沈逸 杨杨
2016年世界网络安全态势盘点
沈逸 杨杨
2016年是全球网络空间安全态势持续呈现复杂化演进态势的一年。可以被归类为构成国家安全威胁的网络安全重大事件持续高发,国家关键基础设施防护,与国家安全相关的数据资源保障,以及如何保障涉及关键国内政治过程的数据基础设施免受威胁,成为考验国家网络安全战略能力的关键。面对威胁,主权国家迅速在网络空间采取行动,通过战略文件、制度设计以及针对性的政策安排,来改善网络安全态势,同时,全球网络空间的主权化、安全化态势,也变得更加显著。
网络安全;主权;安全化
沈逸副教授,复旦大学网络空间治理研究中心主任,中国网络空间研究院特约研究员。发表大量为国内外关注的、有影响力的国际网络空间治理著述。
杨杨复旦大学网络空间治理研究中心研究助理。
2016年全球网络安全事件呈现高发态势,重大网络安全事件层出不穷,对网络安全构成严重的威胁。根据金雅拓公司(Gemalto)公布的2016年数据泄露等级指数(Breach Level Index, BLI)①Gemalto. First Half 2016 Breach Level Index Report. Available: http://breachlevelindex.com/assets/Breach-Level-Index-Report-H12016.pdf显示,2016年上半年全球范围内有记录的数据泄露事件数量为974起,被盗档案数约5.54亿份;相比于2015年下半年844起数据泄露事件增长了15%,被盗档案数(4.24亿份)增长了31%,2016年上半年的数据泄漏率呈现明显的加剧趋势。主要国家的政府围绕网络空间和数据资源展开战略竞争的同时,跨国企业、网络犯罪组织如黑客组织和网络恐怖组织等非国家行为体发起的网络安全攻击将持续增加,影响力和破坏性显著增强。其中针对政府信息系统的攻击事件明显增加,许多政府网站或政府域名邮箱被入侵;针对关键基础设施的攻击事件,特别是电力、石油石化、轨道交通、水利水务等涉及国计民生的关键基础设施安全成为网络攻击的重要实施目标;此外,针对金融领域、网上支付系统、移动科技、社交网络等对象的攻击类型不断更新,多与金融犯罪和用户隐私等价值目标紧密相关。
1.以色列国家电力当局遭受网络袭击
在2016年1月26日举行的2016CyberTech网络技术大会上,以色列基础设施、能源及水资源大臣Yuval Steinit向与会人员透露,以色列电力当局于1月25日遭到黑客软件严重袭击,许多电脑遭袭后瘫痪两天。其随后于会上称当局已监测到病毒软件并正安装正确软件来进行修复,并呼吁网络时代大家应重视网络袭击事件,共同努力抗击网络入侵行为。其称“网络对基础设施的攻击会致使供电站及整个能源供给系统瘫痪……并导致人员伤亡。”此次事件起源是该电力当局内一名员工打开了一封钓鱼邮件后感染病毒,并将病毒传染给其他同事的电脑。①Julian Robinson. Hackers Cripple Israel's Electricity Grid with Cyber Attack Just as Temperatures Drop Across the Country. Jan. 27, 2016. Daily Mail. http://www.dailymail.co.uk/news/article-3419426/Hackers-cripple-Israel-s-electricity-grid-cyberattack-just-temperatures-drop-country.html国家电力当局发言人在当地的媒体采访时表示局内遭到入侵的电脑已切断网络,而Steinit的言论也令不少人担心以色列的电网系统会因此切断。②Mary-Ann Russon. Israel: Electricity Board Crippled by Ransomware Cyberattack Causing Widespread Panic. January 28, 2016. International Business Time. http://www.ibtimes.co.uk/israel-electricity-board-crippled-by-ransomware-cyberattackcausing-widespread-panic-1540615
2.菲律宾史上“最大”政府数据泄露事件
2016年3月27日,菲律宾全国选举委员会(COMELEC)存有的大约5千万注册选民的个人信息,包括1580万选民的指纹及护照信息遭到黑客组织LulzSec Pilipinas窃取。该黑客组织随后在网上发布了盗取数据的下载链接,文件容量达340G。同日早些时候,COMELEC官方网站被自称是“匿名菲律宾人”的黑客组织攻陷,该组织留下文字讯息谴责COMELEC没有为即将到来的菲律宾大选做好投票机器的安保工作。③Alex Hern. Philippine Electoral Records Breached in 'Largest Ever' Government Hack. April 11, 2016. The Guardian. https://www.theguardian.com/technology/2016/apr/11/philippine-electoral-records-breached-government-hack尽管COMELEC官方声称此次泄露的数据无敏感信息,④Tina G. Santos. Comelec Shrugs Off Hacking. March 29, 2016. Philippine Daily Inquirer. http://newsinfo.inquirer. net/776683/comelec-shrugs-off-hacking网络安全软件及服务领域的全球领军公司趋势科技(Trend Micro)在对该事件进行调查后表示,此次数据泄露还包括130万海外菲律宾选民的护照信息及从2010年起参加总统竞选的人员名单等,可谓是“史上最为严重的政府数据泄露事件。”⑤Leisha Chi. Philippines Elections Hack 'Leaks Voter Data'. April 11, 2016. BBC News. http://www.bbc.com/news/ technology-36013713其进一步表示,此次事件再次强调了政府部门需要在数据管理人员的监督下依据信息敏感度分类隔离并保护数据。
3.土耳其国民信息数据库泄露事件
2016年4月,土耳其爆发史上规模最大的信息泄露事件,包括土耳其总统雷杰普•塔伊普•埃尔多安在内的近5000万土耳其公民个人信息被黑客曝光至网络上。曝光的信息内容包括公民姓名、性别、身份证号、出生日期、家庭地址,父母姓名等一连串敏感信息。这批数据被打包成大小为1.6G(解压后为6.6G)的文件发布到芬兰某一服务器上供全球人民下载。除披露上述信息外,黑客还指出土耳其政府信息数据库存在的漏洞,大肆嘲讽其数据库管理及编码加密能力。同时,信息发布者还将矛头指向土耳其总统及特朗普,指责二人均无领导才能,无法胜任总统职位。其还对土耳其社会局面进行批判,“谁会想到,土耳其国内的意识形态倒退、任人唯亲与不断上升的宗教极端主义情绪会导致技术基础设施的崩溃与缺陷?”⑥Robert Tait. Personal Details of 50 Million Turkish Citizens Leaked Online, Hackers Claim. April 4, 2016. The Telegraph. http://www.telegraph.co.uk/news/2016/04/04/personal-details-of-50-million-turkish-citizens-leaked-online-ha/土耳其官方宣称此次泄露的信息内容为旧有数据,并不具有时效性。⑦Turkish Authorities' Probing Huge ID Data Leak. April 6, 2016. BBC News. http://www.bbc.com/news/technology-35978216虽然此次泄露的信息不包括公民信用卡号、邮箱地址及密码等,但无论如何,此次信息泄露事件规模之大(涉及人数、信息之多)可谓土耳其史上之最。居民出生日期、家庭住址等信息的泄露可诱发诈骗、盗窃等犯罪。
4.美国民主党全国委员会邮件泄露
维基解密(WikiLeaks)网站于2016年7月22日起陆续发布了美国民主党国家委员会高层七位关键人物的4.5万封邮件及1.8万条附件信息,时间跨度从2015年7月份算至2016年5月底。维基解密并未对信息来源做出说明,而事后一名绰号为Guccifer 2.0的黑客宣称对此事负责。此次邮件泄露事件直接导致民主党全国委员会主席Debbie Wasserman Schultz、首席执行官Amy Dacey以及首席财务官Brad Marshall陆续辞职。2016年7月25日,民主党全国委员会为其在泄露邮件中的言论向总统竞选人桑德斯(Bernie Sanders)书面致歉,称委员会并未在竞选过程中保持中立与公正。①Alana Abramson, Shushannah Walshe. The 4 Most Damaging Emails From the DNC WikiLeaks Dump. July 25, 2016. ABC News. http://abcnews.go.com/Politics/damaging-emails-dnc-wikileaks-dump/story?id=408524482016年10月,维基解密又接连公开了总统候选人希拉里竞选团队主席John Podesta的近2000封个人邮件。其中一条2014年8月份希拉里发送的邮件内容涉及了如何打击ISIS的八点主张,其中包括为驻叙利亚及伊拉克的库尔德部队提供军事扶助。②Bethan McKernan. Hillary Clinton Emails Leak: WikiLeaks Documents Claim Democratic Nominee' Thinks Saudi Arabia and Qatar Fund ISIS. Independent. http://www.independent.co.uk/news/world/politics/hillary-clinton-emails-leak-wikileaks-saudiarabia-qatar-isis-podesta-latest-a7355466.html
5.美国国家安全局“方程式组织”遭黑客攻击
2016年8月13日,一个自称为“影子经纪人”(The Shadow Brokers)的黑客组织攻击了美国国家安全局顶级“网络武器库”—“方程式组织”(Equation Group),并泄露了该网络库中部分用于大规模监控及攻击全球计算机的黑客工具及数据信息。③Hackers Auction Files' Stolen From NSA. August 16, 2016. BBC News. http://www.bbc.com/news/technology-37095037该黑客组织表示,将对手中尚未曝光的数据进行拍卖,并在筹集到100万比特币(约5.68亿美元)之后将所有窃取到的信息公之于众。“方程式组织”一直被认为与美国国安局关系紧密,据卡巴斯基安全公司2015年发布的报告,该组织为世界上最强悍的黑客组织。④美国国家安全局网络“武器库”被黑客组织攻入.2016年8月22日,中国信息安全测评中心.http://www.itsec.gov. cn/export/sites/itsec/news/5b8e94bc-6b5d-11e6-b846-4fa1f1c236bf/美国中央情报局前技术分析人员爱德华•斯诺登表示,美国国安局用于黑客目的的服务器并非首次遭到攻击,不过泄露信息被公开可谓前所未有。美国国安局前工作人员大卫•埃德尔(Dave Aitel)认为,几乎可以确信此次数据泄露与导致美国民主党数位领导人辞职的针对该党派的黑客袭击事件有关。⑤Kevin Rawlinson. Edward Snowden: Russia Probably Behind NSA Leak. August 17, 2016. BBC News. http://www.bbc.com/ news/technology-37104745
6.俄罗斯发生多起大规模数据泄露事件
2016年9月6日,数据泄露索引服务网站LeakedSource报告称俄罗斯访问量最大的搜索引擎Rambler.ru曾于2012年遭到黑客攻击,致使约1亿用户的包括用户名、口令、ICQ号码在内的账户信息被掳走。数据分析显示,不同于其他数据泄露事件,本次泄露的密码信息并未进行过哈希加密,全部以明文的方式保存。而在几天前,LeakedSource还公布过另一起数据泄露事件,即黑客攻击了俄罗斯一家论坛网站vBulletin,并泄露了约2700万用户的个人信息,其中大部分用户都来自俄罗斯十分流行的Mail.ru邮件产商旗下的三个游戏论坛。⑥Zack Whittaker. Over 25 Million Accounts Stolen After Mail.ru Forums Hacked. August 24, 2016. ZD Net. http://www.zdnet. com/article/over-25-million-accounts-stolen-after-mail-ru-forums-raided-by-hackers/同样与Mail.ru相关,此前5月份,曾帮助揭露过Adobe、JPMorgan等公司数据泄露事件的网络信息安全公司Hold Security首席信息安全官Alex Holden确认称,俄罗斯黑客已成功地盗取了2.723亿个帐号信息,以Mail. ru用户为主,此外还有Gmail地址、雅虎以及微软电邮Hotmail用户。路透社称,数以亿计的数据目前正以廉价在“俄罗斯地下黑市”进行售卖。⑦Eric Auchard. Exclusive: Big Data Breaches Found at Major Email Services - Expert. May 5, 2016. Reuters. http://www. reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6
7.雅虎用户数据泄露事件
2016年9月22日,雅虎公司首席信息安全主席鲍勃•罗德(Bob Lord)发表声明,承认公司约5亿用户的账户信息于2014年底遭到黑客窃取,丢失的信息可能包括姓名、电子邮箱、电话号码、出生日期及安保问题和答案等。声明还称此次黑客行动可确信是由某国政府支持实施,同时呼吁用户修改密码并重新设置安保问题。①FBI调查雅虎大规模泄密事件:10亿账户数据被盗。2016年12月16日.《中国日报》http://www.chinadaily.com.cn/ interface/toutiaonew/1020961/2016-12-16/cd_27691825.htmlFBI、美国执法部门以及雅虎方面均对该次事件展开了调查,雅虎称调查结果显示用户支付卡数据和银行账户信息没有被窃。②Mark Fahey, Nicholas Wells. Yahoo Data Breach is Among the Biggest in History. September 22, 2016. CNBC. http://www. cnbc.com/2016/09/22/yahoo-data-breach-is-among-the-biggest-in-history.html2016年12月14日,雅虎公司再次发表声明,称公司于2013年8月被黑客袭击,大约10亿账号信息被泄露。据纽约时报报导,泄露信息已开始于暗网拍卖。③王逸君,全球最大信息泄露事件:雅虎超10亿用户信息遭窃.2016年12月16日.人民网. http://world.people.com.cn/ n1/2016/1216/c1002-28954943.html雅虎两次大规模信息泄露事件对雅虎公司打击巨大,除股价下跌,形象受损、用户流失外,其与美国第一大移动运营商Verizon公司于7月底达成的48.3亿美金的雅虎核心业务收购计划也将受阻。④Seth Fiegerman. Yahoo Says 500 Million Accounts Stolen. September 23, 2016. CNN News. http://money.cnn. com/2016/09/22/technology/yahoo-data-breach/事发后Verizon在10月表示,公司将重新评估其与雅虎的收购交易。
8.全球著名的成人交友网站AdultFriendFinder遭遇互联网史上最大泄露事件
全球著名成人主题短期约会交友网站AdultFriendFinder继2015年5月份遭受网络攻击泄露400万账户信息后,2016年11月再次遭遇网络攻击事件并直接导致3.4亿个账户信息被泄露,这是互联网史上涉及被盗账户最多的数据泄露事件。⑤Andrea Peterson. Adult FriendFinder Hit With One of the Biggest Data Breach Ever, Report Say. Nov.14, 2016. Washington Post. Available: https://www.washingtonpost.com/news/the-switch/wp/2016/11/14/adult-friendfinder-hit-with-one-of-thebiggest-data-breaches-ever-report-says/?utm_term=.5bffe52387e9泄露信息包括用户的个人身份数据,比如邮箱地址、用户名、邮编及出生日期以及可用于定位的IP地址等,还包括更为隐私的信息如性偏好等。从黑客泄露出的付费用户账户信息以及用来注册网址的电子邮件地址来看,其用户群不乏美国联邦或地方机构雇员,已确认的账户持有人中有些人使用的电子邮件地址是可被追溯到美国国土安全部、联邦航空管理局、乔治亚州奥古斯塔地方政府、弗吉尼亚州政府和华盛顿特区警察局的电子邮件。其中一个账户持有人用了Navy.mil的电子邮件注册,被黑的账户记录显示此人登录约会网站的IP来自弗吉尼亚海滩的海军网络信息中心。⑥Waqas. Adult Dating Site Hack Reveals Sexual Secrets of Millions, Including Feds and Cops. May 23, 2015. Available:https:// www.hackread.com/adult-friend- finder-hacked/此外,在本次数据泄露事件里,受害用户的损失无法通过修改信用卡或修改密码来弥补,在删除账户信息后,部分受害者仍然会收到大量垃圾邮件。⑦Data Breach of Adult Dating Site Exposes Victims to a Different Kind of Threat. Trend Micro. Available: http://www. trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/data-breach-of-adult-dating-site-exposes-victims-to-adifferent-kind-of-threat
9.旧金山市政交通局遭黑客软件袭击勒索
2016年11月28日,黑客利用恶意软件入侵了旧金山市政交通局售票系统,于交通局内售票电脑留下“你们被黑了,所有数据均被加密”字样,并以使售票机器正常工作为筹码勒索交通局100比特币(约7万美金)。不过黑客并未得逞:市政交通局随后允许旧金山市市民免费乘坐轻轨交通并于两天后内恢复了售票系统。黑客随后威胁称,若交通局不对其脆弱的安保系统进行修理,其将泄露30G的交通局员工及顾客信息。⑧Robert Hackett. Hackers Threaten to Release 30 GB of Stolen Data From San Francisco's Municipal Railway. Nov. 29, 2016. Fortune. http://fortune.com/2016/11/28/muni-hack-san-francisco/旧金山市政交通局发言人称,此次黑客入侵事件并未对交通运输、安全系统及市民个人信息带来任何威胁。①Thomas Fox-Brewster. Ransomware Crooks Demand $70,000 After Hacking San Francisco Transport System. Nov. 28, 2016. Forbes. http://www.forbes.com/sites/thomasbrewster/2016/11/28/san-francisco-muni-hacked-ransomware/#3facf5e154dd此黑客组织曾数次通过Cryptom27@yandex.com在网络上进行勒索。
10.国家电网手机客户端信息遭泄露
2016年12月13日,央视新闻、南方都市报、21世纪经济报等媒体指出国家电网官方移动APP“掌上电力”及“电e宝”存在信息泄露问题,涉及用户规模达上千万,且部分泄露信息可能经由淘宝等平台流入黑色产业链。②国家电网否认千万APP用户数据泄露.2016年12月14日.中国网.http://news.china.com/zh_cn/ tech/11184589/20161214/30078421.html“掌上电力”及“电e宝”是国家电网自2014年起推出的便民服务类移动端应用程序,注册用户至今已接近9000万。用户需使用手机或微信登陆注册,并绑定家庭电表户号、密码等方可使用操作,绑定后可进行电费充值、故障报修、要求应急送电、查看停电通知等。自2016年5月国家各地区电力公司规模推广此APP之后,淘宝网站出现数千家商铺提供“掌上电力”注册绑定服务,部分商铺单日销量达80万笔。各地电力公司向淘宝商户提供包括用户省市、户号、查询密码等数据,淘宝店铺再转手倒卖至黑产。③国家电网APP出现数据泄露 涉及用户已超千万.2016年12月13日.《观察者》.http://www.guancha.cn/ economy/2016_12_13_384168.shtml事后国家电网在官微中声明“经再次查证,在推广‘掌上电力’、‘电e宝’APP过程中不存在泄漏大量客户信息的情况。”并举报淘宝上开办此业务的商家。目前,淘宝的“掌上电力”、“电e宝”APP注册服务等已无搜索结果。
网络安全已成为各国国家安全的重要组成部分,自2015年以来各国政府对网络安全顶层设计重视程度明显提升,相继发布网络安全方面的战略性文件或出台相关立法。2016年全年共有包括美国、欧盟、中国、俄罗斯、英国等在内的13个主要国家和地区发布或更新网络安全战略性文件或重要立法(见表1),遍布美洲、欧洲、亚洲、大洋洲和非洲。总体上看,2016年各国在网络空间的战略上和政策上都有明显升级调整,其中关键基础设施保护、网络信息/数据安全、公民个人信息隐私安全保护、打击网络犯罪均是各国网络安全政策保障重点;此外,各国战略性文件或立法对政府、公共和私营部门各方在网络空间安全保障中的责任和义务都加以明确,以期更好地规制网络空间安全。
(一)美国
2016年2月9日,美国总统奥巴马宣布推出《美国国家网络行动计划》(Cybersecurity National Action Plan, 缩写为NAP)。④Fact Sheet: Cybersecurity National Action Plan. Office of the Press Secretary, the White House. Available: https://www.whitehouse.gov/thepress-office/2016/02/09/fact-sheet-cybersecurity-national-action-plan这是本届美国政府通过七年时间努力出台的网络安全方面具有重要意义的象征性文件,涵盖一系列短期行动计划和长期战略目标,旨在全面提升联邦政府、私营企业以及个人生活的网络安全。《网络安全国家行动计划》主要吸纳了奥巴马政府当任七年来对于网络安全趋势、网络威胁、网络入侵等方面的经验和教训总结,从国家战略层面进一步提高对网络安全的关注和保护,保护隐私,保证公众安全以及经济和国家安全。其具体包括如下重要举措:
1.建立了“国家网络安全促进委员会”。该委员会将由来自政府外的顶级战略、业务部门与技术智库专家,包括两党国会领袖指定的成员组成。委员会就未来十年的行动提出建议,包括在加强公共和私营部门网络空间安全的同时保护隐私,维护公共、经济和国家安全;开发新的技术解决方案;加强联邦、州和地方政府和私营部门在开发、推广和使用的网络空间安全技术、战略和做法等方面的伙伴关系。
表1.2016年世界主要国家和地区网络安全方面的战略性文件和立法总览
2.设立信息技术现代化基金。专门分配31亿美元用于信息技术现代化基金建设,升级已过时或难维护的政府现有IT和网络安全管理基础设施。同时设立联邦首席信息安全官(the Federal Chief Information Security Officer)。这是美国首次设立专职的高级政府职位,致力于制定、管理和协调整个联邦政府范围内的网络安全战略、政策和运行。
3.加强美国公民在线账户的保护,除密码外,辅以指纹、短信发送一次性密码等更多安全措施。通过“国家网络安全联盟”(the National Cyber Security Alliance)发起了新的国家网络安全宣传行动(National Cybersecurity Awareness Campaign),专注多重认证,以提升、培育信息消费者的网络安全意识。“国家网络安全联盟”为非营利性组织,其成员包括美国国土安全部(DHS)以及赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多重验证机制,同时实施一套尚未最终定名的“有效身份认证”方案。合作者包括Google、Facebook、DropBox、Microsoft等顶尖技术公司,以及MasterCard、Visa、PayPal和Venmo等交易服务公司。
4.联邦政府继续加大网络安全资金投入。2017年网络安全总体支出将超过190亿美元,比2016年的预算分配增加了35%;其中,在网络空间安全人员方面投资将超过6200万美元。这主要用于:建立网络安全预备役(Cyber Corps Reserve)计划;开设网络安全的核心课程;《国家网络空间安全学术卓越中心计划》(National Centers for Academic Excellence in Cybersecurity Program)等。
(二)欧盟
2016年7月6日,欧洲议会全体会议正式通过了《网络与信息安全指令》(Directive on Security of Network and Information Systems, NIS Directive),①Fact Sheet: Directive on Security of Network and Information Systems, European Commission. Available: http://europa.eu/rapid/pressrelease_MEMO-16-2422_en.htm这是欧盟出台的第一个欧盟层面关于网络与信息安全的指导性法规,在欧盟网络安全战略与实践中具有里程碑式意义(NIS指令当月即时生效,之后成员国须于21个月之内将其转化为国内法)。NIS指令明确了欧盟关于网络安全的顶层制度设计,确立网络安全国家战略,强调合作与多方参与,确立网络安全事故通知与信息分享机制,对数字服务提供者采取轻监管思路,避免过度监管对互联网行业发展产生不利影响。其核心目的是通过三个层面在欧盟范围内实现统一的、高水平的网络与信息系统安全:
1.在成员国层面提升各国网络空间安全保障能力。指令规定了成员国层面的义务:第一,各成员国需要制定国家层面的网络与信息安全战略,明确网络安全领域的战略目标以及相应的政策措施,以指导具体操作。第二,各成员国必须设立或指定(一个或多个)国内职能机构,在国家层面负责监管、执行指令各项要求。第三,建立网络和信息系统安全领域的“单点联络机构”(single point of contact),负责在成员国主管机构、其他成员国相关机构间和指令创建的合作机制的联络与协作。第四,组建计算机安全事件响应工作组(Computer Security Incident Response Teams,CSIRTs)。
2.在欧盟层面增进成员国间的协同合作。指令规定成立一个“协同工作组”(Cooperation Group)以支持和促进成员国间的战略合作与情报交换,提升各方的信任水平。此外,指令还要求建立“计算机安全事件响应工作组网络”(CSIRTs Network),将有各国CSITR代表和欧盟机构计算机紧急事件响应工作组(the Computer Emergency Response Team for the EU institutions, agencies, bodies, CERT-EU)组成,从而在操作层面确保各成员国在处理网络安全事件与风险情报共享环节迅速、有效的协作,提升网络安全事件的快速响应及处置能力。
3.在企业层面规定“关键服务经营者”和“数字服务提供商”两类主体有风险管理和事故报告的义务。首先,指令认为“关键服务经营者”(operator of essential services)在经济社会中占据重要地位,根据指令规定了关键服务经营者的三项义务:第一,应当采取适当的技术和组织措施管理网络安全风险,这些措施应当确保一定程度的网络安全;第二,应当采取恰当的措施防止、削弱网络安全事件的影响;第三,应当将具有重大影响的网络安全事件通知主管机构。其次,对于“数字服务提供商”(digital service provider),即在线市场提供商、云计算服务提供商以及搜索引擎提供商等,指令同样要求其三项义务:第一,数字服务提供者应当采取适当的技术和组织措施管理网络安全风险,所采取的措施应当确保一定程度的网络安全;第二,应当采取措施防止、削弱网络安全事故的影响;第三,应当将具有实质影响的网络安全事故通知主管机构。
(三)中国
2016年11月7日十二届全国人大常委会第二十四次会议审议并通过了《网络安全法》,该法将于2017年6月1日起施行。①《中华人民共和国网络安全法》,载《全国人民代表大会网》2016年11月7日。《网络安全法》作为中国国家实施网络空间管辖的第一部法律,其出台从根本上填补了我国综合性网络信息安全基本法、核心的网络信息安全法和专门法律的空白,②高红静:“探讨《网络安全法》出台的重大意义”,载《环球网》2016年11月8日。使得中国在信息化时代的网络安全方面将有法可依。《网络安全法》共有7章79条,全面和系统地确立了各个主体包括国家有关主管部门、网络运营者、网络使用者在网络安全保护方面的义务和责任。另外,它确立了保障网络的设备设施安全、网络运行安全、网络数据安全、以及网络信息安全等各方面的基本制度。内容上有六方面亮点:③《网络安全法》正式出台:明确网络空间主权,载《人民网》2016年11月7日。
1.明确了网络空间主权的原则。比如,《网络安全法》第一条“立法目的”明确规定要维护我国网络空间主权。第二条明确规定本法适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
2.明确了网络产品和服务提供者的安全义务。
3.明确了网络运营者的安全义务。比如第三章第二十一条和第二十五条明确规定了网络运营者的有保障网络免收干扰、破坏或者未经授权的访问,制定应急预案和在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告等义务。
4.进一步完善了个人信息保护规则。《网络安全法》第四章专门阐述了用户信息保护要求,明确了个人信息的收集、使用、保存和删除等方面的义务,要求网络运营者建立健全的用户信息保护制度。
5.建立了关键信息基础设施安全保护制度。比如国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。并且强调关键信息基础设施的具体范围和安全保护办法由国务院制定等。
6.确立了关键信息基础设施重要数据跨境传输的规则。《网络安全法》第三十七条明确规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
(四)俄罗斯
2016年12月6日,俄罗斯总统普京签署法令批准了新版《俄罗斯联邦信息安全学说》(Informational Security Doctrine of the Russian Federation),④Указ Президента Российской Федерации от 05.12.2016 № 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" . http://publication.pravo.gov.ru/Document/View/0001201612060002?index=0&rangeSize=1上一版信息安全学说是在2000年9月发布的。该《信息安全学说》的出台旨在确保俄罗斯在信息领域的国家安全,并从战略层面防止和遏制与信息科技相关的军事冲突。《信息安全学说》全文包括五章34条,该《学说》虽极少涉及具体步骤,但确定了新政策的总体目标,包括扩大军队的外宣力度及加强对俄罗斯互联网的管控。⑤俄罗斯颁布新《信息安全条例》,载《透视俄罗斯》2016年12月19日。http://tsrus.cn/kuaixun/2016/12/19/655941具体要点包括:
1.总则:《信息安全学说》体现出在信息领域保障俄罗斯联邦国家安全的官方的,带有系统性特点的观点。《信息安全学说》是在保障俄罗斯联邦的国家安全领域的战略规划文件,其中对俄罗斯联邦国家安全战略的条款和这一领域的其它战略规划文件进行了发展。
2.信息安全领域的国家利益:具体包括“遵守宪法和公民对信息获取和使用的自由,个人生活不可侵犯”,“发展俄联邦信息技术行业”,“确保在和平时期、受直接侵略威胁和战争时期,俄信息基础设施都能够不间断稳定发展并发挥作用”,“俄罗斯及国际舆论可知晓有关国家政策的真实信息”,以及“向世界推广俄罗斯人民的精神和文化价值观”。
3.俄罗斯在信息安全方面存有诸多威胁。比如:外国正在增强信息通信技术领域的潜力,其中包括打击俄联邦关键信息基础设施(电网、交通控制系统等)和针对俄罗斯国家机关、科研机构和国防企业的技术间谍活动;在涉及经济方面的信息安全领域存在很多不足,如俄国内工业在电子元件、软件支持等领域很大程度上仍依赖外国信息科技机构;一些国外媒体的报道对俄国家政策片面或偏颇报道;同时外国情报机构正试图对俄青年施加影响,以改变他们的传统道德价值观等。
4.保障信息安全的战略目标和主要方向:《信息安全学说》分别从国防领域,社会安全领域,经济领域,科学、技术和教育领域,战略稳定和平等伙伴关系领域5个领域明确了俄罗斯保障信息安全的战略目的,并指出其具体方向。
5.保障信息安全的组织基础:《信息安全学说》强调信息安全保障系统是俄罗斯联邦国家安全保障系统的组成部分。以综合立法、执法、权益保护、司法、监督和国家机关其它类型的活动为基础,在同地方自治机关、组织和公民配合的情况下实现保障信息安全的目的。信息安全保障系统的内容由俄罗斯联邦总统确认;信息安全保障系统的的组织基础由以下部分构成:俄罗斯联邦联邦会议联邦委员会(上院)、俄罗斯联邦联邦会议国家杜马(下院)、俄罗斯联邦政府、俄罗斯联邦安全委员会、联邦权力机构、俄罗斯联邦中央银行、俄罗斯联邦军事工业委员会、由俄罗斯联邦总统和俄罗斯联邦政府建立的跨部门机构、俄罗斯联邦主体权力机构、地方自治机构、及根据俄罗斯联邦法律规定参加到保障信息安全任务中的司法机构。与此同时,《信息安全学说》还明确了国家机构在保障信息安全方面的原则和任务。
(五)英国
2016年11月1日,英国政府启动新一轮的“国家网络安全战略2016-2021”,①National Cyber Security Strategy 2016-2021. UK Government. https://www.gov.uk/government/uploads/system/uploads/attachment_data/ file/567242/national_cyber_security_strategy_2016.pdf主要明确应该网络安全战略的三个目标:(1)防御(defend),包括实施积极的网络防御政策,有效应对突发事件;确保政府部门、关键国家基础设施和其他核心部门的网络安全;提升公民、企业和公共部门网络安全意识和危机管理能力。(2)震慑(deter),包括追捕和起诉罪犯,打击网络犯罪;适时反击敌对行动;应对网络恐怖;提升进攻性网络能力和加密技术。(3)发展(develop),包括建立由世界领先的科学研究和发展支撑的网络安全技术产业;大力发展网络安全专业机构;建立世界级的信息保障和网络专业人才渠道,提供满足我们在公共和私营部门的国家需求的技能;利用前沿分析和专业知识使英国能够克服未来的威胁和挑战。基于上述目标,英国政府将采取以下行动:
1.采取“国际行动”,通过投资那些可以让全球网络空间的发展朝着有利于英国经济和安全利益的方向发展的伙伴关系来发挥英国影响力。不断扩大与国际伙伴的合作,推动共同安全;与新合作伙伴建立关系,以保护英国在海外的利益。同时通过包括欧盟、北约和联合国在内的多边治理机制,促进双边和多边合作,加强网络安全。
2.加大干预力度,利用市场力量提高英国的网络安全标准。英国政府将与苏格兰、威尔士和北爱尔兰的行政管理部门合作,与私营和公共部门合作,确保个人、企业和组织采用措施保持自身的网络安全。不断加强关键国家基础设施的网络安全,推动网络安全领域的改进,使其符合英国的国家利益。
3.借助工业界的力量,开发和应用积极的网络防御措施,以提高英国的网络安全水平。这些措施包括最大程度减少最常见的网络钓鱼攻击,过滤已知的不良IP地址,并主动遏制恶意网络安全活动,提高英国对最常见的网络威胁的抵御能力。
4.启动国家网络安全中心(National Cyber Security Center,NCSC),使其成为英国网络安全环境的权威机构。该机构将致力于分享网络安全知识,修补系统性漏洞,为英国网络安全关键问题提供指导。
5.确保武装部队具有网络弹性以及强大的网络防御能力,从而能够捍卫其网络和平台的安全,并能够协助应对重大的国家网络攻击。
6.确保能够采用与我们响应任何其他攻击相同的手段应对网络攻击,使用最适当的能力,包括进攻性网络能力。
7.利用英国政府的权威性和影响力,投资包括从学院到大学和整个社会的人才发展计划,解决英国网络安全技术短缺的问题。
8.成立两个新的网络创新中心,来推动尖端网络产品和网络安全公司的发展。拨款1.65亿英镑设立国防和网络创新基金(Defense and Cyber Innovation Fund),以支持国防和安全领域的创新采购。
9.巨额资金支持。英国将在2016—2021年期间投资约19亿英镑(约合23亿美元)用于加强网络安全和能力。
(六)澳大利亚
2016年4月21日,澳大利亚政府颁布了《澳大利亚网络安全战略》(Australia's Cyber Security Strategy),①"Australia's Cyber Security Strategy: Enabling growth, innovation and prosperity", Australian Government. Available: https:// cybersecuritystrategy.dpmc.gov.au/assets/img/PMC-Cyber-Strategy.pdf旨在通过强有力的网络安全确保国家的创新、增长和繁荣。这一战略符合澳大利亚政府更广泛的国家创新和科学议程(National Innovation and Science Agenda),有助于为澳大利亚缔造一个现代的、有活力的二十一世纪经济体系。《澳大利亚网络安全战略》为澳大利亚未来4年(至2020年)确立了针对网络安全行动的5个主题,即全国性的网络合作、稳固的网络防御能力、全球性责任及影响、发展与创新、网络智能国家,以及明确了政府即将采取的行动计划:
1.全国性网络合作
澳大利亚政府将主办年度网络安全领导人会议,总理和商业领导人制定了战略性网络安全议程,并推动该战略的实施;简化其网络安全治理和结构,以改善私营部门和公共部门之间的互动,并将迁移澳大利亚网络安全中心,以实现其增长,并使政府和私营部门能够更有效地合作;与私营部门和学术界合作,更好地了解恶意网络活动对澳大利亚经济的成本。
2.稳固的网络防御能力
为了实现此目标,政府将建立一种分层方法,通过联合网络威胁共享中心(最初设点在首都堪培拉)共享实时公共—私人网络威胁信息和在线网络威胁共享门户;与私营部门共同设计国家自愿网络安全指南;更新澳大利亚信号局发布的“缓解目标网络入侵的战略”;引入积极的网络安全治理“健康检查”,使董事会和高级管理层能够更好地了解他们的网络安全状况;支持小企业对其网络安全性进行测试;提高澳大利亚网络安全中心应对网络安全威胁和网络犯罪的能力;更新和调整网络事件管理安排与国际合作伙伴,并与私营部门共同应对恶意网络活动;支持政府机构改善其网络安全,包括指导政府机构管理ICT设备和服务的供应链安全风险。
3.全球性责任及影响
具体措施有任命澳大利亚第一个网络大使;发布国际网络参与战略;倡导开放、自由和安全的互联网,使所有国家在网上创造增长和机会;展开国际合作关闭安全港和防止恶意网络活动,特别是印度洋—太平洋地区的活动;在印度洋—地区以及其他区域通过公私伙伴关系建立网络能力。
4.发展与创新
与私营部门建立网络安全增长中心,以协调国家网络安全创新网络,开拓先进的网络安全研究和创新;促进澳大利亚网络安全产品和服务的发展和出口,特别是印度洋-太平洋地区;与企业和研究机构合作,更好地将网络安全研究和开发目标瞄准澳大利亚的网络安全挑战。
5.网络智能国家
通过澳大利亚各级教育系统中的有针对性的行动,从大学网络安全卓越的学术中心开始,并通过增加这种劳动力的多样性,解决网络安全专业人员在劳动力方面的短缺;与私营部门和国际合作伙伴合作,提高对社区网络安全重要性的认识。
(七)巴西
经过五年多的公开磋商讨论,2016年5月13日巴西国会通过第5276/2016号《个人数据保护法案》(Personal Data Protection Bill)的最终草案。该法案包括此前草案是由司法部国家消费者保护局(SENACON)与司法部法律事务厅(Office of Legal Affairs)联合编写的。①Fábio Pereira, Veirano Advogados. "Privacy and data protection: recent developments in Brazil", International Bar Association. January 19th, 2016. Available: http://www.ibanet.org/Article/Detail.aspx?ArticleUid=5f5aab45-7e98-4ced-a1ec-d1a59c7d6b32主要目的是确保公民在使用和处理其个人信息方面的基本权利,从而能够更好地控制收集这些信息,无论这些信息是在国家领土还是在国外的服务器。该法案确立了诸多数据保护原则,旨在在巴西创建一个全面的数据保护框架:
1.最终性原则,根据该原则,数据使用应当以合法目的,具体地、明确地告知数据所有者;
2.充分性原则,根据数据使用情况,使用应符合数据所有者的期望目的和合理期望;
3.必要性原则,其中规定数据使用应限于实现其目标、目的所需的最低限度,包括适当,相称和不过分的数据;
4.自由获取原则,数据的所有者应确保数据的自由、便利地获得和其个人数据的完整性;
5.数据质量原则,必须根据满足其使用目的所需的频率,确保数据的准确,清晰和更新(即数据处理的持续时间必须纳入考虑);
6.透明度原则,必须向数据所有者保证有关完成数据使用的明确和充分的信息。
此外,根据第38和39条,在《数据保护法案》架构下还专门成立了国家数据保护和隐私委员会(National Council for Data Protection and Privacy),负责实施和监督立法。其结构和属性在具体立法和各种权限中加以确定,以确保执行立法规定,还用于评估国家数据保护政策的某些方面或调查可能的侵权行为,包括执行行政制裁,促进数据保护意识,要求控制者进行隐私影响评估。
(责任编辑:钟宇欢)
Review of the Situation of Global Cybersecurity 2016
SHEN Yi YANG Yang
In 2016, the situation of global cybersecurity has become more complicated. More and more important cybersecurity issues which could be categorized as the threat toward national security happened frequently. How to ensure the security and safety of the critical infrastructure, how to effectively manage the national security related data resources, and how to protect the cybersecurity in the critical domestic political process, has become the key test of the national cybersecurity capacity. The major state actors, in 2016, have taken quick actions to counter the cyber threat via producing new strategic files, designing new institutions and regimes, and making speci fied policies. Of course, at the same time all these measures promote the further sovereignty and security of the global cyberspace.
Cybersecurity; Sovereignty; Securitization
G20
A