網(wǎng)絡(luò )安全治理：不能要求每個(gè)人都是“武林高手”

2016年，權威安全漏洞統計和披露平臺CVE公告各種安全漏洞9999個(gè)，敲詐者病毒瘋狂肆虐，美國網(wǎng)絡(luò )也一度淪陷，雅虎用戶(hù)數據被盜。普通網(wǎng)民人人自危，深感無(wú)助。

網(wǎng)絡(luò )安全無(wú)疑是一個(gè)高度專(zhuān)業(yè)的領(lǐng)域，但目前被搞到了“全民皆兵”的境地。用戶(hù)上網(wǎng)必須“全副武裝”，部署各種防火墻、防病毒軟件，仍然惴惴不安，不時(shí)要面對各種險情，打開(kāi)一個(gè)郵件、點(diǎn)開(kāi)一個(gè)網(wǎng)頁(yè)都可能是一次歷險，即便什么都不做也難保不會(huì )被攻擊和入侵。

另一方面，各行各業(yè)的信息化工作也深受網(wǎng)絡(luò )安全困擾，不僅是面對安全侵害風(fēng)險的困擾，因為被侵害而被問(wèn)責的壓力甚至更大，信息化服務(wù)正成為新的高風(fēng)險行業(yè)，盡管很多從業(yè)人員還尚未意識到這一情況。根據網(wǎng)絡(luò )安全法和網(wǎng)絡(luò )安全等級保護要求，公共信息服務(wù)系統必須定級和部署定級，否則將可能面臨問(wèn)責。在一些需要進(jìn)行“重點(diǎn)安全保障”的特殊時(shí)期，有些單位為了減壓，干脆關(guān)閉對外網(wǎng)絡(luò )和信息服務(wù)，這就如敵人還沒(méi)有開(kāi)打，我們就主動(dòng)繳械投降了。“為了避免被拒絕服務(wù)攻擊，我們自己主動(dòng)拒絕服務(wù)了”成為年度冷笑話(huà)，這種明哲保身、推卸責任的做法實(shí)在荒唐。

網(wǎng)絡(luò )安全的重要性毋庸置疑，加強網(wǎng)絡(luò )安全管理無(wú)可非議。但是，如果把安全保障的重心放在向廣大非安全專(zhuān)業(yè)的機構和網(wǎng)民提出大量專(zhuān)業(yè)性要求，而在打擊網(wǎng)絡(luò )安全攻擊和犯罪方面消極被動(dòng)，不能不說(shuō)是網(wǎng)絡(luò )安全治理的重大失誤。我們在網(wǎng)絡(luò )安全上的投入和負擔不斷增加，卻越來(lái)越缺乏安全感，其根本原因之一就是治理方向出現了問(wèn)題。維護網(wǎng)絡(luò )安全，不能寄望于平民百姓對抗專(zhuān)業(yè)匪徒，安全管理機構應成為保護傘而不是裁判員。國家有義務(wù)建立公共網(wǎng)絡(luò )安全基礎設施和保障體制，國家間需要建立打擊網(wǎng)絡(luò )安全犯罪的協(xié)同機制，主動(dòng)和高效打擊網(wǎng)絡(luò )犯罪，給網(wǎng)民提供一個(gè)安居樂(lè )業(yè)的網(wǎng)絡(luò )環(huán)境，而不是讓網(wǎng)民在盜匪橫行的網(wǎng)絡(luò )空間奢望自保。

在線(xiàn)下世界，絕大多數人并非武林高手，沒(méi)有防彈衣和裝甲車(chē)，但我們感覺(jué)安全，這份安全感是來(lái)自國家對違法犯罪的震懾，國家安全保障的主要方向是打擊犯罪，而不是處置和限制受害者。

安全攻擊行為是互聯(lián)網(wǎng)社會(huì )性的顯著(zhù)標志之一?；ヂ?lián)網(wǎng)絕不僅是一個(gè)由計算機連結起來(lái)的簡(jiǎn)單組合體。每一臺計算機都在貫徹人類(lèi)的意志，互聯(lián)網(wǎng)是人類(lèi)社會(huì )在數字空間的投影?；ヂ?lián)網(wǎng)上的行為因此異常復雜，難以捉摸。安全攻擊行為具有主動(dòng)性和多變性。當全世界網(wǎng)民為自己的網(wǎng)絡(luò )安全謀劃時(shí)，全世界的黑客也在更加刻苦地鉆研網(wǎng)絡(luò )攻擊的新途徑。由于網(wǎng)絡(luò )安全攻擊的方法和技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展保持同步甚至有所超前，因此很難指望通過(guò)純粹技術(shù)手段杜絕攻擊。因此在安全防范中，以人為本的安全管理是第一要素，即人與人之間的角逐是勝負的關(guān)鍵，這種自冷兵器時(shí)代沿襲而來(lái)的對抗法則，在數字化時(shí)代仍然無(wú)法規避。

迄今為止，在安全對抗中黑客陣營(yíng)占據上風(fēng)，我們總在遭受攻擊之后被動(dòng)地防護，而后茫然地等待下一次攻擊的到來(lái)。黑客們取得“驕人戰績(jì)”，并非絕對依賴(lài)高明的技術(shù)手段，也出于對網(wǎng)絡(luò )使用者行為的悉心推測。人們采用的仍然是以“堵”為主的安全防護戰略，即無(wú)論大型集團用戶(hù)還是個(gè)人用戶(hù)，都竭盡所能，“全副武裝”。即便如此，新的安全漏洞仍然不斷被發(fā)現，新的攻擊方法也不斷涌現。通過(guò)分析近來(lái)日益猖獗的DoS攻擊，我們不難發(fā)現，人們目前幾乎無(wú)法實(shí)現“絕對安全”，更不能杜絕“百密一疏”。

反觀(guān)現實(shí)社會(huì )的安全保障體系，不難發(fā)現，人們的安全感并非來(lái)自自身?yè)碛械膹姶蠓雷o能力，而是由于威懾犯罪的公共安全體系和完備的司法體系。不必付出代價(jià)或較少付出代價(jià)，正是網(wǎng)絡(luò )犯罪難以遏制的根源。

既然一味被動(dòng)封堵不能治水，更不能成就網(wǎng)絡(luò )空間安全，在網(wǎng)絡(luò )空間公共安全保障方面，必須徹底扭轉被動(dòng)姿態(tài)，建立主動(dòng)的“威懾安全體系”：

第一，嚴懲網(wǎng)絡(luò )犯罪，通過(guò)增加犯罪成本和代價(jià)，加大威懾，讓絕大多數人不敢越雷池一步。網(wǎng)絡(luò )空間雖然是虛擬世界，但責任主體明確，網(wǎng)絡(luò )犯罪并非不可追究。

第二，國家有義務(wù)建立公共網(wǎng)絡(luò )安全基礎設施和保障體制，為絕大多數用戶(hù)提供低成本的有限安全，而不是要求他們全副武裝。只有針對特定對象，在需要不惜代價(jià)保障安全的情況下，才需要追求嚴防死守和全副武裝的“絕對安全”。在應對網(wǎng)絡(luò )安全侵害方面，個(gè)體力量無(wú)論多強，總是弱的，社會(huì )力量無(wú)論多弱，總是強的。因此，相對于目前草木皆兵的被動(dòng)防御現狀，建設、發(fā)展具有威懾力的主動(dòng)公共安全保障體系，才是網(wǎng)絡(luò )空間公共安全的正確方向。