专家称应加强顶层设计 筹划中国网络空间安全
曝光美国“棱镜”计划的爱德华·斯诺登披露,美国国家安全局自2009年以来持续入侵和监视中国内地和香港的电脑网络。在全世界密切关注此次事件时,中国的网络空间安全现状尤其值得我们深思。
相比信息化发展的突飞猛进,中国的网络与信息安全建设远未跟上步伐。欧洲安全与防务知名智库SDA公司2012年对23个国家的网络安全防御水平进行评级,中国的信息安全水平排名第16位,处于中下水平。
有西方分析家指出,中国的水电站大坝、石油天然气管道和其他一些由计算机控制的公共基础设施易受到网络攻击。
随着国家信息化继续加快推进,以及云计算、物联网、移动互联等新技术、新应用不断出现,维护网络与信息安全的需求也更加迫切。着眼未来,我们在网络空间安全的战略筹划中需重点关注五个方面问题。
加强顶层设计
随着对网络依赖度越来越高,网络空间安全问题超越了专业技术层面,构成直接影响国家安全的综合挑战。因此,我国网络安全防护也迫切需要走出技术维护和配合的低层次运行水平,上升到统一筹划、综合防护的战略高度。
首先,应加快制定和颁布国家的网络与信息安全战略。趋势表明,争夺未来的焦点是战略规划之争。谁能先知先觉、抢得先机,谁就有可能掌握战略主动权。目前世界上已有40多个国家公开颁布国家级网络空间安全战略,并且随着形势的变化不断出台和调整相关政策。应加快制定相关的国家安全战略及其配套政策。
同时,把战略管理的着力点放在“跨域融合”上。立足于国家安全和现代化建设的全局,平衡好利益冲突,融合好利益诉求,研究解决好信息化发展和管理中那些跨部门、跨领域、超越局部利益和短期利益的瓶颈问题。
加强网络空间力量建设
从世界总体形势看,各国对网络空间安全越来越重视。在提高自身信息系统防御水平方面,多采取这样四条措施:成立国家级的协调管理机构;加大投入;加强立法,授权和扩大执法部门的监管;不断更新技术手段。
此外,各国军队在维护网络安全中发挥作用越来越大,有的甚至起着主体作用。联合国裁军机构报告称,世界上有46个国家建立了网络作战部队,100多个国家在发展网络战装备。这两年,周边国家韩国、日本、印度以及朝鲜都开始有所动作。美国、英国、日本、以色列、法国则正式宣布开发进攻性武器,提高网络攻击能力。
我国的网络与信息安全近年来虽已取得长足发展,但随着物联网、云计算和移动互联等新技术的新应用,网络安全任务将更加繁重。不妨自问:我们的能源、金融、交通、电子等关键信息系统能否应对“网络导弹”?如果我们某个城市的基础设施信息系统受到网络攻击,我们的信息系统多长时间能够恢复?我们军队又能否应国家的要求提供应急支援?从发展趋势看,未来陆、海、空、天每一个作战领域都将与网络联在一起,军队如何保持在这些空间的行动自由,或者说,如何保证关键行动的实施?
要回答好上述问题,必须打造一支专业化联合型成建制的网络力量。
构建自主可信的
国家网络安全防御体系
整体而言,我国信息安全自主可控的进展相对有限。目前,高端信息产品尚不能完全自主,特别是核心设备技术、整体解决方案、信息安全标准等严重依赖于国外厂商,国民经济重要部门有近70%的信息设备来自国外。
即便是自主产品,多数仍属“穿衣”模式,基本建立在以WINTEL(微软+英特尔的缩写)为代表的国外技术平台上,其硬件主要通过对外采购产品或向外购买专利获得,仍然严重受制于人。
西方出口到我国的关键大型设备和工业控制软件中,秘密预设后门是一个不争的事实。所以,无论是开放的国际互联网,还是封闭的企业内联网,在现有技术框架下,利用硬件和软件中的后门或漏洞,西方国家一定程度上能够实现对我信息系统的远程监控。
我们在网络空间里不可能当一辈子租客,必须在关键技术和重点防护手段上有所突破,构建自主可信的国家网络安全防护体系。即使掌握信息技术绝对优势的美国,近来也特别关注供应链安全。其中,美军提出,必须发展少量的绝对安全的计算机和通信系统,这样在履行重要的政府职能的关键活动时才可以得到某种保证。
一方面,要抓紧建设保底工程。在关键信息的应用上,宁愿慢一点,性能稍差一点,也要分阶段地在关键领域完成国产化信息产品替代。另一方面,要加紧对物联网、云计算、量子通信和生物计算机等前沿尖端技术的自主开发和应用,使国家的网络安全获取可持续的技术支撑。
增强应对重大网络
安全事故的防控能力
在网络攻击中,谁是真正的入侵者,谁是真正的受害者,受害程度究竟有多大,以目前技术而言很难确认。但是,美国将网络攻击与战争画上等号,并与其盟国不时把一些“黑客入侵”、“网络间谍”事件与中国挂钩,我们未来面临“互联网战争”的风险进一步加大。
他国利用技术优势和盟友,对我军队指挥控制系统和国家核心基础设施实施网络攻击的可能性不能排除。2011年5月,奥巴马签发一份指导美军网络空间作战的行政令,允许美军将计算机代码植入其他国家的计算机网络。虽然这些代码平时不会主动传播病毒,但一旦该国与美国发生冲突,这些代码将被激活。
首先,要建立国家级网络安全危机管理机制。实施网络安全威胁评估、筛查和预警,完善和落实网络安全法规、预案等一系列增强我国在网络空间防控能力的安全措施。对网上可能发生的意外情况及可能引发的冲突进行预测并制定预案,防止意外状况发生时出现毫无准备的情况。
其次,要继续推动中美网络安全合作与对话机制的发展。由于中美都是对国际安全稳定有重要影响的大国,加强合作以避免可能导致网络安全危机的误解和误判就更显重要。网络安全已经纳入到中美战略对话当中,并且该对话框架下成立了网络安全工作组。中美之间,一个拥有最多的网民数量,一个拥有最先进的技术,网络对两个大国都同样重要。为了在网络领域防止误判,防止危机失控或冲突升级,建立相关的对话机制,保持对话渠道畅通非常必要。
积极参与网络空间的国际治理
网络空间的国际治理既是国际共识,也是国际社会的必然选择和努力方向。中国一直以积极负责的态度对待网络空间的国际治理,主张在联合国框架下建立一个各国广泛参与的、公正的、合理的网络国际治理机构,反对任何形式的网络战和网络空间国际军备竞赛,反对网络空间的霸权主义和强权政治。
2012年10月布达佩斯举行的“网络空间国际会议”上,中国代表提出网络空间各国应共同遵守“网络主权”、“平衡”、“和平利用”、“公平发展”以及“国际合作”五项原则,并呼吁各国遵守《联合国宪章》以及公认的国际法和国际关系准则,“不研究、发展和使用网络武器,共同创造一个和平安全的网络环境”。
网络空间国际规则的制定必将是个长期复杂的博弈过程,冲突与磨合都不可避免,不仅结果重要,过程也同样重要。随着越来越多国家不断加大对网络空间安全的重视,国际社会有可能会在网络空间安全问题上逐步形成共识,并达成有一定约束力的国际协议。作为已经拥有5.64亿网民,电子商务交易已相当于国内总产值12.5%的网络大国,中国有必要、有义务,也有条件从一开始就参与这一重要进程。
为此,需要加强相关问题的研究,准确认识中国在网络空间安全问题上的国家利益,以及世界各国的共同利益,在此基础上,为构建一个和平安全、开放公平、自由有序的和谐网络空间作出贡献。
(文/许蔓舒 作者单位:国防大学战略教研部)