日前,由360企业安全集团主办的“RSAC2018分享会”在成都召开。会上,国家创新与发展战略研究会副会长、中国国际战略学会高级顾问、观潮网络空间论坛主席郝叶力发表了题为《国际网络安全产业需加强协同合作》的演讲,以下是演讲内容。
今年RSAC上有两大看点,第一个是美国的国土安全部长尼尔森,在长达40分钟的主题演讲中反复强调美国的网络威慑战略;第二个是微软总裁史密斯,今年再次强调了数字认证码公约,而且还联合了34家科技企业共同发起网络安全的协议和公约数字认证码公约,不为政府黑客行为提供技术支持。
这两个事情对我有很大的启发。尼尔森强调不要对美国发动网络攻击,否则后果是很严重的,并在演讲中专门把俄罗斯和朝鲜作为网络攻击的最大威胁。所以,美国越来越重视具有国家背景的APT攻击,甚至把网络安全放在反恐之上,作为国家安全的首要位置。
恰好,微软总裁史密斯就发表了反对的声音。他就强调,政府必须停止对公共部门、医院等民生部门的攻击,并且联合了包括思科等在内的34家大型科技企业,发起“数字日内瓦合约”,让这些互联网企业能够携起手来开展工作,反对为政府支持的网络攻击提供支持,并且用新的产品和工具保护客户的安全。
美国国土安全部和微软这两个机构的发言看似有一致之处,实际上有悖论。尼尔森认为政府和数字日内瓦合约是一致的,但实际上,数字日内瓦公约是反对任何一个国家的政府组织和倡导的网络攻击。现在美国大讲威慑的话,威慑和制裁就意味着用网络或者更多的手段支持国家之间的对抗,所以这两者之间是相互矛盾的。
全球化时代,在网络空间里究竟应该制订什么样的国际规则?因此我今天想就RSA大会的启示再进一步谈一下全球威胁、全球共治的路在何方。
在去年的观潮论坛上当我提出“全球威胁全球共治”这个话题的时候,美国的戴维斯将军一开始是很置疑和反对的,但经过三次不断的沟通和交流,他已经能够部分同意了。主要内容是什么呢?2017年网络安全圈有两件全球性的大事件,一件事就是肆虐全球的蠕虫勒索病毒,有150个国家受害,这是袭击全球的威胁事件,所以可以成为一个标志性时代的大事;另外一件大事是召开了联合国网络安全政府专家组会议,却没有达成任何共识,也就是在网络安全规则制订上各个国家存在大量的分歧。
从这里我们也可以看出来,回答上面这个问题需要从三个方面考虑。首先从威胁分析和排序入手,看网络空间的主要安全威胁是什么,它的主要排序是什么;第二在这个基础上再权衡两种路径的选择;第三,在两种路径的选择得出的基本结论之后我们看如何建立什么样的国际合作机制的问题。
首先看网络空间的主要威胁。这里我大概归纳了四大安全威胁,也就是网络恐怖袭击、网络经济犯罪和网络舆论乱局,网络军备竞赛,为什么把这个图四大安全威胁分成了两级,前面三个在第一级,网络军备竞赛在另外一级。前面的三大威胁可以看成是人类的公害,比如说勒索病毒这一类它是不分国别的,不管强国、弱国都可能成为受害国,这三害是公害、公敌。再看第四个,网络军备竞赛更多的体现的是国家之间的竞赛,这个竞赛会造成网络空间的不安全因素,但是这个因素和前三个相比是非常态的。
随着网络技术的飞速发展,现在恐怖分子、极端事例对网络安全技术的利用比专门搞安全的还超前,所以它建立了信息的传播链、还有跨国的攻击链,非常完整。
第二个是全球网络经济犯罪,因为网络空间确实有巨大的经济利益,所以现在犯罪分子在这个方面也是使出了浑身解数,网络的金融诈骗比比皆是,它威胁着老百姓的的财产安全和生命安全。
第三,就是网络舆论乱局。进入21世纪以来,世界上很多重大的事件几乎都和网络相关,其背后都有社交网站等舆论在推波助澜。从全球的角度来看,前几年的时候舆论乱局是集中在发展中国家,比如说2011年的动荡被称为一方水土演变的战争,从制造矛盾点到激发共同点,背后都有舆论在推波助澜。但是最近的这几年风向又变了,随着多国的大选进入了一个密集期,现在社交媒体反噬网络强国,到现在风波还没有完全平息。这次尼尔森就明确表态,我们绝对不允许外国对我们的舆情进行干扰。所以在这个问题上我们可以看出,舆论乱局小可杀人,大可覆国,看似无形,实则致命。因此它已经成为全球治理的重中之重,受到各国政府的高度关注。
还有网络军备竞赛。打击网络恐怖主义无可厚非,但是如果陷入了单体安全和绝对安全产生的网络军备竞赛,毫无节制的发挥网络武器各国自扫门前雪,那会怎样?军备竞赛第一会国家之间的对抗加剧,以APT为攻击载体的国家间网络冲突和对抗会增多,网络空间进一步成为各国争斗的主战场之一;第二会增加武器失控的概率和风险,去年5月席卷全球的勒索病毒就出自于NSA之手。
显而易见,去年5月的勒索病毒事件是军备竞赛的后果。
我们回过头来看四大威胁,既然承认了四大安全威胁和现在的排序,谁是首要谁是常态的,我们就应该找到应对威胁的战略路径的选择。摆在我们面前的就只有两条路,要么威胁要么合作。
但愿你的选择反映的是你的希望而非恐惧。唯一的选择是合作而不是威慑。随着美国对网络威胁的关注度在提升,网络威慑已经成为它的重要战略之一。从RSAC2018上尼尔森部长的演讲中已经非常鲜明的看到这一点。我们要反问一个问题,网络威慑力量面对着诸多的挑战,它对网络空间的战略稳定是增强了还是削弱了呢?
这个问题确实值得商榷。做糖不甜,做醋很酸。实际上勒索病毒已经证明了,网络威慑这条路行不通。勒索病毒的溯源是世界性的难题,鱼龙混杂,主体多元,很难找到威慑的源头在哪里。所以说他做糖不甜。网络安全完全是动态交织的东西,人人都可以以研究防的理由来制造攻,特别是美国这种有压倒性技术优势国家,让全球都没有安全感。在网络空间要采取类似核威慑的理念无疑是饮鸩止渴。
因此,我们应该另辟蹊径。我们应该找到一个什么样的路线呢?冷战、单极都是传统思维,不能应对现在面对的挑战。我们看互联网的商圈里流行着这样一句话:升维思考,降维打击。我们能不能再升高一位,上升到一个新的高度,你就可以看到一个问题的全貌,就可以找到新的思路和方法,俯瞰全局、登高临远。另外我们还要找到落地的机制和方案。带给我们一些新的思考新的理念。
威慑不好用,那我们就开展合作,沟通是解决一切问题的新钥匙。网络空间最大的特点是时空压缩了,把一个诺大现实空间压缩成了一个网络空间,一荣具荣,一损具损。国际合作应该建立什么样的机制呢?公约现在还没有建立,在建立国际规则的时候在世界上也有挑战,也有分歧,中国是主张在联合国的主渠道制订,共同对漏洞进行调查。
第二个问题就是一定要建立情报共享机制,要在全球范围内时时共享情报,制订网络信息共享标准。但是威胁情报共享这个事情非常难,尤其是国际之间的威胁情报共享,因这牵涉到国家政治。但是作为网络安全公司,应该在思想上理念上有一个突破:就是我提到的三视角下网络主权的对立统一,用三视角、三角形的理论来解决网络空间复杂矛盾,不仅在主权的问题上,在威胁情报问题上依然有三视角,为什么呢?三角形具有稳定性、平衡性和包容性,我们就看到了一分层后,很多问题就有解了,哪些问题是由政府主导的,哪些层面是在社团在民营企业层面决定的。这样我们可以发挥国家的作用,企业的作用,在不同的层面发挥不同的作用。现在在威胁情报的问题上同样如此,威胁情报也是需要分层的,有些情报是最核心的国家机密,谁都不能共享,这绝对是希望我们独有的,但是在三角里面是一个小三角,如果把这个三角如果无限扩大到大三角就是一个铁板了。如果什么情报都不能共享,那么我们谈命运共同体实际上就是一句空话,无论国内还是国外都是一样,我们可以慢慢的试探,把网络安全情报分级,形成国际统一的战线、联盟。
最早提出的网络空间的人类命运共同体,就是因为人类社会走到了网络时代了,命运共同体具有了技术基础和物质条件。但是,我们的思维还停留在传统的空间。
除了情报共享机制,还有多元对话机制,建立多元化的交流平台。360在RSA大会上上面都做了观潮论坛,这个观潮论坛是国际交流平台,前两年是大国之间在进行对话。后来我们逐渐的把它搞成一个多边国际性的、多视角的交流互动,这对于我们制订网络空间的规则,形成我们全球治理的一个方法框架是至关重要的。观潮论坛吸引了美国包括军方和政界的一些大牌专家,其中很多都是我们观潮论坛的铁杆粉丝了,基本上都保持着积极出席不缺席的态度,并积极来他们的思想。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
