网络安全治理:不能要求每个人都是“武林高手”
2016年,权威安全漏洞统计和披露平台CVE公告各种安全漏洞9999个,敲诈者病毒疯狂肆虐,美国网络也一度沦陷,雅虎用户数据被盗。普通网民人人自危,深感无助。
网络安全无疑是一个高度专业的领域,但目前被搞到了“全民皆兵”的境地。用户上网必须“全副武装”,部署各种防火墙、防病毒软件,仍然惴惴不安,不时要面对各种险情,打开一个邮件、点开一个网页都可能是一次历险,即便什么都不做也难保不会被攻击和入侵。
另一方面,各行各业的信息化工作也深受网络安全困扰,不仅是面对安全侵害风险的困扰,因为被侵害而被问责的压力甚至更大,信息化服务正成为新的高风险行业,尽管很多从业人员还尚未意识到这一情况。根据网络安全法和网络安全等级保护要求,公共信息服务系统必须定级和部署定级,否则将可能面临问责。在一些需要进行“重点安全保障”的特殊时期,有些单位为了减压,干脆关闭对外网络和信息服务,这就如敌人还没有开打,我们就主动缴械投降了。“为了避免被拒绝服务攻击,我们自己主动拒绝服务了”成为年度冷笑话,这种明哲保身、推卸责任的做法实在荒唐。
网络安全的重要性毋庸置疑,加强网络安全管理无可非议。但是,如果把安全保障的重心放在向广大非安全专业的机构和网民提出大量专业性要求,而在打击网络安全攻击和犯罪方面消极被动,不能不说是网络安全治理的重大失误。我们在网络安全上的投入和负担不断增加,却越来越缺乏安全感,其根本原因之一就是治理方向出现了问题。维护网络安全,不能寄望于平民百姓对抗专业匪徒,安全管理机构应成为保护伞而不是裁判员。国家有义务建立公共网络安全基础设施和保障体制,国家间需要建立打击网络安全犯罪的协同机制,主动和高效打击网络犯罪,给网民提供一个安居乐业的网络环境,而不是让网民在盗匪横行的网络空间奢望自保。
在线下世界,绝大多数人并非武林高手,没有防弹衣和装甲车,但我们感觉安全,这份安全感是来自国家对违法犯罪的震慑,国家安全保障的主要方向是打击犯罪,而不是处置和限制受害者。
安全攻击行为是互联网社会性的显著标志之一。互联网绝不仅是一个由计算机连结起来的简单组合体。每一台计算机都在贯彻人类的意志,互联网是人类社会在数字空间的投影。互联网上的行为因此异常复杂,难以捉摸。安全攻击行为具有主动性和多变性。当全世界网民为自己的网络安全谋划时,全世界的黑客也在更加刻苦地钻研网络攻击的新途径。由于网络安全攻击的方法和技术与互联网技术的发展保持同步甚至有所超前,因此很难指望通过纯粹技术手段杜绝攻击。因此在安全防范中,以人为本的安全管理是第一要素,即人与人之间的角逐是胜负的关键,这种自冷兵器时代沿袭而来的对抗法则,在数字化时代仍然无法规避。
迄今为止,在安全对抗中黑客阵营占据上风,我们总在遭受攻击之后被动地防护,而后茫然地等待下一次攻击的到来。黑客们取得“骄人战绩”,并非绝对依赖高明的技术手段,也出于对网络使用者行为的悉心推测。人们采用的仍然是以“堵”为主的安全防护战略,即无论大型集团用户还是个人用户,都竭尽所能,“全副武装”。即便如此,新的安全漏洞仍然不断被发现,新的攻击方法也不断涌现。通过分析近来日益猖獗的DoS攻击,我们不难发现,人们目前几乎无法实现“绝对安全”,更不能杜绝“百密一疏”。
反观现实社会的安全保障体系,不难发现,人们的安全感并非来自自身拥有的强大防护能力,而是由于威慑犯罪的公共安全体系和完备的司法体系。不必付出代价或较少付出代价,正是网络犯罪难以遏制的根源。
既然一味被动封堵不能治水,更不能成就网络空间安全,在网络空间公共安全保障方面,必须彻底扭转被动姿态,建立主动的“威慑安全体系”:
第一,严惩网络犯罪,通过增加犯罪成本和代价,加大威慑,让绝大多数人不敢越雷池一步。网络空间虽然是虚拟世界,但责任主体明确,网络犯罪并非不可追究。
第二,国家有义务建立公共网络安全基础设施和保障体制,为绝大多数用户提供低成本的有限安全,而不是要求他们全副武装。只有针对特定对象,在需要不惜代价保障安全的情况下,才需要追求严防死守和全副武装的“绝对安全”。在应对网络安全侵害方面,个体力量无论多强,总是弱的,社会力量无论多弱,总是强的。因此,相对于目前草木皆兵的被动防御现状,建设、发展具有威慑力的主动公共安全保障体系,才是网络空间公共安全的正确方向。
(作者为清华大学网络科学与网络空间研究院教授 王继龙)