欧盟统一管理水准
欧盟在2004年就开始为应对网络空间威胁未雨绸缪,成立了欧洲网络和信息安全局(ENISA),主要就云安全、安全软件工程、智能手机安全三大类领域进行评估和管理,以保证欧盟内部网络信息传输的安全高效。
但时至今日,欧盟网络安全维护工作仍未获得英国的认同。英国2010年成立专门委员会对英国和欧盟的网络安全进行调查研究,最终出台的《防止欧洲遭受大规模网络攻击》报告显示,英国的网络安全形势是欧盟国家中最好的,英国的公共事业部门、银行和政府的网络系统可以抵御网络攻击和自然灾害的破坏。然而,其他欧盟成员国在网络软硬件上的漏洞很可能造成不可预见的连锁反应,欧盟内部整个网络系统的安全唇亡齿寒。
英国网络安全专门委员会主席乔普林认为,“网络世界中,对一个国家的攻击很可能对其他国家造成影响,可欧盟中很多国家网络安全的准备不足。欧盟应该发挥它的作用,促使整个欧洲的网络安全达到英国的水准。”但业界普遍认为,他所指出的准备不足国家主要在东欧,而且加入欧盟越晚,其安全水平越低。该报告还建议欧盟委员会鼓励成员国提高关键信息设施受攻击后恢复的能力和成立国家计算机应急反应小组。
通力合作,管好“第五空间”
随着互联网信息技术的不断发展,建立一个全球范围内的网络安全行为准则。在刚刚结束的慕尼黑安全政策会议上,美国前中央情报局长迈克尔·海顿呼吁,各国应建立一套“网络安全行为准则”,防止“网络冷战”。
海顿抛出的观点是,网络是作为陆地、海洋、天空和太空之外的“第五空间”,其复杂程度和发展趋向仍难以精准把握,世界各国对网络安全的认识和战略出发点也不尽相同,因此要实施某些代表提出的签署类似核裁军条约一样的网络安全公约难度很大。
美国对外关系协会研究员赛格尔和威克斯曼发表的署名文章认为,相关国家对网络安全的定义分歧依然很大,比如美国和欧洲强调计算机系统的安全,俄罗斯和中国则强调互联网信息的安全。
在海顿看来,更贴近实际的做法是建立网络安全行为准则:世界各国对网络空间能做什么、不能做什么形成共识,比签署一个条约更有效。比如各国可以保证,即使发生军事冲突也不实施“停止服务攻击”。“停止服务攻击”是当前网络黑客常用的攻击手法之一,通过向目标服务器发送海量服务要求,导致其网络严重超负荷而瘫痪。鉴于电力系统和金融系统遭到网络攻击将产生灾难性后果,这方面的网络攻击也应当被禁止。在确立共同认可的行为准则后,相关各方可以推出制裁措施。
英国智库皇家三军联合研究所(RUSI)助理研究员约翰·巴塞特对海顿的观点表示赞同。他认为,政府需要在全球网络安全方面发挥主导性作用,并建立相应行为准则。他建议准则建立在广泛基础之上,比如借助联合国和相关裁军组织、国际技术组织、20国集团或8国集团会议、北约或欧盟、国际刑警组织等。网络安全准则可以分成双轨制。第一轨关于网络战,涉及战略武器控制和信息交换。相关国家在网络战技术方面达成基本原则。第二轨关于管理标准。各国在内部就个人及机构使用网络制订出标准,这一标准应能在国际间兼容。
在互联网发展离不开国际合作的背景下,仅凭一国之力很难实现维护网络安全的目标。互联网是匿名的,这就造成网络犯罪行为的来源非常难以追踪。只有在各国政府、安全机构、情报人员、民间企业等通力合作、共享信息的情况下,才能追踪到真正来源。俄罗斯卡巴斯基网络安全公司曾和国际电信联盟(ITU)合作进行了一项测试。卡巴斯基公司技术人员在互联网上对一宗模拟的网络犯罪案件进行跨国追查,最终查到了“犯罪来源”是在乌克兰的基辅。但由于各种实际原因,“犯罪分子”无法归案。
对此,不少国家已经开始采取行动。2011年9月,俄罗斯、中国、塔吉克斯坦和阿塞拜疆常驻联合国代表向联合国秘书长提交了一份信息安全国际准则的文件,呼吁各国不应利用包括网络在内的信息通信技术实施敌对行为、侵略行径和制造对国际和平与安全的威胁;建立多边、透明和民主的互联网国际管理机制;充分尊重在遵守各国法律前提下信息和网络空间的权利和自由等。
目前,尽管美国和它的某些盟友主张动用军事力量反击网络攻击,但其他大国主张把网络安全问题同传统安全区别对待。业界学者建议,鉴于网络攻击的来源难以证实、难以发现,网络间谍和网络攻击的界限也很模糊,在处理网络安全事件时,决策者应当更多借助外交力量,各相关国家应当建立网络危机应急沟通渠道,及时交换意见。
凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头。
