網(wǎng)絡(luò)安全不再只是“網(wǎng)絡(luò)”安全

責(zé)任編輯:editor004

作者:沈玲

2016-09-28 22:32:37

摘自:人民郵電報

總體上看,《網(wǎng)絡(luò)安全法案》是美國立法機構(gòu)動用國家強制力對網(wǎng)絡(luò)空間進行規(guī)則重塑的又一部文本典范。從9·11之后的《愛國者法案》,到反恐背景下的《美國自由法案》,再到目前的《網(wǎng)絡(luò)安全法案》,脈絡(luò)其實始終清晰,美國立法不追求說服別人,只要說服自己即可。

近年來,各國網(wǎng)絡(luò)安全領(lǐng)域的立法呈現(xiàn)集中爆發(fā)之勢。由于網(wǎng)絡(luò)安全越來越同國家安全、反恐等密切相關(guān),因此網(wǎng)絡(luò)安全立法的外延也在不斷擴展,關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)絡(luò)人才儲備、網(wǎng)絡(luò)監(jiān)控、信息共享等都被納入其中。美國的《網(wǎng)絡(luò)安全法案》就相當(dāng)有代表性。

2015年年底,在美國國會例行通過的年度《綜合財政撥款法》中,《網(wǎng)絡(luò)安全法案》被夾在其中,一并出臺。法案由《網(wǎng)絡(luò)安全信息共享法》、《國家網(wǎng)絡(luò)安全促進法》、《聯(lián)邦網(wǎng)絡(luò)安全人力資源評估法》等共計四章四十七節(jié)構(gòu)成,是一部組合性質(zhì)的法律。

——系列核心定義的范圍被擴展,“網(wǎng)絡(luò)安全”所指內(nèi)容由之前單一的“信息系統(tǒng)安全”調(diào)整為“信息系統(tǒng)安全和網(wǎng)絡(luò)數(shù)據(jù)安全”兩大部分。

法案所謂“網(wǎng)絡(luò)安全”,一是傳統(tǒng)意義上的“信息系統(tǒng)安全”,二是“數(shù)據(jù)安全”,具體包括三種形態(tài),“存儲在信息系統(tǒng)上的”、“正處于處理過程中的”、“途經(jīng)該信息系統(tǒng)的”,所有牽涉到這三種形態(tài)的數(shù)據(jù),都屬于這部法案最新調(diào)整的范圍。

在新思路的引領(lǐng)之下,系列定義被重新調(diào)整。如,法案SEC.102(5)“網(wǎng)絡(luò)安全威脅”,是指“可能對某一信息系統(tǒng)的安全、有效、機密和完整等屬性造成負(fù)面影響的未經(jīng)授權(quán)的行動,或者對存儲于該信息系統(tǒng)的數(shù)據(jù)、正在該信息系統(tǒng)上處理的數(shù)據(jù)、途經(jīng)該信息系統(tǒng)的數(shù)據(jù)造成負(fù)面影響的未經(jīng)授權(quán)的行動”。

——法案對國土安全部大力授權(quán),助其成為美國網(wǎng)絡(luò)安全權(quán)力架構(gòu)的最核心。

體現(xiàn)在三個方面,其一,法案授權(quán)國土安全部作為美國網(wǎng)絡(luò)安全信息共享的樞紐,不僅是私營部門向聯(lián)邦政府機構(gòu)進行信息傳遞的樞紐,也是聯(lián)邦政府各機構(gòu)之間信息共享的樞紐,由此,國土安全部將一舉躍升為美國網(wǎng)絡(luò)數(shù)據(jù)最大的存儲基地和中轉(zhuǎn)港。其二,法案重新確認(rèn)國土安全部在網(wǎng)絡(luò)安全事故應(yīng)急處置和關(guān)鍵基礎(chǔ)設(shè)施安全保障兩大任務(wù)中的牽頭部門地位,新增其在網(wǎng)絡(luò)安全人才教育培養(yǎng)中的負(fù)責(zé)部門地位。其三,法案授權(quán)新設(shè)國家網(wǎng)絡(luò)安全和通信一體化中心,為國土安全部下設(shè)機構(gòu)的權(quán)力再度加碼。

——以網(wǎng)絡(luò)安全為名,法案賦予美國網(wǎng)絡(luò)服務(wù)提供商史無前例的網(wǎng)絡(luò)監(jiān)控權(quán)。

法案SEC.104節(jié)名為“網(wǎng)絡(luò)安全威脅之防止、發(fā)現(xiàn)、分析和減輕等系列行動之授權(quán)”,其核心是授予網(wǎng)絡(luò)提供商對網(wǎng)絡(luò)實施監(jiān)控,并采取所有必要的防御行動。

依據(jù)SEC.104(a),監(jiān)控目標(biāo)可以是自家網(wǎng)絡(luò)信息系統(tǒng),也可以是其他任何網(wǎng)絡(luò)提供商的信息系統(tǒng),只要獲得書面同意即可。此外,對于那些被存儲于、正處于處理過程中的、途經(jīng)該信息系統(tǒng)的數(shù)據(jù),均可實施監(jiān)控。

啟動監(jiān)控之后,網(wǎng)絡(luò)提供商可采取SEC.104(b)所規(guī)定的各項防御措施。值得注意的是,法案授權(quán)網(wǎng)絡(luò)提供商可以與其他主體簽訂書面協(xié)議,授權(quán)其代表自己對網(wǎng)絡(luò)實施監(jiān)控和采取防御行動,即,監(jiān)控行動可以被外包出去。此類規(guī)定給人的想象空間實在巨大,比如,外包的主體可以理解為市場上專業(yè)的網(wǎng)絡(luò)安全公司,但也極有可能是國家安全局、中央情報局這樣的老牌情報機構(gòu)。法案這種無所控制的規(guī)定,基本可以視為2013年棱鏡事件之后,美國在網(wǎng)絡(luò)監(jiān)控方面的又一次立法大擴張。

——新設(shè)信息共享制度,將私營部門和聯(lián)邦政府各部門擰成一股繩。

信息共享的主線有兩條,一是私營機構(gòu)向聯(lián)邦政府進行信息共享,二是聯(lián)邦政府各部門之間的信息共享。共享的內(nèi)容包括網(wǎng)絡(luò)威脅跡象、防御措施、安全漏洞等等。共享主體上,主要由國土安全部部長、國家情報總監(jiān)、國防部部長領(lǐng)銜,具體牽涉某一類信息到底在何種范圍共享之類的法律細(xì)則將再行制定。

——網(wǎng)絡(luò)安全人才教育和專業(yè)培養(yǎng),百年樹人,著眼長遠。

網(wǎng)絡(luò)安全的特殊重要性促使法案將網(wǎng)絡(luò)安全人才單獨列出來進行重點培養(yǎng)。法案提出“網(wǎng)絡(luò)安全教育之國家倡議”,由國土安全部、國家標(biāo)準(zhǔn)技術(shù)研究院、聯(lián)邦情報機構(gòu)牽頭,對網(wǎng)絡(luò)安全和信息技術(shù)類人才進行專門培養(yǎng),設(shè)定人員上崗要求,并對網(wǎng)絡(luò)安全、相關(guān)工種進行全國統(tǒng)一職業(yè)編碼。法案要求立即啟動全國網(wǎng)絡(luò)安全緊缺人才的申報和確認(rèn)工作。

除以上之外,法案還規(guī)定了其他內(nèi)容,如,要求對移動設(shè)備安全、網(wǎng)絡(luò)醫(yī)療、網(wǎng)絡(luò)金融等領(lǐng)域的安全予以前瞻性研究,進行重點關(guān)注。對2011年白宮《網(wǎng)絡(luò)空間國際戰(zhàn)略》發(fā)布5年以來的實施效果進行評估,并計劃2016年年底之前出臺新版《網(wǎng)絡(luò)空間國際戰(zhàn)略》。

總體上看,《網(wǎng)絡(luò)安全法案》是美國立法機構(gòu)動用國家強制力對網(wǎng)絡(luò)空間進行規(guī)則重塑的又一部文本典范。其思想基本延續(xù)了《國土安全法案》、《愛國者法案》、《外國情報監(jiān)控法案》、《美國自由法案》的立法精髓,體現(xiàn)了美國思維。

制度搭建方面,很多構(gòu)想十分超前,力透紙背。比如,關(guān)鍵基礎(chǔ)設(shè)施的安全保障計劃從之前的“100%安全目標(biāo)”調(diào)整為“基于風(fēng)險”,將“某一”關(guān)鍵基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊的情景假設(shè)調(diào)整為“多個”關(guān)鍵基礎(chǔ)設(shè)施“同時”遭到極其重大網(wǎng)絡(luò)攻擊,并引發(fā)毀滅性后果的情景假設(shè)。類似此類的考慮,其實質(zhì)是將立法思路整體轉(zhuǎn)變?yōu)橹卮鬄?zāi)難很難回避的假設(shè),這在全球恐怖主義襲擊線上線下聯(lián)動的背景之下,是有其現(xiàn)實意義的。

管轄范圍方面,條文跨越國界,對全球網(wǎng)絡(luò)安全進行管控。一方面,對于自然人,一旦觸犯美國法律,不管你是哪國人,翻遍全球也要追捕到底。SEC.403節(jié)規(guī)定,美國法官在“確信”的情況下,可以向任何國家網(wǎng)絡(luò)犯罪分子發(fā)布逮捕令,可以動用國際刑警組織發(fā)布紅色通緝令,實施抓捕行動。另一方面,對于其他國家,美國并不致力于塑造和諧、和平、友好的對外形象,尤其是對中國、俄羅斯、巴西和印度,美國將特別關(guān)注其在國際網(wǎng)絡(luò)空間規(guī)則制定方面的一舉一動,比如這些國家提出的一些新詞匯。

時間效力方面,法案有效期為10年,截至2025年年底失效,這與那些致力于法典化的國家相比,期限的確短暫,但也恰恰因此,法案的思路不以理論公正為目標(biāo),而是追求一種立竿見影的實際效果,有些制度甚至以1年或者3年為期。相比于那些反反復(fù)復(fù)斟酌詞匯、希望網(wǎng)絡(luò)安全立法條文“一部永流傳”的國家,美國的出發(fā)點是角力當(dāng)下。

很難想象10年之后,另一部美國網(wǎng)絡(luò)安全法將會以何種面目出現(xiàn)。但變化的其實是形式,不會改變的,是美國立法機構(gòu)將網(wǎng)絡(luò)空間視為自家資產(chǎn)并掌控全球的慣性思維。從9·11之后的《愛國者法案》,到反恐背景下的《美國自由法案》,再到目前的《網(wǎng)絡(luò)安全法案》,脈絡(luò)其實始終清晰,美國立法不追求說服別人,只要說服自己即可。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號