网络攻击视角下的关键信息基础设施法律保护探析
2016-11-08王玥雷志高
王玥 雷志高
网络攻击视角下的关键信息基础设施法律保护探析
王玥雷志高
王玥 西安交通大学法学院副教授,英国格拉斯哥大学哲学博士,西安交通大学信息安全法律研究中心副主任兼秘书长,陕西省法学会信息安全法学研究会副秘书长,西安交通大学信息安全法律中心 《信息安全法通讯》主编。
在网络化时代的背景下,针对关键信息基础设施信息系统的攻击日益严重。如何应对针对关键信息基础设施的网络攻击成为世界各国普遍关注的焦点问题。本文通过对网络攻击及其对关键信息基础设施安全威胁的分析,结合域外网络攻击视角下的关键信息基础设施网络攻击治理的成功经验,建议我国建立涵盖事前监测预警、事中应急响应、事后惩治与恢复的“三位一体”治理框架,以期实现对关键信息基础设施网络攻击的有效治理。
关键信息基础设施;网络攻击;信息系统;过程控制
一、引言
从2007年爱沙尼亚国会、政府部门及银行遭受网络攻击,技术专家们发现攻击来源于一个庞大的“僵尸网络”,涉及位于178个国家的大约8.5万台电脑,其中绝大多数电脑是在被黑客入侵和操纵的情况下,无辜和毫不知情地卷入了有关攻击,[1]到2010年伊朗政府遭受“震网”病毒的攻击及2014年在乌克兰政府遭受的网络攻击等极大的危害了国家的安全。而2014年4月9日爆发的OpenSSL 心脏出血(Heart bleed)漏洞及2014年8月31日,匿名黑客利用苹果iCloud上的云服务漏洞发动网络攻击导致用户个人信息的泄露,极大地危害了社会公民个人信息的保护,显示出针对关键信息基础设施的网络攻击对国家安全、社会稳定、经济的发展及公民个人信息保护的巨大危害性。因此,从网络攻击视角对关键信息基础设施法律保护问题进行探讨,分析如何通过对针对关键信息基础设施网络攻击的规制,最大程度的保障关键信息基础设施的正常运转,成为了网络安全法领域一个亟待解决的命题。
二、网络攻击及其对关键信息基础设施的安全威胁
(一)网络攻击的概念
网络攻击是随着计算机技术、移动终端技术及信息技术的发展而相伴随而生的产物。伴随着现代社会对网络技术应用的不断深化,网络攻击的方式由传统的欺骗(Spoofing)、入侵攻击(Intrusion attack)等攻击方式发展到包括针对APT的攻击、零天型漏洞攻击[2]等多样化网络攻击形式。而目前我国对于网络攻击的概念并未做出明确的界定,在此现实情况下,对网络攻击作出顺应新形势的概念界定成为对其进行有效规制的首要问题。
美国的小沃尔特·加里·夏普在其《网络空间与武力使用》一书中认为:“广义层面上‘网络攻击'指的是摧毁或破坏计算机系统的行为。它涵盖的行为多种多样,包括从简单刺探、丑化网站、拒绝提供服务到从事间谍和破坏活动,‘干扰、封堵、削弱或破坏计算机里的信息和计算机网络或计算机与计算机网络本身'的行动。”[3]美军《网络行动和网络恐怖主义手册》就网络攻击给出的定义是:网络攻击是指“对计算机或计算机网络进行的,意在造成破坏或者有更深远的社会、心理、宗教、政治目标或其他类似目的,有预谋的干扰活动或者造成干扰活动的威胁。鼓动任何人促进这些目的达成的行为也是网络攻击。”[4]北约于2013年3月发布的《塔林手册》(Tallinn Manual)中对“网络攻击”的定义在世界范围内接受范围最广,该手册中规则第30条将网络攻击界定为“可以在合理预期范围内造成人员伤亡,或造成物质损毁的进攻性,或国家防御性的网络行动”。[5]这一定义强调了国家或公民个人所采取的网络行动不是网络攻击的唯一评判标准,而更注重该行动对国家及社会造成破坏的严重性。
综合上述对网络攻击的概念界定可见,网络攻击是网络攻击的发动者(包括国家、社会组织、企业或公民个人等)通过自身可控制的计算机信息系统或移动终端系统等对远程目标主机系统实施攻击,使其不能够正常有效的运转,进而对国家、社会或公民个人造成损害性后果的行为。网络攻击行为的本质是对网络规范与协议的违反的行为,其目的是通过利用对方的系统漏洞,对远端目标系统进行攻击进而获取对方的有用信息,取得对对方目标系统的控制权,甚至破坏对方的计算机系统与信息网络系统。
(二)网络攻击的特征
网络攻击从本质上来说,是由于网络系统在设计、开发、运行、维护、配置过程即存在系统漏洞或网络系统与生俱来的脆弱性,外部威胁通过利用系统存在的漏洞或脆弱性发动攻击,从而导致安全事件的发生。[6]网络攻击随着网络技术的发展而逐步推进,不断向着智能化、综合化、系统化的方向发展,因此对于对其进行法律层面的规制也提出了诸多新的难题。新形势与新技术背景下的网络攻击的特征可概括为以下三点:
第一,网络攻击发生的时间上具有随机性和连续性。区别于传统的攻击形式,网络攻击的发动依赖于网络的正常运转,其发动与进行几乎不受任何外界自然条件的影响,可以随时在任何时间与地点连续的进行。由此造成执法机关在法律层面对网络攻击进行规制时难以确定其发动的具体时间点,不能够明确作为违法行为或犯罪行为的网络攻击开始的时间。
第二,网络攻击的范围具有很高的灵活性。网络社会无边界性使得网络攻击的目标,小至单一的远程终端,使其不能正常得运转;大到覆盖全球、相互连接的信息与网络系统,使其进入瘫痪状态,不能够发挥其应有的作用。法律对进行规制时亦难准确认定其造成损害的范围、及给国家、单位及个人造成的经济损失的犯罪数额,不能够确定其是为刑法上的犯罪行为还是行政法上的行政违法行为,影响对其定罪量刑的准确性。
第三,网络攻击的源头和攻击者身份难以准确认定。互联网与生俱来的开放性与信息技术发展的普及性使得任何国家、单位甚至平民都可以成为网络攻击的主体,而且基于自身安全的考虑,攻击者往往采用一系列的技术手段对自身位置、攻击的源头和身份进行隐匿。由此就会使得遭受攻击的国家、单位或个人难以准确的认定网络攻击发动者的真实身份和攻击的源头。对网络攻击进行法律层面的规制时难以确定犯罪主体,具体的犯罪地点亦难以确定,导致对其进行管辖的法院亦难以确定。
(三)网络攻击已成为关键信息基础设施的主要安全威胁
以互联网为代表的新一代通信技术的迅速发展,使得许多关乎国计民生的关键信息基础设施的运行都依赖于网络的有效维护与正常运转,网络在现代社会中的作用越加显现。人类社会的各个方面几乎不约而同地与网络息息相关,从金融、电力、交通运输、电信等国家关键基础设施,到卫星,飞机,航母等关键军用设施的正常使用都越来越依赖网络的安全性与有效性。金融服务信息系统(Financial Services Information System)、交通指挥通信系统(Traffic control communication system)、社区服务信息系统(Community Services Information System)、医疗卫生信息系统(Medical and health information system)、电子商务信息系统(E-commerce information system)都已成为关键信息基础设施的重要组成部分。
然而国家安全及社会经济对关键信息基础设施的依赖性越大,所面临的风险就越大。网络在对人类社会带来巨大便利性的同时伴随着其与生俱来的脆弱性,网络系统存在的漏洞与后门层出不穷,使得作为关键信息基础设施(Critical Information Infrastructure)的网络信息系统极易遭受攻击而导致不能正常运转。由于利益的驱使,黑客产业链不断恶性发展,造成网络攻击的形式与网络攻击的数量成倍增长,关键信息基础设施面临着严峻的安全威胁。[7]一旦关键信息基础设施遭受攻击将会对国家安全、社会稳定、产业发展及公民权益的维护造成严重的损害性后果。①NTT集团( NTT集团为日本最大的电信服务提供商)发布的《2014全球威胁情报报告》显示:一次“小规模”SQL注入式攻击造成的损失超过19.6万美元;反病毒解决方案无法侦测到“蜜罐”收集到的54%的新恶意软件;43%的事件响应活动是由恶意软件引起的;在被观察到的事件中,僵尸活动以34%的占比遥遥领先,其中,医疗领域的此类活动占比达21%;接受国际支付卡行业最高级别安全标准认证评估的机构能更好地解决周边漏洞。随着网络技术的发展,新的网络攻击类型如Shellcode设计、格式化字符串攻击技术、内核入侵隐藏技术、杀毒软件反制的技术及SIP②即会话启动协议,The Session Initiation Protocol .监听不断出现。[8]使得网络攻击的危害性愈加严重,攻击的范围不断扩大。关键信息基础设施所面临的入侵、事故、失效等威胁不但影响其网络与信息系统的本身,还将形成一种链式反应,造成更为严重的后果,威胁国家安全、社会稳定和公民的基本权利。
三、域外关键信息基础设施网络攻击治理经验评鉴
从上世纪九十年代以来,美国、欧盟等信息化程度较高的国家都陆续建立了针对关键基础设施或关键信息基础设施的保护制度,[9]各国不仅通过制定和发布国家战略、国家政策和命令,还通过出台相关立法满足关键信息基础设施的保护需求,并在其中明确了网络攻击的具体措施,建立事前监测预警、事中应急响应、事后惩治与恢复的管控机制,建立完善的信息共享机制来实现信息的有效利用,[10]并通过设立强力监管部门及组织管理体系、明确相关机构的职权等方式,来维护关键信息基础设施的安全,综合而言,这些治理经验大致包括以下五个方面:
(一)建立完善的网络攻击监测预警制度
各国基本上都建立了名为“计算机应急响应小组”的早期预警机构,包括政府机构的特别CERT、中小企业的CERT、具体部门的CERT等,并且各个部门或单位的CERT之间已经形成良好的沟通机制,负责处理网络安全事件和网络的脆弱性问题,或通过发布安全警报降低网络攻击成功的可能性。如欧盟2005年《保护关键基础设施的欧洲计划》提出建立关键基础设施预警信息网络(CIWIN),以安全的方法为最好的实践交流提供一个平台,完善现有的机制,并且为关系到委员会系统的快速预警交换提供一个可供选择的平台。
(二) 建立完善的网络攻击应急响应制度
各国对网络攻击应急响应的法律规制不仅包括政府部门及执法机关,更包括社会组织,私营企业及公民个人等社会治理单元,以共同对网络攻击进行应急响应。如2003年美国政府通过的《保护网络空间国家战略》,将应急响应纳入国家的战略计划,更加强调政府机构与私营部门在国家关键信息基础设施安全事件应急处置与恢复方面的合作;欧盟在2009年通过的《关键信息基础设施保护:保护欧洲免受大规模网络攻击和中断:预备、安全和恢复力的通讯》中建议缓解和恢复,建立应急响应机制以加强欧盟对关键信息基础设施的防范机制,实施国家应急规划和演习。
(三)建立完善的网络攻击惩治与恢复体系
事后惩治与恢复是对网络攻击进行规制的最后一道法律管控机制,通过法律的否定性评价来否定网络攻击行为。欧盟对于网络攻击进行的事后惩治主要见于《网络犯罪公约》中,通过对“非法访问”、“非法监听”、“数据干扰”、“系统干扰”及“设备滥用”、计算机伪造,计算机诈骗等进行规定,来否定危害信息系统及计算机系统的行为,《英联邦计算机以及与计算机一类的犯罪的示范法》第5节对与计算机犯罪作出的规定等。
(四)确立信息共享机制
各国在网络安全设施保护的监测预警、应急响应及惩治与恢复等方面都建立了及时高效的、上通下达的网络安全信息共享机制,其中涉及政府部门之间,私营部门之间以及政府与私营部门之间,国家之间的网络安全设施保护的信息共享,如美国的信息共享与分析中心、欧洲的早期预警和信息系统、欧洲网络和信息安全局等。
(五)构建网络攻击法律规制组织管理体系
纵观上述各国网络安全保护的组织管理体系可以看出,各国倾向于设立网络安全保护的强力监管部门,将网络安全设施保护工作交由设置完备且适合于此项任务的机构负责,如美国国土安全部(DHS),被授权代表美国政府对网络安全设施保护工作实施监督管理;纵观国外网络安全保护措施,其中多数国家建立了包括政府部门和私营机构共同参与的网络安全保护的组织管理体系。在大多数国家,网络安全保护的责任都是由不同政府部门的多个机构和单位共同承担,其职责和分工明确,并且相互之间形成了良好的协调机制。
四、网络攻击视角下我国关键信息基础设施法律保护的几点建议
目前,我国对网络攻击进行规制的法律法规散见于刑法及行政法等各部门法及政策与法规之中,尚无对网络攻击进行规制的专门性法律法规,而《网络安全法(草案二次审议稿)》当中也没有针对关键信息基础设施网络攻击的专门规定,网络攻击的规制机构及其职权不明,信息共享机制缺位,难以达成对网络攻击进行有效规制的既定目标。
基于此现状,综合域外国家在对网络攻击关键信息基础设施进行规制方面的先进做法,对我国网络攻击关键信息基础设施的规制提出以下几点建议:
(一)建立“三位一体”的管控机制
网络系统的保护主要是从如何保护重要的网络系统免受不同程度威胁侵害的角度出发,因此各种保护措施主要围绕网络系统的防护展开,通过不同层面的纵深防护达到保护网络系统的目的。各个国家在网络攻击关键信息基础设施规制方面的策略之一就是通过建立一套完整的监测预警、应急响应及惩治与恢复的法律规制体系,从机构设置保护层面逐渐完善到对关键信息基础设施网络系统全方位的保障,真正达到维护其安全的目的。
因此,建议我国《网络安全法》中对关键信息基础设施保护进行专章规定,按照过程控制的理念,建立起事前监测预警、事中应急响应、事后惩治与恢复的“三位一体”管制框架;建立包括特别重大、重大、高风险、警戒等四个等级在内的网络攻击关键信息基础设施风险的划分机制;同时在不同的规制阶段,网络攻击的相关信息应进行充分的共享,以实现对网络攻击信息的充分有效利用,达到对网络攻击进行有效规制的目的。具体而言,主要可包括以下三个方面:
1)制定针对关键信息基础设施网络攻击事件的监测预警预案。国家网络安全主管部门建立对关键信息基础设施网络攻击信息监测预警的预案,并成立“计算机监测预警办公室”,赋予其采用技术手段及其他合法手段对关键信息基础设施网络攻击信息进行检测预警的职能,实现对网络攻击发生之初的监测与预警。同时,统一制定国家网络攻击特大、重大、高风险及警戒的网络攻击事件应急处置预案,对不同的网络攻击事件划分不同的等级,并报送国家网络安全主管部门备案。公安机关对其管辖范围内其他等级的网络攻击事件预先制定相应的应急处置预案,确定网络攻击事件监测预警的范围、程度以及处置措施。
2)制定关键信息基础设施网络攻击事件的应急响应机制。网络攻击事件发生后,按照“计算机监测预警办公室”所确定的关键信息基础设施网络攻击事件的等级,由包括公安机关及政府部门、执法机关在内的应急响应机关启动事中应急响应机制对网络攻击事件进行处置,组织、指挥其管辖范围内的关键信息基础设施运营单位以及社会技术力量进行响应、处置,协同国家网络与信息安全信息通报中心及时、准确的向社会公众发布网络攻击的相关信息,并及时向其行业主管部门及当地公安机关报告。同时,成立“计算机职能协调办公室”,赋予其对网络攻击事件应急响应部门的职能进行协调的职能,对如公安机关等对网络攻击事件具有应急响应职能的机构之间的相冲突或缺位的职能进行协调处理。
3)完善关键信息基础设施网络攻击的惩治与恢复机制。网络攻击时间应急处置工作结束后,立即组织公安机关等相关执法部门对网络攻击事件造成的损失进行评估,确定责任主体并进行追责。同时,制定恢复重建计划,组织其管辖范围内受影响的关键信息基础设施尽快恢复正常运营。总结和报告网络攻击的应急处置情况,公安机关及时查明其管辖范围内关键信息基础设施网络攻击事件的发生经过和原因,总结事件应急处置和恢复重建工作的经验教训,并制定改进措施及经验手册,分发至相关的关键信息基础设施网络攻击规制部门供参考使用,防止此类攻击事件再次发生。
(二)明确并完善关键信息基础设施网络攻击规制机构的职权
国家网络安全主管部门(中央网络安全和信息化领导小组办公室,以下简称“网信办”)应当加强对关键信息基础设施网络攻击规制工作的领导、统筹和协调,在网信办的领导下,公安机关作为网络攻击规制的主管部门,负责对国家关键信息基础设施的主管部门和关键信息基础设施运营单位的网络攻击规制工作进行指导、协调和监督检查,制定国家关键信息基础设施网络攻击规制政策和管理办法,确认国家关键信息基础设施网络攻击规制的范围,评估国家关键信息基础设施网络攻击规制的响应能力,协调国家关键信息基础设施网络攻击突发事件的处理,共享协调国家关键信息基础设施网络攻击威胁警告和事件信息,监督国家网络攻击规制政策的实施情况。同时,关键信息基础设施的行业主管部门依法在其职权范围内对国家网络基础实施监督管理,保障国家关键信息基础设施的安全,并对国家关键信息基础设施运营单位的信息安全保护工作进行监督管理。国家关键信息基础设施运营单位承担国家网络基础设施保护工作,负责国家关键信息基础设施安全事件的预防、检测、响应、报告、减灾、应急、恢复以及其他预防、控制工作,并在此过程中接受公安机关的监督检查。此外,针对国家关键信息基础设施保护,各级地方政府按照属地管辖原则对本行政区域内的国家关键信息基础设施安全实施监督管理。在此基础上,应当建立与完善相关职能部门如网信、公安等参与其中,分工负责,各司其职的协调配合机制。
(三)建立关键信息基础设施网络攻击规制的信息共享机制
对于关键信息基础设施网络攻击进行信息共享是早期预警和应急响应机制的背后的推动力之一。信息共享指的是政府部门、执法机关、社会组织、单位及公民个人自愿交换所掌握的网络系统漏洞、恶意入侵等网络攻击信息的法律制度。信息的保密性是信息的天然特征,也是信息作为一种财产的价值基础。但在具有相同的价值出发点的机构之间,信息应该实现共享,信息只有在相同的价值的范围内实现共享才能使其作用最大化的得到发挥。
在我国的行政体制下,破除信息不对称所导致的信息共享机制不能够有效建立的情况,应将信息安全与网络安全的相关信息进行分类处理,并根据信息的不同属性确立不同的收集程序、储存方法和共享方式。各行政机关负责收集并储存各自职责范围内的信息安全与网络安全信息,有业务联系的行政机关在需要时提交信息共享申请书,通过信息持有方的审核确认后方能共享。对于内部政务信息,以及前三类中依法明确规定为应当保密的信息,如国防部署、尖端科技等,不予共享。并通过设立关键信息基础设施网络攻击信息的强制共享与自愿共享制度建立有效的信息共享机制,实现关键信息基础设施网络攻击信息的有效利用。
强制共享指的是对于与关键信息基础设施网络攻击有关的系统漏洞、入侵攻击等信息,强制政府部门、执法机关与社会组织、企业及公民个人共同利用的制度。具体而言之,对于任何涉及关键信息基础设施网络系统的脆弱性、系统漏洞、网络攻击的风险评估及等级评定、网络攻击的应急处理等信息均应进行共享,对于网络攻击的惩治与恢复的信息也应该进行共享。自愿共享指的是对于涉及自身秘密或隐私的相关信息,社会组织、企业或公民个人可选择是否与规划机关共享,但当该网络攻击信息涉及社会的公共利益时,应强制对其进行共享。
[1]EnekenTikket. al.International CyberIncidents. LegalConsiderations.CCDCDE.2010.pp. 20-23gourias. Cyber Attacks.Self-defence and the Problem of Attribution.17 Journal ofConflict&Security law 229 .23.2012.
[2]互联网金融:十大信息安全风险与十大最佳安全实践,http://sec.chinabyte.com/280/13307780. shtml[2015.03.12]
[3]小沃尔特·加里·夏普著.吕德宏译. 《网络空问与武力使用》[M]. 北方妇女儿童出版社2001年版.P13.
[4] Jason AndressElsevier.Inc.SteveWinterfeld.Cyber Warfare Techniques.Tactics and Tools for Security Practitioners. Syngress; 1 edition.2011.pp.2-4.
[5] What does international law mean for cyber warfare, http://fcw.com/articles/2013/04/02/cyber-engagementinternational-law.aspx[2015.03.12]
[6]吴金宇. 网络安全风险评估关键技术研究[D]. 北京:北京邮电大学博士学位论文.2013.05.
[7]叶云. 基于攻击图的网络安全风险计算研究[D]. 长沙:国防科技大学博士学位论文,2013.03.
[8]李鹏. 通信网络恶意代码及其应急响应关键技术研究[D]. 南京:南京邮电大学博士学位论文,2012.12.
[9]王玥,方婷,马民虎.美国关键基础设施信息安全监测预警机制演进与启示[J].情报杂志,2016,35(1):17-23.
[10]马民虎,方婷,王玥.美国网络安全信息共享机制及对我国的启示[J].情报杂志,2016,35( 3) :17-23,6.
The Analysis on the Legal Protection of Critical Information Infrastructure from the Perspective of Cyber Attacks
WANG Yue, LEI Zhi-gao
(School of Law, Xi'an Jiaotong University, Xi'an, Shanxi, 710049)
In the context of Internet era, the cyber attacks against critical information infrastructure(CII) presents growing seriousness and organized trend. How to establish an efficient CII protective mechanism from the perspective of cyber attacks becomes the focus in the world. Through the analysis on cyber attacks and it's security threats to CII, as well as the study on successful governance experience of extraterritorial national, we suggest that China should establish"Trinity" governance framework, which means that monitoring and warning before the event, responsing and disposing during the event, punishing and recovering after the event, in order to achieve the effective governance of CII from the perspective of cyber attacks.
critical information infrastructure; cyber attacks; information system; process control
G203
A
(责任编辑:钟宇欢)