用兼容性行为准则确保全球网络安全 以互联网为核心的信息通信技术及其应用和服务正在发生质变,早已远远超越信息通联平台和媒体的范畴,成为关系国家安全、政权稳定和经济发展等核心利益的重大领域。人类社会的信息化、网络化达到前所未有的程度,信息网络成了整个国家和社会的“中枢神经”。如以传统的社会管理经验及思维方式来认识和管理网络空间,将有可能被信息时代抛弃。 进入21世纪,全球迎来了新一轮信息技术革命,以互联网为核心的信息通信技术及其应用和服务正在发生质变。人类社会的信息化、网络化达到前所未有的程度,信息网络成了整个国家和社会的“中枢神经”。然而网络化趋势却带来了两对矛盾:一是攻击技术永远领先于防御技术。二是信息技术和应用越复杂、功能越全面,其脆弱性、漏洞和安全隐患就越大。从技术发展趋势看,这两对矛盾会越来越突出,网络安全形势不容乐观。 2011年 “黑客行为主义”年 网络犯罪对各国经济安全造成的危害难以估量。越来越多的基础设施与互联网相连,越来越多的公共服务、商业和经济活动搬到网上,但规模庞大的全球黑客产业链和地下经济却如毒瘤般吞食着各国经济利益。 当下日益普及的社交网络、智能终端、移动互联网、云计算等新技术、新应用又为网络罪犯提供了更便利、更隐蔽的攻击手段。2011年期间,纽约股票交易所、韩国农协银行、美国花旗银行、国际货币基金组织及香港股票交易所等重要部门先后被“黑”。更为严重的是,电站、化工厂等普遍使用的工业控制系统SCADA也成为网络攻击的目标。2009年出现的“震网”病毒破坏了伊朗布什尔核电站的离心机,它采取了颠覆性的传播方式,被业界称为“超级工厂病毒”和“全球第一个投入实战的网络武器”。 黑客行为主义也极大地冲击着社会,2011年被称为“黑客行为主义”年,“匿名”(Anonymous)、“卢尔兹安全”(Lulz Security)和“反安全”(AntiSec)等宣称代表自由、维护网络公正和正义的黑客组织异常活跃。“匿名”以捍卫自由为名攻击了突尼斯多个政府网站,还以与提供技术自由的“破解者”对抗为由对索尼公司连续发起攻击。这些自诩为“正义代言人”的黑客所宣扬的理念颇能蛊惑人心,其队伍不断扩充,政府对他们的打击往往容易招致更多的抵触。更应值得注意的是,全球正出现一支抵抗政府对网络进行合理合法管理的强大势力。
网络安全
国家安全核心问题
随着网络威胁的不断升级、网络攻防对抗的日趋激烈,美国等西方国家认识到塑造网络空间、保障网络安全是强化国家竞争力和维护国家安全的重大战略问题。
为了在未来信息社会格局中占有有利地位,西方国家采取了一系列措施。首先,将网络安全上升为国家安全的核心问题。奥巴马上台伊始就首次以总统名义宣称“网络基础设施是一项战略资产”,并在总结前任政府经验教训基础上,相继推出《网络政策评估报告》等重要文件,大刀阔斧地改革国家网络安全体制,一举提升了网络安全主管部门的行政级别。美国政府先后新设统揽网络安全内外事务的白宫“网络安全协调官”和国务院“网络事务协调官”。2011年出台的《网络空间国际战略》更是超越了单纯的网络安全范畴,描述了美国对未来网络空间的总体设想和实现这一设想的日程表及路线图,对外交、司法、军事、经济等所有涉网事务提出了7大政策重点。这说明美国是以全方位、立体和多维的视角认识网络空间和网络安全的,真正把网络空间安全作为事关国家未来的战略问题进行谋划。
其次,把网络空间拓展为“第五行动领域”。“最好的防御就是进攻”,这是包括美国在内的许多国家政府和军方在应对网络威胁时坚信的一个原则。
从上世纪90年代开始,美国就对信息战理论、战术、战法和相关武器展开了系统研究,电子战、心理战等在海湾战争、科索沃战争和阿富汗战争中都有所展露。2009年,美国成立了全球首个“网络司令部”,目的是确保美军在网络空间的行动自由。2011年7月,美国防部发布《网络空间行动战略》,进一步明确网络空间是“一个可以组织、训练和装备的行动领域”,并提出了积极防御、集体防御和占领技术优势等战略构想。美国媒体透露,美军已拥有一份网络武器和工具清单,网络攻防能力基本就绪,目前最迫切的问题是为这些武器和工具的使用寻找政策和法律依据。《网络空间国际战略》还提出了美国在网络空间能行使“自卫权”。在美国的示范和推动下,全球网络战威胁不断被热炒,英、法、韩、以和印度等国积极加入网络战备行列。比如,英国表示要“把网络攻击加入武器库”,2011年末发表的《网络安全战略》称,要新建“联合部队司令部”等多个机构来加大对网络空间行动技术和战术的研究与开发。
最后,西方国家把网络空间变成了新的外交角力场。国际社会对网络空间相关问题的关注度不断上升,政治、外交、经贸、军事等传统领域的问题越来越向网络空间延伸。网络问题面临不断被政治化、外交化、经贸化和军事化的可能。国家间的矛盾、摩擦和竞争越来越多地体现在网络空间上。
网络立法
新兴国家作用上升
当前,如何为网络空间制定行为规范成了热点议题。主要国家围绕网络空间立法、互联网治理、打击网络犯罪、网络管理模式及网络军控等重要问题互动增多,外交活动频繁。
在这场新的角逐中,美欧等国凭借网络优势,一直主导着道德、技术和规则的制高点,把持着话语权和规则制定权。比如,美国通过发布相关文件,竖起了大旗;法国主办了首届“八国集团电子论坛”,并要将其打造为“数字达沃斯”。西方国家力推“基本自由、个人隐私和信息自由流动”为网络空间的核心原则,将互联网自由作为普世权利,向全世界灌输网络空间“负责任的国家行为”和“国家义务”等理念,努力为“网络空间可接受的行为”制定标准。
与此同时,“大国主导和参与主体多元化”的网络空间外交格局也初现端倪,中国、俄罗斯、印度等新兴国家的网络影响力不断上升,正发挥着独特的作用。如中俄借鉴上海合作组织成果,向联合国递交了《信息安全国际行为准则》,为国际社会最终出台网络空间规则提出了有益建议。尽管新兴国家的提议多遭西方国家异议甚至反对,但新兴国家是未来信息规则形成过程中不可或缺的重要力量,没有它们的认同,西方国家抛出的规则亦难以成为国际准则。
互联网发展到今天,早已远远走出了信息通联平台和媒体的范畴,成为关系国家安全、政权稳定和经济发展等核心利益的重大领域。网络空间的较量关乎全球信息化格局和信息社会的发展方向,关乎国家的综合实力和战略优势。如果墨守成规,以传统的社会管理经验及思维方式来认识和管理网络空间,就有可能被信息时代抛弃。网络的跨国、泛在和融合等特点决定了一国政府仅凭一己之力无法应对网络威胁,政府与企业等社会各层面的合作以及国家与国家间的合作对维护网络安全至关重要。
通力合作,管好“第五空间”
随着互联网信息技术的不断发展,建立一个全球范围内的网络安全行为准则。在刚刚结束的慕尼黑安全政策会议上,美国前中央情报局长迈克尔·海顿呼吁,各国应建立一套“网络安全行为准则”,防止“网络冷战”。
海顿抛出的观点是,网络是作为陆地、海洋、天空和太空之外的“第五空间”,其复杂程度和发展趋向仍难以精准把握,世界各国对网络安全的认识和战略出发点也不尽相同,因此要实施某些代表提出的签署类似核裁军条约一样的网络安全公约难度很大。
美国对外关系协会研究员赛格尔和威克斯曼发表的署名文章认为,相关国家对网络安全的定义分歧依然很大,比如美国和欧洲强调计算机系统的安全,俄罗斯和中国则强调互联网信息的安全。
在海顿看来,更贴近实际的做法是建立网络安全行为准则:世界各国对网络空间能做什么、不能做什么形成共识,比签署一个条约更有效。比如各国可以保证,即使发生军事冲突也不实施“停止服务攻击”。“停止服务攻击”是当前网络黑客常用的攻击手法之一,通过向目标服务器发送海量服务要求,导致其网络严重超负荷而瘫痪。鉴于电力系统和金融系统遭到网络攻击将产生灾难性后果,这方面的网络攻击也应当被禁止。在确立共同认可的行为准则后,相关各方可以推出制裁措施。
英国智库皇家三军联合研究所(RUSI)助理研究员约翰·巴塞特对海顿的观点表示赞同。他认为,政府需要在全球网络安全方面发挥主导性作用,并建立相应行为准则。他建议准则建立在广泛基础之上,比如借助联合国和相关裁军组织、国际技术组织、20国集团或8国集团会议、北约或欧盟、国际刑警组织等。网络安全准则可以分成双轨制。第一轨关于网络战,涉及战略武器控制和信息交换。相关国家在网络战技术方面达成基本原则。第二轨关于管理标准。各国在内部就个人及机构使用网络制订出标准,这一标准应能在国际间兼容。
在互联网发展离不开国际合作的背景下,仅凭一国之力很难实现维护网络安全的目标。互联网是匿名的,这就造成网络犯罪行为的来源非常难以追踪。只有在各国政府、安全机构、情报人员、民间企业等通力合作、共享信息的情况下,才能追踪到真正来源。俄罗斯卡巴斯基网络安全公司曾和国际电信联盟(ITU)合作进行了一项测试。卡巴斯基公司技术人员在互联网上对一宗模拟的网络犯罪案件进行跨国追查,最终查到了“犯罪来源”是在乌克兰的基辅。但由于各种实际原因,“犯罪分子”无法归案。
对此,不少国家已经开始采取行动。2011年9月,俄罗斯、中国、塔吉克斯坦和阿塞拜疆常驻联合国代表向联合国秘书长提交了一份信息安全国际准则的文件,呼吁各国不应利用包括网络在内的信息通信技术实施敌对行为、侵略行径和制造对国际和平与安全的威胁;建立多边、透明和民主的互联网国际管理机制;充分尊重在遵守各国法律前提下信息和网络空间的权利和自由等。
目前,尽管美国和它的某些盟友主张动用军事力量反击网络攻击,但其他大国主张把网络安全问题同传统安全区别对待。业界学者建议,鉴于网络攻击的来源难以证实、难以发现,网络间谍和网络攻击的界限也很模糊,在处理网络安全事件时,决策者应当更多借助外交力量,各相关国家应当建立网络危机应急沟通渠道,及时交换意见。
欧盟 统一管理水准
欧盟在2004年就开始为应对网络空间威胁未雨绸缪,成立了欧洲网络和信息安全局(ENISA),主要就云安全、安全软件工程、智能手机安全三大类领域进行评估和管理,以保证欧盟内部网络信息传输的安全高效。
但时至今日,欧盟网络安全维护工作仍未获得英国的认同。英国2010年成立专门委员会对英国和欧盟的网络安全进行调查研究,最终出台的《防止欧洲遭受大规模网络攻击》报告显示,英国的网络安全形势是欧盟国家中最好的,英国的公共事业部门、银行和政府的网络系统可以抵御网络攻击和自然灾害的破坏。然而,其他欧盟成员国在网络软硬件上的漏洞很可能造成不可预见的连锁反应,欧盟内部整个网络系统的安全唇亡齿寒。
英国网络安全专门委员会主席乔普林认为,“网络世界中,对一个国家的攻击很可能对其他国家造成影响,可欧盟中很多国家网络安全的准备不足。欧盟应该发挥它的作用,促使整个欧洲的网络安全达到英国的水准。”但业界普遍认为,他所指出的准备不足国家主要在东欧,而且加入欧盟越晚,其安全水平越低。该报告还建议欧盟委员会鼓励成员国提高关键信息设施受攻击后恢复的能力和成立国家计算机应急反应小组。
俄罗斯 组建“网警”K部
新世纪的第二个十年,被俄罗斯媒体称为“互联网的新时代”。《俄罗斯之声》电台在报道中指出,在第二个十年,世界主要大国将在全球互联网平台上展开激烈竞争,各国不仅会加大对自身网络信息安全保护的资金投入,也将加强利用互联网传播本国思想理念的力度。
随着俄罗斯信息产业的飞速发展,网络犯罪在俄罗斯呈不断上升的势头。俄罗斯科学院世界经济与国际关系研究所国际安全中心高级研究员叶夫谢耶夫在接受记者专访时指出,俄内务部统计数据显示,俄相关部门在2009年共登记了1.7万起利用互联网犯罪的事件,相比上一年增长了25%。而在2011年,利用互联网传播儿童色情图片、网络诈骗、非法窃取网络信息、传播恶意病毒程序等犯罪事件比2010年增加了一倍。俄内务部特种技术手段局局长莫什科夫曾指出,各种激进团体也在利用网络散播激进思想,筹集资金以及协调犯罪活动。
“俄罗斯加大了对维护本国网络信息安全的重视程度。”叶夫谢耶夫告诉记者,早在2000年9月,俄罗斯已出台了《国家信息安全学说》,对信息安全的目标、任务以及实施原则做出了明确界定。根据这份文件,打击非法窃取信息资源,保护政府、金融、军事等机构的通信以及信息网络安全被列入俄国家利益的重要组成部分。为此,俄罗斯建立了由政府主导,科研以及商业机构广泛参与的安全防护体系:俄联邦安全委员会建立了科学理事会,下设信息安全分部,领导整个国家的信息安全保护工作;俄内务部特种技术手段局组建了被外界称为“网警”的秘密部门——“K”部,具体负责网络安全工作,接受网民关于不良网络信息及程序的举报;在俄联邦中央及各地方的安全机构也都设立了相应的网络安全部门。
叶夫谢耶夫认为,俄目前还没有建立起有效的维护互联网以及国家重点部门信息网络安全的法律机制,对网络犯罪的惩罚力度与其所造成的危害程度仍不相适应。
不久前,莫什科夫对媒体表示,俄内务部“K”部已向政府提出建议,准备在俄实行网络实名制。叶夫谢耶夫说,俄在双边领域以及上海合作组织等多边框架下与其他国家开展了积极的网络安全合作。俄还建议在联合国框架下制定互联网空间的行为规范,避免网络成为达到敌对目的的工具。
叶夫谢耶夫最后表示,科技的发展以及互联网的广泛应用已经使通过网络攻击导致政府、交通、金融、军事等系统全面瘫痪成为可能。目前一些国家正在积极利用互联网技术破坏他国重要战略目标,达到军事政治目的。因此俄罗斯应考虑在军事部门建立相应机构,负责利用互联网实施军事政治行动。
美国 及时筛查漏洞
近年来,防止发生“数字珍珠港事件”成为美国社会热议的话题。所谓“数字珍珠港事件”,指因对华尔街、城市供电系统或交通设施等的网络攻击所造成的严重后果。
美国国土安全部部长纳波利塔诺近日表示,美国的网络安全问题从未如此急迫。近年来,美国的网络攻击事件发生的频率更高,情形更为复杂,后果更为严重。
仅在2011财政年度,美国计算机应急处理机构就接到了10万多起事故报告,并对5000多个网络安全警报进行了处理,“但我们知道向政府报告的网络事故只是实际发生事故的一小部分”。
2010年,美国一家大型反计算机病毒软件公司报告说,美国因恶意软件事件所造成的损失达30亿美元。较之2009年,2010年在美国发生的网络入侵事件增加了93%。
美国政府目前担心的是美国一些极为重要的机构,如金融机构、通信等部门的网络安全问题。它们高度依赖网络系统,如果这些机构网络系统因遭到攻击而关闭,其后果要比个体严重得多。问题是,现在有的美国金融机构的账户等重要信息在遭到入侵和窃取后,他们并不向政府报告,其原因在于担心其竞争对手会因此获利。在这种情形下,这些金融机构的私利考虑就与公众利益发生冲突。美国政府认为这一问题必须得到解决。
为了加强网络安全,美国政府陆续采取了诸多措施。自2008年以来,美国国务院逐渐完善了一项名为“风险评分”的项目。
根据这一项目,自2008年7月以来,美国国务院有关部门每隔一至三天就对国务院办公机构及美国在全世界的驻外机构约9.6万台计算机进行扫描,以查找可能存在的网络安全漏洞,并将查验结果告知网络安全专业人员,以便及时处理。
在实施这一项目的第一年,美国国务院就对89%可能存在安全危害的计算机进行了修复。美国五角大楼也实施了一项名为“国防工业基地”的网络安全举措,重点在于保护与五角大楼有合约关系的军事承包商的网络安全。
2011年7月,美国防部发布首份《网络空间行动战略》。
共有条评论