回望2017年，可以發現這是網絡安全面臨嚴峻挑戰的一年，全球網絡安全問題頻發。這一現象背后反映了全球網絡安全面臨著那些問題？面對這樣的形勢，在新一年里，在網絡空間這個人類活動的“新疆域”里，我們又該如何應對這些安全挑戰？

2017，幾乎月月有重大網絡安全問題

2017年2月，著名的網絡服務商CloudFlare曝出內存泄露問題，優步（Uber）、密碼管理軟件1password、運動手環公司FitBit等多家企業用戶隱私信息遭遇泄露風險。

4月，洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露的問題。

5月，WannaCry勒索病毒全球爆發。

6月，名為Petya勒索病毒的變種開始從烏克蘭擴散，這一病毒的傳播速度在峰值達到每10分鐘感染5000余臺電腦，在情況最嚴重的歐洲國家，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施因為遭遇病毒攻擊而陷入癱瘓狀態；同樣在6月，超過1.98億美國公民的個人隱私與政治態度數據遭遇泄露。

9月，美國三大信用評級機構之一的Equifax公司數據庫遭遇黑客攻擊，約1.43億客戶數據遭遇泄露；同月，美國國防部托管的亞馬遜的三臺云服務器因配置錯誤導致內容泄露，其中包含美國國防部搜集的全球18億用于在社交媒體發布的內容與相關用戶信息。

10月，雅虎公司證實有近30億用戶賬戶及相關信息可能在2013年即遭遇了黑客攻擊并因此泄露。

11月，蘋果公司操作系統被披露存在嚴重漏洞，用戶僅輸入“root”作為用戶名且無需輸入任何密碼即可以管理員身份進入系統。

12月，芯片生產商英特爾公司承認其芯片內核硬件設計存在嚴重漏洞，可以被不當利用，影響范圍包括所有操作系統下的高端芯片，對云服務的沖擊與挑戰尤其嚴峻。

是什么使2017網絡安全形勢如此嚴峻？

縱觀上述去年2月到12月的重大網絡安全事件，大致可以分為三種主要的類別：

其一，以新型勒索軟件在網絡空間的大范圍傳播為典型，可以看作是全球網絡空間武器擴散及其可能后果的雛形。勒索病毒本身并非2017年的新生事物，其與此前被影子經紀人公布的國家級網絡武器庫的結合，是其肆虐2017的關鍵。而在網絡武器遭遇泄露之后，相關國家沒有及時通知各方進行預防，全球缺乏相應的合作與協調機制，凸顯了全球網絡安全未來應該著力解決的關鍵任務。

其二，網絡空間商業運用、攻擊與防御三方的持續不平衡態勢，日趨明確的提出了要實現均衡發展的迫切需求。從20世紀90年代開始至今，網絡空間的商業應用，以及信息化的發展速度，遙遙領先于網絡安全與防御體系的建設。2017年屢次出現的大規模數據泄露事件，凸顯了大數據發展進程中的短板，即必要的技術、制度、能力建設沒有能夠與信息化應用的發展速度相匹配，缺少安全的有效保障，即使實現了高速的發展，卻始終面臨著遭遇安全威脅抵消發展成果的重大風險。

其三，因為新技術的高速迭代而進一步凸顯的技術內在缺陷可能帶來的風險挑戰。蘋果公司在持續反復更新Mac操作系統時出現了非常低級的空白口令漏洞，英特爾在實現高性能芯片設計時，沒有對可能的側邊信道攻擊進行必要的防范，由此導致的風險，因為全球信息產業的天然壟斷屬性，以及市場上客觀存在的壟斷競爭模型，而被放大了。另一方面，值得欣慰的是，至少在英特爾芯片存在漏洞的問題上，是研究者而非攻擊者首先發現了漏洞，并提出了相應的預警。如何確保這種良性的合作模式能夠持續的發展下去，應該成為各方關注的焦點。

展望2018，改善大國戰略互信是優先項

整體看，當前全球網絡空間安全的治理態勢并不樂觀，而且這種不樂觀可能是結構性的：問題很清楚，挑戰很明顯，需要采取的行動并不真的那么復雜。但是，國際體系的環境與遺產和實現全球網絡空間安全之間的張力，或者悖離，沒有顯著或者積極的改進跡象，歐美發達國家與新興大國以及發展中國家之間，無論是戰略互信，行動意愿和能力建設，均存在顯著的落差。

早期推進網絡空間發展的歐美發達國家，不愿意實質性地放棄在網絡空間構建單極-西方中心的目標和信念；新興的大國與發展中國家雖然有效地改善了原先的不利態勢，但在提供有效供給，實質性推進治理新秩序建設方面，還存在比較明顯的能力和資源局限。在此情況下，對2018年的展望，人們只能盡量保持謹慎的樂觀。

其一，以有效的方式，修補并改善大國之間的戰略互信，是需要優先解決的難題。戰略互信與網絡安全協調，有點像是雞生蛋、蛋生雞的循環，但卻必須要有效解決。傳統模式是從功能性議題入手謀求務實合作的外溢，以及在重大危機事件之后的高速轉變。但迄今為止，相關模式在全球網絡空間的應用和拓展，存在較為顯著地制約，無法簡單的復制。能否在2018年做出更多更有效的務實努力，值得期待，也值得關注。如果中美雙方能夠將2017年中美首腦峰會的成果予以落實，那還是有可能帶來積極的變化的。

其二，對2017年已經暴露出來的新型威脅，構建務實有效的機制，優先在戰術和實踐的層面務實地解決具體問題。國家研發網絡威脅、攻擊、防御和利用的能力，是一種客觀的趨勢。參考軍備控制的相關經驗，謀求務實的信息共享與交流機制，進行有效的管控，避免因為失控帶來的意外和風險，應該成為各方努力的焦點，如何在這方面做出相應的努力，比如在2018年通過聯合國大會第一委員會等多邊架構進行有效的網絡空間軍備控制談判等，可以成為進行有效嘗試的努力方向（聯合國大會第一委員會處理裁軍、威脅和平的國際挑戰等國際安全事務，并應對國際安全制度中的挑戰——編者注）。

其三，整合多方力量，有效預防和化解未知技術缺陷可能帶來的安全風險。2017年的英特爾芯片漏洞的發現、披露以及早期回應，可以看作是網絡安全研究力量進行去中心化的全球合作的某種成功案例。如何將其有效的整合并吸納到全球機制化的防控和應對網絡安全的努力之中，需要不同類型行為體進行更加積極有效的努力和嘗試。

（作者系復旦大學網絡空間治理研究中心主任、研究員）

“逸思”是復旦大學網絡空間治理研究中心主任沈逸主筆的專欄，聚焦網絡信息安全，從互聯網維度思考大國關系。