提升網絡空間治理能力 實現整體動態(tài)開放的網絡安全

——專訪中國工程院院士、網絡與信息安全專家方濱興

習近平總書記明確指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。習近平總書記的這一重要論斷，把網絡安全上升到了國家安全的高度，為推動我國網絡空間治理體系和治理能力現代化指明了方向。如何應對日益復雜嚴峻的網絡安全形勢，進一步提升網絡空間治理能力，實現網絡強國之夢？本刊聯合廣東省保密局、廣州市保密局就此專訪了中國工程院院士、網絡與信息安全專家方濱興。

記者：習近平總書記首次在世界互聯網大會上倡導尊重網絡主權，引起了世界各國的廣泛關注。您是較早提出并研究網絡主權問題的專家，請您談談相關研究背景。

方濱興：1994年，我國通過美國的線路正式接入國際互聯網，隨后我國的互聯網開始進入廣泛普及階段。當時，有一部分人將網絡空間作為“虛擬世界”來看待，并將其獨立于物理世界，從而對來自物理世界的政府管理加以抵觸。其中最具代表性的是互聯網活動家約翰·佩里·巴洛發(fā)表的“網絡空間獨立宣言”，聲稱網絡空間屬于“未來世界”，在這個世界中，沒有政府，沒有政府的權力，只有“虛擬世界主權”。這是一個全球社會空間，正在形成自己的社會契約，以自己的方式來處理網絡空間中所發(fā)生的事情，網絡服務提供商負責行使網絡空間的權力。

進入21世紀以來，隨著網絡安全問題日益突顯，我國加大了對互聯網的管理力度，出臺了一系列的管理制度與政策。但西方國家卻對我國的互聯網管理指手畫腳，攻擊我國政府“限制互聯網自由”。其中一個重要原因可以歸結于網絡空間是否存在主權的理念之爭。從2009年起，我們開始研究網絡空間是不是一些人設想的那樣屬于“全球公域”，世界各國是否真的放棄在網絡空間中行使主權的權力。

研究表明，答案是否定的。僅以世界各國對不良信息的處理為例，西方國家均提出了本國的互聯網不良信息標準，制定相關法律，設立相關管理部門，動員社會組織以各種形式參與互聯網治理，研發(fā)各類技術手段來輔助管理互聯網，開展一系列的專項行動來打擊網絡犯罪。事實證明，網絡主權是客觀存在的，西方國家對我國的互聯網管理橫加指責是沒道理的，是對“互不干涉內政”國際交往基本原則的輕易踐踏。

記者：國際社會對網絡主權概念有不同的理解，您是如何理解的？

方濱興：我認為，網絡空間雖然是一個虛擬的空間，但具有國家主權所需要的4個基本要素：一是平臺，空間是建立在平臺上的，沒有互聯網、電信網、廣電網、物聯網、工業(yè)控制網等信息技術系統，這個空間根本不存在，而這個平臺就對應著國家主權要素中的領土，平臺就相當于“領網”；二是用戶，沒有用戶就沒有主體，用戶就對應著國家主權要素中的人口；三是數據，沒有數據就產生不了活動，數據對應著國家主權要素中的資產；四是網絡控制規(guī)則，網絡控制規(guī)則可以決定網絡空間的活動是否得到授權，對應著國家主權要素中的政權。簡單地說，網絡空間是與國家的物理空間相映射的，國家主權在物理空間的4個要素是領土、人口、資產、政權。而網絡空間主權也具備這4個要素：領土是平臺，人口是用戶等虛擬角色，資產是數據，政權是控制規(guī)則。所以，網絡空間也是有主權的，網絡主權就是國家主權在位于其領土之上的平臺所支撐網絡空間中的自然延伸。

和國家主權一樣，網絡主權也有4項基本權利：一是對內管轄權，即網絡空間的構成平臺、承載數據及其活動受所屬國家的司法保護；二是國際平等權，即各國在國際互聯網中具有同等的治理地位；三是獨立權，即位于本國領土內的網絡空間基礎設施的運行不能被他國所干預；四是自衛(wèi)權，即國家擁有保護本國網絡空間不被侵犯的權利及其軍事能力。

記者：網絡主權概念是如何獲得聯合國承認的？有何重大意義？

方濱興：從2011年起，我開始利用各種場合宣傳網絡主權的理念，積極推動網絡主權納入聯合國有關文件框架。2013年，我作為政府專家組成員，隨外交部參加了聯合國“從國際安全的角度看信息和電信領域的發(fā)展”政府專家組第三輪會議。在我的建議下，經外交部的不懈努力并取得了俄羅斯等國家的支持，網絡主權作為第二十條納入第68次聯合國大會發(fā)布的A/68/98文件中，具體表述為：“國家主權和源自主權的國際規(guī)范和原則適用于國家進行的信息通信技術活動，以及適用于國家在其領土內對信息通信技術基礎設施的管轄權�！贝藯l款本質上就是承認了網絡主權。

這就意味著，各國應該相互尊重網絡主權，互不侵犯他國的網絡空間，互不干涉他國的網絡空間治理事務，互不干涉他國內政，各國的網絡主權在國際網絡空間治理活動中具有平等地位。各國應該深化網絡空間國際合作，攜手構建網絡空間命運共同體，共同利用好、發(fā)展好、治理好全球國際互聯網。

記者：面對復雜嚴峻的網絡安全形勢，如何透過現象看本質，從網絡主權的高度，科學認識網絡安全問題？

方濱興：今天，我們進入了一個信息化和網絡化的時代。信息與網絡共生共存，小到民眾生活的一點一滴，大到國家的安全發(fā)展，無所不在其中。從網絡主權意義上講，網絡就是一個看不見硝煙的戰(zhàn)場，是各方角力的主戰(zhàn)場�！八怪Z登事件”再次證明，沒有關鍵技術和自主產權的網絡，沒有對網絡空間進行保護，小到個人，大到國家，都將無秘密可言，無安全可言。一個國家、一個社會，如果不能保證網絡和信息的安全，再強大的硬件設施都可能成為“聾子瞎子”。所以，習近平總書記多次強調，沒有網絡安全就沒有國家安全。

如何科學認識當前的網絡安全問題，我個人歸結為“六論”。一是從認識論視角看，網絡安全是整體的而不是割裂的。隨著信息化的快速發(fā)展，當今網絡空間出現了發(fā)達國家推行信息霸權主義、網絡攻擊平臺化、網絡竊密泄密頻發(fā)、網絡謠言迷惑群眾、信息技術成為軍事破壞工具等諸多安全問題。這說明，網絡安全已經成為國家安全的核心組成部分，可以輻射影響到政治安全、經濟安全、社會安全、文化安全、國防安全等各個層面。

二是從進化論視角看，網絡安全是動態(tài)的而不是靜態(tài)的。每一項新技術都會帶來新的威脅，新的威脅也會催生新的安全技術。例如，互聯網催生互聯網安全，云計算、大數據、移動互聯也催生了相應的安全技術。實際上，如果5年內不允許出現任何新技術，技術只保持目前的狀態(tài)，5年后安全環(huán)境肯定會非常好，安全問題都會被解決，但是客觀情況下在這5年期間還是會有新的技術不斷涌現，因此，要解決安全風險，最根本的是要樹立動態(tài)的綜合防護理念，做好安全技術規(guī)劃，緊跟新技術的發(fā)展。

三是從實踐論視角看，網絡安全是開放的而不是封閉的。只有立足開放環(huán)境，加強對外交流、合作、互動、博弈，吸收先進技術，在實踐中不斷完善，網絡安全防護能力才能不斷提高。維護網絡安全絕對不能搞閉門造車，要積極主動參與競爭，強化攻防實戰(zhàn)，感受真實威脅，在與高手過招、切磋中不斷學習、提升。

四是從相對論視角看，網絡安全是相對的而不是絕對的。一味追求絕對安全是不現實的，只有立足國情，適度安全，才能促進社會發(fā)展。換句話說，解決網絡安全問題，必須考慮當下的基本國情和安全成本，掌握好適度安全，不是所有的場合都必須采用物理隔離這類極端的安全措施，應對的方法就是要建立網絡安全等級保護制度。

五是從方法論視角看，網絡安全是共同的而不是孤立的。網絡安全的使命已經從應用安全過渡到用戶安全，安全、可信、可控、可靠的網絡是當前網絡安全追求的目標。不能孤立地解決網絡安全問題，要從人才、技術、管理入手，打造聚合式安全服務平臺，共筑網絡安全防線。

六是從矛盾論視角看，網絡安全是妥協的而不是互斥的。自由與秩序需要妥協，安全與發(fā)展同樣需要妥協，關鍵是要找到一個平衡點，既不能為了安全不顧發(fā)展，也不能為了發(fā)展不顧安全，而是要以安全保發(fā)展，以發(fā)展促安全。

記者：當前，人工智能、區(qū)塊鏈、物聯網等新技術發(fā)展迅速，對網絡安全建設提出新要求，您如何看待這一問題？

方濱興：任何新技術都可能給網絡安全帶來兩方面的影響：一個是賦能效應，既賦能攻擊，又賦能防御。二是伴生效應，本來不存在某一安全問題，因為新技術來了才出現。伴生效應又可以分為內生安全問題（新技術自身的安全問題）和衍生安全問題（新技術引發(fā)了其他領域的安全問題）。

例如，在賦能效應方面，人工智能可以賦能網絡防御。國外開發(fā)出一個叫作AI2的系統，把人工智能應用于惡意代碼檢測、惡意流量檢測、威脅情報收集、軟件漏洞挖掘等網絡安全領域，全面提高威脅攻擊的識別、響應和反制速度，網絡防御能力比過去提高了3倍。人工智能也可以賦能網絡攻擊，可以稱之為自動化網絡攻擊。其原理是設計一個“網絡推理”系統，能夠自動發(fā)現攻擊對象有沒有漏洞可以利用，如果有的話，自動生成一個程序攻擊漏洞。例如，2016年，美國就搞了這樣一個比賽。初賽時，組織方提供了590個漏洞，100多個團隊設計的自動化網絡攻擊程序參加比賽。結果，所有的漏洞都被發(fā)現，組織方從中選出發(fā)現漏洞多的7個自動化網絡攻擊程序參加決賽。最后，卡內基梅隆大學設計的自動化網絡攻擊程序獲勝，隨后，就讓它去參加人類的比賽，在決賽的中間環(huán)節(jié)，一度超越了兩個人類的頂級團隊，排名第13。所以說，人工智能在賦能網絡攻擊時還是很可怕的。

在伴生效應方面，人工智能存在內生安全問題，這可能成為自動駕駛的“死穴”。例如，一個被貼上幾張小廣告的停車標志牌，人看到標志牌不會因為有小廣告而看錯，但自動駕駛通過算法識別可能會出現錯誤，會將停車標志看成限速45公里的標志。之所以如此，與人工智能的內生原理有關。人工智能依靠大量的數據和算法進行深度學習，所生成的模型參數具有不可解釋性，很難解釋什么樣的輸入變動會導致人工智能理解錯誤。人們可以通過某種手段找到一些輸入干擾，使得人工智能可能受小廣告的干擾出現識別錯誤，進而忽視停車標志牌出現安全問題。也就是說，人工智能高度依賴輸入，通過攻擊輸入，就會導致人工智能出現一系列安全問題。人工智能也存在衍生安全問題，可能危及人類。馬斯克認為，人工智能威脅到人類的未來，需要加強管理；霍金認為，人工智能一旦脫離約束，是不可控的；蓋茨認為，人工智能最終構成一個現實性的威脅。人工智能在什么情況下會危害人類呢？我認為要同時滿足3個條件：第一，能夠移動且具有一定的動能；第二，有決策能力，可以有意識地做事情；第三，能夠自主行動。前兩個條件現在基本滿足，后一個條件已出現苗頭，對此我們要保持足夠的警惕，對人工智能進行必要約束。

其他新技術也是如此。比如區(qū)塊鏈，區(qū)塊鏈的原理是放棄中心，在一個無中心的環(huán)境下，它可以助力信息安全；但反過來，在一個以監(jiān)管中心為核心的體系里，也沒辦法糾正錯誤，這就會助力攻擊。再比如物聯網，現在很多城市都在建設智慧城市，傳感設備進行數據交換的過程中，就存在信號輻射的數據泄露隱患，這是物聯網的內生安全問題。同時，物聯網帶來的NFC支付和信用卡免密支付有可能遭受黑客攻擊，這是物聯網的衍生安全問題。

因此，要正確處理新技術和網絡安全的關系，既要應對新技術及其承載數據自身脆弱性引發(fā)的內生安全問題，也要應對新技術及其承載數據的應用帶來的衍生安全問題。同時，要充分利用新技術及其承載數據來賦能網絡安全建設。

記者：習近平總書記強調，網絡空間的競爭，歸根結底是人才競爭。您一直從事網絡安全人才的教育培養(yǎng)工作，最近又到廣州大學創(chuàng)建了特色型研究生班“方濱興班”，請問您對網絡安全人才培養(yǎng)有何考慮？

方濱興：當前，世界各國在網絡空間中的博弈變得尖銳復雜，隨著新技術的快速發(fā)展，關鍵信息基礎設施、重要數據和個人隱私都面臨新的威脅和風險。要想在網絡安全這場戰(zhàn)爭中立于不敗之地，就要培養(yǎng)大量具有過硬技術本領的網絡安全人才，這是解決網絡安全問題的關鍵所在。

然而，目前我國每年對網絡安全人才的需求量有幾十萬人，但科班出身的網絡安全人才每年只有1萬多人，加上相關領域的畢業(yè)生，人才儲備是遠遠不夠的。所以，各方必須共同努力，持續(xù)加大網絡安全人才的教育培養(yǎng)工作力度。需要強調的是，網絡安全人才的教育培養(yǎng)具有特殊性，從學習的角度來說，網絡安全的攻防是不對稱的，科班出身的人普遍接受的教育是怎么防御，很少知道怎么進攻。不知道攻擊的防御，容易造成紙上談兵。未來的網絡安全人才，除了要掌握信息技術本身，還要掌握物聯網、云計算、大數據、人工智能領域的攻和防。正是基于這種考慮，我們在廣州大學創(chuàng)建特色型研究生班，以培養(yǎng)實戰(zhàn)型應用型人才為目標，積極探索網絡安全人才培養(yǎng)新機制。

近兩年，我們在注重夯實學生理論基礎的同時，更注重把市場的需求納入學生的實踐環(huán)節(jié)當中，積極鼓勵學生參加各種高水平的網絡安全競賽，通過實戰(zhàn)來提高學生的動手能力和知識技能應用能力。目前看來，效果還算不錯，我們的學生先后在IJCAI-19阿里巴巴人工智能對抗算法競賽無目標攻擊任務線上賽、首屆DataCon大數據安全分析比賽、第五屆中國“互聯網+”大學生創(chuàng)新創(chuàng)業(yè)大賽等大賽中摘得桂冠。我們組建的Team233戰(zhàn)隊，也多次在國內外網絡安全攻防比賽中取得佳績，特別是在第十二屆全國大學生信息安全競賽創(chuàng)新能力實踐賽中，獲得全國二等獎，顯示出不俗的實力。

為國家培養(yǎng)更多的網絡安全人才，是我一直以來的心愿。在我看來，愛國是科技工作者最重要的品質。作為科技工作者，就要始終保持報效國家的使命感，儲備報效國家的能力，付諸報效國家的行動。我希望通過個人的一點努力和探索，盡快補齊我國網絡安全人才缺口，進一步提升網絡空間治理能力，為實現整體動態(tài)開放的網絡安全提供有力支撐。

 

（轉載自《保密工作》雜志2020年第1期）