長期以來,美國憑藉其在網絡技術領域的領先地位,一方面對全球進行監控,從中獲取其感興趣的情報信息;另一方面站在道德制高點上,頻頻指責中國等國進行“網絡竅密”,甚至引用國內法對中國公民進行起訴,網絡霸權主義顯露無疑。
美國又被打臉了
繼數年前斯諾登爆料美國“稜鏡”計劃後,近期,美中情局多次被爆料對他國進行網絡攻擊與監控。其中,2月份,《日內瓦論壇報》報道美中情局(CIA)通過瑞士一家加密技術公司對120多個國家的軍事和外交通信往來進行了50多年的監視。
3月3日,“國際安全智庫”微信公號發文披露,美中情局攻擊組織(APT-C-39)對中國關鍵領域進行了長達11年的網絡滲透攻擊。
從技術和法律角度分析美國的監控行徑
北京郵電大學網絡空間安全學院教授辛陽表示,美國和德國通過控制Crypto AG公司實現對全球120多個國家和地區的監聽。從技術上,主要是在Crypto AG生產的加密設備中使用存在漏洞的加密算法。當其他國家和地區的用戶使用了這些設備對通信進行加密後,美德情報機構可以利用加密算法中的漏洞逆向解密出信號中的原始內容。並且Crypto AG公司還會對加密算法進行升級,從而使得隱藏在算法中的漏洞更加隱蔽,能夠有效對抗漏洞審計方法。
從法律角度看,美德情報機構對外國政府、企業和個人實施大規模、有組織、無差別的網絡竊密與監聽、監控的行為違反《網絡犯罪公約》、《信息安全國際行為準則》、《塔林網絡戰國際法手冊》等國際法和國際關係基本準則,侵犯了其他國家的網絡主權。
中國該如何完善網絡防禦技術
從戰略層面看,我國網絡安全防禦起步較晚,因此相較美國完善的戰略體系還有較大提升空間。但就近年我國積極制定網絡空間安全相關規範的效率來看,我國已經明顯意識到安全戰略體系建立的必要性,也認識到這是網絡強國的內在要求。2015年7月,人大常委會頒佈了新的《國家安全法》,明確提出建設網絡與信息安全保障體系; 8月底頒佈了《刑法修正案(九)》,加大打擊網絡犯罪力度; 12月通過了《反恐怖主義法》,規定了電信業務經營者、互聯網服務提供者在反恐中應承擔的義務。2016年年底,我國第一份關於網絡空間安全的戰略文件——《國家網絡空間安全戰略》,以及第一部網絡安全的基礎性法律——《中華人民共和國網絡安全法》相繼頒佈。2018年我國相繼出臺了多項涉及網絡與大數據安全的政策及指導意見,網絡安全政策體系建設不斷加速。中央網絡安全和信息化領導小組提出:“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化,中國要由網絡大國走向網絡強國。”因此,2019年5月,網絡安全等級保護制度2.0國家標準發佈。
從行業層面看,辛陽認為,國家應當大力發展信息產業,從整體上提升國家的信息安全水平,著重下一代網絡安全和通信技術的研發。其次,在網絡安全設施,尤其是關鍵基礎設置的採購中,儘量堅持自主可控原則,部署先進的信息安全防護技術,推進密碼學、數學等關鍵基礎學科的發展。應當堅持通信及網絡設備的自主研發,加強審計能力,及時修補漏洞。另一方面,應當加強國家網絡安全建設,提升關鍵部門及公眾的安全防護能力。另外,國家應當充分發揮監管部門的職能,加強網絡和通信設備的審計工作,通過立法、標準的方式提升信息安全、通信安全產業界的發展。
公司與個人該如何確保網絡與數據的安全
辛陽稱,對公司來說,數據具有較高的商業價值,一旦遭受網絡安全攻擊會造成巨大的損失。同時公司的IT設施、人員構成往往相對複雜,容易存在漏洞。因此,一方面從管理的角度上,有條件的公司應當設置專門的信息安全保障部門,把信息安全管理提升到決策層,提升整個公司的信息意識。另一方面,從技術的角度上,應當採購必要的信息安全防護設備,及時更新軟件和修補漏洞。
對個人來說,首要因素是提升個人的信息安全意識,並且生活中注重避免個人信息的洩露。其次,生活中儘量使用正規的數字產品,養成良好的信息安全習慣。
閱讀更多 北京日報客戶端 的文章
