提升網(wǎng)絡空間治理能力 實現(xiàn)整體動態(tài)開放的網(wǎng)絡安全

——專訪中國工程院院士、網(wǎng)絡與信息安全專家方濱興

習近平總書記明確指出，沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。習近平總書記的這一重要論斷，把網(wǎng)絡安全上升到了國家安全的高度，為推動我國網(wǎng)絡空間治理體系和治理能力現(xiàn)代化指明了方向。如何應對日益復雜嚴峻的網(wǎng)絡安全形勢，進一步提升網(wǎng)絡空間治理能力，實現(xiàn)網(wǎng)絡強國之夢？本刊聯(lián)合廣東省保密局、廣州市保密局就此專訪了中國工程院院士、網(wǎng)絡與信息安全專家方濱興。

記者：習近平總書記首次在世界互聯(lián)網(wǎng)大會上倡導尊重網(wǎng)絡主權，引起了世界各國的廣泛關注。您是較早提出并研究網(wǎng)絡主權問題的專家，請您談談相關研究背景。

方濱興：1994年，我國通過美國的線路正式接入國際互聯(lián)網(wǎng)，隨后我國的互聯(lián)網(wǎng)開始進入廣泛普及階段。當時，有一部分人將網(wǎng)絡空間作為“虛擬世界”來看待，并將其獨立于物理世界，從而對來自物理世界的政府管理加以抵觸。其中最具代表性的是互聯(lián)網(wǎng)活動家約翰·佩里·巴洛發(fā)表的“網(wǎng)絡空間獨立宣言”，聲稱網(wǎng)絡空間屬于“未來世界”，在這個世界中，沒有政府，沒有政府的權力，只有“虛擬世界主權”。這是一個全球社會空間，正在形成自己的社會契約，以自己的方式來處理網(wǎng)絡空間中所發(fā)生的事情，網(wǎng)絡服務提供商負責行使網(wǎng)絡空間的權力。

進入21世紀以來，隨著網(wǎng)絡安全問題日益突顯，我國加大了對互聯(lián)網(wǎng)的管理力度，出臺了一系列的管理制度與政策。但西方國家卻對我國的互聯(lián)網(wǎng)管理指手畫腳，攻擊我國政府“限制互聯(lián)網(wǎng)自由”。其中一個重要原因可以歸結于網(wǎng)絡空間是否存在主權的理念之爭。從2009年起，我們開始研究網(wǎng)絡空間是不是一些人設想的那樣屬于“全球公域”，世界各國是否真的放棄在網(wǎng)絡空間中行使主權的權力。

研究表明，答案是否定的。僅以世界各國對不良信息的處理為例，西方國家均提出了本國的互聯(lián)網(wǎng)不良信息標準，制定相關法律，設立相關管理部門，動員社會組織以各種形式參與互聯(lián)網(wǎng)治理，研發(fā)各類技術手段來輔助管理互聯(lián)網(wǎng)，開展一系列的專項行動來打擊網(wǎng)絡犯罪。事實證明，網(wǎng)絡主權是客觀存在的，西方國家對我國的互聯(lián)網(wǎng)管理橫加指責是沒道理的，是對“互不干涉內政”國際交往基本原則的輕易踐踏。

記者：國際社會對網(wǎng)絡主權概念有不同的理解，您是如何理解的？

方濱興：我認為，網(wǎng)絡空間雖然是一個虛擬的空間，但具有國家主權所需要的4個基本要素：一是平臺，空間是建立在平臺上的，沒有互聯(lián)網(wǎng)、電信網(wǎng)、廣電網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制網(wǎng)等信息技術系統(tǒng)，這個空間根本不存在，而這個平臺就對應著國家主權要素中的領土，平臺就相當于“領網(wǎng)”；二是用戶，沒有用戶就沒有主體，用戶就對應著國家主權要素中的人口；三是數(shù)據(jù)，沒有數(shù)據(jù)就產生不了活動，數(shù)據(jù)對應著國家主權要素中的資產；四是網(wǎng)絡控制規(guī)則，網(wǎng)絡控制規(guī)則可以決定網(wǎng)絡空間的活動是否得到授權，對應著國家主權要素中的政權。簡單地說，網(wǎng)絡空間是與國家的物理空間相映射的，國家主權在物理空間的4個要素是領土、人口、資產、政權。而網(wǎng)絡空間主權也具備這4個要素：領土是平臺，人口是用戶等虛擬角色，資產是數(shù)據(jù)，政權是控制規(guī)則。所以，網(wǎng)絡空間也是有主權的，網(wǎng)絡主權就是國家主權在位于其領土之上的平臺所支撐網(wǎng)絡空間中的自然延伸。

和國家主權一樣，網(wǎng)絡主權也有4項基本權利：一是對內管轄權，即網(wǎng)絡空間的構成平臺、承載數(shù)據(jù)及其活動受所屬國家的司法保護；二是國際平等權，即各國在國際互聯(lián)網(wǎng)中具有同等的治理地位；三是獨立權，即位于本國領土內的網(wǎng)絡空間基礎設施的運行不能被他國所干預；四是自衛(wèi)權，即國家擁有保護本國網(wǎng)絡空間不被侵犯的權利及其軍事能力。

記者：網(wǎng)絡主權概念是如何獲得聯(lián)合國承認的？有何重大意義？

方濱興：從2011年起，我開始利用各種場合宣傳網(wǎng)絡主權的理念，積極推動網(wǎng)絡主權納入聯(lián)合國有關文件框架。2013年，我作為政府專家組成員，隨外交部參加了聯(lián)合國“從國際安全的角度看信息和電信領域的發(fā)展”政府專家組第三輪會議。在我的建議下，經外交部的不懈努力并取得了俄羅斯等國家的支持，網(wǎng)絡主權作為第二十條納入第68次聯(lián)合國大會發(fā)布的A/68/98文件中，具體表述為：“國家主權和源自主權的國際規(guī)范和原則適用于國家進行的信息通信技術活動，以及適用于國家在其領土內對信息通信技術基礎設施的管轄權。”此條款本質上就是承認了網(wǎng)絡主權。

這就意味著，各國應該相互尊重網(wǎng)絡主權，互不侵犯他國的網(wǎng)絡空間，互不干涉他國的網(wǎng)絡空間治理事務，互不干涉他國內政，各國的網(wǎng)絡主權在國際網(wǎng)絡空間治理活動中具有平等地位。各國應該深化網(wǎng)絡空間國際合作，攜手構建網(wǎng)絡空間命運共同體，共同利用好、發(fā)展好、治理好全球國際互聯(lián)網(wǎng)。

記者：面對復雜嚴峻的網(wǎng)絡安全形勢，如何透過現(xiàn)象看本質，從網(wǎng)絡主權的高度，科學認識網(wǎng)絡安全問題？

方濱興：今天，我們進入了一個信息化和網(wǎng)絡化的時代。信息與網(wǎng)絡共生共存，小到民眾生活的一點一滴，大到國家的安全發(fā)展，無所不在其中。從網(wǎng)絡主權意義上講，網(wǎng)絡就是一個看不見硝煙的戰(zhàn)場，是各方角力的主戰(zhàn)場�！八怪Z登事件”再次證明，沒有關鍵技術和自主產權的網(wǎng)絡，沒有對網(wǎng)絡空間進行保護，小到個人，大到國家，都將無秘密可言，無安全可言。一個國家、一個社會，如果不能保證網(wǎng)絡和信息的安全，再強大的硬件設施都可能成為“聾子瞎子”。所以，習近平總書記多次強調，沒有網(wǎng)絡安全就沒有國家安全。

如何科學認識當前的網(wǎng)絡安全問題，我個人歸結為“六論”。一是從認識論視角看，網(wǎng)絡安全是整體的而不是割裂的。隨著信息化的快速發(fā)展，當今網(wǎng)絡空間出現(xiàn)了發(fā)達國家推行信息霸權主義、網(wǎng)絡攻擊平臺化、網(wǎng)絡竊密泄密頻發(fā)、網(wǎng)絡謠言迷惑群眾、信息技術成為軍事破壞工具等諸多安全問題。這說明，網(wǎng)絡安全已經成為國家安全的核心組成部分，可以輻射影響到政治安全、經濟安全、社會安全、文化安全、國防安全等各個層面。

二是從進化論視角看，網(wǎng)絡安全是動態(tài)的而不是靜態(tài)的。每一項新技術都會帶來新的威脅，新的威脅也會催生新的安全技術。例如，互聯(lián)網(wǎng)催生互聯(lián)網(wǎng)安全，云計算、大數(shù)據(jù)、移動互聯(lián)也催生了相應的安全技術。實際上，如果5年內不允許出現(xiàn)任何新技術，技術只保持目前的狀態(tài)，5年后安全環(huán)境肯定會非常好，安全問題都會被解決，但是客觀情況下在這5年期間還是會有新的技術不斷涌現(xiàn)，因此，要解決安全風險，最根本的是要樹立動態(tài)的綜合防護理念，做好安全技術規(guī)劃，緊跟新技術的發(fā)展。

三是從實踐論視角看，網(wǎng)絡安全是開放的而不是封閉的。只有立足開放環(huán)境，加強對外交流、合作、互動、博弈，吸收先進技術，在實踐中不斷完善，網(wǎng)絡安全防護能力才能不斷提高。維護網(wǎng)絡安全絕對不能搞閉門造車，要積極主動參與競爭，強化攻防實戰(zhàn)，感受真實威脅，在與高手過招、切磋中不斷學習、提升。

四是從相對論視角看，網(wǎng)絡安全是相對的而不是絕對的。一味追求絕對安全是不現(xiàn)實的，只有立足國情，適度安全，才能促進社會發(fā)展。換句話說，解決網(wǎng)絡安全問題，必須考慮當下的基本國情和安全成本，掌握好適度安全，不是所有的場合都必須采用物理隔離這類極端的安全措施，應對的方法就是要建立網(wǎng)絡安全等級保護制度。

五是從方法論視角看，網(wǎng)絡安全是共同的而不是孤立的。網(wǎng)絡安全的使命已經從應用安全過渡到用戶安全，安全、可信、可控、可靠的網(wǎng)絡是當前網(wǎng)絡安全追求的目標。不能孤立地解決網(wǎng)絡安全問題，要從人才、技術、管理入手，打造聚合式安全服務平臺，共筑網(wǎng)絡安全防線。

六是從矛盾論視角看，網(wǎng)絡安全是妥協(xié)的而不是互斥的。自由與秩序需要妥協(xié)，安全與發(fā)展同樣需要妥協(xié)，關鍵是要找到一個平衡點，既不能為了安全不顧發(fā)展，也不能為了發(fā)展不顧安全，而是要以安全保發(fā)展，以發(fā)展促安全。

記者：當前，人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)等新技術發(fā)展迅速，對網(wǎng)絡安全建設提出新要求，您如何看待這一問題？

方濱興：任何新技術都可能給網(wǎng)絡安全帶來兩方面的影響：一個是賦能效應，既賦能攻擊，又賦能防御。二是伴生效應，本來不存在某一安全問題，因為新技術來了才出現(xiàn)。伴生效應又可以分為內生安全問題（新技術自身的安全問題）和衍生安全問題（新技術引發(fā)了其他領域的安全問題）。

例如，在賦能效應方面，人工智能可以賦能網(wǎng)絡防御。國外開發(fā)出一個叫作AI2的系統(tǒng)，把人工智能應用于惡意代碼檢測、惡意流量檢測、威脅情報收集、軟件漏洞挖掘等網(wǎng)絡安全領域，全面提高威脅攻擊的識別、響應和反制速度，網(wǎng)絡防御能力比過去提高了3倍。人工智能也可以賦能網(wǎng)絡攻擊，可以稱之為自動化網(wǎng)絡攻擊。其原理是設計一個“網(wǎng)絡推理”系統(tǒng)，能夠自動發(fā)現(xiàn)攻擊對象有沒有漏洞可以利用，如果有的話，自動生成一個程序攻擊漏洞。例如，2016年，美國就搞了這樣一個比賽。初賽時，組織方提供了590個漏洞，100多個團隊設計的自動化網(wǎng)絡攻擊程序參加比賽。結果，所有的漏洞都被發(fā)現(xiàn)，組織方從中選出發(fā)現(xiàn)漏洞多的7個自動化網(wǎng)絡攻擊程序參加決賽。最后，卡內基梅隆大學設計的自動化網(wǎng)絡攻擊程序獲勝，隨后，就讓它去參加人類的比賽，在決賽的中間環(huán)節(jié)，一度超越了兩個人類的頂級團隊，排名第13。所以說，人工智能在賦能網(wǎng)絡攻擊時還是很可怕的。

在伴生效應方面，人工智能存在內生安全問題，這可能成為自動駕駛的“死穴”。例如，一個被貼上幾張小廣告的停車標志牌，人看到標志牌不會因為有小廣告而看錯，但自動駕駛通過算法識別可能會出現(xiàn)錯誤，會將停車標志看成限速45公里的標志。之所以如此，與人工智能的內生原理有關。人工智能依靠大量的數(shù)據(jù)和算法進行深度學習，所生成的模型參數(shù)具有不可解釋性，很難解釋什么樣的輸入變動會導致人工智能理解錯誤。人們可以通過某種手段找到一些輸入干擾，使得人工智能可能受小廣告的干擾出現(xiàn)識別錯誤，進而忽視停車標志牌出現(xiàn)安全問題。也就是說，人工智能高度依賴輸入，通過攻擊輸入，就會導致人工智能出現(xiàn)一系列安全問題。人工智能也存在衍生安全問題，可能危及人類。馬斯克認為，人工智能威脅到人類的未來，需要加強管理；霍金認為，人工智能一旦脫離約束，是不可控的；蓋茨認為，人工智能最終構成一個現(xiàn)實性的威脅。人工智能在什么情況下會危害人類呢？我認為要同時滿足3個條件：第一，能夠移動且具有一定的動能；第二，有決策能力，可以有意識地做事情；第三，能夠自主行動。前兩個條件現(xiàn)在基本滿足，后一個條件已出現(xiàn)苗頭，對此我們要保持足夠的警惕，對人工智能進行必要約束。

其他新技術也是如此。比如區(qū)塊鏈，區(qū)塊鏈的原理是放棄中心，在一個無中心的環(huán)境下，它可以助力信息安全；但反過來，在一個以監(jiān)管中心為核心的體系里，也沒辦法糾正錯誤，這就會助力攻擊。再比如物聯(lián)網(wǎng)，現(xiàn)在很多城市都在建設智慧城市，傳感設備進行數(shù)據(jù)交換的過程中，就存在信號輻射的數(shù)據(jù)泄露隱患，這是物聯(lián)網(wǎng)的內生安全問題。同時，物聯(lián)網(wǎng)帶來的NFC支付和信用卡免密支付有可能遭受黑客攻擊，這是物聯(lián)網(wǎng)的衍生安全問題。

因此，要正確處理新技術和網(wǎng)絡安全的關系，既要應對新技術及其承載數(shù)據(jù)自身脆弱性引發(fā)的內生安全問題，也要應對新技術及其承載數(shù)據(jù)的應用帶來的衍生安全問題。同時，要充分利用新技術及其承載數(shù)據(jù)來賦能網(wǎng)絡安全建設。

記者：習近平總書記強調，網(wǎng)絡空間的競爭，歸根結底是人才競爭。您一直從事網(wǎng)絡安全人才的教育培養(yǎng)工作，最近又到廣州大學創(chuàng)建了特色型研究生班“方濱興班”，請問您對網(wǎng)絡安全人才培養(yǎng)有何考慮？

方濱興：當前，世界各國在網(wǎng)絡空間中的博弈變得尖銳復雜，隨著新技術的快速發(fā)展，關鍵信息基礎設施、重要數(shù)據(jù)和個人隱私都面臨新的威脅和風險。要想在網(wǎng)絡安全這場戰(zhàn)爭中立于不敗之地，就要培養(yǎng)大量具有過硬技術本領的網(wǎng)絡安全人才，這是解決網(wǎng)絡安全問題的關鍵所在。

然而，目前我國每年對網(wǎng)絡安全人才的需求量有幾十萬人，但科班出身的網(wǎng)絡安全人才每年只有1萬多人，加上相關領域的畢業(yè)生，人才儲備是遠遠不夠的。所以，各方必須共同努力，持續(xù)加大網(wǎng)絡安全人才的教育培養(yǎng)工作力度。需要強調的是，網(wǎng)絡安全人才的教育培養(yǎng)具有特殊性，從學習的角度來說，網(wǎng)絡安全的攻防是不對稱的，科班出身的人普遍接受的教育是怎么防御，很少知道怎么進攻。不知道攻擊的防御，容易造成紙上談兵。未來的網(wǎng)絡安全人才，除了要掌握信息技術本身，還要掌握物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能領域的攻和防。正是基于這種考慮，我們在廣州大學創(chuàng)建特色型研究生班，以培養(yǎng)實戰(zhàn)型應用型人才為目標，積極探索網(wǎng)絡安全人才培養(yǎng)新機制。

近兩年，我們在注重夯實學生理論基礎的同時，更注重把市場的需求納入學生的實踐環(huán)節(jié)當中，積極鼓勵學生參加各種高水平的網(wǎng)絡安全競賽，通過實戰(zhàn)來提高學生的動手能力和知識技能應用能力。目前看來，效果還算不錯，我們的學生先后在IJCAI-19阿里巴巴人工智能對抗算法競賽無目標攻擊任務線上賽、首屆DataCon大數(shù)據(jù)安全分析比賽、第五屆中國“互聯(lián)網(wǎng)+”大學生創(chuàng)新創(chuàng)業(yè)大賽等大賽中摘得桂冠。我們組建的Team233戰(zhàn)隊，也多次在國內外網(wǎng)絡安全攻防比賽中取得佳績，特別是在第十二屆全國大學生信息安全競賽創(chuàng)新能力實踐賽中，獲得全國二等獎，顯示出不俗的實力。

為國家培養(yǎng)更多的網(wǎng)絡安全人才，是我一直以來的心愿。在我看來，愛國是科技工作者最重要的品質。作為科技工作者，就要始終保持報效國家的使命感，儲備報效國家的能力，付諸報效國家的行動。我希望通過個人的一點努力和探索，盡快補齊我國網(wǎng)絡安全人才缺口，進一步提升網(wǎng)絡空間治理能力，為實現(xiàn)整體動態(tài)開放的網(wǎng)絡安全提供有力支撐。

 

（轉載自《保密工作》雜志2020年第1期）