2014年6月,德國“人道聯盟”、“新法官聯合會”等八個民權組織推出《2014年基本權利報告》,譴責美國國家安全局非法實施大規模監聽、嚴重侵犯個人權利的行為,提出包括為斯諾登提供有效保護、簽訂歐盟和美國之間數據保護協議等七項政治、司法訴求。德國聯邦總檢察長哈拉爾德?朗格宣稱,將對美國情報機構監聽總理默克爾手機一事啟動刑事調查。[1]據《南德意志報》報道,聯邦檢察院已對此事進行了數月審查,收到了德國民眾舉報美國監聽的2000份訴訟請求。聯邦情報局還計劃投入約3億歐元啟動針對臉譜、推特等社交平臺的實時監控。
美國國安局毫無根據的大規模監聽行為超乎想象,終于令身為盟友的德國人感到切膚之痛。盡管有分析猜測,因搜索取證十分困難等原因,此次刑事調查可能只是“象征性的”。但是,它畢竟直接表達了出不滿和憤怒,“可能傷害到美國與歐洲國家的盟友關系”。對此,國際人權聯盟副主席羅爾夫?格斯納批評道:美國發動了“一場黑暗的情報信息戰”,“挑戰了民主和基本權利的存在基礎”。“這種體制內部的威脅,比恐怖主義本身更可怕”。自2013年“棱鏡門”曝光的一年多來,網絡安全不僅越來越多地掀起國際輿論聲浪,也越來越深地觸及大國關系。雖然美國一再用“反恐”作幌子遮蓋監聽丑聞,但它作為國家行為體肆意踐踏民權、意欲稱霸網絡空間的野心和霸權主義思維世所公憤。大數據下的網絡安全,越發成為牽動國際關系和國家利益的敏感神經。
大數據之“憂”:凸顯網絡安全“脆弱性”
世界互聯網的發展,使信息流動突破了時間與空間的限制,無遠弗屆、自由延伸,模糊了國家領土邊界,對主權安全構成挑戰,也塑造著國與國之間的關系類型。大數據時代,網絡安全屏障的脆弱性凸顯,引發了各國安全領域的新關切。
計算機互聯網通訊技術誕生于20世紀六七十年代,發展至今,已塑造了世界范圍內諸種行為體密切鏈接的網絡空間,自下而上架構了以基礎“物理層”、數字“代碼”層和信息“內容”層三個基本層面構成的閉合系統[2],顯露出網絡安全的四種基本特性:機密、完整、可用及可控。但自誕生之日起,網絡空間就成為各種利益集團爭奪的戰場,握有政治權力的國家、占據資本優勢的商業機構、自恃技術高超的個體,圍繞信息流動、觀念傳遞、權利規則展開了激烈角逐,網絡空間須臾未曾安寧,國家生存和利益關系面臨挑戰。
目前,來自虛擬空間的威脅可分為四大類型:黑客入侵、組織犯罪、網絡恐怖主義以及國家參與的網絡攻擊。為表達不滿而未造成破壞性的黑客入侵行為最為常見,一般不構成對一國安全的嚴重威脅,但所造成的個體、組織侵害不可忽視;那些影響到國家、社會利益,為達一定目的、有組織、蓄意實施的破壞性黑客行動對國家安全威脅程度最高,或直接表現為軍事威脅和打擊,或對金融、交通等要害造成沖擊、破壞,或實施網絡恐怖主義,挑起網絡戰爭,成為各國網絡安全防范的重要目標。
據維基百科定義,大數據是指無法在可承受時間范圍內用常規軟件工具進行捕捉、管理、處理的數據集合。21世紀的最初十年,隨著云計算、物聯網、移動互聯等新技術的發展,微博、微信等Web形態日新月異,PC機、手機、平板電腦以及遍布的傳感器,成為數據的主要來源和承載方式,既有軟件工具和傳統數據庫難以滿足提取存儲、分析處理海量數據的深度需求,大數據技術應運而生。在國家安全視域中,大數據一方面被稱作“未來的新石油”,繼陸、海、空之后的又一項“關鍵性核心資產”,譜寫了“華彩樂章”[3];另一方面,也被視作威脅的更新工具,給傳統國家安全制造了更大的風險和麻煩。
2010年以來,大數據泄露事件不絕于耳。日本的索尼PSN泄露事件中,770萬用戶賬戶遭竊[4],引發了新媒體傳輸的信用危機;2013年5月,菲律賓公務船射殺臺灣漁民引發民眾激憤,馬英九對菲發出通牒后,包括臺當局領導人辦公室、“海巡署”在內的臺灣官方網站隨即遭到黑客入侵,出現嚴重故障。據報道,攻擊IP均來自菲律賓。[5] 2013年6月,土耳其總理辦公室網等政府網站遭敘利亞網軍入侵。黑客信手涂鴉后公布了約90個用戶的電子郵件和明文密碼,他們還相繼竊取了英國廣播公司、《衛報》及美國洋蔥新聞賬號、發布了數條假消息。[6]
2014年3月底,美國非營利性組織開放安全基金會和威脅情報咨詢公司RBS合作發布的報告稱,2013年堪稱數據丟失大年,全球共發生2164起數據泄露事件,超過8.22億條記錄被曝光,幾乎是2011年的兩倍。[7]6月,IBM公司發起、波耐蒙研究所完成的《數據泄露年度成本研究報告》顯示,2013年,平均每起數據泄露事件的成本較2012年上升15%,達350萬美元(約合2190萬元人民幣)。全球范圍內,受害方在每起數據泄露事件中遭受的平均損失為145美元,比2012年增加9%。[8]
由于大數據傳輸具有數據量大、類型多、價值密度低、處理速度快、復雜性加大等特點,其分布式處理所加劇的信息數據泄露的風險更為顯著。尤為值得關注的是,像高級持續性威脅(APT)這類典型高級持續性攻擊不斷升級,因其時間長、過程復雜、不易于實時捕捉以及單點隱蔽能力強,可以很好地利用大數據進行隱藏,傳統防護策略很難覺察和檢測,往往在不知不覺中造成持久、顯著的破壞。相較于傳統攻擊,APT就像一支配備了精良武器的特種部隊,精準而高效,已成為國家間網絡對抗的新型有力武器。2013年3月20日,美、韓軍事演習期間,韓國多家廣播電視臺和銀行等金融機構遭受歷史上最大規模的惡意代碼攻擊,導致系統癱瘓,引發韓國社會一度混亂。
跟進“大數據”:各國網絡安全戰略新布局
大數據所暗藏的巨大潛力,使其成為新一輪利益角逐的戰略高點。近年,圍繞大數據建設出臺的國家網絡安全政策,一邊加緊提升抓獲、萃取、分析數據的能力,一邊借力強化國家安全戰略防御。
美國最早將大數據用作網絡安全戰略的核心技術保障。2009年,奧巴馬上任之初,就簽署了名為《透明和開放的政府》總統備忘錄,推進建成政府統一數據門戶網站。又相繼設置“總統安全協調官”一職,成立“網絡司令部”。通過一系列措施宣告了以大數據為核心,以觀念塑造、積極防御、攻擊性打擊為主旨的網絡安全新戰略起航。2011年,美國發布《網絡空間行動戰略》,對國際網絡空間強行制度化安排,確保美國的最大收益。
2012年3月29日,美國宣布投資2億美元,啟動“大數據研究發展計劃。”“通過收集、處理龐大而復雜的數據信息,獲得知識和洞見,提升能力,加快科學、工程領域的創新步伐,強化國家安全、轉變教育和學習模式”。[9]這一計劃涉及美國國家科學基金、能源部、國防部等六個聯邦政府部門。對此,哈佛大學肯尼迪政府學院霍爾德倫教授評論道:“像對超級計算和互聯網的投資一樣,大數據發展研究計劃將對美國的創新、科研、教育和國防產生深遠影響。”
在此戰略規劃下,美國國防部高級計劃署近期開始了“網絡內部威脅”、“洞察力”、“機器讀取”等大數據安全項目的研發,致力于大數據核心技術的解決方案。美國政府已將大數據視為國家創新戰略、安全戰略、信息通訊技術(ICT)產業發展戰略以及網絡安全戰略的跨界焦點,藉此全面強化其未來網絡空間戰略優勢。
2013年1月,英國將已追加到科研和創新領域的4.9億英鎊,投資于八大領域,大數據為主要關注對象,吸金額度高達 1.89 億英鎊。通過大數據戰略,英國政府希望獲取大數據帶來的商業利益,同時,樹立“開放”、“智慧”形象,實現大數據核心價值訴求,應對不斷深化的安全挑戰。
自2013年以來,韓國總統樸槿惠圍繞大數據戰略開發,多次闡發信息技術的“經濟創造”價值。為此,韓國成立了未來戰略委員會、科技基礎委員會和創造經濟委員會,并著手建立面向科技公司、企業、高等學府的大數據中心,鏈接包括政府部門在內的社會組織數據,協助企業、研究機構趕超世界頂級水平。
日本政府在“提升競爭力,大數據不可或缺”這一認知理念推動下,近年來出臺了系列措施踐行新戰略。2012年6月,IT戰略本部發布了電子政務開放數據戰略草案,宣稱政府將利用標準化技術生產信息確保國民方便獲取數據,并保證緊急情況下以較少流量向手機用戶推送信息。2012年7月,日本總務省發布《面向2020年的ICT綜合戰略》,重點開發大數據應用所需智能技術,創新傳統IT產業,活躍“ICT的日本”。2013年6月,安倍政府再頒新戰略“創建最尖端IT國家”,闡述了2013—2020年間以開放公共數據和大數據為核心,在日本建成“世界最高水準、廣泛運用信息產業技術社會”的目標。
綜合考察技術發達國家的大數據戰略,存在三個方面的共同特征:一是關注大數據的全方位應用,積極推動云計算、傳感器、社會化媒體等職能技術開發,搶占科技高端;二是將開放應用與網絡監控密切結合,成為大數據戰略的一體“兩翼”。如運行了將近20個月的TEMPORA計劃,已成為英國政府大數據時代一項重要監視項目。通過大西洋光纜傳輸儲存的最大容量數據,可存留一個月之久,足夠轉存與詳盡分析之用。三是政府與非國家行為體的力量共謀。斯諾登爆料,美國新媒體產業最具實力的谷歌、雅虎、微軟、蘋果等九大巨頭,無一不參與了間諜活動。他們向國家安全局開放服務器、為中央情報局預留軟件后門……與政府的合作滲透于大數據管理的各個層面。這一切加劇了人們對大數據時代網絡安全的憂懼。
直面大數據安全挑戰:中國“亮劍”
2014年是中國接入國際互聯網20周年。據統計,到2013年底,中國互聯網上網人數6.18億人,普及率已達45.8%,手機網民5億人。[10]根據2013年發布的“寬帶中國”戰略及實施方案,到2015年,中國固定寬帶家庭普及率和3G/LTE用戶普及率分別可達50%和32.5%,城市和農村家庭寬帶接入能力分別可達20Mbps和4Mbps。目前,全球互聯網流量每天為2.7EB,到2015年全球數據中心的一半都將基于云計算產生。與全球云計算行業的復合年增長率23.5%相比,中國云計算市場增長更快,年增長率超過40%。
中國大數據產業發展勢頭正勁,但大數據風險也為國家安全敲響警鐘。國家信息中心等部門相關報告顯示, 2013年中國7.6萬多個網站被境外通過植入后門實施控制,其中政府網站2452個。中國境內1.5萬臺主機被APT木馬控制,關鍵基礎設施和重要信息系統安全遭受嚴重威脅。2014年初,爆出美國大規模入侵華為服務器的消息,針對無線路由器等上網設備所造成的重大安全漏洞,可導致用戶被“終身監視”的嚴重后果。大數據威脅往往通過硬件設施直接顯露出來,但其背后,也反映出社會管理方面的疏漏。應對挑戰加強管理、確保網絡安全中國“亮劍”,目前需著力解決好以下幾個方面的問題。
一、加快出臺國家信息安全戰略,以大數據為重點構建網絡安全保障體系。2014年2月27日,中國成立了“中央網絡安全和信息化領導小組”,習近平總書記發表重要講話指出,“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”,“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”。以此為標志,中國信息網絡安全組織架構初具雛形。應對大數據挑戰,我們應進一步著力建立和完善信息網絡安全治理機制,加快國家信息安全戰略的出臺,構建起科學、高效的網絡安全保障體系,以大數據為重點,制定短中長期戰略規劃、根據網絡特點安排和規范組織架構、建立安全服務信息防護平臺、依法規制網絡傳輸。將合理、高效的網絡安全保障體系納入到科學、統一的戰略框架之中。
二、大力提升自主創新技術能力,加快人才培養,夯實網絡空間安全物質基礎。大數據時代,數據爆炸式增長,技術漏洞也越來越多。根據斯諾登披露,美國國家安全局已研制出了數十種間諜工具,用以提高APT攻擊滲透的廣度和深度。在這種新型攻擊面前,大部分企業和組織的安全防御體系都將失靈,威脅便長驅直入。截至2014年1月,中國移動互聯網用戶達3.39億,占移動電話用戶的67.8%。而中國的手機操作系統幾乎都由蘋果、安卓、微軟等公司壟斷,存在著極大安全隱患。如安卓手機內置的無線通信接入密碼遠程備份功能可方便地被用來定位用戶,蘋果手機的云計劃能夠輕而易舉地讀取用戶存留或刪除的信息。安全形勢的緊迫和安全風險的加劇警示我們,要加快自主創新步伐,只有擁有過硬的核心技術,才能真正根絕來自虛擬世界的安全威脅。
為此,要加快大數據安全關鍵技術研發,積極打造具有自主知識產權的軟硬件產業鏈;要加快提高數據處理能力,優先發展基于大數據技術的 APT 攻擊分析處理能力;要提升信息感知技術能力,搶占技術先機維護國家安全;要重視和加大技術人才的投入和培養,為尖端人才的脫穎而出和存續強大的科技后備隊伍提供有力支撐。
三、完善信息網絡法制建設,依法建網、依法用網、依法管網,確保大數據時代的網絡安全。據中國互聯網絡信息中心數據顯示,在過去的半年內,至少74.1%的網民遇到過信息安全問題,總人數達4.38 億。2012年,僅網絡欺詐一項,6000余萬網民遭受損失達300多億。虛擬社會正全方位復制并升級現實社會的犯罪形態,所造成的現實危害后果極為嚴重。
目前,中國已出臺了一批法律、法規、司法解釋等規范性文件,形成了國家層面立法、國務院行政法規、部門規章和地方性法規三個層次、覆蓋網絡安全、電子商務、個人信息保護、網絡知識產權等領域的網絡法律體系。有關網絡管理法律法規超過300份。但是,還應看到,網絡法律治理體系尚有不健全之處,依法治網的運作模式和實現方式上也有不盡如人意的地方。比如,法律法規還難以涵蓋網絡違法犯罪行為類型,對網絡運營商責任缺乏細化規定等。鑒于此,應結合網絡發展趨勢加快完善網絡法制管理。改變以個別化的條文應對信息網絡安全的立法模式,探索出臺專門法律,明確虛擬社會治理框架體系和運作模式;加強對現有法律法規的“速立頻修”,完善《刑法》中關于“網絡安全”秩序和責任義務等的法律規定;細化重大國家安全領域的立法工作、彌補法律監管缺漏;建立健全的網絡安全監測預警體系,提升信息安全事件的及時應對能力;依法明確網絡運營主體的安全責任,嚴厲打擊和整治網絡安全違法犯罪活動,實現網絡空間良法與善治的有機結合。
四、完善行政管理機制,實現大數據生命周期的全程監管。2011年,有消息傳出,路透社七次“猜”對中國月度CPI 核心數據,并通過網絡大肆流傳。國家宏觀經濟數據屢遭提前泄露,嚴重影響到中國的經濟安全。事后追查表明,這些數據的流出雖指向一些部門具體責任人,但網絡監管機制方面的缺欠也不容忽視。
數字化監管涉及對電子數據的安全維護和安全保存,應貫穿大數據產生、傳輸、應用的整個生命周期。為此,需要從上至下,制定配套完善、嚴格有效的數據管理策略、措施。國家特別要加強對重點領域數據的規范監管,企業要嚴格相關設備、數據的安全使用流程和權限,公民要努力提高網絡安全防范意識,保證數據使用安全性。要通過科學有效的管理制度確保從國家到組織、到公民個體層面,整個數據流程的可防、可管、可控。
五、加強國際交流合作,積極參與國際規則制定,維護國際網絡空間安全。在各國維護爭占大數據安全制高點的博弈中,中國作為發展中國家、作為網絡大國之一,在創新技術完善治理、強身健體的同時,要進一步開展國際交流、合作,倡導和平利用網絡空間,推動叫停網絡空間軍備競賽和對抗。要積極參與和促進平等、公平、公正原則下國際規范的制定和出臺,捍衛國家主權、守護國家利益、爭取合法權益,以負責任的態度和行為維護世界和平和網絡空間的良好秩序。
京公網安備 11010502049343號