8月4日发布的第四十次《中国互联网络发展状况统计报告》显示,截至今年6月,中国网民规模达到7.51亿,占全球网民总数的1/5,互联网普及率为54.3%,超过全球平均水平4.6个百分点。随着互联网的飞速发展,网络空间安全也受到越来越多的挑战和冲击,这是包括中国在内的全球各国共同面临的新课题。
5月15日,英国公共卫生体系网站对网络袭击事件的说明。
5月12日,一名英国女子观看遭到病毒攻击的网页。
立规范,不容等待
1999年,俄罗斯第一次向联合国提交了一份旨在禁止使用信息通信技术武器(包括宣传)的条约,很多国家当时反对这样一个宽泛、难以落实的条约,一方面是因为很难在和平用途的计算机程序中发现恶意武器,另一方面还因为这样一个条约可能需要几十年来进行谈判。
后来,有15个国家同意采取务实性的举措,并要求联合国秘书长任命一个“从国际安全的角度来看信息和电信领域发展政府专家组”,即2004年成立的“关于国际安全环境中信息通信领域发展的政府专家组(UNGGE)”。
2015年7月,专家组发布了一份报告,提出要建立限制冲突和建立信任措施的规范。随后,二十国集团土耳其安塔利亚峰会公报支持了报告的成果。专家组在2010、2013、2015年发布的报告有助于信息通信技术领域安全的国际议程设置。尽管取得了初步成果,但是专家组也存在局限。专家组的代表大多是联合国秘书长的技术顾问,而非全权受命的各国谈判专家。此外,尽管代表人数先后从15名逐步增加到25名,绝大多数国家依旧没有参加。
为了理解专家组的角色,有必要将其放到国家的规范性约束这一更大的背景之下。强制性的国际法是基于条约、国际惯例法和专家司法意见的产物。
相比而言,规范是对于行为体行为的一种集体性期待。规范适用于多个行为体,并且行为体受约束的“状态”能够发展为法律、政治和文化。专家组建议采取和平时期非约束性的国家行为准则。
横向来看,国家的规范性约束可以分为正式条约、非正式行为准则的常规国家实践和规范。纵向来看,根据成员的范围,可以分为全球性的、多边的和双边的。这些行为体可以包括国家和非国家行为体,总体看来就是一个机制复合体。
中国和美国于2015年在打击网络商业犯罪上达成双边合作,中国在双边谈判中还与很多国家签署同样的协议。中国在这一领域的领导力不仅会增加中国的网络安全,并且会有助于提升中国的软实力。
在全球范围内,物联网安全将会从企业和非营利部门行为体担任主导力量的行为准则中受益。制定规范应当一往无前,而非停滞不前。世界不应当去等待一个可能需要数十年去谈判,并且有可能会因落后于技术发展而不适用的条约。增强信息通信技术领域稳定和发展的进步需要在很多领域采取行动。从这种角度来看,国际社会在制定网络活动的规范性约束方面还处于早期阶段。
(作者约瑟夫·奈 为哈佛大学肯尼迪政府学院教授)
强合作,管控风险
从20世纪90年代至今,以互联网为代表的网络应用在全球快速拓展,塑造并形成了人类活动的新空间,也给国家间的对抗提供了新的斗争手段。在攻击与报复的循环往复中,网络较量和冲突具有升级和外溢的危险,失控的后果可能超出政治家的想象。
从长远看,维护网络空间的开放、共享、和平和稳定符合各国利益,各国应从保持战略克制、加强网络空间互信、构建网络空间国家行为规范、共同防范新技术风险四个方面寻找有效管控网络危机的途径。
第一,保持战略克制。预防危机是最成功的危机管理,而预防网络危机首先需要国家主体保持战略克制。在信息时代,任何一个国家都将越发依赖网络,也更难以抵挡国家级的大规模网络攻击,同时滥用网络能力也必然招致战略风险。存在利益分歧、难以达成共识的情况下,各国应更加注重网络防御,主要通过技术与管理手段加强关键信息系统安全,减少被他方攻击的可能性,增强自我恢复能力。
第二,加强网络合作互信。预防冲突需要各方继续在化解安全困境、增强互信方面做出努力。各国信息化程度不同,网络能力存在不平衡,各方可建立政策通报机制,定期交流网络安全关切、网络政策变化、政府应对重大网络攻击事件的响应计划,进一步理解彼此在网络安全上的差异、分歧和共同点。逐步建立部门间对等交流机制,包括建立网络热线、交换联系人信息或联络邮箱,保持沟通渠道多元化,以促进危机时的紧急处理和协调,防止误判。
第三,构建网络空间国家行为规范。目前国际社会尚不具备有效监督网络行为并强制执行的技术和法律手段,推动建立倡议性网络空间国际规范比较可行。这需要网络大国首先达成一致构建网络空间负责任的国家行为规范,并率先自觉遵守。同时更需要网络大国共同研究和提供维护行为规范的保障手段,包括提供资金、技术、人员等方面的支撑,逐步积累国际社会的信心,从而鼓励和带动更多国家自愿加入规范。
第四,共同防范新技术风险。在社会经济发展的驱动下,网络信息技术的快速更新和推广势不可挡,国家之间可聚焦网络技术引入的脆弱性加强网络空间务实合作。为防止第三方利用网络技术挑起事端,制造国家间冲突和摩擦,各国应逐步建立双多边的网络安全威胁情报交换机制、溯源判定机制和漏洞共享机制。同时还应关注新技术带来的新风险和可能带来的安全威胁,共同开发和部署防范措施。
(作者许蔓舒 为国防大学战略部危机管理中心副教授)
5月15日,在印度尼西亚雅加达一家医院,一台受到勒索软件影响的取号机被停用。
5月13日,在德国莱比锡火车站,电子时刻表因受病毒攻击而无法运转。
防危害,筹谋大局
在核安全领域有这样一个共识:“无论在何处发生核事故都会影响到全球。”这一特性同样适用于网络安全领域。从美国国家安全局的网络“军火库”里泄漏的“永恒之蓝”系统漏洞变种为“想哭”勒索病毒,令全球150个国家的将近30万用户遭殃。我们可以看到,越来越多的网络安全事件每天都在发生,不仅给受害者造成了大量的财产损失,同时也在挑战着网络空间的稳定与和平,影响着各国的网络政策。
大规模、高速度的数据跨境流动,一方面提高了人们工作、生活的效率,提升了资源分配和使用的合理性;另一方面,却导致网络攻击传播更快,溯源取证更不确定,威胁感知与防御反制难上加难。网络空间中,任何一个国家、地区都不可能独善其身,面对日益加强的网络安全威胁,所有网络使用者已经成为命运共同体,只有携手共治,才能构建一个安全、美好的网络家园。
网络空间并非孤立存在,它与现实空间紧密相联,也因此,现实空间的大国博弈、地缘政治、冷战思维、零和思想也延伸至网络空间,为围绕网络安全问题的国际合作以及全球治理体系的构建增添了诸多复杂因素。在思考网络大国关系时,应充分考虑“虚拟空间”与“实体空间”的互动关系,将网络问题与政治、军事、经济等要素一同放入双边关系的大局中运筹谋划。
我们也注意到,网络安全领域作为一个新的国际议程所特有的复杂性给政府间的合作带来了很大的困难和挑战。首当其冲的是各国如何认知自己在网络安全领域的利益,这直接影响到各国是采取合作还是自助的方式来维护自身的网络空间安全和稳定。此外,网络安全跨领域、跨部门的特点增加了政府在应对战略性议题时所面临的挑战,国家内部不同部门之间的统筹协调以及如何对外进行沟通交流,都需要建立一套新的程序和机制。这都给国际社会在维护网络空间稳定上的合作带来困难和挑战。
维护网络空间战略稳定可以借鉴国际社会在传统政治、安全和经济领域的成功经验和做法。同时,还应当鼓励大国首先承担维护网络空间战略稳定的责任,在应对网络武器扩散、打击网络恐怖主义等领域加强合作,为维护网络空间战略稳定带好头。
(作者虞爽 为中国国际战略学会学术部主任)
新疆域,重在共治
网络空间是人类创造的新疆域和新空间。当前,缺乏基本秩序和规则,国际安全难以得到保障是各国面临的共同难题。近年来,国际社会逐步投入大量资源开展网络空间全球治理,试图建立网络空间秩序,维护网络空间和平与发展。但是由于各方分歧众多,治理资源分散,导致治理工作收效甚微。
建立网络空间中负责任的国家行为规范一直是联合国信息安全政府专家组的目标之一。这些规范强调,在一个缺乏秩序和国际法的网络空间中,国家应当做什么和不应当做什么,类似行为指南。
网络空间的复杂性和动态性,客观上决定了各国之间很难就顶层设计达成一致。因此,重视网络空间中规范作用是当务之急,发挥规范的“软法”作用,更有利于各国在实际操作层面达成一致。
首先,规范的产生。联合国多年来一直致力于网络空间规范的产生。无论是2002年召开的“信息社会世界峰会”,还是2004年建立的“信息安全政府专家组”,都已经制定和产生了一系列规范。但这些规范在数量上和质量上,与国际社会维护网络空间安全与和平的需求相比,还存在很明显的差距。未来,各国应共同推动联合国在这一领域进一步加大规范的制定和供给,以便于更好维护网络空间战略稳定。
其次,规范的传播。目前来看,联合国制定的规范传播的效果并不理想。主要是由于网络空间治理领域存在的很多所谓“网络自治”“网络公域”和“网络自由”等不同理念的干扰,背后反映出不能应对快速演进的网络空间治理议题的认知缺陷。联合国等国际组织不仅要制定规范,还要加强对规范的解释和传播,才能取得应有的影响力。
最后,规范的内化和国际规则。规范的广泛传播会引导各国参照规范的要求制定国内政策,最终可以促进各国在网络空间制定相应的有约束力的国际规则。