网络安全技术协议与展望

前言:寻找写作灵感?中文期刊网用心挑选的网络安全技术协议与展望,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。

网络安全技术协议与展望

摘要网络空间国际治理在国际议程中的重要性正在快速上升,网络的互联互通与跨国性对互联网全球治理提出了更高要求,网络空间行业规则进程也将推动建立全球网络空间治理体系。《网络安全技术协议》便是其中的重要一环。因此,为了解在网络空间国际规则制定进程中的突出进程,本文主要针对该协议的内容,进一步探究其重要性,为中国制定网络空间战略提供学术参考。

关键词:网络安全技术协议;网络空间;中国策略

20世纪末,人类正式进入互联网时代,网络安全问题逐渐成为一个全球性且持续发展的问题,各国以及其他相关利益攸关方一直都在致力于提升网络空间的稳定,但也因此形成了不同模式并存的网络空间规则进程新生态。当前国际社会围绕网络空间国际治理问题展开博弈,一方面,各国政府纷纷出台网络空间战略报告,提出各自在网络空间建章立制方面的主张,积极搭建各种平台,召开地区性和国际性会议,广泛寻求盟友,试图在议题设置和规则制定议程上抢占先机;另一方面,网络安全、网络犯罪威胁促使各国不断寻求合作,推动网络空间国际秩序构建和规则制定。特别的是,以行业为中心的网络空间国际规则进程涉及行业拟定网络安全规则工作。近年来,互联网行业在倡导网络空间国际规则方面也日益活跃,西门子倡导的《信任章程》、微软公司倡导的《网络安全技术协议》(CybersecurityTechnologyAccord)和《数字日内瓦公约》以及谷歌倡导的《数字安全与正当程序:云时代的政府跨境获取标准的现代化》(DigitalSecurityandDueProcess:ModernizingCross-BorderSurveillanceLawfortheCloudEra)白皮书就是突出的例证。2018年4月18日,微软、Facebook以及全球其他30多家科技公司共同签署了《网络安全技术协议》——承诺保护网络安全。微软总裁布拉德·史密斯(BradSmith)在声明中表示:“随着国家和犯罪组织利用网络攻击的频次不断升级,我们意识到维护一个开放、自由和安全的网络并不只是某一个独立企业的责任,而是所有科技领域和政府必须共同承担的责任。”本文将从该协议的主要内容出发,围绕影响、学界讨论以及中国策略这三个方面全方位的解读该协议的内涵及意义。

1主要内容

协议提出了签署方要遵守的四个基本原则,旨在对共同目的和核心价值的进一步阐释和说明:(1)我们将在任何地方保护我们所有的用户和客户。无论这些用户和客户是个人、组织还是政府,无论他们的技术能力,文化或位置如何,或者无论攻击者的动机是犯罪还是出于地缘政治,我们都将保护他们的网络安全。我们将设计,开发和发行安全性,隐私性,完整性和可靠性优先的产品和服务,从而降低漏洞的可能性,频率,可利用性和严重性;(2)我们反对来自任何地方的无辜公民和企业遭受网络攻击。我们将在技术产品和服务的开发,设计,发行和使用过程中,防止其他人对其进行篡改和利用。我们不会帮助政府对任何地方的无辜公民和企业发起网络攻击;(3)我们将帮助所有用户,客户和开发人员来加强网络安全保护。我们将为我们的用户,客户和更广泛的开发者系统提供信息和工具,使他们能够了解当前和未来的威胁并保护自己免受威胁。我们将支持民间社会,政府和国际组织的行动,以此来提高网络空间的安全性,并在发达和新兴经济体中建设网络安全;(4)我们将与其他类似的团体和个人进行合作,来提高网络的安全性。我们将相互合作,通过专有和开源技术与行业,民间社会和安全研究人员建立正式和非正式的合作伙伴关系,以完善技术合作,协调漏洞披露计划和共享威胁信息,并最大程度地降低恶意代码被植入网络空间。我们将鼓励全球信息共享和民间力量,以期可以识别、预防、检测和响应网络攻击并从网络攻击中恢复,并确保对更广泛的全球技术生态系统做出更灵活的响应。

2影响

经过两年的不懈努力,该协议通过积极参与各个团体会议,公开发表政策建议和举办研讨会等方式,为建立稳定、安全的网络空间做出了务实的贡献。

2.1促使更多企业承诺保护用户网络安全

2018年4月,34家科技公司共同签署了网络安全技术协议,包括微软、Facebook、思科、JuniperNetworks、甲骨文、诺基亚、SAP、戴尔以及网络安全公司赛门铁克、FireEye和TrendMicro等。2019年3月,《网络安全技术协议》已经吸引到90多个企业加入。微软客户安全与信任公司副总裁汤姆·伯特(TomBurt)说:“《网络安全技术协议》的力量来自团队的努力和签署方的多样性。去年表明,来自世界各地的硬件和软件开发商,安全公司和云计算提供商已经意识到了在网络空间中负责任行为的重要性,并且《网络安全技术协议》的原则真正体现了互联网安全的精神和内涵。”截至目前,已有超过140家企业签署了这项协议,承诺随时随地保护其用户和客户,不帮助任何政府发动网络攻击。在两年里,《网络安全技术协议》签署企业逐渐增多,覆盖面愈广。越来越多的企业认识到了只有通过多方努力,才能促进全球网络安全能力建设。

2.2民间团体、国际组织更加重视其建议

自《网络安全技术协议》创建以来,一直在网络安全领域发挥自己的力量。对于其他组织和团体的咨询和讨论会,该协议都发表了自己的建议和看法,并提出了切实有效的措施。2018年,《网络安全技术协议》与全球网络联盟(GCA)认可了基于域的消息认证,报告和一致性认证机制(DMARC)——可以检测及防止伪冒身份、对付网络钓鱼或垃圾电邮。这个机制极大地增强了电子邮件通信的安全性与可靠性。《网络安全技术协议》与联合国数字合作高级别小组进行友好合作,强调了世界需要关注在线用户的安全性。此外,该团体还与互联网治理论坛和全球网络空间稳定性委员会上致力于与国际网络安全规范有关的工作。并且该团体认可了技术全球论坛网络(GFCE)的协调漏洞披露(CVD)透明性良好实践,支持在行业范围内采用透明的政策来协调漏洞披露。其还支持国际互联网协会(ISOC)的路由安全共同协议规范(MANRS)计划的实施,促进了开放式互联网的发展。2019年,《网络安全技术协议》回应了最佳实践论坛(BPF)有关“网络安全文化,规范和价值”的呼吁。建议最佳实践论坛(BPF)避免仅通过政府协议和行动的角度来分析和比较不同的举措,应该以更全面的角度来分析不同观点和倡议。2020年,《网络安全技术协议》对经合组织关于产品数字安全的范围界定文件发表看法。《网络安全技术协议》从技术行业的角度出发,认为应该进行更广泛的评估,纳入更多的案例进行研究,并在文件草案中使用更为专业的术语。由此看出,《网络安全技术协议》在多个领域发挥着越来越大的影响力。

2.3多方参与其举办的大型研讨会

《网络安全技术协议》的签署方与各自领域的领先组织合作,增进现有的网络安全意识,共商未来网络威胁的应对措施。这包括与全球网络联盟(GCA)合作,发起了一系列建立通往安全网络空间道路的讨论会,来探讨目前所面临的挑战。《网络安全技术协议》也和爱尔兰常驻联合国代表举办招待会,以纪念联合国不限成员名额工作组(OEWG)闭会期间关于信息和技术领域发展的会议国际安全背景下的通信技术,开始参加与政府,行业和民间人士进行联合国对话的参与者之间的非正式讨论。《网络安全技术协议》不仅广泛地举办研讨会,还举办竞赛,为推动网络安全的发展集思广益,提供新的思路。Apps4数字和平竞赛是由网络安全技术协议,联合国裁军事务厅(UNODA)和联合国青年事务特使办公室联合发起的,旨在向16至32岁之间的年轻创新者开放,在网络空间国家之间紧张局势加剧的情况下,激发人们对如何促进开放、安全、稳定和可访问的在线环境的独创性思考。《网络安全技术协议》与互联网治理论坛(IGF)举办研讨会来讨论《网络空间信任和安全巴黎倡议》中有关黑客入侵的重要问题,《网络安全技术协议》在会上分享他们对技术行业如何广泛地考虑“黑客入侵”的共识观点,以及各自公司在此问题上的细微差别。

2.4加深与政府的合作

近年来,由于影响力的扩大,《网络安全技术协议》与政府进行了深度合作。今年,《网络安全技术协议》为澳大利亚与不限成员名额工作组(OEWG)和政府专家组(GGE)的磋商提供了意见,这个磋商与网络空间中的负责任国家行为有关。其中,该协议强调了要建立信任措施,并且要重视多利益攸关方的努力。更重要的是,《网络安全技术协议》发布了它与英国外交和联邦事务部(FCO)合作开发的新白皮书《英联邦国家的网络安全意识》。该白皮书讨论了国家加强网络安全意识的重要性,提供了提高该类意识的指导建议,并列出了53个英联邦国家在网络安全方面所做的准备和努力。作为《网络空间信任和安全巴黎倡议》的坚定支持者,《网络安全技术协议》为该倡议的原则7和原则8,整理了《网络卫生纲要》和《禁止黑客攻击:正义vs.良好的网络安全》这两本指南,来帮助该倡议指导个人、组织和政府遵守其原则并促进网络的稳定性和安全性。

3学界讨论

对于《网络安全技术协议》,学界对其热议良久,褒贬不一。有的学者认为该协议是对网络空间安全的发展具有积极意义的。原因如下:(1)该协议是技术公司共同承诺维护用户网络安全而签署那个,具有特殊性;(2)该协议要求每个企业做出具体的行动来维护网络空间的安全性和稳定性;(3)该协议与学术界、民间团体、政府和国际组织合作或开展研讨会,共同努力预防或阻止网络攻击;(4)该条协议更加关注网络健康、漏洞披露政策和物联网安全,为国际规则提供新构想。但是,也有学者认为该协议的作用还有待观察,原因如下:(1)该协议的目标主要还是企业,并不是政府,并没有涉及更广泛的签署个体;(2)该协议的四项原则含义宽泛并不具约束力,签署方有可能只是进行“形象公关”;(3)没有可公开获取的治理机制或问责框架来管理该协议。《网络安全技术协议》体现各个企业在网络领域所达成的共识和承诺,在一定程度上顺应了时代发展的潮流。科技企业作为网络产品和服务的主要提供者,《网络安全技术协议》将各个企业联合起来,制定四项原则来规制企业保护用户安全,并且不会协助政府进行网络攻击。该协议不仅是一份声明,还定期举行会议,寻找合作机会,以改善网络世界的网络安全。并且由于影响力的扩大,与政府、国际组织越来越多地进行合作,发表有关网络安全的渐次和措施,得到了极大的关注。当然,《网络安全技术协议》也存在着不足之处。虽然企业承诺维护网络安全,但是缺乏一定的监管机制来对其进行监督,也没有问责机制。《网络安全技术协议》似乎对企业的违反承诺的行为没有任何惩罚措施。并且它的签署方几乎全为科技公司。虽然私营企业是网络安全的主要责任者,并且在网络安全问题上处于解决这些问题的最前沿,但是要想解决频发的网络问题,是需要包括公共部门,私营公司,学术界,民间和非政府组织在内的不同社会团体之间的共同努力和多学科协作的。并且,由于缺乏系统的管理机制和问责机制,有些公司可能只是利用这项条约“赶时髦”——宣称自己是安全卫士,是与微软并驾齐驱的有影响力的科技公司。毕竟这一协议对于那些急于将自己命名为全球公认组织的一部分的较小和影响力较小的公司来说是最有效的。

4中国策略

如今,中国的网络空间国际战略还处于摸索阶段,应恰当把握网络空间国际规则构建的重大机遇,突破以往瓶颈,制定不同的策略以应对瞬息万变的网络环境。中国可以从以下两个方面完善本国战略:第一,警惕西方国家在多种进程中的双重标准。中国应提防西方国家以开放包容为借口扩大在网络空间的规则制定权。目前,尽管各国在网络空间领域内的合作意识大于对抗,但是西方国家仍在主张表达方面“暗设埋伏”,以“双重标准”维护既得利益。以《网络安全技术协议》为例。它极大地扩张了企业在网络空间的权利范围。毫无疑问,网络空间国际规则的实施有赖于政府与企业的共同努力,特别是技术层面的标准和规范更为依靠企业的有效实践。但是,否认国家在网络空间国际规则制定中的主导性,转而强调多元主体共同商讨规范的可行性,有本末倒置之嫌,其本质是西方国家想将OEWG打造成为其“后花园”的险恶意图。因此,中国应重视本国企业在网络空间领域内的发声。截至目前,中国企业并未发布出有广泛影响力的声明。这也使中国在该进程中的作用有所缺失。如今,企业的参与范围扩大,中国应该加大本国企业与他国企业的联系,在技术和政策方面双管齐下,以期达成与西方企业团体分庭抗礼的局面。第二,促进本国在网络空间规则架构中有效发声。尽管中国一直积极参与网络空间国际规则制定进程,但是其有效参与的程度有多大,是很难进行评估的。而且中国的立场文件对国内经验和国外实践的描述都过少,很难作为支撑某项具体规范的有力文书。所以,如何在网络空间国际规则制定进程中有效发声是中国目前在网络空间规则建构中所面临的重大问题。首先,中国应明确本国主张,在进程中投入更多的资源。中国在多项国际研讨会上均发表过重要声明,但在具体问题上的态度并不明晰。因此,中国应该更加清楚地表达对于某一问题的观点,进而更大范围地扩大本国的影响力。而且中国应进一步充实专业人才,加强政府、高等院校与智库之间的协同培养。其次,中国应该将“网络空间命运共同体”理念与实际行动相配合,力求发挥更广泛的带动作用。2022年4月,美国与60个国家共同发布了《互联网未来宣言》,以期建立“互联网未来联盟”。这种做法无疑是将网络空间规则制定领域割裂为“小圈子”,并不利于透明民主的全球互联网治理体系的建立。中国所倡导的“网络空间命运共同体”理念,发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各种主体作用,更加平衡地反映大多数国家意愿和利益。但如何将丰富经验传播给其他国家借鉴学习,中国还应该更多地利用多重渠道去帮助网络能力较弱的国家,团结与本国主导文化和思想相接近的国家,从而在全球范围内获得更多的响应。

参考文献:

[1]田立.国际安全视角下的中国参与网络空间国际法建构的路径选择[J].云南社会科学,2021.

[2]约瑟夫·奈著,吴晓辉,钱程译.软力量:世界政坛成功之道[M].东方出版社,2005.

[3]黄志雄.网络空间国际规则博弈态势与因应[J].中国信息安全,2018.

作者:邓炜钰 单位:武汉大学