2018年,国际关系风云变幻,网络空间纷繁复杂,人工智能、区块链、5G、量子通信等具有颠覆性的战略性新技术突发猛进,大数据、云计算、物联网等基础应用持续深化,数据泄露、高危漏洞、网络攻击、智能犯罪等网络安全问题也呈现出新的变化,严重危害国家关键基础设施安全、社会稳定与民众隐私。与此同时,国际网络治理徘徊前行,大国博弈不断升级,网络空间政治化军事化趋势越来越明显,给国际网络安全态势带来了更大的不确定性。本文力图从网络安全问题、各国网络管理、网络空间发展和国际治理动态几方面大致勾勒2018年的态势轮廓。
一、网络安全问题不断演化升级,威胁与挑战严峻复杂
相比于2017年,2018年网络安全事件无论是在总体数量、规模与影响范围上都呈现显著变化,其中尤以数据泄露、技术风险和网络攻击最为突出。
(一)数据安全成为网络空间“显学”,从商业问题上升为政治问题
2018年,数据信息持续呈现爆炸性增长的态势,大数据开发和利用泛化至各行各业,跨境数据管理迈入实际操作层面,数据安全已成为网络空间中最为突出的问题。一是大规模数据泄露事件高发,严重威胁个人隐私与企业利益。综合业已发布的多项数据统计,2018年约有1100多次数据泄露事件,一次性泄露一亿条以上数据的大型事件超过100起,约占10%,数据泄露总量高达50亿条。与2017年相比,不仅数量上显著增长,涉及行业也明显增多,从政府部门到零售巨头,从社交网站到国际性酒店,从银行到航空公司,数据泄露问题已然趋于常态化,企业商业利益以及声誉均因此遭受严重影响。二是大数据分析技术滥用,冲击政治安全。2018年3月曝光的“剑桥分析”数据公司利用Facebook用户数据进行“人物画像”,定点推送信息以影响选民在美国大选与英国脱欧等政治事件中的投票倾向,引起全球哗然,该事件也标志着大数据利用从商业领域扩散至政治领域,使得单纯的数据安全问题上升为现实的政治安全隐患。三是美欧实行数据治理“长臂管辖”,威胁发展中国家数据主权。目前国际数据治理正在经历新一轮的规则变革,其最为突出的特点就是“域外效力”的广泛使用。2018年1月,美国政府更新授权《外国情报监视法案修正案》第702条,同意授权美国安局继续监听外籍人士并收集与之相关的数据情报。3月,美国政府通过《澄清合法使用境外数据法》(即CLOUD 法案),便利美执法机构获取境外司法数据。紧接着,欧盟“通用数据保护条例”(GDPR)正式生效,提出对跨境数据的全流程管理。美欧数据领域“长臂管辖”的趋势越来越明显,这将极大损害发展中国家的数据主权和国家安全。
(二)技术安全成为网络发展的隐患,从技术、服务到应用均存在风险
云计算、人工智能、物联网等热门技术发展突飞猛进,但双刃剑效应也越来越凸显:一是人工智能技术安全隐忧仍存。2017年,学术界、商界和政府就人工智能对国家安全的影响已进行了充分的讨论。2018年,业界从技术上显著增加了人工智能的理解能力,减少了偏见和信任等问题,但是人工智能强大的深度伪造能力、智能机器人的道德伦理问题、冲击就业带来的社会管理问题、运用到自动化武器开发的军事问题等均未得到有效的解决,如何管控好人工智能这一极具颠覆性的“两用性”技术依然是各国的战略考虑。二是服务普遍“云化”风险高企。随着云计算技术发展越来越成熟,数据“上云”已成为全球趋势,亚马逊、微软、谷歌等科技巨头正在加紧争夺全球云市场的控制权。与市场繁荣形成对比的是“云端”安全风险高企,特别是云计算的多租户、分布性、对服务提供商的依赖性等特点,带来了数据集中、虚拟化等新的安全风险。三是物联网应用的安全风险不断增加。在全球智能制造的浪潮下,世界各国的物联网设备数量已超70亿台,并且还在呈指数级增加。与此同时,物联网也成为网络犯罪分子的主要目标。网络安全公司McAfee研究显示,2018年,针对物联网设备的恶意软件平均每分钟发出480次新威胁,同比增加73%,僵尸网络、DNS攻击、无线路由攻击等以物联网设备为目标和源头的攻击正成为新威胁。
(三)网络安全生态更为复杂严峻,网络攻击形式花样翻新
2018年,网络攻击仍然是网络安全生态中最不确定又最为活跃的领域,很多老问题尚未彻底解决,不少新的攻击形式又展现了威力。一是针对底层芯片漏洞的攻击,危害性极大。2018年初“熔断” (Meltdown)和“幽灵”(Spectre)暴露出的“英特尔芯片漏洞”影响全球众多IT厂商,这类漏洞风险性高,影响范围广,再加上Windows/Intel架构在全球的市场占有率,因而直接考验着当前的信息安全保障机制,给整个信息安全行业拉响警报。二是针对加密货币的“挖矿攻击”,扩散性极快。如果说2017年是勒索软件元年,那么随着加密货币的使用和普及,2018年最为显著的攻击方式就是加密货币挖掘恶意软件攻击(又称为“挖矿攻击”)。McAfee数据显示,2018年挖矿型网络攻击增加了4000%。挖矿攻击相比于勒索软件攻击来说更隐蔽、更有效,且相当一部分被盗货币流入黑市交易,给各国网络治理带来极大的挑战。三是针对供应链的攻击,隐蔽性极强。供应链攻击是一种面向软件开发过程、开发人员和供应商等环节的新型攻击,其形式多样,既可以是对合作伙伴公司的雇员进行网络钓鱼获取本公司登录凭证,如美国零售商塔吉特百货数据泄露事件;也可以是往合法软件中植入恶意软件,如著名的NotPetya勒索软件。当然,广义的供应链安全还包括一国对另一国实施切断关键元器件、原材料的关键供给,进行“卡脖子”的制裁,如美国单方面断供引发的“中兴事件”。供应链安全在2018年引起政府和企业的高度关注。
二、各国出台网络安全政策法规,政府治网力度日渐加大
针对网络空间出现的现实问题,各主要国家积极应对,进一步加大管理力度,强化网络安全保障措施,制定相关政策法规,较为突出的有:
(一)加强数据安全治理,GDPR具有里程碑意义
数据安全事件频发引发了各国政府对于数据与个人信息保护的重视,纷纷加强数据安全治理的力度,重点包括:一是效仿GDPR核心原则,强化个人信息保护。GDPR推行的数据保护原则与行政处罚制度,正在加速推进全球数据保护范式的转变。2018年7月印度发布的《个人数据保护法案》(草案)与8月巴西通过的《通用数据保护法》均全面借鉴GDPR的核心原则,保障数据主体对于数据的控制权。二是尽可能减轻数据泄露影响,规范企业数据使用。2018年,发达国家掀起一轮数据法规改革热潮,2月生效的澳大利亚“数据泄露事件通报”(NDB)规定了各职能实体在应对数据泄露事件方面的具体要求;6月,美国加州通过的《加州消费者隐私法案》(CCPA),强化规范企业收集处理数据的方式;11月,加拿大更新《保护个人信息和电子文件法案》,要求企业及时告知数据泄露情况。三是加强跨境数据管理,推动数据本地化。新兴国家普遍加大了政府在数据出境方面的自由裁量权,普遍设置了数据本地化的规定。如印度要求个人数据跨境传输须在境内留有副本;而越南在2019年1月生效的网络安全法中也明确要求在越南提供互联网服务的国内外企业需在越南设立办事处,并将所收集的信息加入本地化存储。
(二)布局人工智能发展,大国纷纷抢占制高点
各国加强人工智能发展,主要体现在促进发展与防范风险两方面。在促进发展方面,各国加强了顶层设计。为保持人工智能时代“领头羊”地位,美国从国家政策层面加紧布局,自2018年5月举办“美国产业人工智能峰会”后,开始积极构建国家层面的“人工智能国家安全委员会”,针对政府人工智能工作进行全面审查;并加快推进人工智能在国防安全领域的作用,在五角大楼成立“联合人工智能中心”,通过“2019财年国防授权法案”增加对人工智能的研发预算。在美国多举措力保人工智能领先地位的同时,欧盟委员会在2018年4月提出《人工智能合作宣言》,旨在加强欧盟各国在人工智能领域的技术研发、道德规范制定以及投资规划方面的合作,形成协同合作效应。此外,欧盟计划至2020年投资15亿欧元用以人工智能研发。除此之外,英国、法国、日本等国均加大在人工智能领域的战略规划和人力财力投入,希望在未来的人工智能发展中分得一杯羹。在防范人工智能带来的隐私、歧视、安全、滥用等风险方面,各国也在积极探索解决之道。2018年4月,英国议会发布人工智能报告,为人工智能准则的制定提出五条基本伦理原则,并要求以此为基础制定英国国家人工智能准则。加拿大和法国在2018年12月成立全球人工智能影响研究小组,以遏制人工智能的不道德使用,以及给经济带来的负面影响。
(三)保护关键基础设施安全,常抓不懈但有所侧重
强化关键基础设施保护一直以来都是各国网络安全保障中的重点,2018年各国关键基础设施保护呈现出一些新变化。一是强化集中管理。2018年5月,美国国土安全部发布《网络安全战略》,将关键基础设施保护作为核心目标,并设立国家风险管理中心,专门促进关键基础设施保护的信息共享与协作响应。此前,新加坡在2月份通过的《网络安全法案》提出了针对关键信息基础设施的监管框架,并明确了所有者确保网络安全的职责。二是扩大保护范围。随着选举网络安全问题日益突出,将选举系统列入关键基础设施保护成为当前西方国家讨论的重点问题。美国一直在推动此项事宜,特别是2018年中期选举前后,提高全国选举系统网络安全成为国土安全部工作优先项,分别从财政、技术与人员等方面帮助美国各州和地方加强选举设施安全。三是强化供应链管控。2018年,西方国家对供应链安全表示出普遍的焦虑,特别是在智能手机、5G网络、移动支付等方面,欧美国家的官、产、学界普遍担忧外国对手利用技术供应链植入间谍工具,纷纷以国家安全为由实施商业禁令,其中最为突出的就是针对中兴与华为的“断供”与“围堵”,引发“技术冷战”之虞。
(四)加强对互联网企业的整治,多措并举强化监管
2018年,如何规制和管理科技巨头的影响力依然是各国政府重要的优先事项。一是施压科技企业为网上内容负责。2018年1月1日起,德国正式实施《网络执行法》,以高额罚金惩治对“仇恨、煽动性言论以及虚假新闻内容”处理不力的社交网络平台。欧盟委员会也要求各网站在一小时内删除极端主义内容,否则将面临罚款。Facebook事件后,美英等国政府议会接连要求各大科技巨头相关负责人参与听证会,就内容审查和垄断事宜作出解释和承诺。在这场针对科技企业的“声讨”中,甚至出现了要求“分拆巨头”的声音。二是对科技巨头施以高额的赋税。针对科技巨头的垄断利益,2018年10月,英国政府宣布将向年收入超过5亿英镑的跨国科技巨头征收2%的科技税。有评论称,这为全球政府向大型跨国公司增加税负开启了重要的第一步。目前,包括法德在内的其他欧洲国家政府以及韩国、印度等亚太国家均相继表示将探索向科技巨头征税。此外,在欧盟提出的《数字化单一市场版权指令》中,要求向网站收取原创新闻内容转载费用也被指是专门针对谷歌、Facebook等巨头企业。三是要求企业配合政府获取执法数据。2018年初,持续多年的美国司法部与微软关于海外数据获取的争论因CLOUD法案画上了“句号”,企业配合政府获取海外执法数据正式“入法”。该案引发了其他国家的效仿,2018年10月,欧盟通过《电子证据条例》,允许司法部门直接获取科技企业保存在域外的电子证据。此外,部分国家正在探索通过立法要求企业提供“后门”配合政府获取执法数据,澳大利亚在2018年12月出台的《援助和访问法》中要求各科技巨头配合警方解密社交平台的数据,并提供“后门”以协助获取数据;而在2018年9月五眼联盟发布的联合备忘录中,也要求各大科技企业向政府提供其加密产品的“后门”。诚如英国卫生与社会保障大臣马修·汉考克所言,那种坚信网络空间不同于现实社会,“法不入网”的“科技乌托邦”已经结束,政府对科技企业强监管时代将要来临。
三、网络空间政治化与军事化日益明显,成为国际关系中的现实问题
如果说2017年网络安全只是影响现实国际关系的一个因素,那么在2018年网络安全已经直接成为国际关系中的突出问题,特别是在特朗普政府调整网络空间战略后,网络空间的政治化、军事化更趋明显。
(一)从“口水战”到“单方面执法”,网络攻击直接搅动大国关系
一是网络威胁论甚嚣尘上。长期以来,美国忙于将网络空间高度不确定的攻击行为简单归因于俄罗斯、中国、伊朗、朝鲜等“战略对手”。2018年,这种论调的“口水战”不断升级:在克里米亚冲突中,美国指责俄实施网络攻击;在中东事务中,渲染伊朗“意图向西方国家发动大规模网络攻击”;在东北亚,则将“想哭”病毒归因于朝鲜;而在中美贸易摩擦日益激烈的背景下,美国内关于“中国进行网络商业窃密”的声音也沉渣再起,这一系列指责为特朗普推出更为强硬的网络空间政策奠定了基础。二是开启全面的单方面执法。2018年,美国司法部先后以网络安全为由起诉了俄罗斯、伊朗、中国、朝鲜等国企业与公民,特别是加大对域外黑客个人的起诉与抓捕,将美国在网络空间推行霸权主义的行径暴露无遗。三是加大在网络空间的联盟之势。在其他议题全面回归双边之际,美国在网络安全议题上越来越倾向于联合多方盟友进行公开归因、联合制裁,如在举证“俄罗斯干选”、“朝鲜黑客问题”上,英国、荷兰等国均追循美国进行共同行动,其意图是共同塑造网络空间负责任国家行为规范,为网络空间画出符合西方价值观的“红线”,这些措施和作为,应引起我们的高度重视和警惕。
(二)从“政策松绑”到“权力下放”,网络战风险不断增加
经过多年的准备,特朗普治下的美国政府2018年在网络军备方面迈出了实质性的步伐:一是松绑网络动武的政策。特朗普政府在2018年接连发布三份重量级的网络安全文件,塑造其“进攻优先”的特氏治网理念,分别是签署“国家安全总统备忘录13”(NSPM13),简化奥巴马政府设定的关于军方发动进攻性网络行动的官僚程序;颁布“国防部网络战略”,提出“向前威慑”,针对恶意网络行动实施“源头打击”和“先发制人”;在“国家网络战略”中则强调利用外交、军事、财政、情报、公开归因和执法能力等所有的国家权力工具来防止针对美国的恶意网络活动,并呼吁联合志同道合的国家建立威慑联盟。二是增强国防部行动权力。除“国防部网络战略”授权国防部发动网络战的权力外,美国政府在“2019年国防授权法案”中也明确国防部长有权在网络空间进行包括秘密行动在内的军事行动,并将网络行动和信息行动视为传统军事活动,要求国防部推进归因技术,并在适当时候展示实力与打击意图,让对手清楚任何针对美国的网络攻击或恶意网络活动将遭受严重的后果。三是加快建设网军。2018年美国网络司令部在正式升级后加快建立国家级网络攻防能力,推进下属的133支网络任务部队全部实现全面作战能力,并加强网络空间的国际协调,积极向北约提供网络战能力支持,加强与五眼联盟的情报共享与行动协调等。美国的政策调整加大了网络空间的不确定性与网络战风险。
(三)将贸易摩擦外溢到网络安全,加强技术防范以维护其霸权
2018年,美国通过调整出口与投资政策加强技术防范。一是改革出口管控制度,美国通过《出口改革管制法案》(ECRA)扩充出口管制范围,要求对可能用于军事用途的敏感技术进行及时监控和全阶段管控,人工智能、网络安全等技术的出口将更为严格。二是加大外资投资安全审查力度。美国政府通过《外国投资风险审查现代化法案》(FIRRMA)扩大审查投资类型,增强对5G、人工智能、量子计算等新兴技术的审核力度,特别加大了对网络安全技术投资的重视程度。三是限制国际人才交流与招募。美国将学术深造、人才招募、学术合作等列为技术转移的方式,加大对高新技术人才交流的限制。可以看出,上述政策针对中国的意味非常明显,在中美贸易摩擦的背景下,特朗普政府正在将技术交流、网络安全等问题与贸易谈判相挂钩,纳入其向中国施压的“工具箱”中。
四、国际网络治理徘徊前行,多边多方不对称发展
网络空间政治化、安全化的特点,直接加剧了网络空间特别是主要大国间互信的下降,以联合国为首的多边机制徘徊不前,以科技企业为代表的多利益攸关方则势头上升,而网络空间新兴力量正在迅速崛起。
(一)以联合国为首的治理平台呈现美俄“拉锯”,多边治理徘徊不前
由于联合国政府专家组(UNGGE)未在2017年就网络安全议题达成共识,如何重启UNGGE就成为2018年各方拉锯的焦点。目前,争议双方主要集中在以美国为代表的西方国家和以俄罗斯为代表的新兴国家两派。2018年10月18日,美国联合加拿大、日本、澳大利亚、爱尔兰等国向联合国大会提交了《从国际安全角度促进网络空间国家负责任行为》的决议草案,要求确认私营部门、学术界和民间社会组织在国际网络治理中的参与机制等,并要求联合国加大对国家负责任行为的准则,以及国际法在网络空间如何适用等议题的研究。2018年10月29日,俄罗斯则联合中国、伊朗、朝鲜、哈萨克斯坦等国向联合国提交了一份关于《从国家安全角度看信息和电信领域的发展》协议草案,表示关切一些国家正在为军事目的发展信通技术能力,要求确认国家主权在网络空间的适用性以及联合国的主导作用等。2018年12月17日,联合国大会通过了俄罗斯提出的名为《防止将信息通信技术用于犯罪目的》的决议,包括金砖国家在内的36个国家共同起草了该决议,但美国、欧盟、加拿大、澳大利亚等国以“既有的联合国协议已可以充分解决网络犯罪问题”为由投了反对票,并认为俄罗斯意图将执法合作政治化。可以看出,目前在联合国平台,双方在多边与多方的权重,国际法的具体适用,网络空间国家负责任行为等议题上仍存在严重的“理念分歧”,网络空间中的大国互信极低,严重影响国际网络治理的前行。
(二)企业先行推进集体行动,多利益攸关方治理模式势头上升
在网络空间主要大国互信急剧下降,UNGGE短暂内达成共识可能性较低的情况下,主要科技企业或组团或联合政府开展集体行动,在一些重要议题上发声,以强化多利益攸关方治理模式。2018年4月,提出“数字日内瓦公约”的微软再次联合脸书、思科、诺基亚、戴尔在内的34家科技巨头缔结《网络科技公约》,要求加强对网络攻击的联合防御,加强技术合作,协调漏洞披露等,并承诺不卷入由政府发动的网络安全攻击。2018年8月,微软还发布了一份题为《网络安全政策框架》的指南手册,帮助网络后发国家制定网络安全战略,建立国家网络安全机构。全球网络空间稳定委员会(GCSC)在2018年表现活跃,分别在5月和11月提出“保护选举基础设施”和“新加坡一揽子规范”,包括如何防范僵尸网络、建立漏洞公平裁决程序等,逐渐扩大全球影响力。
(三)以法国为代表的第三方国家探索“中间道路”,网空新兴力量逐渐成长
2018年11月12日,法国总统马克龙在第13届联合国互联网治理论坛(IGF)上提出了《网络空间信任与安全巴黎倡议》的宣言文件,为了赢得网络空间主要大国的支持,倡议既体现了美西等国一直以来的主张,包括“现有国际法适用于网络空间”,“保护网络空间中的人权”,强调“布达佩斯网络犯罪公约”,同时也在一定程度上回应了中俄的诉求,如强调“联合国在国际网络治理中的主导作用”,试图探索网空发展的“中间道路”,包括欧盟所有成员国在内的50多个国家与微软、谷歌、脸书在内的百余家组织共同签署了该倡议,但是由于中美俄主要大国的缺席使其约束性存疑。该倡议起初是由科技企业起草并推动,后来经法国官员改写,是首次囊括政府部门与私营企业的国际协定,成为国际网络治理中公私合作的一次典范,当然也体现出法国寻求在国际网络治理占有一席之地的努力。
结语
对于不断发展的网络空间,我们的已知远远小于未知,对2018年国际网络安全态势的把握是一项极具挑战性的工作。不过有一点可以肯定的是,信息化、网络化、智能化是大势所趋。在新兴科技日新月异,治理体系多元多极,美国单边行动难以杜绝,发展中国家成长势头不可阻挡的形势下,网络空间的安全风险会更加严峻复杂。展望2019年,在高度不确定的网络空间中,我们仍需高度关注安全领域的“黑天鹅”与“灰犀牛”:在技术方面,对超大规模的数据泄露和超大范围的技术故障不能掉以轻心;在管理方面,对颠覆性技术的开发政策和对国际巨头公司的监管策略应当更为谨慎;在政治方面,对偶发攻击行为的政治化归因和基于地缘政治的网络战行为要严加防范,特别是对美国实施的恶意网络打击,失控的数字交易摩擦与冲突,霸道的长臂管辖与跨境执法应当高度警惕。(桂畅旎)
(本文刊登于《中国信息安全》杂志2019年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。