国家出台网络安全审查制度的战略思考

2015 年 4 月 14 日2270

编者按:从维护国家网络空间主权、安全和发展利益的国内国际两个大局来看,一方面,必须颁布深化细化相关条例,规范实现战略目标的基本路径,进一步将网络强国战略落到实处,逐步实现国家网络空间治理体系和治理能力现代化。另一方面,必须直面网络空间战略博弈的激烈态势,进一步完善相关法律制度,形成与博弈对手“对路出招”的战略对等地位。这是国家网络安全审查制度必须承担的历史使命和现实任务。

随着网络时代的到来,网络安全成为国家安全的重要组成部分,“没有网络安全就没有国家安全”已经成为战略共识。随着十一届三中全会提出国家治理体系和治理能力现代化的总目标,三中全会倡导“依法治国”,国家网络空间法制化的战略格局已经打开。这种情况下,正如中央网信办发言人姜军指出:过去,中国的网络安全实际上像一个没有设置屏障的房间,缺少充分的、整体的设计。我们有很多地方就像汽车上了高速公路才发现装了油门没装刹车一样,很多安全设施没有配备。现在我们采取的实际上是一个补救措施。凡是涉及国家安全和公共利益的信息系统,其中使用的信息技术产品和服务,我们都要进行安全审查。网络安全审查制度的出台,将为维护国家网络安全提供最有效的法理依据。也就是说,中国推出网络安全审查制度,是国家网络空间治理体系顶层设计逐渐完善的重要标志,是实现三中全会改革开放总目标的重要举措,是落实网络强国战略,体现“国家总体安全观”的具体方法。

一、从人类社会生存和发展的视角认识网络安全审查制度

人类社会自诞生以来,就随之而来两种斗争。一种是人与大自然的抗争,逐渐从“适应自然”、“征服自然”走向“和谐自然”。另一种是人与人的斗争。个人、利益集团、国家以及国家联盟成为斗争的主体。而且这种斗争远远比人与自然的斗争更加激烈。但人类社会依然能够持续进步,其根本在于善于在斗争中寻找自然规则,善于在博弈中制定行为准则。目前,随着网络时代的来临,在网络这个全新的生存空间和作战领域,人类社会又面临一次规则缺乏期。

(一)网络时代标志着人类社会进入一个前所未有的新阶段

在人类社会的初期阶段,为了简单的生存目的聚集在一起,并逐渐由群居、氏族发展为部落、国家,甚至国家联盟。经历了因温饱的争夺、因贪婪的杀戮、因利益的掠夺,甚至爆发了第一、二次世界大战这样大规模的屠杀。但在这个过程中,人类社会的基本规则逐渐完善,从道德层面和法制层面形成了社会约束。尤其是随着核武器的出现,人类社会的激烈冲突达到了一种大体上的对等制衡态势,相互可毁灭的核威慑使大国走向合作的轨道。但依然存在倚强凌弱的厮杀、血腥恐怖的报复、暴力至上的侵略。随着互联网技术的迅速发展,社会网络化程度日益加深,网络空间成为人类现实社会的全系映射,以网络为载体的信息和信息控制机制成为现代社会赖以正常运行,经济社会持续发展,信息社会丰富多彩的承载体。虚实结合、浩瀚飘渺的网络空间成为全新的生存空间和作战领域。网络空间已经成为维护国家主权、安全和发展利益的新高地。网络空间也成为犯罪的乐园、恐怖的温床、霸权的捷道。同时,由于网络空间的开放性、匿名信,以及非对称性等一系列虚实结合的特性,能够给弱小以力量,给偏僻以机会,给强暴以忌惮,网络空间在给人类社会带来生活生产方式巨变的同时,翻天覆地地改变了信息传播流程了力量动员模式,催生了联合、融合、化合的网络文化,人类社会进入一个崭新的历史阶段。

(二)人类社会的发展史就是一部不断规范自身行为的历史

“人之初、性本善,性相近、习相远”。事实上,“网之初、性本无”,只是由于社交网络等各种人类生活生产活动的开展,人类社会的善恶美丑都映射于网络空间。但从不断发展进步的视角审视网络空间,人类社会就更有自信,进行网络空间行为的规范。而这种规范,同样是为了人类社会共同生活的需求,在社会互动过程中衍生出来的,相习成风,约定俗成,或者由人们共同制定并明确施行。其本质是对社会关系的反映,也是社会关系在网络空间的具体化。

从这个意义上,网络安全审查制度显然是人类社会进步的具体表现,也是建立网络行为诚信的重要方法。但同时也是防范网络空间新型国家安全风险的重要手段。但由于网络空间领域新、技术专,自然存在大量的规则空白。这恰如混沌初开,也必将走出从没有规则到不断完善的过程。只不过,起点要高得多。这种高起点,体现在三个方面。其一,人类社会长期积淀的文明依然在网络空间延续。其二,世界各国拟定的法规制度依然向网络空间延续。其三,实现世界的结盟也向网络空间延伸。

但在这种进步的高起点上,我们还必须看到另一种巨大的隐患。这就是互联网缔造者和网络战始作俑者美国的霸权做法。由于其掌握了网络技术和资源优势,在网络规则的制定上处于明显的优势地位,对网络规则产生、实施产生了最大的影响。而且“棱镜门”以及“震网”病毒等一系列事件说明,网络强国美国正在推行霸权的网络空间规则。这或将成为人类社会网络进步中最大的不利因素。

(三)自由与监管、霸权与民主、战争与和平在网络空间风雷激荡

美国作为当前世界上唯一的网络强国,早在2009年就宣布成立网络空间司令部,2010年对伊朗核设施发动了“震网”病毒攻击,2011年率先宣布网络空间国际战略和行动战略,2013年支持推出了企图作为世界网络战争法典的《塔林手册》,2014年则直接推出了《网络空间联合作战条令》,展开了网络霸权的攻势行动。正是由于美国的不良示范效应,催动网络空间与实行社会交流激荡。从这个视角出发,我们可以看到当前网络空间的“三对”主要矛盾,也就是“自由与监管、霸权与民主、战争与和平”之间的矛盾。美国一边鼓吹网络自由,一边监控全球;一边高喊民主,一边独霸网络管理权限;一边大幅扩编网军,一边渲染他国网络威胁。美国事实上已经成为人类社会网络空间最大的威胁。尤其需要重视的是,网络空间的风雷激荡已经没有传统斗争的楚河汉界,对抗与博弈的前后方,内外部已经发生了颠覆性的变化。在某种程度上,内部比外部更严峻,内部比外部更激烈。美国已经在网络空间开辟了一条“离岸制衡”的新渠道。

二、中国出台网络安全审查制度刻不容缓

我们曾经警示,作为世界第二大经济体的中国,已经赤裸裸地站在美国思科等“八大金刚”面前。美国小伙斯诺登披露的“棱镜门”进一步证明了美国对全球网络空间控制之深,远远超过在其在实体空间的控制能力。中国网络空间不仅仅是边防告急,而且已经是后院起火了,中国建立网络安全审查制度,是应对这种态势的有效方法,必须成为提升国家网络安全整体能力的优先事项。

(一)网络安全审查制度是国家治理体系和治理能力现代化的基本要求

网络时代,国家改革开放程度前所未有,国家安全面临的威胁复杂程度前所未有,网络空间和实体空间交融激荡的激烈程度前所未有。中国要实现国家治理体系和治理能力现代化的总要求,就必须综合施策、虚实联动,全面提升网络安全和信息化领导工作的能力水平,全面提升网络经济发展的动力和活力,全面提升网络文化凝聚的正能量,全面提升网络空间防卫能力,最终实现成为世界一流网络强国的目标。目前正在进行“打铁还需自身硬”的改革开放,落实到网络空间,其中一项重要的任务就是不断提升网络安全的审查能力,对安全隐患查得清、看得到,才能控得了。这对全面提升国家网络空间治理体系和治理能力现代化具有重要意义。

(二)网络安全审查制度是应对网络安全风险的必须手段

我国网络安全审查制度将针对重要信息技术产品及提供者,重点审查产品的安全性和可控性,以防产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。显然,这种强制性的网络安全审查制度对防范网络安全风险具有重大意义。这也是世界上应对网络安全风险的通用方法。尤其是美国网络安全审查,不仅包含产品安全性能指标,还有产品的研发过程、程序、步骤、方法、产品的交付方法等。美国网络安全审查主要考虑对国家安全、司法和公共利益的潜在影响,不公开标准和过程,不披露原因和理由,不接受供应方申诉,且无明确时间限制。我们制定网络安全审查制度,必须综合考虑,采取一种最适合我国现实情况,能够产生最大效果的模式。

(三)网络安全审查制度是参与全球网络治理体系建设的现实需要

习总书记在出访拉美国家时指出,互联网发展对国家主权、安全、发展利益提出了新的挑战,每一个国家在信息领域的主权权益都不应受到侵犯。国际社会要本着相互尊重和相互信任的原则,通过积极有效的国际合作,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。事实上,要实现这个目的,在美国已经具备技术和管理资源优势的情况下,将是一个长期博弈的过程。在这个博弈的过程中,美国已经实际上将网络安全审查制度作为大国博弈的重要手段。在这种情况下,我国网络安全审查制度的出台,自然而然地成为一种国际博弈的重要手段。除此之外,中国要真正在全球网络治理中发挥重要作用,就必须探索一套行之有效,可以被世界普遍接受的网络安全审查制度。因此,此次推出审查制度,必须将参与全球网络治理作为重要目的之一。

三、凸显网络安全审查制度战略效应的几点思考

网络安全审查制度的建立,是一件维护国家主权、安全和发展利益的战略行为,一定要体现其战略效应。网络安全审查制度真正成为国家安全的门槛,产业成长的屏障。

(一)树立国家网络安全审查制度的诚信价值体系

按照网络安全审查的基本程序,可以分为事前审查、事中监测和事后惩处三个部分。综合考虑到审查成本和技术能力等各方面问题,应在国家网络安全审查制度执行中树立诚信的价值理念。也就是被审查主体必须做出安全承诺,并建立安全诚信的奖惩制度。特别是对于恶意或有意进行有损国家网络安全的行为,必须做出严厉的惩处,使其得不偿失,甚至完全失去中国市场,从而形成强大的威慑力。与此同时,应结合诚信奖励办法,充分体现安全诚信的价值。

(二)形成国家网络安全审查制度的能力导向观念

没有网络安全就没有国家安全。而没有网络安全能力,则一切无从谈起。我们要看到“八大金刚”对我核心信息枢纽网络如入无人之境,很重要的一个原因是我们是从引进发展起来的,正在经历从落后走向了先进的必须历程。因此,要从国家网络空间安全与发展顶层设计的角度设计网络安全审查制度,坚持能力导向的观念。我们落后的还需要引进,关键是查清威胁,做好控制。我们具备能力的就需要坚决替代,做到自主可控。但如果盲目地排外,就有可能在网络安全和信息化“一体之两翼、双轮之驱动”中,形成更大的不平衡,造成更大的安全隐患。当然,科技创新始终是提升能力的根本,这也应是国家网络安全审查制度需要综合考虑的方向。

(三)布局国家网络安全审查制度出台后的可控安全态势

我国出台国家网络安全审查制度的目的,是有效降低网络安全风险。但这显然不是唯一的办法。要从根本上提高国家网络安全能力,就需要进行大的战略布局,以全球视野,开放姿态,勇于、善于走出一条凝聚智慧请进来,运筹帷幄走出去的开放自信道路。因此,安全审查制度的出台,不仅要考虑具体安全漏洞、具体安全产品的检测审查,而是要延伸到整个安全产业链,形成全生命周期的可控态势,将可见的安全风险查清楚,将不可见的安全风险控起来。在此基础上,要形成有利于自主可控创新的激励政策,鼓励在全球产业链中获得合理定位,最终形成你中有我,我中有你,对等制衡,合作安全的态势。

(四)设计国家网络安全审查制度的“加法”和“减法”

国家网络安全制度的整体筹划和具体细节必须与目前已有的信息安全测评、认证制度结合起来,形成一个有机统一的整体,有利于创新企业在公平市场竞争中成长壮大。这正如李克强总理强调,“决不能让企业被各种不合理的制度规定捆住手脚,走不动,行不远,甚至关门停业。政府要加快取消不必要前置审批和资质资格认证等,下决心打掉前进路上一个个“障碍栏”,使企业经营更加便利。”因此,在整体布局中,关键的是做好网络安全审查的“加法”和“减法”。所谓“加法”,就是着眼国家总体安全,聚焦网络安全的每一个环节,把当前相关制度的缺陷补充完善,形成一个总揽全局的制度。制度的设计尤其要兼顾战略、战术两个层次,体现战略效应和执行效果。所谓“减法”,就是在国家网络安全的总体目标下,要与企业发展的实际结合起来,在制度设计上就考虑减轻企业发展的负担,探索有利于科技创新的模式,在确保网络安全的前提下,使国家网络安全审查制度成为自主可控安全企业发展的推动力。

(五)搭建国家网络安全审查的可信平台

要进行网络安全审查,必须以前瞻性思维,考虑在国家对抗的前提下,可能存在的安全隐患。这就需要建立一个类似美国的“国家网络靶场”,将安全产品放置在网络攻防的实战环境中,既考虑单个产品可能存在的安全隐患,也考虑整个产品链条融合出现的安全危机。这个平台的建立,需要封闭和开放相结合,主要由政府相关职能部门主导测试工作,但来自科研院所和行业的第三方鉴定机构和具有先进检测分析能力的企业也可以参与。这样一种平台和相应机制的建立,是国家网络空间治理体系和治理能力现代化的重要组成部分,有利于全面提升国家网络空间综合实力。

(作者系网络空间战略论坛主编)

(来源:《中国信息安全》)

0 0