習(xí)近平總書記明確指出,沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。習(xí)近平總書記的這一重要論斷,把網(wǎng)絡(luò)安全上升到了國家安全的高度,為推動我國網(wǎng)絡(luò)空間治理體系和治理能力現(xiàn)代化指明了方向。如何應(yīng)對日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢,進(jìn)一步提升網(wǎng)絡(luò)空間治理能力,實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國之夢?本刊聯(lián)合廣東省保密局、廣州市保密局就此專訪了中國工程院院士、網(wǎng)絡(luò)與信息安全專家方濱興。
記者:習(xí)近平總書記首次在世界互聯(lián)網(wǎng)大會上倡導(dǎo)尊重網(wǎng)絡(luò)主權(quán),引起了世界各國的廣泛關(guān)注。您是較早提出并研究網(wǎng)絡(luò)主權(quán)問題的專家,請您談?wù)勏嚓P(guān)研究背景。
方濱興:1994年,我國通過美國的線路正式接入國際互聯(lián)網(wǎng),隨后我國的互聯(lián)網(wǎng)開始進(jìn)入廣泛普及階段。當(dāng)時,有一部分人將網(wǎng)絡(luò)空間作為“虛擬世界”來看待,并將其獨(dú)立于物理世界,從而對來自物理世界的政府管理加以抵觸。其中最具代表性的是互聯(lián)網(wǎng)活動家約翰·佩里·巴洛發(fā)表的“網(wǎng)絡(luò)空間獨(dú)立宣言”,聲稱網(wǎng)絡(luò)空間屬于“未來世界”,在這個世界中,沒有政府,沒有政府的權(quán)力,只有“虛擬世界主權(quán)”。這是一個全球社會空間,正在形成自己的社會契約,以自己的方式來處理網(wǎng)絡(luò)空間中所發(fā)生的事情,網(wǎng)絡(luò)服務(wù)提供商負(fù)責(zé)行使網(wǎng)絡(luò)空間的權(quán)力。
進(jìn)入21世紀(jì)以來,隨著網(wǎng)絡(luò)安全問題日益突顯,我國加大了對互聯(lián)網(wǎng)的管理力度,出臺了一系列的管理制度與政策。但西方國家卻對我國的互聯(lián)網(wǎng)管理指手畫腳,攻擊我國政府“限制互聯(lián)網(wǎng)自由”。其中一個重要原因可以歸結(jié)于網(wǎng)絡(luò)空間是否存在主權(quán)的理念之爭。從2009年起,我們開始研究網(wǎng)絡(luò)空間是不是一些人設(shè)想的那樣屬于“全球公域”,世界各國是否真的放棄在網(wǎng)絡(luò)空間中行使主權(quán)的權(quán)力。
研究表明,答案是否定的。僅以世界各國對不良信息的處理為例,西方國家均提出了本國的互聯(lián)網(wǎng)不良信息標(biāo)準(zhǔn),制定相關(guān)法律,設(shè)立相關(guān)管理部門,動員社會組織以各種形式參與互聯(lián)網(wǎng)治理,研發(fā)各類技術(shù)手段來輔助管理互聯(lián)網(wǎng),開展一系列的專項(xiàng)行動來打擊網(wǎng)絡(luò)犯罪。事實(shí)證明,網(wǎng)絡(luò)主權(quán)是客觀存在的,西方國家對我國的互聯(lián)網(wǎng)管理橫加指責(zé)是沒道理的,是對“互不干涉內(nèi)政”國際交往基本原則的輕易踐踏。
記者:國際社會對網(wǎng)絡(luò)主權(quán)概念有不同的理解,您是如何理解的?
方濱興:我認(rèn)為,網(wǎng)絡(luò)空間雖然是一個虛擬的空間,但具有國家主權(quán)所需要的4個基本要素:一是平臺,空間是建立在平臺上的,沒有互聯(lián)網(wǎng)、電信網(wǎng)、廣電網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制網(wǎng)等信息技術(shù)系統(tǒng),這個空間根本不存在,而這個平臺就對應(yīng)著國家主權(quán)要素中的領(lǐng)土,平臺就相當(dāng)于“領(lǐng)網(wǎng)”;二是用戶,沒有用戶就沒有主體,用戶就對應(yīng)著國家主權(quán)要素中的人口;三是數(shù)據(jù),沒有數(shù)據(jù)就產(chǎn)生不了活動,數(shù)據(jù)對應(yīng)著國家主權(quán)要素中的資產(chǎn);四是網(wǎng)絡(luò)控制規(guī)則,網(wǎng)絡(luò)控制規(guī)則可以決定網(wǎng)絡(luò)空間的活動是否得到授權(quán),對應(yīng)著國家主權(quán)要素中的政權(quán)。簡單地說,網(wǎng)絡(luò)空間是與國家的物理空間相映射的,國家主權(quán)在物理空間的4個要素是領(lǐng)土、人口、資產(chǎn)、政權(quán)。而網(wǎng)絡(luò)空間主權(quán)也具備這4個要素:領(lǐng)土是平臺,人口是用戶等虛擬角色,資產(chǎn)是數(shù)據(jù),政權(quán)是控制規(guī)則。所以,網(wǎng)絡(luò)空間也是有主權(quán)的,網(wǎng)絡(luò)主權(quán)就是國家主權(quán)在位于其領(lǐng)土之上的平臺所支撐網(wǎng)絡(luò)空間中的自然延伸。
和國家主權(quán)一樣,網(wǎng)絡(luò)主權(quán)也有4項(xiàng)基本權(quán)利:一是對內(nèi)管轄權(quán),即網(wǎng)絡(luò)空間的構(gòu)成平臺、承載數(shù)據(jù)及其活動受所屬國家的司法保護(hù);二是國際平等權(quán),即各國在國際互聯(lián)網(wǎng)中具有同等的治理地位;三是獨(dú)立權(quán),即位于本國領(lǐng)土內(nèi)的網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施的運(yùn)行不能被他國所干預(yù);四是自衛(wèi)權(quán),即國家擁有保護(hù)本國網(wǎng)絡(luò)空間不被侵犯的權(quán)利及其軍事能力。
記者:網(wǎng)絡(luò)主權(quán)概念是如何獲得聯(lián)合國承認(rèn)的?有何重大意義?
方濱興:從2011年起,我開始利用各種場合宣傳網(wǎng)絡(luò)主權(quán)的理念,積極推動網(wǎng)絡(luò)主權(quán)納入聯(lián)合國有關(guān)文件框架。2013年,我作為政府專家組成員,隨外交部參加了聯(lián)合國“從國際安全的角度看信息和電信領(lǐng)域的發(fā)展”政府專家組第三輪會議。在我的建議下,經(jīng)外交部的不懈努力并取得了俄羅斯等國家的支持,網(wǎng)絡(luò)主權(quán)作為第二十條納入第68次聯(lián)合國大會發(fā)布的A/68/98文件中,具體表述為:“國家主權(quán)和源自主權(quán)的國際規(guī)范和原則適用于國家進(jìn)行的信息通信技術(shù)活動,以及適用于國家在其領(lǐng)土內(nèi)對信息通信技術(shù)基礎(chǔ)設(shè)施的管轄權(quán)!贝藯l款本質(zhì)上就是承認(rèn)了網(wǎng)絡(luò)主權(quán)。
這就意味著,各國應(yīng)該相互尊重網(wǎng)絡(luò)主權(quán),互不侵犯他國的網(wǎng)絡(luò)空間,互不干涉他國的網(wǎng)絡(luò)空間治理事務(wù),互不干涉他國內(nèi)政,各國的網(wǎng)絡(luò)主權(quán)在國際網(wǎng)絡(luò)空間治理活動中具有平等地位。各國應(yīng)該深化網(wǎng)絡(luò)空間國際合作,攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體,共同利用好、發(fā)展好、治理好全球國際互聯(lián)網(wǎng)。
記者:面對復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢,如何透過現(xiàn)象看本質(zhì),從網(wǎng)絡(luò)主權(quán)的高度,科學(xué)認(rèn)識網(wǎng)絡(luò)安全問題?
方濱興:今天,我們進(jìn)入了一個信息化和網(wǎng)絡(luò)化的時代。信息與網(wǎng)絡(luò)共生共存,小到民眾生活的一點(diǎn)一滴,大到國家的安全發(fā)展,無所不在其中。從網(wǎng)絡(luò)主權(quán)意義上講,網(wǎng)絡(luò)就是一個看不見硝煙的戰(zhàn)場,是各方角力的主戰(zhàn)場!八怪Z登事件”再次證明,沒有關(guān)鍵技術(shù)和自主產(chǎn)權(quán)的網(wǎng)絡(luò),沒有對網(wǎng)絡(luò)空間進(jìn)行保護(hù),小到個人,大到國家,都將無秘密可言,無安全可言。一個國家、一個社會,如果不能保證網(wǎng)絡(luò)和信息的安全,再強(qiáng)大的硬件設(shè)施都可能成為“聾子瞎子”。所以,習(xí)近平總書記多次強(qiáng)調(diào),沒有網(wǎng)絡(luò)安全就沒有國家安全。
如何科學(xué)認(rèn)識當(dāng)前的網(wǎng)絡(luò)安全問題,我個人歸結(jié)為“六論”。一是從認(rèn)識論視角看,網(wǎng)絡(luò)安全是整體的而不是割裂的。隨著信息化的快速發(fā)展,當(dāng)今網(wǎng)絡(luò)空間出現(xiàn)了發(fā)達(dá)國家推行信息霸權(quán)主義、網(wǎng)絡(luò)攻擊平臺化、網(wǎng)絡(luò)竊密泄密頻發(fā)、網(wǎng)絡(luò)謠言迷惑群眾、信息技術(shù)成為軍事破壞工具等諸多安全問題。這說明,網(wǎng)絡(luò)安全已經(jīng)成為國家安全的核心組成部分,可以輻射影響到政治安全、經(jīng)濟(jì)安全、社會安全、文化安全、國防安全等各個層面。
二是從進(jìn)化論視角看,網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的。每一項(xiàng)新技術(shù)都會帶來新的威脅,新的威脅也會催生新的安全技術(shù)。例如,互聯(lián)網(wǎng)催生互聯(lián)網(wǎng)安全,云計(jì)算、大數(shù)據(jù)、移動互聯(lián)也催生了相應(yīng)的安全技術(shù)。實(shí)際上,如果5年內(nèi)不允許出現(xiàn)任何新技術(shù),技術(shù)只保持目前的狀態(tài),5年后安全環(huán)境肯定會非常好,安全問題都會被解決,但是客觀情況下在這5年期間還是會有新的技術(shù)不斷涌現(xiàn),因此,要解決安全風(fēng)險,最根本的是要樹立動態(tài)的綜合防護(hù)理念,做好安全技術(shù)規(guī)劃,緊跟新技術(shù)的發(fā)展。
三是從實(shí)踐論視角看,網(wǎng)絡(luò)安全是開放的而不是封閉的。只有立足開放環(huán)境,加強(qiáng)對外交流、合作、互動、博弈,吸收先進(jìn)技術(shù),在實(shí)踐中不斷完善,網(wǎng)絡(luò)安全防護(hù)能力才能不斷提高。維護(hù)網(wǎng)絡(luò)安全絕對不能搞閉門造車,要積極主動參與競爭,強(qiáng)化攻防實(shí)戰(zhàn),感受真實(shí)威脅,在與高手過招、切磋中不斷學(xué)習(xí)、提升。
四是從相對論視角看,網(wǎng)絡(luò)安全是相對的而不是絕對的。一味追求絕對安全是不現(xiàn)實(shí)的,只有立足國情,適度安全,才能促進(jìn)社會發(fā)展。換句話說,解決網(wǎng)絡(luò)安全問題,必須考慮當(dāng)下的基本國情和安全成本,掌握好適度安全,不是所有的場合都必須采用物理隔離這類極端的安全措施,應(yīng)對的方法就是要建立網(wǎng)絡(luò)安全等級保護(hù)制度。
五是從方法論視角看,網(wǎng)絡(luò)安全是共同的而不是孤立的。網(wǎng)絡(luò)安全的使命已經(jīng)從應(yīng)用安全過渡到用戶安全,安全、可信、可控、可靠的網(wǎng)絡(luò)是當(dāng)前網(wǎng)絡(luò)安全追求的目標(biāo)。不能孤立地解決網(wǎng)絡(luò)安全問題,要從人才、技術(shù)、管理入手,打造聚合式安全服務(wù)平臺,共筑網(wǎng)絡(luò)安全防線。
六是從矛盾論視角看,網(wǎng)絡(luò)安全是妥協(xié)的而不是互斥的。自由與秩序需要妥協(xié),安全與發(fā)展同樣需要妥協(xié),關(guān)鍵是要找到一個平衡點(diǎn),既不能為了安全不顧發(fā)展,也不能為了發(fā)展不顧安全,而是要以安全保發(fā)展,以發(fā)展促安全。
記者:當(dāng)前,人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)等新技術(shù)發(fā)展迅速,對網(wǎng)絡(luò)安全建設(shè)提出新要求,您如何看待這一問題?
方濱興:任何新技術(shù)都可能給網(wǎng)絡(luò)安全帶來兩方面的影響:一個是賦能效應(yīng),既賦能攻擊,又賦能防御。二是伴生效應(yīng),本來不存在某一安全問題,因?yàn)樾录夹g(shù)來了才出現(xiàn)。伴生效應(yīng)又可以分為內(nèi)生安全問題(新技術(shù)自身的安全問題)和衍生安全問題(新技術(shù)引發(fā)了其他領(lǐng)域的安全問題)。
例如,在賦能效應(yīng)方面,人工智能可以賦能網(wǎng)絡(luò)防御。國外開發(fā)出一個叫作AI2的系統(tǒng),把人工智能應(yīng)用于惡意代碼檢測、惡意流量檢測、威脅情報收集、軟件漏洞挖掘等網(wǎng)絡(luò)安全領(lǐng)域,全面提高威脅攻擊的識別、響應(yīng)和反制速度,網(wǎng)絡(luò)防御能力比過去提高了3倍。人工智能也可以賦能網(wǎng)絡(luò)攻擊,可以稱之為自動化網(wǎng)絡(luò)攻擊。其原理是設(shè)計(jì)一個“網(wǎng)絡(luò)推理”系統(tǒng),能夠自動發(fā)現(xiàn)攻擊對象有沒有漏洞可以利用,如果有的話,自動生成一個程序攻擊漏洞。例如,2016年,美國就搞了這樣一個比賽。初賽時,組織方提供了590個漏洞,100多個團(tuán)隊(duì)設(shè)計(jì)的自動化網(wǎng)絡(luò)攻擊程序參加比賽。結(jié)果,所有的漏洞都被發(fā)現(xiàn),組織方從中選出發(fā)現(xiàn)漏洞多的7個自動化網(wǎng)絡(luò)攻擊程序參加決賽。最后,卡內(nèi)基梅隆大學(xué)設(shè)計(jì)的自動化網(wǎng)絡(luò)攻擊程序獲勝,隨后,就讓它去參加人類的比賽,在決賽的中間環(huán)節(jié),一度超越了兩個人類的頂級團(tuán)隊(duì),排名第13。所以說,人工智能在賦能網(wǎng)絡(luò)攻擊時還是很可怕的。
在伴生效應(yīng)方面,人工智能存在內(nèi)生安全問題,這可能成為自動駕駛的“死穴”。例如,一個被貼上幾張小廣告的停車標(biāo)志牌,人看到標(biāo)志牌不會因?yàn)橛行V告而看錯,但自動駕駛通過算法識別可能會出現(xiàn)錯誤,會將停車標(biāo)志看成限速45公里的標(biāo)志。之所以如此,與人工智能的內(nèi)生原理有關(guān)。人工智能依靠大量的數(shù)據(jù)和算法進(jìn)行深度學(xué)習(xí),所生成的模型參數(shù)具有不可解釋性,很難解釋什么樣的輸入變動會導(dǎo)致人工智能理解錯誤。人們可以通過某種手段找到一些輸入干擾,使得人工智能可能受小廣告的干擾出現(xiàn)識別錯誤,進(jìn)而忽視停車標(biāo)志牌出現(xiàn)安全問題。也就是說,人工智能高度依賴輸入,通過攻擊輸入,就會導(dǎo)致人工智能出現(xiàn)一系列安全問題。人工智能也存在衍生安全問題,可能危及人類。馬斯克認(rèn)為,人工智能威脅到人類的未來,需要加強(qiáng)管理;霍金認(rèn)為,人工智能一旦脫離約束,是不可控的;蓋茨認(rèn)為,人工智能最終構(gòu)成一個現(xiàn)實(shí)性的威脅。人工智能在什么情況下會危害人類呢?我認(rèn)為要同時滿足3個條件:第一,能夠移動且具有一定的動能;第二,有決策能力,可以有意識地做事情;第三,能夠自主行動。前兩個條件現(xiàn)在基本滿足,后一個條件已出現(xiàn)苗頭,對此我們要保持足夠的警惕,對人工智能進(jìn)行必要約束。
其他新技術(shù)也是如此。比如區(qū)塊鏈,區(qū)塊鏈的原理是放棄中心,在一個無中心的環(huán)境下,它可以助力信息安全;但反過來,在一個以監(jiān)管中心為核心的體系里,也沒辦法糾正錯誤,這就會助力攻擊。再比如物聯(lián)網(wǎng),現(xiàn)在很多城市都在建設(shè)智慧城市,傳感設(shè)備進(jìn)行數(shù)據(jù)交換的過程中,就存在信號輻射的數(shù)據(jù)泄露隱患,這是物聯(lián)網(wǎng)的內(nèi)生安全問題。同時,物聯(lián)網(wǎng)帶來的NFC支付和信用卡免密支付有可能遭受黑客攻擊,這是物聯(lián)網(wǎng)的衍生安全問題。
因此,要正確處理新技術(shù)和網(wǎng)絡(luò)安全的關(guān)系,既要應(yīng)對新技術(shù)及其承載數(shù)據(jù)自身脆弱性引發(fā)的內(nèi)生安全問題,也要應(yīng)對新技術(shù)及其承載數(shù)據(jù)的應(yīng)用帶來的衍生安全問題。同時,要充分利用新技術(shù)及其承載數(shù)據(jù)來賦能網(wǎng)絡(luò)安全建設(shè)。
記者:習(xí)近平總書記強(qiáng)調(diào),網(wǎng)絡(luò)空間的競爭,歸根結(jié)底是人才競爭。您一直從事網(wǎng)絡(luò)安全人才的教育培養(yǎng)工作,最近又到廣州大學(xué)創(chuàng)建了特色型研究生班“方濱興班”,請問您對網(wǎng)絡(luò)安全人才培養(yǎng)有何考慮?
方濱興:當(dāng)前,世界各國在網(wǎng)絡(luò)空間中的博弈變得尖銳復(fù)雜,隨著新技術(shù)的快速發(fā)展,關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)和個人隱私都面臨新的威脅和風(fēng)險。要想在網(wǎng)絡(luò)安全這場戰(zhàn)爭中立于不敗之地,就要培養(yǎng)大量具有過硬技術(shù)本領(lǐng)的網(wǎng)絡(luò)安全人才,這是解決網(wǎng)絡(luò)安全問題的關(guān)鍵所在。
然而,目前我國每年對網(wǎng)絡(luò)安全人才的需求量有幾十萬人,但科班出身的網(wǎng)絡(luò)安全人才每年只有1萬多人,加上相關(guān)領(lǐng)域的畢業(yè)生,人才儲備是遠(yuǎn)遠(yuǎn)不夠的。所以,各方必須共同努力,持續(xù)加大網(wǎng)絡(luò)安全人才的教育培養(yǎng)工作力度。需要強(qiáng)調(diào)的是,網(wǎng)絡(luò)安全人才的教育培養(yǎng)具有特殊性,從學(xué)習(xí)的角度來說,網(wǎng)絡(luò)安全的攻防是不對稱的,科班出身的人普遍接受的教育是怎么防御,很少知道怎么進(jìn)攻。不知道攻擊的防御,容易造成紙上談兵。未來的網(wǎng)絡(luò)安全人才,除了要掌握信息技術(shù)本身,還要掌握物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能領(lǐng)域的攻和防。正是基于這種考慮,我們在廣州大學(xué)創(chuàng)建特色型研究生班,以培養(yǎng)實(shí)戰(zhàn)型應(yīng)用型人才為目標(biāo),積極探索網(wǎng)絡(luò)安全人才培養(yǎng)新機(jī)制。
近兩年,我們在注重夯實(shí)學(xué)生理論基礎(chǔ)的同時,更注重把市場的需求納入學(xué)生的實(shí)踐環(huán)節(jié)當(dāng)中,積極鼓勵學(xué)生參加各種高水平的網(wǎng)絡(luò)安全競賽,通過實(shí)戰(zhàn)來提高學(xué)生的動手能力和知識技能應(yīng)用能力。目前看來,效果還算不錯,我們的學(xué)生先后在IJCAI-19阿里巴巴人工智能對抗算法競賽無目標(biāo)攻擊任務(wù)線上賽、首屆DataCon大數(shù)據(jù)安全分析比賽、第五屆中國“互聯(lián)網(wǎng)+”大學(xué)生創(chuàng)新創(chuàng)業(yè)大賽等大賽中摘得桂冠。我們組建的Team233戰(zhàn)隊(duì),也多次在國內(nèi)外網(wǎng)絡(luò)安全攻防比賽中取得佳績,特別是在第十二屆全國大學(xué)生信息安全競賽創(chuàng)新能力實(shí)踐賽中,獲得全國二等獎,顯示出不俗的實(shí)力。
為國家培養(yǎng)更多的網(wǎng)絡(luò)安全人才,是我一直以來的心愿。在我看來,愛國是科技工作者最重要的品質(zhì)。作為科技工作者,就要始終保持報效國家的使命感,儲備報效國家的能力,付諸報效國家的行動。我希望通過個人的一點(diǎn)努力和探索,盡快補(bǔ)齊我國網(wǎng)絡(luò)安全人才缺口,進(jìn)一步提升網(wǎng)絡(luò)空間治理能力,為實(shí)現(xiàn)整體動態(tài)開放的網(wǎng)絡(luò)安全提供有力支撐。
(轉(zhuǎn)載自《保密工作》雜志2020年第1期)