用兼容性行為準則確保全球網絡安全 以互聯網為核心的信息通信技術及其應用和服務正在發生質變,早已遠遠超越信息通聯平臺和媒體的范疇,成為關系國家安全、政權穩定和經濟發展等核心利益的重大領域。人類社會的信息化、網絡化達到前所未有的程度,信息網絡成了整個國家和社會的“中樞神經”。如以傳統的社會管理經驗及思維方式來認識和管理網絡空間,將有可能被信息時代拋棄。 進入21世紀,全球迎來了新一輪信息技術革命,以互聯網為核心的信息通信技術及其應用和服務正在發生質變。人類社會的信息化、網絡化達到前所未有的程度,信息網絡成了整個國家和社會的“中樞神經”。然而網絡化趨勢卻帶來了兩對矛盾:一是攻擊技術永遠領先于防御技術。二是信息技術和應用越復雜、功能越全面,其脆弱性、漏洞和安全隱患就越大。從技術發展趨勢看,這兩對矛盾會越來越突出,網絡安全形勢不容樂觀。 2011年 “黑客行為主義”年 網絡犯罪對各國經濟安全造成的危害難以估量。越來越多的基礎設施與互聯網相連,越來越多的公共服務、商業和經濟活動搬到網上,但規模龐大的全球黑客產業鏈和地下經濟卻如毒瘤般吞食著各國經濟利益。 當下日益普及的社交網絡、智能終端、移動互聯網、云計算等新技術、新應用又為網絡罪犯提供了更便利、更隱蔽的攻擊手段。2011年期間,紐約股票交易所、韓國農協銀行、美國花旗銀行、國際貨幣基金組織及香港股票交易所等重要部門先后被“黑”。更為嚴重的是,電站、化工廠等普遍使用的工業控制系統SCADA也成為網絡攻擊的目標。2009年出現的“震網”病毒破壞了伊朗布什爾核電站的離心機,它采取了顛覆性的傳播方式,被業界稱為“超級工廠病毒”和“全球第一個投入實戰的網絡武器”。 黑客行為主義也極大地沖擊著社會,2011年被稱為“黑客行為主義”年,“匿名”(Anonymous)、“盧爾茲安全”(Lulz Security)和“反安全”(AntiSec)等宣稱代表自由、維護網絡公正和正義的黑客組織異常活躍。“匿名”以捍衛自由為名攻擊了突尼斯多個政府網站,還以與提供技術自由的“破解者”對抗為由對索尼公司連續發起攻擊。這些自詡為“正義代言人”的黑客所宣揚的理念頗能蠱惑人心,其隊伍不斷擴充,政府對他們的打擊往往容易招致更多的抵觸。更應值得注意的是,全球正出現一支抵抗政府對網絡進行合理合法管理的強大勢力。
網絡安全
國家安全核心問題
隨著網絡威脅的不斷升級、網絡攻防對抗的日趨激烈,美國等西方國家認識到塑造網絡空間、保障網絡安全是強化國家競爭力和維護國家安全的重大戰略問題。
為了在未來信息社會格局中占有有利地位,西方國家采取了一系列措施。首先,將網絡安全上升為國家安全的核心問題。奧巴馬上臺伊始就首次以總統名義宣稱“網絡基礎設施是一項戰略資產”,并在總結前任政府經驗教訓基礎上,相繼推出《網絡政策評估報告》等重要文件,大刀闊斧地改革國家網絡安全體制,一舉提升了網絡安全主管部門的行政級別。美國政府先后新設統攬網絡安全內外事務的白宮“網絡安全協調官”和國務院“網絡事務協調官”。2011年出臺的《網絡空間國際戰略》更是超越了單純的網絡安全范疇,描述了美國對未來網絡空間的總體設想和實現這一設想的日程表及路線圖,對外交、司法、軍事、經濟等所有涉網事務提出了7大政策重點。這說明美國是以全方位、立體和多維的視角認識網絡空間和網絡安全的,真正把網絡空間安全作為事關國家未來的戰略問題進行謀劃。
其次,把網絡空間拓展為“第五行動領域”。“最好的防御就是進攻”,這是包括美國在內的許多國家政府和軍方在應對網絡威脅時堅信的一個原則。
從上世紀90年代開始,美國就對信息戰理論、戰術、戰法和相關武器展開了系統研究,電子戰、心理戰等在海灣戰爭、科索沃戰爭和阿富汗戰爭中都有所展露。2009年,美國成立了全球首個“網絡司令部”,目的是確保美軍在網絡空間的行動自由。2011年7月,美國防部發布《網絡空間行動戰略》,進一步明確網絡空間是“一個可以組織、訓練和裝備的行動領域”,并提出了積極防御、集體防御和占領技術優勢等戰略構想。美國媒體透露,美軍已擁有一份網絡武器和工具清單,網絡攻防能力基本就緒,目前最迫切的問題是為這些武器和工具的使用尋找政策和法律依據。《網絡空間國際戰略》還提出了美國在網絡空間能行使“自衛權”。在美國的示范和推動下,全球網絡戰威脅不斷被熱炒,英、法、韓、以和印度等國積極加入網絡戰備行列。比如,英國表示要“把網絡攻擊加入武器庫”,2011年末發表的《網絡安全戰略》稱,要新建“聯合部隊司令部”等多個機構來加大對網絡空間行動技術和戰術的研究與開發。
最后,西方國家把網絡空間變成了新的外交角力場。國際社會對網絡空間相關問題的關注度不斷上升,政治、外交、經貿、軍事等傳統領域的問題越來越向網絡空間延伸。網絡問題面臨不斷被政治化、外交化、經貿化和軍事化的可能。國家間的矛盾、摩擦和競爭越來越多地體現在網絡空間上。
網絡立法
新興國家作用上升
當前,如何為網絡空間制定行為規范成了熱點議題。主要國家圍繞網絡空間立法、互聯網治理、打擊網絡犯罪、網絡管理模式及網絡軍控等重要問題互動增多,外交活動頻繁。
在這場新的角逐中,美歐等國憑借網絡優勢,一直主導著道德、技術和規則的制高點,把持著話語權和規則制定權。比如,美國通過發布相關文件,豎起了大旗;法國主辦了首屆“八國集團電子論壇”,并要將其打造為“數字達沃斯”。西方國家力推“基本自由、個人隱私和信息自由流動”為網絡空間的核心原則,將互聯網自由作為普世權利,向全世界灌輸網絡空間“負責任的國家行為”和“國家義務”等理念,努力為“網絡空間可接受的行為”制定標準。
與此同時,“大國主導和參與主體多元化”的網絡空間外交格局也初現端倪,中國、俄羅斯、印度等新興國家的網絡影響力不斷上升,正發揮著獨特的作用。如中俄借鑒上海合作組織成果,向聯合國遞交了《信息安全國際行為準則》,為國際社會最終出臺網絡空間規則提出了有益建議。盡管新興國家的提議多遭西方國家異議甚至反對,但新興國家是未來信息規則形成過程中不可或缺的重要力量,沒有它們的認同,西方國家拋出的規則亦難以成為國際準則。
互聯網發展到今天,早已遠遠走出了信息通聯平臺和媒體的范疇,成為關系國家安全、政權穩定和經濟發展等核心利益的重大領域。網絡空間的較量關乎全球信息化格局和信息社會的發展方向,關乎國家的綜合實力和戰略優勢。如果墨守成規,以傳統的社會管理經驗及思維方式來認識和管理網絡空間,就有可能被信息時代拋棄。網絡的跨國、泛在和融合等特點決定了一國政府僅憑一己之力無法應對網絡威脅,政府與企業等社會各層面的合作以及國家與國家間的合作對維護網絡安全至關重要。
通力合作,管好“第五空間”
隨著互聯網信息技術的不斷發展,建立一個全球范圍內的網絡安全行為準則。在剛剛結束的慕尼黑安全政策會議上,美國前中央情報局長邁克爾·海頓呼吁,各國應建立一套“網絡安全行為準則”,防止“網絡冷戰”。
海頓拋出的觀點是,網絡是作為陸地、海洋、天空和太空之外的“第五空間”,其復雜程度和發展趨向仍難以精準把握,世界各國對網絡安全的認識和戰略出發點也不盡相同,因此要實施某些代表提出的簽署類似核裁軍條約一樣的網絡安全公約難度很大。
美國對外關系協會研究員賽格爾和威克斯曼發表的署名文章認為,相關國家對網絡安全的定義分歧依然很大,比如美國和歐洲強調計算機系統的安全,俄羅斯和中國則強調互聯網信息的安全。
在海頓看來,更貼近實際的做法是建立網絡安全行為準則:世界各國對網絡空間能做什么、不能做什么形成共識,比簽署一個條約更有效。比如各國可以保證,即使發生軍事沖突也不實施“停止服務攻擊”。“停止服務攻擊”是當前網絡黑客常用的攻擊手法之一,通過向目標服務器發送海量服務要求,導致其網絡嚴重超負荷而癱瘓。鑒于電力系統和金融系統遭到網絡攻擊將產生災難性后果,這方面的網絡攻擊也應當被禁止。在確立共同認可的行為準則后,相關各方可以推出制裁措施。
英國智庫皇家三軍聯合研究所(RUSI)助理研究員約翰·巴塞特對海頓的觀點表示贊同。他認為,政府需要在全球網絡安全方面發揮主導性作用,并建立相應行為準則。他建議準則建立在廣泛基礎之上,比如借助聯合國和相關裁軍組織、國際技術組織、20國集團或8國集團會議、北約或歐盟、國際刑警組織等。網絡安全準則可以分成雙軌制。第一軌關于網絡戰,涉及戰略武器控制和信息交換。相關國家在網絡戰技術方面達成基本原則。第二軌關于管理標準。各國在內部就個人及機構使用網絡制訂出標準,這一標準應能在國際間兼容。
在互聯網發展離不開國際合作的背景下,僅憑一國之力很難實現維護網絡安全的目標。互聯網是匿名的,這就造成網絡犯罪行為的來源非常難以追蹤。只有在各國政府、安全機構、情報人員、民間企業等通力合作、共享信息的情況下,才能追蹤到真正來源。俄羅斯卡巴斯基網絡安全公司曾和國際電信聯盟(ITU)合作進行了一項測試。卡巴斯基公司技術人員在互聯網上對一宗模擬的網絡犯罪案件進行跨國追查,最終查到了“犯罪來源”是在烏克蘭的基輔。但由于各種實際原因,“犯罪分子”無法歸案。
對此,不少國家已經開始采取行動。2011年9月,俄羅斯、中國、塔吉克斯坦和阿塞拜疆常駐聯合國代表向聯合國秘書長提交了一份信息安全國際準則的文件,呼吁各國不應利用包括網絡在內的信息通信技術實施敵對行為、侵略行徑和制造對國際和平與安全的威脅;建立多邊、透明和民主的互聯網國際管理機制;充分尊重在遵守各國法律前提下信息和網絡空間的權利和自由等。
目前,盡管美國和它的某些盟友主張動用軍事力量反擊網絡攻擊,但其他大國主張把網絡安全問題同傳統安全區別對待。業界學者建議,鑒于網絡攻擊的來源難以證實、難以發現,網絡間諜和網絡攻擊的界限也很模糊,在處理網絡安全事件時,決策者應當更多借助外交力量,各相關國家應當建立網絡危機應急溝通渠道,及時交換意見。
歐盟 統一管理水準
歐盟在2004年就開始為應對網絡空間威脅未雨綢繆,成立了歐洲網絡和信息安全局(ENISA),主要就云安全、安全軟件工程、智能手機安全三大類領域進行評估和管理,以保證歐盟內部網絡信息傳輸的安全高效。
但時至今日,歐盟網絡安全維護工作仍未獲得英國的認同。英國2010年成立專門委員會對英國和歐盟的網絡安全進行調查研究,最終出臺的《防止歐洲遭受大規模網絡攻擊》報告顯示,英國的網絡安全形勢是歐盟國家中最好的,英國的公共事業部門、銀行和政府的網絡系統可以抵御網絡攻擊和自然災害的破壞。然而,其他歐盟成員國在網絡軟硬件上的漏洞很可能造成不可預見的連鎖反應,歐盟內部整個網絡系統的安全唇亡齒寒。
英國網絡安全專門委員會主席喬普林認為,“網絡世界中,對一個國家的攻擊很可能對其他國家造成影響,可歐盟中很多國家網絡安全的準備不足。歐盟應該發揮它的作用,促使整個歐洲的網絡安全達到英國的水準。”但業界普遍認為,他所指出的準備不足國家主要在東歐,而且加入歐盟越晚,其安全水平越低。該報告還建議歐盟委員會鼓勵成員國提高關鍵信息設施受攻擊后恢復的能力和成立國家計算機應急反應小組。
俄羅斯 組建“網警”K部
新世紀的第二個十年,被俄羅斯媒體稱為“互聯網的新時代”。《俄羅斯之聲》電臺在報道中指出,在第二個十年,世界主要大國將在全球互聯網平臺上展開激烈競爭,各國不僅會加大對自身網絡信息安全保護的資金投入,也將加強利用互聯網傳播本國思想理念的力度。
隨著俄羅斯信息產業的飛速發展,網絡犯罪在俄羅斯呈不斷上升的勢頭。俄羅斯科學院世界經濟與國際關系研究所國際安全中心高級研究員葉夫謝耶夫在接受記者專訪時指出,俄內務部統計數據顯示,俄相關部門在2009年共登記了1.7萬起利用互聯網犯罪的事件,相比上一年增長了25%。而在2011年,利用互聯網傳播兒童色情圖片、網絡詐騙、非法竊取網絡信息、傳播惡意病毒程序等犯罪事件比2010年增加了一倍。俄內務部特種技術手段局局長莫什科夫曾指出,各種激進團體也在利用網絡散播激進思想,籌集資金以及協調犯罪活動。
“俄羅斯加大了對維護本國網絡信息安全的重視程度。”葉夫謝耶夫告訴記者,早在2000年9月,俄羅斯已出臺了《國家信息安全學說》,對信息安全的目標、任務以及實施原則做出了明確界定。根據這份文件,打擊非法竊取信息資源,保護政府、金融、軍事等機構的通信以及信息網絡安全被列入俄國家利益的重要組成部分。為此,俄羅斯建立了由政府主導,科研以及商業機構廣泛參與的安全防護體系:俄聯邦安全委員會建立了科學理事會,下設信息安全分部,領導整個國家的信息安全保護工作;俄內務部特種技術手段局組建了被外界稱為“網警”的秘密部門——“K”部,具體負責網絡安全工作,接受網民關于不良網絡信息及程序的舉報;在俄聯邦中央及各地方的安全機構也都設立了相應的網絡安全部門。
葉夫謝耶夫認為,俄目前還沒有建立起有效的維護互聯網以及國家重點部門信息網絡安全的法律機制,對網絡犯罪的懲罰力度與其所造成的危害程度仍不相適應。
不久前,莫什科夫對媒體表示,俄內務部“K”部已向政府提出建議,準備在俄實行網絡實名制。葉夫謝耶夫說,俄在雙邊領域以及上海合作組織等多邊框架下與其他國家開展了積極的網絡安全合作。俄還建議在聯合國框架下制定互聯網空間的行為規范,避免網絡成為達到敵對目的的工具。
葉夫謝耶夫最后表示,科技的發展以及互聯網的廣泛應用已經使通過網絡攻擊導致政府、交通、金融、軍事等系統全面癱瘓成為可能。目前一些國家正在積極利用互聯網技術破壞他國重要戰略目標,達到軍事政治目的。因此俄羅斯應考慮在軍事部門建立相應機構,負責利用互聯網實施軍事政治行動。
美國 及時篩查漏洞
近年來,防止發生“數字珍珠港事件”成為美國社會熱議的話題。所謂“數字珍珠港事件”,指因對華爾街、城市供電系統或交通設施等的網絡攻擊所造成的嚴重后果。
美國國土安全部部長納波利塔諾近日表示,美國的網絡安全問題從未如此急迫。近年來,美國的網絡攻擊事件發生的頻率更高,情形更為復雜,后果更為嚴重。
僅在2011財政年度,美國計算機應急處理機構就接到了10萬多起事故報告,并對5000多個網絡安全警報進行了處理,“但我們知道向政府報告的網絡事故只是實際發生事故的一小部分”。
2010年,美國一家大型反計算機病毒軟件公司報告說,美國因惡意軟件事件所造成的損失達30億美元。較之2009年,2010年在美國發生的網絡入侵事件增加了93%。
美國政府目前擔心的是美國一些極為重要的機構,如金融機構、通信等部門的網絡安全問題。它們高度依賴網絡系統,如果這些機構網絡系統因遭到攻擊而關閉,其后果要比個體嚴重得多。問題是,現在有的美國金融機構的賬戶等重要信息在遭到入侵和竊取后,他們并不向政府報告,其原因在于擔心其競爭對手會因此獲利。在這種情形下,這些金融機構的私利考慮就與公眾利益發生沖突。美國政府認為這一問題必須得到解決。
為了加強網絡安全,美國政府陸續采取了諸多措施。自2008年以來,美國國務院逐漸完善了一項名為“風險評分”的項目。
根據這一項目,自2008年7月以來,美國國務院有關部門每隔一至三天就對國務院辦公機構及美國在全世界的駐外機構約9.6萬臺計算機進行掃描,以查找可能存在的網絡安全漏洞,并將查驗結果告知網絡安全專業人員,以便及時處理。
在實施這一項目的第一年,美國國務院就對89%可能存在安全危害的計算機進行了修復。美國五角大樓也實施了一項名為“國防工業基地”的網絡安全舉措,重點在于保護與五角大樓有合約關系的軍事承包商的網絡安全。
2011年7月,美國防部發布首份《網絡空間行動戰略》。
共有條評論