文 | 《中国信息安全》杂志社 桂畅旎;中国信息安全测评中心 刘星
2023 年,全球性网络攻击事件频发,新技术新应用成果不断涌现,国际地缘冲突泛化至网络空间,这一系列因素使得各国网络安全战略呈现出集体转型的趋势。网络空间安全化加剧、对抗性增加、技术性强化和协同性升级等特点更加凸显,这种严峻的国际网络形势使我国面临的网络空间外部环境更加复杂。与此同时,我国主动作为,深化体制改革、强化国际合作,在推动构建网络空间命运共同体上迈出坚实步伐。
一、2023 年网络空间基本形势
2023 年网络空间形势主要受重大网络安全事件、新技术新应用发展以及地缘冲突的综合影响,呈现出以下特点:
(一)网络安全形势严峻,重大网络攻击事件频发
勒索攻击高位增长。2023 年,勒索软件攻击的复杂性和敏捷性快速提高。根据德国“statista”网站统计显示,全球高达 72% 的企业成为攻击受害者,其中包括英国“皇家邮政”和美国波音等企业。以 LockBit 为首的勒索组织通过“勒索软件即服务”(RaaS),将恶意软件售卖给其他黑客组织,形成攻击产业链,并不断衍生出新变种,导致恶意软件泛滥。勒索攻击形式也逐渐从有组织高烈度转向无序化低烈度,涉及的行业领域更多、破坏性更严重、赎金支付现象更为普遍。各国正在加大对网络勒索的打击力度,并更新勒索软件预防的最佳实践等措施。
数据泄露成本创新高。随着网络攻击日益猖獗,大规模数据泄露的风险愈发突出。攻击者利用信息系统基础设施中的软硬件等安全漏洞或配置缺陷,对系统进行远程入侵、未授权访问、查看和下载数据,导致大量敏感数据泄露,对个人隐私和商业秘密构成严重威胁。2023 年 5 月以来,文件传输服务 MOVEit 遭受黑客攻击,波及了约 2620 家企业用户和 7720 万人,包括电力企业施耐德、能源巨头西门子、金融行业虚拟数据室服务商 Datasite 等多家企业数据泄露。据 IBM 报告显示,2023年全球数据泄露的平均成本达到 445 万美元,比过去 3 年增长了 15%,创下历史新高。
供应链攻击风险更为突出。复杂的 IT 生态系统使得供应链安全面临较大风险,特别是因开源软件漏洞造成的供应链攻击的频率和成熟度在不断提高。安全评估公司 Verocode 研究结果表明,在开源组件仓库中有 70.5% 的代码库存在安全漏洞,其中 46.6% 是由其他开源项目直接或间接引进所导致的;超过 96% 的产业机构在其开发实现的软件应用代码库中使用开源组件。2023 年,开源文件共享软件 ownCloud、Sierra Wireless 公司的 OT/IoT 路由器等均发现了严重漏洞,影响波及全球。
(二)人工智能技术发展成果涌现,催生新型网络安全威胁
2022 年底出现的 ChatGPT 向全世界生动地展示了生成式人工智能的潜力和风险,该技术在 2023 年持续发展,在变革与重构普遍意义上的人机交互的同时,也催生出新型网络安全威胁。
全民化的生成式人工智能时代“未来已来”。生成式人工智能的使用门槛不断降低,特别是随着“云”和“开源”的融合将进一步推动生成式人工智能应用的普及。据 Gartner 预测,到 2026 年,超过 80% 的企业将使用生成式人工智能的应用程序编程接口(API)或模型,或在生产环境中部署支持生成式人工智能的应用。通用性生成式人工智能一方面赋能中小企业甚至是个人,在一定程度上打破传统由政府和大型科技巨头垄断的生产资源;另一方面也给现有的生产关系甚至是社会秩序带来了冲击。
人工智能安全可信发展“何去何从”?OpenAI 首席执行官萨姆·奥尔特曼被董事会驱逐的闹剧或许只是人工智能发展前景分歧的一个缩影。人工智能的发展是否会不受控制地危害人类社会,成为伴随该技术发展的最大质疑。当前,生成式人工智能带来的虚假信息传播、意识形态干扰、数据安全问题以及运用于军事领域的隐忧已经开始显现,甚至上升到对人类存续的影响,围绕人工智能安全可信的发展在全世界引发了争论。
(三)地缘冲突与网络对抗交织成新常态,加剧网络空间攻防复杂性
2023 年,俄乌冲突引发的网络攻击仍然十分活跃,支持双方的黑客组织不断调整战术,寻找新的攻击目标,尤其是针对政府机构和私营部门供应链的复杂攻击数量激增。此外,巴以冲突再次点燃了全球黑客组织“选边站队”的热情。根据网络威胁情报平台 FalconFeeds.io 的监测,全球近 60 支黑客组织参与了围绕巴以冲突的攻击活动。虽然其中一些组织表现出较强的能力和丰富的经验,但多数组织的行动方式尚不成熟,其中多个参战组织还曾参与过俄乌冲突,如 KillNet 和“苏丹匿名者”等。
地缘政治引发的低烈度网络攻击呈现出泛化的趋势。黑客活动分子、网络安全专业人员、“白帽”“黑帽”和“爱国”黑客等民间黑客组织参战,加剧现实复杂形势。值得注意的是,此类攻击正在从传统的网络战演变成为了舆论战、信息战和认知战混合交织的状态。各方黑客组织通过社交媒体发布信息,形成有利于己方的叙事,通过“博眼球”“造声势”以实现搅局的意图非常明显。
地缘政治所引发的黑客攻击乱象以及潜在的威胁已引发国际社会关注。红十字国际委员会相关负责人撰文《战争期间“平民黑客”的 8 条规则以及各国约束其的 4 项义务》,首次提出了战争期间平民黑客交战规则。尽管如此,网络攻击溯源难、违规者定位难以及惩罚难等问题,严重制约了国际法及人道主义运用于网络冲突,多个黑客组织已明确拒绝签署。
二、全球网络安全战略调整动向
美欧等国家和地区在 2023 年密集发布国家级战略政策文件,网络安全保障模式出现明显转型,人工智能技术发展下的网络治理也出现“道路之争”。
(一)“韧性”取代“威慑”成为网络防御核心理念
基于对于重大网络安全事件的经验总结,各网络强国对于网络防御的认知逐渐从威慑思想转向了韧性理念。区别于传统威慑理念认为网络行动是可以被拒止发生的,韧性理念则坚持网络冲突无法避免,确保关键数据和服务在攻击中稳定运行才是关键。
拜登政府上台后明显“降格”网络威慑理念的地位,其中,2023 年 3 月发布的《国家网络安全战略》就是这种理念转变的集中体现。该战略全文未提及“威慑”一词,而是将“韧性”作为基础支柱,并明确提出了一系列具体举措,包括保护互联网的技术基础,重振联邦网络安全研发,支持发展数字身份生态系统,建立物联网安全标签等。有美国战略专家感叹,“网络空间的威慑政策已经失败”。欧盟已经生效的《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS 2 指令)要求各成员国必须采取网络安全风险管理措施;以及即将生效的《网络韧性法案》要求所有在欧盟市场上销售的可联网数字化设备和软件满足最低网络安全标准,均是贯彻实施韧性建设的具体体现。澳大利亚政府发布的《2023 年关键基础设施韧性战略》还提供了一个指导澳大利亚加强关键基础设施韧性的全国性框架。由此可见,以构建韧性为核心的防御新理念正在成为国际趋势。
(二)“行动塑造”逻辑下网络行动呈常态化
在现实地缘冲突的刺激下,个别国家和组织借势推动网络行动正当化和常态化,网络空间军事化已成为突出的现实问题。
“行动塑造”逻辑显现。“行动塑造”成为美国网络行动的主旨。美国《国家网络安全战略》设立专章讨论进攻性网络行动,要求整合现有打击行动,加强公私协作,提高打击速度、规模和加强情报共享等,以瓦解威胁行为者。这是美国首次在国家网络民事战略中公开讨论进攻性网络行动细节。此外,美国《国防部网络战略》也明确要求与美国对手“持续接触”,以实现信息和军事优势。与此同时,美国还与澳大利亚等盟友进行联合网络军演,这些演习旨在提高网络战能力,展示美西方国家在网络领域行动的实力和决心。
网络帮扶别有用心。美西方国家借俄乌、巴以冲突升级国内网络武器,修改防御性政策的同时,还以网络帮扶为由加大网络军事力量的输出。此外,美国网络部队在 2023 年持续推进在阿尔巴尼亚、立陶宛、拉脱维亚等地的“前出狩猎”任务。这项始于 2018 年的行动已经在 20 余个国家执行近 50 项不同的任务,这些任务使得美国有充分的理由介入其他国家内部网络,增强己方态势感知能力。
网络集体行动蓄势待发。近年来,北约在网络行动上动作频频,意图将构建网络集体行动能力作为转型关键。2023 年 7 月,北约维尔纽斯峰会通过了《网络防御承诺》文件,明确北约将借鉴美国“持续接触”的理念,采取更为积极的网络行动,及时响应网络事件。同时,北约成功吸纳乌克兰加入其合作网络防御卓越中心,并邀请日韩参与年度“网络联盟”演习,加快了打造统一网络作战体系的步伐。
(三)网络空间公私协同现新动向
如何处理好政府与私营企业的关系成为各国网络治理的重要内容。政府一方面需要私营企业的信息共享与技术支持;同时还需要私营企业在网络安全保障中承担起责任,履行义务,确保网络空间的安全与稳定。这两种趋势在 2023 年齐头并进,共同塑造形成网络空间公私合作的新典范。
积极构建“集体网络韧性”。在俄乌冲突中,众多西方科技企业通过向乌克兰提供硬件、软件及网络安全服务,展现出强大的技术实力和创新能力。这种公私合作模式在美等国家被视为能否赢得战争的关键,并在制度化合作方面迈出了实质性步伐,例如扩大美国网络司令部私营部门合作伙伴项目“咨询建议(Under Advisement)”等。在此基础上,美西方更是从乌克兰经验中吸取教训,将建立强大的集体网络韧性作为主要目标,加强政府、私营企业、工业界和民间社会参与者等在内的伙伴关系力量,确保在冲突中继续提供重要服务。
安全保障“责任共担”。在国内网络安全保障中,美等国家开始改变公私分明的网络安全保障模式,将压实企业责任作为改革的重点。拜登政府在《国家网络安全战略》中提出了“转变网络空间社会契约”的理论,其核心观点在于改变美国网络安全保障责任与资源分配不平衡的问题,敦促大型科技企业等资源充足者承担更多的责任,并明确要求制定建立软件产品和服务责任的立法,这对于一向推崇公私分明的美国来说是一个重大的变化。欧盟《网络韧性法案》规定制造商必须满足包括设计、开发和生产在内的安全要求;英政府大力推行的《在线安全法案》要求网络平台在预防和迅速删除恐怖主义等非法内容方面应承担法律责任,均是实行安全保障“责任共担”的体现。
(四)国际规制阵营化问题更为凸显
在拜登政府强化盟友合作的理念转变下,美国政府重新在国际治理场域中活跃,特别是在美国务院负责网络空间和数字政策的无任所大使纳撒尼尔·菲克的全球游说下,美国积极组织国际规则谈判、签署双多边国际网络合作协定等,强化国际网络协作。在此背景下,国际网络规制阵营化问题更为凸显。
网络治理“小圈子”合作盛行。在勒索攻击、虚假信息问题日益全球化的同时,美西方国家持续推行以意识形态为引领的“小圈子”式的治理模式,割裂全球网络治理图景。在 2023 年举办的第三届国际反勒索倡议峰会中,美国持续吸纳包括阿尔巴尼亚、哥伦比亚、埃及、希腊等国,强化信息共享、能力帮扶、集体反制等举措,同时将以西方意识形态为基础的“网络空间负责任国家行为框架”作为倡议合作基础,排除中俄等国参与。此外,美欧间停滞三年之久的跨境数据流动也在 2023 年得到恢复,美英“数据桥”也成功搭建。在此基础上,美国积极推动亚太经济合作组织(APEC)的跨境隐私规则(CBPR),并将此内化到更多国家的国内数据标准构建,拉拢更多国家签署便利执法数据传输的“云法案”。这些举措均旨在完善美国引领的跨境数据传输规制圈。
网络情报合作逐渐成型。拜登政府正在推动与盟友从规则协同到信息共享等方面的深入合作。为落实美欧于 2022 年达成的“深化网络安全合作并加强网络安全威胁情报交流”的共识,美欧加强在信息共享、态势感知与网络危机响应等方面的联动。同时,美将四方安全对话(QUAD)作为布局印太的重要抓手,以日本为核心加快打造印太网络情报合作网。
(五)人工智能治理成为重中之重
人工智能重塑了网络时代生产力和生产资料的作用方式,成为当前数字地缘政治的核心议题,在一定程度上呈现出“谁把握好人工智能,谁就掌握了网络时代发展关键”的逻辑趋势。2023 年,各网络强国加快布局人工智能发展路径,管控安全风险,在机制建设、能力储备以及国际合作上持续加码。
战略布局争夺人工智能发展“领先优势”。当前各国都在努力追赶新一轮人工智能的发展浪潮,积极通过政策扶持、增加投资,推进人工智能赋能国家发展,以实现国家竞争力的转化。美国为争夺人工智能发展“领先优势”,在 2023 年陆续出台了《人工智能研究和发展国家战略计划》《关键和新兴技术国家标准战略》等政策,加大对人工智能的投资。为了最大限度借助人工智能技术赋能解决各部门事务,美国白宫总统科技顾问委员会、国土安全部、商务部、国防部等部门纷纷成立了人工智能工作组。英国和欧盟也成立了相应的人工智能专门机构,积极推动人工智能技术的发展和应用。
各国针对人工智能的监管呈现出不同的范式。美国在人工智能治理上采取了“政府监管与企业自律”相结合的方式。一方面,拜登政府签署《关于安全、可靠和可信地开发和使用的人工智能的行政命令》,强制企业与政府分享人工智能测试信息;另一方面,美国也为企业提供了自愿监管安全风险的余地,联合亚马逊、谷歌、微软和 OpenAI 等企业发表自我监管声明,包括开展第三方安全测试,对偏见及隐私问题进行研究,向政府和其他机构共享风险信息等。欧盟则采取了基于风险的监管模式,在 12 月通过的《人工智能法案》中开启人工智能分类管理。该法案根据人工智能工具带来的风险水平实施相应的监管,对风险最高的人工智能系统施加最严格的限制,违规者将被处以相当于其全球销售额 7%的罚款。英国政府《创新型人工智能监管》、澳大利亚《安全和负责任的人工智能讨论文件》等政策,通过对人工智能技术设置“护栏”,意图影响该技术的发展路径。
各国对于人工智能的规制在一定程度上导致全球监管格局分散且混乱。因此,加强对人工智能治理问题的共同关注,科学理解、建立共识显得尤为重要。许多国家通过举办国际会议,发布国际倡议,提出人工智能治理原则等。例如,英国举办了首届全球人工智能安全峰会,并与 28 个国家联合签署发布了《布莱奇利宣言》,这是一次探索合作的有益尝试。此外,一些学者建言仿效国际原子能机构的做法,建立一个专门处理人工智能事务的国际性机构。然而,由于地缘政治的不信任和经济竞争等因素的限制,这一目标仍然困难重重。
三、我国面临的挑战与应对
在“去风险”成为当前主导西方对华关系的共识下,美欧积极将这一概念运用于网络空间,由此衍生出两方面行动逻辑:一方面是在基础设施中排除来自中国的技术组件,以降低所谓供应链的脆弱程度;另一方面是推行“负责任的网络空间行为准则”,以西方意识形态作为网络空间“建章立制”的基础,给我国带来严峻的网络空间外部挑战和风险。
首先,“西方话语”投射进网络空间,我国被塑造为网络空间“异者”。美国《国家网络安全战略》《国防部网络战略》和《国家情报战略》明确以我国为主要对手布局网络空间的重点和方向,联合盟友围绕遏华目标排兵布阵,包括推动网络攻击归因政治化,频繁采用“点名羞辱”策略,联合企业发布网络安全报告,以主观臆断的证据指责我国实施所谓网络攻击,在国际上塑造对我国不利的舆论。
其次,美西方加快推进“重构供应链”布局,我国关键技术“脱钩”风险加大。拜登政府加强对华投资审查、出口管制,包括成立“颠覆性技术打击小组”,签订对华科技投资禁令,严格审查美对华投资半导体、量子计算和人工智能等项目,以切断我国在关键技术上的供应链。同时,美国还胁迫拉拢其他国家对中国实施半导体打压围堵,鼓动荷兰将部分光刻机等半导体相关产品纳入出口管制,推动产业脱钩断链。
最后,美国加快构建遏华网络安全合作,我国网络安全保障承压加重。美国将我国周边地区的印度、日本、新加坡等国视为重要合作对象,通过签署网络安全合作协议,加强对我国的网络威胁信息的收集和技术供应链发展的打压。此外,美国还将打击虚假信息作为抹黑造谣我国的新抓手,并以此加强与日本、韩国的合作,在戴维营三边峰会期间就寻找协调共同努力打击虚假信息的方法达成一致,加强遏华协同。
在复杂的网络安全形势下,我国始终以开放包容、互利共赢的大国姿态,持续在构建网络空间人类命运共同体上发力。一是共商技术安全问题。当前,以人工智能为代表的新型颠覆性技术快速发展。我国充分发挥大国责任担当精神,提出了《全球人工智能治理倡议》,号召各国坚持相互尊重、平等互利的原则发展人工智能,鼓励全球共同推动人工智能健康发展,共享人工智能知识成果,开源人工智能技术,为全球人工智能治理提出“中国方案”。同时,我国积极寻求与美欧等在人工智能领域的合作,展现大国姿态。二是共建数字基础设施。在第三届“一带一路”国际合作高峰论坛数字经济高级别论坛上,我国发布了《“一带一路”数字经济国际合作北京倡议》,持续深化与共建国家在数字基础设施建设、数字技术创新、产业数字化转型等领域的合作,为共建国家衔接发展战略、加强政策协同、推动企业间的务实合作搭建了平台。三是深化数字议题国际共识。依托双边和多边合作机制,我国加强开展网络空间交流合作,主动参与多边机制和国际组织的数字议题谈判,积极推进加入《数字经济伙伴关系协定》(DEPA),在世界贸易组织、《区域全面经济伙伴关系协定》(RCEP)等框架下推动数字经济治理规则构建,不断拓展网络空间国际合作的广度和深度。
(本文刊登于《中国信息安全》杂志2023年第12期)