中国的网络安全挑战与对策分析
自棱镜门曝光以来,已经过去了一个多月的时间;克服了媒体的喧嚣,尤其是煽情取向聚焦斯诺登而非棱镜门本身的各种炒作和报导之后,现在可以对棱镜系统本身的问题进行比较深入和理性的探讨。棱镜项目折射出了长期支撑美国网络安全的三大支柱,分别是技术、战略和话语能力,借助三根支柱,美国建立了全球范围最大、最全面、最复杂的网络空间监控系统,进而通过建立网络空间霸权的形式来谋求自身的安全。
这三根支柱中,技术支柱,发挥着基础和前提的作用。美国国家网络安全战略制定的背景和大前提,就是美国政府以及美国的公司,保持着对网络空间基础设施以及关键技术应用的绝对控制和优势,这里的绝对控制和优势,指的是其他任何国家都无法单独凭借自身的力量,建立并接入国际网络空间,这种优势不是一个单独的点,甚至也不是一个面,而是一个立体的体系乃至覆盖/包含一个完整产业生态系统的完整网络;战略支柱,是支撑美国国家网络安全的关键。
美国网络安全战略的最大特征是连续性、继承性和完整性。
连续性特征表现为战略概念在较长时间段内的持续适用。1945年8月16日,美国陆军军法处的负责人就给美国国务院史汀生国务卿发出绝密备忘录,界定并讨论的信号情报活动合法性。最终的结论,是将信号情报界定为通讯一方或两方都是外国政府、个人、组织的情报,而无论其使用的具体通讯方式,也无关于通讯发生的地点,监听的方式涵盖对无线电通讯信号的拦截、对有线电话的窃听、对无线电广播的拦截乃至对无线电台的占领(以阻止其继续传送信号)。在棱镜项目中披露的资料显示,棱镜项目监听的数据,同样属于“信号情报”的范畴,尽管经历了互联网革命,但定义仍然是1945年的定义。
继承性表现为无论技术背景亦或者管理组织体系如何调整,整体战略概念、实施框架和主要手段保持相对稳定。棱镜项目不是第一个更不是唯一一个被曝光的网络监听项目,自1947年至今,在网络空间已知被披露的类似项目,根据不同的统计口径,有12-16个之多: 1943年美国、英国、澳大利亚、新西兰、加拿大、澳大利亚签订《五国情报交换协议》,建立面向全球的电子监控系统“梯队”,从那时至今,从未间断过对全球的监视;1947年到1973年的“三叶草”项目和1960年代的“尖塔”项目,在互联网诞生之前,就对美国的国际电报联系展开全面的监控;在1978年《对外情报监督法》颁布之后,美国联邦调查局继承了美国海军情报局的电话监控系统,将其在Sun Solaris系统上发展成为针对国内通讯的“食草动物”系统,又在1998年9月将其移植到Windows NT系统上,变成了“食肉动物”系统,主导这一系统研制、迁移和管理的,就是作为棱镜系统中发挥关键作用的美国联邦调查局数据拦截技术单位。这种系统运作和项目管理上表现出来的继承性,从没有真正被美国国内政治中断过。
最典型的案例,就是在2007-2008年间对《1978年对外情报监督法》的修订:如引言部分所述,2001年911恐怖袭击事件之后,小布什在5年时间里,实现了“无需搜查令的窃听”,也就是试图绕开《1978年对外情报监督法》的限制,虽然为此遭遇到了国内政治的猛烈批判,但最终的结果,是2007年小布什结束“无需搜查令的窃听”,而《对外情报监督法》被修订,“允许政府为了反恐,在没有搜查令的情况下监听美国公民的通讯最长不超过一周”,也就是说,政治上作秀的谴责之后,有碍监听行动的法律最终被修改了。
完整性的含义是美国网络安全战略覆盖范围完整的包括防御、监控、塑造三个不同层次的目标。这三个目标,最基础的“防御”关注如何确保敏感信息与数据、关键系统、节点、基础设施处于安全状态,“监控”侧重掌握网络空间的信息和数据流动,网络司令部提出的“积极防御”指出可以在网络空间甚至是物理世界里越境攻击可能面临美国国家安全的潜在威胁,“塑造”则着重关注培育一个有利于美国的全球网络空间,而在这样一个空间里,美国有可能实现“不战而屈人之兵”。
自20世纪40年代至今,美国国家安全战略框架中从未缺少过有关信号情报以及全球范围信息流动控制的内容,尽管存在多部门的竞争与合作,但在事关国家安全与网络的问题上,美国各部门之间的协调、一致,要超过之间的分歧和竞争。因为这种连续性、继承性和完整性,自20世纪90年代中国接入全球网络以来,至当下以及可见的将来,美国的决策者天然的会倾向于将网络安全问题纳入国家安全的框架下进行分析和理解,并参照冷战时期美苏对抗以及后冷战时代的反恐与维护国家安全的需要,对其所认定的来自网络空间的“威胁”做出反应,这是一种决策者的思维定势和认知心理,短期内难以发生实质性的变化。
美国网络安全的话语支柱,是最容易被人忽略但同时具备最重要的潜在影响力的支柱。话语支柱的主要体现,是美国政府对全球舆论空间,包括他国境内的民间舆论,所具有的议程设置能力以及以战略沟通为主要特色的舆论塑造能力。话语支柱的功能,是减少乃至消除在全球范围扩展美国网络安全时所遭遇的阻力。如前所述。美国网络安全战略本质,是将美国的主权边界扩展至与全球网络空间尽可能重合的状态,在此过程中,面临的最大阻力,是西方国家在17世纪创建并拓展到全球的国家主权观念。话语支柱的任务和功能,就是改变美国之外国家的各类个体对美国行动的抵触程度,通过塑造议程和解释框架,实现三重目标:首先,淡化美国网络安全战略的主权属性,凸出其全球属性,以互联网自由概念为核心,将美国网络安全战略塑造成为实现全球公共利益而非美国国家私利的普世战略;其次,凸出放大乃至夸张全球信息自由流动的属性,淡化、掩盖乃至无视美国事实上具有的影响和塑造信息流动的能力,将“信息自由流动”和“(除美国之外的)主权国家无权管制信息流动”等观念以舆论战、心理战的方式植入受众的潜意识中,促成其接受和认可美国网络安全战略的内嵌解释框架;第三,提供符合受众审美偏好的预设了结论的解释框架,消除美国网络安全拓展过程中遇到的各种障碍和阻碍。
与此相对应的,折射出中国面临的三重挑战:
第一重挑战是技术上的弱势地位带来的挑战:由中国创造的海量数据在美国公司研发的系统软件、关键设备和基础设施中处理、存储、传输及使用,以智能终端和云计算技术为主体构成的移动互联更是极大的促使数据来源的多样化和存储的集中化,中国政府并没有足够的能力保障这些数据最终不会被用于威胁和挑战中国的国家安全。这意味着整体而言,中国网络空间处于失控、无序、失范的边缘,中国国家安全面临被迫对美国单向透明的尴尬境地,国家安全面临严重威胁。
第二重挑战是缺乏系统的国家网络安全战略带来的挑战:中国目前尚未形成整体性的国家网络安全战略,在面临来自美国的系统性的战略挑战时,只能“头疼医头脚疼医脚”,以膝跳反射式的个案处理方式来应对技术上占据优势的 美国的系统性的战略压力,后果自然可想而知。
第三重挑战是国家网络安全战略话语体系缺失带来的挑战:棱镜事件爆发之后,在持续至今的一年多时间里,在操作层面,凸显出的是中国网络安全战略话语体系的缺失,要么不说话,要么进行道德谴责,要么说没人听懂的话。
基于上述分析,提出如下初步的简单建议,供参考:
以“数据主权”为核心概念,建设和完善中国的国家网络安全战略体系,是应对挑战,改善中国网络安全环境的关键所在。网络安全的博弈,在当今的世界,本质上就是国家主权在网络空间的投影和互动博弈,根据北约网络战指导文件《塔林文件》的表述,网络时代的“主权”,就是主权国家对位于本国领土上的网络设备和网络基础设施有排他性处分的权力,换言之,北约指出的“主权”,是一种跟着设备和设施走的“设备主权”,通过对“设备”的主权,背后的意涵是国家获得了对存储在“设备”中的“数据”的处分权力,这种处置权力是主权派生出来的,因此,对内是至高的,对外是平等;但是,因为技术差距的存在,所以今天世界的基本现实是:发展中国家的用户是数据的主要提供者,而发达国家的公司则是设备的主要提供者,而这些存储着发展中国家数据的设备又在客观上处于发达国家的地理疆界范围内。因此发达国家强调“信息自由流动”,意味着鼓励信息,或者说,蕴含着信息的数据,自由而不受限制的跨越发展中国家的边界,进入位于发达国家地理边界的设备里被存储起来。
应对这样的挑战,不能简单的通过阻断“数据自由流动”来进行,因为这违反了生产力发展的客观规律和趋势,并会因噎废食的失去信息技术发展带来的巨大收益。需要做的,是主权国家以“数据主权”保护者的身份出现,强调以下三点:
首先,用户创造的数据进入存储设备的行为并不意味着数据所有权无条件让渡给设备拥有方。提供数据的合法用户拥有确保数据被妥善使用,不威胁自身利益的权益,对数据的处分享有最终的主权,任何对数据的处置应该得到用户的明确授权,特别是在对数据进行挖掘的时候。
其次,国家,尤其是发展中国家,追求实现的目标不是阻断数据的自由流动,或者用主权壁垒分割全球网络空间,而是要保障所有国家,包括技术能力暂时处于弱势地位的国家,不会因为能力的差异而导致合法利益受到损害。主权国家追求的目标,是数据的使用能够促进数据初始提供者的利益,而非成为少数掌握了技术优势的行为体过度追求自身利益的工具。
第三,对国际社会来说,对数据的使用和处置,必须遵循人类共同财产原则,也就是尽可能让大多数的行为体都能从中获益。掌握技术优势的先进行为体,无论国家、公司亦或者某种形式的联合体,都不应该不加节制的滥用自身的优势,威胁、挤压乃至剥夺弱势行为体的合法权益。
有了“数据主权”这个核心概念支撑之后,最近外交部提出的“四原则”,可以看做是一个不错的尝试,但需要更明确的指出各原则之间的关系,至少在论述中,必须强调中国看重的是得到主权保障的普惠,也就是说,中国强调数据主权,最终是为了让能力不同的国家平等的现有发展的机会,而不是为了倒退。
除此之外,推进中国国家网络安全战略建设还需要三管齐下。
从技术角度看,继续秉持“物理隔绝与加密”的思路已无法应对当前面临的挑战和需求;着眼发展趋势,强化中国的基础研究能力和拓展行业技术研发能力,掌握从基础原理到商业应用的完整产业生态链,是从长期、根本上扭转中国的战略被动地位的关键所在。互联网技术的发展,全球经济相互依存时代的来临,当然不可能、也不应该尝试重现此前各个国家孤立发展的局面,但对大国而言,在产业生态链中力争上游,占据优势地位;在关系国家安全的至关重要的基础设施的核心产业上掌握至少可以备不时之需的后备选项,都是题中应有之意。就中国的情况来看,借助棱镜门的刺激,配合国内产业结构调整和转型的契机,鼓励不同所有制、不同规模的企业在事关国家网络安全的关键行业和产业进行集群创新,应该成为产业发展政策的核心之一。
从战略角度来看,构建统一的国家网络安全战略体系,遵循统筹全局的顶层设计,及时调试、调整乃至变革中国网络安全管理的整体架构,将成为决定中国国家网络安全未来走向的关键所在。依据维护“数据主权”的要求,目前以“封”、“堵”、“删”、”控”为主要手段的网络政策管理体系需要系统的调整、变革和创新。以更加自信的心态,跳出“网络维稳”心态主导下的旧思路,迈入维护“数据主权”为主要任务的新世代,是可见的未来,制定、建设和完善中国国家网络安全战略的首要任务所在。
从话语角度来看,推进中国国家网络战略建设,需要向全世界广泛推进以“数据主权”为核心的话语体系,消解美国借助“互联网自由”构建起来的舆论优势。不掌握话语权,尤其是如果不掌握全球舆论空间的话语权,会使得中国无法推行国家网络安全战略,因为中国要推行的是开放式的网络安全战略,与美国的相似之处在于:中国与美国一样,都需要依靠全球网络空间的数据自由流动才能从中获得自身发展所需要的经济、社会收益;主要的区别在于,中国无论是现在还是可见的将来,都无意在全球网络空间复制美国的霸权。不管是出于建设中国国家网络安全战略的需要,还是建设和维护两性的国际网络空间秩序,中国都必须将更加体现发展中国家以及弱势国家需求的“数据主权”概念推向全球,进而争取话语权领域的主动。