第一章 网络安全在英国国家安全中的定位
第一节 英国面临的网络安全威胁
欧美发达国家在信息化浪潮中已占据先机,对网络的开发和使用取得了大量成果。同时,信息化程度越高的国家对网络的依赖性就越强。在英国,各个关键领域已经由网络联为一体,形成了国家信息化关键基础设施, 包括政府、金融、交通、能源、电力、通信等各类重要信息系统。在这些信息系统支撑下, 英国的政治、经济、军事、文化等各层面都与网络有着更加紧密的联系, 人们的日常生活也更加离不开网络。根据 2009 年的《数字英国》报告,英国消费者90%的消费依托于联网的信用卡,全年网上电子商务交易量高达 500 亿宗。由于对网络利用程度的不断加深,英国越来越依赖网络,而网络安全的重要性也随之日益凸显。
受限于技术水平和一些人为因素,网络存在着天然的硬件缺陷以及难以避免的软件漏洞。作为一种新的媒介,网络缺少权威和公信。在网络中,任何一个人都能成为信息发布的源头,甚至可以成为拥有巨大影响力的自媒体;任何不负责任的个人或者组织都可以出于种种目的在网上制造假新闻、发布假消息,歪曲事实进行宣传以谋取不当利益。同时,网络空间的匿名性和低成本使得别有用心的人有机可乘,不法分子、极端主义者、恐怖分子甚至是某些政治实体可能利用网络空间进行金融诈骗、从事间谍活动、宣传不良思想乃至为战争服务。根据英国政府的统计,在过去5至10年间,网络犯罪一直呈现急剧增长的态势。网络犯罪分子不停在寻找和利用着英国政府部门、社会团体、企业以及个人信息系统的软硬件漏洞。
可以看到,英国面临的网络安全威胁日益突出。
首先,英国面临着网络战威胁。国家信息系统经常被有敌意的国家和不法分子作为开展网络攻击的主要目标,这是通过网络窃取英国情报的重要途径。英国政府安全部部长维斯特勋爵曾经表示,英国网络安全面临的最大威胁是他国支持的网络攻击,另外来自网络恐怖分子的攻击也在增加。
2008年的西欧联盟议会国防委员会报告中曾提出“在未来,网络战将成为国家冲突中越来越重要的一个特征”。事实也确实如此,网络战在国家冲突中经常发生,其破坏力在很大程度上不低于真实战争。
第二节 网络安全在国家安全中地位的提
随着网络时代的到来,网络安全已越来越受到英国政府的重视。在网络时代,信息已成为一种重要的战略资源,是一个国家社会发展必备的核心因素。在网络时代里,一个国家在忽视网络安全的情况下难以迅速发展。2009年6月,英国推出其首个国家网络安全战略,当时的英国首相布朗在颁布该战略时,表示英政府将网络安全摆在与英国历史上的重要安全政策同等重要的位置上。由于网络恐怖主义活动日趋猖獗,英国在其 2010 年国家安全战略报告中将网络威胁、恐怖主义、国际军事危机、自然灾害视为英国家安全面临的四大主要威胁,对网络安全的重视程度不断提高,将网络安全提升至国家安全高度予以重点关注。
首先,英国对网络安全重要性有着充分的认知。2009年发布的英国国家安全战略中就曾提到“政府、企业和公民可以享有安全的网络空间及其带来的全部利益:通过在国内和海外一起合作,了解和应对这些风险,抓住机遇提高英国的网络整体安全性和应变能力。”英政府认为不能因网络安全阻碍新技术的应用,政府的终极目标是使英国能够享有网络带来的全部利益。另外,英国在其 2010 年发布的《国家网络安全计划》中提出要将网络安全融入到英国国防理念中。英国国防部还表示为了应对网络战争,将招募大量网络专家人才。英国防部认为,在未来的冲突中,除了传统的海陆空行动,还可能有网络行动,因此英国绝对有必要加强网络方面的力量。同时,2011年英国第二次发布的国家网络安全战略明确提出英政府将在未来4年拨款6.5亿英镑用于提升英国整体网络安全水平,同时还提出了一系列方案,包括成立监测网络(以政府通信总部为核心),与他国合作制定网络国际标准,加强与工商企业界合作,努力提高网络产品以及相关服务的安全性等等。
其次,英国已将网络安全作为其国家安全的重要组成部分。当前,信息网络安全已成为国家安全中最突出的一个问题,并引起国际社会尤其是西方发达国家的高度重视。在这一背景下,英国的国家安全观发生了明显变化。《第三次浪潮》的作者阿尔文·托夫勒断言:“谁掌握了信息,谁控制了网络,谁就将拥有整个世界。”英国政府深谙这一点,将维护国家安全作为英国网络安全战略的出发点。英国前首相布朗曾将网络安全与英国历史上的重要安全政策相提并论,他表示“正如 19 世纪我们必须在海上确保国家安全和繁荣、20世纪在空中确保国家安全和繁荣一样,在21世纪,我们同样必须确保我们在网络中的阵地安全,从而给予民众和企业能够在那里安全活动所需的信心。”
第二章 英国网络治理的法律制度建设
第一节 完善网络安全立法
随着网络的快速发展,网络安全问题已越来越受到各国的重视。加强网络监管力度,确保网络安全,特别是保障一国网络信息安全和民众隐私安全,已成为各国政府和人民的普遍共识。制定网络安全法律法规,完善相应管理体制,总结经验教训,提高科技水平,成为各国强化网络管理的重要举措。
一、通过行业自律方式管理互联网 英国于
1996 年成立了互联网监督基金会,其主要职能是搜集网络违法信息,发现违法网站并向网络服务商通报,同时要求网络服务商采取必要技术手段,禁止网民访问违法网站。2003年,英国政府设立通信办公室,该机构的职责包括建设可以帮助网络用户选择健康网络内容的分级过滤系统,制定维护网络内容标准,加强管理网络上的违法内容等。
随着英国网络问题日趋复杂,行业自律以及现有的法律法规难以实现良好的治理效果。比如 2011 年 8 月伦敦等地出现的严重骚乱,正是由于社交网站上大量煽动性言论助长了愤怒情绪,使得事件愈演愈烈,这给英国政府敲响了警钟。与此同时,国际恐怖主义组织在互联网上日益活跃,将互联网作为了组织恐怖活动的新工具。在反恐斗争中,英国反恐机构急需在网络上搜集相关线索,但由于受到人为因素的影响,相关数据难以获得,这也加大了网络犯罪调查和预防以及反恐工作的难度。
可以看到,行业自律一直以来为英国互联网事业作出了较大贡献,切实保障了英国互联网的健康有序发展,但同时行业自律也具有一定的局限性,很难完全替代政府管理,因此为维护网络安全,英国政府也制定了许多法律法规。
二、英国有关网络安全立法的进程
1990年,英国政府制定了《计算机滥用法》。该法规定了与滥用计算机相关的三项罪行,一是未经合法授权滥用计算机,二是未经合法授权访问计算机并进行破坏,三是未经合法授权改动计算机原件。如果有人触犯上述法律条文,将被判处刑期为六个月至五年的有期徒刑。该法制定的目的是为了弥补当时法律体系在涉及黑客攻击等方面存在的漏洞。
1996年,在英国政府的支持和协调下,英互联网行业机构签署了《分级、检举和责任:网络安全协议》,这是英国第一个网络监管方面的法规,该法规要求网络服务提供商保证网络信息合法性,并明确了网络服务提供商和网络内容提供商的分工。
2000年,英国政府制定了《通信监控权法》。该法规定在符合法定流程的情况下,为了英国国家安全,或者是为保护英国经济利益,国务大臣有权监控某些信息或者强行公开某些信息。
针对垃圾邮件泛滥的情况,英国贸易及工业署颁布了《隐私和电子通信条例》。虽然该法例适用范围只涵盖英国的电子邮件发件人,惩治力度也不强,但在一定程度上限制了垃圾邮件滥用,降低了垃圾邮件对普通网络用户的安全威胁。
第二节 通过法律手段打击网络犯罪
一、英国网络犯罪现状
网络犯罪随着网络技术的发展而产生,是存在于虚拟世界的智能犯罪行为。实际上,网络犯罪的恶劣程度及其危害程度远远超出普通民众的想象。随着网络在人们日常生活中的普及,各种网络犯罪行为在英国愈演愈烈。英国政府在其 2010 年公布的战略防御和安全回顾报告中指出,恐怖主义、网络威胁、国际军事危机、自然灾害被列为英国国家安全的 4 大最高级别威胁。德蒂卡公司向英国内阁办公室提供了相关研究报告,该公司负责人萨瑟兰指出,网络犯罪分子身份各异,来源多种多样,比如有的身后有其他国家的支持,有的属于黑社会犯罪组织,也有的只是充满好奇心的普通青少年,他们身在自己的卧室里,却能通过远程操控获取某些公司的商业机密信息。当前网络犯罪所造成的损失实际上是实物损失的一倍。可以这样说,头蒙丝袜手持枪械冲进银行抢劫的旧时代已经过去,如今的犯罪分子都只是动动鼠标键盘,通过网络就能窃取被攻破账户内的资金,而且这些犯罪分子被抓到的机率也很小。
2011年2月,英国安全大臣内维尔女士曾在新闻发布会上表示,每年英国政府因网络犯罪遭到的损失达到22亿英镑,英国普通民众因网络犯罪遭到的损失达到31亿英镑,英国企业因网络犯罪遭到的损失达到210亿英镑,合计约270亿英镑。根据测算,英国每一秒钟都会损失 1000 英镑。同时网络技术的高速发展也为侵犯知识产权的犯罪行为提供了更加便捷的途径。英国知识产权办公室发布的2008至2009年度报告中指出,2007年英国人违法下载电影5215万次,与2006年相比增加了18%。在各种知识产权侵犯行为中,网络下载和传播受到著作权法保护的电影及音乐居于首位,总损失高达4.86亿英镑。
网络犯罪已成为英国面临的重要安全挑战,该问题之所以屡禁不绝,主要包括以下四点原因。
第一,网络犯罪具有隐蔽性。随着技术的不断发展,网络暴露出许多技术方面的漏洞,同时网络上大量新兴事物产生也伴随着相应的各种投机机会。这是世界上大多数国家面临的问题,英国也不例外。而随着各种网络应用系统功用的日益强大,系统中所使用到的硬件和软件也相应的地增加并且越来越复杂。尽管多数高科技公司投入了大笔资金用于完善各种网络应用系统的设计,尽量减少其不足和缺陷,提高其技术水平和实际功用,还努力防止其滥用,但事实上却是难以实现的。现有的各种操作系统、网络应用系统或者数据库软件都只能说是相对安全的,往往只能在许多网络犯罪的行为已经发生后才能处理,如安装补丁程序或者关闭可以网络端口等等。据统计,网络犯罪一般来说主要是与财产相关,被发现的概率大约只有 1%到 5%,风险很小,又难以被追查到,具有较高的隐蔽性。因此通常网络犯罪分子都有恃无恐,认为其绝不可能被追踪到。同时打击网络犯罪还存在着其他方面的困难,比如有些企业不愿意承认其系统曾遭到网络罪犯攻击,担心公司因此名誉受损,导致用户人心惶惶,从而遭受更大的损失,这就使得政府难以精确统计网络犯罪最终给国家经济带来的损失。
第三章 英国网络治理的组织机构建设...........................16
第一节 组建直属政府的网络治理机构.................................16
第二节 构建与国内外行为体合作的制度框架..........................17
第四章 英国网络治理的国家政策建设...............................21
第一节 2009年英国国家网络安全战略简析.............................21
第二节 2011年英国国家网络安全战略简析.........................23
第三节 英国网络作战能力建设...................................26
第五章 英国网络治理的国际合作举措..........................28
第一节 双边合作举措...................................28
第二节 多边合作举措....................................29
第五章 英国网络治理的国际合作举措
网络安全作为新的非传统安全问题,国际合作是各国开展网络安全治理的重要措施之一。英国充分发挥其世界大国的影响力,利用其作为欧盟成员和美国铁杆盟友的身份优势,与世界各国及国际组织开展合作。
第一节 双边合作举措
英国在网络安全领域加强与其他国家的双边合作,采取了一系列重要的措施。
首先,加强与美国的合作,确保网络安全技术优势。美国“棱镜门”事件主角斯诺登爆料指称美国和英国的情报机构拥有破解网络加密文件的技术,并通过安装恶意程序大截取网络用户的个人信息、网上交易信息和电子邮件等隐私。英国《卫报》的相关报道指出,斯诺登公开的机密文件来源于美国国家安全局和英国政府通信总部。这些文件显示英美两大情报机构联手肆意破坏互联网公司对用户的承诺条款,毫无顾忌的破译网民的通信记录、网上银行交易信息及医疗记录等隐私信息。
美国国家安全局和英国政府通信总部侵犯网民的隐私的主要手段包括秘密控制国际加密标准、使用超级电脑强行破解、与网络服务提供商合作在商业加密软件中安装“后门”及“天窗”等恶意程序。英国政府通信总部就已破译了微软、谷歌、雅虎和“脸谱”等网络巨头的电子邮件等服务。同时还有资料显示美英两大情报机构已具备监控全球互联网光缆的能力,能够通过光缆收集海量数据。
其次,加强与其他西方国家的合作。新西兰外长麦卡利英国外交大臣黑格 2013年 1 月 15 日在奥克兰与举行了会谈,并在之后举行的新闻发布会上表示加强网络安全领域合作符合两国共同的经济、安全和防务利益,两国同意进行相关领域的合作。黑格表示,维护网络自由非常重要,但同时也要确保网络安全。他说:“网络空间是当今时代国家乃至全球所面临的最大战略挑战之一,在网络空间进行安全的商业运营将带来巨大的经济机遇。与此同时,确保国家和经济的安全也非常重要。”英国与澳大利亚、加拿大等国也建立了网络合作的机制。
再次,加强与发展中国家的合作。中国和英国互联网圆桌会议是中英两国政府在互联网领域的重要的常态化交流机制,自 2008 年以来已连续举办五届,每次会议都富有成果,对促进两国政府和业界在互联网领域的交流合作发挥了积极作用。英国还与印度开展了网络安全领域的合作。
结语
在网络安全治理方面,英国将其放在国家安全的高度,注重保持其网络技术优势,注重政府、企业、民众三位一体合作共赢,注重将网络安全作为新的经济增长点,以便刺激经济增长、摆脱当前的经济困境。英国在网络安全治理方面的各项举措对我国有着极为重要的借鉴意义。
一是我国应尽早出台的网络安全战略。西方国家在网络安全问题上先行一步,将其提升到国家战略高度,注重加强规划与指导,美、英、法、德等世界大国都制定了网络空间安全战略。中国作为网络大国,制定国家网络安全战略已经时不我待,迫在眉睫。2014年2月27日,中央网络安全和信息化领导小组组长习近平同志在领导小组第一次会议上指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。中央网络安全和信息化领导小组将发挥集中统一领导作用,统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力。”
二是战略实施方案必须切实可行。英国网络安全战略十分注重可操作性,有一整套的具体落实措施。一般来说,国家层面的网络安全战略的涵盖范围较广,落实难度较高,必须由各相关部门通力合作,共同制定具体实施方案,并联合推进以确保战略实施。我国应充分发挥网络安全与信息化领导小组的指导作用,加强其在网络安全方面的领导,整体提升我国防范网络攻击、打击网络犯罪等网络安全能力。
三是推进网络安全产业的发展。英国政府敏锐地捕捉到了网络安全行业带来的经济机遇,将网络安全产业作为英国新经济增长点,这也是英国网络安全战略的亮点之一。我国可以借鉴英国经验,关注国内网络安全行业的发展。众所周知,在网络安全行业技术是核心竞争力。因此在制定国家战略时,我国应明确鼓励网络安全产业发展,在政策、资金、法律等方面予以扶持,着力推进我国网络安全企业快速发展,充分发挥网络安全产业在我国经济增长中的带头作用,确保在技术上能够不受制于人。
四是推动网络安全治理的国际合作。网络安全是世界各国面临的共同挑战,一个国家只依靠自己不可能解决网络安全难题,必须通过与其他国家以及国际组织联合起来才能有效应对。参考英国经验,我国可以考虑采取以下措施:一是通过举办研讨会、签署备忘录或合作协议等方式,积极开展同美欧等国家和地区的双边和多边网络安全合作,提升我国在网络安全领域的话语权;二是积极参加国际网络安全标准的制定;三是不断深化与友好国家间的网络安全合作;四是了解美英等国网络安全战略意图,关注多国联合网络演习、网络部队建设等重要动向。
参考文献(略)