中国工程院院士邬贺铨曾这样概括20年来中国互联网的发展:我们走过了以计算机为中心、以图形作为主要界面的PC时代,走过了以软件为中心的网络时代,走到了以数据为中心的云计算时代,走到了一个以应用为中心、以互联网为基础的物联网时代。回顾计算机、互联网的发展历程,展望云计算和物联网的勃勃生机,我们可以勾勒出网络的形成与发展升级的态势。这是当前研究和把握网络安全的基础。
法律用语:从系统安全到网络安全
在法律用语层面,与网络有关的法律用语,经历了从“系统安全”到“网络安全”的转变。1994年计算机信息系统安全保护有关条例(以下简称《条例》)规定:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。可见,这里的系统安全,包括网络安全,将计算机安全和网络安全统称为系统安全。因此,《条例》其第四条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。应当说,当时互联网不发达,强调维护重要领域的系统安全和网络安全是可行的。
但是,在目前无所不网的背景下,计算机安全几乎不可能脱离网络而存在,因此,应当将计算机安全和网络安全统称为广义的网络安全。工业和信息化部2010年出台的通信网络安全防护有关管理办法其第二条第三款规定就体现了这一转变:本办法所称的网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。因此,法律法规的视角从系统转变到了网络。虽然说这里仅限于通信网络,但是在“三网融合”的时代,网络之间的差别正在逐渐消逝,这一管理办法的适用范围实际上已经扩展到整个网络。而且,最新司法解释的变化也体现了这一趋势。关于办理危害计算机信息系统安全刑事案件应用法律若干问题的有关解释,对于“计算机系统”和“计算机信息系统”作了统一阐释,而关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的有关解释,则对于“信息网络”作了统一解释。可见,与网络有关的表述,已从“系统安全”逐渐过渡到了“网络安全”,法律表述演进的背后,是网络安全的载体演变导致网络演变态势与安全问题的形成。
网络的形成:从计算机时代到网络时代
网络的形成不是一蹴而就的,其分水岭在于从计算机时代跃升到网络时代。一是网络技术元素的变迁带来安全隐患的猛增。第一代网络是远程终端连接、面向终端的计算机网络,在20世纪60年代早期只提供终端和主机之间的通信,子网之间无法通信。第二代网络是计算机网络阶段(局域网),在20世纪60年代中期通过多个主机互联,实现计算机和计算机之间的通信。包括通信子网、用户资源子网,终端用户可以访问本地主机和通信子网上所有主机的软硬件资源。第三代网络才是计算机网络互联阶段(广域网、Internet)。1981年国际标准化组织(ISO)制定了开放体系互联基本参考模型(OSI/RM),不同厂家生产的计算机之间实现了互连,标志是TCP/IP协议的诞生。三代网络的不断演进,系统的安全保密隐患随之伴生。二是网络社会属性的增强引发安全问题的产生。计算机与网络的区别还可以从其社会属性上予以观察,外界主动与网络发生联系,网络的安全问题也就源源不断地产生。三是网络移动技术的发展导致安全问题的爆发式增长。以移动互联网为代表,网络开始发展到“三网融合”阶段:传统的广播电视网、通信网、互联网通过技术改造,其技术功能趋于一致,业务范围趋于相同,网络互联互通、资源共享,高层业务实现交叉融合。三网融合在技术和使用习惯上得以完成的过程,伴随着网络安全问题的爆发式增长。
网络的发展:从网络时代到大数据、云技术时代
从计算机时代到网络时代,自始至终都存在的一个微观元素是数据。在将计算机系统互相连接在一起的互联网时代,数据的作用、数据的规模等都发生了质的变化,整个社会快速进入了大数据和云技术时代。云计算的出现,从根本上变革了数据的存储和访问方式。在云计算出现之前,数据的存储主要是被分散保存在个人计算机或者企业的服务器中。云计算产生之后,尤其随着公用云计算的出现,所有的数据存储均可以集中到统一的“数据中心”,即所谓的“云端”,用户通过浏览器或者专用应用程序来访问获取数据。伴随着移动智能终端的普及以及三网融合的逐步实现,又从内容上保证了为大数据的形成提供更加鲜活、丰富的数据。随着网络信息技术的飞速发展,主机、服务器、防火墙、交换机、防毒墙、无线路由等网络设备、安全设备以及应用系统越来越多,它本身所产生的海量日志信息逐渐成为大数据时代飞速增长数据的重要组成内容,由此带来的数据安全保护所面临的问题也就越来越复杂。内容上的复杂化、敏感化、精细化和形式上的聚集化、单一化,以及安全保护技术的不足导致了大数据面临更多的安全威胁。
网络的升级:从人人相连到物物相连、人物相连
物联网是把感应器嵌入和装备到电网、铁路、桥梁、地道、公路、建筑、供水系统、大坝、油气管道等各类物体中,然后将“物联网”与现有的互联网整合起来,实现人类社会与物理系统的整合。例如,快速发展的车联网,虽然它与智能电网、安防等领域相比并不是最成熟、最接近实际应用的物联网应用,但它凭借其战略高度和庞大的消费市场,成为物联网的一个重要领域及突破口,赢得了强烈关注。把所有物品都植入识别芯片,通过射频识别等信息传感设备与互联网连接起来,实现智能化识别和打点,意味着大数据与云计算的进一步成熟。
信息安全的全面升级与立体应对
“安全”是如何分层次体现的,是网络安全问题研究的核心,也是网络安全法律资源投放方向的起点。
其中,信息安全是关键一环,可以从两个方面进行审视。在行为人方面,可以是个人,数据黑市上比比皆是;可以是组织,这与数据和信息侵害链条化、组织化密切相关;可以是国家,如“棱镜计划”就是典型的国家行为。它们都可以成为侵害人。在受害人方面,可以是个人,几乎每个人都担心个人信息泄露;可以是组织,如小米“泄密门”事件,对网络公司影响不可谓不大;可以是国家,信息时代的窃密早已深入各种国家秘密,泄密事件频发。如此一来,整个网络安全问题应对体系的构建,应当从行为人和受害人的各种“搭配”情形出发,选择最为有效和周密的技术、政策和法律手段。
但是,在大数据和云技术时代,必须明确数据安全和信息安全的关系。大数据本身只是原始记载,需要“更聪明的人”通过云技术进行整合处理,才能成为可用信息。有人指出,阿里巴巴等大数据掌控者能够建立国家要害人员的个人档案,能够建立中国战略资源的流转和节点图。这不但在行为人方面涉及组织以及潜在的个人、国家,而且在受害人方面涉及个人、组织、国家。
关于BAT(B百度、A阿里巴巴、T腾讯)等网络巨头,其上下游产业链已经成型,其背后的跨界思维已经演绎得淋漓尽致。在大规模的信息安全事件中,信息安全已经上升到公共安全甚至国家安全的高度,这是在网络跨界思维下网络活动规模化、链条化的必然结果,必须引起技术、政策、法律出台者、应用者的高度重视。
责任编辑:段丽静