没有网络安全就没有国家安全,没有信息化就没有现代化。
——2014年2月27日习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话
没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
——2018年4月习近平总书记在全国网络安全和信息化工作会议上的讲话
没有网络安全就没有国家安全
——从国家安全视角审视网络安全
牟承晋
我国公众计算机网络(Public computer networks),一般称为互联网(internet,下同),在物理层、逻辑层、应用层、社会层遭遇的安全事件不断泛化、深化、武器化、战争化,反复证明了十年前习近平总书记“没有网络安全就没有国家安全”的重要论断,发人深省。
从互联网运行和使用中,及时捕捉、洞察、掌握蓄意危害国家安全的间谍行为、内奸活动、祸国伎俩,是我国家安全机关和人员应该深入了解、敏感反应、善于斗争的专业职能、基本任务和重要使命。
深刻、充分、全面地了解和把握互联网客观存在的技术利弊、逻辑关联、应用背景及态势感知,有利于、有助于我国家安全机关和人员透过现象看本质、于细微处见知著,坚定履行职责,坚决保障任务,坚贞恪守使命。
一、核心技术受制于人,是无所不在的最大安全隐患
1994年,我国中关村地区教育与科研示范网络,通过64Kbps的通信专线,接入美国因特网(Internet,美国控制的互联网,下同)。
1996年,中国电信开通中国公用计算机互联网(CHINANET)提供服务;1997年,中国公用计算机互联网实现与中国科技网(CSTNET)、中国教育和科研计算机网(CERNET)、中国金桥信息网(CHINAGBE)的互联互通,完成了汇集在因特网体系下的中国互联网核心架构。其中,基础的基础、关键的关键、根本的根本是:
一方面,中国公众互联网全面受制、受控于美国单方面设计、规范、操纵的IPv4、IPv6网络协议,以及基于IPv4、IPv6协议所构成的网络空间域名、地址、AS自治域编码组合构成的DNS解析系统。其核心是美军和美国政府编织、控制的网络空间路由表。
本世纪以来,美国对13台根域名服务器先后采用“任播”(Anycast)路由技术,并正式定义为“根域名服务器系统”(RSS:Root Server System)。因此,亚太地区网络信息中心(APNIC)首席科学家杰夫·休斯顿(Geoff Huston)说,“DNS就是互联网”。
美国商务部代表美国政府监督DNS。美国威瑞信(Verisign)公司根据与美国政府签订的第NCR 92-18742号合作协议,管理授权的根区文件。威瑞信的职责包括:按照政府建议改变(变化与调整)及编辑根区文件,发布该文件,将该文件(通过“A”根域名服务器)分发给其他11家根服务器运营者。威瑞信公司不仅管理和运营根域名系统A和J,而且负责注册和服务“.com”、“.net”、“.tv”、“.cc”、“.name”等网络空间通用顶级域名。
美国国家电信和信息管理局(TIA),以及在美国政府监督下注册设立于美国、受美国法律约束(保护)的互联网域名与数字地址分配机构(ICANN)、互联网数字分配机构(IANA)、公共技术标识符机构(PTI)等,构成了多重相互制约监督DNS的机构和组织。
2009年3月,伦敦经济和政治科学研究院(LSE)发表的“中国与域名系统”研究报告称:域名系统DNS是典型的“固有政治性”(inherently political)技术;摆脱DNS技术的固有政治性,取决于新标准和体系结构的变革。
2021年在拉斯维加斯举行的“黑帽”(Black Hat)大会上,以色列网络安全公司“奇才”(Wiz)发布报告称:“DNS的漏洞使国家级的间谍活动仅需简单地注册一个域名”。报告称,进入亚马逊的AWS(全球政务云),采用与Route 53域名服务器相同的域名注册之后,立即开始收到来自世界各地超过一百万个具有唯一性终端的大量DNS数据,主要是来自运行Windows操作系统的动态DNS数据,包括15,000多个组织机构,其中有财富500强公司、45个美国政府部门和85个国家政府机构,这些数据包含大量有价值的情报。
再一方面,中国公众互联网全面受制、受控于美国单方面制定、规范、操纵的基于TCP/IP协议(标准)和协议簇(栈)构成的信息和通信技术服务供应链(ICTS)及其指挥与控制(C2)系统,其核心是美军和美国政府编织、控制的“藏宝图”,即网络空间“地形图”。
TCP/IP协议栈是互联网通信互连互通的基础,互联网上任何联网设备都要安装TCP/IP协议。虽然TCP/IP协议的技术标准是规范的、全球公开的,但实现TCP/IP协议栈的软件是专业企业所开发,不是开源的。例如,TCP/IP协议栈是美国Treck公司的产品,是“嵌入式”(Embedded)的模块化系统设计,而且是“零副本”(Zero Copy),其源代码不开放。也就是说,Treck公司的TCP/IP协议栈(包括IPv4和IPv6)是网络空间供应链中的一个不可忽视的环节,且对于终端用户来说,是被动接受和被迫使用的一个“黑匣子”。
互联网工程任务组(IETF)主要负责TCP/IP协议簇的进一步发展、规定和规范TCP/IP协议簇的标准化,以及将其他协议(例如OSI协议)集成到互联网的运行中。
2017年5月,IETF发布正式文件RFC 8179(BCP 79),宣布其处理知识产权主张的三原则(同时废弃RFC 3979和RFC 4879),即:
1)不会确定任何具体知识产权主张的有效性;
2)可以决定使用已经被公开的知识产权技术;
3)所有参与IETF讨论的人员,必须披露已知知识产权或任何可能将涵盖的未知知识产权及其推荐者。
说到底,就是IETF不承认涉及互联网的任何知识产权,有权自行决定采用或不采用任何知识产权技术,而不承担任何知识产权责任。一句话,互联网的技术标准和协议及其应用,只能是IETF说了算,任何国家、组织和个人说了都不算。
2020年12月18日,美国网信安全及基础设施安全局(CISA)发布工业控制系统警报(ICSA-20-353-01),其中明确,TCP/IP协议栈安全漏洞的严重程度(CVSSv3)为9.8,直接影响超文本传输协议(HTTP,Hyper Text Transfer Protocol)、因特网协议第6版(IPv6,Internet Protocol Version 6)、动态主机配置协议v6(DHCPv6,Dynamic Host Configuration Protocol v6);再进一步,受TCP/IP协议栈漏洞安全影响最大的,将是遍布各行各业的各种可编程逻辑控制器(PLC)。
上述两方面,实质上是从互联网最底层的基础设施和基本理念,透过互联网的物理层、逻辑层、应用层、社会层,无孔不入地牵制、限制、遏制、制约我国网络空间的“主权、安全、发展利益”,长期深入地迫使、诱导、欺骗我国“让渡”网络空间的所有权、领域权、主导权、主动权、话语权、管辖权、治理权、控制权和国家安全的保卫权、自卫权等等。
基础不牢、地动山摇。
2007-2014年间,参加ISO/IEC未来网络标准思路预研与讨论的中国及多个国家成员体的代表、专家就一再指出,当前互联网的本质是不平等、不公平的垄断体系,是不科学的技术结构,是不安全的“保障”机制,是以全世界网络空间的不安全换取美国“一网独霸”的所谓网络空间“安全”。
中国专家指出,在美国军方阿帕网(ARPAnet)基础上延伸扩展的因特网→互联网,最初就不具有网络空间命运共同体各方平等、公平的安全机制。只许信任美国,只许信任美国军方,只许信任单一中心控制全球的框架结构,为网络空间安全埋下了难以弥补、无从防范的木马隐患、监控隐患、网络攻击隐患等等。先天不足是导致当前互联网不安全的本质内在因素。
自上世纪90年代以来,我国网信业界盲目追崇、迷信美国政府实际控制的因特网监督约束机构(包括网络空间的协议、标识和标准,战略、策略和政策,技术、产品和设备等)的桎梏,敷衍、摈弃、反对、抗拒独立自主创新的不乏其人,不乏阳奉阴违、弄虚作假、沽名钓誉、谋夺既得利益者,以及沉浸于“山外青山楼外楼,西湖歌舞几时休;暖风熏得游人醉,直把杭州作汴州”的大有人在。危害、贻误、破坏我国网络安全的国内外人为因素交织演进、与日俱增。
正因为此,希拉里·克林顿任美国国务卿期间就曾放言:“across the greatwall we can reach every corner in China”(穿过长城,我们可以到达中国的每个角落)。
正因为此,乔治·沃克·布什(小布什)总统任期,时任美国国务卿鲍威尔、商务部长埃文斯、贸易代表佐利克联名致信中国领导人,武断蛮横地要求中国放弃使用中国政府早已明确规定强制执行、作为无线局域网络接入安全机制国际标准的WAPI(中国拥有无可争议的完全自主知识产权)。
正因为此,美国对中国网络空间的渗透无孔不入。芯片、路由器、操作系统、GPS导航等等无不做尽手脚,千方百计在关键技术、核心技术、基础技术方面制约、限制、封杀中国,不断诱导、欺骗、蒙蔽、鼓吹中国只做受制于美国网络的跟随者,不去为网络基础与核心技术独立自主地务实研发和创新而自力更生、奋发图强。
正因为此,习近平总书记10年前就强调:“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患。”
正因为此,习近平总书记一再强调,要紧紧牵住核心技术自主创新这个“牛鼻子”,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。
二、必须厘清与网络安全相关的重要术语词汇
Network security与Cybersecurity,是英语中两个不同概念和意境的“网络安全”。中文(汉语)翻译和理解时,容易混淆。
作为传统通信领域的专用术语词汇,“网络”对应英文的Network,过去未有争议。本世纪初,美国政府和军方推崇赛博空间(Cyberspace)是信息环境中的“全球域”。在制定和部署赛博空间安全威慑战略的前提下,2010年以来,Cyber成为新的“网络”泛用术语词汇。但在安全领域,此“网络”(Cyber)与彼“网络”(Network)不可相提并论。
2015年12月,欧洲网络和信息安全局(ENISA)发布《网络安全的定义》(Definition of Cybersecurity)强调:“网络安全(Cybersecurity)是赛博空间(Cyberspace)的包容性术语,对其含义的共同理解是一个重大挑战。”显然,Cyberspace不是传统意义上汉语语系的“网络空间”,而只是美国政府和军方定义的英语语境下的“赛博空间”;Cybersecurity明确无误地专指赛博空间安全,与传统的计算机系统网络安全(Network Security)存在外延和内涵、现象和本质的区别与差异。换言之,各国的计算机系统网络空间是有国家主权、有安全治理和管辖权、有(网络空间命运共同体)和平共处原则和底线的;赛博空间只是包容宇宙万象多维多元网络空间的一部分(或一组复合层面),只是美国一家说了算,只许美国称霸,不许各国拥有主权、治权、话语权、管辖权的所谓“同一个世界、同一张网(Internet)”的单一空间。
美国多年来反复强调,将赛博空间(Cyberspace)定义为与陆海空天疆域同时并存的“第五作战疆域”,包括:
1)建立赛博空间;
2)实施作战任务;
3)获得“制网权”为目标的利用与控制。
并认为,这三个方面,能够提供快速决策、指导作战和实现预期作战效果的能力,提高制定政策和决策速度从而产生更大的作战能力,是维护美国国家安全的关键因素。
2014年6月9日,美国国防部(DoD)发布《专业术语和定义》,针对“第五作战疆域”做出了相关定义和图解。其中:
1、网络空间(Cyberspace)在全球范围内,由互联互通的信息技术的基础设施和存储的数据所组成的信息环境,包括因特网、通信实体、计算机系统以及嵌入式处理器和控制器。
●包括因特网等上述系统设备在内的相互依存的互联互通;
●包括与关键行业的信息技术基础设施与因特网等上述系统设备的相互依存的互联互通;
●包括通过计算机互联互通(尤其是因特网)所提供信息和资源的范围;
●由信息技术基础设施组成互联互通网络(包括因特网等上述系统设备)组成的全球性信息环境。
2、网络安全(Cybersecurity)为保护计算机网络、系统或存储的电子信息而采取的措施,以防止未经授权的访问或企图访问的行为。
●包括防止恶意损毁,未经授权使用或利用电子信息和通信系统以及其中保存的信息,以确保保密性、完整性和可用性;并在发生恐怖袭击事件或自然灾害后恢复电子信息和通信系统。
●对网络、系统和数据的可用性、保密性、完整性、认证性及不可否认性的保护、防护和维护之能力。
●保护或保卫网络空间免于遭受网络攻击的能力。
3、网络威胁(Cyber Threats)网络威胁具备三个特点,并且其复杂性在持续提升;
1)依靠和利用他人开发的恶意代码从事于黑客行为;
2)可以自己开发工具,并利用公开的漏洞以及发现新的漏洞;
3)具有完备的资源,可以专注于在目标系统中创建漏洞。
4、网络攻击(Cyber Attacks)针对部门或企业在网络空间的应用,以中断、禁用、破坏或恶意控制计算环境及基础设施;或破坏数据的完整性,窃取被控信息;或故意破坏计算机系统、网络及所提供与支持的功能。
5、网络事件(Cyber Incident)在没有合法权限或授权的情况下,任何企图或成功地访问、渗透、操纵或破坏应用程序和信息系统以及数据的完整性,保密性,安全性或可用性的行为。
6、网络漏洞(Cyber Exploitation)任何方式或手段渗透对手的计算机系统或网络,以获取数据和信息。
7、网络间谍(Cyber Espionage)指入侵或渗透网络的行为,以获得敏感的外交、军事或经济信息,包括个人信息、敏感数据、专用或涉密信息。
美国国防部诠释以上与赛博空间相关的术语定义,试图将全球创建网络空间的智慧和科学技术研究都引向美国定义的赛博空间,让全球围着美国单方面定义的框框条条,一厢情愿地围着赛博空间打转转,忽略、回避、让渡各国的网络空间主权。
问题是:通过计算机系统所提供的资源和信息对等互连、和平互通的计算机网络(Network),怎能用致力于网络战争(包括间谍渗透、恶意攻击、安全漏洞)的赛博网络(Cyber)定义偏颇、狭隘地加以规范和限制?桎梏与约束?
恰恰是上述网络术语揭示的真相,让我们能够对网络主权和安全保持清醒的头脑、认识和视野。
针对美国对我国的蓄意封杀、制裁与对抗,维护我国的主权、安全、发展利益,不能不以其人之道还治其人之身,或反其道而行之,“破茧而出”,化被动为主动,变不利为有利。
三、明网、深网、暗网都存在网络安全的严重漏洞
深网系统(Deep Web)、暗网系统(Dark Web)和暗网网络(Dark Net),是互联网问世以来就存在的网络事实。
对此,长期以来,我国的网络主管部门、网络信息安全立法执法部门和网络信息业界各领域战线,都缺乏足够的认识、认知和重视。主流媒体和专业机构很少对网民(尤其是公务员和青少年)实事求是地介绍、教育、宣传和披露真相。我国一些网络“权威”总是刻意回避、极少提示警醒大家:时时刻刻环绕在我们身边的互联网络,不仅是明网,还有深网+暗网!
1、明网、深网和暗网的归纳
凡是能够通过公众皆知的搜索引擎访问和链接的网站及其内容,构成明网系统。
不能通过常规搜索引擎访问和链接的专属局域网及其内容,构成了深网系统,包括通常被称为专网、内网的网络系统,如党政专(内)网、高校校园专(内)网、金融专(内)网、公安专(内)网等等。美国的人口普查局(CBUS)、证券交易委员会(USSEC)、专利商标局(USPTO)等,都建立了各自的深网系统。
前些年,专业机构和人士测量认为,互联网的网站及内容,明网系统约占4%,深网系统+暗网系统约占96%,深网内容的规模是明网的500倍以上。事实上,由于暗网在网络数据信息战争、斗争和竞争中的应用演进激变,深网(包括暗网)的扩展规模及速度远超明网。
暗网是深网的一部分,其内容被人为刻意隐藏,需要使用特殊的软件(如TOR)才能访问。
暗网网络(Dark Net)是叠加在电信网络之上可以隐瞒真实通信身份的私有网络;
暗网系统(Dark Web)包括暗网网络(Dark Net)所承载的匿名交互和隐藏服务的所有网站及内容。
深网与暗网的一般性特点归纳,如下表所示:
2、深网+暗网是威胁网络安全的主要空间和路径
“太阳风”网络信息安全事件,是典型的潜入深网恶意引导、诱骗、伪造导致的安全事件。
2021年2月8日,美国网信安全及基础设施安全局(CISA)发布报告(AR21-039A),要求进一步深度审视“太阳风”(Solar Winds)网络管理软件和“猎户座”(Orion)平台,以及被植入后门和恶意软件与远程控制木马的详细取证和技术分析。并明确指出,“avsvmcloud.com”是“太阳风”安全事件中恶意注册的“指挥与控制”(C2)域名,在该恶意域名下,通过域名生成算法(DGA)设立的37,534个子域名:
1)是用于诱导误导客户的虚假站点;
2)以域名“别名”(CNAME)的转换,劫持“太阳风”软件客户用以推送已移植入后门的软件;
3)由此,主要针对“太阳风”软件的动态链接库“Solar Winds.Orion.Core.BusinessLayer.dll”,递进和持续地渗透目标客户系统。
“太阳风”网络安全事件,被认为是美国在准备全面战争的紧急状态下,主动进行的全国性压力测试中,所发现的特别重大的网络安全隐患。该隐患必然会被美国利用为指挥与控制网络武器系统的重要杀手锏。无论从网络安全、数据安全还是国家安全的全局出发,我们绝不可以掉以轻心。他山之石,可以攻玉。
严重的问题在于,“太阳风”网管软件在中国的代理商(如北京昆仑永通、上海卫士康科贸等),向我国的航空、航天、汽车、造船、兵器等行业和党政部门,以及中国人民银行等金融机构广泛推广应用“太阳风”软件。国家保密科技测评中心也采购了“太阳风”软件。这些代理商和应用单位,无论是有意还是无意,无论有什么背景和理由,事实上从事(或提供)了威胁、危害我国关键、重要、敏感部门单位网络安全和国家安全的活动(及平台)。有关部门应积极介入追溯、清理、调查(侦查)和及时处置,所有“太阳风”网管软件必须坚决撤除、更换。
毫无疑问,网络安全防范和治理的重点在深网系统+暗网系统。必须注意的是,深网系统若不能有效地扼制、抑制和制衡安全隐患,只是鼓动仅仅游弋于明网系统的网民和用户打补丁、堵漏洞、升级操作系统等,不过是商业炒作,对网络安全防范和抵御的有效作用实在有限,甚至适得其反。
3、暗网是怎样算计和危及网络安全的
支撑暗网网络和系统的本源,是可替代的、异类的因特网域名解析核心枢纽DNS。换句话说,DNS解析系统既是基于因特网构成的互联网通信的中枢,也是危及互联网安全的关键所在。
暗网系统形成的交易平台效应如下图所示:
暗网交易,都是运行、环绕、藏匿在暗网系统中“阴影”下的隐蔽行为,主要包括:恐怖活动、毒品走私、军火买卖、儿童色情、恶意软件、黑客牟利、间谍联络、情报传递……,分享传播范围极广、速度极快、伪装很强。在专业人士看来,热衷于暗网活动与交易的个人或团伙、组织,非奸即盗。在明网、深网的多重掩护隐藏之下,暗网像是一层一层蚕丝缠绕覆盖叠加裹成的“洋葱”,所有看不见、摸不着、深藏在明网深处的不安全因素,几乎都蛰伏在“洋葱路由”之中。
因基于DNS的内容推送网络(CDN)被合法化、全球化、商业化(尤其是在我国),以及关联的新技术日臻完善、严密,有专业人员形象地比喻,过去只需“扒”(追溯)五六层、七八层,现在也许要“扒”十几层才能拎出来、捋清楚真实的路由、网址、黑客,工作量不断增加。
据2016年的统计,在使用第二代暗网网络洋葱路由TOR的全球排名前十位的国家(美国、俄罗斯、伊朗、巴西、英国、德国、土耳其、法国、印度、中国)中,每天的用户就已经超过2.2亿。
不仅国外的专业间谍情报机构,世界排名前30名的私人军事与安保(安全)公司(PMSC),都具备在全球范围利用深网和暗网系统联络、追踪、搜索、定位、捕捉、打击的快速隐蔽精准能力。国际知名PMSC,许多打着“国际咨询调查服务”的旗号,在中国设立了分支或代理机构,实际就是从事商业情报收集行动的机构平台。
美西方跨国公司在中国的机构,都有直接连接全球及我国内重要客户的专网专线,而无须经过中国三大电信运营商。独立于三大运营商之外的中国教育和科研网,存在明显的技术漏洞和安全弊病,其按照美国IETF标准构建的纯IPv6网,以学术和实验为名,几乎不受我国政府的监督控制。事实上,教育科研行政和事业主管部门,也不具备监管能力,或形成监管真空。
四、我国应用DNS的安全现状浅析
一方面,域名服务器(DNS)提供了互联网域名、IP地址的查询转换服务,是终端系统和用户访问网络用户及应用所必须的基础服务;另一方面,DNS的递归域名服务是终端系统和用户访问整个网络域名空间的入口,所有的域名查询都需要通过递归域名服务器(Recursive domain name server)执行。
1、DNS在互联网中的安全风险隐患和缺陷是固有的、不可回避的。其导致不安全的主要欺骗性表现在于:
——缓存投毒(DNS cache poisoning),又名缓存污染(DNS cache pollution),能够将某些刻意制造或无意中制造出来的域名服务器分组,绑架域名指往不正确的IP地址或路由路径;
——拦截网络范围内域名解析的请求,返回假冒的伪装IP地址或令真实请求失去响应,称为DNS劫持;
——伪造DNS主机,实施中间人冒充的欺骗性攻击。
DNS内在的被动特性,被网络黑客(包括情报掮客和职业间谍)及美国军方和情报机构充分利用,有组织、有计划、有预谋地构成了足以湮没明网的深网+暗网系统,构成了网络空间的无底黑洞,是我国和世界网络空间长期不安全、不安宁的深层原因。俄乌战争冲突中,已有充分表现。
2、我国电子政务外网的安全问题突出。
2016年,中国互联网络信息中心(CNNIC)发布的《中国域名服务安全状况与态势分析报告》指出:
“递归域名入口监管作用尚未发挥,服务安全有待加强。首先,递归域名服务是用户访问整个域名空间的入口,所有的域名查询都需要通过递归服务来执行,因此能够在国家网络安全管理和应急安全处置中发挥重要作用,然而我国相关网络监管技术手段尚未覆盖到递归域名服务;其次,由于递归域名直接面向用户服务,且能够轻易掌握用户的所有上网行为信息,其安全运行对于保障我国互联网日常安全也极为重要,然而我国尚未建立统一的针对递归域名服务的安全监测手段和应急协调机制,导致递归层面的域名服务安全和信息安全防护存在一定的缺失。”
国家电子政务外网管理中心《2016年国家电子政务外网域名应用安全状况与分析报告》指出:
1)各专属局域网(包括中央部委级、省级、市级)所配置的专属递归域名服务缺乏安全管理,交由企业托管和商业代管以及交叉共享的状况较为普遍,以至于网络基础设施建设缺失了应有的中枢服务系统;流失了域名应用入口的数据和信息资产;损失了对网络本源的安全防御以及应具备的威慑力。
2)对域名服务(谁服务于谁)存在误区或盲区,忽视了网络域名应用安全的管治,终端系统和用户对“免费”域名服务滥用和误用的现象成为常态,而所配置的专属递归域名服务多为形同虚设,甚至己方无人问津而彼方跨境访问不息。
3)利用网络域名应用承载隐蔽隧道(CT)的指挥和控制(C2)、跨境数据传输、“支流”僵尸(Feeder Bot)以及DNS放大攻击的安全事件呈上升趋势,而且往往是以事前未知小概率行为触发一次突现的网络涌现(Emerging)效应。
以上状况和态势,迄今没有得到有效地改善和缓解,有些状况甚至愈演愈烈。
我国的递归域名服务器在数量和分布上呈现出明显的“非对称性”和“动态变化性”,被认为是网络信息安全“异常”。据美国“影子服务器”(Shadow Servers)公司截至2021年8月20日的实时统计,全球递归域名服务器(仅53端口/UDP协议)按数量统计,中国(大陆)以753,753台排名第一,约为排名前十的美国、俄罗斯、韩国、印尼、巴西、印度、台湾、波兰、伊朗数量总和的2.34倍。从域名入口的网络态势来看,称中国公众互联网是被美西方控制的“裸网”不虚、不夸张。
3、我国公众网络安全现状与态势堪忧。
据国家互联网应急中心(CNCERT)2017年7月3日-9日网络安全信息与动态周报,与上周相比,境内感染网络病毒的主机数量超过54万台,增加了13.6%;境内被篡改的政府网站增加了2.1%;境内被植入后门网站总数增加了20%,其中政府网站增加了50%;新增信息安全高危漏洞增加了7.7%。CNCERT评估当时网安质量为“良”。
又据CNCERT的2024年4月8日-14日信息安全漏洞周报,国家信息安全漏洞共享平台(CNVD)本周共收集、整理信息安全漏洞376个,其中高危漏洞158个、中危漏洞201个、低危漏洞17个;涉及0day(有可能未被公开、官方还没有补丁)的漏洞314个(占84%);出现“Tenda AC10U from Address Nat 函数堆栈缓冲区溢出漏洞、Tenda AC10U from Dhcp List Client 函数堆栈缓冲区溢出漏洞”等零日代码攻击漏洞(zero-day,又叫零时差攻击,指发现后立即被恶意利用可造成巨大破坏的安全漏洞)。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数12,440个,与上周(6,454个)环比增加93%。CNCERT评估当时网安质量为“中”。
不得不提请注意,美国“太阳风”网络安全事件的调查分析表明,如果每个单位(甚至每个网民)都去下载TCP/IP的补丁(开源软件包),很可能遭遇源代码的二次“污染”,或成为大规模入侵网络空间的“带路人”。“各扫门前雪”或“约定俗成”的“安全”误导意识,本身就是开放的安全漏洞。而IPv6端到端的特性服务,为“人人下载”TCP/IP补丁提供了充分便利,很容易形成错综复杂和大规模的二次(或多次)“污染”。
长期以来,我国公众互联网始终处在前所未有的不安全威胁、渗透与侵害的火山口上、风口浪尖中。我国现有的公众互联网络设备设施,从硬件到软件,从基础到应用,几乎全套的“美式装备”,一水儿的“美国制造”,清一色的“美国协议(标准)”,一切尽在美国掌握之中。
我们不能不高度警惕,我国当前的公众互联网络空间,俨然成了美国控制的中国区域网,成为美国在世界上最大规模的国家区域实验网络空间。
五、学习思考小结
网络空间主权就是国家主权,国家主权是网络空间的第一要务,是国家主权在网络空间延伸、深化的战略底线和红线。
国家主权不仅是我们的国旗、国徽、国歌,是我们的前辈和先烈为之奋斗不息的故土家园,更是我们大敌当前保卫祖国血脉贲张的源泉和动力。在网络空间,任何时候、任何情况、任何理由都不容空谈(主权),不容懈怠(安全),不容交易(发展利益),不容对我国坚定不移维护网络空间的“主权安全发展利益”含糊其辞、似是而非、动摇退缩。
没有网络空间的国家主权,没有(或让渡)网络空间的国家主导权、主动权、管辖权、治理权、自主知识产权等,网络空间的安全和发展利益,只能是为他人(美西方)做嫁衣,只能是屈从于美国网络霸权。让渡、混淆、摈弃网络空间的国家主权,必然遭致网络空间安全的缺失、被动,脆弱,导致网络安全事件频发不断、应对不暇,以致我们不得不以沉重的发展利益为代价任人宰割。
现在最大的问题,是在理论和实践、战略和策略方面,我们将自己国家的主权网络空间,混同于美西方为我们划定、限制、规制的赛博网络空间;将我们自己的网络空间国家主权,混同于美西方虚伪主张、蒙蔽全球的“同一个世界、同一张网”的所谓“同一个网络空间主权”。
信息时代,网络安全是国家安全的第一道屏障、第一面盾牌、第一重防护、第一个战场,稍有不慎,就可能酿成无可挽回的网络空间竞争和斗争的“滑铁卢”,造成国家安全全局性地塌陷或崩溃。必须正视和承认,网络安全是我国公众网络空间当前最大的软肋,最薄弱的环节,最致命的要害。
安全是纲,纲举目张。从网络安全入手,深抓细抓狠抓网络安全,是认清网络主权归属,鉴别网络主权是非,守住网络主权边界的唯一正确途径;也是认清网络发展方向、鉴别网络发展路线、争取最佳最大最强网络发展利益的唯一正确方法。
网络安全是网络主权、发展利益的前提和基石,也是国家主权、发展利益的前提和基石。网络安全不仅是维护网络主权、发展利益的坚实力量,更是中国共产党领导下的国家和人民不畏强暴、不屈不挠、团结奋斗的坚强生命赓续。
无论采用什么网络协议、采用谁的网络标准,网络安全都是检验网络是否有利于我国主权和发展利益的试金石,是高悬在我国网络信息业界的达摩克利斯剑。“没有网络安全就没有国家安全”,既是对我国既有网络不安全现状和态势的严重警告,也是对我国深入推进网络创新发展的明确指引。
我们必须努力鉴别、厘清和澄清美西方强加于我们的网络空间、网络主权和网络安全意识,立足于构建全球网络空间命运共同体的网络安全(Network Security)大格局,坚定不移地全面深化细化强化我国网络空间的国家主权、安全、发展利益教育,将强烈、由衷的爱国意识落到实处,落实到每一个中国网民和专业人士的思想行动深处;让渗透和隐藏于我国网络空间阴暗处的间谍与内奸,原形毕露、无处遁形、难逃法网。
我们必须始终坚持从我国网络安全的实际和实践出发,坚持“包容与制衡”并举的继往开来新思路,坚持开创我国独立自主系统性网络创新发展的新路径、新局面、新时代。
(作者系昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任;来源:昆仑策网【原创】,作者授权首发)
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】