回望2017年，可以發(fā)現(xiàn)這是網(wǎng)絡安全面臨嚴峻挑戰(zhàn)的一年，全球網(wǎng)絡安全問題頻發(fā)。這一現(xiàn)象背后反映了全球網(wǎng)絡安全面臨著那些問題？面對這樣的形勢，在新一年里，在網(wǎng)絡空間這個人類活動的“新疆域”里，我們又該如何應對這些安全挑戰(zhàn)？

2017，幾乎月月有重大網(wǎng)絡安全問題

2017年2月，著名的網(wǎng)絡服務商CloudFlare曝出內(nèi)存泄露問題，優(yōu)步（Uber）、密碼管理軟件1password、運動手環(huán)公司FitBit等多家企業(yè)用戶隱私信息遭遇泄露風險。

4月，洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露的問題。

5月，WannaCry勒索病毒全球爆發(fā)。

6月，名為Petya勒索病毒的變種開始從烏克蘭擴散，這一病毒的傳播速度在峰值達到每10分鐘感染5000余臺電腦，在情況最嚴重的歐洲國家，多家運營商、石油公司、零售商、機場、ATM機等企業(yè)和公共設施因為遭遇病毒攻擊而陷入癱瘓狀態(tài)；同樣在6月，超過1.98億美國公民的個人隱私與政治態(tài)度數(shù)據(jù)遭遇泄露。

9月，美國三大信用評級機構之一的Equifax公司數(shù)據(jù)庫遭遇黑客攻擊，約1.43億客戶數(shù)據(jù)遭遇泄露；同月，美國國防部托管的亞馬遜的三臺云服務器因配置錯誤導致內(nèi)容泄露，其中包含美國國防部搜集的全球18億用于在社交媒體發(fā)布的內(nèi)容與相關用戶信息。

10月，雅虎公司證實有近30億用戶賬戶及相關信息可能在2013年即遭遇了黑客攻擊并因此泄露。

11月，蘋果公司操作系統(tǒng)被披露存在嚴重漏洞，用戶僅輸入“root”作為用戶名且無需輸入任何密碼即可以管理員身份進入系統(tǒng)。

12月，芯片生產(chǎn)商英特爾公司承認其芯片內(nèi)核硬件設計存在嚴重漏洞，可以被不當利用，影響范圍包括所有操作系統(tǒng)下的高端芯片，對云服務的沖擊與挑戰(zhàn)尤其嚴峻。

是什么使2017網(wǎng)絡安全形勢如此嚴峻？

縱觀上述去年2月到12月的重大網(wǎng)絡安全事件，大致可以分為三種主要的類別：

其一，以新型勒索軟件在網(wǎng)絡空間的大范圍傳播為典型，可以看作是全球網(wǎng)絡空間武器擴散及其可能后果的雛形。勒索病毒本身并非2017年的新生事物，其與此前被影子經(jīng)紀人公布的國家級網(wǎng)絡武器庫的結合，是其肆虐2017的關鍵。而在網(wǎng)絡武器遭遇泄露之后，相關國家沒有及時通知各方進行預防，全球缺乏相應的合作與協(xié)調(diào)機制，凸顯了全球網(wǎng)絡安全未來應該著力解決的關鍵任務。

其二，網(wǎng)絡空間商業(yè)運用、攻擊與防御三方的持續(xù)不平衡態(tài)勢，日趨明確的提出了要實現(xiàn)均衡發(fā)展的迫切需求。從20世紀90年代開始至今，網(wǎng)絡空間的商業(yè)應用，以及信息化的發(fā)展速度，遙遙領先于網(wǎng)絡安全與防御體系的建設。2017年屢次出現(xiàn)的大規(guī)模數(shù)據(jù)泄露事件，凸顯了大數(shù)據(jù)發(fā)展進程中的短板，即必要的技術、制度、能力建設沒有能夠與信息化應用的發(fā)展速度相匹配，缺少安全的有效保障，即使實現(xiàn)了高速的發(fā)展，卻始終面臨著遭遇安全威脅抵消發(fā)展成果的重大風險。

其三，因為新技術的高速迭代而進一步凸顯的技術內(nèi)在缺陷可能帶來的風險挑戰(zhàn)。蘋果公司在持續(xù)反復更新Mac操作系統(tǒng)時出現(xiàn)了非常低級的空白口令漏洞，英特爾在實現(xiàn)高性能芯片設計時，沒有對可能的側邊信道攻擊進行必要的防范，由此導致的風險，因為全球信息產(chǎn)業(yè)的天然壟斷屬性，以及市場上客觀存在的壟斷競爭模型，而被放大了。另一方面，值得欣慰的是，至少在英特爾芯片存在漏洞的問題上，是研究者而非攻擊者首先發(fā)現(xiàn)了漏洞，并提出了相應的預警。如何確保這種良性的合作模式能夠持續(xù)的發(fā)展下去，應該成為各方關注的焦點。

展望2018，改善大國戰(zhàn)略互信是優(yōu)先項

整體看，當前全球網(wǎng)絡空間安全的治理態(tài)勢并不樂觀，而且這種不樂觀可能是結構性的：問題很清楚，挑戰(zhàn)很明顯，需要采取的行動并不真的那么復雜。但是，國際體系的環(huán)境與遺產(chǎn)和實現(xiàn)全球網(wǎng)絡空間安全之間的張力，或者悖離，沒有顯著或者積極的改進跡象，歐美發(fā)達國家與新興大國以及發(fā)展中國家之間，無論是戰(zhàn)略互信，行動意愿和能力建設，均存在顯著的落差。

早期推進網(wǎng)絡空間發(fā)展的歐美發(fā)達國家，不愿意實質(zhì)性地放棄在網(wǎng)絡空間構建單極-西方中心的目標和信念；新興的大國與發(fā)展中國家雖然有效地改善了原先的不利態(tài)勢，但在提供有效供給，實質(zhì)性推進治理新秩序建設方面，還存在比較明顯的能力和資源局限。在此情況下，對2018年的展望，人們只能盡量保持謹慎的樂觀。

其一，以有效的方式，修補并改善大國之間的戰(zhàn)略互信，是需要優(yōu)先解決的難題。戰(zhàn)略互信與網(wǎng)絡安全協(xié)調(diào)，有點像是雞生蛋、蛋生雞的循環(huán)，但卻必須要有效解決。傳統(tǒng)模式是從功能性議題入手謀求務實合作的外溢，以及在重大危機事件之后的高速轉變。但迄今為止，相關模式在全球網(wǎng)絡空間的應用和拓展，存在較為顯著地制約，無法簡單的復制。能否在2018年做出更多更有效的務實努力，值得期待，也值得關注。如果中美雙方能夠?qū)?017年中美首腦峰會的成果予以落實，那還是有可能帶來積極的變化的。

其二，對2017年已經(jīng)暴露出來的新型威脅，構建務實有效的機制，優(yōu)先在戰(zhàn)術和實踐的層面務實地解決具體問題。國家研發(fā)網(wǎng)絡威脅、攻擊、防御和利用的能力，是一種客觀的趨勢。參考軍備控制的相關經(jīng)驗，謀求務實的信息共享與交流機制，進行有效的管控，避免因為失控帶來的意外和風險，應該成為各方努力的焦點，如何在這方面做出相應的努力，比如在2018年通過聯(lián)合國大會第一委員會等多邊架構進行有效的網(wǎng)絡空間軍備控制談判等，可以成為進行有效嘗試的努力方向（聯(lián)合國大會第一委員會處理裁軍、威脅和平的國際挑戰(zhàn)等國際安全事務，并應對國際安全制度中的挑戰(zhàn)——編者注）。

其三，整合多方力量，有效預防和化解未知技術缺陷可能帶來的安全風險。2017年的英特爾芯片漏洞的發(fā)現(xiàn)、披露以及早期回應，可以看作是網(wǎng)絡安全研究力量進行去中心化的全球合作的某種成功案例。如何將其有效的整合并吸納到全球機制化的防控和應對網(wǎng)絡安全的努力之中，需要不同類型行為體進行更加積極有效的努力和嘗試。

（作者系復旦大學網(wǎng)絡空間治理研究中心主任、研究員）

“逸思”是復旦大學網(wǎng)絡空間治理研究中心主任沈逸主筆的專欄，聚焦網(wǎng)絡信息安全，從互聯(lián)網(wǎng)維度思考大國關系。