中国网络安全战略：基于总体国家安全观的特色建构

    
    五、全面增强网络安全威慑能力  
        由于网络安全涵盖从终端到网络、从应用到系统、从软件到硬件、从管理到法律、从国内到国际等内容，其涉及范围之广、门类之多很容易造成网络安全防不胜防。在20世纪90年代，类似“网络战”“网络珍珠港”和“网络威慑”等概念已经出现。网络威慑是一国通过充分显示强大的网络优势和网络对抗能力，使敌方因惧怕不堪后果而不敢贸然采取行动或使其行动有所收敛的行为态势。网络威慑提出的思路同核威慑大体相似，强调威慑方拥有敌方难以承受的报复能力。在互联网商业化和全球化的近30年中，尽管国家决策层担心由于黑客攻击而导致关闭电网、炸毁油管、污染水源、开启闸门和干扰空中交通控制系统导致飞机坠毁等事件，但此类推演中的重大灾难在现实中并未发生。不过，“达摩克利斯之剑”随时可能在不期的情况中落下，相关可能性不能排除，需要有预案应对。在这其中，防御能力和威慑能力是一体之两面：筑造无“剑”可摧的防御体系、打造“一剑封喉”的威慑能力，是保障网络空间安全的重要手段。 
        不少网络强国都在构建自己的网络威慑战略，其中，美国在理念与实践层面最为成熟。2011 年5—7月间，美国相继发布了《网络空间国际战略》和《网络空间行动战略》两份政策文件，此举标志着美国网络空间报复战略正式出台。2018年9月，美国接连签发《国防部网络空间战略概要》和《国家网络安全战略》两份重点文件，均将网络威慑作为实现美国繁荣与安全战略目标的重要手段，摆出“不能坐视不理”的强硬姿态。可以说，网络威慑已经成为美国网络安全战略的重要组成部分，和核威慑战略、太空威慑战略共同构成了美国“新三位一体”国家安全战略。 
        进入2019年，受中美贸易战、逆全球化和民粹主义影响，中国的外部环境处于前所未有的大变局之中，国家安全问题的重要性更加凸显。一国对基础信息网络的依赖性越强，就越容易遭受网络打击，脆弱性越高。中国网信办2019年5月在第二届数字中国建设峰会上发布的《数字中国建设发展报告（2018年）》显示，2018年我国数字经济规模已经达到31.3万亿元，占GDP比重达34.8%。强大的数字经济在培育壮大发展新动能的同时，也使得中国的网络空间安全面临着来自国家、组织和个人黑客的攻击与挑战。为了遏制和消除可能的攻击，习近平主席强调要“增强网络安全防御能力和威慑能力”。为此，中国需要在四个层面构建有自己特色的网络威慑战略：一是通过政策宣示展现敢于反击的意志力；二是以强大的防御体系来形成“拒止”能力；三是通过超量建设，确保遭受攻击后网络系统能继续运转，提升复原力；四是加大打击恶意网络攻击的力度，通过强硬的网络威慑政策，对潜在对手的主观判断产生影响，从而劝阻其在网络空间对中国的可能威胁，捍卫中国利益。 
        互联网对于保护国家安全、增强经济福祉至关重要，而且这一作用随着科技进步更加凸显。对网络战争所需更大成本的衡量和顾虑，会使得国家越来越谨慎地使用网络武器，或许可能最终形成“不首先使用网络武器”的正式规范。对此，中国应以习近平主席“网络空间命运共同体”思想推动网络空间国际合作与互信，加速网络空间国际规范的建构，减少和避免网络武器的使用。 
    六、构建“四位一体”的能力转换和责任传导体系  
        在网络空间，威胁来自国家级和商业级两个层面。国家级网络安全风险的来源是国家投入支持的国家网络战部队进行的高级可持续威胁攻击，它主要利用软硬件后门和网络战武器来控制、破坏国家关键基础设施。商业网络安全的风险则来源于极端个人、黑客团体和经济窃密者，他们为获取商业利益或进行破坏而层层渗透、寻找漏洞并发动攻击。 
        这两种威胁的风险等级是不同的。但是，任何单一威胁中的全息性和不同风险之间的关联性，为应对重大风险所必备的即时感知和提前防御提供了预警功能，因此，有必要借鉴平台共享经济模式，建立政府、企业、社会组织和亿万网民共同参与建构的“四位一体”的能力转换、责任传导体系以及安全保障平台，实现能力与需求的协同，形成政府主导、行业自律、社会监督、公众参与的网络空间安全建构新格局。 
        第一，8亿多网民是安全信息的基础。互联网有海量的信息和应用，仅依靠政府部门监管，无法维护良好的网络空间秩序。截至2018年12月，我国网民规模为8.29亿且依然处于快速增长之中。在此形势下，发挥公众参与在网络治理中的作用，可收到事半功倍、一举多得的效果。落实《中华人民共和国网络安全法》关于“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报”的规定，需用明确公民个人与政府部门之间的权利和责任，建立制度并规范流程，保障公民通过网络举报参与网络空间治理，实现顶层与基层信息沟通、互动的通畅有效。 
        第二，社会组织和企业是网络安全规则制定的重要补充。网络安全治理中政府主导型的科层制管理模式存在诸多缺陷，为此，《中华人民共和国网络安全法》规定：“国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”从动态攻防对抗的视角来看，任何时候都会存在着大量未知或已知未防的“后门”和“漏洞”风险。社会组织可以迅速发现这些风险并提出解决方案；而企业的快速反应优势，可以使对抗能力迅速转化成防护产品，并部署形成防护能力，实时和快速地响应和处置风险，从而更好应对现实威胁。 
        第三，强化公—私合作模式和网络安全信息共享机制。要充分发挥政府政策引导和资源分配能力、企业灵活与即时反应能力，以共享信息为手段建立合作关系，把企业掌握的大量网络安全信息用起来，明晰未知风险、化解已知风险，增强网络安全的弹性，构建网络安全共同体，从而使政府和企业在网络安全领域投入的大量人力、物力和财力发挥出最大的效用。作为全球第一贸易大国和世界经济的领头羊，中国企业和市场在快速演进发展的同时，亟须匹配更先进的网络安全策略和更强有力的网络安全措施来保驾护航，以应对、化解和反击无孔不入的网络入侵，构建更加有效的安全防御阵营。在此过程中，面对不断变异、演进且极具迷惑性的网络威胁和攻击，碎片化、局部性的解决方案无法实现真正有效的防御。为此，政府与企业要建立联动协作、着眼全局的防御体系，在理念与策略层面实现智能、自动安全防御以及威胁信息的共享，从而有效为企业安全保驾护航；同时使政府获得强大的安全效力和较低的总拥有成本，进而提升中国网络安全防御和反击能力，有效把握和利用全数字化时代的发展机遇。 
        第四，要在国家指导、企业合作、社会组织参与的基础上，大力培养网络人才，发展最新技术，投资人才发展计划，跟上全球互联网技术发展的步伐，解决网络安全技术短缺的问题。现有的信息系统和防御架构在本质上是静态的、相似的和确定的，体系架构透明而脆弱，成为网络空间最大的安全黑洞。因此，加强网络安全非常重要的一点就是培育和加强自主创新能力。要避免核心技术受制于人这个最大的“命门”，以“国产化替代”实现“安全可按”，人才培养是重中之重。面对“攻击的成本越来越低，防御的成本越来越高”的客观现实，国家在思考“花多少钱、怎样花钱”来保障安全的同时，更应该建立包容性的体制、制度和平台，实现网络安全维护的规模化、集约化和聚合化，达到“少花钱、多办事”的效果。 
        七、以国际合作促进规范建构和制度安排  
        根据We Are Social和Hootsuite发布的报告称，2019年全球网民数量已经达到43.88亿，每月活跃用户超过20亿的脸书甚至被称为“全球最大的国家”。同时，全球物联的发展使联网设备呈指数级发展，到2020年，全球联网设备数量将达260亿台，物联网市场规模将达1.9万亿美元。与此同时，网络双刃剑的特征越来越明显：基于政治、经济目的而恶意利用互联网的动机和行为在不断增长。 
        目前，为解决不同层次的问题和冲突，网络空间的国际秩序正在规范建构、制度安排和国际合作三个层面展开。国家与非国家行为体通过遵循国际规范、建立制度安排，以国际合作的态度解决不同层次的问题和冲突，从而避免冲突升级至不可控的状态。 
        第一，磨合国际规范，使网络空间更加友好。联合国是关于网络安全国际规范辩论和推进的最早期和最重要的场所之一。比如，国际电信联盟（简称ITU）秘书长表示支持网络和平行动。该行动是一次“通过改变立场以使网络战争非法化的尝试”，并在网络袭击、网络战争和“电子珍珠港”等话语主导的辩论中提供一种反叙事（counter-narrative）视角。目前，网络空间缺乏一套明确的、得到多数行为体认可的规范体系，塑造网络空间中国家、企业、社会以及个人行为的规范，依然是国家和专家关注的重点。随着“塔林手册2.0”的发布，联合国新的政府专家组会议和全球网络稳定委员会（global commission on cyber stability）会议的召开以及网络空间全球会议在印度的举行，都显示网络空间规范正在缓慢出现、不断取得进展，并向规范化方向发展。 
        第二，建立国际制度，使网络安全更加结构化、可预期。伴随网络治理从技术、经济和社会层向公共政策和安全领域扩展，网络空间逐渐形成了多层次、多元化、全方位的治理体系。伴随WSIS(信息社会世界峰会)、IGF(互联网治理论坛)等全球性互联网治理机构相继成立,一些传统的国际组织和机构也将网络空间相关的议题纳入议程,勾勒出一幅貌似混杂无序的网络空间国际治理的制度蓝图。Nye通过规制理论从更广的视野绘制了网络治理的地图，发现没有单一的制度能够进行网络治理，一个宽松的融合了众多体制与规范的规制共同体已经出现，尽管诸多行动者对现有规范存在争议，但国家在很大程度上控制着网络安全走向，它们的合作至关重要。 
        需要注意的是，在参与国际互联网治理的过程中，民族国家的政府是全球制度建构中最重要的主体之一，掌握着决定网络安全的关键资源。“网络主权观”得到了全球大多数国家的支持，比如作为所谓民主与开放社会的印度，也倾向于政府领导的多边而非多方模式的互联网治理。同时，国际组织、技术社团、社会甚至个人等也发挥了一定的作用，尤其是国际组织，其本身就代表一项制度，或者是制度的组成部分，它们是有自己思维、惯例和模式的国际组织，其追求的目标与其委托方的需求有时并不完全相同。作为全球治理固定场所的国际组织，在协调政府对于安全和主权的敏感性、私人公司的商业利益（如美国支持的ICANN）以及国际社会和使用者团体的关系等一系列相互竞争的利益上，不仅发挥着重要作用，甚至决定着发展方向。 
        第三，增进国际合作，使网络安全更加普惠。从制度层面而言，国际合作是指“围绕或隐晦或清晰的原则、规范、规则和决策程序，各方的期望交集于某个特定的国际关系领域”。互联网从技术角度看是“无边界”的景像：一个用户在某国的网络行动可以影响另一个国家。但我们也看到了各国通过立法确定边界和通过具体技术（如防火墙）创造边界的现实：互联网的有效性需要各国确立网络流通的行为规则。这些发展趋势都使得跨国的及全球的国际合作成为必须。 
        当然，网络空间秩序总体上仍处于较低水平，甚至存在回潮、逆转的可能。目前，国际上关于网络空间秩序的理解方式、价值观、规范路径与制度选择尚无法形成共识。国家与非国家行为体群体内部及彼此之间的力量博弈，将最终决定网络空间国际秩序的演进过程和最终建构。为此，中国需要通过加强规范建构、参与制度建设和推动国际合作来增强主要通过解释、说明和说服等途径发挥作用的解释性权力；以网络空间命运共同体的理念加强价值观重塑、以网络主权观影响制度平台的选择、以“大家的事情大家办”的思想来制定规则。 
        大国网络安全博弈，不单是技术博弈和能力博弈，也是理念博弈、话语权博弈。在“总体国家安全观”指引下，构建合乎逻辑、富于想象力、系统整体的网络安全战略，不仅能够为实现中华民族伟大复兴的中国梦提供支撑，而且能够为全球发展提供“中国智慧”“中国方案”，进而走出一条中国特色、惠及全球的网络安全建构之路。 
        （作者单位：中国传媒大学）

上一页  [1] [2] [3]