中國工程院院士吳世忠:2024年網絡與信息安全風險前瞻
吳世忠,研究員,博士。中國工程院院士,國家保密局科技委主任,全國政協委員。長期從事網絡與信息安全領域的技術研究工作,科研成果先后獲得國家科技進步一等獎兩項,二等獎一項,省部級科技獎多項。主持制定信息安全技術國家標准十余項。
網絡安全已經成為國家安全的重要組成部分,是中國式現代化建設的重要保障。防范、化解信息化進程中的安全風險,特別是防止發生系統性、顛覆性風險,是我國網信工作的根本任務。回顧 2023 年,在國際政治風雲變幻、科技競爭日趨激烈的壓力下,我國網絡安全風險總體可控,信息安全保障穩中有進!展望 2024 年,我們要把主動防范、化解安全風險放在更加突出的位置。因此,對新的一年網絡與信息安全主要風險隱患作前瞻分析尤為必要。
一、影響網絡和信息安全態勢的四大因素
網絡安全問題內容繁雜,涉及面廣。國際競爭、國內環境、科技進步與網絡空間自身發展等,都是影響未來網絡和信息安全態勢的主要因素。
(一)國際競爭:中美競合日趨激烈,安全環境更趨復雜
國際競爭是影響我國網絡和信息安全最顯著的外部因素,其中,尤以中美關系影響最甚。一是中美博弈進入新階段。在百年變局加速演進和我國綜合國力穩步提升的背景下,我國面臨的國家安全環境和形勢比歷史上任何時候都更為復雜。二是前沿新興技術、顛覆性技術等科技高地成為中美競爭新焦點。我國瞄准人工智能、量子信息、集成電路等戰略性、關鍵性領域加大投入,堅決打贏關鍵核心技術攻堅戰。美國則力圖保持技術優勢,通過出口管制、投資審查等手段阻擾我國技術發展。中美高科技領域之爭既是發展之爭,更是安全之爭,所謂“得科技者得天下,贏科技者安天下”,科技競爭的安全考慮比歷史上任何時候都更為緊迫。三是網絡空間成為中美競爭敏感區。不同於傳統的地緣政治爭奪,網絡時代的中美博弈關系更加“剪不斷理還亂”,中美之間既有利益沖突又需戰略合作。由於美國對華“脫鉤斷鏈”不得人心,構筑“小院高牆”難見成效,中美在高科技領域的博弈更具網絡效應,其中的網絡和信息安全問題比任何風險都更加敏感。
(二)國內環境:發展格局深刻調整,安全需求更加緊迫
國內環境是影響我國網絡與信息安全最直接的內部因素。經過 2023 年的良好開局,中國式現代化進入深化發展時期,同時也給網絡與信息安全建設提出一系列新需求。一是構建新發展格局需要樹立新安全觀念。統籌發展與安全的辯証安全觀,構建新發展格局,需妥善防范和化解各種風險隱患。高質量的社會經濟發展,需要高安全的網絡與信息化保障。二是數字經濟作為新的增長領域提出新的安全需求。國家實施大數據戰略,成立專門管理機構,進行產業布局,提供政策指引,但數據確權、流通、交易等關鍵環節都需要安全機制和技術的支持與保障。三是數字化轉型提出新的安全問題。當前黨政機關和國有企業數字化轉型全面推進,但從行政管理到生產經營,從公共服務到部門協同,要做到數據上下貫通、信息橫向交流,真正助力治理體系和治理能力的現代化,在安全保障方面仍有不少現實、具體而又緊迫的問題亟待解決。
(三)科技進步:技術創新裹挾潛能,安全風險倍速放大
科技發展日新月異成為影響網絡與信息安全最靈動的因素。一是人工智能、衛星互聯網、量子等新興技術快速發展,裹挾巨大潛能。以人工智能為代表的新一輪科技被稱為“超級創新集群”,正涌現出成千上萬種新應用,與其他技術相互交叉、相互加強、相互完善,內在潛能難以估量,安全風險難以預測。二是新一輪技術的新特點會倍速放大安全風險。人工智能公司 DeepMind 創始人穆斯塔法·蘇萊曼(Mustafa Suleyman)在其新書《巨浪將至:技術、權力和 21 世紀最大的困境》中歸納了新一輪技術的四大特點:既好又壞的兩用性、極速發展的演化迭代性、服務各方的通用性和前所未有的自主性。迎面而來的科技變革引發了人類對科技安全和技術失控的深度焦慮,特別是人工智能安全風險,包括避免人工智能惡意使用、直面人工智能倫理挑戰,以及加強人工智能監管與治理等,已成為全球共同關注探討的議題。三是我國大力推進科技自主自強,突破西方國家的科技圍堵。作為一個具有數千年文明傳承、負責任的發展中國家,我國要抓住新一輪科技發展的歷史機遇,駕馭科技創新的未來方向,促使科技向善、科技利民。
(四)網絡空間:全球相連命運與共,安全治理任重道遠
網絡空間自身發展是影響網絡與信息安全的最基礎因素。一是互聯網普及率穩步提升,全球聯系更加緊密,人類命運更加相關。根據 2023 年 11 月國際電信聯盟(ITU)發布的全球各區域 ICT 發展評估報告,全球已經有 67% 的人口進入互聯網,全球移動帶寬總數量達到了 913EB(ExaByte,百億億字節),是 2019 年的 2 倍。二是網絡空間發展並不均衡,不同地區之間、國別之間、城鄉之間的“數字鴻溝”依然嚴重。各方亟待推動各個國家和地區在信息基礎設施、數字科技應用、貿易發展、文化交流等領域的全方位交流合作,有效縮小“數字鴻溝”。三是互聯網生態系統和網絡空間國家主權存在錯位和失衡,網絡空間治理碎片化嚴重,難以形成全球共識。我國明確提出了攜手共建網絡空間命運共同體的主張,美國及西方多個國家和地區發表《互聯網未來宣言》,聯合國等傳統多邊機制在解決全球網絡安全議題上力不從心,新型多方機制的影響逐漸擴大。應對全球網絡威脅和實現長遠發展,網絡空間全球治理任重道遠。
二、需要關注的十大網絡和信息安全風險
展望 2024 年,我國網絡與信息安全領域在中美博弈、數字化轉型、人工智能等十個方面的風險,值得高度關注。
(一)中美博弈凸顯科技安全風險
美國打壓遏制我國科技發展政策不會改變,仍會不斷變換手法對我國高科技領域進行“精准打擊”,我國在人工智能、先進制造、半導體芯片等方面被“卡脖子”的風險仍然較高。在軍民兩用技術、高端測試技術等方面,受到投資和出口控制的可能性增加。美國還會充分利用其網絡空間的技術優勢行使霸權、維護霸權,對我國戰略科研機構、國防軍工單位、高水平研究型大學、科技領頭企業以及大型科研裝置和公共科研基礎設施進行網絡滲透。我國軍工企業、創新型公司面臨的單邊制裁壓力將會進一步加大。因而,2024 年,攻克“卡脖子”難點仍是頭等大事,確保國之重器和戰略科技力量的網絡和信息安全是重中之重,做好關鍵基礎設施保護的風險預警和態勢評估是當務之急。
(二)數字化轉型增加安全保密風險
構建國內新發展格局,必將加快黨政機關和國有企事業單位數字化轉型步伐,由此引發的網絡安全和保密風險不容忽視。一方面,新技術新應用越來越多,移動辦公、智能聯網、網絡運維、服務外包、傳統資料數字化以及文字處理小程序等應用,會擴大黨政部門和重要行業涉密網絡和敏感信息的暴露面。另一方面,數據安全成為數字化轉型過程中管理主體面臨的重要風險。大數據時代,數據泄露一失萬無。雖然我國制定和頒布了《網絡安全法》《數據安全法》等相關法律法規和配套標准指南,但是法規落地和政策到位仍存在實操上的困難。因而,2024 年,大規模數據泄露、跨境數據流失、涉密/敏感數據失控,以及保密及敏感信息管理不當等,都可能導致網絡與信息安全領域的“黑天鵝”事件,不僅危害經濟發展,還會影響國家安全。
(三)人工智能發展提出安全挑戰
從 ChatGPT 等生成式人工智能引爆人機對話,到被譽為 AI 教父的杰弗裡·辛頓(Geoffrey Hinton)從谷歌辭職和 OpenAI 管理層“宮斗”,再到埃隆·馬斯克(Elon Reeve Musk)公開表示對人工智能安全的擔憂,人工智能的發展與安全問題成為 2023 年全球關注的焦點。總體而言,人工智能技術與應用帶來的安全挑戰主要集中在技術發展可能失控、隱私和數據難以保全、道德和倫理規范缺失、就業和社會穩定受擾以及軍事化、武器化競爭加劇等五個方面。不能有效管控風險,發展就難以持續﹔沒有足夠的安全保障,后果將不堪設想。因而,2024 年,人工智能安全治理會成為大國角力的主要方向,人工智能熱門應用領域或將出現“灰犀牛”安全事件,潛在風險不容忽視。
(四)衛星互聯網影響網絡軍事行動
衛星互聯網既拓展了現有互聯網的疆域,又刷新了網絡安全的維度﹔既產生自身的網絡安全新需求,又帶來衍生的信息安全新挑戰。衛星互聯網已成為新興戰略基礎設施,成為顛覆傳統信息傳播和信息操縱的新平台,也成為國家參與國際競爭佔領科技高地的新領域。自馬斯克的“星鏈”投入俄烏沖突戰場后,衛星互聯網直接支持軍事行動並影響意識形態的效能凸顯,軍事和國家安全作用引發大國在此領域的科技競賽,受到全球關注。因而,2024 年,“星鏈”的可用性地圖覆蓋率和“星鏈”終端使用管控等問題,或將成為網絡戰現實難題和技術挑戰。衛星互聯網自身的安全和產品管控,以及衛星互聯網在軍事行動、輿論戰和信息戰等進程中發揮的作用和影響等,有望成為安全技術研究的熱點之一,引發較多爭論。
(五)無人機技術應用改變安全圖景
從“低慢小”到察打一體,從發燒友的掌上把玩到軍事上的遠程打擊利器,移動通信升級助力無人機技術和應用不斷迭代。無人機正像火藥一樣改變著社會生活和戰爭方式,快速運用於如電網巡檢、工業聯網、精准醫療、車聯網、物流和運輸以及居家生活等方面。無人機隱藏的安全風險已不再是簡單的網絡和信息安全問題,而是網絡安全、信息安全、物理安全甚至人身安全的交叉融合,改變了傳統的安全圖景。例如,無人機可能會被黑客攻擊或操控用於惡意活動,引發安全問題,同時也可能搭載攝像頭和其他監視設備,帶來侵犯個人隱私的風險等。總之,無人機是一項具有巨大潛力的技術,在幫助人們更好地管理和利用資源的同時,更需要採取相應的管控措施以確保其安全可靠。因而,2024 年,無人機技術的安全控制和圍繞無人機的技術對抗都將成為安全領域的熱點問題,甚至極個別突破物理界線、危害更嚴重的小概率風險,可能成為現實風險。
(六)量子技術挑戰通信保密
量子技術雖然是科技領域的老話題,但依然是網絡安全的新挑戰。大國之間圍繞“量子霸權”的競賽一直未停止,圍繞量子計算、量子通信、量子密碼學等方面的爭奪依然激烈。量子技術隱含的風險或孕育的突破不斷演進,且其顛覆性和對抗性難以預估。量子保密通信技術具有極高的軍事價值和商業意義,因此受到各國政府及相關研究機構的廣泛關注。可以肯定的是,隨著“量子霸權”爭奪加劇,對量子安全技術的需求將會凸顯。因此,在 2024 年,關於安全的量子計算、抗量子密碼設計和量子通信系統的安全等議題,仍然是研究的熱點。
(七)物聯網、工業控制系統強化自主可控
近年來,全球關鍵基礎設施遭受勒索軟件攻擊的事件越來越多,所暴露的供應鏈安全問題,涉及基礎網絡、物聯網、工業控制系統等多個領域。這不但威脅經濟社會發展和秩序,而且影響國家安全和發展利益,還牽涉到維護一國的科技優勢和提高科技創新自主能力。當前,“卡脖子”問題仍然是我國維護供應鏈安全的突出隱患。正如前文所述,美國不斷加緊出口管制,持續刷新實體清單,變換和加碼經濟制裁。此外,我國銀行、政府部門和醫療機構等重要部門遭受勒索攻擊的現實表明,物聯網和工業控制系統的安全防范需求迫在眉睫。具體到網絡和信息化供應方面,盡管在信息化核心領域各方都在努力,在操作系統、芯片、數據庫等方面已有一定的突破和能力儲備,但是在工業控制軟件、行業應用軟件以及相關的存儲與控制技術方面仍存在提升和拓展的空間。因此,在 2024 年,我國努力實現軟硬件產品的自主可控和安全可靠依然至關重要,物聯網安全防范仍將是需求的熱點之一。
(八)認知博弈操縱信息內容
認知戰集成網絡戰、信息戰、心理戰能力,針對特定社會認知進行長期且系統的影響,以期達到顛覆或控制群體思想認識或意識形態等目的。直白地講,數字傳播時代的認知戰就是“大腦爭奪戰”和“人心爭奪戰”。信息化和網絡化使認知戰不斷升級並在規模和效果上實現了質的飛躍。俄烏沖突和以色列哈馬斯沖突以來,在維護全球霸權和國際優勢的過程中,美國運用認知戰的手段越來越多,危害也越來越大。同時,認知戰向社會領域的拓展更加凸顯信息內容安全的復雜敏感。近年來,互聯網虛假信息、政治謠言、信息操縱和“信息繭房”等問題,均有不同程度的顯現,有時甚至引發嚴重的社會輿情。因此,2024 年,針對網絡空間認知戰理論與實踐的研究會更加熱絡,打擊網絡信息操縱和治理虛假、不良信息的需求會進一步增加。
(九)互聯網平台存在數據安全隱患
平台治理是互聯網治理的重要抓手,而數據安全則是平台治理的關鍵內容。數據安全研究不僅需要解決確權、估值、流通監管等問題,還必須著重解決安全問題。數據安全問題涉及法律和技術兩個層面。在法律層面,我國雖然已經建立了較為完備的數據安全法律體系,但相關法律的落地、治理效能等仍然存在不足,導致管理難度大,嚴重影響社會和諧。例如,過度收集個人信息引發隱私和道德焦慮、數據交易缺乏政策指引導致利益糾紛等問題。在技術層面,互聯網內容治理是一項長期任務,需要先進高效的技術手段。例如,網絡信息發布亂象不斷,致使“殺豬盤”“網絡詐騙”等現象像“牛皮癬”一樣屢禁不絕。因而,2024 年,數據安全、交易合規和平台治理仍將是互聯網治理的常態和剛需。
(十)黑域、灰產等需要安全感知和研究
發展與安全、創新與監管是網絡空間治理的永恆話題。人們從未停止對未來的幻想,也從未停止過對發展的創新。尤其是人工智能勃興之后,科技幻想和現實世界的距離越來越近,靈光閃現,利弊共生。既有元宇宙、區塊鏈等新技術新業態在蓄勢待發,也有隱鏈等黑域、灰產滋生蔓延。從網絡治理的角度看,這些新應用新業態的潛在風險不容低估。網絡空間擁有強大的技術潛能,其中隱藏的邊邊角角,隱晦的網絡聯系以及隱秘的圈子與群團,都需要被感知和研究,並給予足夠的重視。因而,這將是 2024 年乃至以后需要持續關注的未知領域和面對的安全挑戰,需要加強前瞻性理論研究和科學治理探索。
三、有效管理風險的對策建議
分析風險的目的是有效管控風險,我們要堅持穩中求進、以進促穩、先立后破的原則,這應是防范、化解網絡與信息安全風險隱患的總遵循。
(一)轉變安全理念,增強網絡韌性
面對綜合而復雜的網絡安全態勢,需要牢固樹立科學辯証的安全觀念,不斷增進網絡信息基礎設施的韌性,逐步消除“非黑即白”的安全焦慮。經過幾十年的信息化歷程,我國正從信息大國向網絡強國穩步邁進。長期以來形成的關注局部,追求絕對的“保姆式”網絡安全理念需與時俱進。在總體國家安全觀的指引下,要深刻理解“安全是相對的不是絕對的,是整體的不是局部的,是動態的不是靜態的”等辯証思想,充分理解並不斷增進網絡空間在長期的法律規范、管理政策和技術保障下形成的韌性和適應能力,合理分擔安全壓力,著力管控重大風險,容忍並逐步消除殘余風險。
(二)推進自主可控,強化內生安全
面對日趨激烈的科技競爭,需要牢固樹立自立自強的科技雄心,努力擺脫關鍵核心技術受制於人的困境和供應鏈“脫鉤斷鏈”的安全壓力。通過強化內生安全能力,持續推進核心技術和關鍵產品的自主可控。華為 Mate60 一機難求的事實提供了很好的例証。技術發展應在開放的基礎上更好地體現和更多地針對中國的發展特色和需求。在網絡和信息安全領域的科技創新中,必須緊扣中國實際,著力解決中國式現代化建設中面臨的急難愁盼問題。我們要把安全和發展緊密結合,追求自主創新和強化內生安全,積極穩妥地推進網絡安全的創新發展。
(三)提高預警能力,著力管控風險
面對網絡、數據、智能交融帶來的風險隱患,要完善並確立系統防御體系,著力改善在網絡安全保障方面的問題,包括分散多頭的防御和信息難以共享的狀況。為此,我們應通過增強網絡意識,優化預警方式,形成更加穩定的風險管理能力。當前,我們不僅面臨網絡安全問題,防范大量的數據風險,還要迎接人工智能技術帶來的挑戰,因此具有預警能力就至關重要。各部門、各行業應在態勢感知、威脅情報、風險監測、安全應急等方面聯合發力、聯網聚力,形成體系對抗格局,有效化解風險。網絡空間被視為一個安全共同體,是互通信息、共享情報、共建共用的安全基礎設施。因此,聯防聯控信息安全風險是進一步完善網絡與信息安全治理體系和治理能力的方向。
(四)加強國際合作,建立治理規范
面對網絡空間治理的全球挑戰,我們需要牢固樹立命運與共的理念,破除美國等西方國家在網絡空間治理話語權和規制權上的“圍堵”與“設限”,我們應該通過加強國際合作,積極推動全球治理規范的建設,不斷擴大和鞏固網絡空間命運共同體。作為全球負責任的信息化大國,我國在網絡空間命運共同體理念的指引下,已就網絡空間的全球治理提出了一系列積極、務實的建議方案,得到了越來越多國家的響應。最近,我國提出的《全球人工智能治理倡議》同樣引起了國際社會的廣泛關注。我們應該繼續積極參與並主動引領國際議程,統籌線上和線下宣傳中國方案。同時,我們需要充分利用多邊機制,多場合宣傳中國倡議,高度重視多方利益,通過多渠道傳遞中國聲音。此外,我們還應積極發揮民間作用,從多角度傳播中國故事,使共建網絡空間命運共同體的理念更加廣泛地深入人心。
(本文刊登於《中國信息安全》雜志2023年第12期)
分享讓更多人看到
- 評論
- 關注