2016年4月12日出版的美國華盛頓郵報刊發(fā)了Ellen Nakashima的文章,進一步披露了美國聯(lián)邦調(diào)查局解鎖恐怖分子嫌疑人蘋果手機的細節(jié)。文章稱,聯(lián)邦調(diào)查局支付了一筆費用給某些職業(yè)黑客,購買了其掌握的蘋果手機操作系統(tǒng)漏洞,得以繞過蘋果屏幕解鎖次數(shù)的安全機制,然后根據(jù)這一漏洞,制作了某種裝置,破解了被鎖屏的手機。
如果該報道屬實,那么至少會延伸出三個問題:這個漏洞的影響范圍有多大?美國執(zhí)法機構(gòu)將如何使用此類漏洞?如何從國家網(wǎng)絡(luò)安全戰(zhàn)略框架的視角出發(fā),認識和理解此類漏洞的挖掘、交易和相應(yīng)的管理機制?
根據(jù)目前的信息,F(xiàn)BI稱,此漏洞僅影響使用IOS 9系統(tǒng)的iPhone 5c手機,而不是無條件地適用于更高端的蘋果手機,影響范圍有限。美國政府4月13日向路透社表示,此解鎖方法的所有權(quán)歸發(fā)現(xiàn)此漏洞的公司,無法通過美國政府迫使其提交給蘋果公司,也無法在美國政府部門之間共享。畫外音似乎是用一次就要買一次。
但是,關(guān)鍵的第三個問題,也就是如何看待此類具有國家安全戰(zhàn)略意義的漏洞,包括挖掘、交易和管理的整體性的機制安排,可能才是真正需要認真關(guān)注的焦點。
如果聯(lián)邦調(diào)查局真的是利用漏洞解鎖了蘋果手機,那就從側(cè)面展示了,美國政府已經(jīng)形成了一套管理和使用網(wǎng)絡(luò)安全系統(tǒng)漏洞的有效機制。結(jié)合非常有限的披露資料看,這個機制是高度市場化的。這也是當(dāng)下網(wǎng)絡(luò)安全具有的顯著特性:在一個開放的市場化環(huán)境中,與系統(tǒng)安全相關(guān)的漏洞,已經(jīng)被市場化了。發(fā)現(xiàn)漏洞的公司,至少在美國,可以通過對這種漏洞的市場化交易獲利。取締或者限制這種交易,不見得完全不可能,但成本高昂,執(zhí)行困難,且有效性必然大打折扣。
那么,換一個視角來看,如何在開放的市場環(huán)境下,形成一套符合國家安全利益需求的工作機制,就成為首要的任務(wù)。具體來說,這一機制至少需要實現(xiàn)如下目標(biāo):
首先,能夠有效地阻斷被發(fā)現(xiàn)的漏洞以損害國家安全和公眾權(quán)益的方式擴散和傳播,也就是說,要為漏洞的挖掘、交易和使用設(shè)置某種紅線。
其次,為政府部門使用這種漏洞解決國家安全問題設(shè)置正確的規(guī)范。無限制地允許政府部門使用這類漏洞,將構(gòu)成對個人數(shù)據(jù)和隱私的潛在風(fēng)險。上述案例中的一次性買斷與限定使用部門的安排,折射了避免購買后被濫用風(fēng)險的嘗試。
第三,有足夠的供給,以及恰當(dāng)?shù)慕灰讬C制,保障在滿足國家安全條件下,供求雙方可以順利地達成交易。
在這樣一個交易機制中,政府關(guān)注的是降低保障國家網(wǎng)絡(luò)安全的技術(shù)成本;挖掘方關(guān)注的是安全可靠便捷地獲取經(jīng)濟收益;產(chǎn)品的相關(guān)制造商則關(guān)注如何避免損失擴大,并及時進行修補和完善;而直接間接相關(guān)的個人,更多關(guān)注如何有效保障合法權(quán)益免受類似風(fēng)險的損害。
對其他國家來說,使用蘋果手機的是一個龐大的群體,類似的漏洞挖掘、交易和管理機制,同樣是國家安全框架中亟待解決的全新挑戰(zhàn)。除了手機漏洞之外,與民生有關(guān)的關(guān)鍵基礎(chǔ)設(shè)施的安全如何有效保障,如何避免這類可能產(chǎn)生“網(wǎng)絡(luò)空間珍珠港事件”的潛在不穩(wěn)定因素得到有效的控制,會是踐行國家網(wǎng)絡(luò)安全戰(zhàn)略的重要新任務(wù)。如何在開放環(huán)境下,有效提升自身獲得漏洞信息、彌補安全漏洞、應(yīng)對非傳統(tǒng)威脅帶來的沖擊和挑戰(zhàn),構(gòu)成了一項全新的命題。
中國是一個網(wǎng)絡(luò)大國,以建設(shè)網(wǎng)絡(luò)強國為己任,為了保障國家安全和現(xiàn)代化,中國也應(yīng)該著手推進相關(guān)工作,包括但不限于:第一,建設(shè)并完善與國家安全相關(guān)的、不可共享的、廣泛傳播的戰(zhàn)略級漏洞庫,從攻防能力體系建設(shè)角度入手,推動相關(guān)工作的展開。
第二,建設(shè)并完善與國家安全相關(guān)、同時可以廣泛共享的信息通報與協(xié)調(diào)機制,與其他主權(quán)國家、非國家行為體等就相關(guān)信息、資源和情報進行共享,同時有效阻斷網(wǎng)絡(luò)霸權(quán)國家切斷相關(guān)信息、知識與能力擴散的消極戰(zhàn)略意圖與實踐。
第三,鼓勵相關(guān)公司以可負擔(dān)的方式,有效提升網(wǎng)絡(luò)安全的防御能力,平衡公司的收益與社會責(zé)任,以及國家網(wǎng)絡(luò)安全戰(zhàn)略框架中的安全、自由與秩序,綜合考慮維護安全、生活便利與高速發(fā)展的需求,這是中國應(yīng)該著手開展的重要實踐。如何盡快有效地建設(shè)并完善相關(guān)的制度安排,應(yīng)該成為中短期內(nèi)建設(shè)完善網(wǎng)絡(luò)強國的關(guān)鍵任務(wù)所在。