国家网络空间的安全责任主要分为四部分:国家防御,空间治理,网络外交,综合威慑。
■王明华
网络空间的安全主要体现在两个层面,一是网络层面,二是信息层面,即信息保护和信息监管。网络层面又分攻防两个角度,因此网络层面包括网络防御和网络威慑。
今年上半年,根据抽样监测发现,我国被木马和僵尸网络控制的主机数量达693万余台,这个数字虽然比去年有大幅下降,但依然非常惊人。600多万台电脑到底被哪些机器控制呢?绝大多数控制服务器都位于境外,1.5万个木马和僵尸网络控制服务器中,美国地址占1/3。我们国家有大量网站被植入“后门”、“暗链”等隐蔽性攻击。境外1.6万个IP通过植入“后门”方式控制着我国3.3万个网站,数量非常大。
今年8月25日凌晨,我国.cn域名遭受大规模攻击,造成新浪微博等无法正常使用。攻击者的本意是要进攻一个游戏的私服网站域名,来达到自己的目的。前几天这个黑客已经在山东青岛被抓获。
这是今年发生的一个典型的网络事件。那么,国家在这些网络安全事件中承担哪些责任?国家、企业、个人的责任如何划分?
如果攻击方是黑客组织,且涉及到国家政府或重要基础设施防御时,才需要国家进行防御;如果攻击方是国家,攻击对象无论是政府、企业还是个人,这时候防御方都必须是国家力量。
国家承担相关网络安全责任时有哪些级别?如果攻击方是普通的黑客,攻击对象是个人,受众少,就像个体感冒一样,谁感冒谁治疗。如果攻击方是黑客组织,攻击对象是个人,受众较多,如同流感,国家就需要关切。如果攻击对象是国家,即使是个人,就如同SARS一样,国家就要启动高级响应。
国家网络空间的安全责任主要分为四部分:
第一是国家防御,主要对境外有组织地对我国互联网整体运行、关键基础设施和国家安全的威胁进行防御;第二是空间治理,以维护我国经济发展为出发点,对造成大范围用户利益损害和影响关键基础设施运行的安全事件进行处理和协调;第三是网络外交,需要建立广泛的网络安全跨国合作机制,在国际上体现我们的话语权和影响力;第四是综合威慑,提升我们自身的监测能力,建立防御工具和能力,使别人不敢、不能对我们发起攻击。
这就是国家承担的四方面责任。当然,国家责任需要具体的实体承担,我国有这样的原则,谁主管谁负责,谁经营谁负责,谁接入谁负责。当网络安全事件发生时,发生在哪个实体上,具体就该由谁负责。
目前,我们的网络安全的整体环境也存在很多问题。比方说在企业、工业层面,很多安全公司的产品难以整合、难以形成合力;在学术研究界,我们国家发表的安全论文的数量已居全球第一,但文章多、使用少,缺乏指引和前瞻。
在这样的情况下,我国亟须在安全领域建立一个完善的生态系统,希望在国家网络空间中,政府、企业、组织、个人在网络安全保障和防御中可以形成良性互动,从而形成自我运转,自我循环和自我提升的有机整体。在良性循环中,使每个企业在其中每个环节形成自己最有价值的一环,形成良好的生态链。
(作者系国家互联网应急中心运行管理部处长)
《明升官网明升体育app报》 (2013-09-30 第7版 观点)