|
首页 网络战争 |
牟承晋:对我国网信战略的若干思考 |
牟承晋:对我国网信战略的若干思考 牟承晋 昆仑策研究院 没有网络安全就没有国家安全,实实在在,毫不含糊。 网络信息空间安全映射和影响着国家总体安全的方方面面,实际上处于国家总体安全的最前沿、第一线,具有左右(凝聚或离心)经济、政治、社会、文化、科教、军事等战略布局与发展态势的特殊导向作用,直接影响人们的思维定势。 我国网信领域的安全态势内忧外患、非常严峻。美国已经完成了对我国主权数据、基础设施、应用服务事实上的全面控制,对我国构成了全面的数据武器化和武器系统威胁,随时可以对我国实施全网或局部网络的针对性脱钩(断服断网)打击。 “十四五”期间,坚定不移地实施我国网络强国战略,坚定不移地维护我国网络信息(数据)空间安全,应是我国网信业界最根本的重大任务。举国上下,迫切需要面对现实、积极应对,脚踏实地的自主创新,实事求是地落实相应的自立自强举措。 一、美国网信战略威胁我国态势明朗 1、美国对我“断服断网”公开化 美国联邦通信委员会(FCC)和商务部等,已经完成最后的法律(程序)行动,以保护美国的国家利益及电信基础设施(信息通信技术供应链)安全为由,执意撤销和终止中国电信、中国联通等的国际运营授权。美国政府拒绝已经建成的中美海底光缆登陆香港,并全球性地针对中国“清洁网络”,毫不掩饰。 中国电信是我国基础设施网络的主要运营商之一。中国电信的164处网络接入点(PoP)65%以上在美国和中国境外;24处云交换中心(CLOUD Exchange)87.5%在美国和境外;110处离线托管中心(COLD)68%以上在美国和境外;123处弹性连接平台(ECP)35.8%在美国和境外。 由于网络基础设施的互连互通构成了全网运行的整体机制,美国强制性地针对我国大举“断服断网”,在美国绝对掌握全球网络(Internet)“指挥与控制”(C2)主导权、决策权、裁判权的情况下,必然能随心所欲地导致(控制)我国全网或局部网络的瘫痪或崩溃。 美国从其本土和全球范围公然大举切断我国的网络基础设施(基站、数据中心、光缆、卫星等)实施“断服断网”,与我国党政机关、金融机构、企事业单位的服务器普遍托管代管在境外(主要是美国)密切相关。美国因此认为已经实质性地全面管控和操纵了我国的主权数据,掐住了我国数据主权的命脉。美国认为,我国“十四五”发展数字经济,只能深深地依赖现有因特网。面对“断服断网”的强大威胁,必然会在政治、经济、军事、文化等各方面做出重大让步。 2、我国网络国际出口严重失调失控 据中国互联网络信息中心(CNNIC)最新发布,我国国际出口带宽截至2020年底仅为11.5 Tb/s。也就是说,我国“十三五”期间达到20 Tb/s的目标任务还差42.5%没有完成。CNNIC及政府相关主管部门、国家重要网信研究机构,都没有解释如此大幅度没有完成国家任务和目标的主客观原因。 而据香港特区政府通讯事务管理局办公室公布,截至2020年6月,香港电讯设施连接中国内地37.72 Tb/s(包括5.85 Tb/s专线),连接其他国家和地区69.36 Tb/s。也就是说,仅香港一地(即不包括其它至少还有10处)的国际进出口容量(带宽),就远远大于CNNIC公布的我国全部国际出口带宽(容量),极不协调,不可思议。 但这至少表明,受我国境外控制涌入涌出中国大陆的数据(信息)流,远远大于我国三大运营商和中国教育科研网控制的数据(信息)流(CNNIC统计口径)。 光缆铺设和配置是“互联”环节(物理基础设施之1),基于“互联”的可用带宽是启用“互通”的环节(物理基础设施之2),利用“互联”和“互通”的虚拟叠加网络(如CDN),是“互操作”环节(应用业务及服务)。如果这三个环节被相互“隔离”,被作为私用或专属的“一亩三分地”,国家和公众的安全数据及数据安全将无从谈起。如此,网络信息安全设施形同于“马奇诺防线”,或者根本就没有防线! 3、美军因特网指挥与控制形成武器化 据美国国防部2020年9月发布的《数据战略》,承载数据的是网络基础设施,生成数据的是信息通信技术(ICT)及其应用和服务,由此所形成和构成的供应链是“数据作为武器系统”战略的基本支撑和重要保障。 (物理)网络基础设施被“武器化”,是“数据作为武器系统”的必要条件,而且是“被动性”的条件;网络服务和技术被“武器化”,是“数据作为武器系统”的充分条件,并且是“主动性”的条件。“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”,是网络技术和应用斗争的产物,也是网络发展及地缘政治和价值观演变的必然。 在网络信息空间,所有基于应用服务目的构成的网络,是虚拟叠加网络;任何虚拟叠加网络都构建(附着、依赖)于物理性质的基础设施网络。虚拟叠加网络具有明显的政治和资本属性,是数据被武器化和作为武器系统的典型、集中表现。事实上,我国的基础设施网络早已成为虚拟叠加网络的“数据搬运工”。 虚拟叠加网络的安全问题,直接关联个人或企业、机构的隐私安全和商业、政务秘密,用户对“服务不好”(如发生准“断服”现象)感受明显,容易产生防范、抵御、批判意识。基础设施网络的安全问题专业性、技术性比较强,一般用户感受不到明显的“断网”时,经常不以为然,一旦反弹(如大面积停电、停水,不能存取现金和电子支付,高铁停运等),很可能迅速引起社会的强烈动荡。基础不牢,地动山摇。 正因为此,美国政府(军队)网络信息战略的重点和要点,始终集中在基础设施方面。 构成物理网络基础设施数字资源的域名、地址和自治系统(ASN)编码所构成的DNS域名解析系统,是指挥与控制(C2)网络(如因特网)通信互联互通的中枢,是具导航功能的“网络北斗(或GPS)”,是传输信令或信标的载体和通道,是网络互联中不可或缺、至关重要的“制高点”。 美国对我最具威胁的要害,是将我国公众网络(无论IPv4、IPv6)限定在因特网域名、地址、自治域构成的网络信息空间范畴,深深地困囿、桎梏于TCP/IP协议和协议栈构成的DNS解析及供应链系统的樊笼。 我国境内的顶级域名解析,受制于DNS解析系统的BIND软件强制性路由导向,必须通过跨境传输迂回,高度依赖境外操控(指挥与控制),而境内“.CN”的“活跃份额”仅占8.9%(据信通院)。显然,那些难以掌握的活跃在境外的数以百万计的“.CN”顶级域名的实际应用,构成了对我国网络攻击、袭扰、破坏的巨大威胁。 我国网络信息领域的数字化空间,是由因特网设计和编制的域名、IP地址、自治系统构成的,入口是域名递归解析服务器。截至2021年2月26日,我国国内公开开放的域名递归解析服务器66万多台,占总数72.8万多台的90%以上,混沌分布于三大运营商和腾讯公司的7个自治系统。作为因特网服务供应链的重要环节,处于脱节状态。 鉴于公开开放的域名递归解析服务器已经潜在地被美国“武器化”,分布在中国(大陆)周边国家和地区的31万多台域名递归解析服务器的威胁,不容忽视。 美国对我肆无忌惮、步步紧逼地断网断服举措还表明,美国认为我国目前没有摆脱因特网自立自强的可能,没有构建自主可控网络的技术能力,威逼重压之下,唯有束手就范。 4、规模部署IPv6落入美国圈套 “全面推进互联网协议第六版(IPv6)商用部署”,是导致我国当前网络信息空间安全形势严峻,以及捉襟见肘、顾此失彼的主要根源。 IPv6是美国20多年前提出的因特网“过渡计划”,并不是成熟的技术方案。美国和世界任何国家迄今都没有实现“过渡”,更与“替代”或延续(升级)IPv4的“下一代互联网”设想和预订目标相去甚远。 美军自本世纪初率先推动“IPv6过渡计划”,因为存在难以预料的“未知”风险,且缺少训练有素应对“未知”风险的专业人员,以及不能有效保障和可靠维护敏感信息网络的安全等,三启三落(放弃或停滞)。2017年第三次重启由首席信息官制定的IPv6过渡计划,直到2019年2月才发布新的过渡计划指令,至2020年3月也只是完成了基础准备“18步(项)”中的“6步(项)”,小心翼翼、如履薄冰。 相比较,中国在“十四五”规划中,仍然载明“全面推进互联网协议第六版(IPv6)商用部署”,颇显盲目冒进、违背科学、违背实践检验真理的学说。明知不可为而为之,所为何来?在海外一些专业人士看来,这是中国网信战略的方向和目标,陷入无可奈何的表现。 十分怪异的是,2008年5月6日,美国国防部申请取得IPv6 地址1块/13,是目前全球分配的唯一最大地址块;2013年3月11日,又申请取得8块IPv6地址1块/22。这些地址,并不包括截至2021年3月30日美国公开宣布拥有的IPv6地址57,827块/32(排名世界第一)。 “1块/13”相等于(2^115)个有效IPv6地址,“1块/22”相等于(2^106)个有效地址。转换为“1块/32”(2^96),美国国防部目前至少拥有IPv6有效地址524,288块/32,相等于中国目前拥有IPv6地址57,634块/32(不含港澳台)的9倍以上。而美国国防部的顶级域名(.MIL)服务器竟然全都不支持IPv6,美国政府的6台“.US”国家顶级域名服务器也只有3台支持IPv6。 美国因特网名称与数字地址分配机构(ICANN)公开声明,任何国家、组织不得“囤积”域名地址,要及时报告地址的应用使用情况。但却“放任”我国大量“囤积”IPv6地址。2009年12月,我国只拥有IPv6地址63块/32,现在,我国拥有(付费使用和囤积)的IPv6有效地址相当于1,844亿亿个,即我国现有14亿人口平均每人分摊超过131亿个地址。即使每人每年用13亿个,10年也用不完。而美国国防部(不用付费)更是拥有(囤积)9倍于我、数倍于全球的IPv6海量地址。这都是什么情况? ● 推断1:美国有一个极其隐秘的“影子”网络系统存在,需要大量的IPv6地址支撑。但9倍于我国IPv6地址规模的庞大网络如果存在,无论如何也遮掩不住。迄今并未发现其他任何IPv6“影子”网络活跃的蛛丝马迹,真实存在的概率很小。 ● 推断2:美国正在演算(推演)全球最大规模的IPv6网络平台,谋划指挥与控制全局的(武器)系统能力。美国13台科教“.EDU”顶级域名服务器、4台政府“.GOV”顶级域名服务器都支持IPv6,也许是因为此。果若如此,我国“全面推进IPv6商用部署”,岂非尽在美国演算(推演)的IPv6的控制之中?我国越是推进规模部署IPv6,岂非越是被动? 影子网络也罢,演算控制也罢,毋庸置疑,这也是美国国防部“数据作为武器系统”战略的重要谋划和布局。我国追随美国大量囤积IPv6地址的积极意义、安全背景何在? 二、如何应对美国的威胁和威逼 美国提出数据武器化和作为武器系统,终究还是为了永久、彻底、全面地指挥与控制全球的数据主权和主权数据,特别针对我国得寸进尺、步步为营。 调整我国网信空间战略,必须坚决从捍卫主权数据安全切入,切实保障数据主权和数据安全,为打造数字经济新优势构筑坚强可靠的网络信息基础设施。 国外的调整网信战略的基本途径,主要有俄罗斯模式、欧洲模式和美国模式。简单分析如下: 1、俄罗斯模式 俄罗斯2014年就开始了“主权互联网”(RUnet)的测试。其目的首先是维护数据主权,实现与保护95%本地路由的数据流量,严禁数据跨境存储(托管和代管);其次是按需调整自治系统(ASN)的逻辑组网和路由配置;进而整顿与管控域名空间入口(递归域名解析服务器)。重在应对来自国外的突发性“断网”攻击,致力于在遭受境外极端的安全威胁情况下,保证国家关键信息基础设施正常运行。 俄罗斯立法强调“确保俄罗斯联邦境内域名的可持续和安全使用”,“正在建立一个国家域名系统”。美国因特网域名与数字地址分配机构(ICANN)认为,俄罗斯“主权互联网”的重点是“重塑国家域名系统”。 截至2020年3月,在俄罗斯本地(国)域名解析分布中,国家顶级域名“.RU”占比83%;俄罗斯6,171个自治系统对应4,555万个IPv4地址;俄罗斯强制性要求,所有在俄罗斯销售的电子产品必须安装俄罗斯本土开发的浏览器和应用程序。 截至2021年3月30日,俄罗斯拥有5,231,672个国家顶级域名“.RU”;IPv4地址45,455,616个,全球占比1.234%、排名第13;IPv6地址12,439块/32,全球占比3.879%、排名第6;自治系统(ASN)6,085个,全球占比6.609%、排名第3。美国因特网名称与数字地址分配机构(ICANN)认为,俄罗斯“断网”的支撑是:国家域名系统可以满足超过90%的国内网络业务和应用的需求,而无须数据的跨境流通或境外存储。 很显然,我国的网络现状与俄罗斯大不相同,不具备必须的前置条件。如中国的国家顶级域名不在本土(国)解析,注册网关在国外;1,760个自治系统对应38,751万个IPv4地址,很不匹配;服务器普遍托管、代管在境外等。 对照俄罗斯模式,更加清楚我国网信领域严峻的安全问题症结在哪里。显然,解决网络信息空间的安全问题,我国可以借鉴,却不能简单照搬俄罗斯模式。 2、欧洲模式 欧洲创新与技术研究院(EIT)发布《对数字化基础设施控制和数据保护》的研究认为,数字化主权须考虑经济、社会和地缘政治三个主要因素。欧洲以价值观和人权为基础,注重道德和隐私。欧盟的《通用数据保护条例》(GDPR)以保护隐私为由扩展了对公民保护的司法管辖范围,扩大了“被遗忘权”(right to be forgotten),涵盖了所有数据处理活动,以预测风险并将风险降至最低。 为制定《数字化服务法》,欧洲议会研究的“数字化服务的新发展”行动建议强调,“必须是为促进欧洲的数字化领导地位奠定基础,以便控制正在全面展开的数字化演变。”其中对“欧洲互联网”(European Internet)的描述是: 欧洲“数字云”(即“欧洲互联网”)将促进基于数据和创新的欧洲数字生态系统。它将推动竞争和标准制定。外国的网络服务可以成为这种数字生态系统的一部分,但必须遵守欧盟的规则和标准,例如民主价值观、数据保护、数据可访问性、透明性和用户友好性。 像中国的防火墙一样,欧洲互联网将阻止对来自第三方国家的非法行为提供纵容或支持的那些服务。 在技术上,这将需要:一个顶层基础架构,高速 5G 或 6G 数据网络,以及一道防火墙。建立这样的网络将促进许多欧洲公司的发展,从而促进业务发展并推动创新。 构成未来大多数数字化创新服务的基础,即是所有即将到来的数字化服务核心的三个潜在趋势是:无缝性(Seamlessness);超个性化(Hyper-individualization);可持续性(Sustainability)。 “欧洲互联网”与俄罗斯的“主权互联网”的主要差异是,俄罗斯旨在应对来自境外“断网”的突发事件;“欧洲互联网”的优先目的是保护隐私和数字业务本地化,以促进欧洲成为数字现代化的领导者。其本质都不是重构(或重建)互联网,只是对数据主权和安全的风险管理及其管辖权力的“回归”,并仅在“数字化基础”的主权及管辖权条件具备时,“数字化主权”的主张才具有政治权力,立法和司法才有实际意义。其中, 技术必须(无例外地)服务于“数字化主权”暨国家安全。 与欧洲模式相比较,我国的数据主权和主权数据的现实状态亦有很大的不同,也不能一概而论、照搬照套。 俄罗斯和欧洲都在DNS解析上进行了多年的技术创新探索,并取得了自主可控的重要成果。我国明显落后,而且普遍存在使用“免费”但早已被淘汰的BIND旧版本问题,是网络信息(数据)安全漏洞层出不穷的关键要害根源之一。 3、美国模式 美国一方面推动全球性地控制数据;另一方面,严防所谓“敌对国家”对美国数据武器化和武器系统的所谓“黑客攻击”。一个显著特点,美国缺乏用于数据保护与网络安全的国家统一框架,存在若干州的法律以及其他相关法规、自我监管及标准的多重来源、多重性。 美国倾向于数据保护和应用的传统化,更趋向于自由化,是技术和商业驱动方式的结合。虽然占主导地位的观点,泄露隐私被视为侵权行为,又要求受害者必须证明其所受到的伤害。同时,在全球范围保护美国的企业深化利用技术手段控制所有数据,鼓励各国数据存储于美国等。 我国不仅在1994年全面接入美国的因特网,在网络管理的体制机制方面也基本效法美国。坚定不移地维护我国的国家主权、安全和发展利益,美国的某些做法,我国可以反其道而行之,并以其人之道还治其人之身。例如,美国军网始终处于因特网的指挥与控制核心层,以及因特网从一开始就根深蒂固地基于军民融合网络的本质与架构等。 三、我国亟须继往开来的未来网络系统创新 半个多世纪以来,网络信息通信行业形成了“No Forklifts”的惯例(或称作“事实规则”),意译为“稳中求进”。“稳中求进”并不是保守、不思进取,而是要有稳固的基础,深耕细作,统一指挥(规划)、合作扩展、共同发展。 今天,物理的网络基础设施不仅成熟且在持续发展(如移动通信、量子通信、星链通信),并递进形成了网信空间信息和通信技术及其服务(ICTS)的供应链生态系统,绝不是一蹴而就,也绝不可能轻易被颠覆。例如,谷歌和脸书,财大气粗,虽然可以投资铺设几条海底光缆,但落地后还是要依赖与网络运营商(如AT&T)对接;美国国防部的全球信息网格(GIG)作为部署全球的战术网络,主要依托民用网络基础设施。 网络信息空间的安全,首先亟待加强的是理念和意识的共识以及指挥和管理的能力,动辄“重构、重建”通信网络是本末倒置。当前热门的研究课题,如安全科学(SOS:Science of Security)、信息和通信技术(ICT)、运营和服务技术(OST),是不同的科学、学术与技术领域。任何跨域结合与联合的探索或试验,必须警惕以偏概全或盲目“证实”、“证伪”,以免导致全网不可预知的安全风险。 实事求是地说,任何试图颠覆性重新“建网”(无论全球网或全国网)的说法,或是虚拟叠加网,或只能是专用局域网,不乏“异想天开”。我们不能总是沉湎于、停滞于二三十年前的阶段、理念和格局。面对继往开来的新发展阶段,要用实事求是的新发展理念,指导未来网络系统创新的新发展格局。 当前,我国网络信息领域体制机制的亲美国化以及管理理念与方法滞后,形成了自立自强的巨大阻力、压力和摩擦力,自主创新的张力、拉力、向心力明显不足,难以形成“统筹传统安全和非传统安全,把安全发展贯穿国家发展各领域和全过程”的强大动力与举国协力。 我国公众网络长期困囿于“美国利益至上”的协议和标准,受制于美国“一网独霸天下”的约束与管控,桎梏于美军赛博空间“第五作战域”的思维定势,思想上盲目追崇,技术上束手束脚,管理上邯郸学步,在网络信息领域关键基础设施与核心技术方面鲜有创新建树。尤其是在缺乏科学实践验证(证实和证伪)的情况下,盲目地规模部署IPv6过渡(试验)计划,引发危害与威胁我国重要产业、基础设施、战略资源、重大科技等深层次、大范围、多元化的严重问题,愈演愈烈。 捍卫与维护国家主权,是统筹发展和安全的原则基础;筑牢国家安全屏障,是主权和发展的根本保障;实现更高质量、更有效率、更加公平、更可持续、更为安全的发展,是主权和安全的核心意志。坚定不移地维护国家主权、安全和发展利益,主权是维护的原则,安全是维护的核心,发展利益是维护的目的和归宿。核心是纲,纲举目张。 彻底解决我国的网络信息安全积重难返的一系列重大问题,亟须继往开来的系统创新,亟须打造全新的能够促进我国未来网络发展的基础设施和应用服务的平台架构。 中国和美国都是庞大的数据单一市场,能够收集大量数据来推动其算法发展,形成美中独占鳌头的数据寡头平台。 因此,我国“十四五”期间网络强国的基本原则是: ——最大限度地保护我国的数据主权和安全,保护95%以上的主权数据与信息交互在国土之内安全存储、解析和有效(可靠)循环; ——尽量避免重复建设,最大限度地保持和安全使用既有的(物理化)网络基础设施,并大力促进基础硬件和本土优秀软件的融合; ——并行(或兼容)因特网安全适用的运行平台,并能积极规避(或制衡)其“武器化”与“武器系统”的威胁; ——有利于促进“一带一路”、全球互联互通,有助于深化自主创新举国体制、振奋全民自立自强。 【本文感谢网络信息安全专家邱实支持。】 (作者系昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】) |
|||
2021-4-8 3103 | |||
|
咨询电话 13910949198 (李桂松) |
北京市平谷区中关村科技园区平谷园1区-21594(集群注册) |
京ICP备16017448号 |
技术支持 |