信息技术对我们的时代意义独特。过去10年间,在信息革命的推动下,国际关系的基本环境发生了较大变化。信息似乎已渗透到现代生活的方方面面,并占据主导地位,以至于我们现今所处的时代经常被称为“信息时代”,现代社会的复杂性和多变性,通常也被视为信息革命带来的结果。
如何理解“网络安全”的内涵
目前并没有关于信息时代网络安全的确切定义,我们可以列举被它涵盖的问题来充实这一概念的内涵。网络安全首先包含“矛”与“盾”两个方面,一方面是攻击活动,例如信息战、网络犯罪和网络恐怖主义等;另一方面是自卫活动,例如信息保障和关键信息基础设施保护(CIIP)。这两个方面的共同点在于:它们都与信息基础设施相关。信息基础设施不仅包括相对容易掌握的物理设施,例如宽带网络、计算机、电视、电话等,也包括了同样重要的非物质的、难以捕捉的(网络)成分,如基础设施中流动的信息和内容,以及据此产生的知识和提供的服务。因此,将信息时代网络安全威胁限定为虚拟攻击或事故并不正确,针对信息基础设施的攻击有可能是物理的,当然也可能来自网络的黑客工具。
复杂多变并非这个时代的特色。和现在一样,历史上其他时代科技日新月异的发展也在挑战那个时代个人与社会的适应能力,带来各种新的“威胁”。新技术带来的各类安全威胁无疑是引人注目的,但我们应当认识到,要分析信息时代的网络安全威胁,一定要结合实际,充分了解当前技术和政策发展的原因和影响,而不是沉浸于对技术“失控”的假设中。
信息时代的网络安全同信息技术的变革紧密相关。自20世纪末以来,网络威胁主要来自两个方面,一方面是现代社会过度依赖不安全的信息系统,另一方面是网络威胁的影响范围在不断扩大。信息通信技术成本下降,实用性增加,使用更加方便,这些变化推动信息通信技术大规模传播和渗透到我们的生活中来。其结果就是人们的日常生活、工作、经济运作和大量个人交往都越来越依赖于这些技术。如今还有很多网络空间的行为主体并不愿意承认国家法律框架,而是想要隐藏在匿名的网络空间中。网络危险分子能力和影响范围的不断增长,对国家安全形成了较大威胁。由于他们破坏力强大,而且需要的工具简单易获取,只要略通黑客网络技术的人就可以使用。
信息对国家安全的重要性得到了普遍关注
作为全球信息基础设施网的核心一环,网络的技术环境天然就是不安全的,因为所有连入了全球信息基础设施的计算机都是这个网络的一部分。所以从理论上说,所有连入网络的设备都可能被攻击和入侵。最初也正是对信息基础设施的广泛依赖,让人们开始关注信息对国家安全的重要性。
众所周知,最早出现的网络是上个世纪60年代的阿帕网(ARPAnet),美国国防部设立了这个项目,目的是创建一个在核战争或自然灾害损毁了大部分组件的情况下,依然能运作的,并且覆盖全国的计算机网络。在接下来的20年里,有所升级的网络开始被学术机构、科学家和政府部门运用于研究和通信。但是在设计之初,所有构成今天互联网的早期网络协议都是开放灵活的,安全性并未被考虑在内。从1988年世界上第一个蠕虫病毒诞生,到“冲击波”“熊猫烧香”等,从物理层面到应用层面,网络信息系统的脆弱性一次次引起世人的关注。
从计算机网络最初兴起开始,它就成为了现代社会的核心要素之一,甚至很多时候抽象意义上的网络已经成为了现代生活的代名词。计算机和电信的结合,再加上高级计算机系统、数据库、电信网络等在全球范围内的普遍应用,使得电子信息随手可及,并且将信息革命扩大到了当前的宏伟规模。
虽然上世纪90年代末互联网泡沫的破灭曾一度为高科技狂热降温,但信息革命的工具依然在快速进化。一些专家认为,未来的主要技术趋势包括自动化、移动性、微型化、全球网络以及计算机和网络的普及化,而更值得关注的是,这些趋势将会带来哪些安全问题。既然网络威胁主要来自于对全球信息基础设施的恶意使用,那么技术环境(现在和未来)的特点势必会影响我们对威胁的理解。尤其是网络领域破坏性事件的不断增多,微软操作系统的垄断地位和这一系统持续存在的安全漏洞,都说明信息技术领域存在较为严重的安全问题。
网络威胁具有不确定性
有的专家并不认同网络威胁的严重性,在讨论究竟何时会发生对社会造成实质威胁的网络事件时,他们难以达成一致,尤其是在未知因素过多的情况下。首先,面对有预谋的攻击时,各国关键基础设施的易损程度目前还具有争议。
要真正了解关键基础设施面对网络攻击时的脆弱性,就需要一个更详细的评估,包括测评每一个目标设施的冗余、正常故障率和响应率,核心功能对公共网络的接入程度,以及临界操作时的人力控制、监控和干预水平等。但这种评估往往不太容易实现,除了难以获得数据以外,评估困难还因为单靠数据并不能创造临界条件。基础设施或服务的临界值永远不可能靠经验数据提前测量,只能在危机发生以后,以规范流程进行事后获取。
网络威胁是难以理解和证实的,对这种威胁的分析方法需要建立在建设性心态和主观本体论之上。有效的分析方法应当关注关键行动者们怎样达成共识,并确定什么才是需要他们共同应对的安全威胁,而不是假设威胁是普遍存在并且客观可测量的。要理解信息革命对国际关系和安全的影响,关键要看政策制定者和专家们怎样看待技术环境的特点,以及它对国际安全的影响。
参与主体多元化是网络问题复杂化的根源
互联网的商业化加剧了网络的不安全性。信息技术安全面临了来自市场的阻力,对安全的投资没有直接回报,产品上市时也不允许采取过多安全措施。因此,安全通常就成为功能的牺牲品。
今天,很多国家对权力的垄断已被打破,大量非政府组织、社会团体和其他非国立的跨国网络正在许多领域同国家力量竞争。政策制定的主体正在从单个变为多个,将主要利益相关者纳入决策过程已是必然趋势。
信息基础设施保护政策的混合化正反映了参与主体的多元化。在网络威胁领域,个人、企业或地区通常都会承担维护“业务连续性”和保护国家乃至国际安全的责任。出于技术原因,提前应对潜在攻击者非常困难,所以保护措施通常都注重预防最小化攻击带来的损失。除了对保护目标和保护方法的基本看法以外,各种利益相关者持有的不同概念和观点也会影响他们的保护措施。无论是私营、公立还是二者混合,不同的组织并不一定总能就问题的本质达成共识。
信息时代的网络安全同其他时代相比究竟有何区别?这个问题有一个简单的回答,那就是:“如果我们认为有,那就有。”这里,我们指出了核心政策制定者们想法的重要性,并据此给出了这样一种建设性的答案,即行为主体的想法和理解会对政策的制定过程起导向作用,并最终影响政府决策。因此,(国家、地区和国际)法律、协议和行为规范都会被政策制定者对威胁的理解所左右,所以它们对信息时代的网络安全都有较大影响。不必要的“网络恐慌”不利于应对威胁,解决问题的方法之一就是更多地从经济和市场角度审视威胁,从而降低网络安全问题所带来的社会危害。