与网络安全话题相关的新闻从来没有像现在这样炙手可热过。然而,从某种意义上来说,最近这类新闻频繁见诸报端并引起高度关注,实际上是颇具误导性的。从根本上来说,全球信息、通信和技术(ICT)基础设施方面需要解决的问题近些年来并没有多大变化,更别提近几个月了。相关挑战是结构性的,而且根深蒂固。
主要的问题仍然是:如何才能降低我们的ICT体系中人员、企业和政府所面临的风险?从本质上来看,这一体系是全球性的,并且互相关联,因此处理和维护起来极其复杂。
科技的全球性特点是一个不可逃避的现实。在华为(Huawei)的科技产品中,高达70%的配件并非来自华为自己,而是来自一个全球供应链,美国企业是这些配件的最大供应商,占总量的32%。其他大型科技公司大多也都有类似的复杂供应链。这意味着,如果我们要增强自身网络和产品的安全性,我们就都需要考虑自己公司以外存在的更广泛挑战。
华为认为(业内多数公司也有同感),这种全球性问题只能在全球层面解决。然而,几十年来,科技公司善意的言论几乎没有带来任何进展。我的观点是,我们需要把这个问题提升到高于企业的层面,让网络安全成为国际机构和政府间机构的优先任务。在21世纪,网络安全对于国计民生的方方面面都至关重要,要是放在前几个世纪,这肯定会促使各国政府坐到一起商量出一个解决方案。从经济繁荣到国家安全,网络安全会影响到原本属于外交官处理范畴的领域,而不仅仅是公司首席执行官,不管他们有多么强大。
50年前,美国、英国和苏联签订了一项部分禁止核试验的条约,将某些核武器试验列为非法。把网络安全问题与核武威胁相提并论,可能听上去有些夸张,但这两个问题从根本上来说并没有什么不同,解决它们的方法仍很合理。在这两个例子里,关键基础设施都可能会受到损害,而且任何重大攻击的后果都将是跨越地理界线的。要在这类复杂问题上取得重大进展,最高外交级别的合作是最佳方式。
到目前为止,国际标准化方面的尝试根本没有带来真正的一致,这一事实让合作变得更为迫切。过去20年中,ICT行业由于在多个方面(从超文本到无线网络)达成全球技术标准和纪律而取得了飞速发展,但在网络安全问题上,很多标准都没有得到遵守。
我希望本文中提出的论点不会被误解为一家全球ICT企业试图把责任推卸到政府身上。我们敦促各国政府通过合作,在增强网络安全方面取得更多进展,但ICT企业绝对有责任展示出自身取得的进展。
基于这种考虑,最近在首尔举办的一个网络空间活动上,面对来自110个国家的代表,我阐述了华为应对网络安全挑战的战略。我们公司的安全政策写明,我们愿意与所有政府、客户和合作者通过不同渠道合作,共同应对网络安全威胁和挑战。受欧洲和美国在制定标准方面的成果激励,我们整理了我们的客户最常问到的关于安全的100个问题。我们不会声称这是一种标准,但这份清单确实把着重点放在与网络安全相关的一些成功要素。
我热切期盼,我们能够促进辩论和对话,让我们离完全的网络安全更近一些,并从尽可能多的领域获得反馈,尤其是政府。
英国哲学家弗朗西斯•培根(Francis Bacon)曾说:"不愿用新药的人就得预备着患新病;盖时间乃是最大的革新家也。"
从全球范围看,在我们从"车轮上的社会"向"网络上的社会"转变过程中,我们正面临新的危险,我们需要一起找到新的解决办法。
注:本文作者目前担任中国电信设备制造商华为公司的全球网络安全官,曾任英国政府首席信息官。
译者/梁艳裳
没有评论:
发表评论