就不能在未通过审查的前提下进入市场。这种方式可以有效防范那些被举报或被揭发的企业、技术、产品与服务等给我国带来潜在危害。
互联网管理权掌握在少数国家和少数人手中,不符合全球网民的共同利益。大国之间就网络治理展开磋商与协调十分必要
方滨兴:互联网的全球化特性将各国连接在一起,各国利益密切相关、休戚与共。从国际安全的角度来看,信息和电信领域发展政府专家组第三次会议的共识中提到“国家之间在自愿基础上就国家战略和政策、最佳做法等交换意见和信息;扩大分享信通技术安全事件信息;扩大并改善现有的应急处理交流渠道,支持建立预警机制;为处理网络安全事件扩大合作”等,这充分彰显出国际合作在互联网领域的重要性。
各个国家都应积极参与互联网管理,从打击网络恐怖主义等事关人类社会共同安危的大事入手,主动履行相关国际责任。中国在网络主权问题上积极倡导国际合作,但绝对拒绝本国网络主权遭受侵犯!美诉中国军人事件意在抹黑中国形象,但对我国在网络犯罪的司法制度建设也有启发:我国是否也该考虑对来自外国的网络犯罪作案人进行“缺席”侦查和“缺席”指控?
王军:主要大国之间展开磋商与协调能降低互联网的脆弱性、减少网络攻击与网络威胁。譬如,商讨决定如何将国家主权延伸进网络空间而不破坏互联网的开放性和互联性;发展出旨在界定负责任的国家行为的规则和适用于网络冲突的规则;制定网络空间平等的贸易规则等。迄今,国际社会在共同打击网络犯罪、黑客和网络恐怖主义方面取得了一些共识,开始构建多层次的合作机制。
1996年,俄、美两个高级别军事代表团在莫斯科秘密会晤,就网络战问题展开磋商,但未达成协议。其后美俄双边磋商时断时续。2009年7月美国总统奥巴马首访俄罗斯时,双方试图为网络战制定“游戏规则”,仍无法达成一致。
中美两国对网络自由、网络安全的理解以及网络战规则的界定等方面存在不少矛盾与冲突,但在网络秩序建构与网络安全维护方面也不乏共识与合作。美国官方通过与美国公司或美资主导的跨国公司、美国市民社会合作,不失时机地利用互联网或相关事件对中国施压,谷歌退出中国内地即是典型案例。在交流合作层面,中美就打击网络犯罪和网络战议题进行了接触与合作,中美网络论坛也已成为定制,两国还通过“二轨外交”商讨网络战、网络安全等议题。
然而,斯诺登事件给世界主要大国协商网络治理规则、预防威胁的努力蒙上了阴影。美国对国内外网络的监控与渗透进一步彰显了网络空间安全的脆弱性。
郎平:逐渐增加的网络不安全感给国际关系带来了诸多冲突和摩擦,如军事领域网络攻防能力的竞争,或网络间谍行为引发国家间关系的紧张,网络空间的无序状态如同道路上四面八方行驶的车辆没有统一的交通规则一样,国际社会尽快达成国家间的网络空间行为准则十分必要。
目前,网络空间的治理权主要集中在一些非国家团体和非盈利组织手中,美国等发达国家据此认为网络空间应该维持当前的开放性,政府不应插手。以俄罗斯和中国为首的发展中国家认为网络同样事关主权。这两种理念的碰撞在2012年12月国际电信联盟迪拜会议上得到体现。俄罗斯、中国以及其他发展中国家倡议将互联网纳入国际电信联盟管辖范围内,允许国家管理互联网的运行,但此举遭到美国以及欧洲国家的强烈反对,认为这将改变互联网治理的“无国界”性质,给予政府干预网络空间的权力。在美欧国家缺席的情况下,国际电信联盟打破传统的一致投票原则,多数投票通过了新决议,将管辖范围扩展至网络空间。不过,该协议最终能否被各成员国批准并生效还面临着很大的不确定性。
对于“全球网络空间协定”,各国态度并不明朗。美国虽然声明希望达成一致,但实际上并不愿放弃目前掌控的技术制高点,不希望在“绑住”自身手脚的同时,给其他国家赶超自己的机会。另外,各国的关注点也不一样,美国更希望通过协定约束网络间谍行为,而中国和俄罗斯更担心西方国家借此平台推销其价值观。事实上,从技术角度也很难做到,因为网络空间门槛很低,任何行为体或个人都可以进入,网络攻击行为也很难短时间内被发现并追踪;网络武器也难以像传统武器那样明确划出使用区域,找到网络武器则更难。有关“全球网络空间协定”的谈判过程将会艰难而漫长。
傅聪:目前互联网管理权掌握在少数国家和少数人手中,这显然不符合全球网民的共同利益。国际社会普遍希望能建立多边、民主、透明的互联网治理体系。
建立多边、民主、透明的互联网治理体系,就是所有国家都能参与互联网政策和标准的制定,应实现互联网基础资源的公平管理和分配,应确保互联网治理决策和实施的充分透明。目前面临的任务有二,一是要对互联网名称与IP地址分配机构进行改革,使其摆脱任何单边势力在法律、程序或事实上的控制,成为由国际社会共同监督、独立透明运作的国际组织。二是要把联合国互联网治理论坛进一步做实,延长其授权,并逐步赋予其决策职能。
中国作为网络空间秩序的建设者和贡献者,一直积极参与联合国等框架下的网络安全国际讨论进程,为网络空间的规则制定贡献智慧。我们早在2011年就与俄罗斯等国共同提出了“信息安全国际行为准则”倡议,这是国际上第一份全面系统阐述网络空间行为规范的文件,得到很多国家的支持。
李保东:维护网络空间的安全、稳定与繁荣,离不开国际社会的共同努力。
一是要坚持对话与合作。在当前网络空间事端频发的背景下,各方应在相互尊重和信任的基础上,以建设性态度开展对话,合作解决分歧。个别国家在网络问题上奉行双重标准,以一己私利划线,炮制只适用于别国的“规则”,对自己损害别国主权和公民隐私的行径不进行应有的反思,反而把自己装扮成受害者,对他国进行无端指责与抹黑。这种虚伪、霸道的行径必须予以纠正。
二是要制定各国普遍接受的国际规范。在继续研究现有国际法如何适用网络空间的同时,应当积极探索适合网络空间特点的新的国际规范,包括负责任国家行为准则。
三是要保证各方共同参与。建立各国政府和其他利益攸关方的新型合作关系,使大家能够平等参与讨论,发挥各自应有作用,共同营造全球网络安全文化。要确保相关国际进程的包容与开放,加强发展中国家在其中的代表性,照顾发展中国家的合理关切。
文章来源:中国社会科学网 2014-06-24