網絡安全治理:國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰受害者

  來源:中國青年報

  新的攻擊方法不斷湧現,黑客幾乎永遠占據網絡攻擊的上風,我們不可能通過技術手段杜絕網絡攻擊。國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰受害者。

  
網絡安全治理:國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰受害者


  2016年,權威安全漏洞統計和披露平台CVE公告各種安全漏洞9999個,敲詐者病毒瘋狂肆虐,美國網絡也一度淪陷,雅虎用戶數據被盜。普通網民人人自危,深感無助。

  網絡安全無疑是一個高度專業的領域,但目前被搞到了「全民皆兵」的境地。用戶上網必須「全副武裝」,部署各種防火牆、防病毒軟件,仍然惴惴不安,不時要面對各種險情,打開一個郵件、點開一個網頁都可能是一次曆險,即便什麽都不做也難保不會被攻擊和入侵。

  另一方面,各行各業的信息化工作也深受網絡安全困擾,不僅是面對安全侵害風險的困擾,因爲被侵害而被問責的壓力甚至更大,信息化服務正成爲新的高風險行業,盡管很多從業人員還尚未意識到這一情況。根據網絡安全法和網絡安全等級保護要求,公共信息服務系統必須定級和部署定級,否則將可能面臨問責。在一些需要進行「重點安全保障」的特殊時期,有些單位爲了減壓,幹脆關閉對外網絡和信息服務,這就如敵人還沒有開打,我們就主動繳械投降了。「爲了避免被拒絕服務攻擊,我們自己主動拒絕服務了」成爲年度冷笑話,這種明哲保身、推卸責任的做法實在荒唐。

  網絡安全的重要性毋庸置疑,加強網絡安全管理無可非議。但是,如果把安全保障的重心放在向廣大非安全專業的機構和網民提出大量專業性要求,而在打擊網絡安全攻擊和犯罪方面消極被動,不能不說是網絡安全治理的重大失誤。我們在網絡安全上的投入和負擔不斷增加,卻越來越缺乏安全感,其根本原因之一就是治理方向出現了問題。維護網絡安全,不能寄望于平民百姓對抗專業匪徒,安全管理機構應成爲保護傘而不是裁判員。國家有義務建立公共網絡安全基礎設施和保障體制,國家間需要建立打擊網絡安全犯罪的協同機制,主動和高效打擊網絡犯罪,給網民提供一個安居樂業的網絡環境,而不是讓網民在盜匪橫行的網絡空間奢望自保。

  在線下世界,絕大多數人並非武林高手,沒有防彈衣和裝甲車,但我們感覺安全,這份安全感是來自國家對違法犯罪的震懾,國家安全保障的主要方向是打擊犯罪,而不是處置和限制受害者。

  安全攻擊行爲是互聯網社會性的顯著標志之一。互聯網絕不僅是一個由計算機連結起來的簡單組合體。每一台計算機都在貫徹人類的意志,互聯網是人類社會在數字空間的投影。互聯網上的行爲因此異常複雜,難以捉摸。安全攻擊行爲具有主動性和多變性。當全世界網民爲自己的網絡安全謀劃時,全世界的黑客也在更加刻苦地鑽研網絡攻擊的新途徑。由于網絡安全攻擊的方法和技術與互聯網技術的發展保持同步甚至有所超前,因此很難指望通過純粹技術手段杜絕攻擊。因此在安全防範中,以人爲本的安全管理是第一要素,即人與人之間的角逐是勝負的關鍵,這種自冷兵器時代沿襲而來的對抗法則,在數字化時代仍然無法規避。

  迄今爲止,在安全對抗中黑客陣營占據上風,我們總在遭受攻擊之後被動地防護,而後茫然地等待下一次攻擊的到來。黑客們取得「驕人戰績」,並非絕對依賴高明的技術手段,也出于對網絡使用者行爲的悉心推測。人們采用的仍然是以「堵」爲主的安全防護戰略,即無論大型集團用戶還是個人用戶,都竭盡所能,「全副武裝」。即便如此,新的安全漏洞仍然不斷被發現,新的攻擊方法也不斷湧現。通過分析近來日益猖獗的DoS攻擊,我們不難發現,人們目前幾乎無法實現「絕對安全」,更不能杜絕「百密一疏」。

  反觀現實社會的安全保障體系,不難發現,人們的安全感並非來自自身擁有的強大防護能力,而是由于威懾犯罪的公共安全體系和完備的司法體系。不必付出代價或較少付出代價,正是網絡犯罪難以遏制的根源。

  既然一味被動封堵不能治水,更不能成就網絡空間安全,在網絡空間公共安全保障方面,必須徹底扭轉被動姿態,建立主動的「威懾安全體系」:

  第一,嚴懲網絡犯罪,通過增加犯罪成本和代價,加大威懾,讓絕大多數人不敢越雷池一步。網絡空間雖然是虛擬世界,但責任主體明確,網絡犯罪並非不可追究。

  第二,國家有義務建立公共網絡安全基礎設施和保障體制,爲絕大多數用戶提供低成本的有限安全,而不是要求他們全副武裝。只有針對特定對象,在需要不惜代價保障安全的情況下,才需要追求嚴防死守和全副武裝的「絕對安全」。在應對網絡安全侵害方面,個體力量無論多強,總是弱的,社會力量無論多弱,總是強的。因此,相對于目前草木皆兵的被動防禦現狀,建設、發展具有威懾力的主動公共安全保障體系,才是網絡空間公共安全的正確方向。

  (作者爲清華大學網絡科學與網絡空間研究院教授)
 
 
 
 
 
© 王朝網路