保护网络信息安全的措施
互联网已经成为现代社会十分重要的基础设施,层出不穷的网络信息安全事件不断影响到人们生活的方方面面。在现代社会,网络虚拟世界和物理的现实世界之间的界限不断模糊,对网络虚拟世界的攻击可以直接影响到物理的现实世界的安全。网络安全问题不仅仅关系到互联网本身的安全,更关系到国家、社会、城市基础设施、公民个体等各个层面的安全。
(一)习近平的网络安全治理思想
现在,任何国家都不再简单地将网络视为一种技术现象,探索网络安全治理是国家治理的重要内容,网络空间安全问题已上升到国家战略层面。
2014年,习近平在中央网信领导小组首次会议上指出,网络安全和信息化是一体之两翼,驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。以安全保发展、以发展促安全,实现长治久安。概括起来,就是“一体两翼双轮驱动”的网络安全治理战略观。所谓“一体”,即网络强国的目标主体,这是国家战略,也是目标愿景;所谓“两翼双轮驱动”,即“网络安全”和“信息化”。习近平同志网络安全治理观的主要内容集中体现为:实施“一体两翼双轮驱动”的战略观,构建“网络空间命运共同体”的共建观,实现“以人民为中心发展”的利益观,坚持“核心技术自主创新”的技术观,倡导“尊重网络主权反对霸权”的国家观,推行“聚天下英才而用之”的人才观。
总结下来,习近平的网络安全治理思想有三个维度:
第一个维度是把网络安全放在与国家安全同等高度,认为网络安全是国家安全的前提,没有网络安全就没有国家安全;
第二个维度是从现代化发展的历史高度来看待网络安全,认为国家的网络发展水平和信息化程度与国家发展以及广大人民群众的工作生活密不可分,如果没有信息化就没有国家发展和人民生活的现代化;
第三个维度提出通过建设网络强国来维护网络主权的战略决策,强调要立足于国际国内两个大局,总体部署、统揽各方、创新发展。
在三个维度的基础上,习近平着重提出要“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”[2]。
(二)保护网络安全的具体措施
针对网络发展中出现的各种问题,网络信息安全的技术发展和保护措施有时是与问题同步推进,有时则是领先一步。
1.“阿拉丁计划”
针对网络上存在许多有价值,可以公开但是尚不能以普通搜索引擎抓取的内容,百度公司推出了一个“阿拉丁计划”,旨在对包括众多未纳入搜索引擎检索体系的“深网”信息进行更深一步的分析融合和处理,使更多的信息能更高效地被用户通过搜索引擎检索得到,从而超越现有网络内容的限制,广大网民只用一个最简单的搜索框,就可以打开最为丰富多彩的信息世界之门。
2.IPv6
窃听、偷窥和黑客常常弄得广大网民心理紧张,开了实时防病毒程序还不够,还要继续使用防火墙,打开实时防木马程序。但是,这种问题仅局限于IPv4网络。IPv6在设计的时候充分研究了IPv4的各种问题,安全性得到了显著提高。当然,IPv6并不是就没有安全问题了,只是因为IPv6的地址空间实在是太大了,如果还想通过扫描地址段的方式来找到有可乘之机的其他主机,犹如大海捞针。所以,在IPv6阶段,虽然不能完全排除受黑客攻击的可能,但是大范围的网络瘫痪的可能性已经微乎其微。
3.云安全
从互联网发展的历程看,各种软件不断升级的过程也是与电子病毒不断作斗争的过程。作为信息产业的一部分,手机也无法避免地要与电子病毒进行一场持久战。未来,随着手机功能的增多,手机软件的功能越来越强,软件接口标准也趋于统一,手机病毒的传播范围可能会扩大,破坏性也会增强。如果仅是跟在病毒的后面,见一个杀一个,这种亡羊补牢的做法显得太过被动。只有在提高杀毒能力的同时,未雨绸缪,防患于未然,积极地防止此类事情发生,才能够将可能发生的损失降到最低。这就像人类对待疾病的态度,防病的意义不管从哪一方面都大于治病,防毒这种处理方式也比染毒后再杀毒成本更低、效率更高。
由网络产生的问题往往还是需要从网络上解决,现在一个由“云计算”演变而来的“云安全”的概念开始为人们接受,它通过网状的大量客户端对网络中软件异常行为的监测,获取互联网中木马、恶意程序的最新信息,推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。这种网状的结构意味着,用户越多每个用户就越安全。因为一旦出现新木马病毒,用户群越庞大越能在最快的时间里发现和截获入侵者。
2016年9月,英国政府通信总部创建了“国家网络安全中心”(National Cyber Security Centre,简称NCSC),以保护个人、公共和私营机构以及重要基础设施安全,抵抗网络攻击。NCSC的第一个主要任务是与英国央行合作,制定新的英国金融领域网络安全标准,以应对可能会影响英国经济发展的网络威胁。英国政府将2016—2021年间的网络安全预算翻倍到19亿英镑,并为国家情报机构增加近两千名网络安全专业人才编制。
4.量子密码
量子密码,又称量子密钥分发(QKD,Quantum Key Distribution)是利用量子物理中的量子纠缠来实现传统的加密算法的密钥分发。它本身并不是一种密码算法,而是不断给用户更新密钥。由于量子纠缠状态的“不可测性”这一基本物理定律,从理论上保障了系统的安全。目前使用最广泛的公钥密码体制是RSA体制,其安全性是基于“大数因子分解”的计算复杂性。现代公钥密码体制都基于一个共同信赖的点,即理论上如果要对一个300位的阿拉伯数字进行因子分解,使用万亿次的计算机耗时约150 000年。但是1995年,美国贝尔实验室的数学家彼得·秀尔(Peter Shor)发明了一种量子分解算法,从理论上证明该算法能够迅速破解现代公钥密码。采用这种量子算法,使用量子计算机耗时仅1秒,这意味着一旦量子计算机研制成功,RSA公钥密码体制立刻土崩瓦解。2012年之后,设计制造量子计算机的关键技术接二连三取得突破。量子计算机一旦真的被制造出来,如果人们不能尽快找到现代公钥密码体制替代方案,网络空间安全将受到致命的威胁。2015年8月19日,美国国家安全局在其官方网站上宣布“8.19”声明,正式启动“抗量子密码体制”。2016年8月16号,中国的量子科学实验卫星“墨子号”在酒泉卫星发射中心发射成功。中国政府非常重视量子密码技术的研发,在技术方面已领先世界。
5.反垃圾邮件技术和管理
防垃圾邮件需要从技术和管理两方面同时入手。一方面,从技术上提高垃圾邮件堵截能力。垃圾邮件的产生主要是由邮件服务器缺少设置开放转发功能所致,邮件服务商的技术水平是决定垃圾邮件是否继续泛滥的重要环节。美国的微软公司就一直开发过滤垃圾邮件技术来对付垃圾邮件,普通用户只要使用这类软件就能过滤掉几乎全部的垃圾邮件。中国的邮件服务商也不断推出新的反垃圾邮件技术,而中国互联网协会也定期公布查封的垃圾邮件服务器。另一方面,在法规上加强处罚力度也十分重要。国际上大多数国家都制定了反垃圾邮件的相关法规。例如,澳大利亚的《反垃圾邮件法规》规定,反复发送垃圾邮件的商业企业在停止发送垃圾邮件之前每天最多被处78万美元罚金。美国的《反垃圾邮件法》规定,垃圾邮件制造者的最高刑期可达5年,对每封垃圾邮件的罚金最高为250美元,罚金最高可达600万美元。美国加州高等法院认为邮箱为用户的动产,随意向他人邮箱发送邮件的行为构成非法侵入他人动产的侵权行为。中国于2006年3月20日实施《互联网电子邮件服务管理办法》,成立了“中国互联网协会垃圾邮件举报受理中心”,向全社会公布了垃圾邮件举报公益热线电话及举报邮箱和举报网站的地址。凡是被列入“黑名单”的服务器,如果继续发送垃圾邮件,会遭受中国互联网协会成员网站的联合封堵。
6.网络隐私保护
在保护网络隐私方面,在美国目前的联邦立法中,涉及网络隐私保护的联邦立法主要有《公平信用报告法》《电子通讯隐私法》《隐私法》《联邦电信法》《儿童网络隐私保护法》《驾照信息隐私保护法》等,其中,以《电子通讯隐私法》最为重要。《电子通讯隐私法》规定:原则上,除了政府及执法机构基于公务需要或网络服务提供者按照商业扩张规则或商业一般途径,或一般人事先获得同意外,禁止任何人未经授权擅自监听、披露和使用用户的电子通信内容;禁止故意向除收信人或指定的接收者之外的任何人披露用户的电子通信内容;禁止任何人未经授权故意进入他人的电子通信设施或系统,获取、窜改存储于该电子通信设施或系统的电子通信;禁止提供电子通信服务者蓄意放纵他人登录、使用存储于其通信系统中的电子信息;禁止向公众提供远程计算机服务者蓄意放纵他人登录、使用其传输或存储的电子通信内容。
被称为“史上最严的欧盟隐私法案”的《通用数据保护条例》2018年5月25日生效,如果网络平台违反处理个人数据的基本原则或不保护数据主体权利,将被罚款最高2 000万欧元或全球营业额的4%。该条例首次明确了“被遗忘权(Right to be Forgotten)”。被遗忘权指数据主体在具备一定合理理由的情况下,有权要求数据控制者删除或停止传播关于其个人信息的数据。被遗忘权的提出和规范表明了现代社会已认可个人信息权就是信息主体对其个人信息所享有的进行支配并排除他人非法使用的权利。
目前,我国对于隐私权的保护主要是在最高人民法院的司法解释中作为名誉权的一种。在我国现行法律中,《侵权责任法》第二条民事权益范围中包括了隐私权。但法律是道德的最后底线,为保护网络隐私权,除了需要培养网民的法律意识外,作为信息平台的管理者,网络服务商制定的网络隐私权保护规则应不违反法律的强制性规定,应具有操作性并且公开明示,采取的技术措施要科学、合理,管理制度要完善,在保证网络空间信息自由流通的同时实现对互联网络的合理、合法使用。在2017年6月1日生效的《中华人民共和国网络安全法》中,个人信息保护被再次强调和明确。2018年3月,中国互联网安全企业奇虎360科技有限公司CEO周鸿祎提出了“用户隐私信息保护三原则”,受到业界、学界和政界的广泛肯定。“三原则”为:明确用户数据信息是用户个人资产的原则;保障用户对数据信息使用的知情权、选择权原则;明确互联网公司保护用户数据信息安全责任的原则。这三个原则清晰地阐明了数据保护中的责权利界限,为今后国家在数据管控上采取更细化更易执行的措施提供了基础界定的相关参考。
7.打防结合应对网络违法犯罪
在防范网络犯罪方面,我国公安部公共信息网络安全监察局在打击和防范网络违法犯罪活动方面,把事前防范放在了最重要的位置上,采取的方针是“预防为主,打防结合”。网络发展速度太快,相应的法律法规的产生本身具有一定的滞后性,通常是在有问题发生之后才能修改或制定出新的法规条例来。网络的发展有一个过程,而网络所涉及的法律问题,要在法律法规和人们的意识上有效地建立起规范的体系,常常有一个不确定期和调整期。
2004年9月26日,中国公布了《中国青少年网络协会绿色游戏推荐标准》,这是中国第一套网络游戏分级标准。2011年10月1日,我国又推行网络游戏实名制。全社会的伦理道德建设和教育是净化网络环境的重要手段,尤其对广大青少年非常重要。学校、家庭和社会都在加强对青少年的法制教育、网络道德教育和网络安全防范教育,增强广大网民的法律意识,让他们自觉守法,同时要增强广大网民的自我保护意识,增强网上自我防范能力,从根本上遏制网络犯罪案件不断上升的趋势。特别是各级学校,不仅有义务教育学生如何使用网络,如何在上网时自觉不浏览非法、色情、暴力网站,还要及时进行网络安全防范教育,以提高和增强学生自我保护的意识和能力。
2015年6月,为实施国家安全战略,加快网络空间安全高层次人才培养的进度,国务院学位委员会决定在“工学”门类下增设“网络空间安全”一级学科。学习内容以网络空间安全专业理论和技术为主,还借助新闻学、法学、情报学等学科的优势,培养既具有扎实的网络空间安全基础理论、专业知识和技术技能,又具有一定网络信息传播知识,且懂法律及管理的复合型人才。