2013年2月19日,美国网络安全公司曼迪亚特公布了安全研究报告,指责中国政府支持黑客窃取美国商业机密并转交中国公司的做法不仅损害了美国公司的商业利益,危害了美国国内的就业,而且从战略层面挑战了美国的国家安全。①2月20日,白宫发布了一项打击窃取美国商业机密的新战略,建立了一个美国面临来自中国网络攻击威胁的叙事结构:中国政府使用国家力量,对美国私营公司发动网络攻击,窃取商业机密,然后转交给中国公司对美国展开不公平竞争,这一不公平竞争已经严重威胁美国的经济安全。②2013年6月,前美国国家安全局承包商的合同制员工斯诺登(Snowden)披露美国国家安全局建成并运行着大型的监控项目“棱镜”(PRIZM),能够对全球各国的网络通讯活动进行全面监控。③这是网络安全问题影响到国家安全并对大国关系构成挑战的最新事例。对中国来说,理解美国国家网络安全战略的演进及其影响具有重要的理论价值与实践意义。在展开对美国国家网络安全战略的分析之前,先对相关的概念进行辨析,明确相互之间的联系与区别。 一 信息安全与网络安全的联系与区别 “网络安全”(Cyber Security)、“信息安全”(Information Security)、信息通讯技术安全(Information Communication Technology Security)、“网络安全”(Network Security)、“互联网安全”(Internet Security)、关键基础设施保护(Critical Information Infrastructure Protection)是欧美发达国家探讨网络空间发展与国家安全关系时经常涉及的一组概念。这些概念相互之间的关系,如图1所示。 图1是国际标准化组织(ISO)已经认可的概念图示,用于描述信息安全管理体系内各相关概念的关系:信息安全(Information Security)是最一般的描述,旨在强调根据相关用户的需要,保障信息的保密性、完整性和可用性;网络安全(Network Security)关注如何在技术层面,对那些实际运行的网络,确保分布在网络上的组织内部、组织与组织之间,以及组织与个人之间的信息安全;互联网安全(Internet Security)关注在互联网(也就是使用TCP/IP协议连接起来的网络)如何保障可靠性和可用性;关键基础设施保护(Critical Information Infrastructure Protection)保障那些提供或者关键基础设施运营者的网络系统的安全,关键基础设施运营商包括能源、通讯、饮用水系统等,关键基础设施保护确保这些系统和网络在面临各种类型的风险时能得到足够保护,有足够的弹性或者防御能力;网络安全(Cyber Security)又被称为网络空间的安全(Cyberspace Security)被定义为保障在网络空间上存储的信息的保密性、完整性和可用性,而网络空间存储信息的真实性、可核实性、不可抵赖性以及可靠性也可以纳入网络安全(Cyber Security)的框架内。④
图1 网络安全战略相关概念图示 国际电信联盟(International Telecommunication Union)将网络安全(Cyber Security)定义为“工具、政策、安全概念、安全保障、指导方针、风险管理方法、行动、训练、最好的实践、保障措施以及技术的集合,这一集合能够被用于保障网络环境,以及组织和用户的财产。组织和用户的财产包括相互链接的计算设备、个人计算机、基础设施、应用、服务器、通讯系统,以及所有在网络环境里存储/或传输的信息的综合。网路安全旨在实现并维护组织和用户资产在网络空间的安全属性,反击网络环境中相关的安全风险。安全属性包括可用性、可信度(包括真实性以及不可抵赖性)以及保密性。”⑤ 毫无疑问信息安全(Information Security)与网络安全(Cyber Security)是两个密切联系又存在区别的概念:信息安全里的“信息”涵盖了各种形式的信息,其起源和出现的时间较网络安全更早;网络安全,从某种意义上来说,可以被理解为网络空间的安全,其中最重要和最主要的内容,当然如前所述,就是要保障在网络空间里存储的信息的安全,但同时为了实践这一目标,网络安全就必须将其涉及的范围从基础延伸到政策、行动、观念等诸多层面。 从上述定义还可以发现,信息安全界定的方式是安全的客体,也就是需要被保障的是“信息”的安全;而网络安全的界定,更多的是和一个特定的“空间”,也就是网络空间(Cyberspace)密切相关,相比“信息安全”,网络安全更加关注的是要实现的效果,也就是实现整个“网络空间”的安全。网络空间一词,源自1984年加拿大作家吉布森((William Gibson)的科幻小说《神经漫游者》(Necromancer),从构词法上看是控制论(cybernetics)和空间(space)两个单词共同构成的,从概念上说,指通过计算机以及由计算机构成的网络里所支撑起来一个虚拟现实空间,它依托于具体的物理设备而存在于逻辑空间里,同时跨越这两者,借助具体的用户交换着数据、信息。 从国家安全战略研究的视角出发,网络安全在当下,成为了直接影响乃至挑战国家安全的关键所在,严格局限于信息本身的信息安全概念,在21世纪全球网络空间的环境下,作为一个学理和技术层面的概念依然重要,但作为一个中观的且有操作性的概念而言,网络安全的优势更加显著:因为可以将网络空间中各种对国家安全产生影响的因素作为一个有机的整体进行综合考虑,从信息的保障、行为的规制、政策与战略的制定等诸多方面展开相应的论述和分析。