數據安全,更為準確地說,是“網絡化”(Networked)的數據安全,已成為當前國際間競爭和斗爭的焦點。數據,不僅被作為國家的核心資產和資源,而且被作為政治化和武器化的標的。中國政府相關部門最近宣布,西北工業大學遭受美國國家安全局(NSA)的持續網絡攻擊,導致大量敏感數據遭竊。這起事件是對數據安全保護的又一次深刻警示,亟應舉一反三地從中汲取經驗和教訓,果斷采取必要和有效措施,加固國家關鍵信息基礎設施(和數據安全)的底座。
鑒于,網絡入侵和攻擊、數據遭竊或失竊,乃至極端情況下被斷網或斷服的潛在風險,都具有相應的范圍和邊界(盡管有時是動態的),其中包括:起點(戰術)、路徑(技術)和步驟(過程);因此,有必要探究和搞清楚三個基本且相互關聯的問題:
1)國家安全與公共安全(起點);
2)網絡的基本特征(路徑);
3)管轄權與控制權(步驟)。
一、國家安全與公共安全
從數據安全的角度,國家安全(National Security)與公共安全(Public Safety),既具有不同的術語界定,也具有不同的內涵與外延。一方面,國家必須以立法的形式,規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益。另一方面,由于數據安全在事實上動態地被泛化,使得區域的不同環境、立法的統一解釋、執法的力度效能都存在不同程度的困難,或滯后于現實的變化和需求。因此,美國和歐洲等國家存在行政命令和立法執法并行與互補的機制,并明確國家安全與公共安全的差異與重點。例如,美國法典第44卷第3542章定義了美國的“國家安全體系”(簡稱“NSS”),即:是由美國政府機構或機構的承包商或代表機構,所使用或運營的任何信息系統(包括任何電信系統)。1990年7月5日,布什總統簽署第42號“國家安全指令”(NSD-42),指定由美國國家安全局(NSA)作為該“國家安全體系”的主管(或稱為“國家安全經理”,National Security Manager)。至今,NSA所行使的職責,“旨在預防和消除網信安全威脅,以挫敗外國對手并保護重要網絡”,是“法定”賦予其在網信安全領域的定位和職能。拜登上臺伊始,于2021年3月3日發布了“國家安全戰略臨時指南”,把“網信安全(Cybersecurity)作為重中之重(Top Priority)”;不久,又于2021年5月12日簽發總統行政令(EO14028 ),再次明確NSA的職能和作用是“加強國家的網信安全”。此外,國家網信安全及基礎設施安全局(CISA ,隸屬于國土安全部),主要負責政府部門以及承包商的網信安全監督與協調;聯邦調查局(FBI,隸屬于司法部),主要負責網信安全調查與執法;而國家安全委員會的副顧問安妮 紐伯格 (Anne Neuberger)和國家網信安全總監克里斯 英格利斯(Chris Inglis),都是來自于NSA。由此可見,美國國家安全暨網信安全(Cybersecurity)是 差異化管控體制,實際上處于“軍管”機制。至少,NSA目前仍隸屬于美國國防部,陸軍上將保羅 中曾根在NSA(和美軍網戰司令部)的任職被延長了一年(至2023年5月)。7 月 20 日,美國眾議院能源和商務委員會以53:2 的投票結果,將新的“美國數據隱私和保護法案”(H.R. 8152,簡稱“ADPPA”)提交眾議院審議。ADPPA 試圖創建一個全面的消費者隱私保護框架。該法案在兩個問題上做出妥協:包容州立的數據隱私法以及允許個人對數據隱私的訴訟權。雖然該法案能否通過參議院的審議還有待觀察,但是該法案的一些關鍵方面值得關注:● 涵蓋的實體。該法案將適用于大多數實體,包括非營利組織和公共運營商。一些實體(包括政府實體和其他服務提供商)使用數據,將面臨不同或額外的要求。● 涵蓋的數據。該法案將適用于“標識或被鏈接或合理鏈接”到個人的信息。● 忠實的義務。該法案將禁止相關實體收集、使用或傳輸超出個人請求提供的服務數據,為敏感數據的涵蓋類型制定特殊保護,這些數據被定義為十六種不同的數據類別;該法案將要求涵蓋的實體在將其涵蓋的數據傳輸給第三方之前,須獲得消費者的肯定或明確同意,除非適用特定例外。● 透明度(Transparency)。該法案將要求相關實體披露他們收集的數據類型、使用這些數據的目的、保留數據的時間,以及數據是否會讓中國、俄羅斯、伊朗、朝鮮訪問。● 第三方數據收集實體。該法案將為第三方數據收集實 體設定特定義務,這些實體不直接從消費者那里收集數據(例如數據托管代理人),但這些實體必須遵守聯邦貿易委員會(FTC)的審計規定。● 數據安全。該法案將要求受管轄的實體根據實體的規模和活動,采用合理的數據安全方法和程序,并將授權FTC 對數據安全要求的法規發布詳細說明。目前ADPPA得到了美國國會中兩黨的支持,電子隱私信息中心、民主與技術中心和一些主流媒體等各種利益集團都對該法案表示了熱情。48個不同的公共利益團體在8月25日致函眾議院議長南希 佩洛西,敦促國會通過ADPPA ,稱該法案是“有意義的妥協”, 如果不采取行動可能會“阻礙這方面的進展”,成為“未來幾年的問題。”但是,一些人還對ADPPA的某些條款表示擔憂。加利福尼亞州等十個州的總檢察長聯名致函國會,批評ADPPA為數據隱私權設置“上限”而不是“下限”。這些州的總檢察長們認為,應該允許各州通過自己的數據隱私法,以便他們可以“立法響應”技術和現實的變化。歐盟在數據安全和隱私保護的立法和執法,似乎也面臨著類似異議的尷尬。2018年5月25日,歐盟“通用數據保護條例”(簡稱“GDPR”)生效,歐盟委員會為此發出公告:“別了,數據濫用。今天,我們歐盟數據保護規則開始實施,使得歐洲人重新控制自己的數據。歐洲主張其數據主權,并為數字化時代做好準備。”然而,時至今日,歐洲所主張的“數據主權”仍在蹣跚之中。例如,對“DNS 4 EU”(歐洲的DNS)專項招標(2022年1月),IBM(QUAD 9 DNS)公開聲明不參與,以示“抗議”。顯見,即使在標榜“法治”的西方國家中,對于數據安全和數據主權也是“有差別”的處理,即涉及國家安全采取強制性措施,而對于公共安全則需要聽證與辯論、協調與統籌。畢竟,公共利益必須服從于國家利益,清晰地界定數據安全(網信安全)的起點與定位、措施與實施,至關重要。網絡(Network)是一個廣義的概念,是由點和線的集合所形成的拓撲結構;其中,“線”可以是兩個點之間的連接或關聯關系。例如,生物網絡、神經網絡、生態網絡、社交網絡、供應鏈網絡,互聯網絡(Internet)等,不一而足。盡管在所有這些不同的領域中,僅僅具備了“網絡”組件的詳細知識,都不足以描述整個系統;但是,目前的研究已經證明:自然界中的各種網絡都遵循一個共同的發展模式,即具有無標度(Scale-free)的特征。一般而言,“無標度”網絡具有顯著的異質異構性,其中各節點之間的連接狀況(度數)具有明顯的非均勻分布性:網絡中少數稱之為“中心”的節點擁有極大量的連接,而大多數節點只有很少量的連接。少數“中心點”(Hub)對無標度網絡的運行起著主導的作用。這就是說,無標度網絡的特性是描述大量網絡互聯互通所構成的復雜系統,在整體上嚴重非均勻分布的一種內在的動態性質(圖 1)。備注-1:在圖 1 中,“點”表示自治系統,“線”表示自治系統之間的連接;因此,全球互聯網絡又被稱為“由多個網絡所組成的網絡”(Network of Networks)。自治系統(AS)可以是一個局域網絡或區域網絡,全球 的互聯網絡可以認為是由數以萬計的自治系統所動態組成(目前注冊的自治系統數量為:111,314 個),而互聯網絡的路由路徑是自治系統之間的連接所組成。從自治系統的定位和功能,全球互聯網絡可以被簡化地分為三個層次(金字塔狀,圖 2 ):
【圖 2 互聯網絡中自治系統的功能簡化層次】
其中,“轉發”自治系統是全球互聯網絡的“中心”節點,向“中繼”自治系統提供服務并收費(與“對等”自治系統互不收費);“中繼”自治系統向“末端”自治系統提供服務并收費(與“對等”自治系統互不收費);“末端”自治系統,一般是本地的局域或區域網絡,必須通過“中繼”自治系統接入互聯網絡。備注2:“對等”(Peer)是一種網絡運營模式,即兩個自治系統(屬主)經協商后互不收取互連接的服務費用,或是以其它方式予以補償。
其中,“收費”自治系統數量,表示連接并通過“中心”節點轉發數據的分布在全球的自治系統數量(且是動態變化)。根據 2021年2月發布的《第47次中國互聯網絡發展狀況統計報告》,截至2020年12月,中國互聯網的國際出口帶寬數為 11.5Tbps(圖3):
【圖3 中國互聯網主要骨干網絡的國際出口帶寬數】
備注-3:西北工業大學所屬的自治系統(AS24353)是中國教育和科研計算機網(CERNET)的一個末端節點,僅與CERNET骨干網自治系統( AS4538)相連接。● 中國教育和科研計算機網(和中國科技網)的“產品優勢之一”是:擁有獨立、高速的國際互聯網出口帶寬。● 中國教育和科研計算機網(和中國科技網)所連接的境外自治系統具有“無標度”連接特性,即數據傳輸的“路徑”存在不確定性, 網絡攻擊的“跳板”具有動態性和欺騙性。● 中國教育和科研計算機網(和中國科技網)的郵件系統被托管在Coremail,且Coremail 具有“海外鏡像加速”的優勢。● “海外鏡像加速”,僅僅是內容分發網絡(CDN)和內容被托管在境外的市場推銷術語。● 基于域名系統(DNS)和“任播”(Anycast)技術的CDN,使得對網絡攻擊的溯源被模糊化和復雜化。● 不論是對系統的入侵和攻擊,還是竊取敏感數據,都需要通過網絡路徑。雖然中國教育和科研計算機網的國際出口帶寬僅153.6 Gbps ,但是,如果傳輸140 GB(字節)數據量,卻只需約 7 秒鐘。此外,中國教育和科研計算機網(和中國科技網)也具有“無標度”特性;因此,遭受攻擊的事件不會是孤立的、突發的、偶然的。據7月14日的媒體報道,華爾街一些最大的銀行正在與美國證券交易委員會(SEC)和商品期貨交易委員會(CFTC)進行談判,以和解并支付巨額罰款,預計十家銀行將分別支付約2億美元,總計20億美元。這些銀行犯了什么法?只是由于他們的員工使用加密的個人短消息應用程序,如WhatsApp。根據 SEC 和 CFTC 的規定,金融經紀公司應該保存和監控其員工的書面通信,并制作成書面記錄,以供監管機構檢查金融經紀公司對投資者保護法規的遵守情況。由于WhatsApp 和 Signal 等信息服務App已被加密,監管機構無法看到這些被發送的短消息。而且,這些短消息還可以配置在一定時間或閱讀后自動刪除的功能。個人隱私加密短消息應用程序的興起和普及流行,使員工遠離辦公室并依賴個人設備,隨之擴大了對法規的偏離和監管的缺失。美國銀行政策研究所(BPI)反對“端到端加密”(E2EE),其理由是,銀行監管機構和行業需要能夠監視和記錄相關的通信。根據美國金融行業一位律師的說法,銀行擔心,“當他們真正地順應當今許多業務的處理方式而不同于傳統模式時,”該如何遵守監管規則;或隨著網絡技術和業務發展,監管當何去何從!據稱,“中國高校前100 強中60%采用Coremail郵件系統”,“中科院下轄單位提供用戶信息和 DNS 設置情況,根據各單 位的用戶數據進行導入(Coremail郵件系統)”。那么:● 中國教育和科研計算機網(中國科技網)對其郵件系統有控制權嗎?● Coremail 對被在“海外鏡像加速”的郵件有控制權嗎? 事實上,管轄權與控制權是兩個不同的維度,可以組合為 4 種可能的狀態(圖 4):
【圖4 數據的安全與主權的之基本環境的四個象限及其狀態】
如同傳染病毒的宿主,“假陰性”(False-negative)的危害性最大。表面上對數據安全和網絡安全擁有管轄權,但實際控制權已(自覺或不自覺地)被拱手相讓(被第X方操控)。確保以及監督擁有管轄權和控制權(即“陰性”)的環境, 是維護數據安全與主權不可或缺的必要條件。反之不難設想, 周而復始的“前門拒虎、后門進狼”,卻可能“不知其所以然”。
綜上,網絡化的數據安全已發生了質和量的根本性變化。“同一個世界,同一個互聯網”是曾經不切實際的幻想,或成為混淆當下競爭原則和誤導嚴峻斗爭立場的人為制造的“迷霧”。換個角度關聯思考,不論是美國實施的“清潔網絡”計劃,還是“未來互聯網宣言”,以及可能出臺的“美國數據隱私和保護法”,都是圍繞著同一個目標:數據是地緣政治力量和競爭的來源,被視為經濟安全和國家安全的核心;同時亦主張:全球互聯網時代已經結束(The era of the global internet is over)。還需要指出的是,網絡化數據的安全問題,在本質上是 由于大數據的交換和流通,進而對數據的存儲和處理、開發 及利用,產生了不同的跨域需求以及關聯的跨界利益。換言之,任何關鍵信息基礎設施的運營者,面對業務和技術的快速發展,都不再可能“面面俱到”、“應有盡有”,而第三方(第X方 … )的托管代管成為普遍的商業模式,或形成潛在的供應鏈。故此,在統籌安全與發展中行穩致遠,維護國家的數據安全,是一項長期與常態、艱巨與細致的工作,其關鍵的基礎性和系統性舉措必須包括(但不限于):建議:對于在數據安全中潛在的“假陰性”狀況,借鑒并采取必要和必須的“熔斷機制”。
(作者:邱實,網絡信息安全技術專家;牟承晉,昆侖策研究院高級研究員、遠望智庫特約研究員、中國移動通信聯合會國際戰略研究中心主任。來源:昆侖策網【原創】,作者授權首發)
【本公眾號所編發文章歡迎轉載,為尊重和維護原創權利,請轉載時務必注明原創作者、來源網站和公眾號。閱讀更多文章,請點擊微信號最后左下角“閱讀原文”】
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。 特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
