由于国际国内的关联、网上网下的交织、新旧问题的叠加,致使我国的网络信息安全问题更为错综复杂。在越来越走到世界舞台中央这一现实情境下,我们看待网络信息安全问题,就不能仅限于局部、限于国内,而要有世界眼光和全球视野。近年来,党中央、国务院,特别是习总书记,对网络信息安全高度重视,做出了一系列战略部署和工作安排,各部委各行业也都做了大量卓有成效的工作,我国的网络信息安全形势总体平稳。但是,科技发展的突飞猛进、网络空间的深刻变化仍不断地向我们提出新问题和新挑战,需我们谨慎应对。
一、网络信息安全领域几个新特点值得关注
2017年以来,网络信息安全领域发生了不少新的变化,以下四个方面的特点尤其值得重视:
第一,信息内容安全影响凸显,维护国家政治安全的风险上升。
2017年以来,虚假新闻、网络谣言成为全球关注的焦点,特别是所谓“舆论操纵”“干预大选”等,在欧美炒得沸沸扬扬。加上长期存在的恐怖信息传播、意识形态渗透、极端分裂思想宣传等,几乎成为一年来网络信息安全领域的“重点舆情”。对此,学界的专题研究、智库的分析报告、业界的技术分析等不仅在数量上越来越多,而且影响范围越来越大。大量难民涌入欧洲,尤其是接连发生多次恐怖袭击事件后,恐怖分子利用社交媒体通过网络勾连聚合、分享信息、组织活动并逃避打击的现实,促使欧洲国家开始重视并强化网络内容的监管。由于信息内容安全对政治安全的影响不断加剧,主要大国都在针对网络内容安全问题陆续出台相关措施,积极应对。例如,德国的《改进社交网络中法律执行的法案》,更加明确社交网络平台内容审查与监管义务以及政府监管责任。我国早就把信息内容安全作为信息安全的重要内容,长期以来,既重视信息技术的安全,也强调信息内容的安全,这说明我们的信息安全策略是有先见的。面对我们所处的历史时期和发展环境,为确保国家安全和社会发展,我们对信息安全内容的管理力度不能放松。
第二,经济安全威胁明显提升,维护基础设施安全难度增大。
网络时代的社会经济生产、金融服务、物流运输、国际商贸等,没有一项不依赖网络或者说不基于信息基础设施。信息和网络普遍应用带来的技术漏洞使黑客攻击等网络威胁的控制难度大幅提升,网络攻击行为对社会生活和国民生产的影响越来越大,特别是高级可持续攻击(APT)的威胁,成为跨越主权国家的客观存在。黑客组织可能发动对主权国家的网络攻击尤其令人担忧。如果网络攻击和工业控制系统、金融交通系统、电力能源系统乃至核电系统等关键基础设施相关联,后果更不堪设想。如果说以前是一个黑客挑战一个国家,那么,现在就是在挑战整个人类,这在传统意义上是不可想象的。最近,国际社会频繁发出这方面的风险预警,网络攻击一旦和经济生产,尤其是敏感控制系统相结合,使传统安全问题和非传统安全问题交织在一起,处理解决起来就更加复杂,甚至触及国家经济金融安全的底线和命脉,也因此成为信息化社会各国面临的共同挑战。
第三,网络犯罪花样翻新,维护社会稳定压力攀升。
网络犯罪已成信息化社会必然面对的问题。今年4月初,在维也纳举行的联合国网络犯罪政府专家组第四次会议一致通过了专家组“2018年至2021年工作计划”,并重点就网络犯罪“立法和政策框架”以及“定罪”议题进行讨论,汇集各国提出的系列初步建议供后续会议审议。可见,网络犯罪的防范与治理,需要世界各国通力合作。两会期间代表委员热议的网络电信诈骗问题,已经成为维护社会稳定的重要议题,现阶段的网络电信诈骗不仅呈现高度有组织化的特征,而且已经成为国际化的“难题”,给普通百姓带来直接伤害。此外,个人信息泄露、倒卖、转卖等事件数量逐年增多,网络攻击也出现了新模式,最典型的案例就是2017年Wannacry勒索病毒事件带来的重大冲击。这个被认为是迄今为止最严重的勒索病毒事件,至少使150个国家、30万名用户受到影响,造成损失达80亿美元,我国政府部门和民生领域也有波及。随着物联网、人工智能等新技术的发展,网络犯罪成本更低,犯罪证据更难查找,案件侦破更加困难,给维护社会稳定造成的压力和挑战可想而知。
第四,新技术隐含新风险,发展与安全平衡难度更大。
从云计算、物联网到人工智能、区块链,新技术应用不断颠覆我们的认知,突破常规的想象,也带来更为复杂的安全隐患和风险。新技术应用的智能化、自动化程度越高,双刃剑的两面性就越突出、越尖锐。关键在于这些新技术应用的程序都是人编写的,所以,漏洞在所难免,隐患总会存在。新技术新应用带给我们重大的历史机遇,使我们在向信息化强国迈进的过程中能和其他国家站在同一起跑线上。但是,我们能否实现领先,取决于能否处理好发展和安全的关系。回顾走过的信息化进程,“先发展后治理”理念和思路已难以解决好“发展与安全”的关系问题。包括人工智能等新技术、新应用的潜能和威力超乎想象,隐患和风险同样超乎想象,如果不能做到发展与治理并重,真有可能出现颠覆性技术最终颠覆我们自己的严酷后果。所以,从现在起,我们必须要审慎处理好发展与安全两件大事,平衡好发展与安全的关系,做到趋利避害,管控风险。
二、应对网络安全问题需要不断提高治理能力
上述问题是发展中出现的问题,也必将要通过发展去化解。习总书记提出“没有网络安全就没有国家安全,没有信息化就没有现代化”,为我们抓好网络信息安全和信息化工作,特别是建设社会主义网络强国,指明了方向。所以,要应对好这些风险,需要在不断提高治理体系和治理能力现代化上下功夫。
首先,要切实贯彻落实好习总书记关于网络安全和信息化工作的一系列新思想、新论断和新理念,特别是进一步加强党对网络信息安全工作的领导,践行总体国家安全观。
党的十八大以来,习总书记就网络安全和信息化工作提出了系列化的战略思想、科学论断和发展理念,当前的关键是狠抓落实。今年两会政府工作报告提出的三大攻坚战,排在首位的就是化解重大风险。抓落实就是要落实党的绝对领导和总体国家安全观的贯彻到位,要落实习总书记一直强调的“要有忧患意识,要有大局意识,要有核心意识,要有政权意识”。也就是说,在我们紧紧抓住信息化发展机遇,推动我国从网络大国向网络强国迈进的过程中,网络信息安全这根弦一刻也不能松。
其次,要贯彻依法治国、依法治网。
《网络安全法》是我国网络安全法制建设重要的里程碑,包括近年来我国陆续颁布的《国家安全法》《网络空间国际合作战略》等一系列与网络安全和信息化发展相关的法律法规以及信息安全国家标准等,为依法治网、依法治国提供了法律依据和保障。当前,要大力推进《网络安全法》的实施,还要尽快就基础设施等级保护、网络预警监测、应急处置、风险评估和漏洞分析等,出台具体的实施细则,特别是关于网络安全治理的一些制度性安排,需要尽快落地。
第三,要强化科技创新和产业支撑。
没有科技创新,就很难做到自强自立;没有产业支持,就难以获得自信和自尊。长期以来,我们在关键技术上受制于人,才有网络安全工作中打不完的补丁,挖不尽的漏洞。现在看,我们在信息安全科技创新方面确实有很多机遇,譬如说量子密码、大数据安全、物联网安全、人工智能安全等,包括防御技术、攻击行为检测分析、安全隐患分析、大数据泄露检测和防范等,都需要最终从技术手段上为安全治理提供有效方法。作为信息化强国的一个重要标志,就是要在基础研究方面有拿得起、叫得响、用得好的技术创新,这需要国家在基础研究方面持之以恒的投入和广大科技工作者默默无闻的攻关。另一方面,我们必须大力发展信息安全产业,加快科技成果转化。我国现有信息安全产业规模相对较小,市值上百亿元人民币的上市公司仍屈指可数,根本满足不了网络强国建设的刚性需要,所以,我们希望,国家在产业政策、采购政策、国产化政策、科技成果转化等方面加大扶持力度,鼓励产学研结合,研发出更多自主、可控、安全、可靠的产品、系统和服务。
第四,要加强网络安全人才培养。
网络安全,关键在人。网络安全人才短缺是信息化时代的全球性问题,对我国而言,尤其如此。到目前为止,中国信息安全测评中心进行的CISP培训,累计培训人数还只有十多万人。实际上,我国信息化部门多,经过培训人员的数量用以满足政府部门的需要还远远不足。总体看来,我国网络安全人才队伍建设还存在供需严重失衡、结构不太合理、评价机制单一等情况,制约网络安全队伍的能力提升和实力增长。为此,国家加大了网络信息安全相关学科建设和学历教育的力度,同时还需要加大非学历教育,特别是加强社会办学、职业培训的力度。在今年两会上,有多位政协委员呼吁加强职业培训,尽快弥补我国网络安全人才数量的不足。两会代表委员提案中与网络安全人才培养教育相关的议题,充分反映了业界的实际需求,应该引起重视。
三、对网络信息安全潜在风险不能掉以轻心
“人无远虑,必有近忧。”做好网络信息安全工作需居安思危,未雨绸缪。今年两会期间,网络信息安全领域的代表委员积极提案,涉及智慧城市建设风险评估、加强基础设施保护、加强人员培训、保护个人信息、管控信息安全漏洞等提案,都很有针对性。我想从防范和化解风险的角度,就网络信息安全的潜在隐患提几点建议。
第一,人工智能发展前景无限,需要趋利避害,防控风险。
科技发展与安全的关系、人和技术的关系,直接涉及技术伦理。马克思说,人和动物的根本区别就是人能够制造并使用工具。人工智能发展带来的挑战是革命性的,比过去任何一次技术革新带来的机遇和挑战都大。它不仅引导商业投资的迅猛增长,而且引发大国之间的战略竞争,同时,提出了一个更为严酷的原则问题:人类能否掌握人工智能的控制权。所以,一定要关注对人工智能风险的把控,没有风险把控,就是对我们自己的不负责任。已有不少专家担忧,机器最终将替代人类。对此,确实不能对此掉以轻心。钱学森老前辈曾经提出“人机结合,以人为主”的重要观念,对今天特别有指导意义。人类要主宰科技,就一定要有控制机制。强调安全把控,不是限制科技发展,而是确保科技健康发展,做到趋利避害。所以,未来的人工智能,最好是将大量人工交给机器,把高级智能留给人类。正如维纳的《控制论》一书的副标题所说:人有人的用处,人的用处就是使用和管理工具。
第二,个人信息保护日益重要,需要依法依规,综合治理。
大数据时代,每个人既是数据的消费者,又是数据的生产者。数据的收集、流动和利用事关个人、社会和国家方方面面的安全和利益。就个人信息而言,一个人的信息泄露可能直接影响个人隐私、社会声誉或经济利益;局部的行业性的个人信息泄露,就可能引发网络犯罪和社会问题;大规模的个人信息泄露更会引起公众的恐慌,危及社会的稳定;敏感的、跨境的大规模个人信息泄露,直接关系国家发展和安全利益。
有关专家一直在呼吁个人信息立法,我国的《网络安全法》对个人信息保护作出了相应的规定,其他多项法规中也有很多条文涉及这方面内容,但是显得分散。在系统性、一致性和可操作性上还有完善和健全的空间。目前的关键是,迫切需要出台让公民、执法界、司法界,都能够用得上、用得好的个人信息立法,尤其需要解决取证难、诉讼难、解决赔偿难等问题。
欧洲各国的个人信息保护措施实施了数十年,随着互联网跨境贸易增多,欧盟和美国之间也先后达成了“安全港协议”和“隐私盾协议”等,以确保信息跨境流动后的个人利益。美国也加强了对个人信息的保护,管控跨国公司的信息,既要满足公民的需要,又要满足执法部门的需要。所以,个人信息的保护不是一个国家的问题,而是国际化问题,必须用全球视角考虑。
对全球信息流动的治理,涉及两个层面,一是个人和国家,二是个人和商家。在个人和国家层面,美国微软被诉未向美国检察官上交存储在海外的数据,与美国政府对簿公堂,就是一个例子。该案直接影响和促进《澄清域外数据合法使用法案》的出台,进而引发相关方对数据主权、数据控制权等议题的争论。在个人和商家层面,特别是公司的全球化运作后,企业获得信息的便捷程度和能力,在某种程度上已经超过政府部门。怎样保持商业利益和个人权利的平衡,事关责权利问题,以及根本上的公平原则。商家获得用户的个人信息,就应该承担相应的保护责任。这方面,我们的政策监管和行业引导等还做得不够。企业在拥有或保护个人信息之间的度怎样掌握,可从几个方面入手:第一,是契约精神,这是商业活动的最基本制约。企业在获得信息前一定要争得用户的同意,而且要事先提示相应的风险,不应存在有意或无意的欺诈行为。第二,是商业诚信,获取了信息就要保管好。第三,是法律约束,对个人信息的采集、处理、存储、应用,都应该遵循相关法律法规的要求。第四,要有法律服务,执法部门,特别是司法部门,要能够完善涉及这些方面的审判体系、提高审判能力,培养更多的法官、检察官、律师,为老百姓维权。
第三,网络安全领域的“黑天鹅”和“灰犀牛”,需要高度警惕,预先研判。
回顾几十年的信息化进程,不难看出,我们走的是一条“先发展、后治理”的探索之路,加之在核心技术上受制于人,长期以来,网络安全工作总体上难摆脱反复高喊“狼来了”的窘境。由于至今还没有出现带有根本性和颠覆性的重大事故,人们在网络安全上的麻痹意识和侥幸心理在所难免,考虑到日益网络化、信息化和数字化生活以及各种矛盾的交织叠加,依然应高度警惕网络安全与信息化发展过程中的“黑天鹅”和“灰犀牛”事件。从阿桑奇到斯诺登再到“想哭”勒索病毒,网络安全界的“黑天鹅”事件一直未断,个人对国家实体的挑战、恐怖团体对一国或多国的挑战,可能引发全球性的灾难,甚至一次事故导致大范围的网络瘫痪,一次攻击更改政治格局,进而影响社会发展进程,对这类意想不到的突发事件,仍要预先研判。而像大规模数据泄露、关键基础设施的大面积断网、致命性病毒全球肆虐乃至黑客攻击和网络威胁等,这些被人们担忧的“老生常谈”现象与问题,或许突然会变成震惊世人的“灰犀牛”,因此,对这类事件,也必须有切实应对预案和风险预警。
(本文刊登于《中国信息安全》杂志2018年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。