查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《华东政法大学学报》
国家安全视域下的网络安全
【副标题】 从攻守平衡的角度切入
【英文标题】 Cybersecurity in Terms of National Security: A Perspective from Offense/Defense Balance
【作者】 左亦鲁【作者单位】 北京大学法学院{博士后研究人员}
【分类】 科技法学
【中文关键词】 攻守平衡;网络安全;国家安全;互联网治理;网络攻击
【期刊年份】 2018年【期号】 1
【页码】 148
【摘要】

攻守平衡理论认为,当进攻占据优势时,冲突和战争更容易发生;反之,当防守占优时,安全可能会增加。将之运用到网络安全思考中,会产生两个问题:一是互联网有利于进攻还是有利于防守,二是如果互联网有利于进攻,这种局面能否以及如何得到改变。对第一个问题,互联网的确是有利于进攻的,因其具有以下四个特点:超越地理和空间的限制;架构的脆弱性;攻击不对称性;归属难以确定。而这导致冲突甚至战争更有可能在网络空间发生。但这种状况并非无法改变。结合最新技术、法律和国际合作发展,我们可以缓解“攻击占优”困境和使网络变得更安全。

【全文】法宝引证码CLI.A.1234526    
  目次
  一、引言:网络时代的国家安全
  二、网络安全与攻守平衡:网络有利于进攻吗?
  三、如何让网络变得“易守难攻”:法律与技术
  四、尾声:网络安全法的道路
  一、引言:网络时代的国家安全
  国家安全正在成为时代的一个关键词。2013年1月24日,中共中央政治局召开会议,研究决定
  中央国家安全委员会(以下简称“国安委”)设置。[1]2014年2月27日,中央网络安全和信息化领导
  小组(以下简称“网安小组”)成立。[2]2015年7月1日,《国家安全法》通过。2016年11月7日,网络安全法通过。此外还有一系列国家安全立法出台或上马,其中包括已经通过的反间谍法、反恐怖主义法、境外非政府组织境内活动管理法、国防交通法,以及正在审议的国家情报法和核安全法。[3]总体国家安全观正是在上述背景下提出。[4]
  应如何在总体国家安全观的视野下认识网络安全?与金融、资源、粮食、生态和核等具体领域的安全不同,网络安全的特殊性在于:它是一个领域,但又不仅仅是一个领域。我们生活在一个网络和“互联网+”的时代,网络是所有领域的基础。网络安全中“安全”对应的是事关一国生死存亡的“security”,而不仅仅是“safety”。网络安全不应只被视为网络领域或信息系统的安全——网络安全应是网络时代的国家安全。在一定意义上,网络安全不仅仅是涉及国家安全,它就是国家安全。
  如何从国家安全的高度来思考网络安全?本文试图借助国际政治和国际关系研究中经典的攻守平衡(offense-defense balance)理论做一尝试。该理论由罗伯特·杰维斯于1978年提出。[5]其核心观点可被表述为:攻击和防御哪个占优是影响国家安全的一个重要因素。[6]当攻击占优时,冲突和战争更有可能爆发;当防御占优时,由于进攻的成本远远高于防守,所以理性主体一般不会选择主动发起攻击,因此冲突和战争的几率会大大减少。由此产生的推论是:应想方设法让防守占据优势,因为这有利于维护国家安全和促进共同的安全。本文将会讨论:互联网是有利于进攻还是有利于防守?如果互联网是“易攻难守”的,能否从法律和技术上改变这种状况?可能的思路和措施有哪些?
  二、网络安全与攻守平衡:网络有利于进攻吗?老婆觉得我剪头发浪费钱
  目前来看,网络有利于进攻似乎已成为政策界和学界的共识。在《世界秩序》一书中,基辛格就认为“:实施网络攻击比网络防御更为容易,这也助长了新网络能力的进攻倾向,让情况更加复杂。”[7]美国国防部在2011年的一份报告也称,“进攻目前在网络战争中占有优势。”[8]总结起来,在网络世界进攻占优主要基于以下四大原因。
  (一)对地理和空间限制的突破
  自古以来,超越空间的限制就是一切军事技术变革的主要追求。杰维斯也把“地理”视作影响攻守平衡的一个重要因素。[9]在密集型步兵时代,空间和地理的限制作用十分明显。很多时候,防守方只需要避开人力投掷所能达到的最远距离,就可以确保安全并组织有效的防御。人的体能极限和昼夜之分,也在很大程度上决定了进攻将在何时发起和能够持续多长时间。更不用说高山、河流和海洋对进攻的减少甚至阻碍作用。但互联网却把战场从现实的“原子世界”转向虚拟的“比特世界”。[10]在比特世界中,网络攻击和网络战具有双重虚拟化和数字化的特征:一是手段的虚拟化,即网络攻击主要依靠数字手段或某种形式的计算机操作;[11]二是目标的虚拟化,即网络攻击主要瞄准的是系统、网络和信息等“虚拟”目标,而较少造成直接物理破坏。[12]
  朝鲜虽然可能尚未具备对美国本土的远程打击能力,但2014年对索尼的攻击和“想哭”病毒若确为朝鲜所为,这证明朝鲜已经具备了在网络空间“打”到美国的能力。
  除“虚拟对虚拟”和“数字对数字”之外,网络攻击又成功地实现了“虚拟对现实”或“数字对物理”的飞跃。针对关键基础设施的进攻是这方面的典型。任何关键基础设施背后必然要靠某种信息系统控制,而破坏这些“大脑”可以直接造成物理伤害。比如被称为“网络战争中的广岛”[13]的针对伊朗核设施的“震网”,就是典型针对工业控制系统的病毒。根据已知信息,震网打击了伊朗纳坦兹铀浓缩厂的监测控制、数据采集和可编程逻辑控制器,导致伊朗五分之一的离心机受到破坏。[14]震网之所以被称为一场“军事革命”(RMA),[15]因为它代表了网络进攻再次突破“网络世界”的制约,可以对物理世界产生伤害。
  (二)架构的脆弱性
  互联网的基础架构本身就易攻难守。[16]人们常津津乐道于互联网创新、包容和分享的特性,而这正是源于互联网架构的开放、自由和共有。哈佛法学院教授乔纳森·齐特林称之为“可繁殖性”(generative)。[17]在齐特林看来,网络时代之所以带来一次技术和创新的大爆发,正是因为个人电脑和互联网在本质上是可繁殖的。但硬币也有另一面。互联网和数字技术偏向创新、开放与自由的架构,也使其在本质上是不安全的。这就带来一个两难:如果互联网继续保持现有开放、创新的架构,那么它就是不安全的;反之,如果互联网想变得更安全,就必须改变初始架构。互联网就像一条双向八车道的高速公路,它的目的就是把障碍和停留减到最少,各种交通工具可以快速通过。但“信息高速公路”的想象是基于和平时期和民用目的。换作战时,这条“信息高速公路”会因缺乏防御工事和缓冲让敌军一马平川、长驱直入。互联网平日里的优点在面临攻击时可能全都会转变为致命缺点。
  除了“畅通无阻”,互联网另一有利于进攻的特征是:漏洞不可避免。病毒和攻击的基本原理是寻找漏洞,伴随着各种软件、系统和网络日趋复杂,漏洞几乎不可避免。根据美国国防部高级研究计划局(DARPA)的统计,过去20年间安全类软件的代码从几千行上升到了几千万行,但与此同时,恶意软件的代码却始终维持在125左右。[18]换言之,面对动辄成百上千万的代码,攻击方有时只需要找到一个漏洞或错误就可以;但要求严防死守,确保每条代码和每个环节不出错几乎是不可能的。网络安全界有“零日漏洞攻击”(the zero-day vulnerabilities attack)的概念,即利用之前从未被发现或披露的漏洞进行攻击。从防守的角度,零日攻击自然防不胜防。但即便是对已知漏洞的攻击,防御和补救也困难重重。[19]网络空间的攻防与病毒制造者和杀毒软件公司的关系十分相似。在每一次重大病毒爆发后,虽然赛门铁克和卡巴斯基这样的公司一般都能很快推出补丁,但有两点仍然无法避免:一是伤害已经造成,大量用户和系统已经被感染或破坏;二是防守永远滞后于攻击。杀毒软件公司尽管可以很快对症下药,但终究是亡羊补牢,很难通过“疫苗”和“预防针”提前预防。
  (三)攻击的不对称性
  在网络世界,发起进攻的成本更低而防守成本更高,具有不对称性。如前所述,互联网自由、开放和共有的架构极大地降低了门槛和准入,在技术创新、新闻报道、文化创造和政治参与等领域都推动了一股“民主化”浪潮。[20]这种降低门槛和民主化的趋势同样体现在军事和安全领域。换言之,在网络世界更容易出现以小博大、以弱胜强的情况。与制造和安装简易爆炸装置相比,研发攻击程序和病毒对技术的要求或许略高,但网络黑市和暗网(dark web)的存在,使得不具备技术原创能力的国家、组织和个人也可以通过购买获得网络武器。与“一次性”的炸弹相比,网络攻击可以在短时间内无限重复使用,针对关键信息系统和信息基础设施的网络攻击,能在战术甚至战略层面产生影响。
  另一种常拿来在非对称性上与网络攻击相比较的是核武器。小国自知在常规武器上无法与大国抗衡,一心发展核武器变成了小国“弯道超车”的选择。网络的出现为小国和一些组织提供了新的选项。美国已将网络战和恐怖主义袭击、大规模杀伤性武器一起,并列为自身面对的三大非对称威胁。[21]与核武器相比,网络武器优势有三:第一是网络武器的技术门槛和成本要低得多。第二是对网络武器的研发和使用仍处于灰色地带。换言之,使用网络发动进攻不会像核武器一样面临国际法和规范严厉与明确的限制。第三与上一点有关,网络时代更难防止“武器”的扩散。传统时代防止核扩散主要针对的是有形物,但在网络时代,病毒、程序和技术却以数字形式通过网络“无形”地扩散出去。
  (四)归属难以确定
  归属(attribution)问题是指人们很难追溯或证实网络攻击的源头。今天很多网络攻击都是多阶段的。[22]假如A试图攻击D, A会先进入B,把后者当作进入C的平台,最终通过C向D发起进攻。分布式拒绝服务攻击(Distributed Denial of Service, DDoS)多采取这种方式,它首先会建立一个僵尸网络(botnet),然后指令被控制的机器在同一时间向目标服务器或链接发起攻击。[23]当A国发现自己受到攻击时,尽管可以通过技术手段发现攻击来自B国,但很难断定B国电脑的确就是攻击源头,还是只是被C国捕获。
  第一,由于允许攻击方隐藏身份,难以确定归属会更鼓励进攻。在一定程度上,归属问题很像网络空间中的匿名制。匿名时,人们在社交媒体上的言论会更激烈,攻击、侮辱和诽谤性也会增加;反之,在实名或彼此熟悉的平台,言论会倾向于克制和温和。在现实世界,如果一国发动偷袭,总有办法在相对短的时间内查清“敌人”是谁。但在网络世界,却很难拿出确凿的证据。刻毒虫病毒(Conficker)曾经攻击包括英国议会,法、德军方和部分中国计算机在内的700万台电脑。在确定归属时,调查者发现病毒程序中的一部分与乌克兰语的键盘有关。但人们还是无法判断乌克兰就是攻击发起方,还是有人故意嫁祸。[24]第二,难以确定归属容易产生误判甚至陷害。比如,在美国政府和媒体的叙事中,中国政府是大量幕后攻击的主导者。[25]当美国的系统遭受来自中国的攻击时,美方会倾向于认为中国就是攻击的源头——而不是中国电脑被捕获——然后采取反击或反制。显而易见,有人会利用这种心理,为了隐藏身份或故意挑拨,专门捕获中国的电脑发起攻击。在针对爱沙尼亚的网络攻击中,欧洲、中国和美国的电脑都被捕获用于进攻,而黑客留下了许多指向北京的“痕迹”。[26]最后,难以确定归属影响“威慑”(deterrence)的建立。在国际关系和安全领域,威慑是建立平衡和稳定的一个重要因素。[27]但归属问题却破坏了建立威慑的最基本条件:威慑的核心是报复,但报复却要求明白无误地知道攻击来自何处。[28]核大国(尤其是美苏间)基于“确保相互摧毁”原则(Mutually Assured Destruction, MAD)建立起的威慑和制衡正基于此。但在网络领域,攻击方因可以隐藏身份而变得肆无忌惮,防守方却因归属难以确定而无从复仇。威慑何从建立?这导致进攻——而不是防守——成为了大家最理性和安全的选择。
  三、如何让网络变得“易守难攻”:法律与技术
  主张互联网现有架构和设计有利于进攻并不等于鼓吹互联网现在是什么样就永远是什么样。如果说互联网有什么本质特征的话,那就是技术上的高度可塑性。用莱斯格的话说,就是“可规制性”。[29]不管我们把什么样的形容词赋予互联网——自由的、开放的、共享的、可繁殖的、安全的、不安全的……都不是因为互联网本质上具有这些特征,而是由于互联网被设计成如此。齐特林对互联网未来的忧虑是,新技术和设计正在毁掉网络原本开放、创新的架构,但他的担忧恰恰说明网络的架构是可以被改变的。换言之,即使现在的互联网是“易攻难守”和不安全的,但这并不意味着我们只能束手无策。关键在于如何以及从何处着手?
  撬动这一难题的杠杆可能仍在于莱斯格“代码就是法律”的论断。这一命题所描绘的代码与法律的关系至少包含两个维度。首先,代码与法律是一种替代和竞争的关系,这也是最为读者所熟悉的一层含义。就像封掉迅雷、电驴等下载软件的端口有时要比版权法更加

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1234526      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多