維護網(wǎng)絡(luò )安全的關(guān)鍵所在[轉]
信息網(wǎng)絡(luò )在現代社會(huì )發(fā)展中的作用日益凸顯,網(wǎng)絡(luò )已經(jīng)由傳統的媒介載體演變?yōu)榛A的工作、生活平臺。網(wǎng)絡(luò )的社會(huì )普及性和依賴(lài)度日漸提高,對于越來(lái)越多的社會(huì )公眾來(lái)說(shuō),它不僅僅是工作、生活的重要平臺,甚至已經(jīng)成為工作、生活的基本內容之一;同時(shí),網(wǎng)絡(luò )越來(lái)越多地進(jìn)入政府、軍事、經(jīng)濟、文化教育等公共管理領(lǐng)域,這些部門(mén)的計算機系統中存儲著(zhù)許多重要和敏感的信息,甚至國家機密。一方面,網(wǎng)絡(luò )和信息系統的重要性和安全性日漸突出,另一方面,網(wǎng)絡(luò )卻日漸成為 犯罪新的增長(cháng)點(diǎn),此種矛盾在客觀(guān)上表明,過(guò)去一直堅持的以技術(shù)防控作為防范網(wǎng)絡(luò )犯罪的主要手段的破產(chǎn)。因此,維護網(wǎng)絡(luò )安全的關(guān)鍵還在于法律制裁與技術(shù)防控的并重。
一、網(wǎng)絡(luò )時(shí)代是信息技術(shù)的時(shí)代,網(wǎng)絡(luò )空間是由信息技術(shù)建構出來(lái)的空間,同樣,網(wǎng)絡(luò )犯罪主要是以技術(shù)犯罪為表現形式。以技術(shù)防控對抗技術(shù)犯罪當然是維護網(wǎng)絡(luò )安全在直觀(guān)上的優(yōu)先選擇?;仡欀袊ヂ?lián)網(wǎng)的發(fā)展歷史,無(wú)論是決策者還是互聯(lián)網(wǎng)大型用戶(hù),乃至一般公眾都異常重 視對網(wǎng)絡(luò )犯罪的技術(shù)防范。這從市面上異常豐富的殺毒軟件產(chǎn)品就可一見(jiàn)端倪。甚至于在一些人的觀(guān)念中,維護網(wǎng)絡(luò )安全只是網(wǎng)絡(luò )技術(shù)人員的責任,由此而基本忽略 了法律制裁在打擊網(wǎng)絡(luò )犯罪方面的基本功能。
網(wǎng)絡(luò )中的犯罪主要包括直接侵害網(wǎng)絡(luò )的犯罪和以網(wǎng)絡(luò )為犯罪媒介的犯罪兩種類(lèi)型,其中前者直接損 害了網(wǎng)絡(luò )的信息和系統安全,歷來(lái)是網(wǎng)絡(luò )安全建設關(guān)注的重點(diǎn)。犯罪的技術(shù)性特征是網(wǎng)絡(luò )犯罪的顯著(zhù)特征。無(wú)論是非法入侵他人計算機信息系統、復制、添加、刪改 他人計算機信息系統的數據資源,還是盜竊他人的賬號,抑或對他人計算機進(jìn)行非法控制,乃至制作計算機病毒和木馬等違法犯罪工具的行為,無(wú)一不需要高超的技術(shù)才能實(shí)現。
在網(wǎng)絡(luò )中,技術(shù)能力是衡量個(gè)人行動(dòng)能力的標尺,犯罪分子為所欲為的能力就取決于他的技術(shù)應用能力。通常而言,技術(shù)防控做得越差,系統的安全指數就越低,系統被侵入和破壞的可能性就越大,因此進(jìn)行技術(shù)升級,加強技術(shù)防控措施就成為維護網(wǎng)絡(luò )安全的首選。在過(guò)去的近20年間,網(wǎng)絡(luò )安全的體系構建追求 的目標是:建設超越黑客技術(shù)能力的網(wǎng)絡(luò )安全系統,將不法者擋在信息系統的大墻之外;采取某種信息過(guò)濾機制,阻止違法和有害信息在網(wǎng)絡(luò )上的擴大傳播;甚至直接針對上網(wǎng)者采取某些身份認證,以形成對潛在犯罪人的技術(shù)鉗制都具有一定的積極效果。不能否認此類(lèi)技術(shù)措施的客觀(guān)效果,但是,網(wǎng)絡(luò )犯罪持續爆發(fā)式增長(cháng)的客觀(guān)事實(shí)對于單純的技術(shù)防控策略是一個(gè)無(wú)情的嘲笑。
單純技術(shù)防控措施的缺陷是極為明顯的:
(1)“道高一尺,魔高一丈”,信息技術(shù)的快速發(fā)展催生了幾乎無(wú)窮盡的犯罪技術(shù),技術(shù)防控措施對此疲于應對?!澳柖伞笔菍π畔⒓夹g(shù)更新速度的最佳注腳,但是,技術(shù)的扭曲使用往往先于技術(shù)的合理使用,信息技術(shù)的每一次進(jìn)步基本上都是搶先被黑客應用到網(wǎng)絡(luò )攻擊中。一方面,網(wǎng)絡(luò )空間中病毒和木馬更新的速度已經(jīng)到了令人咋舌的地步,而技術(shù)防控措施只能立足于已有的經(jīng)驗教訓, 它對新的攻擊手段和破壞措施的防御能力有限。曾經(jīng)令人談虎色變的熊貓燒香病毒使國內大多數互聯(lián)網(wǎng)安全服務(wù)企業(yè)顏面掃地,但是它的技術(shù)門(mén)檻并不高,只是因為之前沒(méi)有人使用,就令數以百萬(wàn)計的電腦中招。
(2)技術(shù)防控越嚴密,遭受攻擊的可能性就越大。網(wǎng)絡(luò )中總有一批自命不凡的黑客,他們?yōu)榱藱z驗自己的技術(shù)能力,為了向同行炫耀,為了揚名立萬(wàn),為了使系統管理員難堪,又或者在好奇心的驅使下,總是樂(lè )意攻擊那些自詡防護嚴密的信息系統。
由此造成了技術(shù)防控做得越好,被攻擊的幾率就越高的窘境。在不斷的技術(shù)對抗中,安全系統總有百密一疏的時(shí)候。美國國防部電腦系統是技術(shù)防控做得最好的系統之一,卻也是世界各國黑客最青睞的攻擊對象,該系統經(jīng)常出現被成功入侵的情況也就在情理之中。
(3)計算機信息系統是分散的,技術(shù)防控也是獨立的,為了實(shí)現幾乎不可能實(shí)現的網(wǎng)絡(luò )安全,很多的系統都在拼命做著(zhù)升級。但是,計算機系統的特點(diǎn)之一是,越簡(jiǎn)單越穩定,越復雜越不穩定。技術(shù)防控的不斷升級貌似給信息系統帶來(lái)了安全,卻也使得 它更加脆弱和更易崩潰。
二、互聯(lián)網(wǎng)時(shí)代的信息安全,離不開(kāi)法律和技術(shù)兩種手段的并用,它們不是誰(shuí)取代誰(shuí)的關(guān)系,而是不可相互替代、不可偏廢。
(1)技術(shù)防控著(zhù)眼于事前之預防,法律制裁著(zhù)眼于事后之懲戒。在維護網(wǎng)絡(luò )安全方面,技術(shù)防控針對未受侵害的系統的保護,是法律介入 之前的積極保護,它起到防范網(wǎng)絡(luò )犯罪的第一道防線(xiàn)的作用。充分有效的技術(shù)防御已經(jīng)可以將多數網(wǎng)絡(luò )犯罪拒之門(mén)外,是對潛在犯罪分子的技術(shù)威懾;而法律制裁則 是針對潛在犯罪分子的心理威懾、社會(huì )威懾。法律制裁著(zhù)眼于事后行為之懲戒,通過(guò)對犯罪分子迅速、有效地懲罰,達到阻遏再犯的目的。法律制裁是防范網(wǎng)絡(luò )犯罪 的第二道防線(xiàn)。技術(shù)與法律共同構成了打擊網(wǎng)絡(luò )犯罪的綜合性梯度化處遇措施。
(2)技術(shù)防控針對孤立的系統安全,具有很強的個(gè)性化特征,而法律制裁針對網(wǎng)絡(luò )安全整體,具有一體通行的效力。法律制裁是技術(shù)防控的后盾,離開(kāi)了法律規制,越嚴格的技術(shù)防控將引來(lái)越頻繁的網(wǎng)絡(luò )犯罪。
三、近些年來(lái),網(wǎng)絡(luò )犯罪案件迅速攀升,危害性日趨嚴重,犯罪后果和影響的涉及面越來(lái)越大,網(wǎng)絡(luò )和計算機信息系統面臨極大威脅,已經(jīng)漸漸成為嚴重的社會(huì )問(wèn)題。
2006年以來(lái),中國的犯罪總量持續在高位運行,年平均在470萬(wàn)起左右。而網(wǎng)絡(luò )犯罪的發(fā)案率,根據業(yè)內的最保守估計,應當是兩倍于這一數字。網(wǎng)絡(luò )安全這架馬車(chē)的行駛軌跡和速度,在一定程度上超出了法學(xué)家和技術(shù)專(zhuān)家的單方操控能力與駕駛水平,它的平穩行駛需要法律和技術(shù)兩根韁繩。
技術(shù)部門(mén)和立法、司法機關(guān)不能再長(cháng)期各自為戰,技術(shù)防控只有和嚴厲、及時(shí)的法律制裁雙管齊下,才能有效維持網(wǎng)絡(luò )秩序的穩定。針對網(wǎng)絡(luò )安全,既要破除技術(shù)萬(wàn)能論的狹隘觀(guān)點(diǎn),認為單純依靠技術(shù)升級就能建立安全的網(wǎng)絡(luò );也要破除法律唯一論的觀(guān)點(diǎn),以為只要法律大棒在手,就可藐視一切犯罪。正如同在傳統空間我們提倡社會(huì )治安的綜合治理一樣,在網(wǎng)絡(luò )世界,同樣也要尋求對網(wǎng)絡(luò )安全的綜合治理,實(shí)現技術(shù)防控和法律制裁的并重。