2015年12月18日,美国国会通过并由奥巴马总统签署了第一部综合性的美国网络安全法案“Cybersecurity Information Sharing Act of 2015”,即“2015年赛博安全信息共享法案”。美国一些官方文件也直称该法案为“2015网络安全法”。
在网络空间安全立法方面,美国一直走在全世界的最前面。自2002年以来,美国通过了近50部与网络空间安全有关的联邦法律,其中包括《1984年伪造接入设备及计算机欺诈与滥用法》、《1986年电子通信隐私法》、《1987年计算机安全法》、《1995年削减公文法》、《1996年信息技术管理改革法》、《2002年国土安全法》、《2002年网络安全研发法》、《2002年电子政务法》、《2002年联邦信息安全管理法》等。但是自2002年通过《联邦信息安全管理法》以来,美国没有通过任何重要的综合性网络安全立法。2014年年末通过的四项法案也仅是对已有法律的修正案或者是就人员和机构等局部事项作出规定。
为什么这项方案这么难通过,因为该法案涉及的不仅是“信息共享”,而是包含了保护美国网络安全和国家利益的更多法律措施,特别是进攻性网络防御措施。进攻就意味着美国国会允许网络战争合法化,美国总统可以像武力制裁伊朗一样,凭借强大的网络攻击能力对其他国家开展精准打击。这个是非常可怕的,NSA泄露的工具库里面的一个小小的漏洞就可以造成全球的勒索病毒事件爆发,那么他们还有那么多没有公开的网络武器的威力可想而知。
那么为什么到2015年美国国会通过了这项法律呢?如果聚焦2011年开始,你会发现美国开始不断地炒作各种网络安全攻击事件,包括各种APT报告。通过热炒国外军事力量的攻击,来给国会施压,获得法案通过,达到美国的真实目的。
现在是一个信息爆炸的社会,互联网上存在着各种各样的信息,有真有假,无法判别,一个网络事件从出现到消亡一直会不断地反转变换,民众也会根据舆论的导向不断地无脑抨击。我们如何去看待一个事件的真相,我觉得不能单纯的从原因去看待,也不能盲目地信任某一方言论。网络上出现的事件的真相其实很难去确认,毕竟我们都不是见证人,但是我们可以有自己的思考。事件本身有时候不是那么重要,我们更多应该去看的是事件形成的真实结果和对我们自身的影响。就像上面所有的观点一样,也都是作者自己的推断,很难说一定反应的是真实的情况,但是事件发生的背景和造成的结果都是看得到的。
美国的这部法律颁布以后,各个国家纷纷趋之若鹜地建立自己的网络安全法律和关键基础设施保护条例,这应该是各国在看到了美国真实目的后的真实反应。国家需要一套完整的法律体系来支撑自己的行为,不管是中国还是英国、法国、澳大利亚。《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。《中华人民共和国网络安全法》的第一条就是,为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
中国网络安全法的颁布,极大地活跃了整个网络安全市场。由于把基本网络安全定性成为等级保护制度,等保相关的衍生行业得到大翻身,原来要死不活的网络安全公司们,开始大批量地得到防火墙、WAF、堡垒机等设备的订单。各行各业的集成商迅速宣称自己有成熟的网络安全建设能力,网络安全公司像是在河里的蚂蝗一样迅速盯上了有等保建设需求的甲方单位,由于是一把手负责制,甲方单位在网络安全上的投入也越来越大方,甲方如何合理规范化自己的投入也成为一个难题,如果有机会,我后面可能会单独写一篇文章来提供自己的一些考虑。
当然,上面是网络安全法这些法律给市场带来的表面最容易看到的地方。网络安全法还有一点,就是带动了行业从业人员的变化。蓝海的市场带来了极大的收益,极大的收益吸引来众多的从业人员。只要是IT相关人员,都开始摇身一变转行成为网络安全人员,当然水平也很容易被戳穿。还有一拨人就是原先的网络黑产者,之前提到的黑产行业看似收入非常高,但是具体从业人员良莠不齐,大部分收益由于信息的不对称被一些中介拿走。产业链里面的绝大多数黑客们面临几个问题:
1)攻击的订单不稳定,经常几个月都没有收入来源,导致心慌。
2)攻击的风险低,存在被抓的可能性,立法以后攻击被抓后有法律依据,可能会有牢狱之灾,不再像以前一样仅仅罚款草草了事。
3)做网络安全防护的越来越多,很多攻击目标都按照要求做了体系防护,攻击难度逐渐增大,成功率变低。
还有很多很多的因素,当然还有一个最重要的因素,就是网络安全服务人员被市场的热炒以后,待遇变得极为可观,再加上原来的高校都不存在专门的网络安全专业,这使得有能力的网络安全工程师成为香饽饽,一般的网络安全工程师的待遇甚至超过了一些公司的副总级别。基于这些原因,黑客人员的洗白开始变快,黑客们不断地摇身一变成为网络安全工程师。当然市场总是会回归理性的,这个人员紧缺的环境后面也会随着现在高校网络安全专业的不断扩充和经过培训机构培训上岗的队伍的壮大回归正常,到时候一些黑客基于一些利益的考虑回归黑产也不无可能。如果真有黑客回归,他们在做网络安全防护市场中积累的经验会让他们攻击起来更加得心应手,因为他们熟悉了防护的体系,懂得一线从业人员是如何做防护的,了解防护可能存在的弱点,这个也是作者比较担心的可能发生的情况。
不管怎么说,目前都是网络安全行业的春天,而我们也应该了解到,这个春天跟网络安全法是离不开的,这也就是我们专门提一个法律的原因。如果您感兴趣,可以自行学习网络安全法律体系
閱讀更多 Wooder 的文章
