2015年12月16日至18日,中国国家主席习近平赴乌镇出席第二届世界互联网大会。
第一届世界互联网峰会去年刚刚在乌镇创立并永久落户。这是第一个中国自己主办的讨论全球网络治理与安全的峰会。
在去年的最后一天,中央网络安全和信息化领导小组办公室(国家互联网信息办公室,下称“网信办”)官方网站“中国网信网”上线运行。
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。中国国家网络安全战略呼之欲出。
今年到明年是全球网络空间治理监管权限转型的关键节点,中国应该怎么管理互联网?
就整个网络空间问题,中国最大的、最主要的利益是什么?目前,从国家安全的层面来看,面临哪些类型的威胁?这些不同类型的威胁相互的严重性,如何排序?从技术层面说,应对国家级网络安全威胁的手段主要有哪些?我们在不同的、有代表性的情境下对这些手段如何选择?
澎湃新闻第五期“外交学人政策坊”特邀具有战略、技术、军方背景的学者举行了主题为“中国国家网络安全战略:争论与共识”的研讨,就上述问题进行了深入讨论。
尽管学者对中国国家网络安全战略的威胁和应对手段有不同的看法,他们的共识是:中国制定国家网络安全战略时应更外向、更具国际视野,应充分预估技术进步的速度,并形成与之相匹配的管理思路。
本次政策坊由复旦大学网络空间治理中心、北京邮电大学互联网治理与法律研究中心、澎湃新闻联合主办。
参加学者
北京:
李欲晓(北京邮电大学教授、互联网治理与法律研究中心主任、中国网络空间安全协会(筹)秘书长)
郝叶力(国家创新与发展战略研究会副会长、原总参四部副部长)
肖新光(安天首席技术架构师、教授级高工)
上海:
蔡翠红(复旦大学国际问题研究院副教授)
鲁传颖(上海国际问题研究院助理研究员)
沈逸(复旦大学网络空间治理研究中心副主任)
汪晓风(复旦大学美国研究中心助理研究员)
杨珉(复旦大学软件学院973首席科学家)
一、目标的界定
中国国家网络安全战略的目标是什么?讨论可大致分为“内部安全派”和“外部安全派”。
内部安全派的观点认为,中国国家战略应以国家生存和国内稳定为优先选项,“我们应该让网络的发展持续地、安全地、稳定地往前走”(李欲晓)。
外部安全派的观点则认为,尽管中国国内政治安全非常重要,但战略的制定需要考虑中国国力的上升,网络安全也要与国家总体发展目标和路径相匹配。因此,中国国家网络安全战略的目标应该是“用网络技术提升中国整体实力,缩短与中国主要战略竞争对手之间的力量差距”(沈逸),进而“在网络空间具有一定的引领和示范、争取机制性的话语权、地位”(郝叶力)。同时,需要在建设“网络强国”这一中长期战略目标的指引下,制定一定周期的战略规划(汪晓风)。
两位技术人士的看法更倾向于后者。他们认为,网络安全的目标“应该重视整体的系统性安全问题”(杨珉),“网络安全战略的目标应该与网络强国的目标相匹配,不是简单地追寻网络自闭和域的安全,而是反过来,要成为发展、崛起、战略保障、发展前进的支点”(肖新光)。
当然,关于目标的界定并不是非此即彼的,最后的表述一定是“辩证和平衡的……在互联互通的同时要尊重主权;发展和安全是一个平衡;处理好自由和秩序的关系;一面自主自立,一面开放合作”(蔡翠红)。
李欲晓:中国发展到今天这个体量,网民数量占全球的20%以上,从基础设施的规模、整个市场以及网上的应用、服务来看,我们都是一个首屈一指的大群体和大市场。在这种情况下,我们仍有将近7亿的国民不是网民,我们还有巨大的网络空间需求。我们应该让这个网络的发展持续地、安全地、稳定地往前走。
郝叶力:在全球网络空间治理、网络空间新秩序的构建中,中国要做负责任的大国,在网络空间具有一定的引领和示范、争取机制性的话语权、地位,我们应该在这方面有所作为。这是我们应有的大战略目标。
沈逸:中国国家网络安全战略最主要的战略目标应该是:用网络技术提升中国整体实力,缩短与中国主要战略竞争对手之间的力量差距。如果以此为评估标准,我们的政策是有利于缩短还是事实上扩大了这种差距?
对中国来说,网络技术带来的是两方面的变化:一方面可以提升我们的信息实力,促进我国的信息化,另一方面,我们需要防范外部力量对我国社会的不良影响。
但我们在维护网络安全的同时不应忘记,最终中国的国力是要往上走的。如果为了获得安全而停下,或者跟战略竞争对手的差距拉大了,不发展才是最大的不安全。
我认为目前出现的最大问题是,把网络安全本身当成了国家利益的全部,这可能会带来问题。
汪晓风:网络安全战略有可能是第一个国家层面的安全战略,应考虑战略制定的周期问题,时间太长不能及时反映形势变化,时间太短则不利于政策实施。个人认为以五年为一个周期来考虑网络安全战略的制定比较恰当,时长和五年计划以及一届政府任期相符。
网络安全战略服务于建设“网络强国”战略目标,“网络强国”是一个与“两个一百年”奋斗目标同步推进的中长期战略,距离建国一百周年即2049年中国要成为网络强国还有三十多年,应该说目标是明确的、可期的。
五年之内所要达成的目标是什么?现在一些阶段性目标已经提出来了,比如“安全可控”,银行业提出建立应用安全可控信息技术的长效机制,其中安全可控的信息基础设施和核心软件应用到2019年要达到75%。
中国的网络战略面临两个问题,一个是安全,另一个是发展。网络恐怖主义的蔓延是当前我们面临最迫切的安全问题。另外,“互联网+”行动计划也可以和网络安全战略相结合。
蔡翠红:其实以前的模糊战略对我们来说也是有利的,在一些立场上可以采取相对比较灵活的处理方式。
我认为之前戴秉国讲的中国核心利益同样可以用于网络安全利益。他认为,我国的核心利益有政治安全、主权安全和领土完整、经济社会持续稳定发展。这是比较清晰的界定,我们可以对应到网络安全的利益界定,比如,网络空间对政治稳定的威胁、网络主权以及“互联网+”。
与美国对照,中美网络安全目标最大的不同是:美国是以威胁来界定网络安全,中国是以发展来界定。美国本身是网络空间的先占者,处于霸主地位,它处理的威胁是其他国家对他的优势造成的威胁。中国则更关注自身的发展、以自我的角度来界定。
但是在理解和讨论的时候,目标被更多地理解为一种辩证和平衡。鲁炜的观点挺好,他认为,在互联互通的同时要尊重主权;发展和安全是一个平衡;处理好自由和秩序的关系;一面自主自立,一面开放合作。
杨珉:我从事技术研究,总体而言,国内在信息安全高水平人才培养上还是比较落后,尤其是在代表最高研究水平的信息安全顶级学术会议上,鲜有来自国内学者的论文。这与其他领域国内学者的巨大进步形成很大的反差。与此同时,在网络空间安全一级学科的建设过程中,对这种现状的纠偏还远远不够,而学科评估的指挥棒对学科建设和人才培养具有非常强的导向作用。
这就让我想到了很多东西。国家对网络安全问题十分重视,但从中长期的角度看,这种评估方式对中国的网络安全人才的培养带来很多问题。一方面我们很焦虑,我们不知道在技术上怎么支撑我们的网络安全战略;另外一方面,在能力的建设上一开始就施加了限制。网络安全研究的目标应该重视整体的系统性安全问题。
肖新光(Seak):一方面,网络空间安全领域是我们国家当前发展所面临的严峻挑战,是超级大国支撑其全球利益和对潜在对手进行遏制的主要发力点。但另一方面,网络空间安全不是安全的全部,网络安全要从服务于大国整体战略和国家发展的角度来制定、验证和评价我们的战略目标。
在这种情况下,网络安全对应的场景不是孤立的,是与国家总体发展目标和路径相匹配的。当前,从国家发展的整体任务上来看,我们要实现中华民族的伟大复兴;从网络安全对位的领域特点来看,我们要实现网络强国。
我在《开放博弈方能网络强国》一文有这样的解读,“网络强国”伟大目标的提出,绝不只是从“网络”这个领域内由“大”变 “强”,而是把网络空间作为中华民族复兴的发力点和支点。而“没有网络安全就没有国家安全”的准确判断,也绝不仅仅是一种自保,而是建立“攻防兼备”的威慑。网络安全战略的目标应该与网络强国的目标相匹配,不是简单地追寻网络自闭和域的安全,而是反过来成为发展、崛起、战略保障、发展前进的支点。
我们当前面临着依托“一带一路”投入到全球博弈、投入到全球市场进取、投入到全球市场格局再造之中。我们目的应该是要为全球供应链、信息链和服务体系的变革做出更大贡献,从而增加自己对上述三点的主导能力,改变超级大国以剪刀差垄断式收割互联网国家红利的局面。
假如我们没有这种雄心,只是认为在网络安全上需要封闭自保,那么网络安全所起到的作用就不是保障我们向全球市场空间的进取,不是保障中国的全球利益,不是通过的服务体系和信息体系驱动一个在中国崛起场景下的新的大国关系形成,而是会拖慢我们信息化进步。
所以说,当前在网络安全领域究竟是确定与我们总体战略意图相匹配的目标?还是把网络安全当作孤立领域来确定“乌托邦式”的封闭目标?将是中国在网络安全战略问题上的主要分歧和挑战。
二、威胁的来源
互联网给中国带来的头号威胁(风险),是不良内容还是对关键基础设施的攻击?讨论同样可以粗分为两派。
内容派认为,境外非法、不良信息、病毒的涌入是头号威胁,若不加管理,不仅会扰乱国内社会、毒害未成年人(李欲晓),还给网络恐怖主义提供可乘之机,“因为我们现在处于转型期,面临很多威胁,例如‘三股势力’”(蔡翠红)。“我们不要看到表面的基础设施威胁,更要注意政治安全问题、国家主权的问题”(郝叶力)。
攻防派认为,相比网络内容的安全,网络关键基础设施更值得关注。“如果哪一天出现了敲一个键就造成基础设施损坏的案例,我们可能才会慢慢明白,敲键盘对基础设施安全造成的威胁,可能比发一个帖子造成的威胁更大”(沈逸)。同时,数据信息的泄露也属于“看不见的威胁”(杨珉)。
技术人士基于对实际情况的了解,给出了“凯撒归凯撒,上帝归上帝”的不同看法。他们认为应将“‘网络安全威胁’和‘依托网络实施的对国家安全的其他威胁’”区别对待(肖新光)。
限于篇幅,以下仅提供肖新光观点摘录。
肖新光(Seak):网络安全威胁本身是一个相对专业的术语,对于网络安全的表达国际上也有一些通行的规范。我认为我国当前不应混淆“网络安全威胁”和“依托网络实施的对国家安全的其他威胁”。
一定程度上来看,网络安全层面威胁与通过网络来进行的意识形态、价值观领域的博弈是两个不同的博弈域,两者间的规律和方法是有差异的,如果能把这两个领域分开、理清,有利于我们在这两个领域分别采取合乎相关领域规律的做法。无限扩展网络安全的外延,不利于做好网络安全。
如果仅就我个人所从事专业领域对口的网络安全威胁对抗检测的角度来看,中国与美国等发达国家所面临的网络安全威胁是有明显差异的,这种明显差异是在社会发展阶段上的差异,信息化程度的差异。
对比中美在信息化发展的特点,美国是信息化全面普及,社会相对均衡发展的特点,由于它即较早的完成了工业化,同时又是信息技术的本土,因此无论是相关的基础工业领域还是新兴的网络技术方面,都起到了全球领跑者的作用。美国最早进入到以信息化引领工业化,而不是以信息化助动工业化的轨道,其网络安全技术也同步成长。德国这样的发达国家也以工业革命为基础持续发展,因此其工业提前走入工业4.0并不足为奇。
从信息技术和信息化的基础场景角度,中国的情况应该分成以下几个层次:
1.在信息新技术的应用与跟进方面,中国相对来看是比较积极的,甚至有些领域是超前的,但并不表明中国在这些技术领域中占据了主导地位,在很多方面是属于先跟跑再尝试赶超的模式。相比之下,这种“趋势跟跑、微观创新、总量超越”的模式,是我们相对比较成熟的模式。我们不应对这种模式审美疲劳。
2.在互联网新模式的引导和应用当中,中国是非常活跃的。在这些模式下产生了如BAT等互联网巨头企业,他们也将在未来的国家安全体系和大国对抗中扮演既重要又微妙的角色。
3.在社会基础设施建设中,从上一轮90年代互联网高速公路建设中,中国初步建设了一个初步发达并便利的网络体系。但这些年来看在一定程度上有发展乏力感,网络基础设施、带宽速度等与其他发达国家相比产生了一定的差距。
4.在党、政、军等关键需要防护领域中,既有提升效率、加强战斗力所产生的信息化发展诉求,也有因网络安全产生的畏首畏尾、消极保守的态度。
5.在传统领域中信息技术的应用还不够快,不够成体系,没有完全达成用信息技术推动这些领域的发展,这也就是中国互联网+的巨大意义。
6.相对于其他信息技术的严重缺门和短板,中国在网络安全领域基本形成了可以自己有所突破的相应领域,无论反病毒引擎、云安全、终端防护、安全网关、流量监测、移动安全等领域,基本有全面的技术和产业积累,其中部分单点已经达到国际先进水平,但大部分能力点不够精专,大部分安全企业缺少鲜明的能力特色。但总之:国内网络安全产品和网络安全技术与国际比较,没有明显的门类科目上的短缺,有一些技术工程能力方面差异,同时也在部分领域(比如安天的移动安全引擎、360的安全大数据利用方面)已经走到国际前列。
正是基础场景的上述六个不同的特点,决定了中国所面临的网络安全威胁是一个层次非常复杂的,在不同领域和场景面临不同威胁的情况。
同时我们还需要看到,网络安全需求是细分的,层次化的。
个人、企业机构与国家三者之间有相关联但不同的安全诉求。我在《赛博战略的层次与支点》一文中曾提出,
“当前我国对网络安全需求的认识较为机械,缺少层次假定。如国家层面的需求主要表现为:可控性、可见性,数据聚合的方向,国家秘密保护等;
企业机构层面的需求主要表现为:可部署性,可管理性,成本,应用环境,商业秘密保护等;
个人用户层面的需求主要表现为:使用习惯,便利性,隐私,个人身份和数据保护等。
这三个层面相互关联、但也有相互平衡的关系。
在国内来看,这三个层次的诉求与国外存在比较大的文化和差异。如果我们与美国比较,则国内整体个体用户网络安全状况,特别是个人用户的隐私状况是高度不乐观的。由于缺少必要的法规保障以及有效的执行与监督,当前存在互联网厂商、运营商等对公民个人信息的过量采集,被采集信息又不能获得保管,导致大量的信息被拖库,从而使海量的数据流失在地下黑产中,成为了网络违法犯罪的“大数据基础设施”,这个体系不仅严重的危害了公民个体权益,也严重侵害到企业机构和国家的安全。个体比较重要的一些权益当前得不到有效保障,不仅客户端软件进行流量劫持,而且运营商包括设备厂商,甚至是少数网络安全设备厂商都进行流量劫持,如给网民访问中注入广告弹窗等情况,这不仅会影响了网民使用体验和网络应用效率,同样会对重要人员和机构设施的安全带来隐患.
相关基础设施的混乱也必然危害到在整个网络信道所连接的企业机构,包括一些政府部门的相应安全。从个人用户安全来看,特别是个人信息和隐私的状况,我们当前处在一个整体缺少保障的状态。
在整个信息技术和互联网更发达的美国,也同样面对值得关注的隐私采集和泄露问题,但是存在有效的约束和博弈机制,使超量采集、超量使用和数据流失问题没有国内严重,同时期其信道方面的安全情况是好于我们的。
从企业机构当前来看,缺少强有力的安全责任约束,导致企业机构出现重大网络安全事故后很难追责,企业机构在网络安全的投入不够积极。
从国家安全角度来看,相对于超级大国非常强大的网络攻防双向能力,我们尚缺少足够的强壮的网络安全基础设施、产业体系和人才团队等等。
所以总体上说,我们遇到的网络安全风险是复杂多维的。
三、应对的手段
如何应对上述威胁?一种看法是建立中国自己的域名体系,另起炉灶,但这种做法的可行性受到了技术人士的质疑:“要增加根服务器也是可行的,有处于试验阶段的办法,但是改变现有体系非常伤筋动骨,目前没有谁会轻易地为此付出代价”(杨珉)。那么,在不得不和全世界一起玩的情况下,李欲晓提出了三方面措施,基本可涵盖众学者的提议。
李欲晓:我们的战略措施可包括三方面:1、增加国家实力,及消除威胁、控制风险(这部分包括建立网络国防力量,保障关键基础设施和重要信息系统安全、增强基础网络自助可控、健全法治环境、提升综合实力);
2、营造对中国有利的网络空间国际环境和国际规则;
3、把握今后一段时间内对我国较为突出的热点、焦点、难点问题,明确我国今后构建全球网络空间规则中坚持的原则和核心利益,拓展可以用来灵活使用的力量。
汪晓风:一个国家维护国家安全的常规手段有经济、军事、外交、情报等。我对网络安全的预期,是希望在总体网络安全战略目标框架下,由若干职能部门来负责实施,当然也需要网络运营企业和网络用户的参与。各职能部门在网络安全战略指引下去推动、制定各领域有助于实现网络安全的技术创新和经济发展的政策,部门之间的分工协作也很重要。
就军事手段而言,我建议提出发展网络防御能力,即应对外部大规模网络攻击的能力,这种能力建设是必须的、重要的。同时需要妥善处理网络空间防御能力建设与我们关于“网络空间非军事化”原则立场之间的关系,需要与我国奉行的防御性国防政策相适应。
从外交方面,我们也在强调规则塑造能力和规则制定主导权,这要求中国自己制定的互联网治理政策要有吸引力,要系统化,体现和平衡各方面的诉求,才能够得到更广泛的国际认同和接受。
四、战略的评估
与美国的战略评估相比,中国并没有战略评估公开的传统,多以部门小结形式出现,汪晓风建议,中国应设置第三方评估机构,但事实上,要对战略进行评估,短期来看比较困难。这一差异背后反映的是“我国公共政策评估机制较弱”的现状(沈逸)。
汪晓风:以美国为例,美国政府定期对各种战略政策的实施成果和效果进行审查,从联邦总审计署到各部门审计办公室是具体负责政策评估的部门,其职责范围与我国审计部门类似,但审计重点并不是财务审查,而是业绩审核、项目评估、政策分析等。
对于网络安全战略实施情况的评估,除了政府部门,还需要有相对独立的第三方参与。美国国会研究署和一些重要研究机构进行的战略评估往往比政府的审计报告更有针对性,更能发现实质性问题。中国也应有独立于政策决策和执行部门的机构来评估战略的执行情况。
沈逸:这其实是一个大问题。不只是网络安全战略,我们的公共政策评估机制的确处于相对较弱的水平,部门内部的评估是以工作小结和工作评估的形式出现,但像纪委这样从外部、相对独立的角度对政府公共政策进行评价,会牵一发动全身,的确很难。
李欲晓:《网络安全法(草案)》既然规定了“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,我觉得国家网络安全战略的评估可能也是由网信办来做。
国家安全委员会、军队和网信部门之间,我想肯定是相互配合、相互支撑、相互支持的关系。因为这是一个整体的国家未来发展战略,网络相关也并不仅仅是指在网络方面,中国各个方面都应该走向强盛和复兴,这个强盛和复兴并不是指对别的国家产生威胁,而是我们有充分的能力保护我们自己的权利。
在这个过程中,军队作为国防力量去保护国家的安全,保护人民财产安全,是责无旁贷的。国家安全委员会负责统筹协调,也是它的职责范围之内。网络空间的安全、管理、信息化发展都是中央赋予网信办的职责。肯定都是各负其责,相互支持的一个过程。