谢岳
【摘要】计算机网络是信息时代的产物,几乎已经覆盖全世界。现代社会对网络的依赖越来越强,而以网络为传播介质的涉密信息也越来越多,从个人隐私到国家机密。即使是在美国这种网络安全技术走在世界前沿的国家,信息泄露的形势同样非常严峻。
【关键词】信息泄露 国际政治 信息安全 【中图分类号】TP393 【文献标识码】A
“维基解密”、“斯诺登棱镜门”、“希拉里邮件门”……这些引爆世界的大事件,至今仍占据国际舆论的热力榜,并持续对世界的政治、军事和国家安全产生深远影响,这说明如何保障信息安全成为各国共同面对的重要课题。
情报机构以“保密”的名义,可以在几乎任何地方布控信息监听网络,可以跨越国界追查追击嫌疑人,这与西方社会的民主实践是矛盾的。法国对外安全总局前局长皮埃尔·布罗尚在谈及情报机构在现代社会中的处境回忆道,“普遍的心态是一种焦虑的瘫痪,就像一只被蛇缠住、等着被吃掉的猫鼬”。面对道高一尺魔高一丈的黑客攻击,大多人将此看作是对情报机构乃至国家安全的威胁,而布罗尚则看得更远,他认为,伴随西方社会情报工作而来的恐惧的蔓延,在某种程度上源自于这些社会标榜“自由、平等、透明、道义”的“个人主义民主政体的转型”。透明,“从某些方面说是保护自由与平等的条件,因为信息就是力量,如果对民众隐匿信息,自由和平等会被认为处于危险之中”。当下的政治处于“以情报机构运作为核心,以冷静、秘密的方式推进国家目标实现”的状态下,而如今这种状态被视为是对现存的民主传统的挑战。
用“维基解密”创始人阿桑奇的话来说,权力中心的大规模泄密事件创造了一个“新体系”,一种强大的解放工具,就像19世纪工业化催生的马克思的愿景:无产阶级砸烂充满压迫而又故弄玄虚的资本主义体制和资产阶级社会。泄密行为既是对西方民主国家的挑战,也是对泄密产生的新闻报道的挑战。当年,斯诺登借助《卫报》曝光绝密文件,似乎打开了西方媒体的“潘多拉魔盒”,如今,泄露海量数据已成了新闻业的常态。
新闻客观性在西方被称为是一种“令人窒息的约束”,只有“强势、高度事实化、咄咄逼人、对抗性的新闻”才符合当今对政治权力已失去信任和尊重的西方社会的需求。从这层意义上讲,新闻业对泄密的巨大偏好与民粹主义者不谋而合:双方都认为主流新闻媒体是虚假的,是腐败体制的一部分。
在各國情报机构的权力和触角扩大、以及他们监听通信的能力大幅增加的情况下,要切实履行媒体“向权力问责”的目的,彰显其“第四权力”的自由斗士地位,确实需要死磕到底并且具备相当水平的新闻产业。在美国,如今情报/工业体系已经形成了由机构和私营承包商组成的巨大网络。根据《华盛顿邮报》2010年的估算,超过1200个国家组织和近2000家私营企业在从事反恐、情报和国土安全方面的工作。任何个人、委员会和机构都无法监督如此庞大的群体,除了“无所不在”的媒体。
2016年底,美国国家网络安全委员会向当选总统特朗普提交了一份包含16个安全建议、长达100页的安全报告,指出包含密码的账户是数据泄露的最大漏洞。到2021年,美国政府应当帮助终结重大个人身份数据泄露事件,尤其是包含密码的账户信息。美国国家网络安全委员会推荐用线上快速认证联盟(FIDO)技术标准来达成以上目标。
在安全业界,密码面临的问题有目共睹,谷歌的Oauth和OpenID认证标准开发者Tim Bray曾抨击“用户名和密码是一种愚蠢的方式,而且也跟不上互联网的规模发展”。FIDO联盟正是在这个背景下应运而生的一个推动“去密码化”的强认证协议标准的组织。目前FIDO推动的开放安全规范支持广泛的安全认证技术,包括指纹/虹膜等生物测定、语音和面部识别,以及现有的通讯安全标准。FIDO的规范支持在一个互操作基础设施中各认证技术之间的互动,根据用户和企业的不同需求支持不同的认证技术选择。FIDO联盟的目标是创建一组新的协议,支持对web应用持续的、安全的、无需密码的访问。但是,由著名信息安全公司RSA、微软等美国企业主导的FIDO规范能否在全球范围内取得成功,技术的开放性和先进性也许并不是决定性的因素。FIDO核心成员RSA更是在2013年爆出在产品中植入美国国家安全局(NSA)提供的后门,该丑闻使得硅谷科技公司的声誉一落千丈,也让全球安全业界对“美国标准”心存芥蒂。在特朗普任期能否推动FIDO成为全球新一代网络身份认证标准,帮助全球企业用户、政府和消费者重建已经崩溃的信任基础?目前看来还存在诸多问题和挑战。
在网络的江湖里,2017年出现“友好攻击”的迹象,企业纷纷推出悬赏计划,邀请黑客与他们合作,排查系统漏洞。谷歌、微软和Facebook等软件巨头,通过所谓的“漏洞奖励计划”,或者叫“漏洞悬赏计划”鼓励黑客对它们进行攻击。貌似带有美国“狂野西部”时代历史回声的是,公司向独立的安全研究员提供机会,让他们通过找到关键的安全问题而赢得奖金和认可。为发现漏洞提供奖励日益获得广泛认可,因为他们提供的益处远远超过了风险:黑客们从未这么容易地合法向公司报告漏洞,并且不用违法就能获得回报——不妨称之为黑客版的“打零工”。正如实证经济研究证明的那样,这也是相关公司发现安全漏洞的经济方式,并可能成为企业治理的“最佳实践”机制。
(作者为上海交通大学中国城市治理研究院研究员)
【参考文献】
①[美]尼尔·波兹曼:《技术垄断》,北京:北京大学出版社,2007年。
责编/孙垚 美编/李祥峰