摘 要:数字技术的广泛应用,带来了数字安全问题,从安全的态势来看,数字安全问题越来越复杂,既存在网络安全、数据安全、舆论操纵等问题,也存在供应链风险、系统性风险等物理世界的问题,而各国在数字安全治理上的观念分歧与政策错位,还导致了各国数字安全政策的冲突与协调问题。因此,需要将数字安全放在国家安全的整体框架下,建立起统一的应对策略。
关键词:数字安全 安全态势 网络空间 数字技术
【中图分类号】TP309 【文献标识码】A
数字技术已全面渗透到社会经济生活的各个方面,形成了一个新的网络空间。根据中国互联网络信息中心发布的《第52次中国互联网络发展状况统计报告》,截至2023年6月,我国网民规模达10.79亿人,互联网普及率达76.4%。
数字技术的广泛应用,带来了大量安全问题。首先是网络空间及相关的安全问题成为了各界关注的重点。早在2014年,在中央网络安全和信息化领导小组第一次会议上习近平总书记提出了“没有网络安全就没有国家安全,没有信息化就没有现代化”的重要论断。世界经济论坛发布的《2023年全球网络安全展望》显示,91%的企业和网络领导者认为,未来两年可能会发生影响深远的灾难性网络事件。而对关键基础设施的网络攻击在“当前显现的风险”中排名第五。同时,与网络相关的数字经济领域的安全问题越来越重要。数字技术全面渗透到社会生产生活与治理领域,其安全问题对经济运行将产生重大影响。根据工信部发布的数据,我国已建成跨行业跨领域工业互联网平台50家,平均连接工业设备超218万台,服务企业数量超过23.4万家。特色专业型工业互联网平台达221个,其中,面向行业平台有150个,面向区域平台有27个,面向特色领域平台有44个。大量的工业企业、设备全面上网,安全问题应得到更多的重视。三是数据安全问题越来越重要。数据已成为一种重要的生产要素,在经济生活中发挥着越来越大的作用。根据《国家数据资源调查报告(2021)》,2021年我国数据产量达到6.6ZB,占全球数据总产量的10%,位列全球第二。四是数字领域的安全风险全面向物理世界扩散,有可能导致科技研发、供应链产业链等多方面的风险。
数字技术作为一种通用目的技术(General Purpose Technology)具有广泛渗透性,使网络安全问题的范畴持续扩大,从而演化为数字安全,因为随着各行各业数字化水平持续提升,数据、网络、智能技术等在生产生活中越来越重要,因此,网络安全问题向千行百业延伸拓展,成为社会的底座。习近平总书记明确指出:“在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系”。为了进一步明确网络安全的这种广泛性,本文将数字安全定义为:与数字技术直接相关的网络空间安全、数据安全以及由于应用数字技术而带来的物理世界安全、社会治理安全等复合性综合性安全。数字安全是一个大的概念,既包括了虚拟世界的数据安全、网络安全、舆论操纵等问题,也包括物理世界的关键基础设施风险、供应链风险、系统性风险。在应对数字安全风险方面,各国的政策理念以及具体措施仍有不少冲突。从总体上看,数字安全越来越重要,给社会、经济、生活带来了深刻的影响,也给工业生产、科技研发等带来了巨大的影响。本文在分析数字安全新态势的基础上,对不同国家数字安全政策进行了深入讨论,并提出了我国的应对策略。
传统数字安全:网络空间安全常态化
数字技术的广泛应用,形成了一个新的空间——网络空间,由于其具有虚拟性、技术性、智能化等特征,带来了大量的网络安全问题,使网络空间的安全问题成为一种常态。
网络运行安全问题影响越来越大
一是基于网络漏洞、网络攻击等网络运行的安全问题越来越显著。根据国家互联网应急中心(CNCERT)发布的《2021年上半年我国互联网网络安全监测数据分析报告》,我国网络普遍存在着恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的安全问题。以网络漏洞为例,国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13083个,同比增长18.2%。其中,高危漏洞收录数量为3719个(占28.4%),同比减少13.1%;“零日”漏洞收录数量为7107个(占54.3%),同比大幅增长55.1%。2021年上半年,CNVD验证和处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.8万起。捕获恶意程序样本数量约2307万个,日均传播次数达582万余次,涉及恶意程序家族约20.8万个。马来西亚通信和数字部网站数据显示,在马来西亚,2020 年共发生了 6512 起网络安全事件,而到2021年1—5月,共发生了4615 起网络安全事件,几乎增长了一倍。因此,世界经济论坛发布的《2023年全球风险报告》将网络犯罪和网络不安全位列未来两到十年全球第八大风险。
二是网络安全问题的影响越来越大。网络安全严重影响了社会经济发展情况,网络安全问题正在给全球经济带来巨大的损失。从宏观上看,网络犯罪杂志(Cybercrime Magazine)测算,2015年全球网络安全犯罪带来的成本达到3万亿美元,而且每年以15%的速率增长,到2025年将达到10.5万亿美元,将超过全球自然灾害带来的损失,也大于全球非法毒品贸易之和,相当于全球的能源市场总价值。而且,网络安全犯罪极难预防,根据世界经济论坛发布的《2020年全球风险报告》,网络犯罪在美国被发现和起诉的可能性估计只有0.05%。从微观上看,企业数字化水平不断提高,大量的业务以及生产经营活动都依赖于网络,企业受到网络安全攻击后,将带来极为不利的后果。国际商业机器公司(IBM)发现,超过一半的网络攻击是针对中小型企业的,其中60%的企业在遭遇数据泄露或黑客攻击后六个月内倒闭。美国司法部的数据表明,所有勒索软件攻击中有75%是针对小型企业的。根据万事达卡(MasterCard)的数据,66%的中小企业在过去两年中至少发生过一次网络事件。即使对大企业而言,网络安全事件也将对其市值带来不利影响。IBM发布的《数据泄露成本报告》发现,在发生一次重大网络安全事件后,超过70%的企业的市值将损失5%以上;2022年勒索软件的频率增加了41%,平均成本为454万美元。
数据安全问题日益凸显
数字技术的广泛应用,使社会生产、生活、治理等过程全部数据化,带来了数据量的爆炸式增长。有数据表明[1],未来三年生产的数据量将与过去三十年生产的数据量相当,这些数据有40%来源于对机器运行过程数据的收集。这使数据安全问题日益严重。
个人数据安全问题受到了严重挑战。由于个人生活已全面数字化、网络化,个人数据的收集维度快速增长,人工智能叠加大数据,可能导致部分传统数据匿名化处理失效,匿名数据可能被重新识别。随着人工智能技术的应用,这些数据可以用于精准地预测、诱导乃至干预个人行为,将对个人生活乃至国家安全带来不利影响。例如,当前的很多电信诈骗具有利用个人数据进行精准诈骗的特征,这使被骗者非常难以预防。国家互联网应急中心发布的《2020年中国互联网网络安全报告》显示,我国公民个人信息未脱敏展示与非法售卖情况较为严重。监测发现,全年共发生政务公开、招考公示等平台未脱敏展示公民个人信息事件107起,涉及未脱敏个人信息近10万条。而美国联邦调查局(FBI)负责个人数据安全的特工在2018年公开表示,每个美国公民都应该预料到他们的所有数据(个人身份信息)都已被盗,并且在暗网中被售卖。2023年3月25日,美国开放人工智能研究中心(OpenAI)发布公告,证实部分网络安全Plus服务订阅用户的个人隐私和支付信息存在泄露。这导致了81%的用户担心ChatGPT带来的数据安全问题。
商业数据安全问题也越来越严重。企业数据云化、开放化、开源化、大连接均增加了数据防护难度;工业互联网将研发、生产、营销、管理等相关数据聚合起来,使数据在生产经营过程中的重要性日益增加。而随着供应链的数字化、智慧化,供应链带来的数据安全问题不容忽视。例如,美国连锁超市塔吉特(Target)和家居公司家得宝(HomeDepot)的数据泄露案件,都是从供应链方开始进行数据攻击的。从企业数据泄露来看,很多企业均收集了大量个人数据、供应链数据、经济分析数据等,这些数据泄露不但带来了巨额的经济成本,也带来国家安全方面的风险。
公共数据安全问题影响越来越大。公共部门是最大的数据拥有者,其数据涉及到大量个人隐私、国家安全等问题,数据安全问题影响非常大。根据英国信息专员办公室(ICO)报告,卫生和教育部门出现数据泄露的情况最多。英国警方在过去3年间共发生12起数据泄露事件。这些数据泄露事件带来了非常严重的安全隐患。
虚拟空间秩序安全问题复杂化
数字技术带来了一个全新的空间——虚拟空间。这个空间存在着无国界、容易扩散与渗透、管控难度大等特征,因此,更容易出现秩序失范,从而带来复杂的安全问题。2013年11月,习近平总书记在向十八届三中全会作关于《中共中央关于全面深化改革若干重大问题的决定》的说明中指出:“如何加强网络法制建设和舆论引导,确保网络信息传播秩序和国家安全、社会稳定,已经成为摆在我们面前的现实突出问题”。
虚拟空间秩序安全正在成为国家安全的重要组成部分。2022年11月,在罗马举行的北约网络防御承诺会议上,北约秘书长延斯·斯托尔滕贝格表示:“网络现在是一个与陆地、海洋、空中和太空同等的作战领域”。欧盟网络安全局 (ENISA)认为,网络间谍活动是一种日益严重的威胁,它不仅影响各个国家政府,而且影响经济部门,甚至影响对特定国家重要的战略参与者。
虚拟空间的数据信息流动容易失序。在网络空间中,每个参与者都可以成为信息内容的生产者,这导致了虚拟空间中信息泛滥,垄断了消费者注意力的大型平台或其他机构,在信息分发方面具有优势,几乎可以决定哪些内容能够在虚拟空间中快速传播,从而实现信息操纵。OpenAI的研究人员Lilian Weng和OSoMe通过模拟发现,信息分享的次数服从幂律分布,例如,信息被分享3次的可能性比被分享一次的可能性低大约9倍。这意味着在虚拟空间中,信息容易被操纵,内容分发主体可以控制内容的分发,这会影响社会舆论,放大偏见。在社会治理体系中,虚拟空间成为了一柄双刃剑,一方面可以实现更高效更广泛的舆论监督,另一方面,这种虚拟空间的内容及其传播非常容易被渗透,从而对社会公众进行思想攻击或错误引导,这将给国家安全带来不利影响。
牛津大学牛津互联网研究所 (OII) 发现,通过社交媒体平台操纵舆论已成为对公共生活的严重威胁,各种机构利用社交媒体平台传播垃圾新闻和虚假信息,破坏人们对媒体、公共机构和科学的信任。而元宇宙的兴起,更可以通过剧本化、场景化、沉浸式的方式,进行思想、文化、意识形态等多方面的渗透,使社会经济政治更容易受到外来力量的干预,带来了新的安全问题。
数字安全的新趋势:数字安全向物理世界传导
数字安全通过供应链传导到整个经济体系
数字技术已全面渗透生产、交换、分配和消费的每一个环节,对一二三产的生产和经营产生了巨大的影响。数字技术的强渗透性,使数字安全能够通过供应链传导到整个经济体系。工业互联网的广泛应用,使整个生产经营流程数字化,企业通过数字技术来全面控制企业的研发、设计、生产、管理、营销、售后服务等全部流程,当受到网络攻击时,会对企业的物理生产经营过程产生重大风险。当前,对工业互联网领域的安全问题仍重视不足,风险评估、安全防护、安全管控等方面的技术和意识仍较薄弱[2]。CNCERT监测发现,我国境内仍有大量暴露在互联网的工业控制设备和系统,存在高危漏洞的系统涉及煤炭、石油、电力、城市轨道交通等重点行业,覆盖企业生产管理、企业经营管理、政府监管、工业云平台等。实体生产领域往往具有连续性,一旦某个环节受到网络攻击而产生事故,将对整个生产流程带来影响,从而使损失进一步扩大。
数字技术推动了供应链的数字化与智慧化。供应链的数字化使不同的企业主体之间能够实现数据的互联互通,这要求供应链中的不同企业向其他企业提供接口,推动供应链的紧密集成,实现自动订购和自动发票开具,甚至自动结算支付等功能。这极大地提高了供应链的效率。但是,由于供应链中各个主体之间的安全防护能力之间有着巨大的差异,这使供应链成为了针对生产领域进行攻击的重点。例如,在Target导致1.1 亿条数据记录丢失的恶性事件中,攻击者就是通过空调服务供应商 Fazio Mechanical Services的接口,侵入Target的网络,并最终非法访问并获取其数据,导致了数据泄露。
现有的研究表明,供应链攻击正在快速增长。欧盟网络安全局 (ENISA) 的一项研究表明[3],2021年,利用供应链中的第三方实施侵入的网络事件占比达17%,而2020年这一比例不到1%。《2022年数据泄露成本报告》显示,2022年,供应链攻击的数量已超过基于恶意软件攻击数量的40%,供应链攻击导致的数据泄露数量超过了与恶意软件相关的危害。根据Argon Security的一项研究,2021年,供应链攻击比2020年增长了300%以上。一项针对全球1000名首席信息官(CIO)的调查表明,82%表示他们的组织容易受到针对供应链软件的网络攻击。开源软件中所存在的开源漏洞正在成为一个攻击的重点。2021年针对开源软件的供应链攻击增加了650%。针对供应链中第三方所使用的开源软件攻击的防护难度更大,根据灵迹软件服务有限公司(Dynatrace)的研究,61%的调查受访者表示,使用第三方或开源代码会使识别和解决应用程序漏洞变得困难,这是因为大部分使用开源软件的企业缺乏具有高安全度的策略。
因此,网络攻击是供应链安全风险中的重大挑战,维护供应链各个节点的安全将成为企业供应链风险管控的核心目标之一。毕马威(KPMG)的调查表明,近一半的全球组织将网络安全视为未来3年供应链的重要运营挑战。
系统性风险:数字安全的新冲击
数字安全对社会经济生活越来越重要,其一旦产生风险,将具有系统重要性。兰德公司的研究人员提出,可以借鉴金融领域的“系统性风险”的概念,将其应用到数字经济领域(RAND Corporation, 2020),从而研究数字安全问题带来的系统性风险[4]。数字安全的确已成为系统性风险的重要来源,主要体现在以下几个方面:
一是级联风险。这是兰德公司研究人员的核心观点。他们认为,全球经济的许多部门都依赖同一套网络关键技术产品和服务,将风险集中在未知数量的可能故障点上。这种系统性风险并不能通过个人或者单一组织在安全等方面的措施强化而得到缓解,而是经由某一网络安全事件触发,通过网络通路级联放大,进而产生风险的网络效应,形成系统性风险事件。触发器—网络通路—网络效应,三个因素独立或一起,从而产生系统性风险。
二是系统重要性平台及其风险。随着数字经济发展,数字平台的地位越来越重要,平台不但汇聚了大量的个人用户及企业用户,还积累了海量的数据,提供着大量与经济社会运行相关的基础服务。与系统重要性金融机构相似,一些在行业内具备重要地位的数字平台也对社会经济发展具有“大而不能倒”的重要作用,此类数字平台往往提供难以替代的关键服务,很难要求用户停止使用其服务或转换其他平台。一旦这类平台出现安全问题,就会导致系统性风险。世界经济论坛(WEF)将系统性网络风险定义为:“关键基础设施生态系统单个组成部分的网络事件(攻击或其他不良事件)将导致重大延迟、拒绝、故障、中断或损失的风险,从而使服务不仅在原始组成部分受到影响,而且后果还级联到相关的(逻辑和/或地理上)生态系统组成部分,对公共卫生或安全、经济保障或国家安全造成重大不利影响”。Dean Curran (2020) 进而提出[5],数字经济如同金融一样,成为社会联结的重要中介,在运行过程中有可能威胁到整个经济的运作。
三是关键基础设施的数字安全具有系统重要性。关键基础设施包括各种网络基础设施、电力设施等对社会经济安全具有重要意义与价值的基础设施,在数字化的浪潮下,这些基础设施容易受到数字攻击。通过远程网络方式攻击基础设施,已成为数字时代的一个新的网络安全问题。IBM根据美国网络安全和基础设施安全局(CISA)对关键基础设施的定义,发现22%的针对关键基础设施的攻击是由人为错误引起的,12%是由勒索软件攻击引起的,17%是由供应链攻击引起的。在现实中,针对电网、铁路等基础设施的数字攻击已时有发生。
应对数字安全新态势的政策建议
一是要加大数字核心技术的研发力度,推动数字安全产业化发展。技术是数字安全的“命门”。无论是快速应对数字安全的威胁,还是提高对数字安全的预防能力,归根到底,都需要核心关键技术进行支撑。习近平总书记2016年4月19日在网络安全和信息化工作座谈会上的讲话明确提出“要以技术对技术,以技术管技术,做到魔高一尺、道高一丈”。因此,在国家层面要进一步支持数字安全技术的研发,包括底层的密码技术、操作系统安全技术、芯片安全技术,到应用层的网络运行安全技术、工业软件安全技术等,并推动人工智能、区块链等技术在数字安全领域的广泛应用,从而建立起保障数字安全的技术体系。在技术创新的基础上,鼓励数字安全产业化发展。我国数字安全产业规模偏小,原始创新不足,高端供给不够,领军人才缺乏,是制约我国数字安全的重要因素。要通过税收、人才、技术、市场准入等多方面的综合支持政策,推动数字安全产业做大做强。
二是大力推动数据安全制度建设。数据安全既与技术有关,也与制度有关。要建立起数据安全的相关制度。在数据作为生产要素的前提下,进一步完善数据保护的制度架构。要建立起平台企业、应用程序等相关主体收集个人数据的规则体系,尽快明确数据分级分类保护的具体内容、标准,做好隐私、信息等数据区分和保护。建立工业互联网、物联网等非个人数据的收集、使用、共享、交易等方面的规则,明确非个人数据的安全防护标准。进一步明确国家数据局在数据保护方面的职能,与第三方机构协同,分行业、分地区开展企业数据保护评估,倒逼企业强化应对数据风险的组织管理建设和技术实力,鼓励企业自主探索数据保护路径,实施多元化监管措施。探索区块链、隐私计算等新技术在数据保护中的应用,可率先将此类技术运用到高度机密、对数据传输效率要求相对较低,可承受成本更高的部分政府、企业核心数据保护上。
三是建立起高效有序的数字虚拟空间秩序维护机制和安全机制。虚拟空间的秩序安全问题是一个涉及多维度、多主体、多目标、多手段、多视角,且涉及到国际国内的复杂问题,需要在“安全、发展、权利”等多重目标之间进行平衡。一方面,应该看到虚拟空间的失序,本身会给其带来安全隐患,而且这种虚拟空间的失序将带来各种失范行为,如侵犯个人隐私、各种类型的网络暴力、网络排斥、网络谣言、虚拟新闻,乃至于形形色色的网络犯罪,都将威胁虚拟空间的运行,对国家安全造成损害。另一方面,对虚拟空间失序行为的治理,并非政府单方面的行为,不能采取纯粹刚性的方法,而是要采取富有弹性的手段和方式。因此,需要协同政府、网民、平台、各种虚拟组织等各个主体的治理行为,推动网络“技治、法治、自治”三者的融合互动,使“工具、法律、自律”三者之间达到统一,从而更好地维护虚拟空间的秩序安全。要推动各个治理主体,包括政府、平台乃至于社会公众,积极运用人工智能等前沿数字技术,共同对虚拟空间的秩序安全进行维护。例如,各个主体要积极利用人工智能自然语言技术,对虚拟空间的各种谣言、虚假新闻、极端言论等进行深度治理,从而避免这些内容泛滥,影响虚拟空间的安全,并进一步影响物理空间的安全。其次,建立互联网平台、用户、第三方机构、政府等多方面参与的虚拟空间秩序安全机制。尤其要重视平台等新主体维护虚拟空间秩序安全方面的作用。平台在关于虚拟空间的规则制订、内容框架、实施机制等方面,都要考虑到安全因素。
四是关注供应链数字安全,提升中小企业数字安全水平和防护能力。工业互联网快速发展,数字技术全面渗透到供应链产业链,带来了供应链产业链的数字安全问题。首先要提高对供应链数字安全的认识。当前,对网络运行安全、数据安全、虚拟空间秩序安全等问题已形成共识,且有大量的制度与技术措施已在运行中。但在讨论供应链安全时,重点关注的是供应链的物理安全问题,对供应链数字安全问题仍缺乏系统性的认识。因此,无论是政府部门,还是供应链的主导企业,都要将供应链数字安全问题放到更高的地位。其次,要通过各方协同,推动建立起供应链软件、数据等安全标准体系。供应链软件的接口不一,数据标准不统一,已成为供应链数字攻击的重要入口。因此,从安全的角度出发,建立起接口、数据、软件等各方面的标准,有利于提高供应链数字安全水平。最后,要重视中小企业数字安全水平。经济合作与发展组织(OECD)2021年的研究指出,中小企业的数字安全能力与大中型企业之间仍存在着巨大的差距,2015年欧洲只有30%的中小企业制定了正式的安全政策,而大型企业中这一比例接近70%,在整个OECD国家,大型和小型企业之间的数据安全能力与政策执行方面的平均差距为45%,最终导致中小企业成为供应链安全的薄弱环节。在提高中小企业数字安全水平方面,推动中小企业上云是一个重要的环节,基于云原生的业务体系,将安全架构于云上,比中小企业自身有着更高的安全防护能力。
五是建立起数字安全系统性风险预防机制。数字安全所带来的系统性风险是一个全新的问题。首先要对数字安全所带来的系统性风险进行深入研究,明确系统性风险的要素和条件,建立可能触发系统性风险的网络安全事件预警机制。其次明确数字经济风险传导渠道,识别具有系统重要性的数字实体并建立起相应的监管制度。再次,加强关键基础设施协同防护。尤其是要重视关键基础设施的网络安全、数据安全,将其与物理安全放到同等重要的地位。最后,要建立起数字安全系统性风险预防的政府部门联动机制。数字安全引发的系统性风险,不但涉及到数字主管部门,也涉及到其他相关政府主管部门,只有通过这些部门间的协同,才能使系统性风险预防机制更为高效。
六是积极参与数字安全全球协同机制。由于虚拟空间的无界性,以及数字技术的快速传播性与渗透性等特点,数字安全已成为全球共同的问题。但是,应该看到,在数字安全协同方面,各国并没有完全达成一致,个别国家在数字安全方面追求绝对安全,并将数字安全问题泛化、武器化,实行“长臂管辖”的防御机制,给数字安全全球协同机制的建设带来了阻力。我国已向国际社会发起《全球数据安全倡议》,积极申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA),通过这些国际合作,积极参与数字安全全球协同机制,从而更好地应对数字安全所面临的新态势、新问题。
【本文作者为中国社会科学院财经战略研究院研究员,中国社会科学院大学教授;本文系中国社会科学院创新工程项目“防止资本无序扩张——基于数字平台的理论与实证研究”(项目编号:2022CJYB03)阶段性成果】
注释
[1]Pepe Zhang,Data 4.0–Rethinking rules for a data-driven economy,https://www.weforum.org/agenda/2022/01/data-4-0-rethinking-rules-for-a-data-driven-economy/,Jan 31, 2022
[2][3]James Gordon,How to reduce cyber attacks in the global supply chain, https://www.raconteur.net/risk-regulation/how-to-reduce-cyber-attacks-in-the-global-supply-chain/
[4]RAND Corporation,Systemic Risk in the Broad Economy--Interfirm Networks and Shocks in the U.S. Economy,https://www.rand.org/pubs/research_reports/RR4185.html
[5]Dean Curran (2020) Connecting risk: Systemic risk from finance to the digital, Economy and Society, 49:2, 239-264.
责编:程静静/美编:石 玉