【保密宣传周】提升网络空间治理能力 实现整体动态开放的网络安全

 2020-03-24 10:08:09   浏览1292人
收藏

“子曰:乱之所生也,则言语以为阶。君不密则失臣,臣不密则失身,几事不密则害成。是以君子慎密而不出也”。保密工作事关党和国家的安全和利益。3月19日起,市检察院开展为期一周的保密宣传活动,以期对大家提升保密意识、增强保密观念、筑牢保密防线有所裨益。
当前正处于疫情防控的关键时期,保密安全尤为重要。有关部门监测发现,有黑客以疫情有关词汇或信息为诱饵,通过社交网络、钓鱼邮件等渠道传播计算机病毒,进行网络攻击。本期摘录《保密工作》杂志对中国工程院院士、网络与信息安全专家方滨兴的专访,以强化干警网络安全风险意识,共同维护网络意识形态阵地安全。

以下文章摘录于《保密工作》杂志(2020年第1期)

提升网络空间治理能力 实现整体动态开放的网络安全

提升网络空间治理能力 实现整体动态开放的网络安全——专访中国工程院院士、网络与信息安全专家方滨兴
习近平总书记明确指出,没有网络安全就没有国家安全,没有信息化就没有现代化。习近平总书记的这一重要论断,把网络安全上升到了国家安全的高度,为推动我国网络空间治理体系和治理能力现代化指明了方向。如何应对日益复杂严峻的网络安全形势,进一步提升网络空间治理能力,实现网络强国之梦?本刊联合广东省保密局、广州市保密局就此专访了中国工程院院士、网络与信息安全专家方滨兴。
记者:习近平总书记首次在世界互联网大会上倡导尊重网络主权,引起了世界各国的广泛关注。您是较早提出并研究网络主权问题的专家,请您谈谈相关研究背景。
方滨兴:1994年,我国通过美国的线路正式接入国际互联网,随后我国的互联网开始进入广泛普及阶段。当时,有一部分人将网络空间作为“虚拟世界”来看待,并将其独立于物理世界,从而对来自物理世界的政府管理加以抵触。其中最具代表性的是互联网活动家约翰·佩里·巴洛发表的“网络空间独立宣言”,声称网络空间属于“未来世界”,在这个世界中,没有政府,没有政府的权力,只有“虚拟世界主权”。这是一个全球社会空间,正在形成自己的社会契约,以自己的方式来处理网络空间中所发生的事情,网络服务提供商负责行使网络空间的权力。
进入21世纪以来,随着网络安全问题日益突显,我国加大了对互联网的管理力度,出台了一系列的管理制度与政策。但西方国家却对我国的互联网管理指手画脚,攻击我国政府“限制互联网自由”。其中一个重要原因可以归结于网络空间是否存在主权的理念之争。从2009年起,我们开始研究网络空间是不是一些人设想的那样属于“全球公域”,世界各国是否真的放弃在网络空间中行使主权的权力。
研究表明,答案是否定的。仅以世界各国对不良信息的处理为例,西方国家均提出了本国的互联网不良信息标准,制定相关法律,设立相关管理部门,动员社会组织以各种形式参与互联网治理,研发各类技术手段来辅助管理互联网,开展一系列的专项行动来打击网络犯罪。事实证明,网络主权是客观存在的,西方国家对我国的互联网管理横加指责是没道理的,是对“互不干涉内政”国际交往基本原则的轻易践踏。
记者:国际社会对网络主权概念有不同的理解,您是如何理解的?
方滨兴:我认为,网络空间虽然是一个虚拟的空间,但具有国家主权所需要的4个基本要素:一是平台,空间是建立在平台上的,没有互联网、电信网、广电网、物联网、工业控制网等信息技术系统,这个空间根本不存在,而这个平台就对应着国家主权要素中的领土,平台就相当于“领网”;二是用户,没有用户就没有主体,用户就对应着国家主权要素中的人口;三是数据,没有数据就产生不了活动,数据对应着国家主权要素中的资产;四是网络控制规则,网络控制规则可以决定网络空间的活动是否得到授权,对应着国家主权要素中的政权。简单地说,网络空间是与国家的物理空间相映射的,国家主权在物理空间的4个要素是领土、人口、资产、政权。而网络空间主权也具备这4个要素:领土是平台,人口是用户等虚拟角色,资产是数据,政权是控制规则。所以,网络空间也是有主权的,网络主权就是国家主权在位于其领土之上的平台所支撑网络空间中的自然延伸。
和国家主权一样,网络主权也有4项基本权利:一是对内管辖权,即网络空间的构成平台、承载数据及其活动受所属国家的司法保护;二是国际平等权,即各国在国际互联网中具有同等的治理地位;三是独立权,即位于本国领土内的网络空间基础设施的运行不能被他国所干预;四是自卫权,即国家拥有保护本国网络空间不被侵犯的权利及其军事能力。
记者:面对复杂严峻的网络安全形势,如何透过现象看本质,从网络主权的高度,科学认识网络安全问题?
方滨兴:今天,我们进入了一个信息化和网络化的时代。信息与网络共生共存,小到民众生活的一点一滴,大到国家的安全发展,无所不在其中。从网络主权意义上讲,网络就是一个看不见硝烟的战场,是各方角力的主战场。“斯诺登事件”再次证明,没有关键技术和自主产权的网络,没有对网络空间进行保护,小到个人,大到国家,都将无秘密可言,无安全可言。一个国家、一个社会,如果不能保证网络和信息的安全,再强大的硬件设施都可能成为“聋子瞎子”。所以,习近平总书记多次强调,没有网络安全就没有国家安全。

网络安全

如何科学认识当前的网络安全问题,我个人归结为“六论”。一是从认识论视角看,网络安全是整体的而不是割裂的。随着信息化的快速发展,当今网络空间出现了发达国家推行信息霸权主义、网络攻击平台化、网络窃密泄密频发、网络谣言迷惑群众、信息技术成为军事破坏工具等诸多安全问题。这说明,网络安全已经成为国家安全的核心组成部分,可以辐射影响到政治安全、经济安全、社会安全、文化安全、国防安全等各个层面。
二是从进化论视角看,网络安全是动态的而不是静态的。每一项新技术都会带来新的威胁,新的威胁也会催生新的安全技术。例如,互联网催生互联网安全,云计算、大数据、移动互联也催生了相应的安全技术。实际上,如果5年内不允许出现任何新技术,技术只保持目前的状态,5年后安全环境肯定会非常好,安全问题都会被解决,但是客观情况下在这5年期间还是会有新的技术不断涌现,因此,要解决安全风险,最根本的是要树立动态的综合防护理念,做好安全技术规划,紧跟新技术的发展。
三是从实践论视角看,网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,在实践中不断完善,网络安全防护能力才能不断提高。维护网络安全绝对不能搞闭门造车,要积极主动参与竞争,强化攻防实战,感受真实威胁,在与高手过招、切磋中不断学习、提升。
四是从相对论视角看,网络安全是相对的而不是绝对的。一味追求绝对安全是不现实的,只有立足国情,适度安全,才能促进社会发展。换句话说,解决网络安全问题,必须考虑当下的基本国情和安全成本,掌握好适度安全,不是所有的场合都必须采用物理隔离这类极端的安全措施,应对的方法就是要建立网络安全等级保护制度。
五是从方法论视角看,网络安全是共同的而不是孤立的。网络安全的使命已经从应用安全过渡到用户安全,安全、可信、可控、可靠的网络是当前网络安全追求的目标。不能孤立地解决网络安全问题,要从人才、技术、管理入手,打造聚合式安全服务平台,共筑网络安全防线。
六是从矛盾论视角看,网络安全是妥协的而不是互斥的。自由与秩序需要妥协,安全与发展同样需要妥协,关键是要找到一个平衡点,既不能为了安全不顾发展,也不能为了发展不顾安全,而是要以安全保发展,以发展促安全。

人工智能、区块链、物联网

记者:当前,人工智能、区块链、物联网等新技术发展迅速,对网络安全建设提出新要求,您如何看待这一问题?
方滨兴:任何新技术都可能给网络安全带来两方面的影响:一个是赋能效应,既赋能攻击,又赋能防御。二是伴生效应,本来不存在某一安全问题,因为新技术来了才出现。伴生效应又可以分为内生安全问题(新技术自身的安全问题)和衍生安全问题(新技术引发了其他领域的安全问题)。
例如,在赋能效应方面,人工智能可以赋能网络防御。国外开发出一个叫作AI2的系统,把人工智能应用于恶意代码检测、恶意流量检测、威胁情报收集、软件漏洞挖掘等网络安全领域,全面提高威胁攻击的识别、响应和反制速度,网络防御能力比过去提高了3倍。人工智能也可以赋能网络攻击,可以称之为自动化网络攻击。其原理是设计一个“网络推理”系统,能够自动发现攻击对象有没有漏洞可以利用,如果有的话,自动生成一个程序攻击漏洞。例如,2016年,美国就搞了这样一个比赛。初赛时,组织方提供了590个漏洞,100多个团队设计的自动化网络攻击程序参加比赛。结果,所有的漏洞都被发现,组织方从中选出发现漏洞多的7个自动化网络攻击程序参加决赛。最后,卡内基梅隆大学设计的自动化网络攻击程序获胜,随后,就让它去参加人类的比赛,在决赛的中间环节,一度超越了两个人类的顶级团队,排名第13。所以说,人工智能在赋能网络攻击时还是很可怕的。
在伴生效应方面,人工智能存在内生安全问题,这可能成为自动驾驶的“死穴”。例如,一个被贴上几张小广告的停车标志牌,人看到标志牌不会因为有小广告而看错,但自动驾驶通过算法识别可能会出现错误,会将停车标志看成限速45公里的标志。之所以如此,与人工智能的内生原理有关。人工智能依靠大量的数据和算法进行深度学习,所生成的模型参数具有不可解释性,很难解释什么样的输入变动会导致人工智能理解错误。人们可以通过某种手段找到一些输入干扰,使得人工智能可能受小广告的干扰出现识别错误,进而忽视停车标志牌出现安全问题。也就是说,人工智能高度依赖输入,通过攻击输入,就会导致人工智能出现一系列安全问题。人工智能也存在衍生安全问题,可能危及人类。马斯克认为,人工智能威胁到人类的未来,需要加强管理;霍金认为,人工智能一旦脱离约束,是不可控的;盖茨认为,人工智能最终构成一个现实性的威胁。人工智能在什么情况下会危害人类呢?我认为要同时满足3个条件:第一,能够移动且具有一定的动能;第二,有决策能力,可以有意识地做事情;第三,能够自主行动。前两个条件现在基本满足,后一个条件已出现苗头,对此我们要保持足够的警惕,对人工智能进行必要约束。
其他新技术也是如此。比如区块链,区块链的原理是放弃中心,在一个无中心的环境下,它可以助力信息安全;但反过来,在一个以监管中心为核心的体系里,也没办法纠正错误,这就会助力攻击。再比如物联网,现在很多城市都在建设智慧城市,传感设备进行数据交换的过程中,就存在信号辐射的数据泄露隐患,这是物联网的内生安全问题。同时,物联网带来的NFC支付和信用卡免密支付有可能遭受黑客攻击,这是物联网的衍生安全问题。
因此,要正确处理新技术和网络安全的关系,既要应对新技术及其承载数据自身脆弱性引发的内生安全问题,也要应对新技术及其承载数据的应用带来的衍生安全问题。同时,要充分利用新技术及其承载数据来赋能网络安全建设。

免责声明:如转载稿涉及版权等问题,请立即联系管理员,我们会予以更改或删除相关文章,保证您的权利。