时间:2023-09-18 17:33:03
一、美国网络空间安全战略启示
(一)美国将网络空间安全由“政策”、“计划”提升为国家战略
美国在网络空间战略是一个认识发展的过程。首先是1998年的第63号总统令(PDD63)《克林顿政府对关键基础设施保护的政策》,紧接着2000年了《信息系统保护国家计划v1.0》。布什政府在2001年911事件后马上的第13231号行政令《信息时代的关键基础设施保护》,并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责国家的网络空间安全工作。并研究起草国家战略,于2003年2月正式《保护网络空间的国家战略》,又于2008年机密级的第54号国家安全总统令,设立“综合性国家网络安全计划”,该计划以“曼哈顿”(二战研制原子弹)命名,具体内容以“爱因斯坦”一、二、三组成,目的是全面建设联邦政府和主要信息系统的防护工程,建立全国统一的安全态势信息共享和指挥系统。
(二)美国网络空间安全战略进一步完善
2008年4月,布什总统了《提交第44届总统的保护网络空间安全的报告》,建议美国下一届政府如何加强网络空间安全。
2009年2月,奥巴马政府经过全面论证后,公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》报告,将网络空间安全威胁定位为“举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“数字基础设施将被视为国家战略资产,保护这一基础设施将成为国家安全的优先事项”,全面规划了保卫网络空间的战略措施。
2009年6月,美国国防部长罗伯特.盖茨正式命令建立美国“网络空间司令部”以统一协调保障美军网络安全和开展网络战等军事行动。该司令部隶属于美国战略司令部,编制近千人,2010年5月,美国网络司令部正式启动工作。
(三)网络空间国际和战争战略
2011年5月,美国白宫网络安全协调员施密特了美国《网络空间国际战略》,其战略意图明显,即确立霸主,制定规则,谋求优势,控制世界;同年7月,美国国防部《网络空间行动战略》,提出5大战略措施,用于捍卫美国在网络空间的利益,使得美国及其盟国和国际合作伙伴可以继续从信息时代的创新中获益。
2012年10月,奥巴马签署《美国网络行动政策》(PDD21),在法律上赋予美军具有进行非传统作战权力,明确从网络中心战扩展到网络空间作战行动等。
2013年2月,奥巴马第13636号行政命令《增强关键基础设施网络安全》,明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。
2013年4月,奥巴马向国会提交《2014财年国防预算优先项和选择》提出至2016年整编成133支网络部队,其中国家任务部队68支,作战任务部队25支,网络防御部队40支。
2014年2月,美国国家标准与技术研究所针对《增强关键基础设施网络安全》提出《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并为四个等级,组织风险管理进程。按网络安全风险程度不同分
2015年4月23日,美国五角大楼新版网络安全战略概要,首次公开要把网络战作为今后军事冲突的战术选项之一,明确提出要提高美军在网络空间的威慑和进攻能力。
不仅美国紧锣密鼓执行网络空间国际和战争战略,最近颁布的北约网络空间安全框架表明,目前世界上有一百多个国家具备一定的网络战能力,公开发表网络安全战略的国家达56家之多。
由此可见,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,这对我国网络安全提出了严峻的挑战,我们应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。
二、构建主动防御的技术保障体系
(一)可信免疫的计算体系结构
现在使用的计算机体系结构在设计时只追求计算速度并没有考虑安全因素,如系统任务难以隔离、内存无越界保护等,这直接导致了网络化环境下的计算服务存在大量安全问题,如源配置可被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击、非法接管系统管理员权限等。
可信计算是信息科学发展的结果,是一种新的可信免疫计算模式。可信计算采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。
对比当前大部分网络安全系统,其主要是由防火墙、入侵监测和病毒防范等组成,称为“老三样”。形象的说,这些消极被动的封堵查杀是治标不治本,而可信计算实现了计算机体系结构的主动免疫,与人体免疫一样,能及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质,使有缺陷和漏洞不被攻击者利用。。
云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境等新型信息技术应用都需要可信免疫体系作为其基础支撑。构建可信安全管理中心支持下的三重防护框架能够保障体系结构,确保操作行为、资源配置、数据存储盒策略管理的可信,达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果,如果有可信机制,“震网”、“火焰”、“心脏滴血”等恶意代码可不杀自灭。
(二)中国可信计算技术创新
中国可信计算于1992年正式立项研究并规模应用,早于国际可信计算组织(TCG,2000年成立)。
研究TCG可信计算方案发现其体系存在的问题有:(1)密码体制的局限性:TCG公钥密码算法只采用了RSA,杂凑算法只支持SHA1系列,回避了对称密码,由此导致密钥管理、密钥迁移和授权协议的设计复杂化,也直接威胁着密码的安全;(2)体系结构不合理:TCG的TPM外挂调用是一种被动体系结构,无法执行动态主动度量。
中国可信计算经过长期攻关,不仅解决了TCG的上述问题,还形成了自主创新的体系,其创新点包括:
(1)可信计算平台密码方案创新
采用国家自主设计的算法,提出了可信计算密码模块(TCM),以对称密码与非对称密码相结合体制,提高了安全性和效率;采用双证书结构,简化证书管理,提高了可用性和可管性。
(2)可信平台控制模块创新
提出了可信平台控制模块(TPCM),TPCM作为自主可控的可信节点植入可信源根,在TCM基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;TPCM先于CPU启动并对BIOS进行验证,由此改变了TPM作为被动设备的传统思路,实现了TPCM对整个平台的主动控制。
(3)可信主板创新
在可信平台主板中增加可信度量节点(TPCM+TCM),构成了宿主加可信的双节点,实现到操作系统的信任传递,为上层提供可信硬件环境平台;对外设资源实行总线级的硬件可信控制,在CPU上电前TPCM主动对Boot ROM进行度量,使得信任链在“加电第一时刻”开始建立;并利用多度量建立信任链,为动态和虚拟度量提供支撑。
(4)可信基础支撑软件创新
采用宿主软件系统+可信软件基的双系统体系结构,,可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,对宿主软件系统提供主动可信度量、存储、报告等保障。
(5)可信网络连接创新
采用基于三层三元对等的可信连接架构,进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别;对三元集中控管,提高架构的安全性和可管理性;并对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。
(三)解决核心技术受制于人问题
(1)中国可信计算产业化条件具备。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,“十二五”规划有关工程项目都把可信计算列为发展重点,可信计算标准系列逐步制定,研究制定单位达40多家,参加人员达400多,标准的创新点都作了技术验证,申报专利达40多项。不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并在国家电网调度等重要系统中得到了有效的应用。2014年4月16日,成立了中关村可信计算产业联盟,大力推进产业化、市场化。
(2)为全面替代国外产品打基础。2014年4月微软公司停止对Windows XP的服务支持,全国约2亿台运行XP操作系统的终端将面临无人服务的局面;而Windows 8和Vista(2006年政府明确不采购)是同类架构,升级为Windows8不仅耗费巨资,还会失去安全控制权和二次开发权。利用自主创新的可信计算加固XP系统可以方便的把现有设备升级为可信计算机系统,以可信服务替代打补丁服务,应用系统不用改动,便于推广应用。
基于开源技术发展自主操作系统是现实选择。经过20多年的攻关,我们在操作系统关键技术上有相当的积累和储备,这些技术积累主要是在开源操作系统基础上取得的突破。从继承的角度,我们需要选择开源作为技术路线;从发展的角度,目前也来不及重新编码形成一套完全新的操作系统,要共享人类知识财富,开源依然是现实选择。自主创新不是封闭起来搞安全,而是要充分继承和发展。
要做到“五可”“一有”:
可知:对开源系统完全掌握其细节,不能有不可知代码的困惑;
可编:要基于对开源代码的理解,完全自主编写代码;
可重构:面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系结构;
可信:通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;
可用:做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。
有自主知识产权:要对最终的自主操作系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。开源技术要受到GPL协议的约束,目前我国现有基于开源的操作系统尚未遇到知识产权方面的明显纠纷,但这仅仅因为这些系统尚无规模应用,一旦我自主操作系统形成气候,必然会面临这方面的挑战。
信息人才教育培养途径
1.学历教育
加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。
2.安全竞赛
信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。
3.单位内训
高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。
4.持续教育
信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。
信息安全人才教育培养所需条件
信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。
1.体系化教材
体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。
2.专业化师资
信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。
3.系统化实践
网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。
美国《网络空间国际战略》5月16日正式,该战略由总统奥巴马签发并撰写了前言。白宫国土安全及反恐事务顾问布伦南、国务卿希拉里・克林顿、司法部长霍尔德、商务部长骆家辉、国土安全部部长纳波利塔诺等政要都出席了会。
两个月后,美国国防部于7月14日首份《网络空间行动战略》。该文件主要介绍了美军在网络领域的战略计划,包括把网络空间正式列为与陆、海、空、太空并列的美军“作战领域”、变被动防御为主动防御、与私营企业乃至美国盟友协同作战等内容。
事实上,美国政府早就在关注国家网络安全问题。美国前总统布什就曾签署《国家网络安全综合计划》。这一计划的目标是通过提高联邦政府内部对网络漏洞、威胁和安全事故风险的认识,通过各级政府和私营部门的合作,提高全社会采取果断行动、减少漏洞并预防入侵的能力,强化未来网络空间安全。
经过多年的构建,美国政府已建立了六大维护网络安全专职机构,即隶属国土安全部的“美国计算机应急响应小组”;隶属国防部的“联合作战部队全球网络行动中心”和“国防网络犯罪中心”;隶属联邦调查局的“国家网络调查联合任务小组”;隶属国家情报总监办公室(ODNI)的“情报界网络事故响应中心”;隶属于国家安全局的“网络空间安全威胁行动中心”。但是,这种“九龙治水”式的体制显然不是一个高效率和有实效的网络安全体系。
奥巴马上任后对此现状颇为不满,进驻白宫后立即成立了“网络空间政策评估小组”,并在此基础上提出新的战略构想。
不久,奥巴马就采纳了评估小组提交的《网络空间政策评估报告》中的建议,设立与总统保持密切联系的“白宫网络安全协调员”,并成立“白宫网络安全办公室”,协调美国联邦政府所有军事和民事部门网络安全政策和行动。2009年底,美国还成立了“全国通信与网络安全控制联合协调中心”,其主要工作就是协调和整合六大网络安全专职机构,以提高跨领域的保护网络空间安全的能力。
在这些行动的基础上,美国政府推出了在篇首提到的体现奥巴马总统国家网络安全战略新思维的两项重要战略。重新定义的国家安全前沿
网络是一项非对称技术。廉价的计算机设备使我们的敌人不必建造昂贵的武器系统就能造成严重威胁。为此,许多外国军队和恐怖组织甚至黑客“个体户”,都具有网络进攻能力。美国政府已知有100多家外国情报机构正试图侵入美国政府和商业界的网络系统。更严重的是,一些敌对势力已拥有破坏美国关键基础设施的能力,亦即可与传统战争状态比肩的物理破坏能力。
美国国防部副部长林恩(WilliamJLynn)不止一次强调,美国政府必须重新审视网络安全技术。这类技术不应建立在“向后看”的基础上,即只能应对已经发生的网络威胁;而必须向前看,在充分利用现有的情报分析结果,围绕“未知”的威胁来开发新技术、制订新的战略。
实际上,美国人认为,维基事件之所以发生,是由于政府“忽视犯罪”(Criminal negligence)。在私营企业看来,负责监视信息安全的美国政府官员至少是“一只菜鸟”,因此,有必要重新定义“国家安全的前沿”。
与此同时,传统的威慑模式已失效。网络是一种对敌人具有吸引力的武器,因为很难确认网络攻击的来源,甚至更加难以吓阻。一次击键在Q3秒时间内即可环绕地球2周,但确认攻击者身份的司法取证则需耗费几个月。大多数的网络攻击不知其来源,因此,传统的威慑模式无法在网络上应用,需要一个能把进攻、防御和情报作战融为一体的威慑结构来应对当前和未来的网络威胁。
在理论上,美国国防部已确认网络空间是一个新的战场(domain 0fwarfare)。美国军方高层认为,与陆地、海洋、天空和太空一样,网络空间是美军必须能自由行动、有效进行作战的领域。
事实上,网络空间是惟一人造的、私有的和没有明确国界与领域的空间。然而随着军队日益完善的信息化和信息战的常态化,网络空间对军队有效开展军事行动具有特别重要的意义。军队必须确保自己在网络空间的行动自由,才能通过保持信息化优势来确保军队履行自己的使命。这也是网军司令部的主要任务。
网军司令部三大核心任务
美国的网络进攻和防御能力早已有之。海、陆、空三军和海军陆战队均已建立了自己的网络部队。但是,从总体布局看,进攻和防御功能之间没有紧密联系,而且无论在地理上还是在机制上摊子都铺得过大,因而实际效果不佳。
美国国防部长盖茨甚至认为, “网络机构规模的扩张已超越了军方现有的组织结构。因此,建立专门负责统一领导网络作战的军事司令部――网军司令部势在必行。”这样一来,从美国网军总司令到全世界的美军基层单位只有一条命令链。
2010年6月,盖茨下达命令组建单一的网军指挥部机构――网军司令部。网军司令部的核心能力是它能将情报、进攻和防御融为一体。在网络空间,击退攻击者的能力与发现安全威胁、预测入侵的能力是紧密相连的(如果把这三个功能分隔开来,网络安全工作就不能有效开展)。
目前网军司令部是美国战略司令部的一个组成部分。战略司令部的主要任务是指挥核武器作战与信息战。可见,美军已将网络战上升到与核大战同等重要的战略地位。
据美国国防部高层披露,网军司令部有三项核心任务:第一,领导军用网络的日常防务;第二,支持军事和反恐任务;第三,在国土安全部领导下,协助民用单位和产业合作伙伴开展工作。此外,网军司令部还要领导、规划和装备美军其他部队的网络安全业务以及培养合格的专业人才。
建立网军司令部后,美国国防部已按照网络战争的思路来安排其具体国防预算。例如,在传统军事领域,国防部可以在目标靶场以各种模拟方式演习军队的战斗力。但在网络空间,国防部尚未具备这种能力。所以,国防部先进研究项目局(DARPA)已按互联网模式开发了国家网络“训练靶场”。30多前,DARPA曾参与了互联网的开发和建设。训练靶场一旦投入运行,就可在网军投入实战以前测试新的武器和战术。目前美国国防部已确定网络将是各部队训练和装备的常态内容。
美认为进攻应占主导地位
美国军方认为,在网络空间,进攻应占主导地位。他们提出,构筑“堡垒”的想法起不了什么作用,网络不可能躲到防火墙的“马其诺防线”后面来保证安全。一个静态的、被动的和以取证为基础的防御系统已不足以保证网络的安全。
也就是说,美国军方认为,既然
进攻占主导地位,那么网络防御系统就必须是主动和动态的。网军必须在攻击一发生,甚至在攻击发生前,就能以网络速度对攻击作出反应。在美国,隶属于美国国防部的国家安全局(NSA)正是这类防御系统的核心力量。过去几十年里,NSA已拥有大量有关网络安全的知识产权,而其他政府机构,包括国防部和国土安全部在内,都能在不同的框架内利用NSA的积累的知识。目前NSA已开发了能进行主动防御的系统。这些利用国外情报来预测网络威胁的主动防御系统可以阻止占1096、2096的“档次”最高的网络入侵。当然入侵并不总是能在网络“边境”被发现,一些入侵不可避免地会逃脱侦测。一旦发现入侵者已进入系统内部,网络防御系统就必须在网络上“追捕”它们。
主动防御是网军司令部的核心作用。美国网军司令部将通过扩大敌情通报、系统测试、连续监控提高全军数字化知识水平来觌跨网络的主动防御。
美国寻求网络安全联盟
大量事实证明,网络空间已不是美国独来独往的区域。因此,连美国自己都认识到,建立集体网络防御体系是十分符合逻辑的结论,依靠联盟才是强有力的手段。
最近,林恩已陆续访问了北约组织总部、澳大利亚和英国,不久还将访问加拿大。网络安全是他这一系列活动的核心内容。
最近的例子是,7月19日在第二轮美印战略对话后美国与印度签署了关于网络安全的合作协议。
各方面的信息表明,美国正在试图开发一个共享警报和共享技术的国际系统。集体网络防御系统与美国已经建立的全球防空系统和导弹防御系统类似,通过它们可以尽早发现更多的攻击迹象,及时采取应对措施从而大大改善美国的网络防御能力。
许多迹象显示,集体防御的概念是美国网络战略的核心部分。美国认为,所有国家应有责任对网络实行实时监控,应强制互联网服务提供商检查登录数据和追究罪犯。如有国家、组织或企业不服从相应规范和法律,可对其实行国际网络制裁(Cyber Sanction)或其他有效行动。
理论尚未成熟
目前在网络战理论体系中,如何构成网络攻击和对敌对势力的威慑方法仍未明确,各国对于什么是以武力相威胁或使用武力总是存在不同意见。
另外,网络战还将面临许多法律难题的挑战。例如,美国国防部正在研究对海外敌对地区发动网络攻击的相关法律问题,因为有的敌方网络攻击来自中立的第三方,甚至利用了美国本国的基础设施。又如,如何在仍然尊重其他国家中立性的同时发动网络战;网络战在何种程度上可以作为武装冲突的先导;是否允许国防部在海外开展秘密的网络战行动以支持军事行动等,也都是无法回避的法律难题。
【 关键词 】 网络安全;保障体系;战略;措施建议
【 中图分类号 】 TP393.08 【 文献标识码 】 A
Improve Our Country Cyber Security System based on the Experience of Advanced Countries
Feng Wei
(CCID Think tank, China Center of Information Industry Development Beijing 100048)
【 Abstract 】 With development of new Information Technology and application of Internet, main countries have paid much more attentions on cyberspace than before. However, network security has been the threshold of the development of cyberspace. To this end, more than 50 countries or unions, including USA and EU, have released the strategies related to network security, in order to strength the capability of ensuring network security. It is necessary to draw experience from advanced countries to improve the security capability of China. In this paper, we will firstly analyze the network security situation of China and other countries. Secondly, we will introduce the strategies, practices and experience of USA, EU, Russia, etc. Finally, some suggestions are proposed in order to strength the network security capabilities of China.
【 Keywords 】 network security; guaranty system; strategy; suggestion
1 引言
1.1 网络冲突不断发生
随着网络空间地位的日益提升,世界各国逐步明确在网络空间中的核心利益,不断加大在网络空间的部署,爆发部级网络冲突的风险不断增加。联合国裁军研究所2013年6月份的调查结果显示,已有46个国家组建了网络战部队。2013年马来西亚与菲律宾、韩国与朝鲜之间爆发了网络冲突,“叙利亚电子军”更是掀起了不对称网络战的序幕。
1.2 网络安全事件的影响不断扩大
随着信息化的深入发展,网络空间的重要程度日益提高,各类网络安全事件的影响程度不断扩大。一方面,各类网络犯罪带来的损失不断增大,英国民政事务委员会在2013年7月30日的报告称,英国2012年网络犯罪带来的损失约达18亿英镑。另一方面,黑客逐步加强对网络媒体、基础网络等影响较大的部门进行攻击,欧洲网络与信息安全局在2013年9月份的网络威胁态势中期报告显示,网络攻击已经成为导致电信基础设施中断的第六大原因。
1.3 新技术新应用安全威胁日益突出
随着信息技术的快速发展,新技术新应用层出不穷,云计算、移动互联网、大数据等领域的新技术新应用带来了新的网络安全问题。一方面,新兴技术带来新的安全隐患。2013年8月15日,Google开发者证实安卓操作系统加密架构存在漏洞,严重威胁安卓手机安全;10月4日,Adobe云端服务平台遭到黑客攻击,致使290万用户的ID和密码信息被盗。
另一方面,新兴技术成为恶意网络攻击的帮凶。2011年4月,黑客通过亚马逊EC2服务租用了一台服务器,并利用该服务器对索尼在线娱乐系统发动攻击,导致1亿多索尼用户个人账户信息被盗。2013年持续发酵的“棱镜门”事件显示,美国国家安全局(NSA)和联邦调查局(FBI)能够直接使用谷歌、微软等公司的庞大数据资源,通过数据挖掘、关联分析等手段获取所需情报。据悉,美国国家安全局约1/7的情报来自“棱镜”项目,且该项目已成为美国总统“每日简报”的最大信息来源之一。
1.4 西方国家加大对我国的网络遏制
西方国家一直试图恶化我国国际环境,将我国树为国际社会在网络安全领域的公敌。一方面,西方国家大肆宣传“中国网络”。2013年1月底,美国《华尔街日报》、《纽约时报》、《华盛顿邮报》等几家报纸纷纷发表报道称受到来源于中国的黑客攻击。2月份,美国网络安全公司Mandiant报告,称近年美国遭受的网络黑客攻击多与中国军方有关。5月份,英国媒体称中国军方曾多次试图窃取英国最先进隐形战斗机的秘密情报。6月份,日本情报分析机构称,过去一年日本政府和企业遭受的黑客攻击有60%来自中国。10月份,具有浓厚政府背景的美国Fireeye网络安全公司报告《世界网络大战:理解网络攻击背后的国家意图》,指责中国对全世界发动网络攻击。在该报告中,中国黑客简直无所不能,不仅能盗取美国F-35战机设计数据,还能轻易入侵谷歌、英特尔等企业的信息系统,甚至能对纽约时报、华尔街日报以及华盛顿邮报进行高级可持续攻击。
另一方面,西方国家通过多种形式打造网络同盟,试图在我国周边构建网络空间包围圈。例如,美韩于今年7月份就网络安全和网络政策展开对话。英日于7月4日签署了国防装备合作框架和信息安全协议。9月22日,日本政府与东盟(ASEAN)计划于2014年起确立相关合作机制,当相关国家电脑终端遭到黑客攻击时,采取共同应对措施。
2 重点国家在网络安全建设方面的主要做法
随着信息技术的应用普及,网络与信息系统的基础性和全局性作用日益增强,网络已成为一个国家的重要战略资源。网络空间安全已成为国家安全的重要内容,世界各国高度关注并积极采取措施提高其网络安全保障能力。美国、欧盟、俄罗斯、印度等主要国家和地区加强网络安全建设方面的有几种做法。
2.1 出台网络安全战略规划
将网络安全看作国家当前和未来面临的一项急迫而严峻的挑战,并将网络安全上升到国家战略层面加以对待,纷纷加强战略谋划,制定网络安全战略。如2011年5月美国的《网络空间国际战略》,集中阐述了美国对网络空间未来的看法和目标,明确了美国今后着力推进的政策重点和行动举措;2013年2月欧盟的《网络安全战略――一个开放、安全、可靠的网络空间》确立了欧盟维护网络安全的原则,明确了各利益相关方的权利和责任,确定了下一步优先战略任务及行动方案。
2.2 完善网络安全组织架构
为适应飞速变化的网络安全威胁,纷纷设立统筹协调和管理机构,明确相关部门的网络安全职能。
一方面,设立网络安全总体协调机构。英国2009年设立网络安全办公室,负责协调政府部门关系,在网络安全事务方面具有战略领导力;美国2009年设立总统网络安全协调官,负责领导白宫网络安全办公室,协调处理所有涉及网络安全的相关事务;日本将国家IT战略本部作为网络安全的最高指挥机构,负责全面协调网络安全工作。
另一方面,细化和明确各部门网络安全职责。在俄罗斯,科技委员会负责网络安全标准、评估和检验,联邦通信与信息部负责产业计划和规划,联邦安全局负责网络安全监管等工作,外交部负责在国际社会推动俄提出的网络空间行为规范;在美国,国防部负责与军事和情报等相关的网络安全工作,国土安全部负责网络与关键基础设施相关的网络安全工作,商务部负责网络安全标准制定等工作。
2.3 加强网络安全管理
通过出台政策文件、标准规范等方式,明确网络安全管理要求,加强网络安全管理力度。
一方面,明确网络安全管理要求。2010年12月法国了《计算机管理风险控制手册》,指导政府机构和企业加强网络安全管理;2011年11月日本了《军工企业防止黑客攻击新要求》,重点对军工企业的网络安全防护作出规定。
另一方面,重点加大对政府信息系统网络安全保护力度。2010年6月美国了《联邦信息系统供应链安全风险管理指南》,指导政府机构有效应对供应链风险;2010年8月德国禁令,禁止所有政府工作人员使用包括黑莓和苹果在内的智能手机,防范移动互联网带来的网络威胁。
2.4 重视网络攻防建设
网络空间已经成为领土、领海、领空和太空之外的第五空间,已成为国家竞争的新焦点。主要国家和地区纷纷加快组建网络战部队,加强网络攻防建设。
一是组建并扩充网络攻防部队。2009年6月美国正式创建网络司令部,负责协调网络安全以及指挥网络战,其网络部队总人数已达7万人以上;2011年4月韩国组建国防部直属的网络司令部,其网络部队人数超过1000人;此外,俄罗斯也组建了网络战部队,队伍规模高达7000人。
二是建立网络安全基础设施。美国早在2004年就启动研发以“爱因斯坦”计划为核心的网络防御系统,建设“国家网络靶场”、“网络空间安全数据中心”等网络安全基础设施;2010年10月英国启动建设部级网络实验场,为演练网络入侵和防御提供模拟环境。
三是加快网络武器技术研发。日本防卫省开发出一种病毒武器,可以在受到网络攻击的情况下,反向探测攻击路径并对攻击源进行打击;美军已研发出2000多种计算机病毒,2013年5月美国空军将6大网络工具定性为“武器”;英国政府通信总部(GCHQ)的网络安全行动中心正在开展网络武器研发计划,目的是确保英国数字基础设施在遭遇网络袭击时有更多的攻击性选择。
四是开展网络攻防演习。美国早在2006年就开展了网络风暴演习,2013年还分别举办了网络防御演习和网络一体化测试;2010年6月法国举行了应对大规模信息系统袭击的演习活动;2011年12月德国进行了模拟网络演习;2012年10月欧盟举行了关于如何应对针对公共设施和金融系统网络攻击的演习。
2.5 加快网络安全立法
在网络安全新形势下,主要国家和地区都认识到法律法规在保障网络安全方面的重要作用,纷纷评估现有法律法规,加快立法调整。
一是制定或修订网络安全基础性法规。印度的《信息技术法》是该国网络安全基础性法律,该法律在过去十几年中一直在根据需要不断修订和完善;美国的《联邦信息安全管理法》是其在网络安全方面的基础性法律,美国在2013年通过《联邦信息安全管理法修订法案2013》,对国土安全部等部门及相关机构在网络安全和信息安全方面的职责进行了整合、调整。
二是重视关键基础设施保护立法。欧盟早在2009年就通过了《加强欧盟关键基础设施(CEI)保护指令》,旨在评估基础设施重要程度,加大保护力度;2013年美国《关于提高关键基础设施网络安全的行政命令》和《关于关键基础设施安全与容灾的总统令》,用法律手段对关键基础设施进行保护。德国2013年起草了《信息技术安全法》,借助法律约束力,强制关键基础设施运营商、电信服务商等切实负起保护关键基础设施的责任。
三是推动网络犯罪相关立法。2004年生效的欧洲委员会《网络犯罪公约》,是全世界第一部针对网络犯罪行为的国际公约,已经成为打击跨国网络犯罪的主要依据之一;2011年6月日本颁布的《为应对信息处理高级化而对部分刑法内容所作的修正法案》界定了网络犯罪行为,明确了惩罚措施。
3 加快我国网络安全建设的措施建议
美国、欧盟、俄罗斯等主要国家和地区在加强网络安全建设方面做了诸多尝试,探索了一些共性的、好的做法,这些成功经验值得我们学习和借鉴。结合我国网络安全实际,参考国外经验,完善我国网络安全保障体系应重点做好以下各项工作:
3.1 尽快制定国家网络安全战略
应认识和评估当前我国网络安全各项工作基础,深入分析我国面临的网络安全形势和存在的主要问题,针对性地制定符合我国国情的国家安全战略。明确我国网络空间的根本利益和目标,细化网络安全主要任务,制定发展策略和时间表,全面指导我国网络安全建设。
3.2 加快完善网络安全组织管理架构
应建立健全具有中国特色的网络安全组织管理架构,细化各部门职责。一方面,尽快明确中央网络安全和信息化领导小组职能,至少包括:统筹和协调国家网络安全顶层设计、研究和决策国家网络安全重大问题、规划和指导国家网络安全基础设施建设等;另一方面,进一步理顺和界定各部门的网络安全管理职责,明确安全测评、网络外交、宣传培训等专项工作的归口管理部门,建立部门间配合机制,构建中央决策统一、各部门分工明确的管理架构。
3.3 全面构建网络安全积极防御体系
应构建具有反制能力的网络安全积极防御体系。一是积极应对网络战威胁,加快网络空间防御战略研究和体系构建;二是建立网络部队,发展网络国防力量。三是加强网络空间防御建设,发展平战结合、军民结合、攻防兼备的网络空间力量;四是建设国家网络空间战略预警和积极防御平台,实现对网络攻击威胁的全局感知、精确预警、准确溯源、有效反制,提升对部级、有组织网络攻击威胁的发现能力;五是建设国家网络空间攻防实验环境,组织开展多种形式的网络空间攻防演练,提高攻防能力。
3.4 打造自主可控网络安全产业生态体系
自主可控网络安全产业生态体系是网络安全保障的基础和前提,为此,一是要发挥举国体制优势,支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发,实现关键技术和产品的技术突破;二是要在核心技术产品研发基础上,联合产业上下游企业,形成完备的产业链环境;三是要坚持以应用促发展,支持政府部门和重要领域采用具有自主知识产权的网络安全产品和系统,加速国产化替代进程。
3.5 优化网络安全法律环境
为优化网络安全法律环境,一是要统一相关部门立法思路,明确网络安全未来立法方向或规划;二是要充分评估现有网络安全相关立法,通过法律修订、出台司法解释等形式,增强现有法律的适用性;三是要针对立法需求迫切的领域,如关键基础设施保护、政府网络安全管理等,按照优先顺序加快制定专门法律,明确相关保护制度、相关主体的法律责任和义务。
参考文献
[1] 张金辉,王卫,侯磊.信息安全保障体系建设研究.计算机安全,2012,(8).
[2] 肖志宏,杨倩雯.美国联邦政府采购的信息安全保障机制及其启示.北京电子科技学院学报,2009,(3).
[3] 沈昌祥.构建积极防御综合防范的信息安全保障体系.金融电子化,2010,(12).
[4] 严国戈.中美军事信息安全法律保障比较.信息安全与通信保密,2007,(7).
[5] 杨绍兰.信息安全的保障体系.图书馆论坛,2005,(2).
[6] 侯安才,徐莹.建设网络信息安全保障体系的新思路.现代电子技术,2004,(3).
资助项目:
本课题得到国家高技术研究发展计划(863计划)No.2012AA01A403支持。
1998年4月出版的SP800-16第一版首次提出IT安全连续学习统一模型,并设计基于角度和表现的培训模型。该模型按政府工作人员的职能将受训人员分为6种角色,即管理人员、采购人员、设计与开发人员、操作人员、检查测评人员以及普通使用人员。模型针对这6种角色设计了3个基本的培训领域(法律和法规、安全项目管理以及信息系统安全),并为此设计了安全培训课程框架,提出了培训有效性的评估方案。2009年3月NIST了SP800-16的第一次修订草案。一是明确信息安全培训职责,即对涉及信息安全培训的机构领导、首席信息技术执行官、高级机构信息安全官、管理人员、培训设计专家、对信息安全负有重要责任的人员以及用户等7类人员的职责划分。二是在信息安全培训课程的学习层次上强调知识水平的连贯性。三是对第一版的基于角色的培训提出了一个教学设计模型,即针对政府人员的信息安全需求,依次进行需求分析、课程设计、课程开发、培训实践和教学评估等五大环节,这使得信息安全的培训可以迭代改进。2013年10月NIST了对SP800-16的第二次修订版本草案,这次修订中首次提出了网络空间安全培训,因为美国2010年4月启动了《国家网络空间安全教育计划》(NationalInitiativeofCyberSecurityEducation,NICE),该计划旨在通过促进教育和培训来改善人的网络行为、技能和知识,从而增强美国整体的网络空间安全。这意味着美国政府已着手于将网络空间安全上升到国家安全的战略层面上来。2013年版的改动有以下几个方面:一是强调信息安全意识的培训应当在网络空间的背景下进行设计;二是在信息安全培训的目标对象中加入了对重要信息技术和网络空间安全负有责任的政府工作人员;三是对信息安全培训的评估体系进行了细化,即明确提出了评估培训的4个目的。不到半年时间,NIST再次了SP800-16的第三次修订草案,这个版本改动较小,主要是在信息安全培训的组织责任中加入了网络空间培训管理员/首席学习执行官。其职责包括:一是确保培训教材针对具体人员进行设计;二是确保培训教材对目标人员的有效性;三是为信息安全培训提供有效的反馈信息;四是对信息安全培训教材进行及时更新;五是重视培训效果的跟踪和汇报。
2NIST特别出版物版本演变带来的启示
纵览美国历时17年对信息技术安全培训指南的修订过程,其发展特点如下:首先,该指南进行了顶层设计,即提出IT安全连续学习统一模型,设计基于角度和表现的培训模型,对需要接受信息安全培训的目标对象进行角色划分,按照角色需求从法律法规、安全项目管理以及信息系统安全3个领域进行课程设计,初步提出了课程的评估框架。此后的3个版本都是在该体系结构下,从角色划分、培训领域和课程评估方法等3个方面进行充实、完善。其次,该指南具有可扩展性,即该指南的最初版本就设计了连续学习统一体,为培训对象的知识结构发生变化后,如何满足其信息安全的知识结构留下了足够的学习空间。第三,该指南的实时更新性,即结合信息安全领域的新技术,对培训目标对象和培训课程进行实时更新。如在美国NICE计划颁发之后,指南很快在培训环节增加了对国家网络空间安全的培训内容。目前,我国的信息安全教育工作主要侧重于专业技术人才的培养,对涉及使用信息系统的广大普通用户的相关信息安全常识的教育重视不够,更确切地说,对公众的信息安全常识教育的计划和实施体系尚未建立。我国有关部门应该参照NISTSP800-16和SP800-50出台适合我国国情的有关信息安全常识和培训纲要的规范指南,以便完善我国的信息安全教育的完整体系,推进提高全民信息安全意识和技能的工作,为构建我国信息安全保障体系提供人员安全素质方面的基础保证。
3结语
一、中美两国在网络空间的关系建构
在建构主义的理论视角下,中美两国在网络空间的关系结构是由两国之间的互动而建构成的,这种关系结构是由观念组成的一种主观的社会现实。在美国的传统对华政治文化观念下,美将中国视为挑战其国际主导地位的潜在崛起国,并将这一观念延伸至网络空间领域。另外,随着中国在网络空间力量的崛起以及两国在网络空间关系互动的深入,中国持有的与美国差异较大的互联网治理理念、对于国际网络空间的看法和立场,以及近年来两国在网络信息安全问题上的摩擦,则进一步放大了两国在网络空间冲突的一面,加剧了两国间的不信任及紧张状态。因此,在网络空间领域,“担忧”和“不信任”始终笼罩在美国社会各界的对华观念之中,这便是美国对华网络空间战略共有观念的主要内容。
两国之间的观念认同决定了中美网络空间关系的命运和走向,因此在当前两国互不信任,甚至是存在较大担忧的共有观念下,两国在网络空间的关系难以得到根本性的改善。另外,建构主义意义上的结构是动态的结构,行为体可以建构一种结构,也可分解这种结构并建立另外一种由不同观念组成的架构。因此从中长期来看,中美两国在网络空间关系的改善取决于中美关系的整体氛围及发展走向。在建立中美新型大国关系的指引下,两国需要在各领域进行更多的合作和对话,通过增信释疑逐渐改善相互持有的观念,进而重构出符合大国利益的不同于当前的较为紧张的关系结构,而这一重构过程注定是较为曲折和漫长的。
中国于 1987 年开始接触互联网,1994 年实现与互联网的全功能连接。在政府的主导和积极推动下,中国的互联网走上了赶超型的发展道路。可以说,经过这二十多年中国政府的精心培育和业内人士的开拓创新,从整体而言,当前的中国已是全球网络空间领域具有一定影响力的网络大国。与此同时,互联网在中国经济社会发展中的作用也越来越大。据波士顿咨询集团2012年3月的报告《G20国家的互联网经济》,2010年,互联网经济已经占到 G20(二十国集团)GDP 总和的 4.1%,而中国的这一比例高达5.5%,在G20国家中,贡献率仅次于英国和韩国位列第三;排名第四五为的日本和美国,数值均为4.7%。另外,中国的互联网经济已跃居该国六大行业板块之列。另据中国互联网络信息中心(CNNIC)于2015年2月的中国互联网络发展状况统计数据:截至2015年初,中国的互联网用户数量已达6.49亿个,网络普及率高达47.9%。整体而言,在中国政府的积极推动下,当前中国的互联网发展已开始从注重“数量”向注重“质量”方面转化,互联网在中国社会经济中所发挥的作用不断提升。中国未来还将进一步发挥互联网对经济社会发展的积极影响,力争发展成为“网络强国”。在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议上,就明确提出了建设“网络强国”的宏伟目标。这充分显示我国最高层领导已将互联网建设及安全问题提升至与领土等同的战略高度。
基于对华观念认知和战略定位的问题,中美之间在网络空间关系的建构远早于中国接入互联网之日。1994年4月20日,中国通过美国运营商Sprint公司连入互联网的64K国际专线开通,实现了与互联网的全功能连接。但早在1990年,中国就与美国国家科学基金会等相关部门商谈接入国际互联网一事,但均被以“安全”为由拒绝。美国当时的理由是:互联网最早是由美国军方网络与美国国家科学基金会的网络合并而来,因此上面有很多美方所认定的机密内容。可以说,美方早在中国对互联网进行物理性接入之前,便已开始对华防范,而导致这一问题出现的根源,正是美国在观念认知和战略定位方面对华的不信任和敌视。
而后随着互联网普及形势的势不可挡,以及美方对互联网在信息传播这一工具性应用方面重新认知,美国的态度出现了变化,认为在中国推广互联网接入一方面可为美国蓬勃发展的硅谷行业带来巨额商业利益,另一方面也可以基于互联网在信息传播渗透方面的便利性,将现实世界的“和平演变”那一套做法应用到互联网上,以期实现所谓“改变中国”的意图。在克林顿时期担任美国国务卿一职的奥尔布赖特就曾断言:“中国不会拒绝互联网这种技术,因为它要现代化。这是我们的可乘之机,我们要利用互联网把美国的价值观送到中国去。”然而由于中国政府在发展和管理互联网方面实施的两手抓、两手硬策略,贯彻“积极发展、加强管理、趋利避害、为我所用”的发展方针,在中国的互联网事业获得迅速发展的情况下,中国政府在互联网治理工作方面也取得了较好的成效,中国并未出现美国所期待的那种“变化”。
二、中美两国在网络空间冲突不断的根源探究
中美网络空间关系的初始互动一开始体现出某种程度上“互利共赢”的安排。美国思科、IBM等企业积极入华拓展事业,在获取巨额利润的同时,也在客观上带动了中国互联网行业的兴起。这一方面说明了中国市场的广阔,美国资本的独到眼光和能力,以及美国在网络空间的雄厚实力及强大控制力。另一侧面也反映出中国基本接受了美国在国际互联网技术架构、链接协议等方面的主导及安排。中国没有实力也没有意图挑战美国在互联网世界中的主导地位,中美两国在网络空间中基本维持着一种“非对称”的均衡关系。而随着中国网络事业的突飞猛进,以及中国网络治理能力的增强,两国在网络界定、网络安全问题以及美国对华市场开放等方面的矛盾日益凸显。
2010年初发生的谷歌退出中国市场事件,是中美两国在网络空间缺乏战略互信的首次外化。这一事件展现出美国在网络安全等问题上对中国的整体定位,以及中国对美国在网络空间对华战略意图的认知,即美方质疑中国是否支持或对美发起部级黑客攻击,中国关切美国是否利用互联网资源及技术优势对华从事网络渗透破坏活动。而近年来频频发生的中国黑客攻击炒作,则进一步暴露出两国在网络空间缺乏有效的战略沟通。显然,以网络安全为代表的互联网治理问题已经超越了单纯的技术性领域,成为了在心理层面影响中美战略互信的重要议题。
中美在网络空间的观念差异以及利益冲突,实则是中美两国结构性矛盾在网络空间的映射。中美两国的结构性矛盾主要集中在政治、经济、安全三方面。政治上,中美两国实行不同的政治社会制度,而这种不同制度的差异是基于社会主义与资本主义的意识形态对抗;上升至网络空间,美国利用互联网对中国实施的意识形态渗透和信息技术窃密,即是两国政治结构性矛盾在网络空间的延续和放大。经济上,中国不断崛起的经济实力已被美国视为挑战其主导国际经济贸易体系的潜在对象,而随着互联网经济在全球经济占比的提升,美国认为中国飞跃式发展的互联网产业已对其网络空间的经济技术垄断构成了威胁,这也是美国千方百计在其市场乃至全球市场对华为、中兴等中国互联网信息技术企业展开围堵的动力之一。在安全上,中国在亚太地区话语权的不断增加,以及呈现出的新兴崛起大国之势,对美国这一守成霸权国构成了天然对立。对于中国倡导的和平发展道路,美国一直以呼吁中国做一个负责任的大国、炒作中国军事国防建设不透明等给予回应,凸显美国对中国在改变国际体系力量分配意图上的猜疑与防范。相应的在网络空间,近年来美国政商经界极力炒作的中国网络,即体现了美国对于维护其在网络空间既有秩序的焦虑和紧张。
首先,在对网络空间的基本认知方面是中美两国的最大冲突,两国对互联网是否具有这一问题持迥然不同的主张。美国基于历史继承的技术、资源优势,根据其实际需求及行动方便与否,不断变化有关网络空间方面的主张,先后提出了网络空间为“全球公域”、“全球连接领域”、“美军行动领域”等概念。从这些主张中可以清晰地看出,网络空间的属性在美国人眼里完全是一个可以随时变换的功利性概念,即网络空间对于他国是“公海”而面向美国则是“领海”。如此一来,美国既可继续拥有对网络空间的控制权,又可根据自己利益需求的变化,随时在这一领域里保持行动自由。而中国在尊重网络空间具备全球公共属性的前提下,也明确了网络空间治理事务所具有的性质。2010年6月,中国国务院新闻办了一个名为《中国互联网状况》的白皮书。该白皮书明确提出了“互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国管辖范围,中国的互联网应受到尊重和维护”。由此,中国依法、独立治理互联网事务的做法,在美国观念中就成为对互联网信息自由流通的进行限制、干预,成为威胁美国互联网自由,威胁美国网络空间霸权垄断地位的“敌视”做法。
其次,对于互联网基础资源管理和国际网络秩序治理主体,两国的立场和观点也较为不同。基于在网络方面的立场,中国主张联合国及国际关系准则适用于网络空间的国际治理,倡导发挥联合国等国际权威组织在国际互联网治理秩序中的作用,呼吁通过国际合作建立一个和平安全且开放合作的网络空间,以及多边民主透明的国际互联网治理体系。而基于在网络空间的既有利益,美国一贯反对联合国等国际政府间权威组织“染指”ICANN等国际根服务器及域名管理职责。2014年3月,虽迫于国际压力美国做出了“移交”ICANN主要职能的决定,但却为这一移交过程设定的严苛且模糊的条件,即要求由“多利益相关方”承接这一职能,明确反对联合国相关机构承担这一责任。而众所周知,基于强大的实力,美国要在所谓的“多利益相关方”中占据主导,乃至控制性地位应可谓“理所当然”、“易如反掌”。此外,对于中国、俄罗斯等向联合国提交的呼吁建立多边、透明和民主的互联网国际管理机制等倡议,美国也明确表示反对,甚至还无端批评相关提议有违“互联网信息自由流动”、有损“言论自由”等国际法精神。
再次,在具体的网络空间战略诉求方面,美国一方面希望保持针对互联网基础资源及互联网科研技术的控制和领先,积极防御互联网关键基础设施及重要系统的安全,维护美国在网络空间的垄断利益;另一方面也希望借助互联网的工具性应用,运用军事、外交理念打造美在网络空间的主导优势,重塑美国主导的网络空间国际秩序。为此,美积极主张和维护“互联网自由”,即全球单方面的对美“信息自由流动”,以方便其以保护国家安全、打击恐怖主义为幌子,通过发展“棱镜”、“星风”等监控项目对全球互联网信息流通的元数据进行搜集和监控。而中国则是希望借助互联网推动本国国家建设和社会生产生活的发展,推动建立和平安全的网络空间,以及民主、透明的国际互联网治理体系,以将互联网的弊端降至最低。
中美两国在网络空间的观念和认知上较大偏差,加剧了两国在网络空间战略互信方面的严重缺乏。而战略互信的缺失,则会导致两国在利益权衡方面产生误判,无法做出客观、理性的选择,从而进一步加深了两国的认知差异,特别是在网络空间这种分歧矛盾容易被放大的领域。如美频频的毫无根据的所谓中国黑客攻击言论,不仅无助于解决问题,反而给中美两国在网络空间开展的试探性合作造成极其负面的影响。诚然,中美两国在互联网管辖等问题上存在着明显的分歧,但在打击网络恐怖主义、网络犯罪等关乎两国国家安全及经济利益的实际问题,还是存在着共同利益。这是两国可以就网络问题开展一定程度合作的前提,也是中美可以就网络安全问题展开交流磋商的基础。
三、中美两国应逐步提高在网络空间的战略互信
国家间的战略互信是指相关方为减少针对彼此间的战略能力与意图,以及重要行为产生的误解,降低相关方在重大问题上产生的非理性冲突风险,而在双边及多边关系中采取的共同努力以及在这一努力基础上形成的积极预期。从根本上看,战略互信是一种非零和博弈,互信相关方并不意味着不存在现实矛盾,而是能够较为客观地认知冲突,进而为矛盾和冲突的共同解决提供可能。中美在网络空间观念和认知上存在的较大偏差,加剧了两国在网络空间战略互信方面的严重缺乏。而战略互信的缺失,则会导致两国在利益权衡方面产生误判,即无法做出客观、理性的选择,从而进一步恶化两国间的认知差异,特别是在网络空间这种分歧矛盾容易被放大的双边领域。如美频频的毫无根据的所谓中国黑客攻击言论,不仅无助于解决问题,反而给中美两国在网络空间开展的试探性合作造成极其负面的影响。
在美方的提议下,中美两国元首曾在2013年6月举行的首脑会谈中就网络安全问题进行了磋商和交流,并将网络安全议题纳入中美战略与经济对话框架之下,在中美战略安全对话中成立网络安全工作组。可以说在两国的共同努力之下,中美在网络空间互信沟通的初级机制已经建立。但由于美国方面对于中国认知方面存在的严重偏见,使得这一初级机制的架构基础极其不稳定。在美国架空这一沟通机制、无端发起对中国军方人员的所谓诉讼之后,中国方面也给予坚决的回应,中断了中美网络工作组的交流。
在当前网络高度普及的情况下,网络空间问题与网络行为体利益之间的交织具有较强的关联性和直观性,致使网络矛盾较易被激化、放大、夸大乃至煽动。应该注意的是,在美国政府的不当操控下,美国政界、舆论界及公众在网络空间的对华认知方面存在着较为强烈的偏见,而且这一偏见有进一步恶化的趋势,这对中美两国在网络空间构建战略互信,乃至对整体中美关系的正面互动都构成了威胁。应该认识到,中美两国在网络空间中存在的问题,并不是某一具体问题的功能性问题,而是涉及中美两国关系,乃至整个国际体系战略观念调整的重大问题。在当今全球化的背景下,国际争端领域问题的有效治理都是依靠全球各相关方的积极参与,以及主要大国之间的协调平衡来实现的。
互联网一方面受到传统政治观念的约束和影响,但另一方面却是新的战略关系孕育、萌生的摇篮。中美在网络空间此起彼伏的冲突和摩擦,虽然会对双方推进新型大国关系构建的努力造成影响,但从另一角度来看,中美在其他领域的互信度也很低,而网络空间这一新领域恰好可以给两国试水合作提供平台。中美两国在网络空间能否和谐共处,主要还是取决于中美能否在既有观念以及利益协调等各方面做到互相尊重、互信谅解,从而建立两国均能接受的互联网行为准则。
“和则两利,斗则俱伤”,这是中美两国建交近半个世纪以来最为深刻的经验。两国可以先从共同打击网络犯罪问题、加强网络反恐信息共享等方面入手,不断拓宽两国的共同利益,拓展两国在网络空间共识,而这一合作顺利开展的前提是美国应摒弃网络空间的冷战思维及短视利益,主动减少和消除对华偏见。诚然,健康有序的网络空间符合中美两国,乃至全球各国的利益,而在全球一体化下日益复杂的网络攻击及网络犯罪问题也亟需国际合作来共同解决,只有在两国针对彼此担忧的观念得到较大改变的情况下,中美在网络空间的良性互动才能从根本上进行建构。
参考文献:
[1]周琪,汪晓风. 网络安全与中美新型大国关系[J]. 当代世界,2013,11:30-34.
[2]赵启正. 中国面临的国际舆论环境[J]. 世界知识,2004,05:54-57.
[3]沈逸. 数字空间的认知、竞争与合作――中美战略关系框架下的网络安全关系[J]. 外交评论(外交学院学报),2010,02:38-47.
[4]刘庆. “战略互信”概念辨析[J]. 国际论坛,2008,01:42.
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
