新的攻擊方法不斷涌現(xiàn)，黑客幾乎永遠(yuǎn)占據(jù)網(wǎng)絡(luò)攻擊的上風(fēng)，我們不可能通過技術(shù)手段杜絕網(wǎng)絡(luò)攻擊。國家安全保障的主要方向是打擊犯罪，而不是處置和懲罰受害者。

2016年，權(quán)威安全漏洞統(tǒng)計(jì)和披露平臺CVE公告各種安全漏洞9999個(gè)，敲詐者病毒瘋狂肆虐，美國網(wǎng)絡(luò)也一度淪陷，雅虎用戶數(shù)據(jù)被盜。普通網(wǎng)民人人自危，深感無助。

網(wǎng)絡(luò)安全無疑是一個(gè)高度專業(yè)的領(lǐng)域，但目前被搞到了“全民皆兵”的境地。用戶上網(wǎng)必須“全副武裝”，部署各種防火墻、防病毒軟件，仍然惴惴不安，不時(shí)要面對各種險(xiǎn)情，打開一個(gè)郵件、點(diǎn)開一個(gè)網(wǎng)頁都可能是一次歷險(xiǎn)，即便什么都不做也難保不會被攻擊和入侵。

另一方面，各行各業(yè)的信息化工作也深受網(wǎng)絡(luò)安全困擾，不僅是面對安全侵害風(fēng)險(xiǎn)的困擾，因?yàn)楸磺趾Χ粏栘?zé)的壓力甚至更大，信息化服務(wù)正成為新的高風(fēng)險(xiǎn)行業(yè)，盡管很多從業(yè)人員還尚未意識到這一情況。根據(jù)網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護(hù)要求，公共信息服務(wù)系統(tǒng)必須定級和部署定級，否則將可能面臨問責(zé)。在一些需要進(jìn)行“重點(diǎn)安全保障”的特殊時(shí)期，有些單位為了減壓，干脆關(guān)閉對外網(wǎng)絡(luò)和信息服務(wù)，這就如敵人還沒有開打，我們就主動繳械投降了。“為了避免被拒絕服務(wù)攻擊，我們自己主動拒絕服務(wù)了”成為年度冷笑話，這種明哲保身、推卸責(zé)任的做法實(shí)在荒唐。

網(wǎng)絡(luò)安全的重要性毋庸置疑，加強(qiáng)網(wǎng)絡(luò)安全管理無可非議。但是，如果把安全保障的重心放在向廣大非安全專業(yè)的機(jī)構(gòu)和網(wǎng)民提出大量專業(yè)性要求，而在打擊網(wǎng)絡(luò)安全攻擊和犯罪方面消極被動，不能不說是網(wǎng)絡(luò)安全治理的重大失誤。我們在網(wǎng)絡(luò)安全上的投入和負(fù)擔(dān)不斷增加，卻越來越缺乏安全感，其根本原因之一就是治理方向出現(xiàn)了問題。維護(hù)網(wǎng)絡(luò)安全，不能寄望于平民百姓對抗專業(yè)匪徒，安全管理機(jī)構(gòu)應(yīng)成為保護(hù)傘而不是裁判員。國家有義務(wù)建立公共網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和保障體制，國家間需要建立打擊網(wǎng)絡(luò)安全犯罪的協(xié)同機(jī)制，主動和高效打擊網(wǎng)絡(luò)犯罪，給網(wǎng)民提供一個(gè)安居樂業(yè)的網(wǎng)絡(luò)環(huán)境，而不是讓網(wǎng)民在盜匪橫行的網(wǎng)絡(luò)空間奢望自保。

在線下世界，絕大多數(shù)人并非武林高手，沒有防彈衣和裝甲車，但我們感覺安全，這份安全感是來自國家對違法犯罪的震懾，國家安全保障的主要方向是打擊犯罪，而不是處置和限制受害者。

安全攻擊行為是互聯(lián)網(wǎng)社會性的顯著標(biāo)志之一。互聯(lián)網(wǎng)絕不僅是一個(gè)由計(jì)算機(jī)連結(jié)起來的簡單組合體。每一臺計(jì)算機(jī)都在貫徹人類的意志，互聯(lián)網(wǎng)是人類社會在數(shù)字空間的投影。互聯(lián)網(wǎng)上的行為因此異常復(fù)雜，難以捉摸。安全攻擊行為具有主動性和多變性。當(dāng)全世界網(wǎng)民為自己的網(wǎng)絡(luò)安全謀劃時(shí)，全世界的黑客也在更加刻苦地鉆研網(wǎng)絡(luò)攻擊的新途徑。由于網(wǎng)絡(luò)安全攻擊的方法和技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展保持同步甚至有所超前，因此很難指望通過純粹技術(shù)手段杜絕攻擊。因此在安全防范中，以人為本的安全管理是第一要素，即人與人之間的角逐是勝負(fù)的關(guān)鍵，這種自冷兵器時(shí)代沿襲而來的對抗法則，在數(shù)字化時(shí)代仍然無法規(guī)避。

迄今為止，在安全對抗中黑客陣營占據(jù)上風(fēng)，我們總在遭受攻擊之后被動地防護(hù)，而后茫然地等待下一次攻擊的到來。黑客們?nèi)〉?ldquo;驕人戰(zhàn)績”，并非絕對依賴高明的技術(shù)手段，也出于對網(wǎng)絡(luò)使用者行為的悉心推測。人們采用的仍然是以“堵”為主的安全防護(hù)戰(zhàn)略，即無論大型集團(tuán)用戶還是個(gè)人用戶，都竭盡所能，“全副武裝”。即便如此，新的安全漏洞仍然不斷被發(fā)現(xiàn)，新的攻擊方法也不斷涌現(xiàn)。通過分析近來日益猖獗的DoS攻擊，我們不難發(fā)現(xiàn)，人們目前幾乎無法實(shí)現(xiàn)“絕對安全”，更不能杜絕“百密一疏”。

反觀現(xiàn)實(shí)社會的安全保障體系，不難發(fā)現(xiàn)，人們的安全感并非來自自身擁有的強(qiáng)大防護(hù)能力，而是由于威懾犯罪的公共安全體系和完備的司法體系。不必付出代價(jià)或較少付出代價(jià)，正是網(wǎng)絡(luò)犯罪難以遏制的根源。

既然一味被動封堵不能治水，更不能成就網(wǎng)絡(luò)空間安全，在網(wǎng)絡(luò)空間公共安全保障方面，必須徹底扭轉(zhuǎn)被動姿態(tài)，建立主動的“威懾安全體系”：

第一，嚴(yán)懲網(wǎng)絡(luò)犯罪，通過增加犯罪成本和代價(jià)，加大威懾，讓絕大多數(shù)人不敢越雷池一步。網(wǎng)絡(luò)空間雖然是虛擬世界，但責(zé)任主體明確，網(wǎng)絡(luò)犯罪并非不可追究。

第二，國家有義務(wù)建立公共網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和保障體制，為絕大多數(shù)用戶提供低成本的有限安全，而不是要求他們?nèi)蔽溲b。只有針對特定對象，在需要不惜代價(jià)保障安全的情況下，才需要追求嚴(yán)防死守和全副武裝的“絕對安全”。在應(yīng)對網(wǎng)絡(luò)安全侵害方面，個(gè)體力量無論多強(qiáng)，總是弱的，社會力量無論多弱，總是強(qiáng)的。因此，相對于目前草木皆兵的被動防御現(xiàn)狀，建設(shè)、發(fā)展具有威懾力的主動公共安全保障體系，才是網(wǎng)絡(luò)空間公共安全的正確方向。

（作者為清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院教授）