程玉

[摘要]随着信息网络技术的迅猛发展,网络安全问题逐渐成为国际社会面临的又一个全球性的公共问题。近年来,随着中国国力的崛起及部分IT企业的迅速壮大并进军国际市场,网络安全问题不断被美国挑起并不断强化,到2013年升级为中美经济和外交活动中最突出的焦点问题。

[关键词]非传统安全;中美关系;网络安全

[中图分类号]D8[文献标识码]A[文章编号]1672-2426(2014)07-0031-05

近年来,随着中国国力的增强,网络安全问题逐渐成为中美经济与外交活动中最突出的焦点问题。

2013年2月18日,美国网络安全公司曼迪昂特?穴Mandiant?雪发布名为《APT(advanced persist threat)1:揭露中国网络间谍单位》的报告。报告称,该公司历时6年追踪了针对141家美国公司或组织的1905次持续性的入侵行动,其中97%的IP地址来源于上海,而且发现这些被追踪的入侵使用了简体中文版的操作系统。接下来就是建立在推断基础上的结论,此类黑客行动得到中国政府的支持,这些黑客与解放军存在秘密联系,并指责这些黑客窃取了商业机密并将其转交中国公司,帮助其和美国进行不正当竞争,推断实施攻击的黑客组织隶属于“总部设于上海浦东一栋12层建筑内的中国人民解放军61398部队。此后美国政府和媒体不断炒作中美之间的网络黑客问题,使得网络安全问题不断升温,在2013年6月7日到8日中国国家主席习近平与美国总统奥巴马的加州的安纳伯格庄园会晤时成为最被关注的问题。奥巴马指责中国对美国的网络攻击行为。在2013年7月举行的第五轮中美战略与经济对话中网络攻击问题仍然是焦点。

美国从自己极力打造的道德高地上正面临塌方的窘地,中美两国在网络空间的攻守之势可以说乾坤大翻转。

世界上没有哪个双边关系比中美关系更能影响国际政治,而在这个双边关系中,没有哪个议题像网络安全一样快速升温并在很短时间内造成种种摩擦。那么网络安全问题如何成为国际社会的重要议题,网络安全问题在中美哪些领域引发矛盾和冲突?中国在面对网络安全问题该如何应对?本文将分别就这些问题进行论述分析。

一、网络安全问题的产生根源

网络安全的重要性源于网络空间不断增长的技术、经济、社会和政治价值。基于互联网的网络空间连接着世界几乎每一个角落、运行着亿万个应用,成为世界经济社会运行的基础平台,也成为高价值的攻击目标和各国的防御重点。

(一)网络空间不断增长的数据信息成为国家安全的重要数字资源

网络空间的发展不仅是数字化的过程,更是数据化的过程。数字化将文字、图像、音频、视频等内容转化为二进制代码,提高了运算和处理效率。数据化则是人类生活各个方面转化为可量化分析的数据及国家和民众的网络活动产生的大量数据的过程。互联网上的数据每年增长50%,每两年翻一番,目前世界上90%以上的数据是最近几年产生的。近年来,随着云计算、物联网、社交媒体等互联网应用的快速发展,使得网络数据以惊人速度在增长。网络空间逐渐成长为储量巨大并持续自我增值的数据矿藏,蕴含人类社会生产要素变革的大数据时代已经到来。2013年,美国《外交》杂志刊载一篇大数据的论文,文章指出:大数据的管理可能成为国家间新的角斗场,信息变革已经从自然科学领域向社会科学领域及外交领域扩散。特别是那些金融、能源、商贸、国防等高价值数据的应用平台或对国家经济社会运行意义重大的网络系统,各国政府逐渐从战略高度和国家安全的角度予以重视。

(二)经济社会运行与网络空间的联系日益紧密

以互联网为代表的网络信息技术和应用最近二十年发展迅速,全面渗透到世界经济、政治、军事各个领域,进一步加强了人类社会的相互依赖。自美国政府于1993年推出国家信息基础设施计划、1994年发出全球信息基础设施倡议以来,持续20年的全球信息基础设施建设已经铺设了10亿公里的光纤网络、连接数以百亿计的固定和移动终端设备。1990年只有25万人使用互联网,2013年全球互联网用户达到27亿。2012年,全球电子商务销售额超过一万亿美元。世界范围的生产、贸易、金融、商业已经与网络空间高度融合,全球信息基础设施的互联互通已经成为世界经济的运行基础,一旦发生故障或中断运行,整个国际社会的正常运转都会受到影响。从这个意义上讲,网络安全已经成为绝大多数国家、私营部门以及个人必须面对的全球性公共问题。

(三)网络空间最初的设计缺陷带来安全隐患

今天连接世界每个角落的互联网源于冷战时期美国国防部高级研究计划署设计的阿帕网(ARPANET)。阿帕网设计之初主要考虑的是以“冗余”保证连通性,是确保指挥和控制命令能够到达目标而非其具体路径,是整个系统的正常运转而非单个节点的安危。当以阿帕网为雏形的互联网发展成为各国经济社会运行重要网络基础设施时,单个节点已经不再是可以忽视的因素,一些节点甚至事关国家重大利益,因为来自于单个节点的攻击会带来不可估量的损失。美国情报界的一份报告指出美国决策者面临两大难题:“一是如何明确网络攻击的实施者是谁及实施者的位置;二是如何管理网络的大量脆弱性。”因此,美国、欧盟和中国规划下一代互联网时,都将安全保障列为首要考虑因素。如中国强调在商用部署阶段要确保安全可信,“在公众网络中建立网络与信息安全防护体系,完善国家数字证书管理体系,提升网络安全可信水平”,美国国家标准与技术局在一份未来互联网发展的指导意见中着重强调网络行为归属的问题,并考虑在下一代网络的基础协议中加入身份识别功能。

二、中美双边关系中网络安全问题的摩擦

(一)网络安全问题在中美经贸领域的摩擦

20世纪90年代以来,中国互联网的发展吸引了许多美国信息技术公司来华投资,其中有八大金刚之称的思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软入主中国,迅速占领了网络设备、操作系统、数据平台、个人终端、搜索引擎等产品和服务市场。但是近年来,中国市场和政策的变化对美国形成了挑战。随着中国本土企业的崛起,市场竞争日趋激烈,带给美国企业很大的冲击,比如2010年谷歌将其搜索业务退出中国,很大程度有竞争失利的因素。2009年,中国搜索引擎市场上,百度占77.2%,谷歌占12.7%,同期全球搜索引擎市场上,谷歌市场份额67.5%,百度7.0%,数字对比显示谷歌在中国市场上的失利。应当指出,谷歌仅是将其搜索引擎业务退出中国,迄今仍在中国市场开展诸如谷歌地图、翻译等业务。所以,笼统说谷歌退出中国并不严谨。而谷歌将搜索业务退出中国的原因归咎于中国的网络审查制度,因为按照中国的法律法规,谷歌搜索引擎要对搜索结果进行过滤显示,谷歌没有严格遵守中国的法律,显示黄色淫秽等不良信息,中国主流媒体《人民日报》曾就此事批评谷歌。美国经济与安全评估委员会认为中国的网络审查实际上是一种贸易壁垒,削弱了美国企业开展业务的能力。美国政府多次就谷歌事件指责中国,还向世贸组织起诉称中国的互联网政策违反贸易规则。

谷歌和微软等企业被披露与美国政府签署《爱国者法案》,根据该法案,微软等9大互联网公司要向美国政府提供用户信息,另外思科、微软等产品存在后门问题在行业内已不是什么秘密,利用其设置的后门,可以轻易获得远程计算机的秘密数据,这引起了中国对关键基础设施过于依赖国外产品的警觉和对发展自主知识产权及对本土信息技术产品的重视,并明确提出未来中国信息基础设施建设要以本土企业和产品为主导。

而美国方面,美国政府一直以网络安全为由,认定中国企业的产品有代码嵌入风险,并通过立法或行政措施,限制中国企业在美国市场的经营活动。

2004年12月,我国联想集团以17.5亿美元并购美国IBM全球PC业务,但是,这一本来十分正常的跨国并购引起一场不小的风波。12月29日,IBM按照法律规定向外国投资委员会提交了通知。外国投资委员会在美国财政部长约翰·诺斯的领导下随即展开了常规调查。美国的外资审查制度非常严格,涉及外资审批的法律法规很多,其中最重要的是《埃克森-弗罗里奥法令》。该法律规定,外国投资方要接受美国外国投资委员会(CFIUS)的审查,虽不是强制规定,但是,只要他嗅到任何不安全因素,投资方都必须接受审查,审查的关键是确定投资交易是否导致美国目标为外国控制,以及交易是否损害美国国家安全。先后有数位国会议员致信斯诺,要求延长对该交易的审查,他们对中国企业拥有先进的美国技术和公司资产表示担忧,认为“联想可能会利用IBM位于北卡罗来纳州的基地从事商业间谍活动,窃取相关技术用于军事领域,从而危害美国的国家安全”。美中经济安全评估委员会成员韦塞尔对此的说法是:“这不仅仅是卖一两家厂的问题,而是关系到整个网络如何运作的问题。”

最终,联想收购案通过了CFIUS的审查,但条件之一,就是与美国司法部、国土安全部签订“国家安全协议”。这份“安全协议”对联想提出了一系列严格的限制,要求联想在参与美国的政府采购时,不得以任何形式索取、接收、维护、鉴别有关美国政府订购计算机产品的用户信息,以及任何有关具体的美国政府部门可能会采购计算机产品的信息。为此,联想不得直接向美国政府销售,必须通过第三方代理销售,同时,不准美国政府用户的信息走出美国本土,联想必须接受美国安全部门对信息系统使用情况的检查,联想必须通过美国政府认可的本国公司提供产品售后服务,而不能直接进行产品售后服务。

即使联想满足了如此严格的要求后,美国朝野还是在政府采购中制造了“联想安全门”事件。2006年3月,联想从美国国务院手中获得一笔1300万美元的合同,合同中的计算机在美国本土和墨西哥制造,这些工厂原属于IBM PC业务,这些PC将通过名为CDW的美国政府承包商提供给美国国务院使用,但是维吉尼亚洲的共和党议员弗兰克·沃尔夫多次给美国国务卿赖斯写信,认为中国政府拥有联想27%的股份,因此联想应算作国企,这一背景令人不安。沃尔夫称“中国情报机构一直把美国政府当作首要目标,认为在美国机密网络中使用联想计算机会给美国国家安全造成莫大损失”,他为美国国家安全感到万分焦虑。最终美国国务院放弃了备受争议的采购决定,不在涉及国家机密的网络中使用联想PC产品。但即使如此,沃尔夫仍认为在政府普通网络中使用联想PC产品仍是国家安全隐患。“联想事件”史无前例的把我国政府采购推到了保护国家信息安全第一线。我国政府部门和重要行业大量运行着来自美国的产品,没有对这些产品设置任何门槛,没有采用第三方代理销售,规避直接服务等措施,我们更是冒着巨大的安全风险。

近年来,华为和中兴进军美国市场,与美国思科、IBM展开竞争,扩展了市场份额,美国众议院情报委员会认为华为和中兴进军美国市场意图可疑,这些公司与中国政府联系过于紧密,可能为中国政府从事间谍活动和网络窃密提供帮助,从而威胁美国国家安全。故建议美国政府禁止这两家公司获得任何美国敏感网络的接入权,并禁止其收购美国资产。奥巴马政府《2013财年综合继续拨款法案》第516款规定“未经联邦调查局或相应机构许可,美国航天局、司法部、商务部等部门不得购买相关企业生产、制造或组装的信息技术产品。”美国对中国网络通信企业的疑虑和担忧可见一斑。

(二)网络安全问题在中美外交领域的摩擦

美国强调不受限制的互联网自由,试图通过互联网途径影响中国社会舆论,对中国社会政治稳定构成威胁。冷战结束后,意识形态差异不再是中美关系发展的主要障碍。但美国坚持认为中国尽管不再是一个封闭社会,但仍是一个信息不自由及需以美国价值观“塑造”的社会,故试图通过信息传播来改变中国社会的价值观。美国将其倡导的开放社会、自由表达等理念引入网络空间,并通过支持网络技术公司开发突破网络防火墙的软件分发给中国网络用户。当社交媒体显示其在引导和塑造舆论、参与和吸引互动等方面的公共外交价值时,美国国务院及其驻华使领馆加入中国主要社交媒体,积极发布信息及与网民互动,展开各种形式的网络公共外交活动。这些行为引起了中国的警觉,尤其2010年在西亚、北非发生的颜色革命中,社交媒体等互联网应用在引导公众舆论、组织政治参与和反政府运动中的巨大影响力,形成对社会稳定和政治制度的威胁,中国进一步加强了网络内容管理。

中国强调互联网管理主权。中国政府认为境内互联网属于主权管辖范围,中国的互联网主权应受到尊重和维护。中国实行互联网信息安全流动基础上的自由流动,主张“合理运用技术手段遏制互联网上违法信息的传播,发挥技术手段的防范作用,遏制违法信息对国家信息安全、社会公共利益和未成年人的危害。”设置了内容审查及防火墙系统,对非法信息进行过滤,限制访问一些国际网站。为加强提供互联网信息发布平台企业的主动性,中国实行严格的行业自律政策,对此,尽管美国也承认各国有独立制定互联网公共政策的主权,但仍然认为中国“扩大政府权力,由政府为互联网制定条例规范,不仅会损害人权和信息自由流通,而且会破坏网络的互通性。”

(三)网络安全问题在中美军事领域的摩擦

根据曼迪昂特的报告,美国政府认为该报告有完整的数据链,有较高的可信度,美国指责中国军方参与或支持针对美国企业的网络攻击和窃密活动,并将获得的商业机密和知识产权资料交给中国企业,提高中国企业的竞争能力,给美国造成了经济损失。根据美国网路司令部的估算,美国企业因网络窃密造成的损失达3000亿美元,而中国是最积极和顽固的入侵者。指责中国同时,美国承认自己也从事广泛的网络间谍和网络攻击活动,但认为没有什么不妥,因为美国从不窃取商业和技术秘密。

今天,美国作为网络的源起国,无论是技术的研发还是应用,世界上无出其右,网络攻击力量最强的是美国,从域名和网址的管理到诸如谷歌、微软等公司提供的各类网络与个人应用等互联网基础设施大部分掌握在美国手中。其实,剥去美国以网络受害者的姿态指责中国对其进行黑客攻击的外衣,美国另有所图,除了抹黑和遏制中国外,就是为美国开展网络战营造舆论声势。而美国早在上世纪90年代就提出了网络战概念,近年来更是大力发展网络部队,打着维护国家利益的旗号在网络空间积极扩军备战。奥巴马政府于2009年5月29日公布了名为《网络空间政策评估--保障可信和强健的信息和通信基础设施》的报告,强调美国21世纪的经济繁荣将依赖于网络空间安全;2009年6月23日,美国防部长盖茨正式下令组建网络战司令部,2010年5月,美军建立网络司令部,统一协调保障美军网络战、网络安全等与电脑网络有关的军事行动。2011年5月和7月,美国相继发布《网络空间国际战略》和《网络空间行动战略》,宣称“攻击网络即战争”,发出强硬威慑。文件的出台标志着美国正式把网络空间当做一个新战场,并开始建立由三个部分组成的军事威慑战略:拥有网络武器、制定网络武器研发计划、规定网络武器使用范围。为了给网络空间的扩军寻找理由和假想敌,美国一些人不断宣扬“数字珍珠港”威胁,如美国的电网等重要基础设施可能因为遭受网络攻击而瘫痪。美国将“先发制人”的军事战略引入网络空间,大量招募黑客,将其变为网络战士,研发收集各种计算机病毒,建立网络战武器库等。2011年5月,奥巴马签发一份指导美军网络空间作战的行政令,允许美军将计算机代码植入其他国家的计算机网络,虽然这些代码平时不会主动传播病毒,但一旦该国与美国发生冲突,这些代码将被激活。伊朗核设施遭遇的网络空间的精确制导炸弹——震网病毒攻击,致使伊朗受到巨大损失。这起事件给国际社会带来极大的警示。美国利用技术优势,对我军队指挥控制系统和国家核心基础设施实施网络攻击的可能性不能排除。

三、中国应对网络安全问题的对策建议

在今年的两会上,2月27日,由中共中央总书记、国家主席、中央军委主席习近平担任组长的中央网络安全与信息化领导小组召开第一次会议。习近平指出网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全,没有信息化就没有现代化。要实现把我国这个网络大国建设成网络强国,就要总体布局、统筹各方、创新发展。

(一)及早设计并出台国家网络安全战略

应加快制定和颁布国家的网络与信息安全战略。趋势表明,争夺未来的焦点是战略规划之争。谁先知先觉、抢得先机,谁就有可能掌握战略主动权。目前世界上已有40多个国家公开颁布国家级网络安全战略,并随着形势的变化不断出台和调整相关政策。应加快制定相关的国家网络安全战略及其配套政策。同时,把战略管理的着力点放在“跨域融合”上。立足于国家安全和现代化建设的全局,平衡好利益冲突,融合好利益诉求,研究解决好信息化发展和管理中那些跨部门、跨领域、超越局部利益和短期利益的瓶颈问题。

(二)加强建设网络空间军事力量

从世界总体形势看,各国对网络空间安全越来越重视。各国军队在维护网络安全中发挥作用越来越大,有的甚至起着主体作用。联合国裁军机构报告称,世界上有46个国家建立了网络作战部队,100多个国家在发展网络战装备。这两年,周边国家韩国、日本、印度以及朝鲜都开始有所动作。美国、英国、日本、以色列、法国则正式宣布开发进攻性武器,提高网络攻击能力。

我国的网络与信息安全近年来虽已取得一定发展,但随着物联网、云计算和移动互联等新技术的新应用,网络安全任务将更加繁重。不妨自问:我们的能源、金融、交通、航空、水利等关键信息系统能否应对像前苏联遭遇的“逻辑导弹”或者像伊朗核设施遭遇的震网病毒?如果网络基础设施系统受到网络攻击,我们的信息系统多长时间能够恢复?如何把损失降到最低?我们军队能否提供紧急支援?从发展趋势看,未来陆、海、空、天每一个作战领域都将与网络联在一起,军队如何行使在网络空间的保卫职责?要回答好上述问题,必须打造一支专业化联合型成建制的网络力量,建立我国的网络战部队,建立国家级网络安全危机管理机制。实施网络安全威胁评估、筛查和预警,完善和落实网络安全法规、预案等一系列增强我国在网络空间防控能力的安全措施。

(三)尽快研发并应用自主可控的网络信息技术产品

经过30年改革开放,我国经济社会迅猛发展,信息化建设也取得长足进步,我国已经成为全球互联网最大的国家,无论是网民数量,还是互联网市场,都位列世界第一。但是相比我国信息化的迅速发展,中国的网络与信息安全建设却远未跟上步伐。我国网络信息技术产业整体而言,自主可控的进展相对有限。目前,高端信息产品尚不能完全自主,特别是核心设备技术、整体解决方案、信息安全标准等严重依赖于国外厂商,国民经济重要部门有近70%的信息设备来自国外。即便是自主产品,多数仍属“穿衣”模式,基本建立在以WINTEL(微软+英特尔的缩写)为代表的国外技术平台上,其硬件主要通过对外采购产品或向外购买专利获得,仍然严重受制于人。西方出口到我国的关键大型设备和工业控制软件中,秘密预设后门是一个不争的事实。所以,无论是开放的国际互联网,还是封闭的企业内联网,在现有技术框架下,利用硬件和软件中的后门或漏洞,西方国家一定程度上能够实现对我信息系统的远程监控。我们在网络空间里不可能当一辈子租客,必须在关键技术和重点防护手段上有所突破,研发自主可控的数字空间的核心技术。

(四)积极参与网络空间的国际治理

首先,要继续推动中美网络安全合作与对话机制的发展。由于中美都是对国际安全稳定有重要影响的大国,加强合作以避免可能导致网络安全危机的误解和误判就更显重要。网络安全已经纳入到中美战略对话当中,并且在该对话框架下成立了网络安全工作组。中美之间,一个拥有最多的网民数量,一个拥有最先进的技术,网络对两个大国都同样重要。为了在网络领域防止误判,防止危机失控或冲突升级,建立相关的对话机制,保持对话渠道畅通。

其次,要保持并积极参与网络空间的国际治理。网络空间的国际治理既是国际共识,也是国际社会的必然选择和努力方向。中国一直以积极负责的态度对待网络空间的国际治理,主张在联合国框架下建立一个各国广泛参与的、公正的、合理的网络国际治理机构,反对任何形式的网络战和网络空间国际军备竞赛,反对网络空间的霸权主义和强权政治。

网络空间国际规则的制定必将是个长期复杂的博弈过程,冲突与磨合都不可避免。随着越来越多的国家不断加大对网络空间安全的重视,国际社会有可能会在网络空间安全问题上逐步形成共识,并达成有一定约束力的国际协议。准确认识中国在网络空间安全问题上的国家利益,以及世界各国的共同利益,在此基础上,构建一个和平安全、开放公平、自由有序的和谐网络空间。

参考文献:

[1]汪晓风.中美关系中的网络安全问题[J].美国研究,2013,(03).

[2]中国国家发展与改革委员会.关于下一代互联网‘十二五发展建设的意见[EB/OL]http?押//www.sdpc.gov.cn/zcfb/zcfbtz/2012tz/W020120329402141091330.pdf.

[3]《2009年中国搜索引擎用户行为研究报告》,2009年9月,16-30.

[4]沈昌详,左晓栋.信息安全[M].杭州:浙江大学出版社,2007.

[5]国防大学专家.筹划中国网络空间安全[EB/OL]http?押//www.nmgcb.com.cn/fazhi/2013/0702/38149.html

责任编辑张小莉