◎中国行政体制改革研究会常务副秘书长 王露
◎新华社瞭望智库研究员 郑妮娅
当前,我国网络空间安全内忧外患严峻局面仍未扭转:网络疆域主权局势严峻,数据安全危机四伏,美国统治全球网络空间野心只增不减,网络空间防御能力严重滞后,网络安全和数据资产管理制度缺失。当务之急是要加强军民融合,从部署一批重大科研项目、培育网络安全产业梯队、组建网络司令部等方面入手,构建攻防兼备、自主可控的网络空间安全力量体系,保障我国网络空间安全利益。
当前我国网络空间安全内忧外患严峻局面仍未扭转,美国始终把持我“网络命脉”,窃取我核心数据资产。当务之急是以习近平新时代中国特色社会主义思想为指引,强化军民融合深度发展,扎实部署“网络空间安全力量体系”,铸牢制衡强敌和实现第二个百年目标的网络空间安全保障。
一是掌控我民用网“总开关”。美实际掌控因特网绝大部分核心设施和各国根域名控制权。2017年12月5日,美曾在北京设置F根域名服务器的一个镜像节点被从根域名服务器资源列表中删除,迄今没有任何机构和单位告知中国用户和网民。此事件说明,美“因特网名称与数字地址分配机构(ICANN)”分配给中国的.CN顶级域名,依然受美随心所欲管控。加之近年来加紧开发网络停服和控制技术,对我“停服断网”轻而易举。
二是扫清发动网战和停服的法律障碍。种种迹象表明美正在将网络停服和网络战争作为对外国际斗争的工具。2015年美《网络安全法》赋予总统“因特网停服开关”权力,2016年国防预算授权法案授予美国防部长发动网络战争的权力。
三是美继续通过ICANN的“不平等条约”严控因特网管理权。ICANN在“棱镜门”事件后仅有象征性变动,其核心“霸王条款”仍未做实质性修改:必须承认ICANN是全球范围内因特网的管理者;各国域名只有使用权没有产权;国家域名注册信息数据库必须向ICANN开放,数据归ICANN所有;任何围绕该协议的仲裁和诉讼都要在纽约或洛杉矶进行。
一是美成我海量数据资产最大受益方。网络空间博弈的核心焦点是“数据资产”。当前海量数据公布上网,在没充分考虑安全的情况下升级民用网协议,正中美国“下怀”。我国公众网络DNS、电子邮件、网站三大关键数据管理系统始终处于“托管”“代管”状态,意味着网络数据对美全面开放。同时,美大量有偿扩散爬虫软件,即时抓取涉及我国家安全、经济社会运行、舆情态势等敏感信息,美成为我数据资产的最大受益方。
二是美因特网企业“八大金刚”垄断我国绝大多数核心领域信息基础设施。以“思科”为例,其网络设备等产品和服务在我海关、公安等政府机构占50%,铁路、机场、港口、石油、制造等占60%,金融行业占70%,传媒行业高达80%。而“八大金刚”长期以来是美情报系统合作伙伴,为军方在服务器中增设过滤器,在软件中预留后门,将系统漏洞预先报告军方。这种状况如不改变,未来我大数据体系、智慧社会、数字中国等将全部建立在美国“墙头”,美可轻易穿透陆海空防线获取我数亿网民和整个经济社会运行信息。
一是强化网络威慑。美2009年率先建立网络司令部,2010年利用“震网”病毒打击伊朗核设施,2014年对朝鲜网络制裁,2016年高调宣布对“伊斯兰国”发动网络战。2017年特朗普政府公开宣称正在全面加速部署针对中俄的网络攻击能力。
二是加强军民融合。如2015年成立“美国国防创新实验单元”,在硅谷、波士顿和奥斯汀设立办公室,与因特网公司签订超1亿美元的军事合同。军政企相互派驻人才保持紧密合作,谷歌前任首席执行官、现任谷歌母公司董事长埃里克·施密特担任“美国国防创新委员会”主席。特朗普任命某网络安全公司总裁朱利安尼为其网络安全顾问,领导网络安全委员会。前网军司令罗杰斯称要增强与私营企业合作,力求未来五到十年打造能够整合网络攻防能力与战术行动的网络体系。
一是对网络安全重视不够。我国是因特网高级持续性威胁攻击主要受害国,金融、能源、交通、教育等行业是“重灾区”。近年来电子政务、电子商务高速发展,但网络安全监管和防御能力严重“拖后腿”。网络安全投资占信息化建设总经费比例不足1%,与美国15%、欧洲10%的水平差距甚大。结果既没摆脱高端技术受制于人现状,也没做到服务应用安全可控。网络攻击、信息窃取和破坏事件屡屡发生。
二是基础信息网络和重要信息系统隐患突出。有关部门对我政府机构、金融、电信、能源、铁路部门和军工企业等120多个单位896个信息系统检测,发现高危漏洞1.2万个。国家安全信息库显示,截止2017年10月,境内被植入后门的网站2180个,全国政务网站存在3004个告警信息,境内被篡改网站数量5163个,被木马或僵尸程序控制IP地址对应主机数84万个。
三是对进口设备“不设防”。进口信息设备几乎处在“不设防”状态。以芯片为例,不仅严重依赖进口,且不设置任何门槛,甚至允许外国公司直销,外企直接掌握每台机器信息。
四是安全技术落后。当前我网络安全主要依赖防火墙、杀毒软件和入侵防御系统,没有形成全局性态势感知技术能力和应急响应机制,面对大规模网络攻击无还击之力,有人形容,“中国几乎赤身裸体地站在已经武装到牙齿的敌人面前”。
一是尚未建立健全有效的网络安全和数据资产管理制度。政府部门注意力主要是本地舆情,对网络安全重视不够。配套立法进程缓慢,全民网络安全意识薄弱。数据管理“大权旁落”,任由少数因特网企业处置,数据泄露严重,地下黑市数据交易猖獗。
二是国内大型因特网企业拥有“超国家能力”。这些公司在“因特网疆土”集结人流、商流、物流、信息流、资金流,并保持体量持续强劲扩张。在数据方面,不仅拥有数据资产,还拥有政府无法比拟的超强数据处理分析技术,数据与分析结果大都不在国家掌控之内。在意识形态方面,形成超级传播平台和社会动员平台,掌握媒体规则制定权。在经济方面,掌握海量产业信息,实际上已经成为相关产业的“超级管理部门”。
三是网络巨头抵御网络攻击能力薄弱。2010年美国国家安全局发起针对华为的“射击巨人”网络入侵,成功入侵华为总部服务器,窃取内部核心商业和技术数据,监听高管,调查其与军方关系。华为是中国高科技企业巨头之首,华为失守意味着中国没有企业可以设防。我国网络企业已经成为美对我网络殖民、窃取数据、敌对势力渗透的首要靶场。
“网络空间安全力量体系”的战略目标是实现攻防兼备、自主可控。一要具备强大的国家关键基础设施防御能力。能够全天候全方位感知国家各领域、各行业关键信息基础设施的网络安全态势,及时识别重大安全风险。能将任何破坏行为控制在短时、低频、可控范围内,遭遇重大冲击时具备抗毁能力、灾难备份能力和全面恢复能力。二要具备攻防兼备的网络军事震慑能力。能够充分应对和发起通过网络空间进行的情报战、物理战、政治战、舆论战、金融战和心理战。三要具备自主可控的核心技术体系和基础设施。突破集成电路、基础软件、核心元器件等薄弱环节,根本改变核心关键技术受制于人的局面,建立具有中国自主知识产权的自主可控网络基础平台,彻底摆脱与美网络“主从”关系。为尽快实现这一目标,建议:
网络安全竞争的本质是网络技术基础体系竞争。加紧部署一批战略性、长期性、注重基础能力培养的重大科研项目,借鉴“两弹一星”和载人航天的成功做法,用好举国体制优势,采取非对称战略和超常规手段,快步补强短板,落实习近平总书记“我们在一些关键技术和设备上受制于人的问题必须及早解决”的指示。在军队、科研院所、高校、企业部署一批体量更大、综合集成的网络技术国家重点实验室,覆盖标准、协议、CPU、芯片、固件、操作系统、数据库、路由器、云储存系统等核心技术,力争实现“本土替代”和颠覆性创新。
中美网络安全差距关键在于美拥有一批从基础层到应用层的世界级垄断企业。我国网络核心技术掌握在民营企业中,必须明确网络企业在维护国家网络安全和服务大国网络抗衡中的责任。通过政府和军队采购、委托研发、科研经费支持等方式全力扶植,将网络企业科研平台打造为军民融合创新平台,造就一支世界水平的网络科技企业梯队,密切配合军政网络安全需求。一是国家队。选择一批基础好、产业链完整的央企、军企和民企巨头,承担国家网络安全和信息化重大工程建设,负责网络武器装备总体设计集成。二是专业队。培养一批在安全测评、咨询服务、基础软硬件、网络武器装备等领域的优秀企业。三是特种队。承担网络安全感知、预警、溯源和反制等专项任务,负责工业、商业、金融、交通等细分领域网络安全。四是建立以国防部为引领的网络技术产业联盟。广泛发动从基础层到应用层的央企、军企、民企共同参与,互相开放合作渠道,实现网络安全技术军民大融合、大循环。
一是建立军政企网络技术人才互派制度。实现军队、政府部门、网络企业间相互派驻人工智能、大数据、网络安全领域专家。二是构建大规模、开放式、共享式的国家网络靶场,使其成为军用网络武器装备研制实验、攻防对抗训练演练和军民共用的网络空间安全技术演示验证、信息系统安全性检测和网络风险评估的大型基地。三是建立军民一体化网络安全应急联动体系。重点应对网络意识形态渗透破坏、关键基础设施设伏攻击、军事信息系统入侵等威胁。成立军民融合网络安全应急指挥中心,组织来自军队、国防部、公安部、安全部、国家战略传播系统、网络企业、关键基础设施等机构人员,战时军地联合协调、统一指挥,平时互派支援小组提供专业化技术支持。
正式建立网络空间部队基本军事建制和对应兵种,成立网络司令部统管全军网络安全和网络作战指挥,各军种内部设立“网络特战部队”,各战区司令部设立“网络战指挥部”。承担情报搜集、网战攻防、网络安全技术研发、网络武器研制等职能。
借鉴美国做法,在中央网信办组建“国家网络空间安全态势感知总协调机构”、“网络安全应急响应协调小组”、“情报信息协调小组”、“网络安全技术研发协调小组”、“国家关键基础设施保障办公室”五大跨部门协调机构。由参与部门主要领导人组成,负责人直接向中央网络安全和信息化委员会汇报。
围绕数据开发利用原则、权属关系、安全管理,以及采集、存储、传输、处理、交换、销毁各环节全生命周期保护等制度,建立国家层面政企协同、军民融合、跨部门治理机制。一是抓紧出台“大数据国家安全战略”和“国家数据法”。安全战略重点研究大数据立法计划、治理原则、权利划分、数据标准、政府数据资产管理登记等。以法律形式对个人隐私、商业秘密、国家秘密的数据信息建立防控措施、安全等级分类制度、风险测评、应急防范等制度,明确法律责任以及处罚方式。二是设立国家、省、市三级大数据管理机构。国家层面可考虑成立专门的大数据管理机构,省市成立大数据管理局。三是设立“首席数据安全官”制度。借鉴欧盟经验,在各级政府大数据管理局和企业设置“首席数据安全官”,在违法、数据泄露情况下追究法律责任。