沈逸：网络如此脆弱值得深刻反思

2017-05-16 13:48:33 环球时报

特别值得关注的一个问题是，为什么在微软3月14日发布相关补丁之后，这款勒索病毒仍然能够造成如此显著的影响，特别是在高校、部分央企以及一些政府有关部门……

　　名为“想哭”的勒索病毒对全球网络空间的冲击仍在继续。“想哭”借鉴或者直接使用了此前被黑客组织“影子经纪人”在网上披露的网络武器“永恒之蓝”，这被认为是美国国家安全局网络武器的一种。如果将标准的网络武器比作一枚导弹，那么此次肆虐的勒索病毒就是一种半武器级的东西。

　　此事真正值得关注的首先是性质。冷战结束之后，全球完善了大规模杀伤性武器及其运载工具相关及时的防扩散机制。而这次事件可以看做，全球第一次某种意义上的武器级网络攻击能力和产品扩散，并被投入实际使用的案例。有观点称，这将改变全球网络空间治理的格局。确实如此。但改变的方向，不是从一个极端，即完全信奉实力即自由、强权即公理的丛林世界，过渡到另一个极端，即在全球网络空间追求以康德式的理想主义为基础，遵循非战、和平主义的理想世界。

　　其次对于中国来说，特别值得关注的一个问题是，为什么在微软3月14日发布相关补丁之后，这款勒索病毒仍然能够造成如此显著的影响，特别是在高校、部分央企以及一些政府有关部门，或者管辖或者使用的网络中。相信此次遭遇攻击的那些目标，也不是没有通过相关保护制度审核的。那么挂在墙上的证书为何没能确保打上安全补丁，为何没能避免本可避免的损失，是中国未来建设网络强国所必须回答的问题。

　　对中国来说，从宏观国家网络安全战略和全球体系的视角出发，此次半武器级勒索病毒肆虐带来的冲击，并不完全是坏事。因为它以相对较低或者说可以承受的代价，证明了总书记关于没有网络安全就没有国家安全，没有信息化就没有现代化的精准论断。“单点防御”、迷信单一或者少数软件带来的绝对安全，在实践检验中被证明已无法继续满足国家网络安全的需求。

　　从全球角度来看，此次肆虐的勒索病毒反衬出，中国从2015年开始向全球倡导建设网络空间命运共同体的必要性、正当性以及迫切性。这个共同体不是要实现某种理想化的乌托邦，而是在尊重主权平等原则基础上，尊重客观的需要与合理的利益，同时将不确定性的风险降到最低。

　　从务实的路径来看，此次事件表明，中国以及其他所有愿意承担责任的国家，包括美国，应该尽快倡议推进全球网络空间的防扩散机制建设，尤其是形成一套成熟的机制，在出现类似“影子经纪人”披露网络武器的事件时，相关国家有义务遵循标准程序，避免进攻性网络能力的扩散。从此次事件看，为了开发网络武器并保持攻击的有效性，美国政府存在发现企业漏洞后但不告知并企图利用的行为。坦率地说，此类行为反映出来的是不同主体之间安全利益存在差异，但有必要建立一套共同机制，以务实的方式，将相关损害降到最低，避免意外风险。这也是共同构建网络空间命运共同体的要义之一。(作者是复旦大学网络空间治理研究中心主任)

责编：满晓彤