2016年4月12日出版的美國華盛頓郵報刊發了Ellen Nakashima的文章,進一步披露了美國聯邦調查局解鎖恐怖分子嫌疑人蘋果手機的細節。文章稱,聯邦調查局支付了一筆費用給某些職業黑客,購買了其掌握的蘋果手機操作系統漏洞,得以繞過蘋果屏幕解鎖次數的安全機制,然后根據這一漏洞,制作了某種裝置,破解了被鎖屏的手機。
如果該報道屬實,那么至少會延伸出三個問題:這個漏洞的影響范圍有多大?美國執法機構將如何使用此類漏洞?如何從國家網絡安全戰略框架的視角出發,認識和理解此類漏洞的挖掘、交易和相應的管理機制?
根據目前的信息,FBI稱,此漏洞僅影響使用IOS 9系統的iPhone 5c手機,而不是無條件地適用于更高端的蘋果手機,影響范圍有限。美國政府4月13日向路透社表示,此解鎖方法的所有權歸發現此漏洞的公司,無法通過美國政府迫使其提交給蘋果公司,也無法在美國政府部門之間共享。畫外音似乎是用一次就要買一次。
但是,關鍵的第三個問題,也就是如何看待此類具有國家安全戰略意義的漏洞,包括挖掘、交易和管理的整體性的機制安排,可能才是真正需要認真關注的焦點。
如果聯邦調查局真的是利用漏洞解鎖了蘋果手機,那就從側面展示了,美國政府已經形成了一套管理和使用網絡安全系統漏洞的有效機制。結合非常有限的披露資料看,這個機制是高度市場化的。這也是當下網絡安全具有的顯著特性:在一個開放的市場化環境中,與系統安全相關的漏洞,已經被市場化了。發現漏洞的公司,至少在美國,可以通過對這種漏洞的市場化交易獲利。取締或者限制這種交易,不見得完全不可能,但成本高昂,執行困難,且有效性必然大打折扣。
那么,換一個視角來看,如何在開放的市場環境下,形成一套符合國家安全利益需求的工作機制,就成為首要的任務。具體來說,這一機制至少需要實現如下目標:
首先,能夠有效地阻斷被發現的漏洞以損害國家安全和公眾權益的方式擴散和傳播,也就是說,要為漏洞的挖掘、交易和使用設置某種紅線。
其次,為政府部門使用這種漏洞解決國家安全問題設置正確的規范。無限制地允許政府部門使用這類漏洞,將構成對個人數據和隱私的潛在風險。上述案例中的一次性買斷與限定使用部門的安排,折射了避免購買后被濫用風險的嘗試。
第三,有足夠的供給,以及恰當的交易機制,保障在滿足國家安全條件下,供求雙方可以順利地達成交易。
在這樣一個交易機制中,政府關注的是降低保障國家網絡安全的技術成本;挖掘方關注的是安全可靠便捷地獲取經濟收益;產品的相關制造商則關注如何避免損失擴大,并及時進行修補和完善;而直接間接相關的個人,更多關注如何有效保障合法權益免受類似風險的損害。
對其他國家來說,使用蘋果手機的是一個龐大的群體,類似的漏洞挖掘、交易和管理機制,同樣是國家安全框架中亟待解決的全新挑戰。除了手機漏洞之外,與民生有關的關鍵基礎設施的安全如何有效保障,如何避免這類可能產生“網絡空間珍珠港事件”的潛在不穩定因素得到有效的控制,會是踐行國家網絡安全戰略的重要新任務。如何在開放環境下,有效提升自身獲得漏洞信息、彌補安全漏洞、應對非傳統威脅帶來的沖擊和挑戰,構成了一項全新的命題。
中國是一個網絡大國,以建設網絡強國為己任,為了保障國家安全和現代化,中國也應該著手推進相關工作,包括但不限于:第一,建設并完善與國家安全相關的、不可共享的、廣泛傳播的戰略級漏洞庫,從攻防能力體系建設角度入手,推動相關工作的展開。
第二,建設并完善與國家安全相關、同時可以廣泛共享的信息通報與協調機制,與其他主權國家、非國家行為體等就相關信息、資源和情報進行共享,同時有效阻斷網絡霸權國家切斷相關信息、知識與能力擴散的消極戰略意圖與實踐。
第三,鼓勵相關公司以可負擔的方式,有效提升網絡安全的防御能力,平衡公司的收益與社會責任,以及國家網絡安全戰略框架中的安全、自由與秩序,綜合考慮維護安全、生活便利與高速發展的需求,這是中國應該著手開展的重要實踐。如何盡快有效地建設并完善相關的制度安排,應該成為中短期內建設完善網絡強國的關鍵任務所在。