著名信息安全专家牟承晋：网络信息安全是网络强国的重中之重

舆情与信息安全智库

“十四五”规划开局第一年的春天，网络信息安全作为建设网络强国、数字中国、智慧社会重中之重的使命和任务。一、网信空间的武器化目前的一般定义，网信武器（Cyberweapon）是组合一种或多种武器化（Weaponizing）网信能力的进攻性手段（又称为Agent）。包括相关软硬件设备、材料、服务、人员，以及自主可控所需工具的交付和部署，作为网信攻击的一部分，用于军事、准军事或情报之目的。“网信武器”具备三个主要特性：1）由国家或有组织的支持和施用；2）以支持间谍活动或使用武力达到既定目的；3）针对特定目标。2020年6月19日，美国国家安全局（NSA）的网信安全局（Cybersecurity Directorate）高调宣布其研发的一款“安全DNS软件”，很能说明问题。该软件：● 用于DNS 递归（域名空间的入口）解析服务；● 强调具备“指挥与控制”（C2）的功能和作用之定位。鉴于网信安全的“武器技术”是NSA的首要任务之一，其所开发的“安全DNS软件”，显然与网信空间的“武器化”相关。在网信空间，诸多网络信息服务供应链和行为“被武器化”，没有明确和可预判的边界、国界和跨界。1、关键技术被“武器化”关键技术尤指网络通信的基础核心技术，而不仅限于应用程序和代码。我们不得不警惕，因为DNS软件核心技术在被垄断的同时，（包括美国国家安全局）持续地增加新特点和改进功能，又强调要阻止和“惩罚”不合其规的行为；而中国互联网（Internet）上绝大多数用户，目前所使用的DNS软件，几乎都是开源（即受控）的，也多为“不合规”（包括过期和废弃）的软件版本。“武器化”之所以用于形容关键技术，是因为关键基础技术既有排他性（即维护和保持优势及对应用的监控和渗透），又有制约性（即隔离和垄断以及利益攫取）。打压和遏制中国网络的崛起和自立自强，是关键基础技术被“武器化”的一种（且不是唯一的）特定表现形式。 2、数据治理被“武器化”网信空间（Cyberspace）的一般定义是：全球信息化环境由物理网络（包括地理位置）、逻辑网络（如协议、业务、数据）、网信行为（获取数据构建态势感知的一种方式）三个维度组成。网信应用实践中，数据不仅是战略资源和资产，也是国家主权的组成部分以及重要的开源情报（OSINT）。例如：● 欧盟通过保护数据的立法和执法，进而提出构建“欧洲互联网”的设想，欲藉此夺回数据主权。● 散播虚假消息成为网信空间信息战的主要形式，直接威胁国家政治安全和社会稳定。● 在网信空间的对抗中，一个至关重要的环节是“运筹安全”（OPSec），旨在对关键信息的保护、风险评估以及实施对策，以避免或缓解“后顾之忧”。 3、网信空间被“武器化”2020年9月29日，美国外交关系协会（Council on Foreign Relations）发布一份专题报告：“将数字贸易武器化 – 建立一个数字贸易区以促进线上自由以及网信安全”。报告的作者，是2011年至2015年期间，担任美国国家安全委员会网信安全政策部主任的罗伯特•科内基（Robert Knake）。1）该报告提出，为打赢对中国的数字贸易战，须建立民主国家互联网（Internet）。⑴ 数字贸易区的“民主数字供应链”路线图是：● 美国及其伙伴在目前自由贸易协议的基础上，制定数字贸易和数据本地化的路线规则，建立对所有成员国公民的隐私保护措施；● 实行成员国对非成员国数字商品的征税；● 联合制裁参与被禁活动的非成员国；● 投资改善全球网信安全；● 确保成员国之间不进行单独信号情报（SIGINT）活动，互不干扰民主程序。⑵ 对美国而言，此项计划亦有紧迫性，因为“窗口期很短”。⑶ 建议通过谈判产生一个建立共同标准和实践，并排除不愿受这些标准约束国家的数字贸易协议。2）该报告认为，互联网（Internet）的“碎片化”将分为美国、欧洲和中国三个板块，必须制定新的互联网治理方针：⑴ 美国应该改变外交政策，从推动一个全球性开放的互联网（Internet），转而保存一个连接民主国家数字经济的互联网（Internet）。⑵ 美国必须放弃，过去30年来期待信息自由流动的全球互联网（Internet）改变中国的美好愿望。⑶ 美国必须做的，是提出一个打击中国的新方案，不要继续迷恋开放的、可相互操作的、可靠的全球互联网（Internet）的游戏。3）该报告强调，美国最重要的优势是其盟友。⑴ 之所以用“武器化”这个词来形容数字贸易，是因为美国有太多还没有使用的“武器”，美国和其民主盟国有足以改变中国行为市场准入的巨大杠杆，到目前为止，美国还未使用这些工具，因此，建议数字贸易武器化以迫使中国改变其行为。⑵ 数字化时代，网信空间“武器化”不再是一个军事术语，而是“直击要害”（collateral damage）的现实。在非常规性的对抗中不仅是攻与防一体化的工具，而且是打压和封锁的手段。回避或姑息网信空间“武器化”，将不可避免地导致“被边缘化”或被“釜底抽薪”。4）扭转非对称的态势：⑴ 战略备份不应是传统性的物理复制，而应是立足于网信空间数字“武器化”的转型和创新，尤其是跨领域、跨行业、跨部门的共识与联合行动。⑵ 数据治理的优先重点是保障在对抗中的“运筹安全”，因此必须建立统一指挥与控制的体系和执行机制，以及重塑统一平台的自主大系统服务模式及可控常态管理。⑶ 重视和加强关键基础技术（包括协议及规范）的研究和开发，填补缺口、弥补差距。在尊重互联网（Internet）历史沿革的同时，避免沿袭美制的盲区、误区或陷阱。 二、将数据视为武器系统2020年9月30日，美国国防部发布《数据战略》（《Data Strategy》）提出，将国防部转变为以数据为中心的业务部门（Enterprise）；所有国防部的领导者都有责任将数据视为武器系统，并管理、保护和使用数据，以达到作战和行动效果。1、要点1）愿景（Vision）：国防部是一个以数据为中心的机构，快速和规模利用数据，发挥运筹优势（Operational Advantage）并提高效率。2）重点领域（Focus Areas）：“数据战略”着重于必须与作战和行动的基层单位（特别是作战人员）密切合作。初步的重点领域包括：● 在所有领域联合作战 – 战场上利用数据谋取优势；● 高级领导者的决策支持 – 利用数据改善国防部管理；● 业务分析 – 利用数据推动所有各级各职的明智决策。2、八项指导原则（国防部所有的数据工作基础）：⑴ 数据是一类战略资产 – 国防部数据是高附加值的“商品”，必须以能够带来直接和持久军事优势的方式加以运用。⑵ 统一数据管理 – 国防部必须指派数据管理员、数据监管员以及一系列相应的数据管理服务器，以实行整个数据生命周期的问责制。⑶ 数据行为准则 – 国防部必须将行为准则置于所有想法和行动的首要位置，因为这与数据的收集、使用和存储方式有关。“数据行为准则”（Data Ethics）的一般定义，是负责任地和可持续地利用数据。⑷ 数据收集 – 国防部必须在设计之初就采用电子化数据收集，并始终维护该数据的“血统”（起源及关联关系）。⑸ 业务范围的数据访问和可用性 – 国防部数据必须通过适当的机制，提供给所有授权个人和单位使用。⑹ 用于人工智能培训的数据 – 用于人工智能（AI）培训和算法模型的数据集，已成为国防部最有价值的数字资产，必须建立一个管理整个数据生命周期的框架，并提供受到保护的可见产物和承担责任的委托业务。⑺ 适合用途的数据 – 国防部必须在数据收集、共享、使用、快速数据合成以及最大程度减少任何意外偏差时，认真考虑行为准则方面的任何问题。⑻ 合规性设计 – 国防部必须实施多种信息技术（IT）解决方案，为信息管理生命周期全面自动化、适当地保护数据以及维护端到端的记录管理，做好准备。3、必须具备的四项基本能力：⑴ 架构 – 由业务云和其他技术支持的国防部体系架构，必须围绕数据，并能够比对手更快地适应之。⑵ 标准 – 国防部采用一系列标准，不仅包括用于管理和利用数据资产的一般性公认方式，还包括用于表示和共享数据的成熟和成功方法。⑶ 治理 – 国防部的数据治理从创建到部署提供对所有层次数据的有效管理所需之原则、策略、流程、框架、工具、测量标准和监督。⑷ 人才与文化 – 国防部的工作人员（各级各职务的军人、文职人员和承包商）将越来越具备处理数据的能力，做出基于数据的决断，制定基于证据的政策并实施有效的流程。 4、必须实现的七个目标（VAULTIS，按以下7个单词的首字母排列）：⑴ 使数据可视（Visible） – 使用者可以找到所需的数据；⑵ 使数据可访问（Accessible） – 使用者可以检索数据；⑶ 使数据易于理解（Understandable） – 使用者可以识别数据内容，上下文以及适用性；⑷ 使数据关联（Linked） – 使用者可以通过固有的关系以利用数据元素；⑸ 使数据可信赖（Trustworthy） – 使用者可以对数据的各个方面充满信心，以作出决策；⑹ 使数据可互操作（Interoperable） – 使用者对数据具有共同的表示和理解。⑺ 使数据安全（Secure） – 使用者知道，数据受到保护免于未经授权的使用和操作。 5、前进方向为了实施数据战略，各相关单位将制定可测量的数据战略实施计划，由国防部首席数据官（CDO）和国防部数据委员会监督。数据治理群体和用户团体将继续合作，确定挑战，开发解决方案，并将最佳实践及所有数据利益与受众分享。 三、信息通信技术及服务供应链安全2021年1月29日，美国商务部发布《信息通信技术及服务供应链安全暂行规则》。请特别注意：1、（术语）定义⑴ “外国敌人”（Foreign Adversary），指长期从事于或严重危害美国国家安全以及美国人民安全保障的任何外国政府或外国非政府人员。⑵ “ICTS 交易”（ICTS Transaction），指任何信息和通信技术及服务的采购、进口、转让、安装、经营或使用，也包括一揽子交易。⑶ “敏感的个人数据”（Sensitive Personal Data），指：● 在具体地区运营的美国企业维护或收集的个人身份信息（即可识别个人的数据），并在12个月内涉及100万人（以上）；● 个人基因测试的结果。 2、（规则）目的总统行政令，旨在减少信息和通信技术及服务（ICTS）供应链中的安全漏洞，避免敏感信息被泄露。3、（审查）交易⑴ 所列各项集成的软件、硬件及任何其它不可或缺的产品或服务中，八类32项必须审查的交易。⑵ 数据托管或计算服务不可或缺的软件、硬件或任何其它产品或服务4、重大警示：我国机关、金融科研机构、企事业单位等，大量业务数据和应用服务被代管、托管在境外（主要是美国）。按照美国商务部定于2021年3月22日生效的《信息和通信技术及服务供应链安全暂行规定》，中国被列为头号“外国敌人”，无论在中国境内的网络基础设施还是境外的代管、托管和内容分发（CDN）服务，都将受到美国政府的“安全”审查，并随时可以“安全”审查和发现“安全”问题为由，对中国网络任一构成部分（特别是直接关系供应链安全的核心基础设施和境外代管托管服务），“依法”实施彻底的删除（断服）和制裁（断网）。 四、建言建议经多方征求意见，郑重建议：1、打破现有不利于我国网信领域“立足自主创新、自立自强”的体制机制，以强化解决网络信息安全为突破口和网络强国抓手，设立中共中央、中央军委直接领导下的“国家网络信息安全保障总局”，实施攻防结合的总体战，高质量地提升体系化能力，高度集中统一指挥，抓网信安全和网络强国一竿子插到底。2、矫枉过正，尽快出台激励创建我国主权网络的一揽子倾向性政策，鼓励在现有网络框架上以保障安全为前提大胆创新改造；不拘一格降人才，聚天下英才而用之。坚决将里通外国、违法乱纪、营私舞弊、因循苟且的害群之马绳之以法。3、相关主管部门主动检讨“规模部署IPv6”的失误，彻底清理整顿涉嫌重大营私舞弊、欺骗中央问题的机构和单位，坚持“坚定正确的政治方向、艰苦朴素的工作作风、灵活机动的战略战术”，坚定不移地推进自主创新建设网络强国。