据美媒报道,尽管6月20日特朗普叫停了对伊朗的军事打击,但他同意了对伊朗的网络攻击。网络攻击的目标包括伊朗情报部门和导弹发射系统。这不禁让人想起2010年的震网事件,彼时美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,造成伊朗核电站推迟发电,伊朗国内则有近500万网民、及多个行业的领军企业遭此病毒攻击。
网络攻击一直是美国的惯用手段,眼下中美贸易战仍在持续,美国不仅挑起关税大战,甚至还试图四处点火,延烧至科技、网络等领域。在如此氛围下,中国网络安全态势如何,如何维护国家网络安全?全球框架下,各国就互联网发展管理的合作将走向何处?
观察者网就此采访了中国信息安全研究院副院长、国家网络安全应急专家组成员、外交部网络外交专家咨询委员会委员、国家网络空间安全重点研发计划责任专家左晓栋。以下为采访全文:
【采访/观察者网 朱敏洁】
观察者网:最近国家发布《2018年我国互联网网络安全态势》的报告,有数据显示中国遭受的网络攻击主要来自美国,您作为网络安全领域的专家,长期以来在这方面有何观察体会?另外,美国也曾称自己遭受的网络攻击中来自中国的最多,您如何看待双方在舆论场上的攻防?
左晓栋:国家计算机网络应急技术处理协调中心每年都会发布年度互联网网络安全态势报告,历年数据均显示,美国是中国受到的网络攻击的主要来源国,且呈愈演愈烈之势。这个结论有翔实的数据支持,且与斯诺登曾爆料的美国“棱镜计划”等情况一致。美国的确反复强调其自身“受害者”角色,称其主要受到来自中国的网络攻击。这更多是一种舆论造势,此类“贼喊捉贼”的伎俩在美国发动的几次地区冲突中屡见不鲜。
从原理上讲,这个问题有其复杂性,单纯纠缠于数字没有意义。其中既涉及到攻击认定标准、规则(美国国防部曾把来自中国的每一次网页访问认定为一次“攻击”),也涉及到攻击溯源等技术难题,所以有人曾提议由联合国成立网络攻击调查权威机构。
但有一个基本事实不容回避,有相当多的网络攻击是利用技术优势,特别是利用提供产品和服务的便利条件而实施的。目前我们对美国的产品、服务仍高度依赖,核心技术依然控制在美国人手中,谁更有条件和能力发起攻击一目了然。美国极力打压中国的高科技企业,本质上是因为中国企业在5G上的领先优势将削弱美国的监听能力。用户都用你的产品,不用他的产品了,他还怎么监听?
观察者网:目前,网络攻击形态多样,最棘手的是什么?中美贸易战之下,中国网络安全面临着什么新挑战?中国在应对各种形态的网络攻击方面有何措施?
左晓栋:网络攻击主体多元,目的各异,手段多样,勒索软件、拒绝服务、APT(高级持续攻击)等都给我们带来了很大威胁,很难说哪种攻击更“棘手”。从后果角度而言,值得高度重视的是关键信息基础设施受到的攻击,即对能源、通信、交通、金融等重点行业的网络与信息系统的攻击,以及对国家秘密、重要数据和个人信息的窃取。
任何一种攻击,我们只要能发现就还不是最坏的情况。最大的风险是,敌人已然得手而我们还毫无察觉,“谁进来了不知道、是敌是友不知道、干了什么不知道”。习近平总书记指出,“感知网络安全态势是最基本最基础的工作”,这是近几年我国大力推进网络安全态势感知系统建设的原因。
中美贸易战带给了我们更多关于网络安全的思考。例如,美国一些组织和官员常以世贸规则质疑我们的网络安全政策,认为美国产品在中国重点行业的应用受到了限制,中美在这个问题上多年来持续磋商,我们的一些政策也因此做过调整,但今后的谈判“画风”可能就会不一样了。
还例如,国内围绕美国是否会对我们“断网”有过激烈争论,有人认为在全球化时代这种极端情况根本不会出现,但“断供”已经对此给出了答案。坚持底线思维,增强忧患意识,这应当成为今后我国网络安全工作的一项指导思想,也必然会对后续国家网络安全政策制定带来重大影响。
观察者网:近日,蓬佩奥又对中国网络安全指手画脚,声称“只要使用华为通讯技术,隐私和数据保护无法得到保证”,美国一直抹黑华为安插软硬件后门,以信息安全为由怂恿盟友抵制华为,又对企业的商业行为进行约束等等。您作为网络安全业内人士,能否对公众解释一下所谓的安插软硬件后门究竟是怎么回事?您对美国的这套说辞有何评价?
左晓栋:“后门”是指系统中预先设置的,可用来绕过安全机制而获取对系统访问权的方法。“后门”不是某种单独存在的物体,例如软件后门,其无非也是源代码中的一部分,和正常的代码只有功能上的区别。通俗地说,某人想拿到一份重要文件,需要经过门卫、门锁、红外探测等安保措施,但如果这个房间有个后门,那他直接进去拿文件就可以了。理论上,厂商都有条件在设计产品时设置后门。但如果因此就怀疑厂商,这就和怀疑所有拿得动菜刀的成年人都是杀人犯一个道理,显然是十分荒谬的。
我记得,我国政府某部门印发了一份信息化工作文件后,外媒立刻炒作“中国政府要求企业留后门,要对银行进行侵入式检查”,甚至奥巴马的网络安全助理丹尼尔当时也为此发言批评中国。我随中方专家团访美时,中方代表曾当面问丹尼尔:“中方文件中哪一段文字有这层含义?据我们所知,你不是IT专业出身,你如何得出‘侵入式检查’这个结论?”丹尼尔当下无法回应。以我的亲身经历看,在网络安全专业问题上满嘴跑火车的美国官员太多了,真相对他们不重要,要脸只能拥有一张脸,不要脸才可以拥有全世界。
观察者网:中美双方也曾针对软硬件后门问题互有指责。从国家网络安全角度来讲,如果要进行筛查,成本十分高,现在类似工作的开展情况如何?我们现在强调软硬件设计、制造全流程自主可控,但这也会带来问题,比如短期内怎么办,怎么做到成本可控?而且网络本身具有国际化属性,在自主可控和全球供应链之间肯定存在矛盾,对此您有什么看法?
左晓栋:发现后门确实很难,特别是对操作系统等大型软件,通读一遍人家的源码甚至都已经成为难以完成的任务,更不要说在上千万行代码中发现几行特殊功能的代码,况且人家还不一定能给你源码。
广义而言,这属于供应链安全问题,各国政府都面临巨大挑战。为了回应外国政府的疑虑,华为公司采取的策略是增强透明性。例如,在英国成立专门机构,源码交给英国政府审查。华为某外籍高管最近称,华为是世界上接受审查最多的公司,这个结论可以成立。大家都知道美国国会曾经审查华为、中兴,实际上这是华为、中兴主动要求的。但美国国会无意关注中国公司的技术安全性,而是从企业有党委、创始人曾经是军人等角度评估认为中国企业不安全,这是“欲加之罪何患无辞”。
抛开这种“冷战”思维,保障供应链安全有很多国际通行的措施。例如,对开发环境提出要求;防范产品在运输、安装过程中被篡改;尽可能选择商业现货产品;通过第三方采购,避免厂商知悉最终客户。这种一系列综合性的举措,最终目的是最大化地降低后门攻击风险。尤其是在涉及国家安全领域,很多国家都已经建立网络安全审查制度,采取更严格的措施。
2017年6月1日,我国试行了《网络产品和服务安全审查办法》,最近根据形势需要对该办法作了修改,正在公开征求意见。文件提出,要考虑产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性,还要考虑产品和服务提供者受外国政府资助、控制等情况。
现在社会上有一种认识,认为在已然发生断供的情况下,我们必须实现全面自主可控,不能指望同国外合作。但“自主”不能是闭门造车,而是必须坚持开放创新,不能搞义和团式的盲目排外,我们的不可靠实体清单制度、国家技术安全管理清单制度都不是为了排斥国外。维护国家网络安全必须具有具备全球视野和开放心态,我们要紧紧抓住和把握新兴技术革命带来的历史性机遇,这一点丝毫不能动摇。特别是在当前局势下,我们更要发出支持多边贸易体制、反对贸易保护主义的声音,并进一步提高开放合作质量、深化合作内涵,利用美国“退群”的契机引领世贸规则的重构。
观察者网:您曾在采访中举过一个例子,在世界互联网大会现场,有些外宾竟然不敢使用主办方发的小米手机,这些年来类似情况有所转变吗?现在美国用同样的理由打击华为5G时,您熟悉的外国朋友中对此看法如何?
左晓栋:我不认为这种情况有了本质改变。我看到一些号称“中国通”的外国人,他们来中国拿个玻璃杯喝水都怕什么地方安装了窃听器。这是“以己度人”还是真的无知?两种因素可能都有,更不要说普通外国人了。对中国的偏见不仅仅存在于网络安全领域,政治、经济、军事、文化等领域莫不如此。这不是靠我们解释就能够澄清的,因为我们不可能叫醒装睡的人。
在中美贸易战中,一些美国人频繁玩弄“双重标准”。我常常想,他们知道那是双重标准吗?他们当然知道,但他们认为,对待中国就是应当采用双重标准,那是天经地义的。回望历史,我们度过了挨打的时代,也度过了挨饿的时代,我们最终都是通过发展解决了问题。现在处于挨骂的时代,发展依然是破局的唯一方法。
现在全世界都在讨论华为的安全性,这不是坏事,因为在这种态势下,西方国家依然没有能够拿出华为不安全的证据。虽然还不能下结论说西方普通公众已经消除了对华为安全性的担心,这需要一个过程,但总体趋势对华为有利。美国对华为的打压显然是一种政治行为,早已超出技术范畴,西方普通公众对这一点已经看得很明白,很多人惊讶于美国政府的无底线操作,特朗普“成功”吸引了普通公众的注意力。得道者多助,失道者寡助,历史会作出选择。
观察者网:关于网络安全定义,西方国家认为信息技术及互联网发展对国家政治和社会心理产生影响不属于网络安全,但中国认为是,所以双方无法商谈相关问题。目前,西方时有发生恐怖组织等通过社交媒体煽动或制造恐慌,或是假新闻试图影响选举,西方舆论也开始要求社交媒体进行干涉,您对这种趋势有何看法?西方现在对网络主权的观点如何?
左晓栋:当年联合国成立信息安全政府专家组、讨论共识文件时,各方首先在两个基础性问题上产生了严重分歧。一个是关于网络安全的定义,西方国家反对把互联网信息内容安全列进去,只愿意讨论信息技术的安全。问题的实质是,一些国家要通过互联网推行“颜色革命”、干涉他国内政,他们不允许主权国家对互联网进行管理,要求各国政府保证互联网上的信息完全自由地在流动。
另一个是关于网络安全威胁的类型,如黑客、病毒等。这看起来根本不是个什么大问题,但居然也一度“卡壳”。因为美国坚持要把“代理人”列为一种单独的网络安全威胁。这是在含沙射影,目的是把网上的黑客、犯罪组织等同中国政府关联起来,指责他们是中国政府指使或假扮的,是中国政府的“代理人”,以迫使中国政府为此担责。事实证明,商业窃密正是本次中美贸易战的核心议题之一,美国为了制造这一议题早已处心积虑。
近年来,有两件事情令西方国家自我“打脸”。一是恐怖主义威胁加剧,互联网成为宣传暴恐思想、组织暴恐行动的平台,西方国家不堪其扰;二是一些西方国家认为其选举结果受到了网上虚假新闻的影响,甚至指责别国通过互联网干涉其选举。这时候他们坐不住了,纷纷采取措施,例如美国迅速通过了《反外国宣传法》。当然,这不意味着西方国家对互联网治理的基本立场发生了根本改变,他们本来就擅长玩弄双重标准。但迫于形势,西方国家已经不再简单地否认网络空间主权,只是对“网络主权”有不同解释。
在这场关于互联网治理模式的博弈中,很多发展中国家逐步认清了美国等西方国家试图构建“网络霸权”的真实目的,越来越认同中国的网络主权主张,认为中国特色治网之道体现了中国智慧,为构建网络空间命运共同体贡献了中国方案。
观察者网:您曾提到中美就网络安全基本问题仍存在分歧,比如美方认为商业窃密是非法网络攻击,但军事行动和间谍情报是合法网络攻击,后者是维护国家安全为目的。这次中方报告中也指出,网络攻击包括对工业控制系统的攻击,如中东某石油天然气工厂因遭恶意软件利用设备漏洞攻击而停运。您对这一分歧有何具体看法?截至目前,中美在该问题上是否有所进展?
左晓栋:中美贸易战开打以来,美方一直纠缠于商业窃密问题。一些人可能会有疑问,不搞商业窃密难道不是应该的吗?但问题不是这么简单。我们要分析两个背景。一是,美国在全世界实施监听,大肆发展网络部队、激化网络空间军备竞赛,严重威胁全人类和平与安全。二是,美国多年来持续指责中方对美进行商业窃密,污蔑中国的经济发展成就得益于对美知识产权的窃取。
他为什么“贼喊捉贼”呢?我们知道,网络空间是人类生活的新空间,这个新空间的规则目前还很不健全。这就如同大马路有了,现在需要把人车右行的交通规则确定下来。这个话语权显然很重要,美国于是急不可耐地给全世界提了一条“交通规则”:网络攻击分为两种,一种是出于国家安全、军事、反恐、情报目的的攻击,一种是商业窃密。前者是合法的,因为现实社会中各国都要有军队、都要搞情报,那么网上也可以干,谁也不能拦着;后者则是非法的,因为现实中也不能干。
这个主张换句话理解就是:美国凭借技术优势,以后在网络空间可以为所欲为,因为他都可以解释为国家安全目的,都是合法的,别人则干什么都是非法的。这类案例已经有了。媒体曾经爆出,美国国家安全局多年以来一直入侵华为公司。这种动用国家力量攻击一家中国商业公司的行为,居然也被美国编了个国家安全理由:寻找华为公司与中国军方机构有关联的证据,以评估华为公司对美国国家安全的威胁。
美国实际上想达到三个目的:一是你要承认你搞商业窃密了,美国蒙受了损失,这是中美经济的一种“结构性矛盾”;二是你要承诺你以后不能搞商业窃密;三是美国的网络攻击都是出于国家安全目的,因而都是合法的,你不能跟我谈这个问题,更不能约束我。
中方的网络安全报告披露了某些重点行业生产系统被入侵的情况。对这类攻击,美国人认为他可以搞,因为他是为了国家安全,例如要阻止中东某国的核计划。而当我们在保护自己的这类重要系统时,美国人说了,你只能照搬国际标准,不能制定自己的政策。理由是,你的政策会影响他的产品在中国重要系统中的销售,违反了WTO规则,因为这是商用领域。
中美贸易战的起点是美国301调查报告,这份报告指责中国“越来越多的地将商业法规纳入以实现‘国家安全’或‘网络安全’为目的的保护性措施”。这句话是什么意思呢?美国要求中方把能源、通信、交通、金融等行业作为商用领域,而中方却认为这些领域涉及国家安全,因此中方制定了《网络安全法》等法律法规,美国人说你不能按自己的意愿提出安全要求,你的《网络安全法》要修改。这些事项,中美之间其实谈了很多年,中方始终抱着最大的诚意和耐心,但在攸关国家安全的问题上,我们不可能无原则地退让。
观察者网:最近,中央网信办就《数据安全管理办法》、《个人信息出境安全评估办法》等连续公开征求意见,外界对此有不同解读。有的人担心,对个人信息出境进行评估的目的是为了阻止网民访问国外网站,限制个人在境外网站注册信息。您认如何看待这类评论?如何理解这些政策的出台背景?这与国际贸易规则有什么关系?
左晓栋:数据是战略性基础资源,保护数据安全已经成为国家网络安全工作的重要内容。数据有很多分类,保护国家秘密信息等都已有安排,当前主要是缺乏对国家重要数据和公民个人信息的保护制度,导致数据安全问题频发,严重威胁国家安全、公共利益和公民个人权益。虽然《网络安全法》对数据安全有原则性要求,但还需要制定可操作的细则,其重点就是保护重要数据和个人信息。
什么是重要数据?涉及到与国家安全、经济发展以及公共利益密切相关的数据。根据国家有关部门的委托,我本人正在牵头制定重要数据识别标准。什么是个人信息?是指能够识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息的这个定义以及具体类型都是非常明确的,已见诸于多部政策法规和标准。
制定个人信息相关文件,是为了规范网络运营者在收集、保存、使用、共享、转让、公开披露等个人信息时的行为,遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益。网上一些大V在完全没有阅读文件内容的情况下,曲解个人信息的定义和文件目的,这是极不负责任的。
纵观全球,我国的个人信息保护工作比较滞后。欧盟在2018年5月25日实施了《通用数据保护条例》(简称GDPR),为全球树立了标杆,被称为史上最严的个人信息保护规则。作为保护个人信息的一个重要环节,GDPR等政策都对数据跨境流动做了严格规定,因为大量个人信息传输到境外可能会带来国家基础资源的流失,如基因数据。此外,如果本国建立了良好的个人信息保护环境,但信息被传输到个人信息保护状况很糟糕的国家或地区,那显然也无法令人放心,所以欧盟要对个人信息跨境传输的目标国进行“充分性认定”。
我国的《个人信息出境安全评估办法》充分借鉴了GDPR等国际惯例,这个文件不是要限制数据出境,而是要求对数据的出境进行安全评估,评估后能够出境的当然可以出境,但国家的重要数据资源今后不可能任意向境外流失了。
值得注意的是,数据安全政策已经成为了西方遏制中国的一个工具。2019年5月,西方一些国家聚在一起搞了个《布拉格提案》,要求各国在采购5G技术时“应考虑第三国对供应商影响的总体风险,特别是关于其治理模式,是否缺乏安全合作协议或类似安排(如数据保护方面的充分性认定)”。为什么说这个提案是针对中国的5G技术呢?中国以前的个人信息保护政策的确很不健全,欧盟等地区和国家的一些人已经说了,中国很难通过其对数据保护的充分性认定。
那么,我们现在借鉴西方经验,把政策体系补全行不行?他们依然认为你的保护水平不够,政策太弱。而在换一种场合的时候,例如期望其产品不受限地进入我们的重要系统时,他们又说你的政策太强,限制他们了。总之你怎么做,他们都是反对的,我们和西方在数据安全政策上的博弈将是长期性的。
数据流引领技术流、物质流、资金流、人才流,跨境贸易的背后是数据的流动。因此,数据政策是当前国际贸易规则谈判的核心问题。焦点有两个:一是数据本地化存储,即某些数据原则上只能存储在境内;二是数据跨境流动,即数据出境要经过安全评估。美国、日本等少数国家反对数据本地化存储,要求完全取消对数据跨境流动的限制。表面原因是,他们认为这些政策会限制自由贸易,真实目的是为了最大化地攫取全球的数据资源。
现在即使是这些政策也已经“阻挡”不了美国的步伐了。2018年4月,美国通过了《澄清境外数据的合法使用法案》,授权美国执法部门直接访问境外的数据,试图实施“长臂管辖”。在此之前,微软公司与美国执法机构打了四年官司,焦点是美国执法部门能否迫使微软交出存储在爱尔兰服务器上的数据。官司一直打到了美国最高法院,随着《澄清境外数据的合法使用法案》的出台,一切戛然而止,官司自然撤销。近年来,美国反复表达对我国的数据安全政策的关切,多次提出磋商要求,对美国的意图我们需要保持警惕。
声明:本文来自观察者网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。