唐岚：美欧强调“网络安全韧性”动向值得警惕

随着地缘政治、新冠疫情、技术变革等诸多因素的演变，“韧性”（resilience，又译为弹性、恢复力）成为高频词，出现在各种复杂问题解决方案中。在网络安全领域，“韧性”并非一个新概念，美国商务部旗下国家标准与技术研究院将其定义为预测、抵御、恢复和适应不利条件、压力、攻击或破坏的能力。不少国家的网络安全战略都以实现数字系统韧性为目标。在数字化转型加速、网络空间博弈趋紧大背景下，美欧等赋予了网络安全韧性更广泛的内涵，这一动向值得关注，并加以警惕。

首先是网络防御理念的转变。美国一贯倡导网络威慑战略，通过高调展示强大的网络攻防能力（拒止）及其动用经济、法律、外交和军事等进行报复（惩罚）的能力，震慑对手放弃或不敢针对美国发起网络攻击。但美国战略与国际问题研究中心副总裁詹姆斯·刘易斯、斯坦福大学教授赫伯特·林等网络安全专家观察到，2023年3月白宫出台的《国家网络安全战略》通篇未提“威慑”一词，说明“网络空间的威慑政策已经失败”。刘易斯进一步指出，制定网络安全政策应以网络受攻击、漏洞被利用不可避免为前提，以韧性为立足点，使国家关键数据和服务受到的破坏最小化。

诚然，数字技术的快速迭代，物理空间与网络空间的界限不断被打破，出现了一个虚实共生且相互映射、叠加和融合的数字空间，极大拓展了人类活动空间的同时，也使安全风险无处不在。数字化、网络化程度越高，可被攻击的部位、节点就越多；对数字技术的依赖程度越高，网络破坏造成的后果就越严重，不可能做到固若金汤、万无一失。类似于遭遇第一次核打击后的生存能力，网络安全韧性越强，从网络打击中恢复的速度就越快，社会的承受力就越强，也就能在进一步的网络对抗中赢得主动。从维护国家安全和利益角度看，强调“网络安全韧性”似乎无可厚非，但美欧此举的真实意图并非只是维护自身安全，而更多是为国家间网络对抗做准备，以更利于其加速推进网络空间军事化，这将极大危害全球网络空间的和平与稳定，也给每个国家的国家安全、乃至每一个人的切身利益带来深刻影响。

其次是侧重从源头确保安全。拜登政府强调数字基础设施从设计之初就应具备弹性，加强对不安全软件产品和服务的追责，最终建立一个可防御且富有韧性的数字生态体系。欧盟欲通过《网络弹性法案》（CRA），它规制的对象涉及所有软硬件产品及远程数据处理方案，涵盖产品从设计、开发、交付到淘汰的整个生命周期，严惩未履行基本网络安全要求的制造商和销售商。这由此必然涉及供应链这一核心问题。在美欧看来，依赖“不受信任”供应商生产的关键产品和服务将招致各种系统性风险，提高供应链透明度对实现网络安全韧性至关重要。美国在积极推进软件物料清单，要求厂商提供开发过程中所采用的所有零部件、原材料及其供应商上下游依赖关系等基本信息。

问题是，如何判断所谓不可靠、不可信的供应商，完全取决于美欧自己界定的所谓“安全和信任标准”，其中政治操弄的空间极大。华为公司在美欧的遭遇告诉我们，美欧这种“安全和信任标准”已经被意识形态化了，在这个意义上，美欧追求网络安全韧性又为其将网络安全政治化提供了一个借口。

最后是倡导所谓“共同韧性”。网络安全具有较强的外溢性、关联性，攻击者可以在全球寻找最薄弱的环节入手，利用互联互通的网络抵达目标，同时其后果又往往难以控制，极易蔓延扩散。为了最大程度地补齐木桶中最短的木板，美国提出要与欧盟、北约等实现网络安全的“共同韧性”，在供应链安全、网络威胁信息共享、网络事件处置、网络演练等方面全面展开合作。

为配合大国战略竞争，美国将目光转向“印太”地区，借助“印太经济战略”“四方安全对话”等开展“友岸外包”，与盟友和所谓“理念相近”国家共同研发与制造可互操作、可靠数字产品及服务。美国还试图在亚太复制北约模式，吸引日本、韩国加入北约合作网络防御卓越中心，拉起网络情报网，为其网战力量投射找到路径。4月，美国会提出《台湾网络安全韧性法案》，想要授权军方利用美国网络技术“武装台湾”。该法案恶意揣度中国大陆对台湾地区发动网络攻击，实则意在全面接手台湾地区网络防御，便于其进一步窥探和渗透中国大陆网络。

网络空间的攻防对抗，打破了传统的平战、军民以及战场内外的界线。因此，国家间网络博弈是全方位、全领域的。美欧基于全方位战略竞争，试图从供应链、协同行动等多领域构筑网络安全防线，并将网络安全韧性延伸至重要物理设施，甚至认知域，如有效识别和打击虚假信息，快速恢复社会信心等。这样的举动将在一定程度上增加国家间发生误判、触发网络摩擦和冲突、甚至擦枪走火的可能性。我们必须予以充分认识，并坚持系统思维、底线思维和极限思维，维护我国和国际网络空间的安全与和平。（作者是中国现代国际关系研究院研究员）

热门相关：秾李夭桃   貌似纯洁   王妃不乖：独宠倾城妃   明朝好丈夫   第一强者