网络安全已经成为国家安全的重要组成部分,是中国式现代化建设的重要保障。防范、化解信息化进程中的安全风险,特别是防止发生系统性、颠覆性风险,是我国网信工作的根本任务。回顾 2023 年,在国际政治风云变幻、科技竞争日趋激烈的压力下,我国网络安全风险总体可控,信息安全保障稳中有进!展望 2024 年,我们要把主动防范、化解安全风险放在更加突出的位置。因此,对新的一年网络与信息安全主要风险隐患作前瞻分析尤为必要。
一、影响网络和信息安全态势的四大因素
网络安全问题内容繁杂,涉及面广。国际竞争、国内环境、科技进步与网络空间自身发展等,都是影响未来网络和信息安全态势的主要因素。
(一)国际竞争:中美竞合日趋激烈,安全环境更趋复杂
国际竞争是影响我国网络和信息安全最显著的外部因素,其中,尤以中美关系影响最甚。一是中美博弈进入新阶段。在百年变局加速演进和我国综合国力稳步提升的背景下,我国面临的国家安全环境和形势比历史上任何时候都更为复杂。二是前沿新兴技术、颠覆性技术等科技高地成为中美竞争新焦点。我国瞄准人工智能、量子信息、集成电路等战略性、关键性领域加大投入,坚决打赢关键核心技术攻坚战。美国则力图保持技术优势,通过出口管制、投资审查等手段阻扰我国技术发展。中美高科技领域之争既是发展之争,更是安全之争,所谓“得科技者得天下,赢科技者安天下”,科技竞争的安全考虑比历史上任何时候都更为紧迫。三是网络空间成为中美竞争敏感区。不同于传统的地缘政治争夺,网络时代的中美博弈关系更加“剪不断理还乱”,中美之间既有利益冲突又需战略合作。由于美国对华“脱钩断链”不得人心,构筑“小院高墙”难见成效,中美在高科技领域的博弈更具网络效应,其中的网络和信息安全问题比任何风险都更加敏感。
(二)国内环境:发展格局深刻调整,安全需求更加紧迫
国内环境是影响我国网络与信息安全最直接的内部因素。经过 2023 年的良好开局,中国式现代化进入深化发展时期,同时也给网络与信息安全建设提出一系列新需求。一是构建新发展格局需要树立新安全观念。统筹发展与安全的辩证安全观,构建新发展格局,需妥善防范和化解各种风险隐患。高质量的社会经济发展,需要高安全的网络与信息化保障。二是数字经济作为新的增长领域提出新的安全需求。国家实施大数据战略,成立专门管理机构,进行产业布局,提供政策指引,但数据确权、流通、交易等关键环节都需要安全机制和技术的支持与保障。三是数字化转型提出新的安全问题。当前党政机关和国有企业数字化转型全面推进,但从行政管理到生产经营,从公共服务到部门协同,要做到数据上下贯通、信息横向交流,真正助力治理体系和治理能力的现代化,在安全保障方面仍有不少现实、具体而又紧迫的问题亟待解决。
(三)科技进步:技术创新裹挟潜能,安全风险倍速放大
科技发展日新月异成为影响网络与信息安全最灵动的因素。一是人工智能、卫星互联网、量子等新兴技术快速发展,裹挟巨大潜能。以人工智能为代表的新一轮科技被称为“超级创新集群”,正涌现出成千上万种新应用,与其他技术相互交叉、相互加强、相互完善,内在潜能难以估量,安全风险难以预测。二是新一轮技术的新特点会倍速放大安全风险。人工智能公司 DeepMind 创始人穆斯塔法·苏莱曼(Mustafa Suleyman)在其新书《巨浪将至:技术、权力和 21 世纪最大的困境》中归纳了新一轮技术的四大特点:既好又坏的两用性、极速发展的演化迭代性、服务各方的通用性和前所未有的自主性。迎面而来的科技变革引发了人类对科技安全和技术失控的深度焦虑,特别是人工智能安全风险,包括避免人工智能恶意使用、直面人工智能伦理挑战,以及加强人工智能监管与治理等,已成为全球共同关注探讨的议题。三是我国大力推进科技自主自强,突破西方国家的科技围堵。作为一个具有数千年文明传承、负责任的发展中国家,我国要抓住新一轮科技发展的历史机遇,驾驭科技创新的未来方向,促使科技向善、科技利民。
(四)网络空间:全球相连命运与共,安全治理任重道远
网络空间自身发展是影响网络与信息安全的最基础因素。一是互联网普及率稳步提升,全球联系更加紧密,人类命运更加相关。根据 2023 年 11 月国际电信联盟(ITU)发布的全球各区域 ICT 发展评估报告,全球已经有 67% 的人口进入互联网,全球移动带宽总数量达到了 913EB(ExaByte,百亿亿字节),是 2019 年的 2 倍。二是网络空间发展并不均衡,不同地区之间、国别之间、城乡之间的“数字鸿沟”依然严重。各方亟待推动各个国家和地区在信息基础设施、数字科技应用、贸易发展、文化交流等领域的全方位交流合作,有效缩小“数字鸿沟”。三是互联网生态系统和网络空间国家主权存在错位和失衡,网络空间治理碎片化严重,难以形成全球共识。我国明确提出了携手共建网络空间命运共同体的主张,美国及西方多个国家和地区发表《互联网未来宣言》,联合国等传统多边机制在解决全球网络安全议题上力不从心,新型多方机制的影响逐渐扩大。应对全球网络威胁和实现长远发展,网络空间全球治理任重道远。
二、需要关注的十大网络和信息安全风险
展望 2024 年,我国网络与信息安全领域在中美博弈、数字化转型、人工智能等十个方面的风险,值得高度关注。
(一)中美博弈凸显科技安全风险
美国打压遏制我国科技发展政策不会改变,仍会不断变换手法对我国高科技领域进行“精准打击”,我国在人工智能、先进制造、半导体芯片等方面被“卡脖子”的风险仍然较高。在军民两用技术、高端测试技术等方面,受到投资和出口控制的可能性增加。美国还会充分利用其网络空间的技术优势行使霸权、维护霸权,对我国战略科研机构、国防军工单位、高水平研究型大学、科技领头企业以及大型科研装置和公共科研基础设施进行网络渗透。我国军工企业、创新型公司面临的单边制裁压力将会进一步加大。因而,2024 年,攻克“卡脖子”难点仍是头等大事,确保国之重器和战略科技力量的网络和信息安全是重中之重,做好关键基础设施保护的风险预警和态势评估是当务之急。
(二)数字化转型增加安全保密风险
构建国内新发展格局,必将加快党政机关和国有企事业单位数字化转型步伐,由此引发的网络安全和保密风险不容忽视。一方面,新技术新应用越来越多,移动办公、智能联网、网络运维、服务外包、传统资料数字化以及文字处理小程序等应用,会扩大党政部门和重要行业涉密网络和敏感信息的暴露面。另一方面,数据安全成为数字化转型过程中管理主体面临的重要风险。大数据时代,数据泄露一失万无。虽然我国制定和颁布了《网络安全法》《数据安全法》等相关法律法规和配套标准指南,但是法规落地和政策到位仍存在实操上的困难。因而,2024 年,大规模数据泄露、跨境数据流失、涉密/敏感数据失控,以及保密及敏感信息管理不当等,都可能导致网络与信息安全领域的“黑天鹅”事件,不仅危害经济发展,还会影响国家安全。
(三)人工智能发展提出安全挑战
从 ChatGPT 等生成式人工智能引爆人机对话,到被誉为 AI 教父的杰弗里·辛顿(Geoffrey Hinton)从谷歌辞职和 OpenAI 管理层“宫斗”,再到埃隆·马斯克(Elon Reeve Musk)公开表示对人工智能安全的担忧,人工智能的发展与安全问题成为 2023 年全球关注的焦点。总体而言,人工智能技术与应用带来的安全挑战主要集中在技术发展可能失控、隐私和数据难以保全、道德和伦理规范缺失、就业和社会稳定受扰以及军事化、武器化竞争加剧等五个方面。不能有效管控风险,发展就难以持续;没有足够的安全保障,后果将不堪设想。因而,2024 年,人工智能安全治理会成为大国角力的主要方向,人工智能热门应用领域或将出现“灰犀牛”安全事件,潜在风险不容忽视。
(四)卫星互联网影响网络军事行动
卫星互联网既拓展了现有互联网的疆域,又刷新了网络安全的维度;既产生自身的网络安全新需求,又带来衍生的信息安全新挑战。卫星互联网已成为新兴战略基础设施,成为颠覆传统信息传播和信息操纵的新平台,也成为国家参与国际竞争占领科技高地的新领域。自马斯克的“星链”投入俄乌冲突战场后,卫星互联网直接支持军事行动并影响意识形态的效能凸显,军事和国家安全作用引发大国在此领域的科技竞赛,受到全球关注。因而,2024 年,“星链”的可用性地图覆盖率和“星链”终端使用管控等问题,或将成为网络战现实难题和技术挑战。卫星互联网自身的安全和产品管控,以及卫星互联网在军事行动、舆论战和信息战等进程中发挥的作用和影响等,有望成为安全技术研究的热点之一,引发较多争论。
(五)无人机技术应用改变安全图景
从“低慢小”到察打一体,从发烧友的掌上把玩到军事上的远程打击利器,移动通信升级助力无人机技术和应用不断迭代。无人机正像火药一样改变着社会生活和战争方式,快速运用于如电网巡检、工业联网、精准医疗、车联网、物流和运输以及居家生活等方面。无人机隐藏的安全风险已不再是简单的网络和信息安全问题,而是网络安全、信息安全、物理安全甚至人身安全的交叉融合,改变了传统的安全图景。例如,无人机可能会被黑客攻击或操控用于恶意活动,引发安全问题,同时也可能搭载摄像头和其他监视设备,带来侵犯个人隐私的风险等。总之,无人机是一项具有巨大潜力的技术,在帮助人们更好地管理和利用资源的同时,更需要采取相应的管控措施以确保其安全可靠。因而,2024 年,无人机技术的安全控制和围绕无人机的技术对抗都将成为安全领域的热点问题,甚至极个别突破物理界线、危害更严重的小概率风险,可能成为现实风险。
(六)量子技术挑战通信保密
量子技术虽然是科技领域的老话题,但依然是网络安全的新挑战。大国之间围绕“量子霸权”的竞赛一直未停止,围绕量子计算、量子通信、量子密码学等方面的争夺依然激烈。量子技术隐含的风险或孕育的突破不断演进,且其颠覆性和对抗性难以预估。量子保密通信技术具有极高的军事价值和商业意义,因此受到各国政府及相关研究机构的广泛关注。可以肯定的是,随着“量子霸权”争夺加剧,对量子安全技术的需求将会凸显。因此,在 2024 年,关于安全的量子计算、抗量子密码设计和量子通信系统的安全等议题,仍然是研究的热点。
(七)物联网、工业控制系统强化自主可控
近年来,全球关键基础设施遭受勒索软件攻击的事件越来越多,所暴露的供应链安全问题,涉及基础网络、物联网、工业控制系统等多个领域。这不但威胁经济社会发展和秩序,而且影响国家安全和发展利益,还牵涉到维护一国的科技优势和提高科技创新自主能力。当前,“卡脖子”问题仍然是我国维护供应链安全的突出隐患。正如前文所述,美国不断加紧出口管制,持续刷新实体清单,变换和加码经济制裁。此外,我国银行、政府部门和医疗机构等重要部门遭受勒索攻击的现实表明,物联网和工业控制系统的安全防范需求迫在眉睫。具体到网络和信息化供应方面,尽管在信息化核心领域各方都在努力,在操作系统、芯片、数据库等方面已有一定的突破和能力储备,但是在工业控制软件、行业应用软件以及相关的存储与控制技术方面仍存在提升和拓展的空间。因此,在 2024 年,我国努力实现软硬件产品的自主可控和安全可靠依然至关重要,物联网安全防范仍将是需求的热点之一。
(八)认知博弈操纵信息内容
认知战集成网络战、信息战、心理战能力,针对特定社会认知进行长期且系统的影响,以期达到颠覆或控制群体思想认识或意识形态等目的。直白地讲,数字传播时代的认知战就是“大脑争夺战”和“人心争夺战”。信息化和网络化使认知战不断升级并在规模和效果上实现了质的飞跃。俄乌冲突和以色列哈马斯冲突以来,在维护全球霸权和国际优势的过程中,美国运用认知战的手段越来越多,危害也越来越大。同时,认知战向社会领域的拓展更加凸显信息内容安全的复杂敏感。近年来,互联网虚假信息、政治谣言、信息操纵和“信息茧房”等问题,均有不同程度的显现,有时甚至引发严重的社会舆情。因此,2024 年,针对网络空间认知战理论与实践的研究会更加热络,打击网络信息操纵和治理虚假、不良信息的需求会进一步增加。
(九)互联网平台存在数据安全隐患
平台治理是互联网治理的重要抓手,而数据安全则是平台治理的关键内容。数据安全研究不仅需要解决确权、估值、流通监管等问题,还必须着重解决安全问题。数据安全问题涉及法律和技术两个层面。在法律层面,我国虽然已经建立了较为完备的数据安全法律体系,但相关法律的落地、治理效能等仍然存在不足,导致管理难度大,严重影响社会和谐。例如,过度收集个人信息引发隐私和道德焦虑、数据交易缺乏政策指引导致利益纠纷等问题。在技术层面,互联网内容治理是一项长期任务,需要先进高效的技术手段。例如,网络信息发布乱象不断,致使“杀猪盘”“网络诈骗”等现象像“牛皮癣”一样屡禁不绝。因而,2024 年,数据安全、交易合规和平台治理仍将是互联网治理的常态和刚需。
(十)黑域、灰产等需要安全感知和研究
发展与安全、创新与监管是网络空间治理的永恒话题。人们从未停止对未来的幻想,也从未停止过对发展的创新。尤其是人工智能勃兴之后,科技幻想和现实世界的距离越来越近,灵光闪现,利弊共生。既有元宇宙、区块链等新技术新业态在蓄势待发,也有隐链等黑域、灰产滋生蔓延。从网络治理的角度看,这些新应用新业态的潜在风险不容低估。网络空间拥有强大的技术潜能,其中隐藏的边边角角,隐晦的网络联系以及隐秘的圈子与群团,都需要被感知和研究,并给予足够的重视。因而,这将是 2024 年乃至以后需要持续关注的未知领域和面对的安全挑战,需要加强前瞻性理论研究和科学治理探索。
三、有效管理风险的对策建议
分析风险的目的是有效管控风险,我们要坚持稳中求进、以进促稳、先立后破的原则,这应是防范、化解网络与信息安全风险隐患的总遵循。
(一)转变安全理念,增强网络韧性
面对综合而复杂的网络安全态势,需要牢固树立科学辩证的安全观念,不断增进网络信息基础设施的韧性,逐步消除“非黑即白”的安全焦虑。经过几十年的信息化历程,我国正从信息大国向网络强国稳步迈进。长期以来形成的关注局部,追求绝对的“保姆式”网络安全理念需与时俱进。在总体国家安全观的指引下,要深刻理解“安全是相对的不是绝对的,是整体的不是局部的,是动态的不是静态的”等辩证思想,充分理解并不断增进网络空间在长期的法律规范、管理政策和技术保障下形成的韧性和适应能力,合理分担安全压力,着力管控重大风险,容忍并逐步消除残余风险。
(二)推进自主可控,强化内生安全
面对日趋激烈的科技竞争,需要牢固树立自立自强的科技雄心,努力摆脱关键核心技术受制于人的困境和供应链“脱钩断链”的安全压力。通过强化内生安全能力,持续推进核心技术和关键产品的自主可控。华为 Mate60 一机难求的事实提供了很好的例证。技术发展应在开放的基础上更好地体现和更多地针对中国的发展特色和需求。在网络和信息安全领域的科技创新中,必须紧扣中国实际,着力解决中国式现代化建设中面临的急难愁盼问题。我们要把安全和发展紧密结合,追求自主创新和强化内生安全,积极稳妥地推进网络安全的创新发展。
(三)提高预警能力,着力管控风险
面对网络、数据、智能交融带来的风险隐患,要完善并确立系统防御体系,着力改善在网络安全保障方面的问题,包括分散多头的防御和信息难以共享的状况。为此,我们应通过增强网络意识,优化预警方式,形成更加稳定的风险管理能力。当前,我们不仅面临网络安全问题,防范大量的数据风险,还要迎接人工智能技术带来的挑战,因此具有预警能力就至关重要。各部门、各行业应在态势感知、威胁情报、风险监测、安全应急等方面联合发力、联网聚力,形成体系对抗格局,有效化解风险。网络空间被视为一个安全共同体,是互通信息、共享情报、共建共用的安全基础设施。因此,联防联控信息安全风险是进一步完善网络与信息安全治理体系和治理能力的方向。
(四)加强国际合作,建立治理规范
面对网络空间治理的全球挑战,我们需要牢固树立命运与共的理念,破除美国等西方国家在网络空间治理话语权和规制权上的“围堵”与“设限”,我们应该通过加强国际合作,积极推动全球治理规范的建设,不断扩大和巩固网络空间命运共同体。作为全球负责任的信息化大国,我国在网络空间命运共同体理念的指引下,已就网络空间的全球治理提出了一系列积极、务实的建议方案,得到了越来越多国家的响应。最近,我国提出的《全球人工智能治理倡议》同样引起了国际社会的广泛关注。我们应该继续积极参与并主动引领国际议程,统筹线上和线下宣传中国方案。同时,我们需要充分利用多边机制,多场合宣传中国倡议,高度重视多方利益,通过多渠道传递中国声音。此外,我们还应积极发挥民间作用,从多角度传播中国故事,使共建网络空间命运共同体的理念更加广泛地深入人心。
作者系研究员,博士。中国工程院院士,国家保密局科技委主任,全国政协委员。长期从事网络与信息安全领域的技术研究工作,科研成果先后获得国家科技进步一等奖两项,二等奖一项,省部级科技奖多项。主持制定信息安全技术国家标准十余项。