2014年6月,德国“人道联盟”、“新法官联合会”等八个民权组织推出《2014年基本权利报告》,谴责美国国家安全局非法实施大规模监听、严重侵犯个人权利的行为,提出包括为斯诺登提供有效保护、签订欧盟和美国之间数据保护协议等七项政治、司法诉求。德国联邦总检察长哈拉尔德?朗格宣称,将对美国情报机构监听总理默克尔手机一事启动刑事调查。据《南德意志报》报道,联邦检察院已对此事进行了数月审查,收到了德国民众举报美国监听的2000份诉讼请求。联邦情报局还计划投入约3亿欧元启动针对脸谱、推特等社交平台的实时监控。
美国国安局毫无根据的大规模监听行为超乎想象,终于令身为盟友的德国人感到切肤之痛。尽管有分析猜测,因搜索取证十分困难等原因,此次刑事调查可能只是“象征性的”。但是,它毕竟直接表达了不满和愤怒,“可能伤害到美国与欧洲国家的盟友关系”。对此,国际人权联盟副主席罗尔夫?格斯纳批评道:美国发动了“一场黑暗的情报信息战”,“挑战了民主和基本权利的存在基础”。“这种体制内部的威胁,比恐怖主义本身更可怕”。自2013年“棱镜门”曝光的一年多来,网络安全不仅越来越多地掀起国际舆论声浪,也越来越深地触及大国关系。虽然美国一再用“反恐”作幌子遮盖监听丑闻,但它作为国家行为体肆意践踏民权、意欲称霸网络空间的野心和霸权主义思维世所公愤。大数据下的网络安全,越发成为牵动国际关系和国家利益的敏感神经。
大数据之“忧”:凸显网络安全“脆弱性”
世界互联网的发展,使信息流动突破了时间与空间的限制,无远弗届、自由延伸,模糊了国家领土边界,对主权安全构成挑战,也塑造着国与国之间的关系类型。大数据时代,网络安全屏障的脆弱性凸显,引发了各国安全领域的新关切。
计算机互联网通讯技术诞生于20世纪六七十年代,发展至今,已塑造了世界范围内诸种行为体密切链接的网络空间,自下而上架构了以基础“物理层”、数字“代码”层和信息“内容”层三个基本层面构成的闭合系统,显露出网络安全的四种基本特性:机密、完整、可用及可控。但自诞生之日起,网络空间就成为各种利益集团争夺的战场,握有政治权力的国家、占据资本优势的商业机构、自恃技术高超的个体,围绕信息流动、观念传递、权利规则展开了激烈角逐,网络空间须臾未曾安宁,国家生存和利益关系面临挑战。
目前,来自虚拟空间的威胁可分为四大类型:黑客入侵、组织犯罪、网络恐怖主义以及国家参与的网络攻击。为表达不满而未造成破坏性的黑客入侵行为最为常见,一般不构成对一国安全的严重威胁,但所造成的个体、组织侵害不可忽视;那些影响到国家、社会利益,为达一定目的、有组织、蓄意实施的破坏性黑客行动对国家安全威胁程度最高,或直接表现为军事威胁和打击,或对金融、交通等要害造成冲击、破坏,或实施网络恐怖主义,挑起网络战争,成为各国网络安全防范的重要目标。
据维基百科定义,大数据是指无法在可承受时间范围内用常规软件工具进行捕捉、管理、处理的数据集合。21世纪的最初十年,随着云计算、物联网、移动互联等新技术的发展,微博、微信等Web形态日新月异,PC机、手机、平板电脑以及遍布的传感器,成为数据的主要来源和承载方式,既有软件工具和传统数据库难以满足提取存储、分析处理海量数据的深度需求,大数据技术应运而生。在国家安全视域中,大数据一方面被称作“未来的新石油”,继陆、海、空之后的又一项“关键性核心资产”,谱写了“华彩乐章”;另一方面,也被视作威胁的更新工具,给传统国家安全制造了更大的风险和麻烦。
2010年以来,大数据泄露事件不绝于耳。日本的索尼PSN泄露事件中,770万用户账户遭窃,引发了新媒体传输的信用危机;2013年5月,菲律宾公务船射杀台湾渔民引发民众激愤,马英九对菲发出通牒后,包括台当局领导人办公室、“海巡署”在内的台湾官方网站随即遭到黑客入侵,出现严重故障。据报道,攻击IP均来自菲律宾。2013年6月,土耳其总理办公室网等政府网站遭叙利亚网军入侵。黑客信手涂鸦后公布了约90个用户的电子邮件和明文密码,他们还相继窃取了英国广播公司、《卫报》及美国洋葱新闻账号、发布了数条假消息。
2014年3月底,美国非营利性组织开放安全基金会和威胁情报咨询公司RBS合作发布的报告称,2013年堪称数据丢失大年,全球共发生2164起数据泄露事件,超过8.22亿条记录被曝光,几乎是2011年的两倍。6月,IBM公司发起、波耐蒙研究所完成的《数据泄露年度成本研究报告》显示,2013年,平均每起数据泄露事件的成本较2012年上升15%,达350万美元(约合2190万元人民币)。全球范围内,受害方在每起数据泄露事件中遭受的平均损失为145美元,比2012年增加9%。
由于大数据传输具有数据量大、类型多、价值密度低、处理速度快、复杂性加大等特点,其分布式处理所加剧的信息数据泄露的风险更为显著。尤为值得关注的是,像高级持续性威胁(APT)这类典型高级持续性攻击不断升级,因其时间长、过程复杂、不易于实时捕捉以及单点隐蔽能力强,可以很好地利用大数据进行隐藏,传统防护策略很难觉察和检测,往往在不知不觉中造成持久、显著的破坏。相较于传统攻击,APT就像一支配备了精良武器的特种部队,精准而高效,已成为国家间网络对抗的新型有力武器。2013年3月20日,美、韩军事演习期间,韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击,导致系统瘫痪,引发韩国社会一度混乱。
跟进“大数据”:各国网络安全战略新布局
大数据所暗藏的巨大潜力,使其成为新一轮利益角逐的战略高点。近年,围绕大数据建设出台的国家网络安全政策,一边加紧提升抓获、萃取、分析数据的能力,一边借力强化国家安全战略防御。
美国最早将大数据用作网络安全战略的核心技术保障。2009年,奥巴马上任之初,就签署了名为《透明和开放的政府》总统备忘录,推进建成政府统一数据门户网站。又相继设置“总统安全协调官”一职,成立“网络司令部”。通过一系列措施宣告了以大数据为核心,以观念塑造、积极防御、攻击性打击为主旨的网络安全新战略起航。2011年,美国发布《网络空间行动战略》,对国际网络空间强行制度化安排,确保美国的最大收益。
2012年3月29日,美国宣布投资2亿美元,启动“大数据研究发展计划。”“通过收集、处理庞大而复杂的数据信息,获得知识和洞见,提升能力,加快科学、工程领域的创新步伐,强化国家安全、转变教育和学习模式”。[9]这一计划涉及美国国家科学基金、能源部、国防部等六个联邦政府部门。对此,哈佛大学肯尼迪政府学院霍尔德伦教授评论道:“像对超级计算和互联网的投资一样,大数据发展研究计划将对美国的创新、科研、教育和国防产生深远影响。”
在此战略规划下,美国国防部高级计划署近期开始了“网络内部威胁”、“洞察力”、“机器读取”等大数据安全项目的研发,致力于大数据核心技术的解决方案。美国政府已将大数据视为国家创新战略、安全战略、信息通讯技术(ICT)产业发展战略以及网络安全战略的跨界焦点,藉此全面强化其未来网络空间战略优势。
2013年1月,英国将已追加到科研和创新领域的4.9亿英镑,投资于八大领域,大数据为主要关注对象,吸金额度高达 1.89 亿英镑。通过大数据战略,英国政府希望获取大数据带来的商业利益,同时,树立“开放”、“智慧”形象,实现大数据核心价值诉求,应对不断深化的安全挑战。
自2013年以来,韩国总统朴槿惠围绕大数据战略开发,多次阐发信息技术的“经济创造”价值。为此,韩国成立了未来战略委员会、科技基础委员会和创造经济委员会,并着手建立面向科技公司、企业、高等学府的大数据中心,链接包括政府部门在内的社会组织数据,协助企业、研究机构赶超世界顶级水平。
日本政府在“提升竞争力,大数据不可或缺”这一认知理念推动下,近年来出台了系列措施践行新战略。2012年6月,IT战略本部发布了电子政务开放数据战略草案,宣称政府将利用标准化技术生产信息确保国民方便获取数据,并保证紧急情况下以较少流量向手机用户推送信息。2012年7月,日本总务省发布《面向2020年的ICT综合战略》,重点开发大数据应用所需智能技术,创新传统IT产业,活跃“ICT的日本”。2013年6月,安倍政府再颁新战略“创建最尖端IT国家”,阐述了2013—2020年间以开放公共数据和大数据为核心,在日本建成“世界最高水准、广泛运用信息产业技术社会”的目标。
综合考察技术发达国家的大数据战略,存在三个方面的共同特征:一是关注大数据的全方位应用,积极推动云计算、传感器、社会化媒体等职能技术开发,抢占科技高端;二是将开放应用与网络监控密切结合,成为大数据战略的一体“两翼”。如运行了将近20个月的TEMPORA计划,已成为英国政府大数据时代一项重要监视项目。通过大西洋光缆传输储存的最大容量数据,可存留一个月之久,足够转存与详尽分析之用。三是政府与非国家行为体的力量共谋。斯诺登爆料,美国新媒体产业最具实力的谷歌、雅虎、微软、苹果等九大巨头,无一不参与了间谍活动。他们向国家安全局开放服务器、为中央情报局预留软件后门……与政府的合作渗透于大数据管理的各个层面。这一切加剧了人们对大数据时代网络安全的忧惧。
直面大数据安全挑战:中国“亮剑”
2014年是中国接入国际互联网20周年。据统计,到2013年底,中国互联网上网人数6.18亿人,普及率已达45.8%,手机网民5亿人。[10]根据2013年发布的“宽带中国”战略及实施方案,到2015年,中国固定宽带家庭普及率和3G/LTE用户普及率分别可达50%和32.5%,城市和农村家庭宽带接入能力分别可达20Mbps和4Mbps。目前,全球互联网流量每天为2.7EB,到2015年全球数据中心的一半都将基于云计算产生。与全球云计算行业的复合年增长率23.5%相比,中国云计算市场增长更快,年增长率超过40%。
中国大数据产业发展势头正劲,但大数据风险也为国家安全敲响警钟。国家信息中心等部门相关报告显示, 2013年中国7.6万多个网站被境外通过植入后门实施控制,其中政府网站2452个。中国境内1.5万台主机被APT木马控制,关键基础设施和重要信息系统安全遭受严重威胁。2014年初,爆出美国大规模入侵华为服务器的消息,针对无线路由器等上网设备所造成的重大安全漏洞,可导致用户被“终身监视”的严重后果。大数据威胁往往通过硬件设施直接显露出来,但其背后,也反映出社会管理方面的疏漏。应对挑战加强管理、确保网络安全中国“亮剑”,目前需着力解决好以下几个方面的问题。
一、加快出台国家信息安全战略,以大数据为重点构建网络安全保障体系。2014年2月27日,中国成立了“中央网络安全和信息化领导小组”,习近平总书记发表重要讲话指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,“没有网络安全就没有国家安全,没有信息化就没有现代化”。以此为标志,中国信息网络安全组织架构初具雏形。应对大数据挑战,我们应进一步着力建立和完善信息网络安全治理机制,加快国家信息安全战略的出台,构建起科学、高效的网络安全保障体系,以大数据为重点,制定短中长期战略规划、根据网络特点安排和规范组织架构、建立安全服务信息防护平台、依法规制网络传输。将合理、高效的网络安全保障体系纳入到科学、统一的战略框架之中。
二、大力提升自主创新技术能力,加快人才培养,夯实网络空间安全物质基础。大数据时代,数据爆炸式增长,技术漏洞也越来越多。根据斯诺登披露,美国国家安全局已研制出了数十种间谍工具,用以提高APT攻击渗透的广度和深度。在这种新型攻击面前,大部分企业和组织的安全防御体系都将失灵,威胁便长驱直入。截至2014年1月,中国移动互联网用户达3.39亿,占移动电话用户的67.8%。而中国的手机操作系统几乎都由苹果、安卓、微软等公司垄断,存在着极大安全隐患。如安卓手机内置的无线通信接入密码远程备份功能可方便地被用来定位用户,苹果手机的云计划能够轻而易举地读取用户存留或删除的信息。安全形势的紧迫和安全风险的加剧警示我们,要加快自主创新步伐,只有拥有过硬的核心技术,才能真正根绝来自虚拟世界的安全威胁。
为此,要加快大数据安全关键技术研发,积极打造具有自主知识产权的软硬件产业链;要加快提高数据处理能力,优先发展基于大数据技术的 APT 攻击分析处理能力;要提升信息感知技术能力,抢占技术先机维护国家安全;要重视和加大技术人才的投入和培养,为尖端人才的脱颖而出和存续强大的科技后备队伍提供有力支撑。
三、完善信息网络法制建设,依法建网、依法用网、依法管网,确保大数据时代的网络安全。据中国互联网络信息中心数据显示,在过去的半年内,至少74.1%的网民遇到过信息安全问题,总人数达4.38 亿。2012年,仅网络欺诈一项,6000余万网民遭受损失达300多亿。虚拟社会正全方位复制并升级现实社会的犯罪形态,所造成的现实危害后果极为严重。
目前,中国已出台了一批法律、法规、司法解释等规范性文件,形成了国家层面立法、国务院行政法规、部门规章和地方性法规三个层次、覆盖网络安全、电子商务、个人信息保护、网络知识产权等领域的网络法律体系。有关网络管理法律法规超过300份。但是,还应看到,网络法律治理体系尚有不健全之处,依法治网的运作模式和实现方式上也有不尽如人意的地方。比如,法律法规还难以涵盖网络违法犯罪行为类型,对网络运营商责任缺乏细化规定等。鉴于此,应结合网络发展趋势加快完善网络法制管理。改变以个别化的条文应对信息网络安全的立法模式,探索出台专门法律,明确虚拟社会治理框架体系和运作模式;加强对现有法律法规的“速立频修”,完善《刑法》中关于“网络安全”秩序和责任义务等的法律规定;细化重大国家安全领域的立法工作、弥补法律监管缺漏;建立健全的网络安全监测预警体系,提升信息安全事件的及时应对能力;依法明确网络运营主体的安全责任,严厉打击和整治网络安全违法犯罪活动,实现网络空间良法与善治的有机结合。
四、完善行政管理机制,实现大数据生命周期的全程监管。2011年,有消息传出,路透社七次“猜”对中国月度CPI 核心数据,并通过网络大肆流传。国家宏观经济数据屡遭提前泄露,严重影响到中国的经济安全。事后追查表明,这些数据的流出虽指向一些部门具体责任人,但网络监管机制方面的缺欠也不容忽视。
数字化监管涉及对电子数据的安全维护和安全保存,应贯穿大数据产生、传输、应用的整个生命周期。为此,需要从上至下,制定配套完善、严格有效的数据管理策略、措施。国家特别要加强对重点领域数据的规范监管,企业要严格相关设备、数据的安全使用流程和权限,公民要努力提高网络安全防范意识,保证数据使用安全性。要通过科学有效的管理制度确保从国家到组织、到公民个体层面,整个数据流程的可防、可管、可控。
五、加强国际交流合作,积极参与国际规则制定,维护国际网络空间安全。在各国维护争占大数据安全制高点的博弈中,中国作为发展中国家、作为网络大国之一,在创新技术完善治理、强身健体的同时,要进一步开展国际交流、合作,倡导和平利用网络空间,推动叫停网络空间军备竞赛和对抗。要积极参与和促进平等、公平、公正原则下国际规范的制定和出台,捍卫国家主权、守护国家利益、争取合法权益,以负责任的态度和行为维护世界和平和网络空间的良好秩序。
|