网络安全的互信基础还很薄
网络安全已经融入人类生活的每个细节,而信任是共建网络安全的基础。但令人遗憾的是,无论是国家之间还是企业与个人之间,目前都没有达成应有的信任,从而给网络安全带来了巨大的挑战。真正的网络安全的达成,需要所有人共同的努力。
网络安全与“数字主权”
“互联网安全的核心问题是数据安全,而数据安全又与国家安全息息相关。”谈及当前世界的网络安全形势,上海社会科学院互联网研究中心主任、研究员惠志斌如此表示。
近年来,技术的发展让网络安全面临更为复杂的现状:虚拟与现实的融合更加紧密,这必将让二者之间的风险也融合在一起。例如,可穿戴设备、无人驾驶等技术逐渐广泛应用,让网络与人的生命安全有了直接联系。如果这种场景的网络安全无法得到保证,那么“无人化战争”的执行者可能就不只是战场上的无人机这样的武器了。在这种情况下,“国家安全”的范围随之扩大。
数字化浪潮席卷全球,大国之间在网络安全上的竞争其实并不只在网络层面,背后是其担心丧失数字时代的发展主导权。然而,目前各大国家与地区在网络安全的诸多重大议题上并未达成一致,而是充满了不信任。
特朗普当政时期,美国在网络安全层面对中国采取了多项压制政策。拜登政府上台后,这种不信任和打压仍未停止。2021年4月8日,美国参议院提出《2021年战略竞争法案》,要求拜登政府采取与中国“战略竞争”的政策,以保护和促进美国“重要利益和价值观”,该法案重点是与中国在全球供应链和科学技术上开展全面竞争。美国参议院外交关系委员会主席发布声明表示:这代表了“前所未有”的两党合作,将动员美国所有战略、经济和外交工具,抗衡中国日益崛起的全球力量。
4月14日,美国参议院外交委员会表决通过了该法案。次日,中国商务部新闻发言人高峰对此回应表示:全球产业链供应链具有公共产品属性,维护全球产业链供应链安全符合中方利益,符合美方利益,符合全世界的利益。
而欧盟提出“数字主权”概念,全力维护自身在数字领域的利益。2020年2月,欧盟委员会发布《塑造欧洲的数字未来》《欧洲数据战略》和《人工智能白皮书》三份文件,涵盖网络安全、关键基础设施、数字教育和单一数据市场等各个方面,形成了欧洲新的数字转型战略。7月,数字转型成为“欧盟下一代复兴计划”的重要组成部分。欧洲议会发布《欧洲数字主权》报告,从构建数据框架、促进可信环境、建立竞争和监管规则三个路径提出了进一步倡议。12月,欧盟推出“数字欧洲计划”,宣布欧洲将在未来七年内提供76亿欧元建立和扩展欧洲的数字能力,加强欧洲的数字主权。
为了给自身在数字领域的发展撑起足够空间,欧盟加强了对世界数字巨头的监管。2020年12月,欧盟委员会提交了两部新数字法案:《数字服务法》和《数字市场法》,对在欧盟境内运行的社交媒体、在线市场和其他在线平台进行监管。欧盟委员会称:这两部法案是其制定欧洲数字十年计划的核心。
在欧盟看来,美国属于“数据保护不完全国家”,欧盟对该国互联网巨头的监管是重要的工作。这些公司一旦被欧盟认定为通过损害竞争对手为自己谋利,可能将被迫出售在欧洲的业务并支付数十亿美元的罚款。此外,欧盟还公布了为美国微软和谷歌等公司制定的搜索排名方面的规则,要求它们增强该项业务的透明度。
惠志斌向《新民周刊》记者表示:现有的网络空间治理的国际体系存在很多不足。西方基于政治同盟治理与政治的意识形态的绑定,实际上在网络空间往往是无效的,有大量的议题超越传统政治的壁垒而产生。同时,新兴力量的崛起,包括发展中国家在内的新兴力量希望参与到全球网络空间治理中,但目前来看,他们还没有足够的力量这样做。
他提出,在当前的新形势下,网络安全治理有如下几个重点议题:
首先是人工智能,这是未来网络空间中,基于智能化算法的话题。在经济、生活、社会、政治、军事等背景下,如何出台对人工智能安全伦理系列的研究,将共同推动治理方面的工作。
其次是物,关键基础设施的保障,这是基于智能化的关键基础设施。目前,关键基础设施物联网的体系面临巨大的威胁,我们如何通过全球国家间、企业间等各方协同的治理,保障人类共同依赖的关键基础设施,是治理中非常严峻的问题。
然后是国际网络安全面临的“两进两出”与“长臂管辖”的挑战。
“两进”是禁止外国的网络安全相关产品进入本国市场,同时禁止相关的外国资本进入。而随着智能网络空间时代来临,只有互联网技术产品在确保安全时相互渗透才更有利于网络空间的发展。
“两出”是禁止本国的互联网核心技术出口,禁止本国数据出境。数据是最有效的资源,各个国家争夺资源时,如何在保障国家、企业和个人多个层面的隐私和安全的前提下有效促进数据的流动,而不是一禁了之,这也是重要的议题。
以美国为代表的“长臂管辖”模式则希望在他国的数字世界建立起有利于自身的壁垒,改变“数字地缘”。
在惠志斌看来,各国通过各自建立网络安全领域的法律法规体系来与对方博弈,这种难以达成共识的现状可能需要较长的时间才能改变。以上的议题,需要以建设人类命运共同体的理念来逐渐解决。
而对于跨国互联网企业而言,如何在各国网络安全监管政策不一致的情况下合法合规地经营,这是它们面临的最大挑战。
个人信息如何保证安全?
当下,用户在享受数字化便利的同时,也要将自身大量的数据提供给互联网平台,拥有大量用户信息的平台就拥有了核心竞争优势。在互联网发展早期,用户数据仅仅包括浏览记录、行动轨迹、发布内容等较为分散和笼统的信息。随着移动互联网的发展,智能终端的个性化定制服务开始普及,用户似乎不得不提供更多的数据以换取更加智能化的便捷服务,其中不少是涉及个人网络安全的隐私信息。
问题是,用户对让渡自身的隐私权益来换取相对个性化的平台定制服务的这类操作,是经历规范的知情同意流程还是实质上“被同意”了呢?
遗憾的是,大多数用户的感知都是后者。例如,用户刚在某电商平台App购买了一款商品,几分钟后打开短视频App就收到了同类商品的视频广告推送;但是,用户从未感觉到自己曾授权过这两个App可以收集这方面的信息,并进行数据交换、营销推送。许多人认为:这实际上是互联网企业擅自收集用户信息用以谋利的行为,不仅带给用户“不安全”的体验,更有泄露隐私的风险。毕竟,不是所有人都愿意在刷短视频时被旁人瞄到自己的购物兴趣。
在国外的实践中,有些互联网企业会为用户提供个人信息的“仪表盘”设置界面。在这个界面里,用户可以看到企业要获取哪些个人信息,并自行决定把哪些提供给企业、提供多长时间,随时可以取消授权。在惠志斌看来,这种“仪表盘”在我国的互联网企业运用可能还需要一定的时间。
互联网企业涉嫌侵犯用户个人信息的行为,不可能靠其自律而停止。个人信息的安全,必须靠立法来保障。
对于立法保障用户网络安全,惠志斌说:在中文里都可以翻译为“安全”,但个人用户希望感觉到的是“safety”,而实际上企业应该保证用户数据的“security”。“过去评估网络安全依靠用户自己感知的安全系数,立法则可以明确风险,规定网络安全保障;过去的安全主要取决于用户是否信任平台,而真正的安全其实在于法律和平台的保护。”
《网络安全法》自2017年6月1日起施行,这是我国在网络安全领域的一部基础法律。2021年6月10日,十三届全国人大常委会第二十九次会议通过了《数据安全法》。这是专门针对数据安全领域的法律,也是国家安全领域的一部重要法律,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。《数据安全法》将于2021年9月1日起施行。
同时,《个人信息保护法》正在立法进程中,目前已经进入草案二次审议稿。这对个人信息做出了专门的保护。
该法草案的《二次审议稿》第五十七条增设规定了提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特定义务,也就是对用户俗称的“互联网大厂”提出了新的要求。
例如,要求互联网企业成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。这一制度设定,强化了外部监督力量的介入。立法者认为:由于互联网企业拥有的个人信息具有非常巨大的利用价值,企业自身的内部控制制度、数据合规制度,在执行过程中,是否能够真正落到实处,仅凭内部管理还不够,需要引入外部力量进行必要的监督。
该条款还规定:互联网平台应定期发布个人信息保护社会责任报告,接受社会监督。按照这一原则,个人信息处理不仅仅是平台与个人信息主体之间的关系,更是平台社会责任的体现。
从《网络安全法》到《数据安全法》再到《个人信息保护法》,我国对网络安全保护的法律框架正逐渐完善细化。惠志斌告诉《新民周刊》记者:接下来的一段时间将会是网络安全相关制度制定出台的密集期,除了法律,还会有与之配套的行政法规、部门规章、地方立法以及行业标准等。
“个人用户在网络安全上对企业的不信任归根结底是由于保障制度的不明确。上述法律法规等规范性文件的落地过程中,对大众进行法律的普及和解释的工作,任重道远。”惠志斌表示。
他提出:在法律体系之下,其实在用户个人的数据安全管理方面,人们对拥有庞大的用户信息资源的互联网大企业是不用过于担心的,因为他们需要确保“数据合规”来建设自己的核心竞争力。也就是说,法律法规相当于明确了红线,使得企业与个人之间的数据活动有了可遵循的章法,这对于规范整个行业的安全、保护用户个人信息来说是显著利好的。
来自政府层面的监管对于个人和企业而言当然是必须的,但并非“一管就灵”的妙药。因为在数据爆炸的当下,不可能把所有监管都交给政府来做,那样必然让政府不堪重负;互联网平台也要承担部分类似政府的监管责任。例如,《个人信息保护法》草案二次审议稿就提出:互联网平台对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。这一规定,与《电子商务法》中规定的平台经营者对平台内电子商务经营者相关产品质量、知识产权、消费者保护的监督责任类似。
将来,网络数据安全将在用户、企业平台和政府三者的互动中取得动态平衡,逐渐取得最优解。
网络安全人才的培养
在“数字主权”意识兴起、“数据安全”成为热点话题之外,攻防对抗依然是网络安全中非常关键的一部分。公安部第三研究所主要从事网络安全与智慧警务科研创新与技术支撑,专攻网络攻防、网络侦查、技术侦查、国产密码、电子取证、等级保护、大数据分析等领域。该研究所下属的公安部国家级专业技术人员继续教育基地(简称“教育基地”)副主任黄镇告诉《新民周刊》记者:当前全球范围内网络安全的攻防对抗仍然十分激烈。
他表示:趋利性增强是近年来网络攻击的一大特点。“以前我们遇到的‘黑客’发动网络攻击有不少是为了证明自己的技术水平,是一种‘炫技’;或者是为了发泄某种情绪而有所行动,并不涉及经济利益的诉求。但是,当前为了经济利益而发动的网络攻击越来越多,而且攻击者背后存在团伙体系,形成了网络攻击的利益链。”
勒索病毒就是这种网络攻击的代表。感染该病毒的电脑会连接至黑客的服务器,上传本机信息并下载加密所用的密钥,之后将本机所有关键的数据文件加密,让用户无法打开。勒索病毒还会在桌面壁纸、弹窗等位置生成提示,要求用户交纳高额赎金,才可恢复文件。黑客选择了比特币等虚拟货币收款方式,使得其账户无法被追踪。实际上,交纳赎金也并不能保证数据文件得到恢复。
2017年5月12日,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。这是近年来勒索病毒流行的开端。之后的几年里,各种不同的勒索病毒在全球范围内不时出现。
不幸感染勒索病毒也并不意味着只能向黑客屈服,但此时再寻求破解黑客的加密手段,难度确实比较大。黄镇打了一个比方:防勒索病毒就像防止坏人对仓库大门的控制。我们在平时就要把门锁加固、在门口安装监控和警报等装置、多加巡视检查,并且主动了解坏人最新的攻击方式。如果这些工作在之前没有做好,就容易让坏人把我们的门加上他的锁。此时,我们又想进仓库拿货物,又不想把大门以及与大门紧连的货物破坏,就很难了。当然,如果我们之前把同样的货物备在别的仓库里了,此时就可以应急。
实际上,不仅是应对勒索病毒,面临当前日益复杂的网络安全现状挑战,所有组织都有必要增强日常的网络防范意识。黄镇说,在他所经历的很多网络安全攻防实际案例中,用户就是因为安全防范意识薄弱,没有提前打上安全补丁,被攻击者利用,结果“中招”。“被黑客成功攻击,并不一定意味着对方的技术有多高明;而很可能是因为我们本可以采取的预防措施没有做到位。”
要落实这样的防范措施,就需要专业的网络安全人才。公安部第三研究所教育基地多年来对来自社会不同机构的人员开展网络安全技术培训,并参与了“网络与信息安全管理员”这一职业的标准制定。2015年7月,新修订的《中华人民共和国职业分类大典》公布,该职业名列其中,成为受到国家认可的新的职业分类,2020年11月,该职业技能标准由人力资源社会保障部、公安部颁布,将面向社会从业人员开展职业技能等级认定工作。
教育基地还是中国参加世界技能大赛的“国家队”选手培训基地。2019年8月,在该基地接受培训的上海交通大学硕士生“双子星”团队夺得第45届世界技能大赛网络安全项目的银牌。世界技能大赛规定:除了少数需要特别丰富经验的项目可以把年龄限制放宽到25岁以外,绝大多数项目的参赛者年龄都不得超过22岁。这样的成绩,展现了中国年轻一代在网络安全领域的实力。
黄镇表示:全球范围内的网络安全核心技术体系是由国外首创的,将来无论从软件还是硬件领域,我们有必要在不断开展科研攻关的基础上,建立中国自己的体系。
在他看来,掌握软硬件技术固然是对网络安全人员的基础要求,但更为重要的是此类人员的守法意识和道德品质。“因为在这些人面前,组织机构的核心数据、敏感数据几乎是透明的,如果他们想要破坏或者泄露这些数据,造成的结果将是灾难性的。”
除了从业单位对人员加强法律和道德培训、增强从业人员的自律外,黄镇还建议:人社部将来可以将“网络与信息安全管理员”纳入“准入类”国家职业资格目录。按照相关规定,准入类职业资格关系到公共利益或涉及国家安全、公共安全、人身健康、生命财产安全,而网络与信息安全管理员正符合这些特点。如果纳入“准入类”职业资格,相关机构就会对资格申请人的生活背景和过往从业经历等进行审查,并在其从业后开展定期的后续审查。这样的保证程序,对于网络安全领域非常关键。(记者|王煜实习生|高曼)