回望2017年，可以发现这是网络安全面临严峻挑战的一年，全球网络安全问题频发。这一现象背后反映了全球网络安全面临着那些问题？面对这样的形势，在新一年里，在网络空间这个人类活动的“新疆域”里，我们又该如何应对这些安全挑战？

2017，几乎月月有重大网络安全问题

2017年2月，著名的网络服务商CloudFlare曝出内存泄露问题，优步（Uber）、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息遭遇泄露风险。

4月，洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露的问题。

5月，WannaCry勒索病毒全球爆发。

6月，名为Petya勒索病毒的变种开始从乌克兰扩散，这一病毒的传播速度在峰值达到每10分钟感染5000余台电脑，在情况最严重的欧洲国家，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施因为遭遇病毒攻击而陷入瘫痪状态；同样在6月，超过1.98亿美国公民的个人隐私与政治态度数据遭遇泄露。

9月，美国三大信用评级机构之一的Equifax公司数据库遭遇黑客攻击，约1.43亿客户数据遭遇泄露；同月，美国国防部托管的亚马逊的三台云服务器因配置错误导致内容泄露，其中包含美国国防部搜集的全球18亿用于在社交媒体发布的内容与相关用户信息。

10月，雅虎公司证实有近30亿用户账户及相关信息可能在2013年即遭遇了黑客攻击并因此泄露。

11月，苹果公司操作系统被披露存在严重漏洞，用户仅输入“root”作为用户名且无需输入任何密码即可以管理员身份进入系统。

12月，芯片生产商英特尔公司承认其芯片内核硬件设计存在严重漏洞，可以被不当利用，影响范围包括所有操作系统下的高端芯片，对云服务的冲击与挑战尤其严峻。

是什么使2017网络安全形势如此严峻？

纵观上述去年2月到12月的重大网络安全事件，大致可以分为三种主要的类别：

其一，以新型勒索软件在网络空间的大范围传播为典型，可以看作是全球网络空间武器扩散及其可能后果的雏形。勒索病毒本身并非2017年的新生事物，其与此前被影子经纪人公布的国家级网络武器库的结合，是其肆虐2017的关键。而在网络武器遭遇泄露之后，相关国家没有及时通知各方进行预防，全球缺乏相应的合作与协调机制，凸显了全球网络安全未来应该着力解决的关键任务。

其二，网络空间商业运用、攻击与防御三方的持续不平衡态势，日趋明确的提出了要实现均衡发展的迫切需求。从20世纪90年代开始至今，网络空间的商业应用，以及信息化的发展速度，遥遥领先于网络安全与防御体系的建设。2017年屡次出现的大规模数据泄露事件，凸显了大数据发展进程中的短板，即必要的技术、制度、能力建设没有能够与信息化应用的发展速度相匹配，缺少安全的有效保障，即使实现了高速的发展，却始终面临着遭遇安全威胁抵消发展成果的重大风险。

其三，因为新技术的高速迭代而进一步凸显的技术内在缺陷可能带来的风险挑战。苹果公司在持续反复更新Mac操作系统时出现了非常低级的空白口令漏洞，英特尔在实现高性能芯片设计时，没有对可能的侧边信道攻击进行必要的防范，由此导致的风险，因为全球信息产业的天然垄断属性，以及市场上客观存在的垄断竞争模型，而被放大了。另一方面，值得欣慰的是，至少在英特尔芯片存在漏洞的问题上，是研究者而非攻击者首先发现了漏洞，并提出了相应的预警。如何确保这种良性的合作模式能够持续的发展下去，应该成为各方关注的焦点。

展望2018，改善大国战略互信是优先项

整体看，当前全球网络空间安全的治理态势并不乐观，而且这种不乐观可能是结构性的：问题很清楚，挑战很明显，需要采取的行动并不真的那么复杂。但是，国际体系的环境与遗产和实现全球网络空间安全之间的张力，或者悖离，没有显著或者积极的改进迹象，欧美发达国家与新兴大国以及发展中国家之间，无论是战略互信，行动意愿和能力建设，均存在显著的落差。

早期推进网络空间发展的欧美发达国家，不愿意实质性地放弃在网络空间构建单极-西方中心的目标和信念；新兴的大国与发展中国家虽然有效地改善了原先的不利态势，但在提供有效供给，实质性推进治理新秩序建设方面，还存在比较明显的能力和资源局限。在此情况下，对2018年的展望，人们只能尽量保持谨慎的乐观。

其一，以有效的方式，修补并改善大国之间的战略互信，是需要优先解决的难题。战略互信与网络安全协调，有点像是鸡生蛋、蛋生鸡的循环，但却必须要有效解决。传统模式是从功能性议题入手谋求务实合作的外溢，以及在重大危机事件之后的高速转变。但迄今为止，相关模式在全球网络空间的应用和拓展，存在较为显著地制约，无法简单的复制。能否在2018年做出更多更有效的务实努力，值得期待，也值得关注。如果中美双方能够将2017年中美首脑峰会的成果予以落实，那还是有可能带来积极的变化的。

其二，对2017年已经暴露出来的新型威胁，构建务实有效的机制，优先在战术和实践的层面务实地解决具体问题。国家研发网络威胁、攻击、防御和利用的能力，是一种客观的趋势。参考军备控制的相关经验，谋求务实的信息共享与交流机制，进行有效的管控，避免因为失控带来的意外和风险，应该成为各方努力的焦点，如何在这方面做出相应的努力，比如在2018年通过联合国大会第一委员会等多边架构进行有效的网络空间军备控制谈判等，可以成为进行有效尝试的努力方向（联合国大会第一委员会处理裁军、威胁和平的国际挑战等国际安全事务，并应对国际安全制度中的挑战——编者注）。

其三，整合多方力量，有效预防和化解未知技术缺陷可能带来的安全风险。2017年的英特尔芯片漏洞的发现、披露以及早期回应，可以看作是网络安全研究力量进行去中心化的全球合作的某种成功案例。如何将其有效的整合并吸纳到全球机制化的防控和应对网络安全的努力之中，需要不同类型行为体进行更加积极有效的努力和尝试。

（作者系复旦大学网络空间治理研究中心主任、研究员）

“逸思”是复旦大学网络空间治理研究中心主任沈逸主笔的专栏，聚焦网络信息安全，从互联网维度思考大国关系。