美国智库战略与国际研究中心高级研究员、技术和公共政策项目主任詹姆斯·刘易斯表示安全问题制约相关行业创新和发展且政府在互联网安全方面起到很重要的作用。
以下为美国智库刘易斯战略演讲实录:
互联网安全领域的三大变化
我们在了解互联网以及互联网安全的时候,认为不要再相信网络神话了。我和大家回顾一下1996年,我们听到一个网络神话,技术改变太快,技术确实改变太快,技术已经呈现代际的变化。网络空间中没有边界,网络空间中有边界,存在着物理设施。而且人们在看互联网安全的整个概念都发生变化了。这个领域中,大家经常会觉得密码让我们很安全,用密码确保安全毫不疑问会受到攻击的。但还是有人相信这一点,认为互联网能成为一个自律的环境,自律的全球电脑极客能保证我们的安全,还有很多人说它不涉及到国家主权,不需要政府,这一点也被证明是错误的。也有人认为政府在互联网安全方面没有任何作用,但我认为政府在这个领域可以发挥很重要的作用。
安全会伤害创新,实际缺乏安全才会破坏创新。技术是非常脆弱的,技术的脆弱性不可能在短期之内完全得到改观,互联网属于各家管辖,竞争非常激烈,正因为竞争非常激烈,使得互联网变得如此火热,因为它在互联网商业模式改变时很重要的领域。强烈的数据需求对新产品导致了颠覆性的改变,这是很有趣的现象。很多人在1980年代致力于促进互联网商业化。当时我们不觉得这是大问题,就是几百万人使用互联网而已,像电子商务、eBay网站一样不会是大趋势,当时没有预测到这个波浪。现在认识到,消费者认识到互联网,即使知道互联网不安全还是使用互联网和应用,当很多的人下载应用的时候觉得这个应用是安全的。
我们是来自于北美,有时候提到这个问题时会感到非常担心,匿名诈骗在互联网上极易得逞。1984年我们当时在使用互联网,我们知道这个互联网用户非常小,现在安全已经非常重要的领域。最重要的是互联网络安全中是需要规则的,这是我们今天的挑战,需要对互联网安全建立规则,因为没有规则一些大的国家可以为所欲为。可以告诉大家,美国、英国、俄罗斯、中国、以色列,之后是韩国、北韩、伊朗,甚至还有德国。所以,很多人可以在互联网上为所欲为,如果有一天他心情不太好就会向你发起攻击了。
互联网三个层面:国际-国家-企业
对互联网安全来说现在政治环境截然不同了,和过去看到的安全有很大的差异,6月份联合国组织政府专家报告刚刚公布一个公约,15个签约国家携手说网络安全如何确保,包括俄罗斯、英国、中国,包括印度尼西亚、阿根廷、以色列。这些国家商谈之后说,在互联网领域中我们可以适用这些法律,应该适用于国家主权,应该适用于政府。也就是说国家法律应该在国家法律中加以适用,同时需要国际公约的管辖。
网络安全必须尊重人权,这也是我们现在必须要考虑的政治环境,国家也必须要完成国际义务,意味着网络空间可以合作打击犯罪和恐怖分子。之前我没有遇到一件事,网络安全需要私营部门和公民社会适当发挥一些作用。我本人也参与到这个报告的书写,当时在这样写的时候不太了解真正的含义在哪方面,并不知道私营部门和公民社会到底发挥怎样的作用。现在有比较大的改变,我们知道国际社会中很多网络、空间当中负责任的行为需要重新定义,我们定义过程中要知道什么是负责任的行为,这也是接下来几年里我们遇到的挑战。
现在很多人都是在网络安全行业,国家出现了网络安全方面的新战场,我们曾经做过一个联合国的调查,发现46个国家已经启动了军事计划,其中12个国家已经制定了网络攻击计划,这个网络攻击计划包括对于股市或国家电网等方面的攻击,也就是说他们现在开始把网络当做武器。12个国家制定了网络供给计划,其他国家也有国防方面的能力,很多国家在这方面开始做得越来越好,而且以关键的基础设施为目标,看起来有越来越多的攻击是针对基础设施,这个过程中可能需要几个月的时间来进行规划,要写一写特殊的代码。不是有很多国家可以有这个能力针对关键基础设施做攻击目标,可能有8、9个国家,但随着发展会有新技术,军事用途也会逐渐使用这种新的技术,我们需要规则、投资,安全网络对中国是关键的,对其他很多国家也是这样。网络安全是未来经济成功的关键点。如果你不保护自己的网络和数据,可能你就会落后于自己的竞争对手。
这可能也是全世界网络安全是最重要的关系,因为中美是比较大的国家,他们之间的对立会成为网络世界里非常危险的事。两国已经展开了三年的试图沟通,这里的试图就是不是正式的。我们知道有美国的团队,也有中国的团队,我们的朋友有来自机构的专家们,还有来自外交部的,国家安全部以及麻省理工学院和警察专家,他们的参与不是正式的讨论,但这样我们的沟通更加简单一些。今年我们首次展开了中美之间正式对话,最早我们有外交会议,比如说我的名字叫James,和你交流一下网络安全问题,这种会议上大家交流一下名字,目前你们国家网络安全是什么状况。这里有一点,美国和中国能达成一致,需要有网络安全的福利,也要避免过程中有错误的计算,在网络方面不安全会议会影响更加严重的对立。
为什么它重要呢?因为双方来讲我们都需要网络技术,我们叫做“网络间谍黄金时代”,无论对中国还是美国来讲。你可以想象到,任何一个国家可能都有这种项目,当你参与到间谍项目中,这是非常大的空间,是个全球现象,它给我们带来了很大的风险,带来了紧张和危险。有些人看起来像是间谍,有些人看起来容易受到攻击,如何更好理解这个过程中的政策和协议,让我们尽可能避免计算错误的升级。这个过程看起来好像是比较困难的问题。
另一个比较严重的问题,中美有不同对于国家安全定义的差别,我在做讨论当中想到的一个论点是,在这种讨论中,其中有一个参会者说,在美国经济方面的间谍是犯罪,在中国不见得是这样。不同方面有不同的规则,这些规则我们有非常多的地方可以进行讨论。网络治理的概念现在有很多的讨论,说谁在控制因特网,有人说是美国控制了因特网,但我自己觉得,如果我们真的控制因特网你来告诉我怎么控制,没有人真正控制因特网,但规则方面不同国家,不同人们在使用因特网方面有很多讨论和辩论,很多人会谈到网络战争,有人会谈国家之间的网络战争,实际我不太相信这一点,实际这都是一种虚幻的,很多做网络攻击的人可能是攻击一些大型石油公司,这里我并不担心网络战争,担心的是一些错误的计算或谁来控制因特网的问题,这个答案实际没有人知道。我曾经参加了90年代的会议,关于电子商务的,当时很多人会谈到ICAN(网络合作),但我们认为ICAN是很没意思的,我说为什么我们要讨论这个?讨论别的东西吧。实际上网络方面对于ICAN的竞争也是关于控制方面的,它非常重要,对经济和政治都是如此。最难的一点是如何找到中美之间的共性实现合作,我认为非常有可能进行合作,因为我们有共同的利益。当然我们也存在着差异,我们现在刚刚启动的讨论可能要花一年时间才能够完成。
企业层面
现在全球很多企业低估了网络上的风险,到底用什么方式改变他们的想法呢?我与大型石油公司CEO进行了交流,他描述了网络安全系统太精彩了,所有东西都到位,没有问题。但是你要知道,在全世界每个企业可能都在做同样的事情,但还存在着安全问题,我就问他为什么你要花这么多钱来做网络安全呢?比如有些石油公司受到攻击以后损失达到6亿美元之多,我们真正要做的是使这些公司在风险方面多思考一些,你到底愿意花多少成本降低风险。我曾经与华尔街一些公司CEO进行交流,他们对网络安全并不太关注,认为我不太关注网络安全,完成我这一季度的财政业绩为什么要担心这个问题呢?我认为这是错误的态度,这个错误的态度是我们面临的,人们没有意识到风险所在,没有做出很好的判断,没有看到网络是非常脆弱的,没有看到它影响到国家的安全和经济。现在对我们来讲非常大的问题是,很多公司需要重新考虑网络安全重要性,如果你没有考虑网络安全的话,基本就是给你对手做补贴了。
过去几年里发生了一些变化,我们看到很多数据,关于这些攻击怎么进行的,这些数据存储在云当中,它存储在什么位置。现在有很多攻击是我们日常可以分析出来的,人们有很多的做法,我们也有未来最佳实践可以来分享。首先是做基本的检查,你有没有在系统上打补丁,在网络当中的态度是怎样的,你的人才有哪些?是不是重新更新过你的网络密码,现在是不是来购买了一些网络安全方面的服务,或者你们有自己的网络安全服务。这些商业决策都是你在做整个企业商业决策时要做的。这里需要找到一些合适的方法来很好地处理基本在网络安全方面的商业角色。这也是关于最佳实践、尽职调查,MIST,MIST是技术安全委员会,我们有这样的网络框架,你可能理解比较困难,或者想完全理解是不可能的,我们有一个版本好理解。这是网络安全框架。
ASD代表澳大利亚信号委员会或信号部,它就是ASA在澳大利亚的平行组织,他们有个缓解策略,我们知道下面可以通过这种策略来降低风险,我们对这方面也做了很多研究,我们把1400多个设备机器放在网上保护,基本上一天过程当中,1400个设备都受到了网络的攻击,他们应用了这个策略。后来发现如果我们使用这种缓解策略的话,这种感染率会降低到零,有的地方会有病毒的清楚,改善木马等等。云的策略怎么应用?我们服务当中也有一些决策,当然我们现在的情况不一样,因为我们可以说这是我们的网络安全当中非常重要的一部分。
我们谈到了三个巨大的改变力,都是和政治相关的,现在联合国网络安全方面会有协议,空域、海域会有治理,政府会做一些事情,使得这一切变得更加安全。我们现在有新的路径,美国也做了磋商,我从来没有看到这么多机构参与。我也和一些专家交流,每个国家都参与到一定程度的网络间谍活动当中,我们现在都知道这一点,所以就要考虑如何来更好地实现国家行为的约束,这不光是美国一个国家的问题,大家没有注意它也影响到了其他国家,可能基本上每个人都在做斯诺登这种事情。我们考虑到中国和美国这两个国家,现在有一些让我们欢欣鼓舞的现象,大家都愿意坐下来,面对自己的问题,试图找到方案,我认为我们还是在正确的路径上。
网络安全从三个方面的改进
第一,网络安全方面的规则。对于政府行为的规则何在,个人网络安全方面的规则何在。有了这样的规则,在国际社区里接下来15—20年有很多事情要做。
第二,网络空间更加正规化。这是比较特殊的一点,因为我们没有办法把网络安全和其他方面进行对比。现在全球有很多网络,很多商业基于这个基础之上,他也承载着国家的安全,在这样的全球网络当中,全球商业网络、航空网络,有很多的组织和个人使这个网络更加安全。这个过程中有很多探讨点,其中一个点是联合国的作用,ICAN的功能等等,这些都是不同的政治环境,我们可以讨论。我们现在正在向更好的条约或商业条约进行发展,
第三,没有人是绝对安全的。就好像斯诺登想告诉我们大家的,我们没有办法在非常大的情报机构面前变得绝对安全,在全世界任何一个角落。但我们知道美国不是独特的现象。
现在任何国家的人都没有绝对安全的,我们现在随着政治方面的变化可能会面临不同的威胁,我们现在可以充分地利用因特网来创造更加安全的网络空间。我现在是比较乐观的,也是在这方面做了很多的研究,现在没有把它叫做网络安全缺陷,那是在1992年的时候ASA就有这样的概念,如果我们把芯片放在每个人的手机或计算机里,可能芯片就这么大而已。如果我们做解码就可以适合因特网的安全,我认为这个概念是比较愚蠢的,所以就没有参与。
四年之后的1996年我又重新回来。芯片等更多的概念我们可以谈到,我们可以使用加密,可以使用IPv6,转向DNS等等,这都是从90年代开始的概念。所以我们可以相信第三方,会讨论更多新的举措,但我在讨论当中得出一个结论,这不见得完全是技术问题,必须要有政治解决方法。我们今年开始讨论政治解决方法,并且把大家的技术综合起来,使得网络更加安全。
谢谢!
