編者按:第二屆國家網絡安全宣傳周開幕前夕,阿裡停服、攜程數據刪除、越菲黑客聯手攻擊中國網站等惡性網絡安全事件頻發。這些事實充分說明,網絡安全事件層出不窮,網絡威脅成為新常態﹔網絡強國建設短板凸顯,網絡安全成為新差距﹔網絡威懾上升到國家層面,網絡國防成為新責任。為此,我們從國家、軍隊、人民三個視角思考網絡安全觀念,認清分別擔當不同層次的國家責任、軍隊使命和個人職責,才能上下一心、軍民一致、形成合力,在戰略、技術、產業、軍事和公民安全五個維度綜合發力,推動網絡強國建設的宏偉目標順利實現。
人類文明已經進入到信息時代,我們即將制造出充滿網絡生態的數字地球。在數字地球上,物聯網使得石頭也能夠穿戴智慧並且微笑地露出牙齒,移動互聯網使得遠在天涯海角的這些智能萬物瞬間聯系起來,大數據使得聯系相關的虛實事物排排站、進而形成全新的社會秩序,這就是我們需要逐步去適應生活的智能互聯世界。中國是趕著機械化馬車走進這個網絡世界的。搶佔了先機的美國人自詡是這個網絡世界的主導者,他害怕我們的強大陣仗,害怕我們的駿馬插上信息翅膀而飛馬成龍,最終取代他成為領導者,應了文化是最終競爭力的讖言。站在這個國家利益視角上,雖然以和平和諧為目的,但是在中國向網絡強國的發展道路上,網絡安全威脅和網絡安全事件將會是常態化的,我們必須警醒和應對。民為國本,軍為國器,中國網絡安全必須在國家、軍隊和人民三個層面更新觀念,在戰略安全、技術安全、產業安全、軍事安全和公民安全五個維度綜合發力,才能夠以非對稱主動制衡方式,真正解決智能互聯世界的網絡安全問題,達成中華民族復興的歷史重任。
一、國家層面的網絡安全重點是戰略安全、技術安全和產業安全
網絡將世界通聯起來,使得傳統上基於籬笆隔離原理的國家安全問題變得復雜混沌,並且失去了以前按部就班進行處置斡旋的時間和空間。網絡邊疆沒有明確的楚河漢界,不能採取國家設立界碑后交由軍隊防衛或者推進的線性思維,國家必須全面設計和主動作為,在常態交互、動態調整和整體聯動中保持國家、軍隊和人民的融合一體發展,避免九龍治水的亂象,起到九龍之首的統帥作用。國家隻有實現了戰略安全、技術安全和產業安全,才能夠避免軍隊的網絡安全防衛陷入到“無底洞”,這是網絡安全體系的基石。
(一)樹立戰略清晰的國家安全理念
國家戰略,即綜合一國之力而行之方略,是國家籌劃、指導和體系運行的總綱領。在虛實相濟的網絡空間裡,首先要求國家安全戰略是清晰的,能夠對自身定位、給人民指南、讓世界認同。要點有三:一是確立目標。相當於國家在網絡世界的IP地址,給自己在網絡空間一個恰當的標簽定位。在對戰略形勢和戰略需求准確判斷的基礎上,國家安全戰略需要提出切實可行的發展目標,並且能夠完整地表達國家意志。這種標簽化的東西很重要,直接影響到國家的國際形象和民心向背。二是規范程序。就是清楚明白地告訴各個機關部門、地方企業和人民,我們要達成國家目標的途徑、要求和方法。這一部分戰略內容是要落地的,所以不玩駢文造句,不要玩模糊概念,必須做到責權明確、條文清楚、賞罰並行、措施得當,以國之可信立民之誠信。三是宣示主張。就是通過闡述自己的網絡安全觀來結緣國際上的革命同志,劃定朋友圈,建立網絡空間的外交關系。網絡空間浩瀚深邃,一國之力畢竟是有限的,不結盟則無法做到全球內的信息共享、情報互通、行動協同,最終將失去發展空間。
(二)優化技術先進的國家科技實力
人類文明一直存在兩條主線,一條道德文化主線用來完善自身,一條科學技術主線用來改造自然。網絡世界是科學技術的產物,所以技術是網絡安全的核心所在。時代要求中國網絡安全技術必須是先進的,同時還要有設計、有重點、有優化,逐步縮小和西方強國的技術代差,不能眉毛胡子一把抓。要點有三:一是遵循跨代研究的技術發展路線。互聯網的體表特征就是快和變,被稱作摩爾定律,每隔18個月后的互聯網世界即使沒有重新裝修,也基本上用流行色彩粉刷了一遍。我們在制定技術路線發展路線圖時,必須考慮到這一點。否則按照我們當前的技術基礎和創新能力,技術實現周期很長,新技術剛研究出來甚至就已經失去了市場,失去了效能。二是把握自主可控的技術研究基點。由於起步較晚、更新很快,我們在網絡空間一直被迫採取追隨式發展模式,而這些脫胎於美國技術或者仿制於美國技術的中國制造,是無法參加國家博弈的。這就是所謂的“不能在windows上開天窗”,我們的空氣已經被過濾了,即使添加了某種麻醉劑,我們也不得不呼吸。自主可控的實現難點不是技術問題,更多的是國家覺醒和民族決心。三是注重智慧加成的技術產品應用。網絡空間源於技術,網絡博弈卻取決於智慧,技術不等於智慧。網絡世界到處是“高爾丁結”式的攻防破解,戰法或手法讓人稱奇。無論將網絡戰比喻為超限戰還是不對稱作戰,諸如開襠褲小屁孩攻陷博士帽把守的核心數據庫的例子,在網絡空間的國家博弈中是可以經常發生的。這也是美國人最怕的地方,只是我們沒有找到方法。
(三)振興產業發達的國家信息實體
信息產業發展也可以歸納為兩個主線,一個是作為信息時代特征而新生的互聯網絡,構成了人類的新社會活動空間﹔二是作為工業時代特征而信息化的金融、能源、交通、電力等實體產業,支撐了人類的物質生活基礎。網絡安全無論在體系性的架構設計上,還是在模塊化的安防措施上,都依賴國家的產業發達。要點有三:一是扶持具有造芯能力的企業。產品就像個孩子,它屬於給予自己生命的人,而不是天天給它穿衣服的人。這就是母親和佣人的區別。沒有中國的“八大金剛”,國家網絡安全就無從談起,津津樂道的制造業也只是弄衣小佣。雖然打造中國“八大金剛”企業非常困難,但是如果不想被壓在山下五百年,就必須有愚公移山的精神。二是打造完整通暢的信息產業鏈條。網絡安全具有木桶效應,能夠被互聯網攻擊是因為有短板、有漏洞,而自己不能控制的產業環節都有可能成為安全薄弱,成為千裡長堤的蟻穴隱患。這是個國家的宏觀把握問題,對於那些只是追逐商業利益而喪失民族原則的企業,可以請它們離開中國。三是構建資源整合的安防升級機制。外界說中國是網絡大國,依據是我們資源已經足夠多,說我們還不是網絡強國,依據是說我們的資源是分散的,缺少有效整合、不能及時更新,2014年心臟滴血(Heartbleed)病毒各國修補反應情況就很能說明問題,我們的反應非常之慢,充分暴露了我們資源失守、制度失察、機制失靈的產業現狀。而建立良性的產業運行機制,本應該是我們最容易拿到手的護身符。
二、軍隊層面的網絡安全表現為攻網有力、防網有術、偵網有度
軍隊是國家安全的根本保障,是人造虛擬網絡空間裡國家最值得信賴的武裝力量。雖然面對或大或小的網絡安全事件,國家會在“保安出手、警力出動、軍隊出戰”等不同層面進行綜合考量和使用,但是軍隊必須成為決戰致勝的國家凶器,要有讓人生畏的力量,這一點即使在信息社會也不會改變。用網、攻網和護網是我們對網絡的三個基本態度,也是軍隊網絡安全的邏輯起點。
(一)追求絕對化的攻網力量
絕對是不存在的,但是軍隊需要追求絕對化的力量,即無限地接近最大值。網絡空間浩瀚變化,龐大體系一般難以防守。加上網絡戰運用的最高境界是懾戰止武,這兩點都要求國家擁有足夠強大的網絡攻擊力量。網絡空間軍事力量建設屬於國家機密,我們無從得知,但是可以嘗試著從“小民看大兵”的遠觀視角,以項目工程方式進行解讀:一是鑄劍工程。網軍還是要建的,就是不常用、放在那裡也很嚇人。雖然網絡戰打的是人尖精英,但是隻把幾個高手丟到訓練有素的戰陣中,一會也就被殺光了。人尖重要,沒人也不行,在力量形成初期尤其如此。二是亮劍工程。核經驗告訴我們,隻有適時展現能力才能夠起到威懾作用。但是亮劍是個機靈活,決不能被國際法則抓到把柄、炒成新聞。美國人可以通過“震網”病毒打造美國網絡戰不可戰勝的神話,我們也可以利用網絡安全保障或者網絡反恐行動,裝作不經意間展露出我們的“殺手锏”武器﹔三是比劍工程。美國人利用“網絡風暴”系列演習打造了網絡北約,將傳統軍事同盟移植到網絡空間。此后,繼續拉攏日韓等亞太地區國家參加網絡軍演,正在締造網絡空間的亞太島鏈,企圖遏制我發展空間。我們同樣也需要尋找盟友、比武演練,磨礪我網絡攻擊力量,增加國家安全的砝碼。
(二)應用智術型的護網策略
我們對網絡防御的理解一直存在誤區,過分強調設備和技術,於是最高級的防火牆、最新版的殺病毒軟件、最時髦的體系設計、最完整的入侵檢測設備、最深眼鏡度數的運維人員,構成了當前安全網絡的標准配置。其實,策略更是網絡防御行之有效的手段,是網絡防御的高階境界。理想化的網絡防御,就是要把安全人員的智能和心術,注入到防護網絡中,是一個人機結合的交融過程。一是安裝讓網絡睜開眼的防護罩,做到“警護一體”。凡人走過,必留下痕跡,機器亦然。優秀的防御系統能夠通過在防護邊界部署探針等方式,記錄“出入境”的網絡行為,捕獲攻擊代碼,構建指紋特征庫,讓攻擊者在未出手前的偵察階段就被盯梢甚至劫持,這樣不僅能夠防護攻擊,更能夠先期預警危險。二是鋪設讓網絡動起來的捕鼠夾,做到“攻守兼備”。天下武功,陰陽互生,狀如太極。攻防方式是可以互相轉換的,如同美國“X計劃”把靶場環境作為作戰平台的延伸部分一樣。防御系統可以通過部署流量罐、病毒箱等方式,導致攻擊者誤觸發而遭受流量攻擊、病毒攻擊等自殘反噬。三是穿上讓網絡藏起來的隱形衣,做到“虛實莫辨”。有一種死亡方法,叫做在迷宮裡轉不出來,最后憂憤致死。通過成熟的虛擬機等技術,安全防御體系完全可以仿冒復制出來一大堆的網絡幻境,讓攻擊者徹底迷失在難以判別的真假目標群中,最終失去攻擊行為和能力。
(三)組建嚙合式的用網體系
信息是現代國家的核心能力,而網絡作為信息的加工廠、匯聚處和處理站,存在著魚龍混雜的用網行為是必然的,這裡面即包括商業利益鏈條的黑客產業,也包括保障戰爭能力的軍方偵察。大隱於市,藏軍於民。借助全民上網匯成的網絡海洋,利用網絡空間溯源困難的固有特性,網絡偵察部隊完全可以混跡於普通網民之中,組成嚙合式雙輪驅動的軍民融合發展模式,成為藏得住、隱得深的網絡刺客。其中:軍方技術偵察部隊是主導輪,借殼或者直接植入到黑客團體內部,及時吸納頂尖的網絡人才,不斷提升用網能力,打造精英團隊﹔分散的民間黑客團體或個人是驅動輪,在網絡空間沿著各自軌道而獨立運行。當干擾到軍方業務開展時,立刻引導其偏向其他軌道或者一腳踢開。而當其具有了符合軍方需求的某種網絡能力時,則可以將其轉接到軍隊的動力系統上,發揮正向作用。美國人一直反對這種做法,但是沒有人去判定他是否也這樣做了,何況用網本來就是個國際上心照不宣的模糊領域。
三、人民層面的網絡安全體現在知網慎用、愛網慎言、護網慎行
網絡安全最大的漏洞是人。在國家網絡安全體系中,往往由於個人或者企業的不謹慎搭建了可達性通道,造成攻擊者伺機入侵絕密網絡,使得價格昂貴的安防監控設備形同虛設。此外,網絡世界裡最沒法統計的就是網絡公民,網民的思想觀念是不確定的。那種拿著甲國護照,看著乙國聯播,尊崇丙國宗教信仰,最后參加丁國網絡組織的網絡游民,甚至是國家的潛在敵人或者對手。基於這兩點認知,我們必須樹立這樣的意識:網絡安全,從人人抓起。
(一)懂技術才能夠避免機器被控
依賴高新技術建立起來的網絡世界,雖然提供人性化界面和傻瓜式操作,但是骨子裡拒絕文化白痴,那些隻會聊語音、打游戲、貼美圖的網民,充其量是個網絡僵尸,並不具備網絡強國的網民素質。在網絡上,每台電腦或者智能設備都可以理解為網絡武器,隻有掌握必要技術才能夠避免自己的機器被人所控,小到自身自由,大到國家安全,皆不授人以劍柄。
(二)厚德品才能夠避免良知被控
網絡信息五花八門,我們習慣上是主動選擇性聽取,善惡在於一念之間。這主要是信息的不對稱造成的。既然我們不可能真正具有甄別信息真偽的資源和能力,那麼很多時候的一時間是非判斷,取決於我們的品行修養和道德情操,源於價值取向和愛國情懷。大愛就是愛祖國,打心底裡愛國的人是不會被網絡輿情錯誤引導的,至少不會被謠言蜚語利用。
(三)謹操守才能夠避免善行被控
草木皆兵、全民皆戰的中國軍事預言,終於在互聯網上實現了。隨著網絡攻擊門檻的日益降低,網絡安全除了來自國家行為體的武裝對抗,更多的常態化威脅則是來自於黑客團體或者恐怖組織。面對隨時隨地都會出現敵人的偌大網絡空間,國家的防護力量總是捉襟見肘的,這就要求我們網民平時謹守操行,應急情況下能夠及時補上來,和政府合作,和對手亮劍,共同捍衛國家安全。
(作者系網絡空間戰略論壇特聘研究員)
(來源:中國信息安全)
| 相關專題 |
| · 專題報道 |
