下载掌阅APP,畅读海量书库
立即打开
方兴东
胡怀亮
张 静
2013年,美国监控互联网丑闻持续发酵,中国是最大的受影响国之一。
2014年,是美国互联网45年,中国互联网20年——这是一个特殊的年份,也是一个历史拐点!
在人类网络空间安全的历史上,2013-2014年将占据特别重要的位置。2013年发生了震惊全球的斯诺登事件,这是全球互联网有史以来最重大的事件,其影响程度之深远将大大超越我们当下的估计。2014年,中央网络安全和信息化领导小组成立,这堪称中国互联网有史以来最重大的事件,其影响将是全局性和长期性的。这两大事件,让我们在勾勒2013-2014年全球和中国的网络空间安全态势与格局时,有了定海神针。
第一,这两大事件将直接影响国际和国内网络空间的格局,网络空间的治理体系,各国的网络政策和安全战略,产业竞争与发展,以及社会全民性的安全意识。2013年是全球互联网发展过程中具有里程碑意义的一年,全球对网络安全的关注上升到史无前例的高度。全球互联网发展突飞猛进,同时使网络安全形势愈加严峻。从全球范围内,上至政府,下至普通民众,人们对给生产生活带来巨大影响的互联网,已经不仅从技术、经济的角度,而且从政治、社会和文化等角度,有更深刻的认识和理解。正因如此,网络空间安全形势关系到国家政治、经济、社会、文化、军事等多方面的安全,正如中央网络安全和信息化领导小组的第一次会议上明确指出的:“网络安全和信息化对一个国家很多领域都是牵一发而动全身的。”
第二,在美国不断政治化的努力下,网络空间安全问题首先是政治问题,其次是社会问题,最后才是技术问题,由此,全球网络空间中美两强博弈的基本格局初步形成。网络安全研究工作早期叫信息安全研究,信息安全侧重于软件系统与业务流程安全及信息内容安全等领域。然而,在一些国家发生借助网络手段实施的“颜色革命”,2012年中国的华为、中兴等企业遭到美国国会的调查,以及2013年斯诺登事件之后,网络安全问题已经延伸到国家政治安全、文化安全等领域,各国对网络安全问题的看法已经超越技术问题层面,上升到社会问题、政治问题层面。
2013年下半年及2014年年初,又有3个重大事件发生。一是美国微软公司在2014年4月停止对Windows XP系统用户的技术支持与服务
,这导致中国的政府集中采购用户和大量普通用户的信息安全、网络安全受到极大威胁。二是中国成立了由党、政、军一把手担任组长的中央网络安全和信息化领导小组
,统筹管理国家网络安全领域的工作,显示了中央最高层对网络安全的认识达到前所未有的水平,也必将对未来我国的网络安全形势带来不可估量的重大意义。三是美国政府宣布将有条件移交根服务器管理权,将其置于一个新的国际性组织的管辖之下,而非美国政府的商业合同管理之下
。
接下来,本文通过梳理2013-2014年度重大网络空间安全事件,分析网络安全形势的变化特征与演变趋势,把握网络安全态势的走向,同时从公共政策的角度给出应对当前网络安全形势的建议对策,并为建设网络强国做一些有意义的探讨。
1.曼迪昂特报告鼓吹“中国黑客威胁论”
2013年,炒作“中国黑客威胁论”的声音仍不时出现,其中影响最大的是2月的曼迪昂特(Mandiant)报告。
2013年2月19日,多家西方媒体引述美国网络安全公司曼迪昂特拟于美国时间周二发表的一份60页的报告,称近年美国遭受的网络黑客攻击多与中国军方有关。《纽约时报》2月19日援引报告摘要称,该公司历时6年,追踪141家遭受攻击的企业的数字线索,证实实施攻击的黑客组织隶属“总部设于上海浦东一栋12层建筑内的中国人民解放军61398部队”。中国官方表示,仅凭IP地址的通联关系就得出攻击源来自中国的结论,难以让人信服。中国外交部和国防部在回应这个报告时都使用了3个字——不专业。2013年3月,美国国家安全局(NSA)局长、网络部队司令部司令基思·亚历山大向国会坦承正在建设网络战部队,包括13支进攻性部队和27支防御性部队。
2.斯诺登事件让全球反思互联网安全
2013年6月6日,英国《卫报》与美国《华盛顿邮报》几乎同时报道了美国情报部门的“棱镜门”等系统监控项目,引起了全球各界的巨大震动和广泛关切。美国中情局(CIA)前职员爱德华·斯诺顿披露给媒体两份绝密资料。一份资料称美国国家安全局有一项代号为“棱镜”的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。另一份资料更加惊人——美国国家安全局和联邦调查局通过进入微软、谷歌、苹果等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录等秘密资料。此后,斯诺登现身香港,声称自己良心感悟,无法允许美国政府利用“棱镜”项目侵犯全球民众的隐私及互联网自由。他表示,美国政府早在数年前就入侵中国的一些个人和机构的计算机网络,其中包括政府官员、商界人士甚至学校。斯诺登后来前往俄罗斯申请避难,获得了俄罗斯政府的批准。
斯诺登事件堪称网络时代第一场震惊全球的大洗礼,开启了全球网络战的新纪元!这个事件的后续影响,如同核冲击波,将异常深远。下面简单分析一下该事件对6个层面的影响。
第一,对美国形象的冲击。斯诺登事件最直接的影响就是使美国走下“神坛”。作为互联网的发源地和互联网发展的主要驱动力,美国几十年来一直掌控着互联网的绝对主导权,一直占据着互联网精神的道义高地,把控着互联网问题的话语权,也一直标榜是最安全可靠的守卫者和互联网精神的守护者,担当着网络空间事实上的“世界警察”。本次事件一棒子将一直神圣化的美国打回了原形。事实再次表明,任何垄断力量,如果缺乏有效的制衡与监督,都可能被滥用。美国以安全名义构建全球360度监控体系,无限制地延伸自己的监控边界,“棱镜”项目耗资20亿美元,可存储全球的通信数据,大大超越了合理的范畴,这无疑是极大的滥用。因此,人们对于美国管理互联网的信任一夜间坍塌,其中就包括美国最紧密的盟友。
第二,对美国互联网控制权的实质冲击。美国是全球互联网事实上的独家管理者。由于历史原因、制度因素及创新能力和国家实力等因素,全球互联网的管理权一直以NGO的名义游离在联合国、国际电联等国际组织之外,实际上依然掌控在美国政府手中,形成了美国独一无二的互联网控制权。斯诺登事件之后,各国对网络安全的重视程度必将急剧加大,一向力挺美国的欧洲盟友也将不再放心。在这种情况下,美国将不得不让渡更多的权力给更具代表性的国际组织,全球互联网的制度与规则制定将更加全球化——虽然步伐不可能很快。
第三,对全球网民的影响。“棱镜门”及后续不断披露的信息显示,美国不但严密监视着本国人民,更不辞“辛劳”地监视着美国之外的全球网民。作为一个网民,安全感顿失!这是一次网民隐私意识的全球大启蒙。网络世界再也不是纯粹和美好的童话世界,而是充满了风险和危险,网络隐私边界问题的重要性将进一步凸显。斯诺登事件最坏的影响大概就是:在“斯诺登效应”下,很可能不会减少世界各国政府对网民的监控,反而会大大增加——既然以自由、民主著称的美国都如此肆无忌惮,还有哪个国家不争先恐后?这大概是斯诺登本人和大家最不愿意看到的结果。本次事件进一步生动地告诉我们每一个人:网络有风险,上网需谨慎!
第四,对全球网络空间安全问题的影响。斯诺登事件不但是对网民安全意识的一次启蒙,更是对全球网络空间安全意识的启蒙,是一次全球性的安全大警示,很可能由此在全球范围内掀起网络安全的军备竞赛,加大预算投入。因为,随着网络时代的全面到来,各国社会、经济、文化、生活等层面都越来越依赖互联网,网络安全逐渐成为国家安全最突出的挑战,各国首先需要“强身健体”,需要在自身安全防御方面快速“补课”。同时,有实力的国家面对美国霸权也不会放弃保留一定的进攻能力。这种军备竞赛估计将成为未来长期的主旋律。
第五,对美国高科技产业和企业的影响。从Facebook和微软披露的信息看,2012年下半年,美国政府就向这两家公司分别提出10000多次和7000次索取用户资料的要求,平均每天50次之多。频度之高,令人咂舌,也令人不寒而栗。美国高科技企业是美国掌控全球互联网的重要环节。一直以纯粹的市场形象昭示自己的美国企业,在美国国家安全的进攻型战略思想下,难逃干系。斯诺登披露,美国国安局全球范围内的网络攻击行动超过6.1万项,针对中国内地及香港地区的此类行动数以百计,主要攻击网络中枢,这样可以接触以10万计的计算机的通信数据,而不必入侵每一台计算机。这些措施主要通过思科路由器完成。骨干网思科路由器,数亿台使用Windows操作系统、英特尔CPU的计算机,数亿台使用Android操作系统的手机,以及iPhone、IBM大型机等,覆盖全产业链和整个生态。如果它们不得不受命于美国政府,那么,其他国家如何能对这些企业及其产品放心?今后又怎能不加强戒备和安全措施?今后谁还敢对美国的跨国公司继续保持高度的信任?
最后,也可能是最富有意味的影响,就是对未来网络空间中美博弈的影响。斯诺登藏身香港,绝对不是偶然,而是堪称天才式的智慧选择。其现实影响、内在意义与长远影响,都堪称神来之笔。中美围绕网络安全问题的争端已经持续很久,之前一直是中国处于非常被动的局面,也就是说,第一回合美国在舆论战上得了不少分数。而斯诺登事件使中国在第二回合的较量中迅速扭转了形势,一下子扳回了不少分数。但是,这两个回合,都仅仅是序幕而已,双方的博弈将是长期持久的。毕竟,这是两种模式、两种价值观、两种道路的竞争与较量。只要未来能够取长补短,形成良性竞争,那就是互联网发展的最大福音。
斯诺登事件的深远影响如何评价都不为过,更多潜在的影响还将继续发酵。这一事件将大大改变全球互联网的格局和进程,尤其是互联网规则的制定与博弈。当然,我们也必须清醒地认识到,作为全球互联网的中心,10年之内,美国在互联网领域的绝对主导权——无论是技术、产业、文化,还是国家实力——依然无人可以抗衡,无法真正动摇。斯诺登事件使中美在网络安全领域的实力真实地呈现在整个世界面前。
3.网络空间中美两强博弈拉开序幕
网络空间中美两强格局是互联网在美国发展45年和在中国发展20年最直观的产出。尽管美国在互联网基础资源和技术实力、产业实力上拥有不可比拟的优势,但当前中国网民的数量已经远远超过美国,并成为网民数量第一大国。据世界银行统计数据显示:2012年,全球网民数量为25.1亿;中国网民规模超过全球网民的20%,达到5.7亿;美国为2.5亿,在全球网民中仅占2.5%。此外,中国的网民数量不仅在绝对值上远超美国,增长速度也让美国无法企及。中国网民规模在2000年仅有2000多万,经过12年的发展迅速增长到2012年的5亿多,增长了25倍。美国网民在2000年已达1.2亿,但是经过12年的发展,网民规模仅增长了2倍多,与中国25倍之多的增长速度相比可见一斑(如图1-1所示)。可以说,美国掌握的是互联网势能,而中国拥有的更多是动能。长期来看,未来中美在网络空间下的两强博弈格局将持续存在。
在全球背景下看中国的网络安全现状,既不像2013年上半年美国政府主导的舆论战那样,貌似中国已经有足够的实力可以采取积极主动的进攻战略,也不像业界人士哀叹的那样毫不设防,一无是处,无所适从。冷静审视中美实力差距,分析发展趋势,未来5至10年,中国完全可以立足现实,规划积极有效的网络空间安全防御型战略,逐渐扭转战略上的被动局面,掌握主动权和主导权。
图1-1 中美网民情况对比
网络空间安全已经成为中美外交的核心要素,也将成为未来国家经济、政治、军事的核心,甚至是最大的引爆点。美国充分利用了网络安全问题的复杂性及规则的模糊性,占据了舆论的主导权和主动权。与现实世界的“三个世界”划分类似,互联网上也可以划分为“三个世界”。现实世界是以经济发展程度来划分的,而网络世界略有不同,是以网络上的主导权来划分的,分为网络殖民国家、网络主权国家和网络霸权国家。从互联网基础设施、互联网产业竞争力和网络战实力3个角度上看:全球只有美国一马当先,是唯一具备网络霸权的国家;中国、俄罗斯、印度、日本、澳大利亚、韩国,以及英国、德国等欧洲国家,可以掌握自己网络的主导权,形成了一批网络主权国家;而相当一部分国家,受制于经济实力和发展状况,不具备足够的互联网力量和竞争力,只能成为互联网上受制于人的网络殖民国家。
随着网络空间的重要性不断上升,社会、经济、生活等活动的重心逐步转移到互联网上,各国家开始重视网络空间战略。全球网络空间战略可以分为两种:一种是进攻型战略,另一种是防御性战略。战略源自基础和实力,网络空间战略与国家安全战略相匹配。与传统安全战略一样,目前全球唯一有实力和能力实施进攻型战略的只有美国,而中国、俄罗斯等只有能力实施防御性战略,战略重点在于如何有效做好自身防御、保障自身网络安全。
既然美国是唯一能够实施进攻型战略的国家,为什么在中美黑客事件中给人的印象反而是很被动、很无辜,中国往往成为进攻的一方?这完全是一种假象。根本原因在于网络空间安全的战役目前是在3个层面展开:首先是舆论战,其次是网络基础设施的市场战,最后是国家之间真正的信息战。
让我们好好审视一下这不同层面的“三大战役”。
舆论战是利用事件的新闻效应,在舆论上压倒对方,占据最有利的位置。美国利用自身软实力,尤其是新闻话语上的主导权,把中国塑造成网络战的进攻方,而自己沦为弱势的防御方,将IP地址属于中国等同于中国黑客发起攻击,将中国黑客等同于政府支持,依靠这种完全不合理的逻辑,一方面获得舆论加分,谋取在中国其他方面的更多利益,另一方面在不断压缩经费的趋势下,最大程度地为自己获取网络安全的经费投入。其实,美国是黑客文化的发源地,至今已有超过50年的历史。美国也是全球黑客的大本营,无论人才和技术都首屈一指。虽然中国网民数量已经是美国的2倍,但是在黑客攻击方面依然缺乏对等的实力,差距甚至不低于中美传统军事实力的差距。
让我们再看看基础设施的市场战。全球互联网核心基础设施,如根服务器、域名服务器等,都放在美国,处于美国政府的实际控制之下。全球互联网基础设施的主要供应商,无论是骨干网的路由器,还是服务器、终端的芯片和操作系统,以及应用商店等,基本由思科、英特尔、高通、微软、苹果、谷歌等美国公司绝对主导。包括中国在内的任何国家若对美国进行进攻性举措,都无异于以卵击石。
最后,看看国家网络空间的战略。美国是最早完成顶层设计,并在战略高度重视和部署信息战的国家,国家的网络安全战略由总统直接领导,每年推出的相关战略研究报告都是由总统直接撰写导语。美国从最高层出发、自上而下的一体化网络空间安全战略,进一步提升了美国在网络时代的霸主地位。
从发展趋势和长远的力量转移来看,未来网络空间将逐渐形成中美两强博弈的新格局。可以说,在5到10年之后,在互联网世界的产业竞争力上,中国将与美国形成分庭抗礼的基本格局,中国的网民数量将是美国的3倍以上,进一步推动中国成为全球互联网应用中心和创新中心。时间的天平在向中国倾斜,这将直接威胁美国在网络空间一家独大的霸权地位,这也是当下中美网络安全问题不断升温的更深层次原因。
在最近5到10年,中国的主要任务是确立并完善有效的网络空间安全防御型战略。无论是面对美国进攻型的舆论战,还是强化自身的基础设施安全建设,中国都急需“补课”,提升基本的应对能力,从而摆脱今天的被动局面。
2013年可以称为中国网络空间战略觉醒之年。围绕国家网络空间战略的顶层设计第一次进入议程,并将加速推进和落实,这将全面、深刻地影响和改变未来中国互联网的发展。虽然中国的战略觉醒导火索是斯诺登事件,但也不是单一事件的功劳,而是因为互联网的发展到了一个拐点。2013年是中国新一届政府亮相之年,也正是这一年,中美围绕互联网的博弈到达临界点,上升为中美之间最重要的事情。2013年,全球网民已达30亿,中国网民也突破6亿大关。一个静悄悄的拐点是:全球以中文为第一语言的网民数量第一次超过英语,这是互联网诞生以后英语用户长期绝对主导的终结。这让人不能不联想到:中华民族的复兴已经在网络空间捷足先登。
2013年互联网的大事还有围绕网络谣言的“大V”整治行动,清朗网络空间的专项行动第一次让人们明白,网络空间不但超越现实空间,并且开始深刻影响甚至主导现实空间。虽然伴随着争议与担忧,但毫无疑问的是,网络空间的法治时代已经开始到来。
2013年年底再次进入公众视野的Windows XP停服事件和中共十八届三中全会决定成立国家安全委员会,让关注网络空间安全的人士再次为终端的信息安全献计献策,同时也为中央维护包括网络安全在内的国家安全的决心而鼓舞。
1.七条底线、薛蛮子事件等考验网络舆论引导能力
2013年8月10日在中央电视台新址举行的“网络名人社会责任论坛”上,国家互联网信息办公室主任鲁炜与纪连海、廖玒、陈里、潘石屹、古永锵、陈彤、周小平、薛蛮子、徐世平、齐向东、孙健、胡延平、张国庆、高龙等网络名人举行座谈交流,就承担社会责任、传播正能量、共守“七条底线”达成共识。这“七条底线”是:法律法规底线、社会主义制度底线、国家利益底线、公民合法权益底线、社会公共秩序底线、道德风尚底线和信息真实性底线。此次论坛预示着政府在微博管理上可能更加注重事前“引导”,而不是简单的事后“禁言”。
2013年8月23日,北京朝阳警方在安慧北里一小区将涉嫌卖淫嫖娼的薛某、张某查获,警方已依法对二人实施行政拘留。后证实,嫌疑人为知名天使投资人、微博红人、网络“大V”薛蛮子(薛必群)。事后,央视《新闻联播》用3分钟时长播出薛蛮子嫖娼被抓的报道。该事件被称为薛蛮子事件
。
薛蛮子事件本身并不复杂,但是放在当时中国加大打击网络谣言行动力度的大背景下,引起了舆论更多的争议。有关部门在2013年8月底下发文件,强调依法打击网络谣言,意在防止扩大化。2013年9月,“两高”出台司法解释,明确指出诽谤信息被转发达500次可认定为“情节严重”,这在网络上又引起一定的争议。
可以说,2013年政府、业界、学界和公众对于当下的舆情状况都不满意。虽然各自角度不同,侧重点不同,但是大家共同的认识是:当下中国的网络舆情处于明显的失衡状态,对政府公信力形成了一定的损害,对民众社会信心也形成了损害,对中国软实力的损害也不可低估。这种局面很值得反思。造成这种局面的根源并不是因为监管不力。虽然我们几十年来形成了有效的体系,加上最近几年投入的越来越多,但是局面并没有得到根本的改观。
问题的根源在于,我们在战略上没有深刻预见到中国舆情生态的根本性变革,我们的管理者没有认识到舆情生态的全新特性和规律,我们的理论家没有提供新形势下舆情的有效理论和方法,我们的舆情环境趋于恶化,工作压力趋于加剧,相关措施的成效不断降低。而事实上,互联网再伟大的变革都没有什么神奇,只要能够准确把握趋势和变化,在趋势中寻找规律,在规律中找到方法,在方法中走出旧有模式,当下的问题基本都可以迎刃而解,事半功倍。准确地说,我们以“堵”为目的、基于传播过程和基于内容的传统模式,已经不适应新时期的舆情趋势,而以“疏”为目的、基于直达个人和网站的新兴模式,才能找到长治久安的目标,实现良好的网络舆情状况,为中国崛起营造最佳的环境。
2.把握网络传播规律,提升舆论引导能力
如果说博客和微博彻底改变了公共领域的信息传播模式,那么微信则彻底改变了私人领域的信息传播模式,而且完成了公共领域与私人领域信息的无缝对接。通过消解内容生产过程、内容传播过程和一对一的人际传播过程,人类信息传播的速度和能力极大提升,信息时代人类社会大规模同时在线网民之间信息的实时传播基础已经初步奠定。这是我们必须面对的新形势和新现实,这是人类社会和文明的进步,同时对政府提升公共管理水平形成了新的挑战和机遇。
目前,中国网络空间舆情的大致格局可以从两个角度来看。从内容生产的数量看,每天新增数万篇职业记者的文章,新增数百万篇业余记者的博客文章,新增数亿条网民发布的微博内容。从内容生产的群体看,包括大约百万级的专业记者队伍,1亿活跃的博客用户,3亿活跃的微博用户,5亿活跃的微信用户。从大容量受众的账号来看,在微博中,拥有10万以上粉丝的“大V”超过1.9万个,拥有100万以上粉丝的“大V”超过3300个,拥有1000万以上粉丝的“大V”超过200个。尤其是在新浪微博中,李开复、姚晨等“大V”的粉丝甚至达到5000万、7000万的惊人数量!
我们过去一贯建立在传统媒体主导基础上的舆情管理体系,也就是基于传播过程、基于传播内容的舆情管理与控制模式,面临彻底失效。我们需要找到舆情监管事半功倍的新模式和巧方法,核心在于三点:一是需要统筹整个网络空间的顶层设计,二是强大的社会化动员和管理体系,三是跨部门的协同和联动能力。
如何做好网络空间的舆情工作?首先,让我们向最善于驾驭互联网变革趋势的成功公司取经。纵览全球的成功互联网公司,如美国的谷歌和Facebook,中国的腾讯、阿里巴巴和百度,可以发现一个基本规律:最成功的互联网公司收入最高的时段是晚上9到10点,网民最活跃、访问量最高的时段是员工下班之后。阿里巴巴作为中国最大的电子商务公司,自己不销售商品;百度作为中国最大的门户网站,自己不生产内容;腾讯作为中国用户量最大的互联网公司,完全基于网民互动。这些公司的核心竞争力在于网民的社会动员能力,这些公司从来不依靠自己的员工生产,而主要去激发网民的生产能力。同样,今天的互联网管理,如果仅仅依靠政府部门的人员,也是“不可能完成的任务”。
目前全球网民30亿,中国网民超过6亿。通过博客、SNS、微博和微信等应用,网民已经成为社会内容生产和信息传播的绝对主力。任何一个公司的员工都不可能完成如此巨大用户群体的生产,任何一个政府部门的人力和物力都无法胜任掌控与管理这些网民的工作。所以,互联网的管理也必须通过社会化的方式进行,网民、企业和非政府机构将是互联网管理的主力军。
这一点,美国政府的做法值得我们学习。分析历史及最近的斯诺登事件,我们都知道,美国政府实际控制着整个互联网世界,一直通过“看不见的手”在操控。除了政府部门之外,美国的网络空间安全策略更多的是通过政府各部门背后主导的各类协会、核心企业、学术机构、民间智库和国际组织来分布实施。
在互联网越来越全球化,越来越社会化的今天,网络舆情工作需要通过不断增强的社会化能力来提升,只有通过社会化力量的发展和增强,才有可能在趋势面前不至于越来越被动。相应的,政府部门应该越做越少,越做越小,走好网络空间的群众路线,让政府部门将有限的人力和物力主要用在社会动员和社会力量的组织、协调和指导上,达到事半功倍的效果。否则,不断强化的监管,将进一步树立官民对立的情绪和倾向,进一步削弱政府的社会动员能力和效果,与整个互联网的发展趋势相背离。
我们一直有着良好的群众动员传统和能力。但是,在网络空间中,我们同时需要增强意见领袖的动员能力。这是我们当下的一个短板。因为基于内容和过程的监管方式失效,所以唯一有效的工作办法就是放下内容和过程,以人为本,直达信息的本源——人,尤其是网络意见领袖。与广大的意见领袖保持日常的沟通、交流、互动和对话,成为工作的新重点。这项工作仍然需要各级政府部门“补课”,建立日常联系制度,实现线上线下互动结合。相关部门可通过多种渠道、多条途径与网络意见领袖建立友好联系,特别是对那些网络影响力极大的代表性人士,更要建立经常性的联系制度。定期或不定期地举办座谈会、新闻发布会、听证会等,邀请网络意见领袖的代表人士参加,向他们通报信息,听取他们的意见和建议,并通过他们做好网民的工作。组织他们参观、考察、调研经济、社会等领域的建设和发展,帮助他们全面、深入地了解相关情况,使他们理解现代社会公共治理的复杂性,引导他们在根本问题上帮助党和政府对网民进行客观引导等。只要将这个工作做到位,做扎实,面对任何互联网的新变化和新趋势,我们都可以牢牢掌握主导权。
当然,更重要的是我们必须改变政府工作方式,尤其是在舆情应对和信息公开方面,走出僵化和官僚化的框框。例如,在危机处理方面,要抢时间、抢时间窗口,设置专家在场机制,发挥网络意见领袖第三方信源的正面作用,化解公共危机。学者、著名新闻记者、成功商人等一般在某个领域中形成了权威地位,是网络意见领袖的重要组成部分。他们在网络舆论中、在关键时刻发表真知灼见,能使世人振聋发馈,获得公众的广泛响应,在对议题的设置和言论走向方面,依然起着强势作用。我国的突发公共事件中,一旦出现公众对政府不信任的情况,事件的处理难度将会增加。而网络意见领袖作为第三方信源,由于其立场相对独立、客观,往往对公众更具有说服力,有助于促进事态的好转。
充分认清互联网信息传播变革的规律,面对新的趋势,我们必须改变自己,改变思路,改变模式!政府部门要有智慧地在网络空间“隐身”,减少直接介入和强势呈现。树立网络空间的思维模式,加强对网络意见领袖的动员。只要摸准新的规律,中国完全有实力和底气掌控网络空间的主导权。当然,最后必须强调,发展是硬道理,自身实力是根本。自己束缚自己的发展,将制造最大的不安全!
3.Windows XP停服带来巨大网络安全隐患
2013年10月18日,微软将个人计算机历史上服务时间最长的计算机操作系统——Windows XP捐赠于美国国家博物馆永久收藏,并向公众再次宣布,2014年4月8日微软将正式停止对Windows XP的服务支持。同时,微软Office 2003也于2014年4月8日停止服务。从所谓稳定性和安全性的角度考虑,提醒用户请尽快升级微软旨在扭转在移动终端领域处于弱势地位的Windows 8等操作系统。正式停止对Windows XP的服务支持,是指不再提供针对该操作系统的系统安全补丁、升级及其他相关服务。
微软停止对Windows XP的支持这一事件表面上看起来似乎只是微软的产品服务问题,事实上却可能成为中国有史以来最严重的网络安全事件。
首先,Windows XP的用户群体主要在中国,涉及2亿多用户。其次,外界很少知情的是,基于信息安全考虑,Windows XP之后的Windows Vista到Windows 7和Windows 8,都被禁止进入或未被列入我国的政府采购目录,所以,目前我国的党、政、军及核心行业和企业,都仍以使用Windows XP为主。微软逼迫用户放弃Windows XP,很大程度上也在“逼宫”中国政府——要么使用微软可以全面掌控用户计算机和数据的新版本,要么就将面临严重的安全隐患。该事件将中国在核心信息技术和信息基础设施方面受制于人的尴尬局面暴露无疑,不解决自主可控和有效防御的问题,网络强国只是空中楼阁。这个问题不可能一蹴而就,也不可能继续延误,所以,在3年之内必须有所作为。在核心技术方面,下决心着力解决可替代的问题,初步解决自主可控。在关键基础设施方面,建立产品安全审查、源代码托管、首席安全官、安全性攻防监测等一系列措施,建立基本的保障能力。
操作系统是底层软件,是其他一切软件运行的平台,也是计算机硬件的实际控制者。操作系统在很大程度上决定了一台计算机的安全性。Windows Vista和Windows 8都采用了微软的可信计算架构,在这种架构下,没有微软的许可,其他软件不能运行,硬件配置不能修改。有专家认为,这使微软和NSA可以轻易地控制用户的计算机。而Windows 8在操控用户计算机方面比Windows Vista走得更远,它不仅采用了和Windows Vista相同的可信计算架构,而且捆绑了微软自己的杀毒软件Windows Defender,这样,第三方杀毒软件将被禁用,更严重的是,这使微软可以借“杀毒”之名,随时扫描用户的计算机,并随时发布“补丁”,这将大大加强对用户计算机的控制。德国《时代周报》2013年8月报道,该国政府及私营机构将考虑拒绝使用Windows 8,其主要理由是:微软的可信计算实际上是NSA的“后门”——它让微软和NSA事实上能远程控制任何计算机。
直到今天,很少有人注意的一个重要事实是:2006年Windows Vista推出之际,当时的国信办根据专家评估,确认其架构会使用户计算机被微软高度掌控,存在严重的安全隐患,因此提议不允许Windows Vista进入政府和重要行业,Windows Vista就没有进入政府采购目录。后来,安全隐患比Windows Vista更高的Windows 7和Windows 8更不应被引入政府和重要行业。这种情况下,如果微软停止对Windows XP的服务,那么中国政府除了采购Windows 8以外还有其他选择吗?而一旦被迫选择了Windows 8,又如何保障网络安全?除了党、政、军之外,电力、金融、航空等关键基础设施领域又将如何确保安全?
用户失去自主权不是大事,一个政府失去自主权就不是小事。向微软低头妥协,似乎是中国政府唯一的选择,这是因为,微软具有绝对垄断的能力,具有胁迫用户最终不得不升级的底气。
2014年3月7日,微软中国公司、联想公司在京召开新闻发布会,就Windows XP系统“退休”事件共同发起“Windows XP用户支持行动”,代号“扎篱笆计划”。这个名称实在是贴切又恰当,其根本目的就是为了帮助微软“扎篱笆”,“围猎”Windows XP用户,达到更好地推动升级的效果。
“扎篱笆”的本质是用户升级助手,是利用腾讯和联想等国内厂商加快用户的升级。这也是一场超级政府公关活动:一方面需要拉拢更多国内帮手,为自己壮胆,化解政策风险;另一方面让国内企业“争风吃醋”,瓦解国内联盟的力量。显然,保障Windows XP用户的安全不可能是联盟的真正目的,因为用户不升级完全不符合微软的利益。保障Windows XP用户的安全,对微软来说本身就是举手之劳,根本不需要别人代劳。联想和腾讯难道拥有微软维护Windows XP的技术、资金或人手吗?显然不是。这些国内企业更多地被微软用作公关武器而已。
在微软如此步步紧逼的形势下,中国急需成立一个政府支持、企业团结、行业响应的全新联盟。这个联盟首先要真正为用户的安全着想,首要任务是拿出切实可行的方案,在没有微软服务的前提下继续保障Windows XP用户的安全。通过国内企业的群策群力,给用户安全感,为用户提供切实的安全保障。目前,联盟已经呼之欲出,只是在微软的干预和拉拢下,还需要更有力的推动。
对于最终的效果,最悲观的路径走势是:微软强有力的政府公关、内部分化和美国政治施压等多管齐下,中国市场全面沦陷,政府、行业和个人市场全面升级到Windows 8。此举微软将获得千亿级收益,微软的合作伙伴也将分享利益。当然,中国的核心技术和关键基础设施的安全保障问题的解决再次变得遥遥无期。
但是,我们还是期望出现乐观的路径走势:政府(尤其是网络安全领导小组)能够顶住压力,痛下决心,坚决不采购存在严重安全隐患的微软产品,并将压力转化为动力,利用政府市场与关键行业市场,全面启动Windows XP安全接管和国产产品替代工作。当然,首先要确保用户不升级的安全性。
4.中国成立国家安全委员会
2013年11月12日,中共十八届三中全会公报提出设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全
。2014年1月,中共中央政治局召开会议,研究决定设立中央国家安全委员会,其作为中共中央关于国家安全工作的决策和议事协调机构,向中央政治局、中央政治局常务委员会负责,统筹协调涉及国家安全的重大事项和重要工作,中央国家安全委员会由习近平任主席,李克强、张德江任副主席。
从国际形势来看,我国面临的传统安全威胁与非传统安全威胁不容乐观,尤其是网络空间安全对现实空间的政治、经济、文化、社会、军事等领域的影响将越来越显著,甚至会主导这些领域的安全,因此,成立国家安全委员会并由国家最高领导人出任组长、副组长,既符合当今国际惯例,又符合当前全球网络空间的安全形势。
2014年,中国网民普及率很可能突破50% 大关
。互联网不仅是一个行业,而且正式形成了一个真正超越现实的空间并主导现实空间的全新的网络空间。在这个全球性博弈的新空间中,中国将在国家战略高度上全盘思考和部署国家的安全与发展。因此,我们预测2014年将成为中国网络空间战略元年,我们有理由期望在国家战略、组织架构、顶层设计和具体对策方面形成新的布局。
1.国内 .com域名DNS故障
2014年1月21日下午,中国互联网遭遇有史以来最大的故障。尽管攻击造成的故障只有短短十几分钟,却造成很多用户10多小时无法正常上网,导致全国约2/3的网站域名解析服务器失效(又称DNS解析失败)。故障原因是根服务器遭受网络攻击,用户通过国际顶级域名服务解析时出现异常。由于网络攻击显而易见的复杂性,攻击来源目前还无法确定
。
本次故障昭示着一个根本的问题:中国互联网不能没有根!我们必须掌握根服务器的主导权!如何让中国互联网生根、扎根?需要在战略高度上制定非常紧迫的行动时间表。
中国互联网必须要有根,这是毫无疑问的——无论是为了保障网民的正常访问,还是为了应对国家网络空间的安全。但是,如何让中国互联网有根,是一个需要高度智慧的工程。我们必须在互联网开放的精神下,在全球互联的游戏规则下,有理有节,有勇有谋,多管齐下,实现我们的战略目标。也就是说,在根服务器的问题上,我们必须站在世界的角度看中国,而不能只是站在中国的角度看世界。否则,就容易走向偏执和狭隘。
这次故障最大的意义是向全民普及了根服务器的知识。简单比喻,根服务器就是互联网全球互联的“总电话簿”,用来管理全球互联网的通讯录(主目录)。目前,全球共有13个标号的根域名服务器,1个为主根服务器,放置在美国,其余12个为辅根服务器,9个放置在美国,英国、瑞典与日本各1个。
美国单边垄断了根服务器,中国至今没有根服务器,这主要是历史原因造成的。因为根服务器在美国诞生之时,我们还没有接入互联网,更没有参与互联网。到了掌管根服务器的机构——互联网名称与数字地址分配机构(ICANN)成立的1998年,全球网民1.47亿,美国网民8800万,占比超过50%,中国网民只有210万,占比不到2%。而今天,全球网民接近30亿,美国网民数量刚刚突破2.5亿,占比不到10%,而中国网民数量已经达到6.18亿,占比超过20%。未来10年,美国网民占比还将下滑。美国单边垄断根服务器的时代已经过去,但是,真正转移主导权还需要更大的努力。
显然,目前无论是互联网用户的规模,还是互联网产业的发展,我们都处于快速上升阶段,美国处于相对下降阶段。我们完全可以因势利导,以更主动、更积极的开放精神,团结大多数国家,去争取根服务器的主导权。
从全球互联网及中国互联网的历史发展来看,互联网今天的成绩是长期发展的结果。中国争取根服务器主导权的道路也注定是艰巨和漫长的,必须结合长期、中期和短期目标,在战略和战术等多层次上进行谋划、布局与行动。尊重互联网的根本精神,尊重网络世界的基本规则,尊重国际游戏规则,任何急功近利、意气用事都是不可取的。
在根服务器问题上,只要正确认清形势,明晰问题,就不难找到合理的对策。既不能过于乐观,也不要过于悲观。当然,最忌讳的还是封闭与狭隘。最狭隘,也是最自然的建议是:中国自己建立一套全新的根服务器系统。虽然互联网起源于美国,但是互联网更是全人类的重大文明成果。“一个世界,一个互联网”(One World,One Internet),这不仅是基本的理念,也是互联网的核心价值所在。正因为全球统一,开放共享,互联网才成为今天的互联网,而中国也是互联网最大的受益者。互联网走向分裂,既不符合时代趋势,也不符合中国利益。其实,全球不互联的网络到处都是,根本不需要新建。无论是中国电信,还是中国移动,抑或一个普通公司的内部网络,都是软/硬件完备的网络。但是,这些都只是局域网,只是规模不同而已。任何试图重建封闭式的根服务器的建议,都是误导和空想,将使得我们退回没有互联网的时代。这种历史倒车,不但不可能成功,而且害国害民。
2.美国宣布有条件移交互联网管理权
2014年3月14日,美国政府机构宣布,将放弃对国际互联网名称和编号分配公司(ICANN)的管理权,不过不会把这一权力移交给联合国,而是移交给“全球利益攸关体”。美国商务部下属的国家电信和信息局当天发表声明说,作为移交管理权的第一步,美方已要求ICANN召集全球利益攸关者提出移交方案,这一方案必须获得“广泛国际支持”,并遵循保持互联网开放性的原则,但声明强调不会接受“由政府或政府间机构主导的解决方案”。ICANN在一份声明中表示,希望到2015年9月其与美国政府签署的合同结束时,能够将美国官方对ICANN的管理权移交给有关方面,但ICANN作为互联网管理机构的角色保持不变。
首先,了解一下ICANN的情况。ICANN是总部设在美国加利福尼亚州的一个非营利性国际组织。在ICANN管理的系统中,每个互联网接入设备的IP地址是唯一的,而且用户不用记住数字形式的IP地址,只需借助具有意义的、文字形式的域名即可。这要求全球互联网的访问必须经过ICANN系统的域名解析才能顺利到达目标网址。
其次,美国要求ICANN提出的移交方案必须获得“广泛国际支持”,而且遵循以下4个原则:第一,支持和加强多方利益相关者模型;第二,保持互联网域名系统的安全、稳定和韧性;第三,满足全球消费者与ICANN合作者的需求和期待;第四,保持开放性。
最后,美国之所以在2014年年初提出移交根服务器管理权的计划,一方面是斯诺登事件带来的全球舆论压力,另一方面源于世界范围内网民数量分布的调整及产业竞争格局的转变。尽管美国放弃了商务部对ICANN的直接管理,但只要是美国的公司在最终的“多边利益相关方”模式中占据优势,那么美国政府就可继续拥有相当大的管理权限。这种局面显然不是短时期可以改变的。未来,国际组织、各国公民社会组织、各国企业实体,尤其是全球化发展的企业实体的崛起,将是消除美国绝对垄断权的最佳新生力量。
3.NSA针对华为实施“射杀巨人”项目
2013年3月22日,美国《纽约时报》和德国《明镜周刊》分别曝光了从斯诺登处获得的机密文件,文件显示:从2007年开始,NSA发起了针对华为的“射击巨人”(Shotgiant)项目,通过入侵华为总部服务器,窃取华为内部核心商业和技术数据,监听华为高管,从而调查华为与中国军方的关系,并希望借助华为遍布全球的产品设备的技术漏洞,对华为的用户通信进行监听甚至发动攻击等一系列行动和计划。NSA“射击巨人”项目的目标不但包括窃取中国国家情报,还包括通过华为的海底光缆潜入伊朗、阿富汗、巴基斯坦、肯尼亚、古巴等“重点目标”的网络。
根据斯诺登提供的文件,2010年,NSA的精英黑客团队“获取特定情报行动办公室”(Tailored Access Operations)找到了一种入侵华为总部服务器的方式。他们在华为的网络中植入后门,窃取了源代码。黑客小组自称在这方面“成果斐然”,获取了不少华为员工的电子邮件内容。一份文件显示,NSA收集了任正非的通信记录,复制了1400位客户的名单和内部文件。NSA在全球网络空间中无所不能、无所不为的超级能力再次昭告天下。
此前,美国政府一再辩称,中国的黑客行为是为了让中国公司更有竞争力,而美国的黑客行为只是为了保证国家安全。美国政府的虚伪这一次更加暴露无遗。美国外交关系委员会成员、网络安全与中国问题专家亚当·西格尔(Adam Segal)也表示:“看不出其中有什么不同与差异。”并认为这一机密文件的曝光可能是“压倒骆驼的最后一根稻草”,将引发民众对美国政府的不信任。NSA的所作所为显然已经远远超出反恐和安全的范畴。
对中国来说,美国国家安全局针对华为总部服务器历时7年的入侵,是迄今为止斯诺登曝光的与中国相关的最具体、也是最具有震撼力的材料。
首先,事件进一步证明了NSA对中国的入侵和监控能力,渗透程度之深、之广,远超我们的想象和估计。华为作为中国研发能力最强的高科技企业,研发人员达6.2万,近10年研发投入超千亿元。若华为失守,那中国还有什么企业和机构可以设防?
其次,华为并不是美国入侵行为的单一受害者。综合此前披露的中国主要通信运营商和中国教育网等被入侵的消息,可以说,华为只是整个中国国家信息系统被美国深度渗透之后的受害者之一。《明镜周刊》表示,华为并不是NSA唯一重点“盯防”的对象,NSA的监听目标还包括中国商务部、中资银行和电信企业等。也就是说,中国所有的重要企业、机构等都面临和承受着与华为一样的威胁和危险,华为面临的问题只是冰山一角。
正如华为北美副总裁威廉·普鲁莫(William Plummer)在声明中所说:“讽刺的是,他们对我们的所作所为恰恰是他们指责的中国对美国的所作所为。如果真的存在这种间谍活动,那么他们可以知道,公司是独立的,与任何政府都没有关联。这样的信息应当被传达给公众,以解决这方面的误解和信息缺失。”NSA对华为有着如此之深的入侵,如果华为真存在什么问题,那早就铁证如山了。“射杀巨人”项目的曝光,从另一个角度证明了华为的清白——虽然这角度是如此令人苦涩。
最后,美国对于华为的各种指控不但是“贼喊捉贼”,而且明显另有不可告人的目的。NSA的项目名称一般都很有智慧和内涵,如“棱镜”。棱镜的作用是将混合光分解,棱镜计划是将互联网监控的数据进行分解。2010年的一份文件显示,针对华为的行动命名为“射杀巨人”。顾名思义,行动的目的不是防御性的,而是进攻性的;不是白宫发言人凯特琳·海登(Caitlin Hayden)所声称的“为了保证美国自身的国家安全”,而是为了“射杀”华为这家中国迅速崛起的科技巨头。
回顾过去10多年来思科通过知识产权诉讼和市场传播不利信息等针对华为的市场竞争手段,以及2012年美国众议院情报委员会阻止华为和中兴进入美国市场的报告,基本上可以勾勒出一个美国政府、企业和情报部门等多方联手、多层次联动、共同狙击华为的战略轮廓。“射杀巨人”行动并不是美国国安局的单独行动,还有白宫、美国中央情报局和美国联邦调查局的联手参与。美国动用多方面的国家力量对中国的一家企业展开如此深入的网络入侵行为,不但极不公平,而且违背了基本的国际准则。
4.中央小组成立,走出顶层设计第一步
2014年2月27日,中央网络安全和信息化领导小组成立,习近平任组长,李克强和刘云山任副组长。领导小组提出网络强国战略,这是我国互联网有史以来最重要,也将是影响最深远的一件大事,实现了我国互联网发展的重大转折,标志着我国网络安全与发展工作走出了顶层设计的第一步。
这是中国网络安全和信息化工作第一次由国家一把手担纲。1993年,国务院批准成立国家经济信息化联席会议,国务院副总理任主席。1996年成立的国务院信息化工作领导小组和1999年成立的国家信息化工作领导小组进行了延续。2001年8月23日,重新组建了国家信息化领导小组,提升了组长的级别,由当时的总理朱镕基任组长。2008年3月,国家大部制改革启动,决定不再保留国务院信息化工作办公室。2014年中央网络安全和信息化领导小组成立,第一次由国家最高领导人担任组长,这是一次历史性的突破。从此,真正立足中国、立足全球的顶层设计成为现实。
除了提升级别之外,更重要的还是内涵的改变。领导小组的名称与最初传闻的名称有所差别,那就是将“网络安全”放到了“信息化”的前面,这个小小的差别中蕴含着大文章。一个国家的网络空间安全,不仅指这个国家的信息安全和网络安全,还包括这个国家在网络空间中的安全!习近平在讲话中指出,网络安全和信息化是一体之两翼、驱动之双轮……要做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。但是很显然,在国家战略层面,安全问题更加重要和紧迫。在全球互联网普及率超过三分之一,人类开始全面进入大数据和云计算时代的全新环境下,网络空间安全已经超越现实空间安全,主导和控制着现实空间安全。几十年来,我们在信息化方面成绩显著,但是在网络安全方面,我们与美国的差距不但没有缩小,而且有所扩大。斯诺登事件本身并不新鲜,但是斯诺登事件揭示的美国对全球网络空间的监控和掌控程度,以及美国网络空间的整体布局能力,却大大超越我们原先的估计。
当然,完成制度设计仅仅是“万里长征的第一步”。从网络大国到网络强国,我们还需要长时间的努力。短期之内,现实的目标是加强内功修炼,加紧补课,尽快结束我们不设防的现状,形成一定的防御能力。尤其是争取在最短的时间内,能有效保住要害部门,及时侦测攻击行为,同时初步建立关键基础设施网络安全体系,初步形成自主可控的能力。网络强国的标志是:国家关键基础设施具备完善的防御能力,互联网产业具备强大的全球竞争力,网络安全领域和军事领域具备足够的威慑力。
领导小组的成立有助于更快形成国内高效、整体有序的新布局,有助于推进中国全面参与全球互联网治理的进程,更有助于快速走出在中美博弈中的被动局面,是我们顶层设计的重大突破。过去我们的发展更多依靠自下而上的力量,今后自上而下力量的加入,两大力量相互贯通和促进,可以达到事半功倍的效果。10多年来,“九龙治水”和事件驱动性的互联网治理体系存在很多问题,但是最宝贵的是锻炼了一大批懂互联网、爱互联网的政府管理人才,形成了一系列术业有专攻的机构。领导小组的成立绝不在于将这些部门简单捏合与集中在一起,而是通过强化协调和协同能力,让这些分布和分散的管理能力更好地发挥作用。最后,是最容易被我们忽视的社会化能力。我们的政府部门长期以来习惯亲力亲为,不断扩充人马。事实上,网络空间的治理是不可能通过政府部门的人员完成的。调整我们固有的工作思维,更注重调动企业、组织、学界、社会和民间等各层次的力量,网络空间的治理才能更符合发展的需要,符合时代的趋势。
可以说,中央网络安全和信息化领导小组的成立是一个里程碑,标志着中国从网络大国向网络强国的迈进正式完成制度设计,标志着中国第一次超越单纯的信息化基础建设,从网络空间安全的全新视角来审视当今世界。中国网络强国建设之路就此起步!
维护网络空间安全,建设网络强国,最基本的就是在观念上扭转错误思路,创新思维,真正把握网络空间下应对各种挑战的新思维、新模式。
我们认为,中国在网络空间安全问题上与美国的主要差距不是技术性的,而在于思维模式和范式,最核心的误区在于主体和客体的倒置。在这场目前由美国总导演的网络空间安全“大戏”中,我们首先迷失在概念的基本核心中。我们一直把安全问题定位为传统的信息安全和网络安全。其实,网络空间安全问题的主体是网络空间,而不是信息和网络,信息和网络只是其中的客体,是重要组成部分。打个比方,如果网络空间是一个人,那么信息就是肉,网络就是骨。人(网络空间)的安全问题当然不是简单的肉(信息)的安全或者骨(网络)的安全。
网络空间安全,英文名称为“Cybersecurity”,最恰当是译为“赛伯空间安全”,通俗一点可译为“网络空间安全”。这与信息安全(Information Security)和网络安全(Network Security)是完全不同层面的概念。名称中所谓的“网络空间”,是指与现实世界的空间对应的全新虚拟空间。也就是说,一个国家的网络空间安全,不是指这个国家的网络安全,而是指这个国家在网络空间中的安全!
正确的网络空间安全,与谬误的网络安全(或者信息安全)的内涵,有着本质的区别。除了包含的范畴之外,最核心的区别就是:一个是网络时代的视角,一个是工业时代的视角;一个是互联网的新思维模式,一个是传统的旧思维模式。两种思维模式的差异,是两种范式的差异,而这才是概念差异的根源。
两种范式究竟有什么根本差异?互联网范式和传统范式的不同在于网络空间与现实空间的不同。相比现实空间,网络空间以光速运行,不存在边界,而且没有摩擦。我们形象地把现实空间的范式称为大教堂范式,把网络空间的范式称为大集市范式。前者是我们习以为常的,整个社会运行体系都是基于大教堂范式;后者是正在形成的新空间,与我们的现实和经验相比,很多规制是头脚倒置的。两种思维模式,常常是两种世界观和两种规律。例如,自上而下与自下而上,集中式与自组织,控制式与动员式。我们以工业时代的传统范式去应对美国网络时代的新型范式,轻者说是“牛头对马嘴”,重者说是“鸡蛋碰石头”。
由于局限于传统范式的网络安全观将信息和网络当作问题的主体,所以,我们的安全事务和视野长期分散在工信部、安全部、公安部和国信办等部委之中。而事实上,网络空间的安全对应的是现实空间的安全。对于一个国家来说,现实空间的安全主要建立在四大能力之上,就是国家的政治能力、经济能力、文化能力和军事能力,表现为政治安全、经济安全、文化安全和军事安全。相对应的,网络空间安全是建立在一个国家在网络空间的政治能力、经济能力、文化能力和军事能力基础之上的,也就是说,网络空间安全的主要内容是国家在网络空间的政治安全、经济安全、文化安全和军事安全,而这些安全问题岂是我们传统工业时代设置的一个部门能够解决的?只有完成顶层设计,将网络空间安全提升到与现实空间安全同等甚至更高的高度上来制定战略,寻找对策,才可能找到方法,让各种问题迎刃而解。
表面上的概念之差,本质上是思想观念和思维范式之差。理清这一点,采用对等的思维模式,就可以扭转战略上的被动,从容地见招拆招。因此,走出狭隘的技术层面的网络安全,在新的思维模式和战略高度上完成顶层战略设计、机构设计和对策研究,是建设网络强国要打通的第一个环节。
1.“网络强国”之平衡十大关系
“网络强国”本身有两重含义。一是网络的强国,即信息网络发展程度与水平较高;二是以网络强国,即通过举国之力发展信息网络经济,促进形成强大国家的综合国力。网络强国是本世纪以来中国提出的重要举措,它关乎国计民生,与每个人的生活息息相关,同时也需要国家各个层面共同努力。值得注意的是,建设网络强国和以网络强国可以是两个阶段,同时又是相互促进、相辅相成的两翼,统一于国家整体发展战略之中,直接体现在将网络强国和两个“一百年”奋斗目标相结合,构成最为广泛的人民共识。
在网络强国战略的制定与实现过程中,需要对以下十大关系进行平衡。这十大关系中很多是一枚硬币的两面,是矛盾的统一体,是体现战略制定和实施的智慧水平的关键所在。
第一,现实世界与网络空间的关系。网络空间与现实世界呈现出不同的规律与特性,其中最重要的是思维模式的不同,即互联网思维模式。在网络强国建设的道路上,需要相关的战略部署、制度与管理设计转变现有思维模式,适应网络空间的发展规律。
第二,安全与发展的关系。“网络安全和信息化是一体之两翼、驱动之双轮”。互联网发展到今天,安全已经超越了技术的范畴,更具决定性意义。谁掌握了安全这条“生命线”,谁就掌握了先机,谁就能在下一代互联网发展中脱颖而出。但是,任何安全都是有成本、有代价的,也必然会在一定程度上影响甚至牺牲发展。然而,没有发展就没有安全,所以,必须在良好的发展态势下去寻求安全。
第三,短期路径与长期规划的关系。作为一个后发国家,尤其是一个正在崛起的发展中大国,网络强国的战略面临的问题众多且繁杂。我国在网络强国的战略部署规划上必须把问题合理放置在一个较长的时间轴上,长期规划要遵循全局性的趋势和规律,短期路径要针对主要矛盾追求高效的解决方案。
第四,对内与对外的关系。网络空间是全球统一的空间,需要学会站在世界的角度看中国。随着互联网的发展,对外关系将逐渐成为中国互联网的主要矛盾,这也是一个网络强国的重要体现。
第五,中美博弈与全球格局。与现实世界类似,网络强国是我们中国在全球格局的基本定位。但是,在未来10年,产业竞争力、创新能力、互联网治理能力包括全球互联网管理权等工作部署需要着眼于中美博弈,这是所有关系的核心。
第六,进攻与防御、军与民的关系。我国需要根据具体国情,形成以网络威慑力为目的,进攻与防御兼顾的战略规划。有效的防御是网络强国的根本保障。但是,具有一定威慑力的进攻能力也是网络强国的必要条件。现阶段,以打造局部领先的进攻能力,全面部署网络防御能力为主。同时,在网络空间,传统高度封闭的军事模式也需要将军民的融合纳入常态考量之中。
第七,自上而下与自下而上的关系。中国互联网20年的发展历程中,自下而上的自组织文化特性对于推动中国互联网的创新发展起到了重要的作用。而今,网络强国成为国家战略,成立了最高级别的专门机构,自上而下的力量将强势介入未来发展之中。自上而下与自下而上两股力量如何相互促进网络强国建设需要纳入平衡思考。
第八,自主可控与开放的关系。如何保障关键基础设施的自主可控与鼓励产业的全球化发展,需要多方协同解决。自主可控不代表闭关自守和简单的国产替代,而是需要设立战略规划,通过政府部门的统筹、各方的协同、相关制度的落地、产业核心技术的自主创新,既形成防御能力,又有效推动产业发展。
第九,顶层设计与基层设计的关系。在顶层设计发挥指导统筹作用的同时,审慎落地解决日常发展与安全的基层设计。例如,将对信息产品安全审查、源代码托管制度、首席安全官制度、关键基础设施保障等进行一系列配套的基层设计,落实到日常工作之中。
第十,单点突破与整体布局的关系。具体到网络强国的建设,需要掌控全局,更需要删繁就简;需要整体布局,更需要单点突破。
2.网络空间安全优先考虑两大主题
IT核心技术自主可控与关键基础设施保护这两大主题是当前网络安全工作的重中之重。如何解决以操作系统为代表的IT核心技术受制于人的问题,以及如何实现关键基础设施有效防御的问题,成为实施“网络强国”战略必须首先面对的问题。以上两大问题也是建设网络强国的核心基础,失去这两个基础,“强国”完全无从谈起。微软Windows XP事件、华为等公司被NSA监听等网络安全事件直接倒逼这两个核心问题,可以说是老问题、新矛盾。
NSA入侵华为事件值得中国警醒。中国建立基本防御能力已经是当务之急,刻不容缓!针对美国对中国的全局性入侵,我们必须尽早建立基本的侦测、排查机制和有效的防御能力,而不能仅仅依靠斯诺登式的方式“告知”我们。连华为这样实力强大的企业对于美国的网络入侵都无法有效防御,那么当今中国党政军部门、通信、金融、交通、能源、广电等关键基础设施的安全又如何保障?网络安全的基础课程再也容不得我们慢慢从长计议了,而应该成为新近成立的中央网络安全和信息化领导小组的头等大事。对操作系统、CPU、路由器、数据库和大型机等IT核心技术受制于人的困境,也必须尽快采取有效对策。
通过这个事件,我们可以看清全球网络空间的基本战略格局。尽管美国政府一次次冠冕堂皇地表示,美国的网络入侵仅仅是出于自我防御目的,但事实上,目前美国仍是全球网络空间领域唯一具有进攻能力的国家。无论是国家层面,还是华为公司,在美国的进攻性战略下,我们连基本的防御能力都不具备,更不具备针对美国的进攻能力。而没有攻防兼备的能力,网络强国将永远只是梦想。
微软Windows XP停服事件是中央网络安全和信息化领导小组亮相以来面对的第一场考验——天大的考验!我们不能再以单纯研发功能重合的软件产品——旧有的工业产品竞争模式——去对抗微软,我们完全可以寻求模式的创新和突破,那就是借此机会实施替代或者双平台策略,在PC领域复制智能手机和智能平板的模式,弱化操作系统的作用,打造开放式的第三方应用平台。以做强、做大应用平台为着力点,摆脱操作系统垄断的局面,使中国的软件产业和应用服务产业得到井喷式的发展,并进一步引发全球PC领域的革命:彻底将操作系统基础化、免费化,以应用的极大丰富为发展重点!
具体而言,要根据不同层面的市场,采取不同层面的政策。包括党、政、军在内的政府市场,理应做出表率,坚决拒绝微软设定的升级路线,在确保安全的前提下,拿出可行方案,实施系统接管和过渡。同样,在关键性行业,也同样拒绝升级,坚持安全第一,实施系统接管和过渡。这两大市场是我们的要害,我们首先要保住,并以此市场为切入点,才能培育出具备市场化竞争能力的国产替代产品,打造出全新的应用商店模式。一般行业,可以不强制要求,但是建议不升级。对普通个人用户,给予每个人选择的自由。随着产品的成熟,通过市场化力量,找到长期的发展方向和成长空间。
除了市场战,我们也应该启动法律战。首先,用户可以依据消费者权益保护的法律法规,对微软中止服务的行为及因中止服务造成的损害提起法律诉讼。其次,从本次事件所反映的微软垄断价格、掠夺性定价、拒绝交易、强制交易、搭售、差别待遇等典型的滥用市场支配地位的行为入手,掀起反垄断诉讼浪潮。最后,更重要的是,与全球用户一起,展开全世界范围的舆论战。抛弃Windows XP用户的做法无论是在道义上、情理上还是法律上,都是站不住脚的。要让微软如此对待自己用户的行为,遭受全世界用户的谴责和抛弃!
3.中国积极争取根服务器
具体到根服务器上,我们可以从易到难,从三个层面务实推进。概括地说,就是建立应急根服务器系统、更多地建立镜像根服务器系统和引入根服务器。
首先,最基本的防御性措施,就是尽快建立应急根服务器系统。这个应急系统主要保证一旦发生与这次类似的故障时,甚至战时非常时期在国外根服务器故障的情况下,可以应急启用,以保证国内用户的正常访问。这从技术上完全可以实现。虽然正常时期没有什么大用处,但对于保障网络空间安全而言,有备无患也是非常重要的。一方面,可以让网络攻击的效果降到最低;另一方面,可以让利用根服务器使中国互联网“一招致命”的手段失效。
其次,我们应该更多地争取根服务器的镜像服务器。根据中文维基百科介绍,目前全球有386台根服务器。北京有编号为L的根服务器镜像2台,编号为F、I、J的各1台,共5台镜像,香港有A、F、I、J、L共5个根域和6台根服务器镜像(其中编号为J的根服务器有2台)。争取部署更多的镜像服务器,也是增强中国话语权的重要举措。
最后,最理想也是最难的,就是争取将部分根服务器引入中国。有了根服务器,中国就有了与美国博弈的对等力量,有助于形成更好的互联网治理体系。
上述三个层面的工作,都需要我们立足长远,进行全面的谋划布局。需要特别扎实地做好以下三大事项。
第一,就是积极、主动、广泛的国际参与。例如,ICANN、互联网工程任务组(IETF)、互联网治理论坛(IGF)、国际互联网协会(ISOC)、万维网联盟(W3C)等,就是全球互联网管理权力与规则的主战场。我们必须在国际舞台上,在国际规则下,不断提升我们影响互联网和制定规则的力量,这才是中国崛起与中国梦实现的必由之路。
第二,如何打破目前全球互联网管理美国单边垄断的局面,不仅是中国关注的问题,也是欧洲、日本等发达国家及广大发展中国家共同关注的问题。所以,如何在互联网管理上汇聚更多的联盟和朋友,是我们取得进展的关键性因素。
第三,也是最重要的,就是我们自身的管理模式、战略思维和行动策略,必须与当今互联网的格局和趋势相契合。我们自己的互联网管理制度,必须与国际接轨。在世界各国普遍不信任美国的趋势下,要让全球各国相信中国是网络空间更负责、更包容、更开放的新兴力量。另外,全球互联网管理权力的博弈主角,主要是非政府组织和相关人员,政府逐渐成为背后看不见的手。美国政府掌控互联网,是自己躲在背后,冠冕堂皇地实现战略目标。我们必须支持和培育多层次的社会化力量,让他们成为国内互联网治理和国际互联网博弈的强大的主力军。
推进三大层面和三大事项的工作,需要掌握两个关键点。
第一个关键点是把握互联网技术升级换代的机会。例如,全球互联网面临IPv4向IPv6的升级,这个升级过程将涉及根服务器的扩充和新布局。撼动存量很难,争取增量中更大的话语权,将会事半功倍。另外,在移动互联网时代,APP应用逐渐成为主导,对于普通用户来说,域名的重要性开始降低。在根服务器重要性不断降低的技术和业务发展上,我们可以快马加鞭,拓展新的发展空间。
第二个关键点是目前我们掌握根服务器的 .cn域名。一方面,我们要让 .cn域名的影响力和重要性拓展到国外,提升其与国际域名的竞争力。另一方面,在 .cn域名的管理方面,我们要更加灵活、宽松,进一步提升占有率。一定需要避免 .cn域名管理过于严苛,并因此损害 .cn的竞争力和使用价值。依靠国内互联网用户与产业的规模与活力,不断提升 .cn域名的国际竞争力和应用价值,也是我们增强网络空间安全性的重要方面。
总之,无论是我们自身的产业规模,还是我们未来的发展势头,以及当今的全球形势,竞争的天平都在向我们倾斜。存在和出现问题不可怕,可怕的是我们错判了问题,误导了战略。在根服务器的问题上,虽然任重道远,但是只要我们因势利导,顺利互联网趋势,遵循互联网精神,以更加开放的心态和姿态去应对美国为了固化和固守旧有利益格局而走向封闭和孤立的态势,那么我们在争夺网络空间主导权的博弈中将会取得更加主动的地位和优势。
4.扶持本土企业做大做强,促进全球化发展
在很大程度上,国家的事业就是企业,国家的发展有赖于企业的发展,国家有义务为企业构建和维护一个合理、公平的竞争环境。美国针对华为多层次的狙击已经不是简单的企业行为!无论是NSA的入侵,还是美国国会拒绝华为进入美国市场的报告,都不是华为依靠自身努力和能力能够解决的问题。中国企业“走出去”,遭遇美国政府与市场的联手绞杀,已经是一个严峻的现实。我们的国家如何才能有效维护自己企业的基本权益?在中国向美国企业敞开大门的时候,中国企业应如何在美国得到同等的待遇?没有国家作后盾,没有对等的市场准入制度,没有国家给予合理的外交支持,华为这样的优秀企业就只能在极度不公平的环境下生存发展,这必然严重制约中国走向网络强国的进程。
中国政府应该通过外交、法律和舆论等手段,要求美国政府采取有效措施,立即停止对中国企业、中国基础设施的各种入侵行为。同时,要团结欧盟、俄罗斯、新兴国家及更多的发展中国家,在联合国等各种国际组织层面对美国施加压力,促使美国纠正违背国际基本准则的各种行为。针对网络空间的安全保障和治理政策,应该制定更加明确的共同的国际准则,维护全球互联网健康、有序发展。
一切损害互联网精神的行为终将得到时代趋势的惩罚。希望“入侵华为”事件的曝光,能够促使美国政府损害全球互联网治理体系的行为早日收手。希望今天华为的“失守”,能够为早日守住整个中国的网络空间提供最好的警示。
5.网络强国战略实现三步走路径
中国完成从网络大国迈向网络强国的时间取决于我们的战略和执行力,也取决于互联网发展的趋势与全球变革的节奏。根据当下格局与未来十年的趋势预测,中国网络强国战略设计分为三个发展阶段进行实施:第一阶段是在2014年网络强国顶层设计开局阶段完成制度的初步设计;第二阶段是规划建立有效防御能力;第三阶段是具备积极防御能力,真正跻身网络强国。
第一阶段(约1年时间)
2014年是中央网络安全和信息化领导小组亮相之年,也是中国网络强国战略的开局之年。大国间的博弈即国家战略能力的博弈。以2014年为起点,继续完善战略与决策的顶层设计,初步在战略、决策、产业、网络防御、网络治理等层面形成行动方向。
在战略层面,初步制定网络安全国家战略。截至2014年3月,已经有40个国家推出国家级网络战略,除了美国、英国、日本、德国、法国、俄罗斯等大国之外,更有澳大利亚、加拿大、韩国、捷克、爱沙尼亚、荷兰、卢森堡、芬兰、匈牙利、立陶宛、波兰、挪威、新西兰、南非、新加坡等国。欧盟和北约也同样出台战略文件,建立国际多边网络安全构想。
在决策层面,初步建立社会化专家咨询体系——有别于传统封闭的咨询体系,建立一个相对专业的、由知名权威级别的专家组成的咨询委员会。我们需要建立一个跨学科、多层次、创新思维活跃、开放式的全新体系,甚至应该建立一个网络平台。
在产业层面,初步完成自主可控的信息产品准入制度和审查体系。一视同仁的审查机制、自主产业发展规划、创新制度、竞争制度等是关键所在。
在基础设施方面,初步完成关键基础设施的防御体系,尤其是建立首席安全官制度和源代码托管制度,建立基本的保障能力。
在网络军事方面,适时推出网军。网军已经成为网络时代国防的基本配置,目前,美、俄、韩等国已经公开推出网军或者类似网军的建制。例如,美国先后制定和发布了《国家网络战军事战略》、《网络作战司令部战略构想》等,美军各军种也先后颁发了《网络作战战略计划》,为网络攻击提供了行动和法律依据。
在网络信息治理方面,要想应对社会转型时期复杂背景下的互联网舆情,必须建立一整套顺应互联网信息规律的社会化治理体系。
第二阶段(约3年时间)
建立有效的防御能力。一方面,需要巩固和完善已经建成的网络安全防御体系,在更大程度上调动网络社会化的各方力量,共同提升整体网络安全保障水平;另一方面,应着眼中美博弈的大格局,多层次谋划一些可以快速突破的战略安排。例如,充分利用我国移动互联网技术创新与产业发展优势,扶持建立两至三个世界级的平台级网络服务应用,从而更加充分地积累与美国等互联网强国长期博弈的资本。
第三阶段(10年时间)
具备积极防御能力,真正跻身网络强国。要想真正形成局部领先优势,核心问题是要具备主导权,在整体上具备强大的竞争力,没有明显的短板和弱点,这应该需要十年乃至更长的时间去完成。
网络强国建设要兼顾发展网络空间软实力与硬实力。打造网络空间软实力需要结合我国社会主义价值观体系,同时也要牢牢掌握中国在国际话语体系中的地位。而网络空间硬实力的积累需要充分发挥企业等市场主体的作用,将网络科技优势转化成网络安全保障硬实力。只有软/硬实力兼备,才能拥有网络空间积极防御能力,并与其他强国全面博弈。实现第三阶段的目标,要兼顾“两个一百年”的第一个“一百年”目标,即全面建成小康社会。建成网络空间的和谐社会、文化强国、经济强国、政治强国、军事强国等也是网络强国的内在要求。
可以说,2014年中央网络安全和信息化领导小组的成立是一个里程碑,标志着中国从网络大国向网络强国的迈进正式完成制度设计,标志着中国第一次超越单纯的信息化基础建设,从网络空间安全的全新视角来审视当今世界,也标志着中国互联网发展和中国信息化建设“不设防”的时代从此终结。中国网络安全与信息化建设强国之路就此起步!