网络空间安全的理解篇1
作为一门综合性的新学科,网络空间安全覆盖物理层、网络层、数据层等多个层面的问题[1]。网络安全信息化领导小组于2014年2月正式成立[2],表明网络空间安全人才的培养迫在眉睫。2015年6月,教育部批示在工学中设立网络空间安全一级学科,学科代码为0839[3]。2016年6月,中央网信办《关于加强网络安全学科建设和人才培养的意见》(中网办发文[2016]4号)文件[4],至此国家对网络空间安全人才培养的重要性和需求也提升至一个崭新的层面。
1网络空间安全的教学体系
网络空间安全是一门交叉性学科,融合了数学、信息论、计算复杂理论、控制论、系统论、认知科学、博弈论、管理学、法学等学科知识,其研究内容不仅涉及非传统网络安全理论与技术,如网络安全、网络攻防、网络安全的管理、信息安全等,还囊括网络应用的安全,如数据的恢复与取证、舆情分析、工程系统和物联网安全等。与其他学科相比,网络空间安全不仅采用理论分析、实验验证、技术实现等常规手段,还采用逆向分析等技术,从攻方和守方两个不同的角度分析当前网络空间安全所面临的威胁[5]。网络空间安全的教学体系框架如图1所示。
2课程改革的发展与建设
2.1课程体系教学改革
现有的网络安全或信息安全教学体系分为两种,一种是传统课堂教学模式,另一种是互联网在线教学。传统课堂教学模式可以实现良好的师生互动,但是授课内容大都是授课教师拟定,学生不能根据自身喜好、知识水平、技术能力等实际情况选择适合自己的课程。基于互联网的在线教学虽然解决了学习地域以及时间受限的问题,但是还存在缺少互动实践环节、不能及时巩固练习及反馈学习内容的问题。针对两种教学模式的固有缺点,结合网络空间安全的学习更需要可知、可感和可实践的特点,教师可尝试设计网络空间安全课程的实践教学模式,涵盖可实施性的应用教学案例,满足更轻量、更丰富且更自由的新型学习理念,提高学生的创新能力与实践能力。
2.2实践教学课程建设
网络空间安全实践教学设计采用层层深入各个知识点、关键技术的原理演示与课后练习实践等多种教学模式,课程设计要能够理清网络空间安全学科涉及的各个主要教学内容,融合网络空间安全、网络安全和信息安全相互之间的联系和区别。
实践教学的内容设计涵盖了学习者所需要的大部分重难点知识体系。学生既可以通过实践教学系统搭建仿真环境自主学习,又可以点播、跟踪指导教师授课视频进行学习,不断强化学习者对网络空间安全的整体规划意识。这个整体规划意识是网络空间安全、网络安全、信息安全相互之间的联系,三者之间存在相互区别又相互促进的关系。
每节课都提供详细的ppt教案与教学视频供学生学习,课程涵盖基本的知识量且在完成规定的授课学时后,还将课程进行深度与广度的拓展,如挖掘应用技术和国内外网络空间安全领域发展的最新进展,不仅为学生提供充足的、具有自主性的学习资源,还可为教师提供一次学习提高的机会。课程中除了知识讲解,还需设定学生提出问题并布置作业的模块。完善建设中的实践教学系统如图2和图3所示。
3实践教学体系结构
文献[6]提出“一个通过规则管理的虚拟的空间,这种空间称为‘网络空间’。网络空间的安全涉及设备层、系统层、数据层和应用层这四大层面上的问题,这是网络空间安全概念的初步定义。教学内容建设是课程建设的核心,综合考虑教学内容的可实践性、可扩展性、综合完备性等方面因素之后,我们利用网络自主学习的整体性原则,把网络空间安全课程的教学内容划分为设备安全、系统安全、数据安全和应用安全4个部分,每一部分重视和强化实践与实验环节,强调学生自学能力,以激发学生独立思考的思维。实践教学内容见表1。实践教学内容体系框架如图4所示。
4实践教学任务规划
4.1教学规划
综合表1和图4,具体的教学任务安排如下。
(1)设备安全:①防火墙建设与保护,如Linux防火墙配置、事件审计、状态检测等;②入侵异常检测,如HiDS部署实验、入侵行为检测实验、异常行为检测等;③容灾数据安全备份,如naS存储、LinuxRaiD实验、ipSan存储管理等;④通信安全,如语言保密通信实验、map信息安全传输、认证实验等;⑤服务器安全,如Linux日志管理、远程桌面安全配置、windows网络管理等;⑥无线保护,如无线组测试、wep密码破解测试、wpa配置测试等。
(2)系统安全:①操作系统安全,如web安全配置、Linux用户管理、Ftp服务安全配置等;②数据库安全保障,如mYSQL与SQLServer的安全审计、数据的安全备份与恢复等;③身份认证,如动态口令认证系统实验、人脸识别与检测编程实验等;④安全审计等,如文件事件审查、网络事件审查、主机监控实验等。
(3)数据安全:①密码学及应用,如密码学、pKi、pmi等;②密码破解,如Linux密码破解、win密码破解、远程密码破解等;③信息防护,如图像信息和音频信息的隐藏与加密实验等。
(4)应用安全:①计算机病毒,如脚本病毒实验、木马攻击实验、pe型病毒实验等;②网络扫描与嗅探,如网络连通实验、路由信息探测实验、网络嗅探实验等;③逆向工程,如aspck加壳、aspack反汇编分析、逆向工程高级实验等;④网络欺骗,如aRp_DnS欺骗实验、maC地址欺骗实验、DoS攻击实验等;⑤缓冲区溢出,如缓冲区溢出初等级实验、缓冲区溢出中等级实验等。
4.2实施路径
实施路径涉及教学内容的安排、教学大纲的撰写、实验验证与仿真、原理演示、实验步骤、复习讨论等方面,每一章节内容的路径设计如图5所示。
网络空间安全实践教学系统的设计具有以下4个方面的特点:①云部署,课程资源包部署于云端,可随时随地开展学习和分享;②进度掌控,随时掌握学习进度情况,通过作业了解学习效果;③断点保存,保存实验进度,分阶段完成课程;④灵活扩展,教师可灵活定制和调整课程,系统可灵活扩展和完善。
围绕网络空间安全学科,探索高校计算机专业在此领域的课程建设和教学改革,建成一个高质量、可共享的课程体系和培养方案,课程的建设成果将开源开放。
网络空间安全的理解篇2
〔关键词〕网络空间;命运共同体;制度构建;国家网络
〔中图分类号〕D8141〔文献标识码〕a〔文章编号〕1000-4769(2017)04-0021-09
一、引言
当人类进入网络时代,面对层出不穷、日益严峻的“网络空间”安全威胁,建立一套普遍认同且行之有效的网络空间安全治理规则是各国政府面对的一个亟待解决的重大课题。有鉴于此,中国国家主席在2015年12月16日举行的第二届世界互联网大会上发表主旨演讲中,首次提出了“网络空间命运共同体”的全新概念,并在2016年的第三届世界互联网大会的视频讲话上再次重申。“网络空间命运共同体”为解开世界“网络空间”安全治理规则的困局提供了解决问题的中国方案,具有极其重要的战略意义,一经提出便引起全球的高度瞩目。但从“网络空间命运共同体”的概念提出以来,就其进行研究的国内学术成果甚少。因此,实有必要对“网络空间命运共同体”的构建做进一步阐述,以丰富和完善相关的理论研究。为此,本文将从以下几个方面展开,以期对丰富“网络空间命运共同体”的内涵提供些许参考。首先在明确“网络空间”概念和相关特性的基础上,对目前危害“网络空间”安全的主要攻击类型进行梳理,并就围绕制定“网络空间”安全治理规则的国际博弈做出阐释后,指出创建“网络空间命运共同体”的“中国方案”是解决全球“网络空间”安全治理困境的最佳途径,并站在制度建设的高度从国际和国内两个层面尝试进一步的具体阐述:国际层面,应当坚持在确立“国家网络”法理的前提下积极推进平等的国际合作;国内层面,在党政结合的国家主导型统筹框架下实现创新发展,构建政、产、学、研四管齐下的统筹体制,以获取强大的“网络空间能力”,让“网络空间”所链接的国家、组织和个人真正形成开放共享的命运共同体,实现安全有序、共存共生的目的。
二、“网络空间”及其主要威胁类型
(一)“网络空间”的内涵
在讨论“网络空间命运共同体”的构建之前,应当首先明确“网络空间”的内涵。“网络空间”的英语表示为“cyberspace”,由美国小说作家威廉・吉布森在其1984年出版的科幻小说《神经漫游者》中所首创,并随着互联网的普及而为世人所知。各国政府都在尝试对其概念进行界定,比如美国政府将“网络空间”定义为“包括现代社会几乎所有方面的、全球规模的相互链接的电子数据和信息流通基础设施”〔1〕;英国政府认为“网络空间”是“网络化电子数据活动的所有形态,包括通过数字网络实施的行动以及其内容”〔2〕;而加拿大政府把“网络空间”看作是“由信息技术相互链接的网络以及网络数据所创造出的电子世界”〔3〕;日本政府则认为“网络空间”是以互联网为基础使用信息通信技术(iCt)流通各种信息的一种全球规模的虚拟空间。〔4〕
笔者认为,“网络空间”是一种通过电脑、服务器、智能手机等以数据传输和储存为主要装置所构成的网络数据流通空间,它和自然界的空间不同,是人类通过技术人为创造出的全新虚拟空间。简言之,“网络空间”有如下特性:第一,网罗性。即不特定多数的网络利用者以其所持电脑等终端,将单个独立的网络利用者聚集后形成网络空间(endtoend),从而将全世界网罗于一体;第二,双向性。即“网络空间”的流通数据具有向传播方和接受方双向流通的特性;第三,超越性。在“网络空间”中数据的流通在瞬时间可缩短时间和距离;第四,全球性。“网络空间”和陆地、海洋、空间、太空等传统的现实空间不同,是一种人类对空间的全新认知,因此有学者据此认为,“网络空间”具有全球空间的特性。〔5〕“网络空间”的上述特性随着互联网的普及,已给人类社会历史发展的进程带来了深刻和不可逆的影。而每天通过“网络空间”危害国家政治、经济、文化和社会安全的事例,使得任何国家、组织和个体都无法从上述挑战中全身而退,人类社会除了共同面对之外别无选择。提出“网络空间命运共同体”实质,是中国在深刻理解“网络空间”的特性后为应对“网络空间”威胁而量身打造的“中国方案”,通过“中国方案”这种治理平台可大大增强中国在“网络空间”安全治理规则中的话语权和主动权。
(二)危害“网络空间”安全的主要攻击类型
构建“网络空间命运共同体”,需要首先面对的就是来自“网络空间”的主要威胁:网络攻击。原始的网络攻击主要是以破解密码等手段侵入系统或者更改网络主页。但上述方式在近年来的“网络空间”攻击行为中已不多见,更多则是如下几种新型“网络空间”威胁。
1.DDoS网络攻击。所谓DDoS(DistributedDenialofService)网络攻击,是指一种分布式拒绝服务,黑客往往利用多台终端同时对目标发动攻击,效果如同在家门口聚集成千上万人后同时反复按下门铃,起到远超计算机处理能力从而妨碍正常使用网络服务的目的。此外,该型网络攻击不但使计算机病毒向不特定终端传播和感染,还会让感染病毒的终端在特定的时间同时向目标终端或服务器发起攻击性链接,使得计算机病毒向全世界扩散而无法单独阻止攻击,最终导致系统停顿或崩溃。例如,阿里云计算在2014年12月24日声明称,12月20日至21日,阿里云上的一家知名游戏公司就遭遇了全球互联网史上最大的一次DDoS攻击,攻击时长14个小时,攻击峰值流量达到每秒4538G。
2.apt网络攻击。apt(advancedpersistentthreat)攻击是另一种较为常见的新型网络空间安全威胁。初期的apt攻击通常以发送钓鱼电子邮件的方式来获取真正的电子邮件账号,但近年来出现了新的亚种:即持续和不间断地发送恶意邮件来对目标人物或目标设施实施间谍行为。最具代表性的apt攻击就是“震网”(Stuxnet)病毒攻击,而让该病毒名声大噪的则是2010年6月发生的伊朗民用核设施瘫痪事件。当时美国指责伊朗的民用核设施被用于核武器研发,但在伊朗政府对上述无端指责予以了强硬驳斥后,核设施内的离心分离机发生了异常运转。经核查,尽管显示器正常,但在实际的显示上表现为异常运转。原因在于有嫌疑的工程师将电脑擅自带回家中并链接互联网,最终导致60%的伊朗个人电脑感染该病毒并向全世界扩散。
虽然还不清楚“震网病毒”为谁所造,以及以怎样的方式侵入伊朗核设施,但在时隔两年后的美国“纽约时报”中,出现了上述网络空间攻击是由美国和以色列联合作战的报道。〔6〕而众所周知的是,美国研讨对伊朗核设施进行攻击早见于乔治・布什政府并一直延续到奥巴马政府。但对当时深陷阿富汗和伊拉克战争的美国而言,尚无能力仅因所谓半公开的伊朗核武器研发而再次发动一场传统战争,因此采用由“震网病毒”所代表的新型网络空间攻击来延缓伊朗核武器的研发,便是一个现实的选项和符合逻辑的解释。
3.复合型网络攻击。所谓复合型网络攻击,是指与常规战争配套使用的“网络空间”攻击。其先例可见以色列在2007年对叙利亚发动的空袭。当时以色列认为叙利亚在其东北部建设接受朝鲜援助的核设施,但叙利亚却对以色列实施的空袭毫无还手之力。究其原因,以色列在事前侵入了叙利亚防空系统而得以操纵雷达网,致使雷达网不会显示以色列战斗机。〔7〕而与此遥相呼应,在2012年8月美国国内召开的研讨会上,美国海军陆战队的理查德・p.米尔斯中将承认美军侵入了阿富汗敌对武装网络系统并获得了有价值的情报,使战局朝着有利于美军的方向发展。此外,美军还数次侵入进的主页,将其更换为支持美军的页面表示。从上述战例可以看出,如果将“网络空间”攻击与使用常规武器的物理攻击相结合,则会成倍增加破坏力和杀伤力。
三、围绕“网络空间”安全治理规则的博弈
为化解来自“网络空间”的安全威胁,各国纷纷单独或以相关国际组织、国际会议为平台提出了各自的治理方案,试图达到掌握“网络空间”安全治理主导权的战略意图。在随之而来的激烈博弈中,由于各方在自身的主观思维方式、客观技术实力等因素上的迥异,在如何制定以“网络空间”安全治理规则为核心的游戏规则上,以中俄为代表的新兴国家阵营和以美欧为代表的发达资本主义国家阵营之间,体现了完全不同甚至尖锐对立的指导思想和治理思路。
(一)以中俄为代表的上合组织与美欧的争锋
俄美两国之间早在通过电话线路拨号上网的互联网初始阶段,就对网络信息安全展开了磋商,当时正值叶利钦和克林顿分别担任俄美两国首脑时期。但由于美国的技术优势导致双方无法达成一致意见,俄罗斯开始转而利用国际组织作为博弈的平台。此阶段围绕“网络空间”安全控制权的博弈,主要表现为以中俄为代表的上合组织以及以美欧为代表的西方国家之间的交锋。
俄罗斯和上合组织对网络信息安全的定义采用了包括基础设施和信息本身(或信息内容)的广义说,但美国以支持言论自由为由采用狭义说,认为网络信息安全应当仅限于基础设施安全领域而反对将信息本身包含其中。中国继承和发展了俄罗斯早先提出的基本主张,在采取回避对“网络空间”安全做出具体定义的策略下强调了以下两点主张:第一,各国政府和国际机构应当对“网络空间”治理担负起应有的责任,而非美欧所主张的所谓民间自治;第二,由于“网络空间”是出现的全新特殊领域,因此应当缔结新的国际条约予以应对,而非适用现有的国际法。
中国在博弈初期提出上述两点主张是基于如下背景和目的。第一,针对美国政府及其网络技术人员一直强调政府不应介入“网络空间”的进攻性主张,中国政府首次以国家为法理基础做出了强有力的正面回应:即各国应当在“网络空间”得到承认,各国据此可基于各自的国情和政策制定“网络空间”的治理准则。第二,针对国际法在“网络空间”的适用问题,中国提出必须认识到“网络空间”的特殊性,而此种特殊性并不适用于现有国际法的游戏规则,从而得以避免因为对“网络空间”实施的必要介入和管制而给予美国指责侵犯所谓言论自由和通信秘密等人权的口实。
(二)联合国层面的博弈
此后,中俄晒开始进一步尝试通过在联合国等国际组织框架内寻求与欧美展开争夺“网络空间”安全治理规则的主导权,双方博弈的主要平台则是联合国信息安全政府专家组(以下略称GGe)。GGe产生的背景源于2011年9月12日中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦等4国为推动解决“网络空间”安全治理规则问题向联合国提交的“信息安全国际行为准则”草案,中俄等国同时建议联合国应该讨论制定各国在“网络空间”承担相应责任的行为规范。为此,时任联合国秘书长潘基文委托负责军备与国际安全保障的联合国第一委员会处理此事。第一委员会接受了中俄等国的提案,召开了由15个国家代表所组成的GGe。
第一次GGe会议于2004年6月召开,但参加会议的各国专家并未提出达成共识的书面报告。其表面原因虽然归结于时间限制、语言问题等因素,但背后的真正原因却是中国、俄罗斯、巴西等新兴国家所主张的包含对通信内容进行检查在内的政府主导型“网络空间”安全治理规则的制定,与美国、欧盟所主张的通信自由之间无法弥补的鸿沟所致。〔8〕
第二次GGe会议准备就难以在第一次会议中达成一致意见的“网络空间”安全治理规则继续进行磋商,但在此之前发生的一系列“网络空间”安全事件使得各国的意见开始趋向同一,甚至包括此前一直持消极态度的美国。各国态度由消极转为积极的背景有以下几点:第一,进入21世纪后频发的大规模有组织的网络攻击(如上文所提到的2010年震网病毒对伊朗核设施的网络进攻等);第二,以2011年初在中东和北非地区爆发的“阿拉伯之春”为契机,不少国家开始就“网络空间”治理表示高度关切;第三,2009年1月奥巴马政府的诞生导致美国政策开始转变为积极参与“网络空间”安全国际讨论的方向。〔9〕由此,第二次GGe会议于2009年11月至2010年7月间召开并成功地提出了书面报告,在报告中就进一步讨论对重要基础设施进行保护的规范、促成信任措施、能力构建与支援、明确相关用语和定义等必要性进行了确认并取得了一定的进展。〔10〕但是在关于政府是否能够介入通信内容,以及“网络空间”安全治理应当适用何种规则等争论激烈的焦点问题上,以中俄和美欧为代表的双方仍然各持己见、泾渭分明。
第三次GGe会议于2012年8月至2013年6月间召开,焦点依然是如何将“网络空间”安全治理规则融入既存国际法的问题。美、欧、日、澳等结成联盟,主张包含联合国在内的既存国际法也适用于“网络空间”领域,而中俄两国则以2011年提出的“信息安全国际行为准则”为基础,主张有必要在新的框架内构建相关规则。但由于双方分歧难以弥合,截至闭会日仍然无法达成妥协。最后,书面报告中选择了双方都能接受的表述而得以避免谈判破裂。在报告书第16段:“对国家利用iCt(网络信息通信技术)而言极为重要的从既存国际法派生的规则适用,是减少对国际和平、安全保障和稳定等风险而必不可少的措施。考虑到iCt的特殊性,也可在发展中追加新的规则。”上述表述在纳入美、欧、日、澳一方所鼓吹的既存国际法不可或缺主张的同时,也考虑到了中俄两国的主张,以将来追加的规则也可在发展中得以实现的形式,为以后构建新型“网络空间”安全治理规则埋下了伏笔。此外,报告书第19段:“国际法尤其是联合国,是维护和平和安定,同时为促进开放、安全、和平的链接可能的iCt环境而可适用的规则。”使用将联合国这种普遍性的国际法适用于“网络空间”的表述,显然接近美、欧、日、澳一方的主张,但并未采取“适用(applied)”的肯定性表达,而是采取了含有“可能适用(applicable)”意味的中性表达,显然也是对中俄两国主张的顾虑。因为从逻辑上讲存在联合国“不能适用”的场合,由此为设计新的国际准则预留了空间。尽管第三次GGe会议在最后关头达成了妥协,但并没有解决最早由俄罗斯在20世纪90年代末提出并由中国继承和发展的“网络空间”安全治理规则的制定问题。这次会议取得的真正成果在于正式确认了两大阵营围绕“网络空间”安全治理规则的制定而形成的对立。
第四次GGe会议于2014年7月至2015年8月间召开,并最终向联合国秘书长提出了GGe2015报告。报告中大量采纳了中国的主张,诸如首次同意应当在“网络空间”采取负责任的行为,不得利用网络病毒攻击他国银行、供电、供水、交通、核电站等重要的基础设施;国家不应故意使其领土被用于使用iCt技术实施“网络空间”不法行为;各国应采取措施确保供应链安全,并努力防止恶意信息和信息技术的传播等。而此前一直对中俄提出的“网络空间”安全治理准则持否定和对抗态度的美国出于自身利益的考虑,也不得不转变其以前僵硬的态度。在第四次GGe会议取得重大进展的同时也应当看到,GGe2015报告还只是一种原则性共识,缺乏刚性的约束力,且中美双方的主要分歧并未因上述共识而消除,因此就“网络空间”安全治理准则达成一致意见还有相当的距离。
(三)世界互联网大会的召开与主导
为打破在联合国层面围绕“网络空间”安全治理规则持续博弈的僵持局面,中国另起炉灶,通过从2014年开始连续在杭州乌镇举办三届“世界互联网大会”的形式,开始尝试掌握对“网络空间”安全治理规则制定的主动权。
中国国家主席在2015年第二届“世界互联网大会”上开创性地提出了推进全球互联网治理体系变革时应当坚持的四项基本原则四项原则是尊重网络、维护和平安全、促进开放合作、构建良好秩序。,以及共同构建“网络空间命运共同体”的五点主张五点主张为:加快全球网络基础设施建设,促进互联互通;打造网上文化交流共享平台,促进交流互鉴;推动网络经济创新发展,促进共同繁荣;保障网络安全,促进有序发展;构建互联网治理体系,促进公平正义。,并在2016年第三届“世界互联网大会”进一步提出了构建“网络空间命运共同体”的纲领性主张。
从上合组织到联合国,再到由中国从2014年开始主办的世界互联网大会,清晰地突显出中国在围绕“网络空间”安全治理规则博弈过程中由守转攻的重大战略转变。这种积极转变的背景在于,随着中国综合国力的不断提升,使得中国大大加深了对“网络空间”的理解和对相关技术的掌握,因此能够支撑中国提出“网络空间命运体”这样极具前瞻性和可行性的“中国方案”。相较于早前两大阵营之间泾渭分明的“多边主义”(multilateralism)与“多利益相关方”(multistake-holder)之争〔11〕,“中国方案”具有符合“网络空间”相关特性,融合各国合理诉求,易于各国接受和实施的长处,是将来最有可能取得共识的“网络空间”安全治理规则。
四、“网络空间命运共同体”的制度构建
(一)国际层面的制度构建
1.确立以平等尊重为基础的国家网络适用法理
“网络空间”作为一种互联网技术派生的新型领域,其是否适用国家网络一直是各方的分歧所在。如前所述,以中俄为代表的新兴国家阵营和以美日欧等为代表的发达资本主义国家阵营围绕“网络空间”安全治理规则制定权的争夺来看,最根本的分歧之一在于是否承认国家网络在“网络空间”的适用。纵观美国政府就“网络空间”安全的各类白皮书,其逻辑出发点是来源于“全球公域说”,将以互联网为主轴的“网络空间”看作“全球规模的公共财产”,因此有必要超越国家对这种所谓的全球公共财产予以保护,以便于网络信息的所谓自由流通。
但如前所述,“网络空间”作为人为创造的虚拟空间,其本质更多的是提供一个依照相关规则以便将流通的数据进行相互交换和让渡的场所。有鉴于“网络空间”所特有的物理属性,使其无法成为与宇宙空间、南极大陆等自然空间同等意义上的“全球规模的公共财产”。具体而言,“网络空间”只是由各种数据通信终端、线路以及记忆和储存装置组成的一种集合形态,其中的流通数据交换则是基于ip地址并以iSp、iCp为主的网络服务提供者提供的有偿或无偿服务来进行,所以各种终端、线路和装置都各有其主。对这些“网络空间”的构成因素进行必要的管理,与保障网络信息的自由流通并不矛盾,就如同设定交通管制信号灯等交通规则不但不会阻碍交通,反而更有利于保障健康有序的交通一样。因此,在理论上完全可以通过根据“网络空间”中不同的所有人来确定其所有关系的边界。而确定上述边界的工作必须且只能以国家为主体来进行。这是因为尽管任何一个国家都无法在整个“网络空间”中主张其,但“网络空间”并不是游离于国家之外的法外之域。如果能够通过某种形式明确该国在“网络空间”所处的物理领域,就能够在该物理领域确定国家网络。具体而言,在中国这样的网络大国,不管相关终端和装置的所有人是谁,只要其设置在中国境内就应当处于中国国家的管治之下,即便是外国人,除去外交特权等例外场合,也应当适用中国国内法。另外,在云服务的利用者和云数据的所在国异地的场合,只要在中国境内的数据主体和利用设施被中国国家所覆盖,就如同中国境内的终端或设施遭到网络攻击亦应通过中国相关法律予以处置一般,在法律技术层面并不难处理。
“中国方案”提出在平等尊重的前提下行使国家网络的主张,是国家概念在“网络空间”领域的延伸和发展,完全符合反对霸权、不干涉内政的国际法基本主张,是中国为构建“网络空间命运共同体”而贡献出的一个极其重要的法律概念。笔者认为,作为实施“中国方案”的具体措施,应当在基于平等尊重国家原则的前提下,以立法的形式确立国家网络在“网络空间”安全治理规则中的法理依据,从而为以国家为主导来构建符合各国利益的“网络空间命运共同体”打下坚实的法律基础。我国于2016年11月7日通过的《中华人民共和国网络安全法》(下文简称《网络安全法》)第1条就开宗明义地明确了维护网络空间和国家安全的立法目的,这也是各国相关立法的通例。比如日本《网络空间安全基本法》规定,该法立法的重要目的之一在于确保国际社会的和平与安全以及确立日本国内“网络空间”的安全。此外应当进一步明确,中国有权采取一切措施监控、防御和处置来源于中国境内的网络空间安全威胁并依法惩治相关违法犯罪活动的法理基础是,中国基于在其有效管辖领土范围内对“网络空间”信息通信设施和相关信息通信活动拥有的无可争议的专属管辖权。参见《中华人民共和国网络安全法》第5条。因此,如果他国利用“网络空间”干涉中国内政、破坏中国稳定,中国政府就可名正言顺地遵循国家网络所确立的法理基础,采取一切必要的断然措施。另外一个重要的举措是,还应当努力将国家网络作为“网络空间”安全治理规则的一个基本原则写进联合国。这是因为坚持国家网络的“中国方案”,在考虑到“网络空间”特殊性的基础上,既兼顾了美、日等国适用既有国际法的主张,又对所谓适用既有国际法的内涵提出了自己的理解:即应当适用尊重各国国家、不干涉他国内政的既有规则,而非适用美国所鼓吹的尊重言论和通信自由。中国的上述主张获得了国际社会的广泛认同,甚至于近年来在美国阵营中的一些国家也开始出现倾向中国主张的动向。2012年4月26日在日本首相官邸召开的信息安全政策会议中,时任外交大臣玄叶光一郎就做了如下发言:作为外务省进行充分讨论的结果,认为原则上“网络空间”适用既往的国际法是妥当的立场,但有鉴于“网络空间”是一种带有特殊属性的全新特殊领域,在就具体法律规范的适用上,有必要继续和各国进行认真的讨论。〔12〕而在北约2013年推出的“塔林手册”中为应对日益严峻的“网络空间”威胁,北约召集成员国的军人、政府官员、律师和学者就“网络空间”安全进行研究,“塔林手册”作为其中的一个研究项目,以《关于适用网络战争的塔林手册》的名义在2013年出版,其中包含95个规则和相关解说。但是,“塔林手册”仅为北约单方面制定的一种就网络战争所做出的解释规则,并无普遍约束力。,则进一步提出了国家在其所处的“网络空间”领域内仍然可以行使国家的主张。〔13〕因此,中国将国家网络写进联合国的主张,代表了国际社会制定“网络空间”安全治理规则的未来方向,具有广泛的民意基础,理应得到也能够得到绝大多数国家的支持。
2.重视平等互利的国际合作
盖因“网络空间”的特殊性,导致任何国家和国际组织都不能在“网络空间”独善其身,尤其是网络黑客等制造的网络攻击防不胜防,并已呈现出与恐怖主义合流可怕趋势的当下。因此,即便是占据网络技术绝对优势的美国,出于保护其自身利益的考虑也开始不得不选择多边合作。随着中国对“网络空间”理解的不断加深,各国在“网络空间命运共同体”的构建中认识到平等互利的国际合作不可或缺,是“中国方案”呈现的必然和合乎逻辑的结果。
国际合作的必要性,在解决困扰“网络空间”安全的“归属问题”上显得尤为迫切。所谓的“归属问题”,是指源于“网络空间”的特殊性,使得危害“网络空间”安全的网络攻击者能够抹去其痕迹而难以查明攻击者的具体真实身份。即便在能够锁定实施网络攻击的个人或装置的多数场合下,仍然很难判断网络攻击行为人与对此负有责任的国家或组织之间存在的关系。根据国家互联网应急中心的抽样监测发现,在2013年1月1日至2月28日期间,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机,而位于美国的2194台控制服务器控制了中国境内1287万台主机,所以美国不管从控制服务器数量或是控制中主机数量上都排名首位。但由于中美之间没有就此形成在平等互利基础上的国际合作,所以中国对来自美国的网络攻击无法做出有效的判断,致使很多本应采取的断然措施难以出手。
要从根本上解开上述困局,就应当将“网络空间命运共同体”所提出的平等互利前提下的国际合作作为重要的治理手段,以求在“网络空间”安全治理规则的制定过程中兼顾各方利益,达到合作共赢的目的。要到达上述目的的关键词便是“平等互利”。鉴于各国在意识形态、国家利益以及对“网络安全”理解上存在的固有分歧,为避免先入为主的给国际合作设立人为障碍,笔者建议采取从易到难、循序渐进的方式,先从各国争议较小、易于达成共识的领域入手,然后逐渐在该领域形成国际合作的大气候。比如打击网络犯罪和网络恐怖主义是当下“网络空间”安全的重中之重,各国出于维护自身安全的考虑,都有强烈的国际合作意愿,而这就是“中国方案”大显身手之处。为此,应当首先在政府和国际组织之间积极推动双边、多边以及区域间的“网络空间”安全合作,其中以和中国有重大利益交汇的俄、美、日、欧盟等国家和组织之间的合作尤为重要。中国可先与上述国家和组织就打击网络犯罪和网络恐怖主义签订双边和多边条约,在互不干涉内政和尊重国家的前提下建立有效的信息共享机制,以便针对“网络空间”安全问题采取及时有效的措施。此外,还应重视和扩展与我国有传统友好关系的亚非拉国家间的国际合作。因为较之西方发达资本主义国家,亚非拉国家与中国同为第三世界,故而在“网络空间”安全领域存在广泛的共同利益,具有在平等互利基础上进行国际合作的先天优势。特别是我国“一路一带”战略的提出,为中国与相关地区第三世界国家进行“网络空间”安全合作提供了绝佳的战略机遇期。因此,除坚持在打击网络犯罪和网络恐怖主义等领域进行合作外,还应充分利用中国强大的网络基础设施建设能力,参与“一路一带”沿线各国的“网络空间”建设,制定一套在平等互利基础上由中国积极发挥主导作用并能为沿线各国所接受的治理体系。综上所述,以平等互利为基础,以合作共赢为目的的实施方略,能够进一步建立并巩固与各国的合作关系,从而为构建“网络空间命运共同体”营造出良好的国际大环境。
(二)国内层面的制度建设
1.筹划构建党政结合的国家主导型框架
“网络空间命\共同体”的构建,离不开内外制度的有机结合。其中建立党政结合的国家主导型统筹架构,充分利用社会主义国家能够集中精力办大事的制度优势,发挥国家在获取支配“网络空间”能力所需资源整合方面的主观能动性和宏观调控之长,是必不可少的重要组成部分。
自2016年以来,随着p2p网络借贷、电信网络诈骗、网络直播等国内“网络空间”安全领域凸显的热点问题曝光,国家相关部门相继出台了一系列具有针对性的法律法规,取得了较为良好的社会效益,国家主导型统筹架构已初见端倪。银监会在2016年印发了《p2p网络借贷风险专项整治工作实施方案》的通知,对p2p等借用网络实施非法集资的行为进行了规制;由徐玉玉事件引发的网络电信诈骗问题,网信办了《未成年人网络安全保护条例(草案征求意见稿)》,并两高一部联合出台了《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,严厉打击危害“网络空间”安全的电信网络诈骗行为;针对网络直播中的乱象,网信办颁布了《互联网直播服务管理规定》。但同时也应该看到,在“网络空间命运共同体”的国内制度建设层面,存在着网信办、、工信部、银监会、最高院、最高检、公安部等部门繁杂、职能交叉重叠的现象,导致令出多门,难以对相关资源进行有效整合,增加了从发现问题到解决问题的反应周期,因此还不能完全满足建立安全有序“网络空间”的战略要求。有鉴于此,笔者建议,应当站在构建“网络空间命运共同体”国内机制的战略高度,将以前分散于各个行政职能部门的权力集中在专门机构中,建立党政结合、部门配合的架构。具体而言,在党的层面可由网信办作为决策部门,针对“网络空间”安全的新问题、新热点统一制定与“网络空间命运共同体”相关的指导性意见;在行政方面,建议国务院组建成立“网络空间安全办公室”,统一行使原先分散在各部委中与“网络空间”安全相关的行政权,并由其根据网信办的指导性意见制定具体的产业政策和行政法规,待时机成熟时提交全国人大通过并最终上升为国家意志。这种党政结合的架构,既能回避党政不分的问题,又能充分发挥国家主导型统筹体系之长,便于将党政资源有机结合以形成合力,有利于“网络空间命运共同体”的顶层设计,使党和国家能够把握正确的网络舆论导向,有效提升对“网络空间”突发事件的反应能力,激发符合社会主义核心价值观的网络正能量,营造安全、文明“网络空间”的良好氛围。
2.组建互联网国有企业并发挥其产业核心作用
作为经济发展的新引擎,“网络空间”在经济领域的影响越来越大。而互联网企业作为承载国家网络空间相关政策实施的基本平台,对于构建“网络空间命运共同体”具有不可替代的重要作用。在国家近20年持续性的大力扶持下,中国互联网企业已具备了较高的起点:根据2016年的统计,我国互联网企业腾讯、百度、京东、阿里已在世界十大互联网企业中占据四席。
但在骄人成绩背后却难掩其中隐忧。由于互联网民营企业的逐利本质,往往会在面临利益冲突时注重自身利益而忽略甚至牺牲社会整体利益。比如2016年12月曝光的京东高达12G的用户个人信息在2013年遭泄露一事,就是京东怠于履行其注意义务―构建客户个人信息保护制度―而产生的恶果。此外,在舆情导向方面,互联网民营企业也存在不少问题。以同样发生在2016年的赵薇事件为例,在爱国网友使用新浪微博等互联网平台号召大众抵制赵薇执导并由演员参演的电影行动中,新浪微博出于种种目的删除爱国网友的呼声,甚至连支持爱国网友的共青团官方微博也不能幸免,最后在报等传统平面媒体的发声支持下才扭转局面。
因此,从打造构建“网络空间命运共同体”产业平台的角度而言,互联网产业龙头企业中由清一色民营企业组成的产业结构难言合理。笔者认为,应当组建一个大型的互联网国有企业集团,作为“网络空间”产业平台的国家队,起到“网络空间命运体”示范产业平台的核心作用。由于互联网国有企业集团自身先天所具有的人民属性,在承担企业社会责任、弘扬网络正能量、实现党和政府的网络空间安全战略等方面具有得天独厚的优势,能够坚持社会效益和经济效益并重,并在两种利益产生取舍时优先考虑社会效益,从而为互联网民营企业提供一个良好的示范作用,所以是构建“网络空间命运共同体”的产业最佳平台。具体而言,可由国资委牵头筹划组建一个大型互联网国有企业集团,选择下列与“网络空间命运共同体”密切相关的产业,由互联网产业集团下属子公司各自承担一个主攻方向,并由国家在政策上对集团进行倾斜性扶持。第一,大数据交易和个人信息保护领域。基于政府是我国大数据最大持有人的基本国情,可由互联网国有企业集团牵头与政府结成战略伙伴关系,在完善以脱敏、匿名等众多信息新技术为核心的个人信息保护措施后,进行有利于提升产业结构的战略转型,以便更好地服务于实体经济。第二,网络社交与即时通讯领域。可选择中国移动的飞信为产业平台,通过在该平台移植下一代通讯技术来打造能够与微信、QQ以及新浪微博等相媲美的新型网络社交和即时通讯服务。但是,为防止互联网国有企业重蹈“即刻搜索”的覆辙“即刻搜索”原名“人民搜索”,是人民日报旗下子公司,后因种种原因退出了互联网产业。,应当参考中国乒乓球队能者先上的成功经验。中国乒乓球之所以长盛不衰,团队中世界级水平的陪练功不可没。当年的世界冠军马林就是陪练出身,最后经过自身的努力脱颖而出。具体而言,政府应放手让互联网国有企业与互联网民营企业在社会主义市场经济这座大舞台上同台竞技并形成良性竞争关系,力促国有企业在众多民营企业的包围中成长。在经过社会主义市场经济的真正洗礼后,可大大增强互联网产业界提供符合社会主义核心价值观的网络文化产品和相关服务的供给能力,逐渐改变长期以来在网络舆情上的被动局面,形成充满正能量的网上舆论生态,构建健康、绿色的“网络空间”。第三,电子商务领域。建立具有严格准入制度的网络购物平台,对商品实行严进宽出的审查制度,杜绝现有大型电商普遍存在的假货泛滥、靠刷单购买信用等恶劣做法,切实维护消费者权益,并在保证相关数据安全前提下就消费行业数据的交易进行前瞻性试航,为以后全面推行的数据交易积累经验。第四,人工智能产业。人工智能作为“网络空间”的新兴领域,拥有广阔的应用前景并能给人类生产生活带来深刻变革。但需要的先期投入大,回报周期长。国有企业集团可充分发挥其政策扶持优势和资金优势,抢占该领域的制高点,为供给侧改革的推行和实体经济的升级换代提供支撑。而对于人工智能在“网络空间”的发展可能给社会带来的伦理冲击,国有企业集团应当始终将社会利益放在首位,制定一套符合国情的人工智能产业标准和人工智能“网络空间”利用标准,确保人工智能产业沿着正确的方向发展。
3.充分发挥学术与研究机构的人才作用
再好的制度最终都要靠人来落实,“网络空间命运共同体”的具体构建同样离不开人这个关键性因素,而我国的学术和研究机构在人才方面拥有得天独厚的优势。但与国际相比较,我国人才在“网络空间”领域所起的作用尚不明显,和现实需求还存在较大差距,主要体现在理论研究与产业实际脱节较为严重,学术界尤其是社会科学领域的研究严重滞后于互联网产业的发展。以2016年曝光的p2p借贷公司跑路事件为例,本来能够在一定程度上解决融资难问题的新制度,却蜕变为利用互联网实施非法集资的工具,其中的一个重要原因便是相关学术和研究机构在p2p制度推出时没能未雨绸缪,提出防患于未然的立法建议。
主席在2016年的“4・19”讲话中,敏锐地认识到学术与科研机构的重要性以及闭门造车、不接地气的固有短板,提出学术研究要与实践相结合。对此,教育部积极响应并于2016年11月出台政策,允许学术和研究人员在企业和事业单位兼职。广大学术与科研人员应当充分利用上述政策利好走出自己的科研小屋,深入到与“网络空间”密切相关的产业第一线,理论结合实践,为促进我国获得强大的“网络空间”能力献计献策。而相关部门则应构建人才旋转门和搭建人才桥梁,建立学术科研与职能部门、产业链无缝对接的有效机制,促使人才培养动态流转和人尽其才。具体而言,以大专院校和科研院所为主要构成的科研人员,可分批次、跨领域地选择到政府职能部门以及“网络空间”相关产业平台挂职,对政策制定和产业现状进行摸底,在确定实践中急需解决的问题后优先对其进行研究并提出应对之策。尤其在网络安全技术和网络立法这两大短板上,应当集中学术与科研机构的整体力量集中攻关,来解决长期困扰我国在“网络空间”领域受制于人的被动局面。此外,挂职人员还应在解决实际问题的基础上,就最新的网络空间技术和相关问题进行前瞻性研究,并在互联网产业平台企业上进行试验,将科学研究转换为把握“网络空间”主动权的生产力。需要强调的是,在深入第一线的挂职研究中,科研人员之间的相互交流尤其是跨领域的学术交流非常重要。以网络立法为例,如果研究人员不熟悉网络安全的基本原理,不追踪网络安全技术领域的最新动态,不了解网络生态下互联网企业运作的商业模式,不知晓由网络技术衍生的各种最新服务内容,就无法通过网络立法对新出现的网络安全问题制定及时有效的规范。为此,社科类科研人员应当向理工科类科研人员虚心求教,弥补因专业的不同而给挂职研究带来的局限。当挂职人员在挂职的企事业单位中展现出的才华有助于提高“网络空间”能力时,相p职能部门可通过“人才桥”制度,为学术科研人员在政、产、学、研领域按需流转提供便利。
五、结语
在面向信息社会的21世纪,中国开创性地提出构建“网络空间命运共同体”的战略构想,是实现中国从参与制定到把握“网络空间”安全治理规则话语权的重要体现。该构想在立足于中国国情的同时充分考虑到各国在“网络空间”的最大公约数,具有广泛的国际民意,呈现出中国作为一个负责任的大国所具有的智慧和担当。随着网络空间技术的不断进步,通过继续不断丰富和完善国际和国内两大层面的制度建设来实现“网络空间命运体”的构想,将完全有可能使中国在“网络空间”安全治理中进一步发挥其积极作用并逐渐占据主动。
〔参考文献〕
〔1〕Housewhite.CyberspacepolicyReview:assuringatrustedandResilientinformationandCommunicationsinfrastructure〔m〕.washingtonD.C.:USGovernmentprintingoffice,2009:iii.
〔2〕officeCabinet.CyberSecurityStrategyoftheUnitedKingdom:SafetySecurityandResilienceinCyberSpace〔m〕.norwich:theStationaryoffice,2009:7.
〔3〕CanadapublicSafety.CanadasCyberSecurityStrategy:ForaStrongerandmoreprospectiveCanada〔m〕.ottawa:GovernmentofCanadapublications,2010:2.
〔4〕情螗互ュリティ政策会h「サイバ`セキュリティ槁-世界を率先するzで活力あるサイバ`空gを目指して-,2013(6).
〔5〕王世伟.论信息安全、网络安全、网络空间安全〔J〕.中国图书馆学报,2015(3).
〔6〕Sanger,Davide.obamaorderSpedUpwaveofCyberattacksagainstiran〔n〕.newYorktimes,2012-06-01.
〔7〕クラ`ク.リチャ`ド、ロバ`ト.ネイク,北川知子.o村利哉U,世界サイバ`檎D核を超える{威えないが始まったD〔m〕.东京:蚤g店,2011:62.
〔8〕〔9〕tikkRingaseneken.DevelopmentintheFieldofinformationandtelecommunicationintheContextofinternationalSecurity:workoftheUnFirstCommittee1998-2012〔m〕.Geneva:iCt4peacepublishing,2012:6-7,7-8.
〔10〕UnGa,a/65/201.
〔11〕沈逸.全球网络空间治理原则之争与中国的战略选择〔J〕.外交评论,2015(2).
网络空间安全的理解篇3
网络安全已经进入大数据时代。数据相关的制度亟需建立,新旧制度的冲突,以及新型治理能力的缺乏,都将激化安全与风险问题。国内数据政策、国与国数据流动制度、全球数据规范等,以及当下中美网络安全冲突、银行审查制度风波和反恐法草案风波,本质上也是大数据制度的冲突。最近几年频频发生的数据泄露事件和中美冲突,都昭示着云环境下,大数据风险已经突破了单个公司的可控范畴,成为社会性风险和国际争端的新热点。数据安全、用户的体验以及行业发展,三者如何找到一个均衡点是在这个复杂数据环境下,面临的新挑战。国家层面,跨境数据流动的规则和制度将成为网络安全的制高点。
本文前两部分介绍“互联网+”时代下安全与分险的本质与内涵,第三部分以当前热度极高的“互联网+打车”的典型案例,具体分析“互联网+”时代的安全与风险及其应对。
一、“互联网+”安全与风险的本质
“互联网+”的文章和书籍已经汗牛充栋,但是,说得越多,人们可能更不清楚“互联网+”是什么。站在时代的角度,事实上“互联网+”就是人类社会经济和生活等各类活动从现实空间越来越转移到网络空间。也就是人类生活的主导性空间从有史以来的现实空间换挡到全新的网络空间。而“互联网+”行动就是我们各行各业向网络空间大转移,是将我们的主舞台从现实空间切换到网络空间。深刻理解网络空间既是我们完成“互联网+”的重中之重,也是理解新的安全与风险的关键。
所以说,“互联网+”浪潮是一个双轮驱动的过程。变革与风险是同一枚银币的两面。个人、企业、社会和政府,如何完成整个人类有史以来最壮观的大迁移?既最充分享受互联网文明带来的好处,也把由此带来的安全与风险降低到最低。最直观地说,在一个即将到来的10亿人(全球数十亿人)同时在线的新时代,在大家同处一个可以“所有人对所有人”大规模实时互动的时代,个人、企业、社会和政府等等各个层面的所有一切,都需要转变过去既定的“游戏规则”,与时俱进,也需要切实应对由于空间和游戏规则的改变所带来的安全与风险。
比如,我们的政府在现实空间中有着全球著名的领导力和行动力,创造了30多年的增长奇迹与政府能力密切相关,包括释放社会和市场能量的公共政策。但是,我们的政府在网络空间有着同样的领导力和行动力吗?答案是很尴尬的。所以,政府很需要“互联网+”,需要重塑网络空间的领导力。我们很多在现实空间取得非常成功的行业和企业,它们在网络空间也缺乏领导力和行动力。所以,从现实空间到网络空间的切换,不仅仅相当于主场的转换,而且是一场触及“灵魂”的自我变革和涅槃。
1.国家角度
从国家的角度看,“互联网+”是网络强国的一系列行动计划。网络强国理念,不是简单的一个国家的网络强,也不是一个国家的网络产业强,而是整个国家在网络空间,或者说网络时代的强大和繁荣。说的中国梦自然包括网络强国梦,实现这个梦想就需要一系列“互联网+”行动。这个行动涉及每一个个人、每一个企业、每一个机构和我们的政府。在网络空间主导的时代,中国如何在生产力、国防力、治理力和文化力方面,实现强国梦,对于中国人,尤其是国家机构必须时刻顶着的一根弦。
2.个人角度
个人是最活跃的主体,向网络空间的转移,通过智能手机、ipad和可穿戴设备,通过微博和微信,已经在如火如荼进行之中。尤其是儿童、青少年,他们已经全盘接受并习惯生活在网络空间。所以,个人的“互联网+”不需要政府来操心了。而我们的企业和政府本身,如何完成向网络空间转移,而且通过这场转移,变挑战为机遇,我们能够实现跨越式发展,走向强大,就是当下日夜操心的事情了。
3.政府角度
站在政府的角度,“互联网+”浪潮中政府份内的事情主要有三件。三件事情,角色不同,使命与责任不同。首先,作为客体的身份,在个人、企业和社会作为主体的“互联网+”行动中,做好服务,制定国家战略,完善顶层设计,建设相应的政策法律制度环境,尤其是完善基础设施,有效降低门槛和成本。其次,作为主体之一的身份,在“互联网+”治理中发挥重要作用。第三,作为几乎唯一的的主体,在“互联网+”国家安全中发挥主导性作用。后两者,需要再深入说说。
在市场能够发挥作用和社会能够发挥作用的领域,政府如何重新摆正位置,如何从传统的全知全能思维模式转变为甘于担当真正的公共服务的角色,这是政府在“互联网+”浪潮中需要学会的第一课,也是需要过的第一关。
二、“互联网+”安全与风险的内涵
“互联网+”治理最开阔、最长远的内涵就是网络空间主导时代的国家治理。由于网络空间的特殊性,“互联网+”治理有两大战场:一大是国内治理的战场,一大是国际治理的战场。国内和国外两个大局,都是极富挑战的。人类有史以来,熟悉的就是现实世界单一的生存空间,国家的治理也积累了无数的经验,形成了相当完整的系列规则。但是,在网络空间超越并主导现实空间的新时代,经验几乎是空白,规则严重欠缺。政府在网络空间的领导力远未建设起来,反而成为网络空间“失范”的重要根源之一。同时,“互联网+”治理不仅仅是互联网本身的治理,而是整个国家治理体系,都需要重整,都需要与时俱进。由于网络空间不像现实空间,边界清晰,而是一个全球性的虚拟空间,所以网络时代的国际治理迄今更是才初见雏形。所以,“互联网+”治理这篇大文章,亟待破题。
一个国家在网络空间主导时代如何确保安全,其复杂程度和新颖程度,都是前所未有的。
所以,“互联网+”不总是那么美好,更不是轻松的事情,挑战才刚刚开始。如果说,个人的“互联网+”过程将会顺理成章,一气呵成。那么,企业的“互联网+”过程付出惨重的学费,经历痛苦的新陈代谢,也必将完成。那么,时代最坚固、最沉重的政府的“互联网+”行动,可能是最大的挑战。而政府“互联网+”如果不正确,不顺利,除了影响个人与企业的“互联网+”,更严重的是影响与我们每一个人利害重大的治理与安全。所以,“互联网+”终究是与我们每一个人密切相关的大家共同的事业。“互联网+”下形成的真正“地球村”下,世界就是一个真正的命运共同体。
今天我们都走在“互联网+”的乡间小路上,走的人多了,也就有了路。安全与风险问题也是如此。让我们以打车软件为例,更真切地理解新的挑战到底有哪些?
三、“互联网+打车”的挑战与对策
1.“互联网+打车”挑战重重
互联网变革出租车行业,堪称第一个由“互联网+”而引发颠覆性变革的典型案例,也是第一个传统政府治理能力面临巨大挑战的案例。打车软件案例告诉我们,用“互联网+”变革与颠覆传统还不是第一难的事情,真正难的问题还是在于新模式下的安全与风险,具体而言包括:1.如何良性、不流血地消化被消灭的原有就业群体;2.如何保证社会治理能力及时跟进,用新手段确保消费者安全;3.如何驾驭新形式的社会动员能力?不致于影响社会稳定;4.如何建立新的数据跨境流动规范和制度体系能力,确保国家安全。可以说,每一个领域的“互联网+”,就相当于一场安全与风险的局部战场,都在拷问和倒逼政府新的国家治理能力。社会变革和新的治理能力之间的失衡,不妥善解决,就会逐渐积聚巨大的风险。
2.必须站在网络空间“新常态”环境下看待“互联网+打车”
首先,我们从出租车行业的变革案例透视一下“互联网+”的本质。“互联网+”众声喧哗却无人能真正说透、说清楚、说到根子里。有人说“互联网+”是一种能力,但又无法阐述得具体而明白。使得人们越来越感到“互联网+”就像练气功一般需特异功能,像绝世武功一样需要非凡的修炼。其实,所谓“互联网+”,应该是最普通人都可以理解的,也是可以实践的。那就是当中国很快进入到10亿人同时在线,全球进入到数十亿人同时在线的新时代,人类的各种经济、社会和政治活动,都开始从原先的现实空间全面转移到网络空间。这就需各行各业因势而动,换档一下空间,以适应新形势:网络空间的信息流、资金流,主导现实空间的物流、人流,成为新常态。尤其是,在网络空间,我们可以高效率地配置原本冗余的碎片化时间、碎片化智力和碎片化资源,使得社会资源配置发生了革命性的变化。这种趋势下,我们必须跟上或者有前瞻性地调整关系、流程与模式,固守传统模式将成为死局。
就像多少年来,出租车行业就是老老实实地运行在现实空间之中,很原始、很自然也很安逸。但是进入移动互联网时代,通过手机定位和打车软件,整个业态突然发生了颠覆性的变革。基于网络空间的信息流和资金流,快速地重组和高效地配置了人流和车流,使得人们出行的便利性和经济性,获得突破性提升。正在进行的出租车行业的“互联网+”浪潮,其好处是勿容置疑的。对于环境污染的贡献,对于车辆等社会资源的优化配置,尤其对于人们出行便利的提升,都是非互联网手段难以实现,或者难以企及的。但是,如此美好的这场变革真的就能顺风顺水,一气呵成吗?答案当然是否定的。到今天,打车软件重新塑造的出租车行业新模式和新业态比较清晰,但是行业变革以及新制度的建立却远非如此简单。
3.“互联网+打车”涉及的三个层次安全问题与对策
“互联网+专车”是当下最新最热的“互联网+”话题。再让我们透视一下目前新形势下的安全老问题。正常时候的好处与非常时候的风险,是一枚硬币的两面。打车软件塑造的新业态下,最突出的就是安全问题。安全问题可以分为三个层次:消费者个人安全问题,社会安全问题和国家安全问题。
首先,个人安全问题。打车软件最直观的变革是打车方便多了。打车难,等车烦的问题,有了非常便利的解决办法。这是巨大社会资源的再利用。但是,这种开放性的资源利用也伴随着新的安全防范问题。打车软件造成的安全问题在全球时有发生,一经媒体放大,就有点惊悚。道高一尺,魔高一丈,当下的诸多措施可以防君子,难以有效防止犯罪分子乘虚而入。这个问题的根源不在于商业模式本身,而是我们整个网络社会治理能力的不足。尤其是网络空间背景下基于实时动态大数据的犯罪防范手段和能力的缺失。在社会治理完成“互联网+”的全面提升之前,这个潜在的威胁很难得到妥善的消除。
其次,社会安全问题。打车软件对于整个社会资源的组织,蕴含着全新的社会动员能力。在打车软件的新时代,备受冲击的传统出租车司机群体如何顺利完成就业的转型,能够不出恶性事件而平安软着陆,目前还是一个问号。更大的挑战是,对于去中心、去层级和去封闭式管理的新的打车行业生态,如何有效驾驭新行业的潜在能力,如何建立起保证良好秩序的社会管理制度。对于相关政府部门,这个挑战很大。
网络空间安全的理解篇4
关键词:赛博空间;Cybernode;全域安全到达;全域安全控制;全域安全感知
1概述
在新世纪世界新军事变革的影响下,以美国为世界各军事强国日益重视和发展赛博空间(Cyberspace)的背景下。2009年5月,美国总统奥巴马在白宫公开发表“确保国家赛博空间安全”的讲话,宣布赛博空间安全是美国的最高国策,并认为现在是关键的历史转型时刻,美国需要建立全新的、全面的保卫赛博空间的战略。奥巴马的讲话表明了现阶段美国对信息技术的战略谋划,在全世界引起了广泛的关注。实际早在上世纪90年代初美军就提出了赛博(Cyber)战的概念,2005年美空军将其作战任务范围扩展为“空中、空间和赛博空间”,并于2006年11月成立了空军赛博司令部。
赛博空间是一个极度分散的区域,特点是日益增加的全球联接、无所不在和机动性。通过赛博空间,可以以较低成本,迅速对兵力进行部署及远程控制。美国国防部定义赛博空间为作战中“以使用电子和电磁频谱来存储、修改,以及通过网络系统和一体化物理基础设施交换数据为特征的领域”。国家安全不可避免地同赛博空间领域紧密联系,因而冲突不再局限于地理或时间限制。美国国防部认为赛博空间是一个类似于领陆、领海、领空和大气空间一样的全球领域,美国的军队必须可以在这一领域内畅通无阻地展开军事行动,并且有能力制止敌对方有效地利用这种赛博空间能力。
从军事角度看,赛博空间涉及到网络战、信息战、电子战、空间战、指挥控制战、C4iSR等领域,是超越了传统陆、海、空、天四维作战空间的第五维作战空间;从作战和指挥控制的角度看,对赛博空间的有效控制能提高精确交战、态势感知等能力。
2国外研究现状
美国是世界上最早提出赛博空间、赛博作战等概念的国家,也是投入最大、研究体系性最强、成果最多的国家。2000年,美国国防部官员理查德・克拉克就在“网络战争”一书中提出了“数字珍珠港”的概念。美国前国际网络影响部门主任斯格特・伯格认为,大多数国家能顶住持续2~3天的大规模网络攻击。但是,如果部分关键性基础设施被瘫痪达8~10天之久,那么由此造成的社会经济损失足可将一国拖垮。尤其令美国政府担心的是国防部内部的问题。美国防部在全球88个国家和地区的4000多个军事基地内就拥有超过15000个电脑网络。随着计算机网络在军事领域应用的普及,网络系统为武器装备和指挥控制系统的功能和性能提升提供了强大的技术和信息资源,已经成为提升军队作战能力的“倍增器”,最为熟知的是“网络中心战”和“联合作战”。如同制海权、制空权、制天权一样,争夺赛博空间控制权已逐渐演变成为美军维持军事霸权的重要组成部分。美军方重要智库兰德公司也指出,工业时代的战略战是核战争,信息时代的战略战主要是网络战。因此,这种新的作战模式以“意志”臣服对手,可能改变以往以“武力”臣服对手的战争模式。
目前,美国对于赛博空间认识和研究现状如下:
(1)将赛博空间安全作为美国的最高国策。2003年美国政府就提出了“保护赛博空间的国家战略”;2009年5月美国总统办公室正式了有关赛博空间安全的政策评述报告,报告称:来自赛博空间的威胁已经成为美国面临的最严重的经济和军事威胁之一,并且美国21世纪的经济繁荣取决于赛博空间安全。
(2)明确了赛博司令部的使命,并从赛博空间特性角度对美国空军传统的“三大能力”提出了新的要求,包括:①全球警戒:感知、传递;②全球到达:连接、传输;③全球作战:威慑、打击,从而为该司令部尽早实现全面作战能力的要求确定了努力方向。
(3)提出了实现赛博空间作战能力的主要手段:①建立赛博空间:实现全球范围赛博空间作战能力、网络与安全作战的指挥控制以及赛博空间民用设施保障;②利用赛博空间:利用己方的电磁频谱作战,并阻止敌方利用赛博空间,实现赛博空间作战能力与陆、海、空、天作战同步化和一体化;③控制赛博空间:赛博空间防御作战与赛博空间进攻对抗。
(4)组建了赛博空间作战部队和司令部。2009年6月23日,美国国防部正式宣布成立赛博战司令部,以统一协调保障美军赛博安全和开展赛博战等军事行动,应对日益严重的赛博安全威胁。据估计,美军赛博战部队人数大约在8.8万名左右。
(5)研制了赛博战武器装备及Suter系统等。在软攻击方面,美军已经研制出2000多种计算机病毒武器,如“逻辑炸弹”和“陷阱门”等;硬件方面,美国正在研究或已开发能对别国网络的物理载体进行攻击的电磁脉冲弹、次声波武器、动能拦截弹和高功率微波武器等装备和系统,其中包括Suter机载系统,它将传统电子战的“侦察-干扰-物理摧毁”过程改变为“侦察-处理-网络入侵-控制”过程,通过无线注入等方式侵入并操纵敌方网络传感器,使得敌方丧失空战预警能力。
(6)突破了多项关键技术,包括:病毒植入、病毒同化、计算机网络系统嗅探、服务否认、信息篡改、中途窃取和欺骗、嗜食集成电路芯片的微生物,以及破坏电路的微米/纳米机器人等。
(7)进行了多次演习并拟建设赛博空间靶场。美军于2006年和2008年先后举行了两次代号为“CYBeRStoRm”的大规模网络战演习;并从2001年1月起,先后开展了5次Schriever系列作战演习。除美国之外,俄罗斯、英国、德国、印度、韩同等其他国家也积极开展赛博空间或Cyber作战方面的研究和部署。如俄罗斯将Cyber战称为“第六代战争”;英国颁布了首个国家赛博安全战略;德国国防军组建了6000人的赛博战部队;韩国组建赛博战司令部等。
3赛博网络空间的设计难点
3.1赛博空间网络体系构架研究与设计
定义赛博空间网络的总体设计原则,研究和设计赛博空间网络体系构架等都是赛博网络空间的设计难点:
(1)赛博空间的开放网络基础构架设计。
与现有网络不同的是,赛博空间网络是为彼此相连的网络而不是彼此相连的节点提供各种网络服务,例如对于QoS或者媒体传送的支持。这样的观点主要是由于现有的以节点为中心的网络设计思路对于许多应用场景而言是不适用的,例如将个域网或传感器网络与其他网络相连时。在赛博空间网络中将假定通信的一端为某个网络,因此,用“Cybernode”来取代终端节点这一说法。在赛博空间网络当中定义了一组支持功能来满足终端需求。对于终端环境而言,各种功能得到了最大程度的分解,并在控制功能之间建立了端到端的关系。存在的挑战在于,如何提供合适的机制来支持这样的关系。
(2)基于网络合成和自我管理赛博空间网络构架设计。
在赛博空间网络的研究当中将网络的自动合成和自动重新配置作为指导性的设计原则,从而能够将网络合成和自我管理功能作为网络架构的基本逻辑构件。这其中也包括跨越不同实体的网络的合成以及对于基于策略的网络结构的广泛支持。现有的各种网络在提供基本的传输能力(分组转发)方面具有高度的一致性,然而网络的控制功能却分散在多个层面,并且因其所采用的网络技术、通信策略甚至是具体的实现方式的不同而不同。对于赛博空间网络而言,需要对协议层面和信息层面在逻辑上进行分离,而且对于赛博空间网络的各个部分都互相兼容。
(3)赛博空间网络的可扩展性研究
不同的传统网络在内部结构和用户接口上均存在着差异,因而限制了网络结构的可递归性和可扩展性。在赛博空间网络中并不会出现这样的区别,该网络结构的设计原则之一就是可以允许网络之间不必始终保持相连状态,特别是对于诸如个域网在内的小型网络而言,它们常常与具有合成关系的其他网络断开,此时,应确保这些网络仍然能够正常地工作。
3.2赛博空间网络安全防护体系研究与设计
赛博空间安全体系结构面临着安全性、终端设备与无线网络的异构性等系列矛盾,尤其是赛博空间与其他现有网络融合的安全要求,迫切需要对赛博空间安全体系结构进行深入研究和设计,以满足未来赛博空间发展的安全需要。笔者所在的项目组对此的研究分两个方面,一是从赛博空间安全管理的角度,设计一种基于管理的赛博空间安全体系结构。该体系结构是由三层管理体系构成,分别是移动终端安全平台、集成化的赛博空间接入管理平台和赛博空间安全管理平台。该结构从接入点的角度,基于安全中间件的思想,设计赛博空间异构性安全与差异性安全的解决方案;另一方面是从Cybernode的角度设计自适应的终端继承安全认证体系结构方案,并通过软件系统的实现,验证集成安全方案的可行性。
4目前已取得的突破
笔者所在的项目组近十年来一直在从事信息安全、无线传感网构架相关方法与技术研究,在多层次无线传感网构架、软件体系结构、安全管理系统体系等方面开展了大量工作。而依托南京理工大学模式识别与智能系统国家重点学科和无锡特种传感网应用技术研发中心的实验环境,项目组对于赛博空间网络构架、安全体系及关键技术研究等方面开展了研制工作,并取得了以下一些突破。
(1)赛博空间协议模型设计。赛博空间协议模型是设计网络系统的分层次的框架,它使得所有类型的Cybernode可以通信,保证全域感知、全域到达、全域控制能力的实现。
(2)层间的接口和各层组织。定义清楚的接口和层功能使得网络可以模块化。只要一个层向它的上层提供了预期的服务,则这个层的功能的特定实现就能够被修改或替换,而不需要对其他的一些层进行改动。
(3)全域安全感知。赛博空间由通过无线/有限直接接入转向混合多源多跳接入,导致相应的安全需求和安全防护体系结构都要做出相应的变化。本项目从安全需求和安全防护体系的演化两个方面进行讨论,给出赛博空间安全体系的框架设计研究思路。
(4)全域安全到达。赛博空间的异构性和安全性是赛博空间面临的难题,本项目从赛博空间的安全需求出发,提出一个赛博空间抽象层面的安全体系结构,通过安全引擎和移动安全中间件技术,解决移动终端的异构性与安全性的难题,给出赛博空间环境下终端安全的自修复框架。该体系结合风险管理技术,集成多种不同的安全技术和安全层次,实现赛博空间环境下的有效防护,实现安全管理的自动化与智能化。
(5)全域安全控制。目前,赛博空间尚未形成统一的安全技术体制,用户不能自适应地实现各种网络的接入认证,这就导致了网络安全管理配置复杂,使用不方便和重复投资等问题。现有安全技术体制各有其特点和优势,对于所有网络强制实行统一的安全技术体制而不区分服务与应用的解决方案是不现实的。为了有效解决用户自适应接入的各种问题,本项目组从接入端出发,提出一个赛博空间集成安全接入体系结构方案,并对部分关键技术进行分析与原型实现。
参考文献
[1]JoSepHHSCHeRReR,wiLLiam.CGRUnD.aCyberspaceCommandandControlmodel[m].airUniversitypress,2009.
[2]CHaLRSCLUm.CyberspacepolicyReview:assuringatrustedandResilientinformationandCommunicationsinfrastructure[eB/oL].[2010-12-19].aupress.au.a.fmi.l.
[3]KaRmaGaBRieLLe.CyberVisionandCyberForceDevelopment[eB/oL].[2010-10-02].research.au.a.fmi.l.
[4]李敏勇,张建昌.新指挥控制原理[J].情报指挥控制系统与仿真技术,2004,26(1):1-10.
网络空间安全的理解篇5
关键词互联网;法治;自由;自律;规制
中图分类号G206文献标识码a
法律是规范一切社会关系的根本手段,网络社会的管理亦需法治。通过法律手段划出权利和义务的边界,方可使互联网具有长期的稳定性。西方各国政府视法律为网络空间中各类安全问题管理最根本的、最重要的手段。美国因网络立法最早、互联网法律数量最多而成为互联网治理的全球典范。英国、德国、澳大利亚等发达国家也成立了专门机构,积极构筑网络健康运行的法律屏障。
一、互联网法治的缘起:概念及其萌芽
(一)互联网法治概念的内涵和外延
广义的互联网法治概念是指一种治网的方略,它强调法律作为一种治理工具在网络社会关系调控中的权威地位,通过法律治理制度和原则的实现形成理想的网络状态。从概念外延上讲,它强调“法律救济”“保障网络主体参与者的权力”“遵守契约”的价值和精神。
狭义的互联网法治概念是指通过执法机构所承担的角色制定一系列针对性强、具有可操作性的政策法律,对互联网上存在的各类违法行为如网络犯罪进行防范和控制,以保证网络秩序的正常运行。从概念的内涵上讲,互联网法治强调“以法治网”“依法办网”“依法管网”的治理方式、制度及其运行机制。在本文中,笔者所展开的探讨是立足于互联网法治的狭义概念之上。
(二)互联网法治的萌芽
早在上个世纪40年代,许多人还不知互联网为何物时,美国的知名学者温.H.萨瑟兰就开始研究利用才智和现代技术工具实施的犯罪,但是并没有引起各界的注意。到了40年代末期,计算机违法操作的行为衍生并不断蔓延。1966年,美国发生了篡改银行计算机数据事件,这是世界首例通过电脑进行犯罪的案件,震惊全球,人们开始认识到萨瑟兰研究的前瞻性与重要性。各界高度关注利用信息技术危害社会的现象,一个全新的概念“computercrime”也由此诞生,唐-B.帕克、大卫・卡特、汉斯・约阿希姆・施耐德、Sieber等学者从不同的角度对该概念进行过阐释,建议政府立法打击危害计算机安全的行为。从七十年代起,西方国家开始制定保护数据资料隐私的法律,如德国的《黑森数据保护法》(1970)、瑞典的《数据法》(1973)、美国的《联邦计算机系统保护法》(1977)等等。对计算机犯罪问题的立法奠定了互联网法治化的基础,到了八九十年代互联网兴起,西方各国政府便开始了对网络世界立规建制的行动,西方社会成为互联网法治理念萌芽并进行实践开创之地。目前,美国以130多项法案在数量上居世界之首,构成了在各个国家中显得较为成熟的信息安全法律体系。
二、西方国家互联网法治的迷失
欧美国家网络空间法治化的推进并不是一蹴而就的,他们的网络治理之路经历了一个充满争论的发展过程,争辩的焦点主要集中以下几个方面。
(一)自由与秩序的博弈――互联网是否需要治理
早期的网络社会理论家崇尚无限制的网络自由主义,他们认为网络空间的天生能力就是抵制规制,这是其本质使然。JohnperryBarlow是其中最为激进的网络空间自由论者,他经常撰文讨论社会虚拟化问题,鼓吹网络是可以促进民主与自由的力量。让Barlow声名鹊起的是其代表作《DeclarationoftheindependenceofCyberspace》,这篇文章于1996年在瑞士达沃斯论坛上发表,很快传遍了整个互联网。文中把政府比作是“令人生厌的铁血巨人”,而网络空间则是没有特权与偏见的“崭新的心灵家园”,“在那里,任何人,在任何地方,都可以表达他们的信仰而不用担心被强迫保持沉默或一致,不论他的信仰是多么的奇特。”Barlow的文章极其煽情,在他的描述之下,人们似乎看到了一个由技术革命所带来的前所未有的广阔空间,它“造就了现实空间绝对不允许的一种社会一一自由而不混乱,有管理而无政府,有共识而无特权。”巴洛对网络自由信条的推广得到了许多人的响应,著名学者约翰・诺顿也表示:“计算机世界是我所知道的惟一真正把机会均等作为当代规则的一个空间。”Barlow还创立了非营利的电子边界基金会,这个专门保卫网络自由的组织吸引到大批自由战士的加入,巩固了网络自由主义者阵营。
网络自由主义观点的形成与早期互联网发展的特点有关系,在网络研究的初期阶段,由于对技术带来的负面影响估计不足,也缺少对网络社会的本质进行思考,很多研究者们容易也乐意看到的网络空间平等、开放、自由、共享等特征,如以比尔・盖茨、尼葛洛庞帝为代表的技术乐观主义者就对未来的“数字蓝图”充满美好的设想,他们在《数字化生存》《未来之路》等作品中描述了信息高速公路上无数的“闪闪发亮的、快乐的比特”。但是,互联网的后期发展却远远脱离了研究者们当初的预期,网络空间并不是真空地带,信息成为更多人手中的新型武器,对社会的主导价值观和行为规范形成了冲击。一些学者们如埃瑟・戴森、丹・希勒认为互联网与现实社会是不可分割的部分,前者是后者的折射与延伸。D.克拉克一针见血指出网络的本质:“把网络看成是电脑之间的连接是不对的。相反,网络把使用电脑的人连接起来了。互联网的最大成功不在于技术层面,而在于对人的影响。”因此,互联网不是脱离真实世界之外而建构的全新空间,网络空间中的“放权是制造不稳定的一股深刻力量”。正如英国的哈耶克所认为,自由的社会就是人的行为受到规则调整的社会,秩序作为为权利提供基础的权力,与自由同样具有极其重要的价值,人们开始反思网络世界中“我们之所以享有自由,实是因我们对自由的约束所致”,网络的存在可能隐喻一种新的社会秩序。斯坦福大学法学教授劳伦斯・莱斯格在1999年出版了著作《代码:塑造网络空间的法律》,提出网络空间是可以通过代码规制,代码即建构互联网的程序和协议就是网络空间的法律,代码可以限制自由,或者使自由成为可能。该书震动了学界和业界,唤起民众重新审视互联网时代的规则。
(二)自律与制度的争锋――政府是否该介入网络空间的治理
在人们开始关注互联网治理的时候,美国有不少学者如JoelReidenberg、Hardy等以“网络联邦”“分散管理”“市场自治”等语言表达网络空间的治理应该依靠自律而不是法律。RhodesRaw.就主张:“政府不必介入治理过程,人们完全有能力在不依靠政府权威的情况下以自身的力量来做好事情”。tCp/ip协议和互联网架构的设计者VintonG.Cerf也表示,政府必须要改变传统的理解与看法,没有必要介入互联网的管理。这些专家的观点得到了早期部分网络用户的支持,用户们害怕法律的引进会破坏网络空间平等、开放的环境,失去网络的本来意义,从而赞同网络自治的立场。这种共识的达成归因于早期的网络主要为少数精英所使用,用户基本能做到自我规范和管理,网络失范行为较少发生,造成他们对法律参与调整网络空间的认同度较低。
在互联网发展的初期,自律的确在空间治理中发挥了重要的作用。然而随着科技的快速发展,互联网在短时间内覆盖了全球,地球村的预言成为现实。网络面临的各种环境已经今非昔比,英国的尼尔-巴雷特清晰地描述了这种变化:“全球性的因特网连接时的病毒、破坏和黑客软件到处可见;因特网同样使在自己舒适的房间里对选定的目标发动攻击,安全隐蔽在数字化名下”。斯劳卡表达了对变化中的网络社会的忧虑:“当真实世界用各种检查制度和权衡措施把住邪恶之门时,人性中的所有恶魔,却在极短时间内跳到赛伯空间里重新开张营业”。自律机制所产生的道德评判难以对网络领域存在的各种威胁产生约束作用,自律并不能全部承担起维持良好秩序的作用。互联网造成的负面影响及带来的社会问题日益严重,威胁到了国家安全与世界发展。尤其在“9.11”“.com”泡沫破灭以后,网络伦理自治者的乌托邦梦想最终在不争的事实面前破灭,客观的形势迫使人们不得不思考制度在网络空间的定位与意义。以盖伊・彼得斯为代表的学者认为政府对网络治理有着决定性的影响,他们强调如果没有政府权威的存在,网络空间就会没有制度的约束,产生“搭便车”倾向。凯斯・桑斯坦提出网络自由会产生群体极化效应,将可能导致社会分裂,“在这种情况下,政府介入以提供一个多元的环境具有合法性和必要性”。特德-盖布勒和戴维・奥斯本在《改革政府》中还提出了“有预见的政府”的概念,认为政府应该在网络行为失范方面要建立起“预防而不是治疗”的治理范式。越来越多的学者表示政府在网络空间中是不能缺席的,这类观点代表了第二代互联网人的普遍看法,并因“9.11”等事件的发生得到进一步强化。1997年,美国展开了一项关于对互联网规制的调研,结果显示几乎所有的美国互联网用户都赞同政府管制对网络社会秩序建立的重要意义,主张政府的适度管理。
(三)原子与比特的冲突――现实世界的法律是否适合互联网治理
尽管互联网是现实社会的延伸,然而能在网络开展并实现的社会行为都是与数字信息相关,使现实社会对其进行监管和治理遇到了前所未有的挑战。这种挑战一方面体现在现有的法律无法规范新的网络问题。在瞬息万变的网络空间中,管理试图跟上技术迅猛发展的步伐,结果总是技术一路领先,旧冲突尚未解决,新现象、新矛盾又在治理过程中出现。在互联网这种典型的技术推动型治理模式中,法律表现出的不稳定性与滞后性是显而易见的,美国的VanGraafeiland对此现象有个形象的比喻,他认为对互联网立法就像试图登上行进中的公共汽车;另一方面,互联网特有的地理空间特性造成了部分法律应用的障碍。例如,网络的时空压缩造成的物理边界缺失致使法律适用主体的不明确,网络纠纷当事人身份的确定成为网络诉讼的难点;网络领域公私界限的模糊致使过度干预与管制不足冲突并存,被侵权人的权力无法得到有效保护;此外,网络的无纸化与即时性也导致侵权的证据也很难保留等难题,有关互联网的法律应用常常遭遇尴尬处境。这些问题似乎应证了尼葛洛庞帝曾经的论述:“大多数法律都是为了原子世界,而不比特的世界而制定的……电脑空间的法律是世界性的……要处理电脑法律谈何容易。”
2004年,联合国前秘书长Kofiannan在互联网全球治理论坛上坚定表示互联网必须治理,“但这并不意味着我们需要按照传统的方式,毕竟互联网的世界是如此不同”。Kofiannan号召用“与其缔造者一样的创造精神”来管理、促进和保护互联网健康发展,这为互联网监管问题提供了一个新思路。Kofiannan的发言表明了沿用传统的规则约束比特世界是不合适的,网络立法需要有新的思路。因此,互联网是可以利用法律进行管理,然而重点在于,立法者应当在一个全新的框架内进行网络管理规划,在创制网络法律法规时,需要对网络的优势、缺陷进行深入的调研,并且他们要具备一定的预见性与前瞻性。美国的网络法律问题专家就认为现实生活中的法律同样适用于网络世界,立法不但要确定否定式的消极性法律后果以制裁网络不法行为,还应当考虑确定肯定式的积极性法律后果,避免束缚信息网络的发展,这种认识正是基于他们超越一般传媒的层面进行研究而得出。
三、互联网法治的共识达成与现实发展
(一)互联网法治在国际上的推动
互联网的法治理念经过一段充满争议的发展过程(尽管现在依然有余议),如今基本为多国所重视,也为国际所认可。2000年5月,美、英、德、意、法等8个国家在巴黎举办了世界上第一个专门针对网络犯罪的研讨会,发达国家已经把网络犯罪问题放到国际治理的位置;2001年11月,欧盟在匈牙利布达佩斯通过了多边协定《theConventiononCybercrimeoftheCouncilofeurope》,30个成员国共同缔造了世界上第一个针对计算机系统、网络或数据犯罪的国际公约;同年12月,联合国决定举办worldSummitontheinformationSociety(wSiS),以两阶段的方式分别召开。峰会的成果显著,包括建立了联合国互联网治理工作组、首次界定网络治理的定义:“政府、私营部门和民间团体根据各自的作用,制定和实施旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案”。峰会特别指出政府代表了国家和社会的利益,应当在互联网的用户行为规范、规则制定、争端解决等管理中发挥主导作用。此后,联合国多次召开了互联网治理论坛(iGF),就网络治理的改革与发展问题提供进一步磋商的平台。联合国编写的《网络犯罪问题综合研究报告》也被认为是打击网络犯罪的多边法律文书,取得广泛共识。在权威组织的推动下,互联网法治理念在国际上得以确立并且普及开来。
(二)互联网法治在西方国家的普遍实践
作为网络技术的发源地,美国在探索互联网的治理模式方面一直走在世界前列。美国的网络立法有不少具有开创性,如《数字签名法》(1995)是世界上第一部规范电子商务运行的法律文件;《同意计算机信息交易法》(1997)是世界上第一部调整直接电子商务的法律;《2003年控制未经请求的侵犯性色情和营销法》对于规制垃圾邮件具有重要的开拓性意义……数十年来,美国国会及政府各部门已经制定或者修改了多达百余种与网络相关的法律,囊括了数据保护、版权保护、未成年人保护、反欺诈滥用、网络恐怖主义等方方面面。为了在实践中推进互联网法规的实施,美国还设有专职机构,从20世纪90年代起组建了国家电脑犯罪调查小组、电脑案件应急处理小组、信息基础设施工作机构(iitF)等部门行使处理智能犯罪案件投诉、监控信息网络的建立与实施等职能。到了2009年,政府已经建立了包括全球网络行动中心、网络空间安全威胁行动中心、国防网络犯罪中心在内的六大维护网络安全的信息保障组织,并在同年年底成立了全国通信与网络安全控制联合协调中心,对这些专职机构进行整合管理;2010年,美国网络司令部全面运作,在全球范围内打击网络攻击。互联网宏观层面的整体规范及微观层面的具体规定在这些机构的作用下,均得到了落实。
在欧洲,欧盟也制定了一系列的网络法令,规定互联网社会的行为必须在刑法和民法框架内。如《欧洲系列条约第108号条约:有关个人数据自动化处理之个人保护公约(斯特拉斯堡,28.1.1981)》《因特网有害和违法信息通讯》《在新的电子信息服务环境中保护未成年人的尊严》绿皮书、《电子签名指令》《电子商务指令》等法律文件涉及到个人隐私权保护、电子商务发展等多个方面。欧盟先后还成立了“欧洲网络与信息安全局”“网络犯罪中心”等组织,加强打击网上违法活动。欧盟的互联网立法措施为成员国立法提供了明确的路径,在网络治理机构方面,德国就成立了“国家网络防卫中心”、英国也设立了“网络安全办公室”及澳大利亚组建了“高科技犯罪中心”等来维护网络秩序。此外,欧洲不少国家拥有各自典型的网络管理法规,如英国政府的《R3Safety-net》(世界上第一个网络监管行业法规),它重点强调了网络供应商的职责分工;法国的《网络知识产权法》(世界上最严厉的互联网法案),为管理网络侵权的专门机构HaDopi提供法律依据;德国针对网络规制而推出的专门立法的代表有《信息与通讯服务法》《青少年媒介保护国家条约》,前者是全球第一部管制网络媒体的成文法,后者重点规定了互联网内容分级制度以保护青少年安全用网。这些国家对互联网的内容传播已经有了一定的掌控能力,使网络空间逐步从失范走向规范之路。
(三)西方国家互联网法治重点的转变:从保护关键性信息基础设施到强调全球网络空间安全战略
美国政府早期的网络措施侧重于保护关键性信息基础设施免遭攻击,设立了关键基础设施委员会,从1984年以来已经颁布了如《仿造信息存取手段及计算机欺诈与滥用法》《信息技术管理改革法》《国家信息基础设施保护法》《计算机安全法》等多个法案。随着技术的发展,互联网的应用环境发生巨变,网络已经全面渗透到社会生活的各个方面。美国的互联网立法开始超越“技术政策”的层面,强调网络信息、网络空间的安全。1998年美国颁布的《数字千年版权法》加强网络盗版的惩罚力度、保护版权拥有者和网络服务商,《儿童网上隐私保护法》则侧重避免负面媒介信息对儿童这一特殊群体的侵害;2000年,《全球时代的国家安全战略》首次将“网络安全”的地位升级到了国家安全的战略高度;2002年,美国国会通过了《联邦信息安全管理》,清晰地规定了政府部门的各类信息安全问题;2003年,布什政府签署了《网络空间国家安全战略》,网络安全战略首次以专题文件的形式出台;2011年,奥巴马政府又出台《网络空间国际战略》,第一次把互联网政策与外交政策结合起来,提倡各国共同应对网络威胁。奥巴马在序言中指出,该战略是美国第一次与国际伙伴围绕互联网的各类问题制定统一的解决方案。
与美国一样,西方的其他发达国家早期也偏重于在技术层面应对网络中的各种问题,确保本国关键信息基础设施的可控性,如英国的《计算机滥用法》就是代表。“9-11事件”以后,网络空间安全问题被各国普遍重视,欧盟的网络立法开始高度重视信息安全领域,颁布了《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》《关于电子通信领域个人数据处理和隐私保护的指令》《信息公路上的个人数据收集、处理过程中个人权利保护指南》等重要文件。2013年的美国“棱镜门”事件加剧了国际网络安全的严峻形势,欧盟网络安全立法的步伐再次提速,在同年出台了《欧盟网络空间战略》《工业控制系统网络安全白皮书》,成立了“欧洲网络安全组织”,并且宣称将加强与世界各国在网络安全上的合作;其他的欧洲国家也在加快推进网络空间安全建设,如法国在2013年的新版《国防与国家安全白皮书》指出网络攻击已经对欧洲安全构成头等威胁,国家在未来5年的工作重点之一就是要加强网络空间攻防能力建设。澳大利亚、英国、德国在2013年都成立了网络安全部门:澳大利亚的国家网络安全中心、英国的全球网络安全中心、德国联邦情报局的网络安全机构,以强化网络空间防御能力。此外,这些国家都表示要加强双边国际合作,如澳大利亚和日本、美国、新西兰等已经签署了信息安全协议、英国与新西兰、印度、日本也签署了网络安全协议。
网络空间治理的国际合作趋势越来越明显,即便是网络管理较为成熟的美国政府也开始寻求其他国家的协作。如今,网络空间的虚实,以及是否需要新的法律来控制它,已不再是人们现在讨论的问题,发达国家的注意力越来越聚焦于“如何加强全球网络安全治理、营造健康网络生态环境”。四、结语
总体来看,互联网承载的现实利益越大,其就越不可避免地成为各类网络犯罪肆虐的灰色区域。电子盗窃、隐私侵犯、网络色情、在线间谍、恐怖主义等网络安全威胁均涉及到法律,它们无法通过市场机制以及行为自律等软性手段来对付,最终还是要靠互联网立法监管体系自身的完善来解决。《环球日报》曾发文说“没有法律的管理,互联网永远是江湖”。
网络空间安全的理解篇6
近几年,网络空间逐渐被视为继陆、海、空、天之后的“第五空间”,成为国际社会关注的焦点和热点。水能载舟,亦能覆舟。网络在方便和丰富人们生活的同时,使得网络攻击活动有机可乘。世界各国纷纷将网络安全提升到国家战略高度予以重视,我国也不例外。
中央网络安全和信息化领导小组的成立恰逢其时,在第一次会议上发表了重要讲话,指出“没有网络安全就没有国家安全”,彰显出我国加强网络安全保障的决心。网络安全问题虽是老生常谈,但任重道远,我们只有把握现状、认清形势,才能做到有的放矢。
一、网络安全问题:人类共同面临的挑战
1、面临的挑战
美国前总统克林顿在签发《保护信息系统国家计划》的总统咨文中陈述道:“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新的代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。
对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。”
在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2003年,CSi/FBi调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。
因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。
更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
2、问题产生的原因
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:
1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
二、发展现状:问题日益突出
回顾过去的2013年,我国网络安全的发展情况可为喜忧参半,在网络安全政策、产业、技术等方面取得较大进展的同时,各类网络攻击、信息泄密、网络谣言等网络安全事件频发,给社会和经济发展带来了前所未有的安全隐患。
1、安全隐患前所未有
一方面,国家对网络安全的重视程度日益提高,网络安全投入大幅增加,政策环境得到明显改善;等级保护工作全面推进,测评认证工作取得较大进展,涉密信息系统分级保护快速发展,法律法规体系和标准化体系不断完善,网络安全基础保障工作得到显著加强;
产业规模快速增长,企业实力进一步壮大,自主产品市场份额逐步增多,网络安全产业支撑能力得到大幅提升;
安全操作系统、安全芯片等基础技术取得一定进展,自主密码技术取得较大突破,安全认证技术、可信计算技术取得丰硕成果,网络安全技术体系得到不断完善;
政府间网络交流取得积极进展,标准化工作逐步融入国际体系,个别有实力的信息安全企业向国际市场进军,网络安全领域国际合作迈出实质性步伐。
另一方面,成龙慈善基金会网站遭受黑客攻击、.Cn域名受大规模拒绝服务攻击、BtCChina遭遇数百G级的DDoS攻击等各类网络攻击层出不穷;中国人寿80万页保单泄露、如家和汉庭等多家商业酒店用户信息泄露、圆通速递快件面单信息倒卖等信息泄露事件已成家常便饭;
网络推手“秦火火”和“立二拆四”在“7.23”动车事故之后编造中国政府花2亿元天价赔偿外籍旅客的谣言、陕西天然气涨价谣言、延安暴雨冲毁列车轨道200多人死亡的谣言等网络舆论日益猖獗;“套餐窃贼”窃取70万用户信息、“支付鬼手”木马侵害手机支付安全、三星GalaxyS4出现高危短信欺诈漏洞、新型诈骗短信威胁移动安全、百度云盘手机版高危漏洞等新技术应用安全让人眼花缭乱。
2、问题突出形势严峻
目前,我国网络安全问题日益突出的主要标志是:
a)计算机系统遭受病毒感染和破坏的情况相当严重。
据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
b)电脑黑客活动已形成重要威胁。
网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
c)信息基础设施面临网络安全的挑战。
面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个ip地址发起的恶意攻击。
d)网络政治颠覆活动频繁。
近年来,国内外反动势力利用互联网组党结社,进行针对我国党和政府的非法组织和串联活动,猖獗频繁,屡禁不止。尤其是一些非法组织有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心,扰乱社会秩序。例如,据媒体报道,“XX功”非法组织就是在美国设网站,利用无国界的信息空间进行反政府活动。
三、安全保障:全民安全才是真安全
随着中国经济全球化的步伐不断加快,信息科技革命日新月异,互联网已经融入经济社会发展的方方面面,信息化进入了一个“大智移云”的新阶段。信息技术的飞速发展和日益完善,却同时也面临着层出不穷的漏洞威胁,信息安全不断受到挑战。
1、谁来保障信息安全?
1)网络大国的信息安全频遭挑战
根据中国互联网络信息中心的数据,截至2014年6月,中国网民已经达到6.32亿,其中,手机网民超过5亿,网站273万家,国内域名数1915万个。网络购物更是发展迅速,2013年,我国网络购物用户超过了3亿,交易金额达到了1.85万亿元人民币,比2012年增加了40%多。从数据中不难看出,我国已成为名副其实的网络大国,但却不是网络强国!在网络安全方面我国不断地面临着严峻的挑战。
去年央视3.15晚会上,安卓手机应用和精准广告投放,暴露在公众视野内的手机用户隐私泄露的“作案凶手”仍历历在目,随即,“棱镜门”、苹果故意留“后门”、央视对苹果手机“常去地点”定位功能泄露用户轨迹提出质疑等诸多事件频频爆发,信息泄露问题汹涌澎湃,而信息安全保护则被推上了风口浪尖。
在大数据时代,国家与国家之间的竞争不再是硬性武器上的对决,网络空间正在成为国家间竞争与对抗的主要战场,情报窃取、远程监控、信息对抗、网络威慑,已经成为一种新型的国家战略手段和攻击利器。信息对决正在成为国与国之间真正意义上的相互抗衡。正如著名未来学家托夫勒则预言:“谁掌握了信息,控制了网络,谁就将拥有整个世界”。
毫无疑问,信息安全是一个关系到国家与社会的基础性、全局性、现实性和战略性的重大问题,也是作为网络大国我们亟须解决的问题。
2)网络强国的坚持努力从未停歇
随着境内外网络安全威胁日益严重,国家对信息安全也愈加重视。早在中国共产党第十六和十七次全国代表大会上,我国政府就逐步清晰地提出了“两化融合”概念,提倡信息化与工业化进行深度融合。关于网络信息安全保障体系建设,我国早在2003年就提出了“积极防御,综合防范”的方针。十八大提出高度关注网络空间安全,将提高到了国家战略高度。十八届三中全会改革力度前所未有,成立国家安全委员会,加快完善互联网管理领导体制,以及加快国防和军队深化改革的内容,将“网络和信息安全”提升到国家安全、社会治理和军队建设的战略层面。
3)信息泄露事件时有发生信息安全防护亟待解决
2013年6月,“斯诺登事件”发生后,引起各国对信息安全问题的关注。在此背景下,此前由工信部提出的“去ioe”再次成为热点。2014年2月,我国首次成立中央网络安全和信息化领导小组,并由国家最高领导人担任组长,一举将信息安全上升到国家战略高度。2014年5月16日,中央国家机关政府采购中心拟定一份涉及30台电脑的win8禁令,首次将中国政府采购的态度挑明。
从中央政府采购网公布的2014年入围中央政府采购、并顺利通过二审评审进入最终采购的安全产品名单显示,在新的杀毒软件类产品采购名单中,只剩冠群金辰、江民科技、瑞星、趋势科技、金山等6家企业;在其他安全类产品中,除入侵检测及漏洞扫描产品出现了iBm的身影之外,名额全部被国产厂商拿下。而我国相关主管部门也在积极推动完善网络与信息安全的法律法规、技术标准,做好法律保障。
从企业个体出发,像四川秘无痕科技等公司立足于自主研发、自主创新,为政务、安保、金融、军队、军工及商务等人士提供最安全、最可靠的军用级信息消除设备和产品,努力为企事业单位、涉密保密单位以及个人的机密数据安全保驾护航,致力于保障国家信息安全。
身为网路大国,在网络强国的前行道路上,我们的坚持与努力从未有过停歇。正如主席所强调的,我们要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。
2、全民安全才是真安全
曾几何时,网络安全似乎只是安全圈内的“家务事”。面对层出不穷的网络攻击,昼夜默默守护网络安全的业内人士曾感慨:不懂网络安全的人是幸福的人,我们的责任是保卫他们的幸福。
现如今,随着互联网快速普及,与网络相关的新兴业态层出不穷,网络与人类生产生活的粘合度越来越高,网络空间安全已成为公共安全和国家安全的重要组成部分,全民网络安全时代已然到来。
作为第一次全国范围的网络安全主题宣传活动,首届国家网络安全宣传周24日在北京正式启动。本次宣传周活动由中央网信办会同中央编办、教育部、科技部、工信部、公安部、人民银行、新闻出版广电总局等部门共同举办,其规格之高凸显国家对培养全民网络安全意识和能力的高度重视。
中央网信办网络安全协调局局长赵泽良指出,为办好此次国家网络安全宣传周,我们运用了很多现代网络技术,采取了动漫、多媒体、科普、专家讲堂等多种形式。“北京的街上又是广告,又是提示,让老百姓能记得住。”
宣传周以“共建网络安全,共享网络文明”为主题,设置了政务日、金融日、产业日等7大主题宣传日,既安排了探讨网络安全重大战略问题和前沿理念的专家访谈,系统梳理了计算机病毒编年史,又组织了普通民众可参与互动的网络安全公众体验展,从可视化的角度直观展示了网络攻击、网络钓鱼等场景。
近年来,信息泄露引发的金融诈骗案迭起逐步唤醒民众的安全意识。记者在中国银联的展台也亲身感受了poS机盗刷、密码失窃过程之简捷,了解了将磁条卡更新为芯片卡以保护密码安全之必要。
除与生活密切相关的金融领域外,加密手机、云安全、工控安全等国家关键行业的安全威胁同样值得关注。中国电科三零所所长李成刚在接受记者专访时,围绕“自主密码,国之重器”的主题,详细展示了汇聚中国电科集团整体资源研发的一条龙密码产品。工控安全企业匡恩网络则在其高科技演示平台上生动复现了工控事故的发生、预警和防护,总裁孙一桉希望,使观展者真切感受工控网络面临的安全威胁,借此提高社会重视度。
中国信息安全认证中心副主任陈晓桦认为,全国首次举办如此高档次、大规模的网络安全宣传周活动,对于提升全社会的网络安全意识、普及网络安全知识、提升网络安全防护水平,定将起到积极作用。
专家指出,美欧的民众网络安全意识教育起步较早,我国当前仍面临网络应用发展迅速与民众网络安全意识较弱的矛盾,可借鉴发达国家的有益经验,以本次国家网络安全宣传周为起点,逐步形成长效机制。
网络空间,全民安全才是真正安全。普通公众可以不懂安全攻防技术,但一定要有安全防护意识。只有改变公众对网络威胁的理解,全社会普及网络安全知识,才能真正夯实网络安全乃至国家安全最广泛的社会基础。
四、形势展望:网信办成立良好开局
2014年我国网络安全面临的压力进一步加大,网络安全形势仍旧严峻。然而,任何事物的发展都具有两面性,挑战与机遇往往并存的,化挑战为机遇是保障网络安全的关键。
1、网络安全挑战无处不在
1)随着网络空间地位的日益提升,网络空间主导权争夺激烈,美国等大国纷纷加强网络防御,并积极发展网络威慑能力,不断加大在网络空间的部署,爆发部级网络冲突的风险进一步增加;
2)西方国家频繁启动贸易保护安全壁垒,2012年美国对我国华为和中兴进行的长达一年的安全审查,问题的焦点无关产品价格也非质量,而是信息安全,贸易保护安全壁垒的影响范围正不断被扩大,将波及整个网络安全产业;
3)云计算、物联网等新技术领域将继续在信息技术领域得到广泛应用,其带来的安全风险将继续对我国网络安全防御体系建设产生影响,关键领域网络安全保障难度加大;
最后,随着信息化和网络化的快速推进,经济和社会生活对信息网络的依赖程度大幅提高,各类网络安全事件的影响程度将逐步加大,经济信息安全问题日益显现,网络安全保障需求快速增长。
2、网信办成立实现良好开局
1)网络安全政策环境将进一步得到优化,在中央网络安全和信息化领导小组的统一领导、统筹协调下,网络安全发展战略、宏观规划和重大政策的制定和实施将提上日程,网络安全保障能力将不断增强;
2)网络安全基础工作将逐步深化,关键基础设施风险评估和安全保障、信息安全等级保护、新兴信息技术安全预警等方面的工作将进一步加强;
3)网络安全产业将保持快速发展,随着网络安全需求日益快速增加,政府、企业、个人在网络安全保障方面的投入都将不断增加,产业发展的驱动力仍然强劲;
4)信息安全意识将得到大幅提升,震惊中外的棱镜门事件给社会各界敲响了安全警钟,网络安全已经关乎每个人的切身利益,对网络安全重要性的认识大幅提升。
五、应对之策:建议要落到实处
强调,网络安全和信息化对一个国家很多领域都是牵一发而动全身的。网络安全不能仅仅停留在口号上,而是要扎扎实实落到实处。
为加强我国网络安全,我们提出如下几点建议:
1、加快我国网络安全政策法规建设,制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在打击网络犯罪、信息资源保护、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,完善信息安全监督管理制度体系;
2、加强我国网络安全保障体制机制建设,在中央网络安全和信息化领导小组的统一领导和协调下,建立运转顺畅、协调有力、分工合理、责任明确的网络安全管理体制;
3、全面推动自主信息产业生态环境建设,围绕国家安全需要,集中国家优势力量和资源,在集成电路、核心电子元器件、基础软件等核心关键技术领域取得突破,积极推动关键信息技术产品的国产化替代,在关系国家安全的重点领域,有序开展国产产品和设备的替代工作;
4、推动关键信息基础设施安全保障工作,启动信息安全核心技术产品的安全检查工作,切实加强对重点领域工业控制系统的信息安全管理工作,完善和加强工业控制系统安全检查和测评工作;
5、全面提升新兴技术在应用过程中的安全风险防护能力,加强核心技术攻关,建立新兴技术的安全预警机制,提高我国对新兴技术的掌控能力;
6、进一步增加网络安全资金投入,形成多层次、多渠道、多方式筹措资金的模式和机制,重点支持信息安全关键技术研究、信息安全产品开发与产业化、重要基础设施防护、国家信息安全重大工程建设、信息安全关键标准制定与信息安全宣传教育等重要基础性工作;
7、积极开展国际对话与合作交流,推进网络外交,加强信息安全事件与威胁信息共享,联手打击网络犯罪行为和网络恐怖行为,明确我国对网络敌对行为的态度,强调各国有责任和权利保护本国网络空间和关键基础设施免受威胁、干扰和攻击破坏;
8、切实加强网络安全教育培训工作,加强网络安全人才培养,建立和维护多层次、多种类、高水平的网络安全人才培养体系,加快培养懂技术、会管理的复合型人才,“千军易得,一将难求”,通过多种形式发现和选拔网络安全人才,建设一支高水平的网络安全人才队伍,提升网络安全发展的软实力。
六、治理方法:法治化治理
党的十八届四中全会以依法治国为主题,提出了建设中国特色社会主义法治体系、社会主义法治国家的总目标。四中全会《决定》明确指出,加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为。
对互联网行业来说,如何立足建设网络强国的大背景,学习贯彻全会精神,推进网络空间治理法治化,使法治成为网络强国建设的重要内容和鲜明标志,已成为当前和今后一个时期的重大政治任务。
1、网络空间法治化势在必行
1)网络空间法治化是全面推进依法治国的必然要求。
互联网日益渗透到经济社会的各个领域,深刻改变着经济发展方式,影响着人们的生产、生活和学习。在此过程中,网络空间现实化、现实生活网络化的趋势交融发展,以网络空间为载体的各种社会关系已成为当前重要的社会关系之一。
在此背景下,由于任何重要的社会关系都应纳入法律调整的范围,加之网络空间的法律关系已经发生了不同于现实社会的嬗变,全面推进依法治国的命题则必然包括依法治网这一组成部分。只有推进网络空间法治化,以法治的方式将网络空间的一切行为都纳入法律的轨道,才能推动网络空间健康发展,进而保障依法治国进程有序推进。
2)网络空间法治化是维护国家安全的重要保障。
当今世界,网络空间已成为继领土、领空、领海和太空之后的第五大空间,是国家主权在网络上的自然延伸。与之相对应的是,我国信息通信业在关键技术、核心设备和网络基础资源等方面受制于人的局面仍未能得到根本改善。
由此带来的后果是,一些拥有先进网络技术、庞大网络资源的西方国家肆无忌惮地违反法治国家的基本准则,通过网络侵犯我国主权、危害国家安全,并且这种情况随着技术的高速演进呈现出愈演愈烈的趋势。因此,利用法治手段规范网络空间秩序,依法对网络空间行使管辖权,已经成为维护国家主权的重要组成部分。
3)网络空间法治化是互联网行业发展的内在需要。
当前,网络宽带化、智能化的进程明显加快,应用社交化、传统行业互联网化的趋势不可阻挡,整个信息通信行业正在进入一个以大数据、智慧城市、移动互联网和云计算等为代表的新时期。
与此相伴而生的是,网络信息安全形势异常严峻,僵尸木马、黑客攻击、网站仿冒等网络安全事件频发,严重影响网络本身的发展。要保障网络健康发展,固然离不开技术手段的作用,做到“以网制网”,但与此同时,还要依靠法治手段,做到“以法护网”,依法调整各类网络行为,重建网络空间的新秩序,营造良好的网络环境。
2、网络法治建设问题的“五重五轻”
互联网在中国发展的20年,也是我国网络空间法治化进程不断向前的20年。随着新技术的高速发展和新业务的不断创新,特别是整个社会呈现出互联网化的趋势,网络空间法治建设水平与时代要求、社会期盼以及网络本身的发展还存在较大差距。
突出表现在以下几个方面:
1)是在思维方式上重技术、轻法治。
长期以来,技术型思维成为网络管理的主导思维,很多人认为互联网既然是以信息通信技术为基础的行业,只要通过提升技术能力,就能形成平衡局面,从而出现了重视技术、轻视法治的倾向。正是因为这种认识上的偏差,导致网络法治的不彰。
2)是在立法程序上重应急、轻规划。
目前涉及互联网的立法大多属于应急式的立法,重点聚焦在网络建设、安全等方面,对如何规范网络中的各类关系涉及较少,许多规定过于原则或笼统,可操作性不强。我国网络空间的立法缺乏顶层设计,尚未制定完整的法律框架,还没有一部互联网方面的基础法律作为网络法律的底层构架。
3)是在制度效果上重数量、轻质量。
目前我国互联网领域立法层级最高的是全国人大常委会于2000年、2012年颁布的《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》,其余均为国务院及相关部委讨论通过的行政法规、部门规章,立法层次总体较低,执行的效力也低。由于立法层次较低,有的从部门利益出发,立法缺乏协调和系统性,法律之间不能相互补充、拾遗补缺,在一定程度上影响了我国的互联网管理工作。
4)是在执法环节上重审批、轻监管。
目前我国互联网管理模式从总体上看属于防范型管理模式,以事前审批为主,在事中、事后管理方面存在很大的工作缺失,未能形成全流程的管理模式。
5)是在价值取向上重管理、轻保护。
目前,我国对互联网立法大多是管制型的法律,强调对网站企业和网民施加种种责任和义务,禁止性规范多,保护性条款少,侧重于管理职权和处罚措施,但对相关利益主体的合法权益着墨不多、保护不够。
3、加快网络空间法治化的三个关键
1)推动科学立法是网络空间法治化的前提和基础。
必须坚持立法先行,发挥立法对规范网络空间秩序的引领作用。
一是要在《宪法》的框架下,在国家层面尽快研究制定一部规范网络空间各类关系的基本法,确定网络空间法治建设的总体框架,明确政府、企业、网民等相关主体的权利与义务。
二是坚持立改废释并举,形成多层次的法律体系。“立”,就是加强对新领域的立法工作,填补制度空白。“改”,就是现行法律法规要随着互联网发展中出现的新情况,进行不断修改和完善。“废”,就是要对那些与上位法相违背、过时的法律法规进行清理、废止。“释”,就是通过司法机关对网络空间法律的具体适用进行解释。
三是坚持开门立法,可委托网络研究组织、互联网协会组织等第三方机构起草网络法律法规草案,广泛征求利益相关者的意见及建议,推进立法的公开化、民主化。
2)坚持严格执法是网络空间法治化的关键和核心。
必须坚持依法管理网络空间,保障网络空间主体履行责任、享受权利,在法治轨道上提升治网能力。指出:“法律的生命在于实施。如果有了法律而不实施,或者实施不力,搞得有法不依、执法不严、违法不究,那制定再多的法律也无济于事。”
对我们来说,一方面要加强部门间的协调配合,通信管理部门将在网信部门的统一协调下,按照分工加强配合,形成网络管理合力。另一方面要强化依法行政的意识,通信管理部门要根据法律法规的规定,重点加强对增值电信业务市场的事中、事后监管,做好对省内非经营网站的备案管理和电话用户实名制工作,配合公安、宣传等部门开展网络各类专项整治行动,打击网络淫秽色情等行为,及时有效处置网上有害信息。
3)促进全民守法是网络空间法治化的目标和根本。
一是充分利用网络手段,开展普法教育,让广大网民认识到网络不是“法外之地”,养成按照法治观念思考、分析、解决问题的价值取向、行为习惯和行为模式,有效遏制网络违法犯罪行为的发生。二是充分发挥互联网协会等社团组织的作用,通过签订互联网行业自律公约等方式,引导互联网企业依法合规经营。三是发挥网络文化的道德教化作用,把网络空间法治化的理念深度嵌入网络文化发展过程中,推动法治理念家喻户晓、深入人心,使网络守法从外在约束转化为内在自觉。
七、结束语
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。
网络空间安全的理解篇7
一是我国经济社会发展现实需要。当前我国经济社会发展已经进入新常态时期,互联网+正成为推动大众创新、万众创业的主要平台,信息经济已经成为国家经济发展新的增长点,十三五规划正式将建设网络强国作为重要战略进行了部署,可以说,网络信息已经成为国家经济社会发展不可或缺的重要组成部分。为此,建立健全网络信息安全的法律规制,能够有效约束网络信息参与者行为,提升网络行业自律水平,为网络信息产业健康发展提供法律保障,也为国家经济社会发展提供法律保障。
二是建设网络生态家园的现实需要。互联网已经成为人们社会交往和信息交流的重要平台,通过网络平台人们面对的是不同的信息途径、不同思维方式和不同价值观念的冲击,同样人们也可以自由表达自己的看法和主张。网络空间在一定程度上已经成为人们表达自己的精神家园。但是,在网络空间内,还充斥着个别诈骗、虚假、色情、谩骂和恐怖等不和谐因素。因而,网络空间并不是法外之地,要本着对人民负责的态度,建立健全网络信息安全法律规制,依法加强网络空间治理,还人民一个风清气正的网络空间。
三是面对复杂严峻的网络安全形势的现实需要。当前,我国虽然已经成为互联网大国,但还不是互联网强国,在关键技术和关键领域还与国外存在一定差距。为此,国家应该构建和完善我国网络信息安全的法律规制,进一步提升我国网络空间治理能力,及时应对国内外突出网络问题,为复杂严峻的网络安全形势奠定坚实的法律保障。
网络信息安全的法律规制与社会治理逻辑与思维随着互联网+的兴起,不仅对社会经济发展产生深刻影响,同时也对国家社会治理产生了冲击和影响,对传统的社会治理模式和观念带来了新的挑战。
第一,网络空间社会治理逻辑主要通过网络信息安全的法律规制。当前,我国社会治理模式是以承认个性化和多元化为基础,通过对不同的社会群体和社会阶层进行沟通、对话和协商等多种形式进行互动调和,最终能够形成社会各方都能够接受的社会契约。在网络空间社会治理过程中,法治化是社会治理在网络空间治理创新的最优模式,能够积极回应在网络空间中发生的动态问题。因此,在网络空间社会治理过程中要善于运用法律思维、法治方法将网络难题转化为执法司法问题加以解决。社会信息化快速发展要求我们要构建国家安全法律制度体系,将法治化贯穿于网络信息安全始终,为国家安全提供有力的法治保障。网络空间作为社会治理的重要组成部分,应该坚持法治化治理思路,网络空间的动态性直接会导致我们的社会治理思路要慢于网络信息的发展。为此,我们应该树立动态化的社会治理思路,在立法、执法等多个环节实施动态化管理。
第二,网络信息安全的法律规制与社会治理从本质上看都是国家治理体系的重要逻辑思维体现。在国家治理体系中既包含了社会治理相关要素,又涵盖了相关法律法规。可以说,建立网络信息安全的法律规制和社会治理虽然通过不同方式发挥国家治理作用,但从本质上看都是国家治理体系的重要逻辑思维的体现。互联网时代的到来,对我们的社会治理影响也是把双刃剑。一方面,网络信息安全治理,能够让我们看到与国外先进国家在社会治理上的差距,有利于转变我们的治理理念,提升社会治理水平。另一方面,通过建立网络信息安全的法律规制,能够在网络意识形态上深化法律思想,积极构建网络空间的法律法规、社会道德和文化传播的安全防范布局。
网络信息安全的法律规制与社会治理对策互联网时代,网络空间信息安全关系着每个人的切身利益,需借鉴和吸收各国先进经验,完善网络信息安全立法和社会治理体系,构建与《中华人民共和国网络安全法》相配套的制度体系,凝聚社会力量,实现协同治理。
健全网络信息安全的法律规制。首先,合理吸收各国和地区先进经验教训。新形势下,各国和地区非常重视网络安全立法工作。例如,欧盟于2013年启动《网络信息安全指令》立法、美国于2014年通过《国家网络安全保护法》、日本于2014年通过《网络安全基本法》等。在世界各国纷纷制定网络安全法的背景下,我国于2016年11月7日经全国人大常委会审议通过了《中华人民共和国网络安全法》,并于2017年6月1日起施行。《中华人民共和国网络安全法》的颁布被视作我国规范网络空间,完善网络信息安全法律规制的基础性法律。其次,在《中华人民共和国网络安全法》基础之上,结合网络空间的基本特征,对当前存在的各类法律问题要进行规划,形成与之相配套的法规规范和规章制度,并明确各法律细则。再次,完善个人信息安全立法。网络信息安全包含国家安全、公共安全和个人安全三个层面。因而,在完善网络安全法的同时,也要建立个人信息保护法,形成国家、个人的双重立法模式。其中,网络安全法的侧重点在于从国家层面保障网络安全,个人信息保护法则是侧重于保护公民个人的信息安全。
网络空间安全的理解篇8
关键词:时空维度;网络安全态势;预测;方法
中图分类号:tp393文献标识码:a文章编号:1009-3044(2016)33-0059-02
针对网络安全态势,主要指对网络安全运行可能会造成一定影响的网络和设备的运行状况以及网络用户的各种行为,主要对网络正常运行过程中安全状况进行一定的分析。网络技术的普及应用以及迅速发展,使得网络在人们日常生活中占据着关键地位,但是应用过程中存在的安全隐患问题也逐渐带来人们极大的不便与困扰。目前,在网络的正常运行中常常出现一些较为复杂的网络攻击行为,网络的发展开始呈现复杂化与规模化的特点。因此,为了有效地保证网络安全运行,就应进一步采用科学的方式对网络的安全态势进行管理以及制定相应的措施,从而强化网络安全工作的开展。
1造成中网络账号不安全的原因
网络的广泛应用使得网络环境中存在一定的隐患问题,黑客对网络账号的攻击越来越常见,较为普遍的网络黑客对网络账号进行攻击导致网络存在一定的不安全性,常见的网络账号被侵袭的原因包括黑客攻击服务器、制作网站、键盘记录技术、屏幕录像以及远程浏览器执行等。黑客为了确保对网络账号的窃取成功以及隐蔽,会运用多种技术同时进行。网络业务化的广泛以及普及应用,黑客技术的更新也在不断进行。
1)攻击服务器以及制作网站
关于,就是指黑客提前建立起一个相似于官方网站的类似网页,诱惑上网用户通过账号密码等信息的输入,或者黑客在网络中种植相关的木马病毒等。然后将对造假网页申请较为类似的官方域名,运用用户的拼写失误,将其进行连接;一些黑客甚至花费一定的m用购买数据库,其中甚至包括一些邮箱的地址等。然后黑客通过对这些邮箱地址发送钓鱼邮件,邮件中甚至包含了一些虚假的信息,骗取网络用户对网页进行访问。
2)利用键盘进行记录
黑客用户运用木马病毒对网络用户正在操作进行的网页窗口进行监视,一旦发现网络用户对正在登陆的网页进行访问时,就可以将键盘上输入的内容进行记录。这种方法即使看似简单常用,但是对在线网络账号密码输入的获取、网上银行支付密码的获取效果相当好。针对这种入侵的方式只有采用一些模拟键盘技术才能将登陆的系统进行防护。
3)采用屏幕录像的形式
一些木马病毒能够对屏幕进行相应的录像,并且录像的视频内存相对较小。这类技术与键盘记录技术类似,相对键盘记录只是多出了对鼠标点击内容进行相应的记录,并采用截图的形式对当时的内容进行截屏。黑客按照这些截屏以及鼠标的点击坐标,可以根据内容回访获取网络用户进行交易时敲击的键盘位置以及按钮等。
2优化采用时空维度强化网络安全态势的预测方法
网络的运用中经常会遇到一些安全隐患的问题,强化网络安全态势的预测具有一定的必要性,针对网络安全态势的预测方式,本文以时空维度为基础进一步对网络态势的安全预测进行详细的分析。
1)网络安全态势的影响要素
网络安全态势的正常运行主要容易受到网络攻击方、网络防护方以及网络环境三个基本要素的影响,若想使网络安全态势进行详细的预测分析,就应对网络安全态势的影响要素进行及时的预测,其具体工作就是将网络环境中的运行状况与攻防数据进行相应的检测以及采集,并采用合理方式对采集处理的网络数据进行相应的处理,进而将影响网络安全态势的各种要素整理出来,并且按照一定的分类将其表述为六个元素。主要包括业务要素、资产要素拓扑结构要素、供给序列集要素、防护策略要素以及脆弱性要素等。
2)从时间维度对网络安全态势进行分析
在将网络安全态势要素进行提取的基础条件下,应按照提取的相关要素有效的为安全态势提供强有力的数据支持,根据时间的变化,在网络攻防环境中对网络安全态势要素进行详细的预测以及分析,并根据实际的网络攻防环境将其进行相关的验证并加以试用,进而以时间维度为基础对提升网络安全态势的效果奠定基础,并进一步明确了下次时间维度的预测以及分析目标,进而逐渐强化网络态势的精准性。在进行实际的预测过程中,在攻击序列的基础上逐渐使得频繁的脆弱性变化,因此网络安全管理人员对这种状况常常难以采取相应的措施进行处理。针对其他的网络安全态势则可以采用一定的措施进行控制,因此应有效地运用时间维度的分析法对安全态势进行相应的预测,这四类的网络安全态势可以为网络安全管理人员提供较为准备的信息,并且网络运行较为稳定,变化周期较长,使得在一定的时间内预测的安全要素一致,因此,网络安全管理人员应采用合理的措施将其进行集中处理分析,将网络安全态势的影响因素以及实际运行环境进行有效结合,记录可能带来相应的变化,对网络安全态势的发展趋势的影响要素进行集中管理。
3)从空间维度对网络安全态势进行分析
以时间维度预测与网络安全态势的分析基础上,运用空间数据发掘理论,进一步对网络安全要素的影响条件进行相应的分析,进而对一段时间内的安全态势进行一定的认识。而空间数据发掘理论,主要是针对拓扑结构进行合理的分析,用于实际地理位置与几何形状的特点进行分析的理论方法,这种方式最初被广泛应用于GiS系统方面,交通控制方面、处理医学图像方面以及环境保护方面等,但是由于网络数据具备一定的空间特点使其得以在网络安全中广泛应用。但是采用空间维度对网络安全态势进行分析及预测就应保证选取的时间范畴与实践维度预测与分析的时间段相一致,并且逐渐将安全态势的数据值算出来。在进行预测的实际过程中,应全面性的考虑到安全态势的预测容易受到时间维度的特点的影响,这主要是由于对节点安全态势值进行计算的过程中,不单单要受到节点自身的安全态势带来的影响,并且周边的安全态势也会对其产生一定的影响,并且时间维度预测的安全态势值准确度不高,使得空间维度进行预测的安全态势值受到一定的影响。因此,在进行实际的安全态势安全值预测的过程中,应主要以空间数据发掘理论为基本载体,以空间维度为基础对安全态势进行预测以及计算,进而对安全要素的基本关系进行分析,将其结果与实际的时间维度预测结果相结合,从而得出最终的安全态势值。
3对网络安全态势预测与网络智能技术进行分析
1)强化网络安全态势预测的必要性
网络安全态势即网络运行过程中所在的网络环境的安全状态,与网络用户的行为与网络设备的运行有着直接的联系,对网络安全构成一定的威胁。现阶段,网络在持续的发展进步中,网络应用的关键性在人们的生活中日渐凸显。因此,网络环境的安全隐患问题对广大的用户造成了一定的挑战,并且网络攻击行为的逐渐复发化加大了网络管理工作的难度。为了有效地强化网络环境的安全,应对网络的安全态势进行一定的预测,进一步了解网络安全态势的基础常识,采用科学的安全策略对网络安全做出一定的防护。
2)网络安全态势进行预测中的注意事项
由于在网络安全态势预测的进程中会受到安全态势基本要素的影响,使得相应的网络安全态势值的准确值不够精准,进而对网络安全态势的预测结果产生一定的影响,并且运用脆弱性预测算法进行分类预测时,会由于安全态势出现的随机性相对较强,因此,必须采取合理的措施提升预测的精准性。网络环境的发展趋势越来越复杂,使得网络安全态势的预测难度有所增加,因此,应该与实际的情况进行有效结合,强化对网络安全态势的预测,促进网络安全的正常发展。
3)分析网络优化智能技术
网络安全性的优化主要是对网络正常运行的内部环境采取一定的优化策略,进一步整理网络环境,从而确保安全的网络环境。⒅悄芑技术应用于网络环境当中,并对网络进程中的信息进行详细的整理并且收集分析,运用数字跟踪技术对正在运行的网络安全环境进行相应的判断。将网络的问题进行判断以及分析以后应对网络环境内部的配置进行相应的优化以及处理,进而更好的解决对网络安全态势的影响问题,进一步提升网络运行的效率。在网络的实际运行过程中采用智能化系统有助于在网络的运行过程中逐渐形成专家系统,进而实现对网络资源的优化配置,在进行网络运行的过程中还可以采用智能决策技术与知识优化管理技术对其进行优化。
4结束语
综上所述,采用时空维度对网络态势进行相应的预测是保证网络安全运行的重要举措。在现阶段时代大背景下,网络管理人员应紧跟时展的步伐,进一步提升自身的专业技能,强化对网络安全态势预测的安全意识,并以空间与时间两个基本维度对网络安全态势进行科学的预测以及合理的分析,全面掌握网络安全态势的基本情况,针对网络安全态势的具体情况,采取合理的措施对网络安全进一步调整,使其与未来发展的网络安全相适应。
参考文献:
[1]刘玉岭,冯登国,连一峰,等.基于时空维度分析的网络安全态势预测方法[J].计算机研究与发展,2014,51(8):1681-1694.
[2]李巧君.基于时空维度分析的网络安全态势预测方法[J].网络安全技术与应用,2015(1):102,104.
[3]彭大,郭栋栋,邢梅,等.基于时空维度分析的网络安全态势预测方法[J].通讯世界,2015(22):36-36.
[4]史瑞芳.简析基于时空维度分析的网络安全态势预测方法[J].网络安全技术与应用,2015(11):82-83.
网络空间安全的理解篇9
我们本次评测的重点有两个,第一卡巴斯基开放空间安全解决方案加强版在企业网络中的部署能力,以及对安全部署后的管理能力。第二是实际的病毒攻击和挂马测试等,该测试将在服务器和工作站端同时进行,以检测这款产品的远程保护和远程清除能力。
卡巴斯基开放空间安全解决方案是一款集多个产品线组成的安全解决方案,能够为工作站,服务器、网关等网络终端提供安全保障,甚至其安全保障还延伸到了手机安全策略,不过我们本次测试由于环境局限,并没有对手机部分进行测试。
针对本次卡巴斯基开放空间安全解决方案加强版的测试。我们特别搭建了测试环境和测试平台,参与测试的有5台工作站和1台服务器。并且搭建了千兆的网络环境和intelaGn标准无线网络环境,将测试平台部署成网络,连接外部互联网的是1条10mBaDSL。再添加多个工作站即可成为一个中小型企业的网络部署结构,所以本次测试同样适用于中小型企业。
管理工具在服务器端的安装
部署卡巴斯基开放空间安全解决方案加强版首先需要在服务器端安装卡巴斯基管理工具8.0软件,管理者可通过该软件对网络内的任何工作站进行安全管理。这是卡巴斯基开放空间安全解决方案加强版的核心部件之一。
制作卡巴斯基一键安装包是部署的核心工作,管理者在该处即可完成网络设定,规划好工作站网络结构。通过制作多功能多分类的卡巴斯基一键安装包分发到制定工作站,完成复杂网络的部署。
工作站的部署与安装
卡巴斯基开放空间安全解决方案应对于中小型企业的部署有三种方式:
一、通过网站方式或文件共享方式进行部署安装:
二、通过管理端的网络推送方式进行部署安装;
三、通过拷贝文件的方式进行分发的本地安装来完成部署;
总的来看,以第一种方式来进行部署安装是最为方便的。第二种方式部署管理性强,比较适用于异地安装;第三种方式最为常见,但不适用于大批量工作站的部署;三种方式各有优劣。
卡巴斯基开放空间安全解决方案加强版提供的三种解决方案可以完成从中小型企业到大型企业的部署工作,甚至会议安全部署与赛事部署都可以轻松解决。还有一种面向域的不是方式,这种方式更适合有独立域的企业完成部署,其复杂程度要高过以上介绍的三种方式,故我们在本文中就不在进行介绍。
卡巴斯基管理工具应用
既然要管理多台工作站,那么对于管理者而言就要制定安全管理策略,卡巴斯基管理工具8.0内置了标准的管理策略,并且管理者还能够具备自定义安全管理策略。部属和组任务,完成对加入管理组的工作站的管理。
保护windows工作站中可以查看到部署的计算机饼状分布图,能够显示准备执行计算机,正在执行计算机、执行成功的计算机和执行失败的计算机并能够查看执行详细。管理者可编辑策略包含主动防御,反黑客,文件反病毒等策略。编辑完成后激活执行即可,管理者只需要执行策略的反馈。
组任务操作包含扫描工作站和服务器病毒,更新工作站和服务器病毒四项系统内置的任务。扫描属性上可设定扫描计划时间、扫描对象,通知、扫描到病毒后的执行状况。更新部分可为部署好的工作站更新病毒库,应用程序等。
客户端计算机中可查看到当前连接到管理服务器的状态,包含连接时间和安装状态等。
要统计庞大的工作站终端,就需要设计合理的统计报表。卡巴斯基管理工具的报告和通知标签中能够实时的显示网络运营的各项状态。包含保护状体、保护范围报告、反病毒库版本报告、外部程序报告、病毒报告、授权报告等等。管理者每次计划扫描的结果都会汇总在此,对我们用处较大的是病毒报告,大部分受感染计算机报告和回执的错误报告。
报告和通知的功能我们在此不在列举,这款软件的设计能够使繁琐的网络管理变得简单易操控。
卡巴斯基管理工具还具备数据备份、发送报告,管理工具下载更新任务工具,这些工具能够良好的维护自身的更新与运转。卡巴斯基管理工具能够对指定的单独计算机进行任务操作。
从上文的介绍来看,卡巴斯基开放安全解决方案加强版拥有方便快速有效的部署到简单易用的集中管理的特色,这对于企业应用而言非常有实用的特点。以开放部署应对网络的开放性,以集中管理闭合网络的开放性,是这款产品的最“深刻”的地方。
常规病毒样本扫描测试
常规病毒样本扫描是杀毒软件的基础,能否很好的进行快速判定和有效清除,是考核杀毒软件核心杀毒能力和技术引擎判定标准之一。我们实际测试了卡巴斯基反病毒window工作站6.0加强版在工作站软件的查杀能力,选用了一款含有141个常规病毒的数据样本包。卡巴斯基反病毒window工作站6.0加强版能够非常好的识别出病毒,并询问对病毒文件的处理。
经过测试卡巴斯基反病毒window工作站6.0加强版达到了99%的查杀率,常规病毒样本扫描测试效果非常好。
特征码扫描测试是检测杀毒软件扫描引擎的关键测试,它区别于常规病毒样本扫描那样有针对性,而是通过识别病毒特征进行扫描查杀,这项测试的测试结果直接影响一款产品的好坏。我们使用了100个特征码病毒的样本包进行测试,测试过程,卡巴斯基反病毒window工作站6.0加强版能够快速的识别并进行相关询问操作。
防挂马能力测试,是检测一款杀毒软件对网页木马能否识别并拦截的测试。这对于能够访问互联网的工作站是非常有必要部属的,能够抵御来自互联网病毒的侵害。本项测试我们通过访问携带木马的网页来进行测试,访问的多个“挂马”网页卡巴斯基反病毒window工作站6.0加强版都能都很好的进项拦截。
卡巴斯基反病毒window工作站6.0加强版在本次测试中表现很好,识别率为100%,本次测试值得称道。
卡巴斯基反病毒window工作站6.0加强版设计有主动防御功能,顾名思义即对计算机正在运行的应用程序进行主动的分析,以达到实时发现和查杀病毒的作用。同时还能够保护注册表不被恶意的篡改等等。
网络空间安全的理解篇10
全面提升自主可控能力
成都市人民政府副市长苟正礼代表成都市政府致开场辞:“成都市正面临网络安全产业发展的新机遇,为深入贯彻国家网络安全与信息化发展战略,成都市致力于打造‘信息安全第一城’。C3安全峰会的召开,特别突出了云安全的概念,反映了当前网络安全的立体框架,是一次具有全球视野的网络安全盛会。”
“互联网+”已经上升到国家战略层面,随着近日《国家信息化发展战略纲要》的印发,以及《中国银行业信息科技“十三五”发展规划监管指导意见》等国家关键行业信息安全法案陆续出台的大背景,将促进中国网络安全市场的增长。“自主可控”、“等级保护”等政策的落实将给政府及企事业单位的信息安全规划带来积极的影响。
中央网信办网络安全协调局局长赵泽良表示:“网络安全问题不仅是国家安全问题,做好网络安全工作也不仅是中央网信办及国家部门的责任,而是越来越多地成为各级政府、广大企业、广大网民的共同的责任。”
互联网的发展在推进经济社会进步的同时,也对维护国家安全和网络秩序带来了严重的挑战。公安部信息安全等级保护评估中心副主任张宇翔认为:“要大力推进网络空间法制化,明确网络和边界,严厉打击网络违法犯罪行为。与互联网管理部门密切合作,全面推进网站信息安全等级保护工作,净化网络空间。通过研究建设网络安全态势感知和通报预警平台,满足打防管控一体化工作要求,全力维护网络社会安全和秩序。”
工业和信息化部信息化和软件服务业司巡视员李颖表示:“随着信息化的发展,网络安全问题变得越来越重要。国家明确要求安全与发展同步建设,引导网络安全企业自主创新、推动网络安全产业发展。我们要发挥产业联盟和骨干企业的作用,促进产业链协同攻关,着力突破基础软件、高端工业软件等核心技术研发与应用,支持云安全、工控安全、大数据安全等新技术的发展。”
全球信息化已经进入全面渗透、跨界融合、加速创新、引领发展的新阶段。亚信集团董事长田溯宁谈到:“大数据、云计算、人工智能、正在让这个社会进行重大的变革,我们说数字化像一个新的星球,整个人类迁徙到这个星球后,安全问题就成为我们进入信息化时代最重要的话题。今天我们走向数字时代,这样的安全挑战,就像工业革命带来的进步和挑战,是同样的道理。”
面对网络空间安全问题,以前封堵查杀被动防护的方式已经过时了,可信免疫的计算方式需要采取主动方式、从根本上解决。中国工程院院士沈昌祥认为:“作为一边计算、一边防护的新的计算模式,可信计算的计算结果全程可测可控、不扰,是防御与运算并行的免疫计算模式。通过主动识别、主动控制、主动报警,从体系结构、操作行为、资源配置、数据存储、策略管理等各个环节实现免疫模式,为安全管理中心构筑主动防御、安全可信的科学保障体系。”
“当前网络安全现状不平衡,面对未知的漏洞、攻击等安全威胁,静态、相似、确定的it系统架构成为网络空间最大的安全黑洞,”中国工程院院士邬江兴提到,“生物拟态现象为破解安全网络难题提供了启示,网络空间拟态防御的目标是在开源模式的后全球化时代,以不确定防御应对网络空间中不确定的安全威胁。拟态防御不是一个单纯的防御架构,而是具有集约化属性的普适意义的信息系统架构,针对未知的风险及威胁提供安全防护机制,从根本上改变网络空间攻防不对称。”
政产学研用协同创新
在C3安全峰会上,成都市人民政府与亚信安全联合宣布“亚信(成都)网络安全产业技术研究院”正式成立。未来,成都市将以亚信网络安全产业研究院为纽带,吸引聚集国内外网络安全领域的各类创新要素,全面打通政产学研用协同创新通道,有效促进国内外高校院所科技成果转移转化,进一步提升成都市网络安全产业核心竞争力,将成都打造成为世界级网络信息安全产业基地。
针对开放式的产学研用协同创新的具体内容,亚信安全董事长何政表示:“产研院的建设内容包括建设国际一流的云安全、大数据安全、网络空间平安城市和工业互联网安全四大实验室,以及安全态势感知平台、高级威胁调查取证中心等。同时,与高校院所开展深度合作,建立长效协同创新合作机制,并成立网络安全技术转移与成果转化基金,全面支持初创期的高校研发团队或创业企业,孵化具有市场前景优势项目,打造国际一流的公共技术服务平台。”
前沿技术驱动安全发展
当今,以信息技术为代表的新一轮科技革命已经促使互联网变革成重要基础设施,消费互联网也向产业互联网进行转变。互联网日益成为创新驱动发展的先导力量,无处不在的网络,影响着一个国家的未来。国际网络攻防对抗和冲突的逐步升级,跨境网络攻击活动日趋频繁,云计算和移动互联网让网络防御边界日益模糊的风口上,可以说,网络安全已经是国家安全的核心形式。
随着“网络强国战略”、“互联网+”行动计划、大数据战略、“中国制造2025”等战略的实施,网络安全风险和威胁也进入到关系国计民生的各领域,apt攻击、信息窃取、数据泄漏等事件时有发生,网络数据安全和用户信息保护形势日趋严峻。因此,在这个时代的十字路口上,Cyber(网际)、Cloud(云)、Communication(通信)将构成未来网络安全方向,象征着在网络所构建的生活、生产空间框架内,“立体、可控、可视”的安全新机制。
C3安全峰会立意于网络空间、云计算、通信和立体可控安全,作为分享国内外网络安全发展热点议题和探讨网络安全前沿技术发展的年度盛会,对包括网络安全标准技术、云安全、大数据安全、移动安全、网络安全治理为主导的前沿技术,以及在互联网+战略下政府、金融、运营商、企业、医疗行业的安全发展,结合当下行业用户网络风险防御进行了前沿性探讨。此外,亚信安全在此次大会上还推出多个覆盖全行业的解决方案和立意深远的全新观点,其创新成果几乎涵盖驱动未来网络安全融合的四个层面的新产品:面向公共安全服务平台的“信盾”、面向行业业务风险管控的“信风”、面向标准信息安全防护体系的“信御”防护体系,以及象征着以大数据为核心的安全态势感知平台“信势”。