穆 琳,李维杰,陈海强,周 欣
(中国信息安全测评中心,北京 100085)
作为推动第四次工业革命浪潮的重要力量,网络信息技术和生物技术对人类社会产生重大而深远影响,伴随而来的网络安全与生物安全问题因潜在的军事斗争风险等,成为能够撼动全球战略平衡的重要变量。近年来,随着生物安全在新时代数字化、自动化、智能化、工程化浪潮中不断发展并呈现出新特征,国家安全交叉领域——网络生物安全应运而生,覆盖以基因数据、生物特征数据为代表的生物数据安全,用于生成、存储、处理生物信息的基础设施安全。网络生物安全问题的出现,印证了习近平总书记2016 年在网络安全和信息化工作座谈会上关于“在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系”论述的正确和远见。近年,全球整体针对网络生物安全的研究刚起步,而欧美国家依托自身网络安全和生物安全领先能力率先布局该领域,相比之下,我国网络生物安全研究面临一定挑战,未来工作任重道远。
网络生物安全作为网络安全、网络实体安全和生物安全相结合的新兴交叉学科,旨在了解生物学在网络空间融合前沿领域出现的新安全风险,即生命医学、网络空间、网络实体供应链和基础设施在内部或交叉领域可能遭监视、入侵等恶意网络活动方面的脆弱性,并针对这些涉及运营主体安全、竞争力和稳健性的威胁,制定并实施预防、保护、对抗、削弱、调查和归因措施[1]。当前,网络生物安全融合网络安全、源于并超越生物武器等经典生物安全框架,是影响国际战略稳定的新兴变量,已成为大国博弈的另类疆域[2]。
生物数据主要包括生物体遗传数据和非生物体遗传数据,即基因、蛋白质序列数据和代谢物质等生物大分子所携带的信息,以及用于描述生物体各种性状的其他各类数据和复杂衍生信息[3]。信息技术的进步,为生物数据的获取、采集、存储和应用提供了更加便利的条件。随着生物数据的体量不断增长,生物数据生成生物大数据,其数据属性和可操控属性开始显现并不断被强化,在国家数据安全、网络军备竞赛等方面体现出重要战略价值,由生物安全领域横跨网络安全领域,成为推动数字经济时代发展的新兴战略资源。以人类基因数据为例,除了天然的生命密码属性赋予其国家战略资源的地位[4],涵盖不同人种、民族、人群的基因大数据更因与遗传疾病、基因武器相关[5-7],成为美国、俄罗斯等国重点关注的数据安全问题之一。与人类基因数据类似,人类生物特征数据作为另一类重要的生物数据,不仅在当前全球最严数据保护法——欧盟《一般数据保护法案》(General Data Protection Regulation)中与基因数据一道被列为重点保护对象,更被美国国防取证及生物特征识别局(The Defense Forensics and Biometrics Agency)作为建设全球自动生物识别和网络监控系统的底层数据进行收集和应用,成为美国军方的重点研发项目之一。
进入新世纪,网络新技术新应用与生物科技高度融合,出现一批以高通量测序、高性能基因编辑、大规模生物合成、生物大数据分析为代表的高新技术,成为推动农业育种、病虫害生物防治、生物清洁燃料、人造生命器件、基因治疗等前沿领域发展的重要引擎。网络信息技术赋能生物科技的成果为人类社会带来颠覆性变革,但相关系统、软件、算法漏洞以及网络病毒等安全隐患客观存在,加之生物科技的信息化、网络化转型,为生物武器的制造和扩散提供了更多信息操控渠道,导致生物安全的受攻击面扩大至整个生物科技研发与应用的供应链、产业链,一系列承载关乎国计民生的重要生物实验运行、信息分析、物质合成等任务的基础设施面临非法访问、远程操控、恶意利用以及失窃密等重大风险,严重威胁人民健康和社会稳定。2017 年,美国华盛顿大学研究人员发现,人工合成的DNA 序列能够携带恶意编码信息,在基因测序系统将DNA 样本转译为数字信息时触发恶意软件,继而破坏基因测序软件、控制底层计算机系统,导致生物信息基础设施在面临传统网络安全威胁的同时又添一条极具针对性的受攻击渠道[8]。
美国作为世界网络强国和生物技术领先国家,率先从生物大数据的国家安全风险及网络时代生物经济安全的系统性研究出发,形成政府机构牵头、科研院所深入的研究合力,探索布局网络生物安全领域。
2014 年,在美国科学促进会科技与安全政策中心(Center for Science,Technology and Security Policy,American Association for the Advancement of Science)、美国联邦调查局大规模杀伤性武器部(Weapons of Mass Destruction Directorate,Federal Bureau of Investigation)、联合国区域间犯罪与司法研 究 所(The United Nations Interregional Crime and Justice Research Institute)的组织下,来自政府机构、学术界、私营企业的计算机科学、数据科学、生命科学、生物安全、数据安全、网络安全、国土安全等领域20 多位专家共同就生物大数据对国家与跨国安全的影响展开研究,建立风险与效益评估框架并提出风险应对建议。2014 年至2016 年,在美国联邦调查局大规模杀伤性武器部的牵头下,美国国家科学院、工程院和医学院每年召开一次“捍卫生物经济”专题研讨会,在关于网络时代如何维护美国生物经济安全的讨论中发掘出网络生物安全的重要价值。2017 年,美国国防部出资75 万美元支持美国弗吉尼亚理工大学、内布拉斯加林肯大学与科罗拉多州立大学的研究人员立项,由美国联邦调查局实验室原高级行政官员、弗吉尼亚理工大学生物安全与法医学研究负责人Randall S.Murch 带头,正式针对网络生物安全这一全新领域展开研究,一年后该项目在理论研究方面初见成效,Jean Peccoud、Randall S.Murch 等人先后发表学术论文,首次定义网络生物安全并讨论相关安全漏洞问题[1,9];随着研究的不断深入,该项目各参与方积极围绕网络生物安全组织相关讨论与实践,例如弗吉尼亚理工大学计划召开“利用网络生物安全保障农业、粮食及其经济安全”研讨会、科罗拉多州立大学举办“网络生物安全黑客马拉松”等等。
2018 年至2019 年,美国、英国、加拿大的科研院所、智库、企业的研究人员基于生物安全和网络安全现有研究方法与框架,共同推动网络生物安全基础性研究并取得一定进展。
2.2.1 界定具有重大威胁的网络生物安全漏洞
在美国政府和有关科研机构正式提出“网络生物安全”的概念之后,欧美研究人员就生物、农业、医疗等领域出现的具体的网络生物安全漏洞展开个案研究,初步梳理出当前主要存在的网络生物安全漏洞现状。相关研究发现,网络信息技术赋能生命科学高速发展的同时,导致生物医学实验室物联网设备、生物制药等制造业数据与信息系统、淡水有害藻华监视系统、病原体基因组等生物数据库、粮食与农业系统等众多重要的生物数据与基础设施面临重大网络安全风险,且相关风险伴随人工智能等新技术的引入而不断升级[10-17];此外,用于识别转基因生物的标签基因鉴定造假、病毒相关或用于数据存储的合成基因被滥用等问题也成为网络生物安全领域重大漏洞[18-19]。
2.2.2 推进网络生物安全新学科建设落地
网络生物安全作为一门新兴交叉学科,很快受到美国、加拿大的教育工作者关注。2019 年2 月,美国罗伯特·莫里斯大学的Glenda Turner 在信息科学与信息技术教育会议(Information Science and Information Technology Education Conference)上发布其团队针对网络生物安全新学科建设的阶段性研究成果,指出网络生物安全与风险管理、生物安全、生物经济学、网络安全、网络物理系统安全、伦理学、工业生物技术、合成生物学、担保、保险、系统安全等学科有密切关系,网络生物安全的重要性日益凸显,应尽早从建立系统性研究理论、听取社会观点、实施预防设计、评估综合集成质量等跨学科关键原则与特征的角度谋划网络生物安全学科建设[20],相关研究成果为后续构建网络生物安全知识框架的理论研究奠定基础。此外,2019 年秋季学期,加拿大卡尔加里大学在计算机科学专题下开设网络生物安全相关研究生课程;同年,美国华盛顿大学网络生物安全领域的研究生培养也在持续推进,Peter Martin Ney 就DNA 分子作为媒介破坏基因测序系统的问题撰写博士论文,并评估了流行遗传族谱服务的安全性[21]。
2.2.3 率先提出有针对性的网络生物安全风险应对措施
当前,全球解决网络安全与生物安全问题的措施不能有效应对网络生物安全带来的新兴综合性威胁,对此,欧美研究人员通过系统性研究,率先提出应针对网络生物安全新兴领域进行术语统一、标准与法规制定等工作,以规范人们的认知并集中多方力量系统应对风险,将网络生物安全专业人员培训纳入网络安全与生物安全现有人才培训机制,绘制网络生物安全评估框架,以更有效应对网络生物安全威胁[22-26]。2020 年,美国欧道明大学研究人员结合网络生物安全在生物过程中的重要性,提出利用“实战演练”维护大学或社区生物实验室、政府实验室或监管机构、企业实验室、医院、监狱、保险公司等机构的网络生物安全的具体方法和步骤[27]。
作为网络安全与生物安全相互渗透和交叉的新兴产物,网络生物安全对我国建设网络强国、全面提高国家生物安全治理能力具有重要意义。我国网络生物安全研究起步较晚,目前正面临三方面挑战。
美国学者研究认为,网络生物安全是美国整体安全的重要组成部分,在网络生物安全萌芽领域利用战时地缘政治利益脆弱点即可制造网络生物冲突,要求采用2018 年美国《国防部网络战略》中的“防御前置”新作战理念针对网络生物安全进行研究和战略部署[28]:第一步,定位以消解网络生物行动,即通过持续的研究和准备,收集用于遏制或摧毁恶意攻击行动的一般手段;第二步,收集威胁信息并知会防御,即“外科手术式”精准收集足够专业知识,以针对特定的威胁动态开发风险评估和遏制方法;第三步,影响对手以阻止其针对美国部署网络行动,即在对国家级攻击者实施制裁和采取先发制人的军事行动之前,加强对低水平对手的惩罚措施。“防御前置”将美国的行动范围前伸至攻击源头,主动观察、追击和应对对手行动,名为防御、实为攻击。当前,美国国防部牵头学界进行网络生物安全研究,在“防御前置”理念的引导下会主动影响其他国家网络生物安全,威胁他国生物数据、生物信息基础设施安全,挤压他国参与全球网络生物安全议程的发展空间。
2009 年,我国学者在研究实践中发现,网络安全与生物安全在高新技术发展中引发安全威胁、多学科交叉融合以及均需法律监管3 个方面具有高度相似性[29],但未就两者之间的关联关系进行分析。近年来,我国针对网络生物安全的研究主要集中在生物数据安全层面,从数据挖掘和分析过程中的信息安全问题以及病患隐私泄露、基因数据与生物特征数据安全等方面进行理论探索,并就基因数据立法保护问题困境展开讨论,相关研究仅揭示了网络生物安全的冰山一角,未对该问题形成系统性的认知和研究体系。2019 年,王小理等[2,30]发现网络生物安全这一新兴事物的战略价值和战略意义,提出我国在面对网络生物安全新型威胁和应对美国一国独大局面时应积极主动、有所作为。目前,中国知网数据库中尚无相关博士、硕士论文。总体而言,我国关于网络生物安全的研究成果数量非常有限,研究深度和广度不足,全面、系统、前瞻性研究较为匮乏,与欧美国家已产生较大差距。
当前,我国已将生物安全纳入国家安全体系,并陆续将基因数据等人类遗传资源纳入立法保护。但是长期以来,我国公民基因数据的采集、分析与使用过度依赖国外信息技术平台,加之相关数据存储机构的安全保护意识薄弱、公民或组织在对外提供相关生物数据时安全意识不足、生物数据库信息安全防御措施不完善等,导致我国公民基因数据依然面临重大安全威胁[31]。俄罗斯网络安全公司卡巴斯基研究发现,2019 年第三季度,在全球安装了卡巴斯基产品的生物特征数据处理和存储系统中,有超过1/3 存在感染恶意软件的风险,预计未来将大规模出现窃取银行和金融系统生物特征数据的恶意软件,生物特征数据处理和存储系统安全问题迫在眉睫,应引起各界重视[32]。在这些全球共性问题存在的同时,我国还面临生物识别数据库技术整合度不高、政府数据库连通性不足导致的跨部门、跨区域和跨层级协同应急反应滞后等挑战[33]。面对这些已超出网络安全与生物安全领域原有威胁范畴和影响力的网络生物安全新兴威胁,我国在产学研用各层面的工作尚未形成有针对性的对内保护和对外防御措施。
面对欧美国家在网络生物安全领域的先发研究优势和战略威慑,我国应结合自身实际,从顶层设计、新学科建设、测评体系构建等方面打开网络生物安全工作局面,在这场刚刚展开的国际竞赛与博弈中下好我们的“先手棋”,有效维护新时代总体国家安全。建议如下:
一是完善国家安全体系,推进网络生物安全顶层设计。针对网络生物安全这一新兴重要国家安全问题,应在其发展初期抓住机遇,进行自上而下的系统谋划,引导该领域健康有序发展。网络生物安全既包含数据安全、关键信息基础设施安全问题,又关系到生物资源和人类遗传信息安全,与国家安全体系中的网络安全、生物安全关系密切,应切实考虑网络生物安全的交叉融合特性,在国家安全体系中体现网络生物安全的战略地位,构建维护国家网络生物安全的政策、路径和举措,将维护网络生物安全工作融入网络安全、生物安全、数据安全的立法、配套措施与标准制定等相关工作中。
二是布局网络生物安全新学科建设,强化交叉学科人才培养。网络生物安全的出现伴随新知识的产生并具有社会真实需求,满足成为新学科建设逻辑起点的条件。网络生物安全新学科建设需要考察网络安全、生物安全等具体学科知识在解决现实社会问题中的着力点和贡献,鉴别代表新知识发展方向的因素,形成解决网络生物安全问题的合力。在新学科建设中,人才作为重要战略资源,对学科发展具有重要推动作用。网络生物安全作为一门能够影响国家总体安全和国际战略稳定的新兴交叉学科,相关人才培养不仅要求具备多学科背景,还需训练全局视野和战略眼光。
三是建立网络生物安全测评体系,实施有针对性的风险评估与安全测评。党的十九届四中全会指出,要建立健全国家安全风险研判、防控协同、防范化解机制,提高防范抵御国家安全风险能力。面对网络生物安全挑战,亟需结合已有网络安全与生物安全测评工作,针对医疗卫生、基因测序、疾病防治、人造器官、基因治疗、生物特征识别等行业相关的生物数据安全及生物信息基础设施安全制定体系完善、生态闭环的管理策略,建立有针对性的风险评估、安全测评体系,研究制定威胁应对措施,加强我国网络生物安全威胁防御能力。
网络生物安全是近年来国家安全领域出现的一类新兴问题,以美国为代表的欧美国家意识到发展网络生物安全战略的重要意义,利用学界在网络领域与生物领域全球领先的科研实力,通过绘制网络生物安全研究蓝图,为形成学界驱动、政府指导、产业界实践的国家网络生物安全战略发展体系奠定良好基础。当前,我国正处在建设网络强国和全面提高国家生物安全治理能力的关键时期,网络生物安全问题的出现,对维护网络安全与生物安全工作提出更高要求。在全球网络生物安全研究发展初期,我国应抓住机遇,积极应对战略竞争,切实提高自身在网络生物安全新兴领域的对内保护和对外防御能力。