长期以来,美国凭借其在网络技术领域的领先地位,一方面对全球进行监控,从中获取其感兴趣的情报信息;另一方面站在道德制高点上,频频指责中国等国进行“网络窍密”,甚至引用国内法对中国公民进行起诉,网络霸权主义显露无疑。
美国又被打脸了
继数年前斯诺登爆料美国“棱镜”计划后,近期,美中情局多次被爆料对他国进行网络攻击与监控。其中,2月份,《日内瓦论坛报》报道美中情局(CIA)通过瑞士一家加密技术公司对120多个国家的军事和外交通信往来进行了50多年的监视。
从技术和法律角度分析美国的监控行径
北京邮电大学网络空间安全学院教授辛阳表示,美国和德国通过控制CryptoAG公司实现对全球120多个国家和地区的监听。从技术上,主要是在CryptoAG生产的加密设备中使用存在漏洞的加密算法。当其他国家和地区的用户使用了这些设备对通信进行加密后,美德情报机构可以利用加密算法中的漏洞逆向解密出信号中的原始内容。并且CryptoAG公司还会对加密算法进行升级,从而使得隐藏在算法中的漏洞更加隐蔽,能够有效对抗漏洞审计方法。
从法律角度看,美德情报机构对外国政府、企业和个人实施大规模、有组织、无差别的网络窃密与监听、监控的行为违反《网络犯罪公约》、《信息安全国际行为准则》、《塔林网络战国际法手册》等国际法和国际关系基本准则,侵犯了其他国家的网络主权。
中国该如何完善网络防御技术
从战略层面看,我国网络安全防御起步较晚,因此相较美国完善的战略体系还有较大提升空间。但就近年我国积极制定网络空间安全相关规范的效率来看,我国已经明显意识到安全战略体系建立的必要性,也认识到这是网络强国的内在要求。2015年7月,人大常委会颁布了新的《国家安全法》,明确提出建设网络与信息安全保障体系;8月底颁布了《刑法修正案(九)》,加大打击网络犯罪力度;12月通过了《反恐怖主义法》,规定了电信业务经营者、互联网服务提供者在反恐中应承担的义务。2016年年底,我国第一份关于网络空间安全的战略文件——《国家网络空间安全战略》,以及第一部网络安全的基础性法律——《中华人民共和国网络安全法》相继颁布。2018年我国相继出台了多项涉及网络与大数据安全的政策及指导意见,网络安全政策体系建设不断加速。中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”因此,2019年5月,网络安全等级保护制度2.0国家标准发布。
从行业层面看,辛阳认为,国家应当大力发展信息产业,从整体上提升国家的信息安全水平,着重下一代网络安全和通信技术的研发。其次,在网络安全设施,尤其是关键基础设置的采购中,尽量坚持自主可控原则,部署先进的信息安全防护技术,推进密码学、数学等关键基础学科的发展。应当坚持通信及网络设备的自主研发,加强审计能力,及时修补漏洞。另一方面,应当加强国家网络安全建设,提升关键部门及公众的安全防护能力。另外,国家应当充分发挥监管部门的职能,加强网络和通信设备的审计工作,通过立法、标准的方式提升信息安全、通信安全产业界的发展。
公司与个人该如何确保网络与数据的安全
辛阳称,对公司来说,数据具有较高的商业价值,一旦遭受网络安全攻击会造成巨大的损失。同时公司的IT设施、人员构成往往相对复杂,容易存在漏洞。因此,一方面从管理的角度上,有条件的公司应当设置专门的信息安全保障部门,把信息安全管理提升到决策层,提升整个公司的信息意识。另一方面,从技术的角度上,应当采购必要的信息安全防护设备,及时更新软件和修补漏洞。
对个人来说,首要因素是提升个人的信息安全意识,并且生活中注重避免个人信息的泄露。其次,生活中尽量使用正规的数字产品,养成良好的信息安全习惯。