虞爽：解决网络安全问题的四个关键词

近年来，随着网络应用的迅速普及、网络技术的飞速发展，网络安全问题日益凸显，上升为攸关个人和国家安全的新因素，同时，也成为国际合作与斗争的新疆域。

5月底，笔者出席了美国东西方研究所主办的“国际网络安全合作”圆桌会议，参与讨论了该所拟于年内发表的网络安全报告。美国东西方研究所创建于1980年，为国际性非营利智库，其研究工作以独立性强、专业性强而著称，对美政府决策层具重要影响力。该所长期关注网络安全问题，并于2014年起由副所长迈康纳先生主持为期三年的网络安全研究项目，对当前和未来网络安全面临的挑战、解决对策及国际合作等内容进行研究，并每年发表一份报告，本次圆桌会议即为该项目的一环。通过这次会议，笔者一方面看到了网络技术极为发达的美国对网络安全问题的思考与认识，同时也看到了解决全球网络安全问题的难点与重点。在此，想用四个“关键词”总结笔者参会的感想，与读者一同分享。

一、路径

“谁来解决网络安全问题”、“怎么解决网络安全问题”这是两个亟待回答的指向性问题。通过本次会议主办方（东西方研究所）精心筹划的出席人员名单，我们可以清晰地看出他们对上述两个问题的回答，同时，这也是我个人非常认同的当前解决网络安全问题的两大“路径”：一是“官民学合作”，参加会议的人员既有来自美国FBI、CERT的官方代表，同时也有来自华为、微软、英特尔的技术人员以及来自各个高校或研究机构的专家学者。网络安全问题与国家整体安全息息相关，需要政府部门进行战略指导、统筹规划并制定相关政策法律；网络安全又是一个技术性、实践性极强的问题，有相关技术能力和“一线战斗”经验的网络公司的意见必不可少；持续跟踪研究、全面掌握了解及提出研判对策是专家学者的长项，他们在网络安全问题中扮演着重要角色。由此可见，只有将官方职能部门、民间企业及学术研究机构汇聚一处，才是解决网络安全问题的“最佳组合”。二是“国际合作”，会议代表来自美、中、俄、欧、印、日等多个国家和地区，笔者深深地感到，网络空间完全模糊了物理空间的国界划分，网络安全威胁“跨国界”甚至“无国界”，打击网络犯罪、追溯网络攻击源头都急需国际间合作。

二、定义

互联网诞生至今不过短短几十年，由于技术发展、普及覆盖速度过快，把相关的基础理论研究远远地甩在身后，而网络安全新问题层出不穷，令人措手不及，许多基础定义、标准的缺失，造成了大量的“盲点”和“空白”，成为阻碍网络安全问题解决的“坚冰”。在本次会议所讨论的年度报告中，许多题目都受到了“定义缺失”的困扰。例如：“加强典型基础设施对网络攻击的抵御能力及受袭后的恢复能力”，“典型基础设施”到底指的是哪些设施；“有效打击跨国网络犯罪行为”，到底哪些行为可以归入“网络犯罪行为”；“治理网络不良内容”，到底哪些内容属于“不良内容”。同时，国家间对一些基本定义和概念的不同理解，也严重影响了网络安全国际合作，尤其是在“网络主权”、“网络武器”、“网络战”等基本安全内容的定义上，各国间的理解差别有可能导致严重的安全事件发生。

三、平衡

“后斯诺登”时代，“隐私保护”在美国成了一个人人自危的敏感问题，国家想要从个人隐私类内容中获得更多信息以打击犯罪和维护国土安全，但个人却希望最大限度地履行保护隐私的权利，围绕这一问题美国政府在国际和国内都出现了信用危机，而许多网络服务商更是陷入了“向政府提供用户信息”还是“保护用户隐私”的两难境地。在会议上，有人提出信息征用透明化的建议，即政府应该将征用个人信息的理由、征用哪类人的信息，征用哪些方面的信息公布于众。但笔者个人感觉这个想法过于理想化，在实际操作中难以实现，即使实现了也很有可能变成“走过场”“摆样子”。如何找到安全与人权的平衡点是一个需要长时间探讨的问题，与此同时，能力与责任的平衡点也不可忽视。本次会议上一位技术专家很兴奋地提到了“杀死密码”计划，该计划将革命性地改变当前密码使用和管理的混乱局面（目前社交网络、电子支付等多种网络服务都需要用户设定不同的密码，而且出于安全考虑，密码的设置要求也越来越复杂，到最后很多用户甚至都记不住自己的密码），以唯一的识别码（可能是指纹、虹膜等生物识别方式）来解决用户身份认定的问题。这一计划的实施从技术角度讲指日可待，但是这个将陪伴人一生且与基本社会活动有重要关联的“识别码”，该由谁来管理和保护？有技术能力的服务商是否可以承担这个责任，而有责任的国家政府是否又有承担责任的技术能力？由此可见，能力与责任的失衡将很有可能构成网络安全的直接威胁。

四、和平

互联网起源于美苏冷战时期，这一特殊的背景时刻提醒着我们，互联网随时都有可能演变为一个没有硝烟的战场。继常规武器、核武器、空间武器军备竞赛之后，网络空间的军备竞赛也进入到了我们的视野。核武器之父奥本海默在体会技术成功的喜悦之后即陷入了深深的道德自责，甚至公开表示“这种知识本来不应当拿出来使用”。科学技术原本应该造福于人类，但最终却将人类引向了毁灭之路。为了避免这一悲剧在网络空间上演，和平利用和发展网络空间，是我们唯一的选择和不变的准则。只有以“和平”这个“不变”应对网络技术的“万变”，才能从根本上保证网络的安全。

最后，还想在此谈谈智库在网络安全建设中发挥的特殊作用。一是构建平台，汇集官民学三支力量，全面掌握情况，提出对策；二是展开国际二轨交流，特别是围绕一轨交流难以推进的敏感问题进行预置性研究，同时也为一轨交流提供充足的素材和方案；三是开展前瞻式研究，智库应“先天下之忧而忧”，与重点解决现实问题的职能部门不同，智库更多着眼于未来，以发展的眼光来看待现实问题，它所进行的前瞻性研究将成为国家决策的一个重要支撑。鉴此，中国智库应该更积极地投入到网络安全建设中，充分利用自身优势，在国内、国际上多听、多看、多讲、多想，多为国家出策、出好策。而政府部门也应进一步加强对智库的相关指导与支持，建立智库声音传达的畅通渠道。

（作者系中国国际战略学会副研究员）

（来源：中国信息安全）