西安交通大學法學院 張敏
編者按:網絡攻擊已經成為國家安全的最大威脅。恰是八一前夕,美國媒體揚言報復中國“網攻”,重演“麥克風外交”和“雙重標准”,中國面臨網絡戰始作俑者網絡攻擊的可能。為此,應在新的《國家安全法》已經出台,《網絡安全法(草案)》正在公開征求意見的關鍵時期,借鑒發達國家“以密集立法應對網絡攻擊”和“以戰略、立法與實踐相交融應對網絡攻擊”的有效做法,積極籌劃依法防范網絡攻擊、依法懲治網絡入侵的法律治理,在全球一網、虛實相濟的網絡空間,更加有力地維護國家主權、安全和發展利益。
我們享受著無限的全球信息社會的福祉,但隨之而來的還有以驚人速度增長的網絡攻擊威脅。中國現已經成為網絡攻擊的主要受害國,將防范網絡攻擊提升至保衛國家安全的立法高度迫在眉睫。2015年7與1日,《中華人民共和國國家安全法》正式頒布並生效,該法第25條規定“加強網絡管理,防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散步違法有害信息等網絡違法犯罪行為,維護國家網絡空間主權、安全和發展利益。”防范和懲治網絡攻擊已經進入《國家安全法》的規制范疇,如何從維護國家安全的高度明確防范網絡攻擊的法律治理路徑是當務之急。
一、國家安全視角下的網絡攻擊及其影響
北約於2013年3月發布的《塔林手冊》對“網絡攻擊”作出了迄今為止世界范圍內接受范圍最廣的概念界定。該手冊中規則第30條認為網絡攻擊指的是“可以在合理預期范圍內造成人員傷亡,或造成物質損毀的進攻性,或國家防御性的網絡行動”。與傳統的物理攻擊、化學攻擊及生物攻擊不同之處在於網絡攻擊在發生時間上具有隨機性和連續性,在攻擊范圍上具有靈活性,且網絡攻擊的源頭和攻擊身份難以確定等特點。在攻擊類型上可表現為信息竊取、信息篡改、拒絕服務、緩沖區溢出,以及會話劫持等。本文認為網絡攻擊是指攻擊的發動者(包括國家、社會組織、企業或公民個人等)通過自身可控制的計算機信息系統或移動終端系統等對遠程目標主機系統實施攻擊,使其不能夠正常有效地運轉,進而對國家社會或公民個人造成損害性后果的行為。網絡攻擊行為的本質是對網絡規范與協議的違反的行為,其目的是通過利用對方的系統漏洞,對遠端目標系統進行攻擊進而獲取對方的有用信息,取得對對方目標系統的控制權,甚至破壞對方的計算機系統與信息網絡系統。近年來,越來越多的網絡攻擊被認為是國家安全事件,網絡攻擊對國家安全的威脅集中表現為以下方面:
其一,網絡攻擊破壞關鍵基礎設施、工業控制系統的正常運轉,威脅國家安全及公共利益。近年來,黑客組織、網絡犯罪團體甚至國家成為網絡攻擊的最主要實施者。以竊取敏感數據、摧毀及使其癱瘓為主要目標的網絡攻擊目標主要針對政府部門以及電力、金融、能源等關鍵基礎設施行業。大規模、高級可持續性攻擊的目標正在從傳統的IT系統,轉向石油、天然氣、航空運輸等行業的工業控制系統。2007 年 ,愛沙尼亞遭到大規模網絡攻擊,大量公共服務網絡系統癱瘓或被迫關閉﹔2008年 ,格魯吉亞遭到網絡攻擊,包括防空系統在內的大量軍事信息設施癱瘓﹔2008年 到 2009 年以色列對加沙地帶採取“鑄鉛行動”期間,發生了針對以政府網站的網絡攻擊﹔2010 年 ,伊朗布什爾核電站的計算機系統感染了蠕虫病毒,致使核電站多次推遲運行。對關鍵基礎設施的網絡攻擊使越來越多的網絡攻擊被認為是國家安全事件。根據我國CNCERT抽樣監測發現,2015年 1月至5月,1GB以上的DDos攻擊事件達到日均1300起﹔6月16日至30日,1GB以上DDos攻擊事件日均1793起。2014年,針對我國境內的網站仿冒頁面(URL)99409個,較2013年增長2.3倍。同時,根據我國CNCERT發布的《2014年中國互聯網網絡安全態勢報告》,“匿名者”等黑客組織對我國政府部門和重要行業單位網站的攻擊頻度、烈度和復雜度加劇。
其二,針對關鍵基礎設施的網絡攻擊會造成對公眾“安全感”的“攻擊”,破壞社會穩定。隨著網絡攻擊技術及攻擊范圍的提升,針對關鍵基礎設施的網絡攻擊不再僅僅是國家行為,而是成為恐怖組織播散恐怖、制造輿論的工具。針對關鍵基礎設施及工業控制系統的網絡攻擊不僅會帶來潛在的大規模毀損和瞬間的財政損失,還將會使公眾的“安全感”遭受“攻擊”。設置影響到公眾對社會穩定的信心。歷史經驗告訴我們,一旦公眾對社會穩定的信心遭到破壞,則社會秩序難免將陷入混亂狀態,法律的威懾力與約束力也將形同虛設。若關鍵基礎設施的使用性能與公眾對社會穩定的信心同時成為首攻擊的目標,將會給國家安全與社會穩定帶來災難性后果。
二、歐美應對網絡攻擊法律規制發展動態
(一)美國:以密集立法應對網絡攻擊
美國網絡攻擊威脅的法律規制體系建設始於20世紀90年代,“9•11”事件之后,美國在網絡攻擊規制的立法上呈現明顯的“指數爆炸”增長態勢,立法范圍涵蓋關鍵信息基礎設施、IT供應鏈安全控制,信息共享等方面。2001年美國頒布《愛國者法案》,該法案以防止恐怖主義為目的,擴張了美國警察機關的權限。該法案提出建立國家基礎設施模擬和分析中心,通過支持涉及反恐怖、威脅評估和減輕風險的活動,來保護美國的信息系統免遭日益泛濫的網絡攻擊。2003年美國頒布《保護網絡空間國家戰略》,提出保護網絡空間需要政府和社會各界作出協調一致的努力,並將網絡空間定義為一個“由信息技術基礎設施組成的相互依賴的網絡”,其戰略目標是預防網絡攻擊﹔降低國家面對網絡攻擊的脆弱性﹔將網絡攻擊造成的損害以及恢復時間降至最低程度。從2007-2008年美國開始將對網絡攻擊的立法重心聚焦於網絡安全保障的跨部門合作上,借助部署網絡入侵監測系統以及網絡入侵預防系統,將國土安全部、美國計算機應急響應工作組、國家安全局、國防部等部門實施有效的整合,確保有關網絡攻擊的威脅信息能夠在國土安全、情報、國防三個條線內有效流轉和共享。
2010年之后美國所出台的白宮行政令、總統令、國土安全部的多份文件都將關鍵基礎設施的“彈性”、“受攻擊之后的可恢復性”置於同之前所提到的單純的“安全性”放在同等重要的目標位置。2013年2月發布《改善關鍵基礎設施的網絡安全行政命令》,將針對關鍵基礎設施的網絡威脅視為最嚴重的國家安全挑戰之一,明確提出網絡安全公私信息共享,增加與美國私營部門之間共享的網絡威脅信息的數量、及時性和質量,促使這些私營部門針對網絡威脅可以更好地進行保護和防御。2014年11月,索尼影像娛樂公司被黑客攻擊后,美國明顯加大網絡威脅應對力度,2015年2月,美國成立網絡威脅與情報整合中心(CTIIC),該機構將協調整合國土安全部、聯邦調查局、中央情報局、國家安全局等多部門的情報力量,提高美國防范和應對網絡攻擊的能力。該機構將成為是美國政府防范和應對網絡威脅的主要部門及全國性的網絡威脅情報中樞。2015年3月,美國頒布《網絡空間安全信息共享法》,旨在實現對網絡漏洞信息的公私共享。2015 年4 月美國總統奧巴馬發布行政命令,授權美國政府對參與“惡意網絡空間活動”而危害到美國及公民利益的個人、組織和政府施加制裁。根據這一制度,美國政府相關部門將有權對通過惡意網絡行為威脅美國利益的個人和實體實施制裁措施,包括凍結資產和限制入境等。但這一針對網絡攻擊的制裁措施也在國內外引起了廣泛的爭議。
(二)歐盟:以長效戰略、立法與實踐相交融應對網絡攻擊
歐盟對網絡攻擊的治理表現為立法、戰略與實踐相交融。在立法方面,為實現歐盟成員國范圍內打擊網絡犯罪最大限度內的統一,歐洲理事會於2001年通過了《網絡犯罪公約》並對與網絡攻擊有關的“計算機系統”、“計算機數據”、“網絡服務提供者”及“通信數據”在歐盟層面作出了規定,並對與網絡攻擊的具體行為方式,如“非法訪問”、“非法監聽”、“數據干擾”、“系統干擾”及“設備濫用”作出了規定。為更加有效地保護關鍵信息基礎設施的安全,免遭大規模網絡攻擊,2009年歐洲議會和理事會通過了《關鍵信息基礎設施保護:保護歐洲免受大規模網絡攻擊和中斷:預備、安全和恢復力的通信》,其目標在於使歐盟更好地應對任何網絡攻擊和入侵,通過採取准備和預防、監測和響應、減災和災后恢復、國際和歐盟范圍內的合作、ICT部門的標准等措施來維護網絡社會的安全。2013年8月,歐洲議會和理事會通過了《信息系統攻擊暨取代委員會框架決議2005/222/JHA歐洲議會及委員會指令》,該指令旨在在歐盟層面建立針對網絡攻擊認定及制裁的統一標准,促進警察和成員國執法機構、歐洲司法組織,歐洲刑警組織和歐洲網絡犯罪中心、網絡網絡和信息安全部門之間的合作。根據該指令,針對通過惡意軟件感染大量計算機並使用僵尸網絡攻擊方式對其進行遠程控制的網絡攻擊者將處於3年以上監禁﹔對如電站、交通、政府等關鍵基層設施的網絡進行攻擊的主要罪犯、犯罪組織或造成嚴重損失的罪犯將處於5年以上監禁﹔各成員國法官有權對非法侵入或干擾信息系統數據、非法竊聽通信、故意生產和銷售用於實施犯罪的工具的罪犯處於2年監禁的刑罰。其他刑罰規定,各成員國法官可自行裁量。
在戰略方面,最具代表性的是2013年2月歐盟委員會頒布的《歐盟網絡安全戰略:公開、可靠和安全的網絡空間》。為了有效提高歐盟的網絡抗打擊能力,該戰略建議採取立法手段,通過新條例改進歐洲網絡信息安全署的工作安排,在國家層面規定網絡信息安全的最低標准,要求各成員國建立網絡信息安全的相應職能部門,成立計算機應急響應小組,制定國家網絡信息安全戰略,建立成員國之間的合作機制,分享信息,互相協作。同時,私人部門必須向國家網絡信息安全職能部門報告重大事故。此外,該戰略還規定,為加強網絡安全,無論是在成員國或者是歐盟層面,所有部門都需通力合作。成員國政府是維護網絡安全的主力,應具備處理網絡協調、網絡犯罪和防御的組織結構,確立政策和法律框架,對網絡事故和攻擊作出迅速反應。同時,應於同私人部門建立聯系網絡,在面對網絡安全問題時,能夠清楚地分配角色和責任,優化反應行動﹔在實踐方面,歐盟有兩個頗具時效的新舉措:2013年1月,“歐洲網絡犯罪中心”在荷蘭成立,該中心通過連通所有歐盟警務部門的網絡,整合各成員國的資源,旨在提高歐盟打擊網絡犯罪的能力,保護歐盟境內的企業和居民免受網絡犯罪的威脅。2013年4月,“歐洲網絡安全小組”成立,該組織由歐盟成員國知名的網絡安全私營公司組成,通過發揮私營企業優勢,對網絡安全風險防御、跨境信息共享等問題上向政府、企業及監管機構提供有效建議。
綜上,網絡空間頻發的網絡攻擊事件使得各國監管機構都意識到,絕對的網絡安全無論從技術還是管理角度都難以實現,因此各國都傾向於用一個更加立體、全方位、更具彈性與前瞻性的法律制度框架治理越發頻繁的網絡攻擊,這對我國網絡安全戰略與立法的確立與細化具有很大的啟發意義。
三、我國防范網絡攻擊法律治理的思考
(一)防范網絡攻擊的法律治理理念
協同治理理念。協同理論是現代系統科學理論體系的一支,由德國著名理論物理學家赫爾曼•哈肯在1970年創立。協同理論認為,系統要素在各自發揮作用時,必須借助於其他系統條件,假若能得到其他條件的配合,則可以發揮其應用的作用,反之則可能削弱其功效。網絡攻擊背景下的協同治理是指應充分發揮政府部門、執法機關、社會組織、企業及公民個人在內的每個社會單元的力量,以實現責任分擔、協同參與及利益共享。尤其是應重視企業及政府在網絡攻擊法律治理中的主導作用,不僅要求各主管部門和應急機構不斷整合自身的優勢,明確職能分工,最終形成合力,還應充分發揮企業尤其是網絡服務提供者在網絡攻擊防御與控制中的“一線”優勢。
過程控制理念。過程控制是指在事件發生之前、事件發生之中和事件結束之后的整個過程中所進行的對事件發生全過程的控制性管理。為有效地應對日益嚴重的網絡攻擊,應充分發揮過程控制理念的優勢,不應局限於對網絡攻擊的時候懲治,還應積極探索事先的監測預警措施及事中應急響應措施,將控制的時間點提前至網絡攻擊的發生之初。構建起以事前預防為主的事前監測預警,事中應急響應,事后懲治及恢復的“三位一體”管控機制。
(二)防范網絡攻擊的法律治理路徑
國內層面。第一,完善網絡空間戰略,有效應對網絡攻擊。《網絡安全法(草案)》第二章從基本法的層面明確了我國網絡空間戰略的基本要求,其中第十一條規定“國家制定網絡安全戰略,明確保障網絡安全的基 本要求和主要目標,提出完善網絡安全保障體系、提高網絡安全保護能力、促進網絡安全技術和產業發展、推進全社會共同參與維護網絡安全的政策措施等。”這一條對於我國網絡空間安全戰略做出了總括性規定,意義重大。從有效應對網絡攻擊的角度,可考慮從以下方面予以完善:其一,應在戰略中強調“安全可控”這一基本原則,加強信息系統全生命周期的安全規劃、設計、實施與運行維護工作,在關鍵節點進行風險分析和安全檢查,有效降低信息系統遭受攻擊的可能性和潛在的損失,切實提高系統的安全可靠性。其二,應進一步明確網絡空間戰略的可問責制度,確保網絡空間戰略的有效實施。
第二,建立“預防—控治—懲治”的三位一體治理架構。在對網絡攻擊法律治理體系的構建過程中,應充分重視過程控制,發揮“預防—控治—懲治”三位一體的治理架構的優勢:首先,預警通報和監測是網絡攻擊有效“預防”的邏輯起點。預警與監測指的是通過對網絡攻擊事件的監測,採取安全態勢感知與分析手段,收集網絡攻擊威脅的走向和發展趨勢,一旦預測到威脅,通過預警信息的共享和相關的漏洞通報機制。同時,按照網絡攻擊事件發生的緊急程度、發展勢態和可能造成的危害程度分為一級、二級、三級和四級,分別用紅色、橙色、黃色和藍色標示。根據網絡攻擊事態的發展,按照規定適時調整預警級別並重新發布。有關事實証明不可能發生信息安全事件或者危險已經解除,當立即宣布解除警報,終止預警期,並解除已採取的有關措施﹔其次,應急處置與恢復是“控制”的核心環節。應制定應急處置預案,確定網絡攻擊事件響應、處置的范圍、程度以及處置措施,包括信息安全事件的檢測,信息安全事件應急預案的啟動,以及特大、重大信息安全事件的緊急處置。上述工作結束后,應積極組織對網絡攻擊事件造成的損失進行評估,制定恢復重建計劃﹔明確網絡攻擊的刑事法律責任是“懲治”的內涵。加大對網絡攻擊的刑事處罰與行政處罰力度是歐美近年來懲治網絡攻擊犯罪的一大趨勢,值得借鑒。
第三,建立防范網絡攻擊的信息共享制度。對防范網絡攻擊的信息共享指的是政府部門、執法機關、社會組織、單位及公民個人自願交換所掌握的網絡系統漏洞、惡意入侵等網絡攻擊信息的法律制度。網絡安全信息共享制度是歐美關鍵基礎設施保護立法的關鍵環節。與政府機構相比,私營部門具有更加先進的網絡安全技術,包括實時入侵檢測系統和防御程序,其通常不願與聯邦政府共享信息,重要擔心在於不清楚這些信息將被如何用於加強網絡安全,或信息是否將與競爭者共享,甚至擔心系統漏洞是敏感信息,不希望向公眾競爭者披露其專有文檔和信息,因為這一披露可能導致私營企業的名譽受損、競爭劣勢、利潤損失、股東派生訴訟和其他訴訟,以及政府機構濫用共享信息等,因此如何制定激勵政策以及建立自願與強制性網絡安全信息共享制度成為歐美國家關注的焦點。我國《網絡安全法》(草案)第32條明確規定“促進有關部門、關鍵信息基礎設施運營者以及網絡安全服務機構、有關研究機構等之間的網絡安全信息共享”,這是我國網絡安全立法的一大亮點。然而,還需通過下位法明晰和細化該項制度,並回應以下問題:第一,政府有關部門在什麼時間、什麼特定情況下、以什麼方式、與相關機構共享什麼樣的信息,法律規定不明確﹔第二,信息網絡測試評估機構對特定營運單位的分析報告,涉及營運單位、測試評測機構和政府三方面的利益如何協調﹔第三,共享與隱私存在著矛盾和沖突,基於國家和社會公共利益的需要,對個人數據的共享是政府社會管理的基本內容。然而隨著網絡攻擊的泛華,國家需要公民、自然人在信息共享方面進行更廣泛的協作,而這需要從法律上對保障隱私權和公權益重新整合﹔第四,在網絡安全信息共享過程中可能出現的壟斷問題、知識產權問題如何解決。
國際層面。網絡的互聯互通和全球性使得網絡攻擊成為當今世界各國共同面臨的挑戰。各國在應對網絡安全事件時從管理到技術,從立法到行動皆有所不同,因此解決網絡安全這一全球性的難題,有賴於各國共同參與、溝通合作,在對網絡安全治理規則上達成有效共識。首先,積極推進政府間的網絡合作進程,加強與美國、歐盟及俄羅斯的戰略性對話,形成應對重大網絡攻擊事件的溝通與協調機制﹔其次,應積極推進共同制定雙邊及區域信息安全合作的國際法律基礎,積極提出網絡攻擊國際治理規則的“中國方案”,包括但不限於建立統一的網絡攻擊認定的國際標准,推動形成抵制網絡戰的國際公約,並公開宣布對網絡戰爭的反對立場,強調國家在保護關鍵基礎設施免受惡意攻擊中的責任﹔第三,加強應對關鍵基礎設施網絡攻擊風險的國際演練。實施聯合網絡安全演習是網絡領域最高水平的合作方式,可全方位提升網絡危機事件的應對能力,通過聯合網絡演習可識別出我國在關鍵基礎設施信息安全保障領域的薄弱環節,以及能夠進行國際合作的內容具體。
四、結論
針對關鍵基礎實施及工業控制系統的網絡攻擊是威脅國家安全的一顆“定時炸彈”。頻頻發生的網絡攻擊事件使得各國政府不斷推進立法制度變革,以期建立有效、立體、彈性且更具前瞻性的治理網絡攻擊的法律機制。我國應充分認識到網絡攻擊給國家安全和社會穩定帶來的不可預測的嚴重危害,借助《國家安全法》及《網絡安全法》(草案)出台之契機,對內完善網絡空間戰略,建立“預防—控制—懲治”的治理模式,推進網絡安全信息共享﹔對外積極“發聲”並增加“合作”,提升對網絡空間的保障能力。
(本文為陝西省社科基金項目(13F060)、陝西省軟科學項目(2014KRM73)的階段性成果)
(來源:中國信息安全)
相關專題 |
· 專題報道 |