石瑾

【摘要】信息時(shí)代的網(wǎng)絡(luò)安全同信息技術(shù)的變革緊密相關(guān)，對(duì)信息基礎(chǔ)設(shè)施的廣泛依賴，讓人們開(kāi)始關(guān)注信息對(duì)國(guó)家安全的重要性。網(wǎng)絡(luò)威脅具有不確定性，也是難以理解和證實(shí)的。不必要的“網(wǎng)絡(luò)恐慌”不利于應(yīng)對(duì)威脅，解決問(wèn)題的方法之一就是更多地從經(jīng)濟(jì)和市場(chǎng)角度審視威脅，從而降低網(wǎng)絡(luò)安全問(wèn)題所帶來(lái)的社會(huì)危害。

【關(guān)鍵詞】信息時(shí)代 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)威脅 【中圖分類號(hào)】TN951.08 【文獻(xiàn)標(biāo)識(shí)碼】A

信息技術(shù)對(duì)我們的時(shí)代意義獨(dú)特。過(guò)去10年間，在信息革命的推動(dòng)下，國(guó)際關(guān)系的基本環(huán)境發(fā)生了較大變化。信息似乎已滲透到現(xiàn)代生活的方方面面，并占據(jù)主導(dǎo)地位，以至于我們現(xiàn)今所處的時(shí)代經(jīng)常被稱為“信息時(shí)代”，現(xiàn)代社會(huì)的復(fù)雜性和多變性，通常也被視為信息革命帶來(lái)的結(jié)果。

如何理解“網(wǎng)絡(luò)安全”的內(nèi)涵

目前并沒(méi)有關(guān)于信息時(shí)代網(wǎng)絡(luò)安全的確切定義，我們可以列舉被它涵蓋的問(wèn)題來(lái)充實(shí)這一概念的內(nèi)涵。網(wǎng)絡(luò)安全首先包含“矛”與“盾”兩個(gè)方面，一方面是攻擊活動(dòng)，例如信息戰(zhàn)、網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義等；另一方面是自衛(wèi)活動(dòng)，例如信息保障和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（CIIP）。這兩個(gè)方面的共同點(diǎn)在于：它們都與信息基礎(chǔ)設(shè)施相關(guān)。信息基礎(chǔ)設(shè)施不僅包括相對(duì)容易掌握的物理設(shè)施，例如寬帶網(wǎng)絡(luò)、計(jì)算機(jī)、電視、電話等，也包括了同樣重要的非物質(zhì)的、難以捕捉的（網(wǎng)絡(luò)）成分，如基礎(chǔ)設(shè)施中流動(dòng)的信息和內(nèi)容，以及據(jù)此產(chǎn)生的知識(shí)和提供的服務(wù)。因此，將信息時(shí)代網(wǎng)絡(luò)安全威脅限定為虛擬攻擊或事故并不正確，針對(duì)信息基礎(chǔ)設(shè)施的攻擊有可能是物理的，當(dāng)然也可能來(lái)自網(wǎng)絡(luò)的黑客工具。

復(fù)雜多變并非這個(gè)時(shí)代的特色。和現(xiàn)在一樣，歷史上其他時(shí)代科技日新月異的發(fā)展也在挑戰(zhàn)那個(gè)時(shí)代個(gè)人與社會(huì)的適應(yīng)能力，帶來(lái)各種新的“威脅”。新技術(shù)帶來(lái)的各類安全威脅無(wú)疑是引人注目的，但我們應(yīng)當(dāng)認(rèn)識(shí)到，要分析信息時(shí)代的網(wǎng)絡(luò)安全威脅，一定要結(jié)合實(shí)際，充分了解當(dāng)前技術(shù)和政策發(fā)展的原因和影響，而不是沉浸于對(duì)技術(shù)“失控”的假設(shè)中。

信息時(shí)代的網(wǎng)絡(luò)安全同信息技術(shù)的變革緊密相關(guān)。自20世紀(jì)末以來(lái)，網(wǎng)絡(luò)威脅主要來(lái)自兩個(gè)方面，一方面是現(xiàn)代社會(huì)過(guò)度依賴不安全的信息系統(tǒng)，另一方面是網(wǎng)絡(luò)威脅的影響范圍在不斷擴(kuò)大。信息通信技術(shù)成本下降，實(shí)用性增加，使用更加方便，這些變化推動(dòng)信息通信技術(shù)大規(guī)模傳播和滲透到我們的生活中來(lái)。其結(jié)果就是人們的日常生活、工作、經(jīng)濟(jì)運(yùn)作和大量個(gè)人交往都越來(lái)越依賴于這些技術(shù)。如今還有很多網(wǎng)絡(luò)空間的行為主體并不愿意承認(rèn)國(guó)家法律框架，而是想要隱藏在匿名的網(wǎng)絡(luò)空間中。網(wǎng)絡(luò)危險(xiǎn)分子能力和影響范圍的不斷增長(zhǎng)，對(duì)國(guó)家安全形成了較大威脅。由于他們破壞力強(qiáng)大，而且需要的工具簡(jiǎn)單易獲取，只要略通黑客網(wǎng)絡(luò)技術(shù)的人就可以使用。

信息對(duì)國(guó)家安全的重要性得到了普遍關(guān)注

作為全球信息基礎(chǔ)設(shè)施網(wǎng)的核心一環(huán)，網(wǎng)絡(luò)的技術(shù)環(huán)境天然就是不安全的，因?yàn)樗羞B入了全球信息基礎(chǔ)設(shè)施的計(jì)算機(jī)都是這個(gè)網(wǎng)絡(luò)的一部分。所以從理論上說(shuō)，所有連入網(wǎng)絡(luò)的設(shè)備都可能被攻擊和入侵。最初也正是對(duì)信息基礎(chǔ)設(shè)施的廣泛依賴，讓人們開(kāi)始關(guān)注信息對(duì)國(guó)家安全的重要性。

眾所周知，最早出現(xiàn)的網(wǎng)絡(luò)是上個(gè)世紀(jì)60年代的阿帕網(wǎng)（ARPAnet），美國(guó)國(guó)防部設(shè)立了這個(gè)項(xiàng)目，目的是創(chuàng)建一個(gè)在核戰(zhàn)爭(zhēng)或自然災(zāi)害損毀了大部分組件的情況下，依然能運(yùn)作的，并且覆蓋全國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)。在接下來(lái)的20年里，有所升級(jí)的網(wǎng)絡(luò)開(kāi)始被學(xué)術(shù)機(jī)構(gòu)、科學(xué)家和政府部門運(yùn)用于研究和通信。但是在設(shè)計(jì)之初，所有構(gòu)成今天互聯(lián)網(wǎng)的早期網(wǎng)絡(luò)協(xié)議都是開(kāi)放靈活的，安全性并未被考慮在內(nèi)。從1988年世界上第一個(gè)蠕蟲(chóng)病毒誕生，到“沖擊波”“熊貓燒香”等，從物理層面到應(yīng)用層面，網(wǎng)絡(luò)信息系統(tǒng)的脆弱性一次次引起世人的關(guān)注。

從計(jì)算機(jī)網(wǎng)絡(luò)最初興起開(kāi)始，它就成為了現(xiàn)代社會(huì)的核心要素之一，甚至很多時(shí)候抽象意義上的網(wǎng)絡(luò)已經(jīng)成為了現(xiàn)代生活的代名詞。計(jì)算機(jī)和電信的結(jié)合，再加上高級(jí)計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)、電信網(wǎng)絡(luò)等在全球范圍內(nèi)的普遍應(yīng)用，使得電子信息隨手可及，并且將信息革命擴(kuò)大到了當(dāng)前的宏偉規(guī)模。

雖然上世紀(jì)90年代末互聯(lián)網(wǎng)泡沫的破滅曾一度為高科技狂熱降溫，但信息革命的工具依然在快速進(jìn)化。一些專家認(rèn)為，未來(lái)的主要技術(shù)趨勢(shì)包括自動(dòng)化、移動(dòng)性、微型化、全球網(wǎng)絡(luò)以及計(jì)算機(jī)和網(wǎng)絡(luò)的普及化，而更值得關(guān)注的是，這些趨勢(shì)將會(huì)帶來(lái)哪些安全問(wèn)題。既然網(wǎng)絡(luò)威脅主要來(lái)自于對(duì)全球信息基礎(chǔ)設(shè)施的惡意使用，那么技術(shù)環(huán)境（現(xiàn)在和未來(lái)）的特點(diǎn)勢(shì)必會(huì)影響我們對(duì)威脅的理解。尤其是網(wǎng)絡(luò)領(lǐng)域破壞性事件的不斷增多，微軟操作系統(tǒng)的壟斷地位和這一系統(tǒng)持續(xù)存在的安全漏洞，都說(shuō)明信息技術(shù)領(lǐng)域存在較為嚴(yán)重的安全問(wèn)題。

網(wǎng)絡(luò)威脅具有不確定性

有的專家并不認(rèn)同網(wǎng)絡(luò)威脅的嚴(yán)重性，在討論究竟何時(shí)會(huì)發(fā)生對(duì)社會(huì)造成實(shí)質(zhì)威脅的網(wǎng)絡(luò)事件時(shí)，他們難以達(dá)成一致，尤其是在未知因素過(guò)多的情況下。首先，面對(duì)有預(yù)謀的攻擊時(shí)，各國(guó)關(guān)鍵基礎(chǔ)設(shè)施的易損程度目前還具有爭(zhēng)議。

要真正了解關(guān)鍵基礎(chǔ)設(shè)施面對(duì)網(wǎng)絡(luò)攻擊時(shí)的脆弱性，就需要一個(gè)更詳細(xì)的評(píng)估，包括測(cè)評(píng)每一個(gè)目標(biāo)設(shè)施的冗余、正常故障率和響應(yīng)率，核心功能對(duì)公共網(wǎng)絡(luò)的接入程度，以及臨界操作時(shí)的人力控制、監(jiān)控和干預(yù)水平等。但這種評(píng)估往往不太容易實(shí)現(xiàn)，除了難以獲得數(shù)據(jù)以外，評(píng)估困難還因?yàn)閱慰繑?shù)據(jù)并不能創(chuàng)造臨界條件?；A(chǔ)設(shè)施或服務(wù)的臨界值永遠(yuǎn)不可能靠經(jīng)驗(yàn)數(shù)據(jù)提前測(cè)量，只能在危機(jī)發(fā)生以后，以規(guī)范流程進(jìn)行事后獲取。

網(wǎng)絡(luò)威脅是難以理解和證實(shí)的，對(duì)這種威脅的分析方法需要建立在建設(shè)性心態(tài)和主觀本體論之上。有效的分析方法應(yīng)當(dāng)關(guān)注關(guān)鍵行動(dòng)者們?cè)鯓舆_(dá)成共識(shí)，并確定什么才是需要他們共同應(yīng)對(duì)的安全威脅，而不是假設(shè)威脅是普遍存在并且客觀可測(cè)量的。要理解信息革命對(duì)國(guó)際關(guān)系和安全的影響，關(guān)鍵要看政策制定者和專家們?cè)鯓涌创夹g(shù)環(huán)境的特點(diǎn)，以及它對(duì)國(guó)際安全的影響。

參與主體多元化是網(wǎng)絡(luò)問(wèn)題復(fù)雜化的根源

互聯(lián)網(wǎng)的商業(yè)化加劇了網(wǎng)絡(luò)的不安全性。信息技術(shù)安全面臨了來(lái)自市場(chǎng)的阻力，對(duì)安全的投資沒(méi)有直接回報(bào)，產(chǎn)品上市時(shí)也不允許采取過(guò)多安全措施。因此，安全通常就成為功能的犧牲品。

今天，很多國(guó)家對(duì)權(quán)力的壟斷已被打破，大量非政府組織、社會(huì)團(tuán)體和其他非國(guó)立的跨國(guó)網(wǎng)絡(luò)正在許多領(lǐng)域同國(guó)家力量競(jìng)爭(zhēng)。政策制定的主體正在從單個(gè)變?yōu)槎鄠€(gè)，將主要利益相關(guān)者納入決策過(guò)程已是必然趨勢(shì)。

信息基礎(chǔ)設(shè)施保護(hù)政策的混合化正反映了參與主體的多元化。在網(wǎng)絡(luò)威脅領(lǐng)域，個(gè)人、企業(yè)或地區(qū)通常都會(huì)承擔(dān)維護(hù)“業(yè)務(wù)連續(xù)性”和保護(hù)國(guó)家乃至國(guó)際安全的責(zé)任。出于技術(shù)原因，提前應(yīng)對(duì)潛在攻擊者非常困難，所以保護(hù)措施通常都注重預(yù)防最小化攻擊帶來(lái)的損失。除了對(duì)保護(hù)目標(biāo)和保護(hù)方法的基本看法以外，各種利益相關(guān)者持有的不同概念和觀點(diǎn)也會(huì)影響他們的保護(hù)措施。無(wú)論是私營(yíng)、公立還是二者混合，不同的組織并不一定總能就問(wèn)題的本質(zhì)達(dá)成共識(shí)。

信息時(shí)代的網(wǎng)絡(luò)安全同其他時(shí)代相比究竟有何區(qū)別？這個(gè)問(wèn)題有一個(gè)簡(jiǎn)單的回答，那就是：“如果我們認(rèn)為有，那就有。”這里，我們指出了核心政策制定者們想法的重要性，并據(jù)此給出了這樣一種建設(shè)性的答案，即行為主體的想法和理解會(huì)對(duì)政策的制定過(guò)程起導(dǎo)向作用，并最終影響政府決策。因此，（國(guó)家、地區(qū)和國(guó)際）法律、協(xié)議和行為規(guī)范都會(huì)被政策制定者對(duì)威脅的理解所左右，所以它們對(duì)信息時(shí)代的網(wǎng)絡(luò)安全都有較大影響。不必要的“網(wǎng)絡(luò)恐慌”不利于應(yīng)對(duì)威脅，解決問(wèn)題的方法之一就是更多地從經(jīng)濟(jì)和市場(chǎng)角度審視威脅，從而降低網(wǎng)絡(luò)安全問(wèn)題所帶來(lái)的社會(huì)危害。

（作者為國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心運(yùn)行一部副主任）

【參考文獻(xiàn)】

①Andrei Krutskikh， Information Challenges to Security， International Affairs，45/2 （1999）.

②Barry Buzan， Ole Waver， and Jaap de Wilde， Security： A New Framework for Analysis （Boulder，1998）.

③Virginia Haufler， Crossing the Boundary between Public and Private， International Regimes and Non-State Actors， Volker Rittberger （ed.）， Regime Theory and International Relations （Oxford， 1993）.

責(zé)編/王妍卓 美編/于珊