唐岚:美欧强调“网络安全韧性”动向值得警惕

随着地缘政治、新冠疫情、技术变革等诸多因素的演变,“韧性”(resilience,又译为弹性、恢复力)成为高频词,出现在各种复杂问题解决方案中。在网络安全领域,“韧性”并非一个新概念,美国商务部旗下国家标准与技术研究院将其定义为预测、抵御、恢复和适应不利条件、压力、攻击或破坏的能力。不少国家的网络安全战略都以实现数字系统韧性为目标。在数字化转型加速、网络空间博弈趋紧大背景下,美欧等赋予了网络安全韧性更广泛的内涵,这一动向值得关注,并加以警惕。

首先是网络防御理念的转变。美国一贯倡导网络威慑战略,通过高调展示强大的网络攻防能力(拒止)及其动用经济、法律、外交和军事等进行报复(惩罚)的能力,震慑对手放弃或不敢针对美国发起网络攻击。但美国战略与国际问题研究中心副总裁詹姆斯·刘易斯、斯坦福大学教授赫伯特·林等网络安全专家观察到,2023年3月白宫出台的《国家网络安全战略》通篇未提“威慑”一词,说明“网络空间的威慑政策已经失败”。刘易斯进一步指出,制定网络安全政策应以网络受攻击、漏洞被利用不可避免为前提,以韧性为立足点,使国家关键数据和服务受到的破坏最小化。

诚然,数字技术的快速迭代,物理空间与网络空间的界限不断被打破,出现了一个虚实共生且相互映射、叠加和融合的数字空间,极大拓展了人类活动空间的同时,也使安全风险无处不在。数字化、网络化程度越高,可被攻击的部位、节点就越多;对数字技术的依赖程度越高,网络破坏造成的后果就越严重,不可能做到固若金汤、万无一失。类似于遭遇第一次核打击后的生存能力,网络安全韧性越强,从网络打击中恢复的速度就越快,社会的承受力就越强,也就能在进一步的网络对抗中赢得主动。从维护国家安全和利益角度看,强调“网络安全韧性”似乎无可厚非,但美欧此举的真实意图并非只是维护自身安全,而更多是为国家间网络对抗做准备,以更利于其加速推进网络空间军事化,这将极大危害全球网络空间的和平与稳定,也给每个国家的国家安全、乃至每一个人的切身利益带来深刻影响。

其次是侧重从源头确保安全。拜登政府强调数字基础设施从设计之初就应具备弹性,加强对不安全软件产品和服务的追责,最终建立一个可防御且富有韧性的数字生态体系。欧盟欲通过《网络弹性法案》(CRA),它规制的对象涉及所有软硬件产品及远程数据处理方案,涵盖产品从设计、开发、交付到淘汰的整个生命周期,严惩未履行基本网络安全要求的制造商和销售商。这由此必然涉及供应链这一核心问题。在美欧看来,依赖“不受信任”供应商生产的关键产品和服务将招致各种系统性风险,提高供应链透明度对实现网络安全韧性至关重要。美国在积极推进软件物料清单,要求厂商提供开发过程中所采用的所有零部件、原材料及其供应商上下游依赖关系等基本信息。

问题是,如何判断所谓不可靠、不可信的供应商,完全取决于美欧自己界定的所谓“安全和信任标准”,其中政治操弄的空间极大。华为公司在美欧的遭遇告诉我们,美欧这种“安全和信任标准”已经被意识形态化了,在这个意义上,美欧追求网络安全韧性又为其将网络安全政治化提供了一个借口。

最后是倡导所谓“共同韧性”。网络安全具有较强的外溢性、关联性,攻击者可以在全球寻找最薄弱的环节入手,利用互联互通的网络抵达目标,同时其后果又往往难以控制,极易蔓延扩散。为了最大程度地补齐木桶中最短的木板,美国提出要与欧盟、北约等实现网络安全的“共同韧性”,在供应链安全、网络威胁信息共享、网络事件处置、网络演练等方面全面展开合作。

为配合大国战略竞争,美国将目光转向“印太”地区,借助“印太经济战略”“四方安全对话”等开展“友岸外包”,与盟友和所谓“理念相近”国家共同研发与制造可互操作、可靠数字产品及服务。美国还试图在亚太复制北约模式,吸引日本、韩国加入北约合作网络防御卓越中心,拉起网络情报网,为其网战力量投射找到路径。4月,美国会提出《台湾网络安全韧性法案》,想要授权军方利用美国网络技术“武装台湾”。该法案恶意揣度中国大陆对台湾地区发动网络攻击,实则意在全面接手台湾地区网络防御,便于其进一步窥探和渗透中国大陆网络。

网络空间的攻防对抗,打破了传统的平战、军民以及战场内外的界线。因此,国家间网络博弈是全方位、全领域的。美欧基于全方位战略竞争,试图从供应链、协同行动等多领域构筑网络安全防线,并将网络安全韧性延伸至重要物理设施,甚至认知域,如有效识别和打击虚假信息,快速恢复社会信心等。这样的举动将在一定程度上增加国家间发生误判、触发网络摩擦和冲突、甚至擦枪走火的可能性。我们必须予以充分认识,并坚持系统思维、底线思维和极限思维,维护我国和国际网络空间的安全与和平。(作者是中国现代国际关系研究院研究员)

热门相关:秾李夭桃   貌似纯洁   王妃不乖:独宠倾城妃   明朝好丈夫   第一强者