网络安全是网络的生命,网络主权是网络生命的源泉,国家主权是网络主权的靠山,国家安全是网络安全的保障。国人人人都有维护网络安全的义务,守卫网络主权的责任。全国民众为了国家主权和安全同心同德、团结奋斗之日,就是我们的祖国振兴主权网络、复兴民族大业之时。
一、没有网络安全就没有国家安全
网络伴随经济全球化的发展迅速布满全球,在我国国民经济与社会信息化建设、科学发展与国防建设中的作用日益增强,构成全方位映射国家陆、海、空、天物理领域组合变化的全息多维空间,产生全视野影响国家稳定、经济繁荣、社会进步的全新变革元素,成为全天候关系国家主权和安全最敏感、最直接、最重要的国家防御屏障。
这些天来,来自美国政府网络武器库的“永恒之蓝”的网络攻击,几乎一夜之间就造成了全国跨省市、多地区、大面积的校园内网、公安内网、石油专网等的“被勒索”或“不工作”,用户资料被锁,出入境手续办不了,电子支付失灵,等等,一时间闹得人心惶惶。然而,这才是美国定义的第一层面的网络攻击,即足以造成网络系统安全“降解(或译为‘降维’,Degrade)”、足以使网络安全防范能力被破解、被“半瘫痪”的网络攻击效果和目的。
美国定义的第二层面网络攻击,将足以造成大面积、大规模的网络瘫痪(休克);第三层面网络攻击,将足以定向摧毁目标网络,使之不能恢复使用。
试想,如果突然发生全国性的交通信号混乱,铁路停运、民航停飞、高速公路关闭、城市交通到处堵塞,将会是一种什么景象?如果突然发生全国性的金融结算混乱,银行关门、保险拒付、股市乱跌乱涨、所有电子支付失灵,将会是一种什么后果?如果突然发生全国性的网络通讯混乱,任何人都打不了电话、发不了邮件、用不了微信和短信,将会是一种什么局面?彼时彼刻,国家和人民岂不要任凭外敌和内患的欺凌摆布?试问,我们还敢相信基于美国因特网租用的“中国互联网”的安全可靠吗?
“永恒之蓝”余恶未尽,同样出自美国政府网络武器库的“永恒之石”又蛰伏来袭,江苏、浙江、广东、广西、陕西、台湾等省市成为第一批重灾区。专业安全机构警告,“永恒之石”同时使用了7个美国国家安全局掌握的“零日漏洞”,“先潜伏后行动”,目前已发现27个恶意软件及其变种使用或疑似试用“永恒之石”的漏洞,其中在中国网络终端上批量或个别潜伏作祟的已有4个。专家认为,“永恒之蓝”堪称网络珍珠港事件,“永恒之石”似乎是在为未来随时可能爆发的更大规模网络攻击搭好跳板。特别告诫,全国的党政商学兵工农,任何使用基于美国因特网的“中国互联网”用户,万万不可心存侥幸。
2014年2月,习近平总书记在第一次中央网络安全和信息化领导小组会议上就指出:“没有网络安全就没有国家安全”,今天,我们应当有更加深刻的体会和认识,悉心理解,认真分析,还将不断深化。
二、没有网络主权就没有网络安全
无论是已经发生的“永恒之蓝”,还是潜伏待发的“永恒之石”,已经再清楚不过地让我们看到,基于因特网展现的“赛博空间”的网络安全,无论尚在大规模使用的IPV4系统,还是演进改良的IPV6下一代技术系统,无论基于因特网应用的这样或那样的软件、硬件安全防范技术措施,都被美国网络武器操控者玩弄于鼓掌之中,不堪一击。英国医疗系统如此,西班牙电信系统如此,俄国、意大利等都不能幸免。据我国相关机构报告,2017年5月15日至21日一周,共收集整理网络信息漏洞440个,其中高危漏洞151个、中危漏洞263个,低危漏洞26个,中高危漏洞占比超过94%。值得注意的是,本周应用程序漏洞、web应用漏洞、操作系统漏洞、网络设备漏洞共401个占比超过91%,而安全产品漏洞、数据库漏洞共39个占比不到8.9%,显示利用因特网系统漏洞的网络攻击,对于被动的技术性安全防御几乎可以不屑一顾。
美国网络战机构掌控的成千上万个漏洞,可以被轻而易举地用来实施针对任何目标达到降解、瘫痪、摧毁目的的网络攻击。租用因特网服务的各国家和地区、各个组织的用户,除了不得不响应长期与美国政府串通一气的跨国公司的“补漏洞”、“升级操作系统”的呼吁,或者干脆换购“新机器”,几乎只能束手就擒、引颈受戮。
显然,对因特网没有主权,没有掌握构成网络主权的主导权、主控权、话语权和知识产权,甚至丧失国际和各国对因特网的法治权,才使得受束缚于因特网的各国际组织、各国家和地区的网络系统,陷入任凭美国网络武器随时攻击、防不胜防的险境,陷入任凭美国网络霸权为所欲为、束手无策的困境,陷入不得不采用安全问题频出的美国技术和设备、被迫不断升级更新的怪圈。
显然,基于因特网的用户国家、用户企业机构和亿万个人用户被套上了虚假“互联网”实则因特网的紧箍咒,说你安全你就安全安全也不安全。美国是因特网全部主权所有者,因特网安全不安全,什么情况下安全什么情况下不安全,什么时候让你安全什么时候不能让你安全,都是美国说了算。没有主权、寄人网下者,“网络安全”不过是美国主权羽翼下的“施舍”和“恩赐”,让你安全你就“安全”,不让你安全你随时都不安全!
显然,美国之所以将网络空间战略作为国家战略,抢夺网络空间的“制高地”和“制网权”,正是因为网络安全必须服从于、服务于网络主权,必须按照网络主权所有者的意志实现安全、维护安全、保障安全。没有网络主权,我们不知道因特网的漏洞都在哪里,究竟有多少致命的漏洞、多少主权所有者操控的技术陷阱、多少潜伏在网络中的木马,将必然导致我们租用使用的网络,随时面临被降解、瘫痪和摧毁的高度危险。没有网络主权,我们喊破了嗓子、竭尽人是,网络安全竟然只不过是无源之水、无本之木的奢侈,竟然禁不住网络主权控制者釜底抽薪、伺机暗算的轻松一键。没有网络主权,我们的网络安全、国家安全的命门就始终捏在网络主权所有者的手掌心里。
有人提出,网络空间安全研究,是在有敌手对抗环境下,研究信息产生、传输、存储、处理各个环节所面临的威胁和防御措施。似乎网络安全只能被动采取纯技术的应对。今天,“永恒之蓝”已经昭告天下,自上世纪九十年代全面接入因特网的“中国互联网”,每时每刻都处在有敌手对抗与威胁的环境下,所谓网络安全是建立在完全不可预测、不可信的网络主权缺失的基础之上。这是我们不能不面对的严峻局面和铁的事实!
三、维护网络主权须强化国家法治
任何网络都有其特定的主权时空范畴。映射国家陆、海、空、天物理领域全方位综合发展变化的网络空间,是国家主权不可分割的重要组成部分。计算机网络,是指信息基础设施连接传输与交换信息的网络技术平台,涵盖、囊括、覆盖了包括因特网、“互联网”及所有计算机网络的物理概念。因特网、“互联网”只是其中一种类型或一个局部,不是全部。
网络安全是国家安全在网络空间的多维折射、具体体现。网络安全必须无条件地服从于、服务于国家主权,这是国家主权意志决定的法治原则和红线。依法治理和规范网络安全,依法保障和维护网络安全涉及、影响和危及的国家主权,各级国家立法、司法、执法部门都不能懈怠,不能权宜,不能手软,不能纵情枉法,不能知法犯法。
2015年7月1日,《中华人民共和国国家安全法》公布实施。总则明确宣布:
【第二条 国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。
第三条 国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。】
主权是国家不可转让、不可分割、神圣不可侵犯的至高无上的权力属性,国际法保障与尊重任何国家主权范围内的政治独立、领土完整和经济权益。国家有权采用一切法律、军事、行政、经济、文化、教育措施和手段,确保“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。”
不到两年后的今天,2017年6月1日,《中华人民共和国网络安全法》开始施行。总则开宗明义:
【第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。】
依照本法,我国境内建设、运营、维护和使用的所有网络,以及网络安全的监督管理,都适用本法。违犯者,严惩;遵守者,支持与保护。请特别注意,本法管辖、约束与规范的网络,包括寄生和依托美国因特网发展而来的所谓“中国互联网”。在中国主权范围内建设、运营、维护和使用的“中国互联网”,决不是法外之地,必须老老实实地接受中国法律辖制,没有任何讨价还价的借口和理由。那种只许美国因特网在中国“一网天下”横行无忌,不许我国自主创新的主权网络并行博弈、平等竞争的规划、方针、措施,有违法之嫌,必须依法纠正。那些以“互联网”名称、观念规避《网络安全法》界定范畴的所有做法,必须彻底矫正。我国的立法、监察、司法、执法机关和部门,应该坚定地站在国家主权、国家利益和总体国家安全观的立场上贯彻落实《网络安全法》,有所作为、大有作为。
依照本法,国家采取措施,依法监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。违犯者,严惩;遵守者,支持与保护。对于那些监测疏忽、防御失当、处置不力,甚至推卸责任、玩忽职守、内外勾结,更有明明是美国因特网企业机构的代理人、代理机构且有重大里通外国嫌疑的目标和对象,必须依法严加调查、清理和追究,毫不手软地绳之于法。
依照本法,任何使用网络的个人和组织,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益等等反国家、反民族、侵害他人合法权益的活动。违犯者,严惩;遵守者,支持与保护。有人明知美国政府、军方和情报机构控制了因特网关键技术的源代码(即所谓后门、漏洞云云),明知美国总统令要求出口软件必须设置木马,明知“政府定制”操作系统危害我国网络安全的风险极大,明知追随美国国家战略“全面升级、部署IPV6”严重威胁国家安全、后患无穷,却不遗余力为之鼓噪、作劲,甚至不惜动用公权力予以支持。有关部门必须依法监督和整治,严厉制止危害网络安全、利用网络从事危害国家安全、荣誉和利益的任何行为举措,彻底切断这些人和他们的组织以不法行为谋取的财路、官路和生路!
一个需要关注的问题。我国现有网络协调、管理、监督机构几乎都采用“互联网”冠名。有人声称,美国民间组织“因特网任务工作组(IETF)”是唯一的“国际互联网标准”制定机构,根据中美之间的协议,“中国互联网”只能接受IETF和美国另一个民间组织“因特网名称与数字地址分配机构(ICANN)”的管理,不能违约。难道“中国互联网信息中心(CNNIC)”、“中国互联网协会”、“国家互联网应急中心(CNCERT)”等只是美国因特网的合作代理机构,只管基于因特网的“互联网”事务,从来不管、不能管、也不想管涉及我国主权网络的事情?难道这些机构可以与我国《网络安全法》规范的法律范畴和定义不搭调、不一致?难道这些“互联网”冠名机构真的可以只遵守所谓的“中美协议”而无视我国《网络安全法》的约束、辖制?因特网不能反映网络的全部,更不是中国的主权网络;“中国互联网”特指全面接入使之可以在中国运行的美国因特网,学术定义不清,法理概念模糊,法律关系混淆。此事涉及我国的国家主权、网络主权和国家立法与司法实践的重大原则问题,必须厘清,不能模凌两可,不能稀里糊涂,不能放任自流。
网络安全是网络的生命,网络主权是网络生命的源泉,国家主权是网络主权的靠山,国家安全是网络安全的保障。国人人人都有维护网络安全的义务,守卫网络主权的责任。全国民众为了国家主权和安全同心同德、团结奋斗之日,就是我们的祖国振兴主权网络、复兴民族大业之时。
2017年5月31日
【牟承晋,察网专栏学者,中国移动通信联合会国际战略研究中心主任】