网络空间安全定义
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络空间安全定义范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络空间安全定义范文第1篇
终立:落实依法治国方略
左晓栋在接受本报记者采访时指出,网络安全战略是一个国家网络安全工作的顶层设计。“早在2014年2月,中央网络安全和信息化领导小组第一次会议上就要求,中央网信小组要发挥集中统一领导作用,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力。《网络安全法》第四条明确规定,国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。国家互联网信息办公室制定并公开《国家网络空间安全战略》,就是落实上述要求。”
近年来,网络安全成为影响全球经济安全运行、政治稳定发展的重要因素,国际社会和各国都在探索如何加强对网络安全问题的治理。据不完全统计,目前有70个左右的国家和地区都制定和更新了网络安全战略,美国等西方国家在不断加大网络安全领域的立法。左晓栋提到:“出台《网络安全法》,可以补上我国参与国际网络安全治理的短板。从国际看,制定国家网络安全战略也是通行做法。这次我们国家《国家网络空间安全战略》,相当于补上了这一个缺憾。”
发达国家在网络空间治理方面早有行动,欧美、日本、韩国在个人信息保护、网络安全保护等方面立法比较早,而我国的《网络安全法》相对滞后,针对此现象,谢永江谈到:“我们国家的立法思路可能是成熟一部、完善一部,颁布一部。我们国家网络安全方面的立法在2000年后,是国务院和各部委出台的,这可能是执法的需要,网络技术变化很快,如果总是求全责备,可能就很难出台。可以先出台,再不断完善。立法的思维和模式要转变,才能更好地适应网络快速发展的特性。通过法治手段实现对网络社会的有效治理,迅速推进和加强网络立法工作,是当前落实依法治国方略的重要任务。就互联网立法而言,我国应当采取专门立法的模式,不宜制定一部大而全的‘互联网管理法’。”
《网络安全法》制定的根本目标,马民虎总结说:“《网络安全法》遵循网络运行和网络社会自身的发展规律、特点,从维护网络安全、国家安全、社会公共利益、促进经济社会信息化发展的客观需求出发,以国家总体安全观为现阶段互联网治理的指导思想,将保障网络安全、维护网络空间和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展作为根本目标。”
《网络安全法》的出台,意义深远。对外能够在国际合作竞争中,为保障国家和国民利益争取更多主动权;对内能够完善网络安全的法律制度,提高全社会的网络安全意识和网络安全的保护水平。
正如左晓栋总结所言:“制定《网络安全法》是落实国家总体安全观的重要举措,它的出台意义重大。”他认为其意义体现在以下几个方面:
一是作为我国首部网络空间管理基本法,是网络安全法制体系的重要基础;二是为我国维护网络提供了最主要的法律依据;三是明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求;四是成为网络参与者普遍遵守的法律准则和依据。
内容:“举旗”与“指路”
《网络安全法》是我国网络安全的基本法,确立了我国网络安全的基本法律框架。左晓栋认为可以从四个方面理解这一论述:一是明确了部门、企业、社会组织和个人维护网络安全的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。
谢永江强调,《网络安全法》一方面总结并完善了现有的制度,也填补了网络安全领域的一些空白。“其中最重要的一点是加强了关键基础设施的安全,在等保的基础上强化了对关键基础设施的保护。另外《网络安全法》完善了网络信息、个人信息的保护,理顺了网络的监管机制,将网信部门的统筹协调职能做了明确规定,在监测预警、应急处置方面做了明确规定。强化了法律责任,以前因为没有人大层面的法律,相关的法律处罚比较轻,没有发挥应有的作用。
《国家网络空间安全战略》与《网络安全法》有着怎样的关系?“两者是相辅相成的关系。《网络安全法》从法律上规定了我国在网络空间安全领域的基本制度,相关主体在网络空间安全方面的权利、义务和责任;《国家网络空间安全战略》则从政策层面对外宣示了我国在网络空间安全领域的基本目标、原则和任务。法律具有较大的稳定性,战略则会根据形势变化不断更新。”谢永江如是说。
二者的都有着深远的意义。谢永江指出:“一方面,我们国家已成为网络发展大国,社会政治经济生活对网络的依赖程度不断增强,正从网络大国向网络强国迈进,对信息化需求日益增强,对网络的依赖程度加深,越是依赖就越需要安全的网络环境,必须将网络安全与发展同步。没有网络安全就没有国家安全。另一方面,网络入侵、网络攻击、倒卖个人信息等情况不容乐观,这些都在客观上促成了安全立法颁布,为网络空间、国家安全、企业安全还有个人安全提供更多的保护。国际上,一些网络霸权国家利用他们的技术优势实现对别国的网络监听、监视,严重威胁了我国的网络空间安全,出台《网络安全法》和《国家网络空间安全战略》除了要打击网络违法犯罪,另一方面也是要促进、推动我同网络空间安全技术的发展。”
左晓栋认为,《国家网络空间安全战略》具有对外、对内两方面的作用,对外是“举旗”、“划线”,即宣示中国对网络空间安全的基本立场和主张,明确中国在网络空间的重大利益;对内是“指路”,是指导国家网络安全工作的纲领性文件,即指导今后若干年网络安全工作的开展。“《国家网络空间安全战略》指出,当前和今后一个时期国家网络空间安全工作的战略任务是坚定捍卫网络空间、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。”
《网络安全法》针对当前我国网络安全领域的突出问题,明确规定了网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题,对于打造健康的网络生态环境将发挥积极作用。左晓栋说:“总体上讲,有利于依法S护网络空间和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。具体而言,其为各方参与互联网上的行为提供了重要的准则,对网络产品和服务提供者的安全义务作了明确的规定。”
左晓栋指出,《网络安全法》从三个方面对互联网信息内容安全做了规定,对打造清朗网络空间意义重大:第一是对用户(个人和组织)而言,应该对使用网络的行为负责;第二是对网络运营者而言,对违法信息有删除义务;第三个是对主管部门而言,可以要求运营者删除违法信息,并对境外违法信息予以封堵。
网络空间安全定义范文第2篇
信息安全管理系列之十九
1 信息安全的主要研究方向
1.1 密码学(cryptography)
从之前的讨论中,我们可以看出,“信息安全”的词汇随着“载体”或者“关注点”保持了持续的变化,从“通信安全”“计算机安全”,到“网络安全(network security)”直至“信息安全”[1],本质都是为了保护最核心的资产,即“信息”。ISO/IEC 27000:2014中对信息安全的定义为:保证信息的保密性(confidentiality)、完整性(integrity)和可用性(availability);另外也可包括例如真实性(authenticity)、可核査性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等。
这其中的诸多安全属性主要依靠密码学的相关技术或机制解决[2],具体如表1所示,表中的数据来自GB/T 9387.2—1995 / ISO 7498-2:1989。
因此,一直以来,密码学都是信息安全最重要的研究方向之一。在通信安全时代及其之前,载体方面主要防止窃听,这并不需要形成单独的学科,最重要的安全措施是加密传输,但是在计算机与信息系统出现之后,仅靠消息加解密已经不能解决所有的问题,更重要的是,在信息大爆炸的时代,这不现实也没必要。
信息安全引起广泛重视,一个很重要的原因还是信息系统的普及。围绕信息系统,存在两个最重要的研究方向,即关注如何设计信息系统的计算机科学与技术领域,以及关注如何应用信息系统的信息系统管理领域,具体如图1所示。
通过图1,也给出了解决信息安全问题的两种主要途径:一是技术,即通过安全防护系统加固现有的信息系统;或者二,通过管理,即通过信息安全制度加强对个体行为的约束。
1.2 起源于计算机领域的安全防护系统研发
防火墙、防病毒和入侵检测系统(Intrusion Detection Systems,IDS)等信息安全防护系统研发是目前实践中最常见的手段,也是研究领域的热点之一。按照Basie von Solms[3,4]对信息安全实践的划分,技术部署是最早出现的浪潮。当然,在今天的信息安全实践中,已经不再可以区分技术手段还是管理手段,更多的是关注安全目标,例如,在ISO/IEC 27001:2013中,一个安全控制目标所对应的不仅是技术,也包括管理。
1.3 起源于管理学领域的信息系统安全管理
单纯的技术不会解决任何问题,在目前信息安全业界已经得到公认[5]。首先,技术不是万能的,不能解决所有的问题;此外,即使是技术系统,最终需要人去操作,依然需要相应的制度或策略。例如,防火墙策略的配置。即使在“最技术”的密码学领域,BruceSchneier也曾经指出“再强的密码算法也抵不过前克格勃的美女”[6]。
2 为什么研究重点会转移到行为信息安全
2.1 安全机制中最薄弱的环节
普遍认为,人是安全机制中最薄弱的环节,航空领域的诸多事故基本证实了这一点。在集中计算时代,每一个管理员都如同飞行员一样,都是专业人员,这种脆弱性表现的并不突出。但是在个人PC广泛普及的时代,人在安全机制中的脆弱性就暴露无遗。
以信息安全风险评估为例。在集中计算的时代,信息安全风险评估并没有完整的流程,而是一系列的检查表(checklist)[7],例如PD3000系列。这实际是最经济,也是最有效的方式之一,例如在其他行业,医疗领域的新生儿阿普加(Apgar)评分表2),原理不复杂,但是有效地降低了新生儿死亡率,到现在仍然应用于临床。再如,飞行员做安全检查的主要依据是一系列的检查表。但是,要使定性的检查表有效,一个重要前提是操作者是专业人员,因此当分布式计算时代来临的时候,检查表就不再能够有效地发挥作用。或者说,基于主观判断的检查表并不适用于非专业人员,于是促生了现在常用的“经典六因素法”(资产,威胁,脆弱性,控制措施,可能性和影响),信息安全风险评估成了规范的流程/方法,检查表只是其中的一个技术工具。
2.2 行为信息安全研究出现的必然性
在很多行业,从对技术的关注转向对人的关注也是一个必然过程,在每个人都可以操作的系统中表现的尤为明显,主要因为:第一,技术是新生事物,而不是必然存在的,因此在发展的开始阶段,更多地考虑技术进步,但是技术一旦成熟,如何应用就成了关注的重点;第二,技术的进步在某种程度上是可控的,是一个不断迭代的过程,但是人类本身的进步却是缓慢的,在短时间内不会超越生理极限,而且以系统论的观点来看,越复杂的系统,可能越不可靠,人恰恰是最复杂的系统。
此外,限定只有专业人员操作的行业可以通过规范操作等途径来加强管理,例如航空业,但是每个人都可以操作的信息系统则很难实现,行为表现出更大的复杂性且操作者不能挑选。在航空安全等领域,人类工效学(ergonomics)或人因因素(human factors)主要是针对专业人员,使用者或者旅客等对安全的影响有限。
在这种背景下,国际信息处理联合会(International Federation for Information Processing,IFIP) TC8/WG11和TC11/WG133)在2013年定义了行为信息安全研究方向[8],主要关注信息安全中的个体行为。行为信息安全在学科中的位置如图2所示。
行为信息安全研究大致起源于1990年,期间经历了产生、发展、形成和定义等阶段,在后续的文章中,我们将陆续介绍。
在实践中,流行的信息安全架构已经将个体行为的要素考虑在内,例如,ISO/IEC 27001:2013中,“A.7人力资源安全”从人员任用的角度考虑信息安全;“A.9.3 用户责任”从用户角度考虑访问控制问题。因此,信息系统安全管理的研究重点已经从“怎么做系统”转化为“怎么用系统”。
3 网络空间中个体行为的虚拟化
行为信息安全研究的主要关注点还是停留在“物理人”,随着网络空间(cyberspace)的发展,更多的威胁来自“虚拟人”[9],虽然虚拟人是建立在物理人的基础上,但是两者的个体行为表现出很明显的区别。图3给出了物理人与虚拟人关系的示例。
与现实世界相比较,网络空间中的个体行为主要有如下特征:
(1)在网络空间中,个体数量众多,行为也更多样化。在物理世界,人的数量是有限的,但是在网络空间中,一个人可以同时以各种表现迥异的角色出现,例如,在微博同时开几个账号,以不同的身份发表言论。单个的虚拟人在网络空间中的行为可能比物理世界的人要简单得多,但是由于数量众多所带来的多样性更难以预测。实践已经证明,在网络空间中,个体更容易表现出极端行为或非主流小众行为,虽然这些极端行为不能直接造成人身伤害,但是极端的言论具有很大的危害。
(2)在网络空间中,个体违规能力更弱,但是违规意愿更强。在现实世界中,每一个人都有一定的违规能力,即使是弱者。但是在网络空间中,绝大部分的人都属于技术上的菜鸟,并不具备违规能力,因此表现出的弱者特征更加明显,例如发牢骚、发表威胁性的言论等。心理学的诸多研究表明,人在感受到威胁时更容易表现出攻击性,加上缺乏足够的能力或解决途径,因此在网络空间中,语言暴力往往更加突出。同时,由于违规能力弱,更容易导致“抱团取暖”,从而容易形成群体行为。
(3)在网络空间中,个体更具备机会主义特征。现实世界的秩序已经形成,机会主义缺乏足够的土壤。但是在网络空间中,违规的成本更低,甚至可以反复“复活”,新游戏规则下,个体更具备机会主义特征。例如,在现实世界中,一个人在街上发牢骚,出于自保,一般不会有太多响应,除非引起足够的共鸣。在网络空间中不同,这种“见义勇为”的成本很低,围观者甚至将辨别事实的步骤都省略了就参与进来。
综上所述,由于个体行为所表现出的不同特征,个体信息安全行为研究应该过渡到行为网络安全研究,从而对网络空间中的个体行为给与更多的关注。
网络空间安全定义范文第3篇
关键词: 网络公共领域; 网络话语权; 网络问责; 话语民主
中图分类号: D082;G206.2 文献标识码: A 文章编号: 1673-9973(2012)02-0019-04
The Public Sphere Characteristics of the
Internet Discourse Power and the Realization of Discourse Democracy
SI Lin-bo
(School of Humanities and Law, Yanshan University, Qinhuangdao 066004, China)
Abstract: The internet as an important platform of the public opinion, which makes the citizens’ discourse power gets a new realization completely in cyberspace. The characteristics including anonymous, open, interactive ,etc. what the discourse express has owned in the internet public sphere, which makes the internet discourse power have more unparalleled advantages than traditional media, and become an important form of the citizen accountability and the discourse democracy practice.
Key words: internet public sphere; internet discourse power; internet accountability; discourse democracy
话语权是公民的基本权利,随着互联网的普及和网民数量的急剧增加,网络以其自由开放的特点上升为公众舆论的重要平台,网络话语权的研究开始引起关注。笔者将在对网络话语权相关概念考察和界定的基础上,对网络话语权的公共领域特征及其边际限度,以及与话语民主的关系进行分析,并提出规范网络话语权和实践话语民主的基本路径。
一、网络话语权的基本概念
在对网络话语权的概念进行界定之前,必须首先弄清楚什么是话语,什么是话语权?话语本是语言学上的概念,意指“说出来的能够表达思想的言语”[1]。但随着现代社会的发展,已经不再仅仅是语言学上的概念了,话语的应用领域得到广泛拓展,特别是在社会学和政治学中的广泛应用,使得话语开始成为影响人的思想和行为的力量,这就演化成一种新的概念——话语权。法国哲学家米歇尔·福柯认为“话语”蕴含了极为复杂的权力关系,“真正的权力是通过话语来实现的。”[2]我国学者也提出了自己对话语权的认识,但大多是从权利的角度来定义话语权的。
综合国内外学者观点,笔者同意这样一种观点,即认为“权力”和“权利”都是话语权的内涵所在,作为“权利”的话语权是公民应该享有的最基本的权利,而当话语表达对他人的思想和行为产生影响的时候,则这种“话语权利”就演化为“话语权力”。
话语权力表现为一种影响力和控制力,虽然每个人都拥有说话的权利,但其影响力和控制力是有巨大差异的,这种差异取决于话语人所掌握的政治、经济和文化资源的多寡。资源的多寡决定了其社会地位的高低,具有较高社会地位的个人及其群体的话语声音就会被放大,表现出较大的“社会音量”,也就是拥有较多的话语权,反之则具有较少的话语权。这是话语权在传统社会环境下的基本表达形式,也可以说这种话语权主要是“权力精英”话语权。
网络技术的兴起和普及化,改变了传统的话语权表达形式,形成了一种自下而上的、平等的话语表达方式,在网络环境下,网民通过论坛、BBS、博客、微博等新媒体形式充分表达自己的观点和思想,发表自己对社会现象及问题事件的看法和态度,当这种看法和态度获得一定量网民认同的时候,就会产生“共鸣”效应,形成一种巨大的话语场力,对事态进展产生重要影响,甚至左右公共政策的方向。这就在一定程度上打破了传统“权力精英”的“话语霸权”。这种力量来自于网络新媒体所承载和传达的公民话语权的表达。由于网络表达的匿名性、互动性、开放性等特点,使得公民话语权的表达摆脱了传统表达渠道的限制,也就使得话语人的资源多寡所占有的表达优势大打折扣或不复存在,从而在话语人之间形成了一种平等的表达关系,有利于社会平等观念和政治民治的推动。
基于以上分析,我们可以给网络话语权简单下一个定义,所谓网络话语权,是指网民依托网络新媒体平台,享有的平等地表达自己的看法和态度的权利,以及这种权利表达对他人的思想变化和行为选择产生的影响力。
二、网络话语权的公共领域特征及其边际限度
随着公民意识的崛起,网络话语权快速成长为一种重要的公民权利,由于网络表达的匿名性、平等性、自由性,使得网络话语权的行使成为公民表达利益诉求和发表个人观点的重要途径,特别是网络话语权下兴起的网络问责给草根阶层提供了问责政府的机会,成为行政问责的新形式和新手段,在实践中发挥了巨大的作用。公民行使网络话语权及开展网络问责是公民享有的基本权利,这种权利行使得好,不仅可以促进利益诉求和相关问题的解决,而且有利于社会平等观念的养成,促进政治民主的进程。可以说,网络媒体的发达为政治民主进程插上了翅膀。
网络话语权行使得当,其积极作用巨大。然而,如果这种蕴含巨大能量的网络话语权的行使走向失范,其破坏力也可想而知。因此,虚拟世界的网络话语权和现实世界的其他公民权利一样,都不是绝对的,可以说,网络话语权的表达自由是相对的,必须遵循一定的规范和秩序,必须维持在不违背公共利益和社会公序良俗的底线之内。网络话语权的行使不绝对是公民的个人自由,也不是一种纯粹私权利的行使,因为网络空间虽然具有私人空间的性质,但一旦引起其他网民的广泛关注,这种私人空间的言论就会被广泛传播和放大,这是与记录个人笔记本上的日记有着截然不同的区别的。因此,网络空间的私人性是相对的,从私人领域到公共领域的跨度仅在一瞬之间,或者说网络空间的根本特性在于其作为公共领域的特性。
哈贝马斯对公共领域的特性进行了系统深入的研究,认为“公共领域”是介于国家与社会之间的一个领域,[3]既不属于私人领域,也区别于国家公共权力领域,它不是政府机关的附属,为政府所控制。哈贝马斯的公共领域有三个基本特性:(1)开放性。它原则上向所有人开放,是一个公开的公共空间,每个人都可以发出自己的声音,表达自己的观点,同别人交流与辩论。[3]16(2)理性原则。“他们在理性辩论的基础上就普遍利益问题达成共识”,[4]通过“共识”的舆论压力以影响政府决策和行动。(3)公共性。这是公共领域的根本特征。在这里的观点交锋不是为了解决私人事务和寻求私人利益,而是就公共议题进行交流,是为了寻求公共利益。[3]17
网络空间同样符合哈贝马斯关于公共领域的特性描述。网络空间向所有网民开放,网络公共舆论共识的达成主要来自于网民的共同兴趣以及出于公共利益和价值规范的认同,网路舆论的焦点不是私人事务而是公共议题等。既然网络空间同样是一个公共领域,就必须遵循公共领域所必须遵守的价值和行为规范。也就是说,网络媒体为网民提供的是一个“公共话语空间”,既然是公共领域特性的话语空间,那么该说什么,不该说什么就不是个人的私事了。和传统媒体一样,“以事实说话”是网络话语必须遵循的第一规范。也就是网络话语权的边际限度在于以事实为依据,以理性思考为准则,不能夸大事实、造谣生事、恶意诽谤,必须对自己的言论负责,否则就应该向传统话语表达方式一样,接受监督和问责。
三、网络公共领域的话语效应与话语民主的关系
网络话语权在当下行使最广泛的形式是在网络问政和网络问责中的运用。网络问政和网络问责从本质上讲是一种网络话语权下的民主参与和舆论监督,是在网络公共领域中对话语民主的实践。哈贝马斯在交往行为理论的基础上提出了“话语民主”模式,[5] “话语民主”是哈贝马斯交往行为理论在政治领域的延伸,其实现途径是公民围绕公共事务展开自由、平等的辩论、对话、商讨并最终形成政治共识。[6]
诺曼·费尔克拉夫也指出:“话语的民主化意味着消除话语权利和语言权利、义务和人类群体声望方面的不平等和不对称。”[7]哈贝马斯“话语民主”的实现应具备下列条件:
1. 话语主体具有广泛性。在网络空间,网民便是话语的主体,也就是说,话语民主具有广泛的主体,而且这一主体的主要成员(经常发言或表达利益诉求的网民)具有相对较高的文化知识水平和对社会与政治的关注热情,民主意识较强,参政议政能力较高。虽然网络空间的话语主体数量尚不能完全覆盖哈贝马斯关于传统社会话语主体的内涵,但素质相对较高,完全具备行使网络话语权的能力,同时,只要是能够上网的公民都可以参与网上讨论和意思表达。因此网络空间的话语主体具有向传统话语主体的无线延展性。
2. 话语主体的公开讨论必须坚持理性准则和遵循公共领域的公共利益要求。在这一点上,由于网民参与谈论的情绪化、私利化等因素较多,使得网络话语权的行使可能存在非理性的取向,也可能存在对公共利益侵害的可能,这也是网络话语权下网络问责对于“话语民主”影响的不规则变化因素,即可能是正向积极的影响,也可能是负面消极的破坏。
3. 话语民主的实现要求以公平、公开、理性等原则作为讨论的基础,通过互相协商形成“大多数人的共识”。网络空间共识的达成大多是出于对公共利益和社会价值规范的认同,共识的达成更多是发自本意的,“因为许多集群是基于公共兴趣,而不是资本投资,在网上很难用金钱购买注意力,更难以压制不同意见。”[6]
因此,网络公共领域话语权的形成是有助于话语民主的实现,但其对于话语民主的实践程度,则取决于网络话语权行使的理性和客观程度。另一方面,由于网民意思表达的匿名性和地域广阔性,使得各个话语主体之间的意思表达缺乏稳定的信任关系,话语表达理性不足,缺乏组织性,也难以结成代表公共利益的稳定团体。
综上所述,网络话语权的行使有推进话语民主的积极要素,但也存在着一些非理性的不确定因素。相对于传统话语表达的主体确定性、形式确定性、利益确定性等特征,网络话语表达表现出明显的主体匿名性、形式非正式性、利益模糊性等特征,给话语民主的实现提出了挑战。然而,挑战不代表不能实现,只要遵循一定的游戏规则,网络话语民主依然能够实现并大行其事。下面,我们对网络话语权的行使与话语民主的关系进行分析,从而为探索如何实现话语民主提供分析路径。
网络话语权在网络公共领域的行使,必然产生一种影响力,表现为网络公共领域的话语效应,这种效应可以分为正效应、负效应和中间效应三种,正效应指的是对事件过程本身的理性思考、准确反映和自由表达,表现为网络民主的形式;负效应指的是对事件过程本身臆测的、误解的或有意歪曲的反映和表达,表现为“网络暴力”的形式;中间效应指的是对事件本身持观望态度,没有明确的态度取向和意思表示。
当正效应居于主导地位的时候,可有力推进话语民主的发展和危机事件的解决,反之,则产生阻碍和破坏作用。我们可以根据话语效应与话语民主的互动关系,构建网络话语效应—话语民主关系模型二维坐标图,如图1所示。
X轴代表网民舆论的话语效应,Y轴代表对话语民主的影响。y1曲线代表网络舆论的正向效应与民主关系程度,y2曲线代表网络舆论的负向效应与非民主关系程度;a和b分别表示公民对公权力的信任和不信任程度。
需要指出的是,在当前国内地方政府公信力欠佳的情况下,即公民对政府的言行持怀疑态度较多的条件下,有a
当│y1│>│y2│时,从长期来说,有利于推动话语民主;从具体事件来说,有助于本次事件调查工作的顺利开展和解决;
当│y1│
当│y1│=│y2│≠0时,网络舆论处于平衡状态,从短期或具体事件来说,这种网络舆论的影响不明显;但长期如此,社会充满不确定因素,将会进一步削弱政府的公信力,破坏社会的信用关系,影响社会的稳定,危及话语民主及政治民主化的推动。
当│y1│=│y2│=0时,没有形成网络舆论,网民对社会公共事件持冷漠态度,表明网民权利意识淡漠,但更可能是对参与政治缺乏信心,缺乏实践话语民主的兴趣和动力,从一个侧面反映出政府与社会关系处于潜伏的危险期状态。当然,在实践中,网民完全冷漠的状态是很少见的。
四、规范网络话语权,实践话语民主
通过以上分析,我们知道网络话语权为草根阶层的话语表达和利益诉求提供了与传统“权力精英”几乎平等的话语平台,打破了“权力精英”的话语霸权,有利于社会平等观念的养成和政治民主化进程。但同样由于网络空间话语表达的不规则性,以及表现在实践中的虚假信息、造谣诋毁等恶性表达等“网络暴力”形式的存在,使得网络话语权行使的积极效应大打折扣,也影响了作为一种新的政治民主形式的话语民主的实践。为了规范网络话语权,积极推进话语民主的实践和政治民主化,笔者提出如下两点建设性思考:
(一)规范网络话语权行使,维护网络公共领域秩序
网络公共领域是一种新的公共领域,与传统公共领域具有极大的区别,因此,对网络公共领域的规范也必然不能照搬传统公共领域的做法。同时,由于网络公共领域主体的不确定性、表达的非正式性和利益的模糊性,也很难根据传统方法锁定管理对象。但这并不表示,对于网络公共空间的管理就束手无策,应该充分发挥伦理、法律和技术三方面约束机制:(1)加强网络伦理研究,尽快形成网民能够达成共识的网络伦理规范,并通过大力宣传教育,内化为网民的内在心理约束机制,从而为网民话语权的正确行使打造一道心理防线;(2)加强网络安全与管理立法,制定具有制度刚性的网络规范,比如在部分领域推行网络实名制等;(3)加强网络安全监管技术研发与升级,锁定问题用户,严肃处理“网络暴力”事件。
(二)引导网络话语的正向效应,实践话语民主
根据上文对网络话语效应与话语民主关系的分析,我们可以得出结论,“引导正效应,争取中间效应,问责负效应”应该是实践话语民主的有效途径。那么如何才能做到引导网络话语的正效应,争取中间效应,问责负效应呢?其根本途径在于增强政府的公信力、透明度和回应力。首先,如果政府树立起较高的公信力,广大网民就会信任政府的声明和举措,谣言诋毁就会不攻自破,使得正向舆论更加强大。同时,中间派何以持冷漠态度,也是因为对政府持有半信半疑的态度,如果政府公信力提高,那么自然能够鼓舞中间派的信心,使得中间效应向正向效应转化,同时也能分化负面舆论集团,削弱负向效应的影响。政府如何树立较高的公信力呢?一是靠政府的透明度。政府对社会透明,让公民不仅仅听其言,还能观其行,使得公务人员的一言一行都在公民的监督之下,必然能够提高公民对政府及其公务人员的信任和支持。二是靠政府的回应力。回应力是政府对于社会公民关心和关注的问题及时作出应答和回复的能力,如果老百姓的问题都能够得到及时有效的回应,必然能够提高政府在老百姓心目中的威信。因此,透明和回应是政府赢得社会公信力的两大支点。
参考文献:
[1]陶然,萧良.现代汉语名词词典[M].北京:中国国际广播出版 社,1995:195.
[2]王治河.福柯[M].长沙:湖南教育出版社,1999:182.
[3]闫军帅.对网络话语权下一种新型问责方式:网络问责的研究 [D].长沙:中南大学,2010.
[4]胡泳.众声喧哗——网络时代的个人表达与公共讨论[M].桂林: 广西师范大学出版社,2008:181.
[5]〔德〕哈贝马斯.公共领域的结构转型[M].曹卫东,等,译.北京: 学林出版社,1999:231-244.
网络空间安全定义范文第4篇
关键词:网络 (互联网) 网络犯罪 犯罪行为地 犯罪结果地 网络犯罪刑事管辖权
-
一、引言
网络犯罪是指危害计算机系统、网络和计算机数据的机密性、完整性和可用性以及对这些系统、网络和数据进行滥用的行为[②].网络犯罪随着网络技术的日新月异的发展和扩张到社会生活的各个角落正肆意蔓延,给社会造成了巨大的损失[③].世界各国均力图对网络犯罪进行严厉打击,但是网络空间作为“第五空间”,网络犯罪以其在独特的“虚无空间”中的犯罪区别于传统的具有稳定物理空间范围的犯罪类型,是一种新型的犯罪类型;各国刑法对网络犯罪的立法和司法又不统一和协调,尤其是对网络犯罪如何行使刑事管辖权缺乏明确的立法和司法协调机制,造成了对网络犯罪打击“力不从心”。而网络空间中犯罪行为地与结果地的确认是网络犯罪刑事管辖权确认的核心标准,围绕着“网络犯罪的刑事管辖权”问题,世界各国对此进行着不懈地理论探讨和立法、司法实践,力图找到一条有效地预防和打击网络犯罪这种“跨国界”的犯罪[④].本文认为可以在通过变通解释现有的犯罪行为地与结果地理论和法律制度,适应打击网络犯罪的需要。本文以单独制定中国网络刑法为宗旨,构建网络空间中的犯罪行为地与结果地理论和法律制度。
二、网络与网络犯罪的特征
网络刑事案件和互联网有着密切的联系。互联网是由网址和密码组合成的虚拟的但是客观存在的世界[⑤],一个建立在现代计算机技术基础上的成千上万相互协作的网络以及网络所承载的信息结合而成的集合体[⑥],它是由计算机语言符号“0”和“1”编写所形成的计算机数字技术和现代通讯技术的产物,同时,它不仅是一个有形的用各种缆线连接的计算机网络,而且是作为一个当今世界上规模最大、覆盖面最广、资源最丰富、使用最为迅捷的网络信息库[⑦].从表现形式上看,互联网不仅是一张网络,还包括网上的信息。从功能上讲,互联网是由电话系统、邮政服务、新闻媒体、购物中心、信息集散地、音像传播系统等功能结合而成的一个整体。互联网运用客户服务器(Client/Server)技术以及传输控制协议和Internet协议(TCP/IP)将全球原本独立的计算机网络连为一体,形成一个虚拟的无国界的“地球村落”。
和网络犯罪密切相关的网络空间特征主要是[⑧]:
(1)客观性。网络空间的客观性不是指构成网络外部条件的计算机终端和缆线等硬件设备、计算机程序的客观存在性,而是指由这些外部条件支持着的独立的信息传播、交汇、衍生的空间的客观存在性和可感知性。网络空间是不可视和触摸的,可视的只是具体计算机信息在屏幕上的显示,但不能因此否认它的存在,它和地理空间(或称作“物理空间”)一样可以被感知。在网上的行为一样可以对客观的外在世界产生深刻影响。正因为网络的这种客观性在信息时代深刻影响着人们的生活,所以世界各国正力图通过民事、经济、行政、刑事等包括法律在内的综合制度加大对网络和网络行为的管理和控制。
(2)全球性。网络的全球性是指行为人实施网络犯罪的行为在网络空间中转化为数据信号形式可以在瞬间抽象地“越过国界”,出现在世界上有网络连接的其他国家,它是网络空间最重要的特点,也是据以产生大量跨国管辖问题的基础。目前世界上几乎没有一个国家不使用网络,只是在普及的程度上存在天壤之别。网络使全球一百多个国家的用户紧密地联系在一起,形成了密不可分的“地球村”,在这个村里,没有物理空间上的有形界线,包括国界和任何地区界线,彼此之间可以无界线的交流信息,互联网用户可以自由地互相访问、交流、共享信息,开展跨国商业、文化等活动。因此网络空间的一体化的自由状态是计算机联网并全球化的结果。今后随着加入互联网的地区和用户的增多,网络空间也将继续在全球范围内不断扩张和膨胀,直至每个用户都能足不出户,人不离国,和世界各国人们随意沟通。
(3)管理的非中心化。网络空间中没有最集中的管理,互联网上的每一台计算机都可以作为其他计算机的服务器(server)。这种对网络空间的管理的非中心化倾向是由互联网核心技术本身决定的,因此,在网络空间里没有中心,没有集权,所有机器都是平等的信息交流平台。目前,尚没有任何一个国家能彻底地控制和有效地管理互联网,由此产生了包括网络空间中严重的刑事管辖权冲突在内的许多法律、政治、文化、教育等问题。
(4)交互性和实时性。网络空间中,只要行为人实施了计算机操作命令,这些网络数据信息就会即刻在网络中迅速传播开来,同时网络上的行为又是互动的,通过网络,用户可以自主地发出信息、接受信息、回复信息。
正由于网络的这些特征决定了网络犯罪行为经常地突破国界,跨越不同法域,形式上符合一国的犯罪构成要件从而具有刑事责任可追究性和刑罚可罚性。网络行为的跨国犯罪性又导致了各国对网络空间中行为人实施的应当负刑事责任的犯罪行为如何行使刑事管辖权发生严重冲突。
三、网络犯罪给传统的犯罪行为地与结果地理论产生的冲击
网络是在现代社会中和领土、领海、领空、拟制领土并列的第五空间,网络行为者可以随意的、有目的的或者在“过失”[⑨]情况下,实施对本国或者他国的网络资源的合法用户的权益的“严重违法行为”[⑩],对于这种“跨国界”的“抽象越境”[11]行为,如何认定其法律性质,对传统的犯罪地理论-犯罪行为地与犯罪结果地理论和法律制度产生了严重的冲击。
在网络犯罪的管辖权确认中,如何正确确定犯罪地,是一个争议激烈的问题。传统的刑事管辖理论通常认为,与当事人有关的任何因素如果能够成为法院行使刑事管辖权的根据,必须具备两个条件[12]:一是该因素自身有时间和空间上的相对稳定性,至少是可以确定的;二是该因素与管辖区域之间存在着一定的关联度。所以事实上,上述问题的法律根源在于如何认定网络行为是否符合行为对象国家的刑事管辖法律规定,网络行为是否纳入一国的刑法调整范围,而行为纳入一国刑法调整范围的连接点在于一国刑法如何认定行为的发生地与结果地是否发生纳入该国刑法的调整范围,例如根据我国刑法第十二条:“犯罪行为或者犯罪结果有一项发生在中华人民共和国领域内的,就认为是在中国领域内犯罪。”因此确认对网络行为的刑事管辖权问题就转化成最初如何认定网络空间中的犯罪行为地与犯罪结果地的法律问题。
根据网络数字传输规则,一个完整的网络犯罪行为可以分解如下:第一,具体犯罪人通过终端设备在某一特定时空条件下进行联网、访问、远程控制或下载、上传、设置超链接、设置URL(统一资源定位器)、转发等行为;第二、犯罪人的操作指令以及犯罪指向的目标内容以数据流的形式在终端设备、IAP(Internet接入提供商,即Internet Access Provider)服务器、节点计算机设备、ICP(Internet内容服务提供商,即Internet Content Provider)服务器及其他网络设备(缆线、MODEM、网卡、中继器等)之间进行传播;第三、指令及数据流到达目的服务器,完成相应操作(复制或存储等)。在网络行为者实施这一系列的行为的时候,就会在事实上跨越若干个国家的“国界”,在形式上符合若干个国家的刑法规定所认定的犯罪行为,造成“刑事法律冲突”[13],是否这一系列行为都是犯罪行为,网络信号经过的国家的刑事法律都拥有管辖权或者只有其中的某些国家拥有管辖权,现有的各国刑法没有明确的规定,如果承认这些国家都有刑事管辖权,就使得各国的法律的刑事管辖权产生了冲突。
涉及到该法律问题的最著名的案件是:几名前联邦德国的学生通过国际互联网络进入美国国防部为克格勃窃取军事机密一案。这几名学生从西德登录到日本,然后再从日本登录到美国的一所大学,再从这所大学登录到美国国防部的军用计算机信息系统并进而窃取军事秘密。在本案中,如果所有的过境国都是犯罪行为地或者是结果地,即从联邦德国登陆电脑,发送网络信号-网络信号途径西德、日本和美国一所大学-登陆并通过计算机程序和网络信号攻击美国国防部网站,这一系列行为是否都是犯罪行为,如果都具有刑事违法性,就必然会造成各国对该网络行为都行使刑事管辖权,产生激烈的网络刑事管辖权冲突。
四、网络犯罪行为地与结果地的确认依据
(一)我国刑法中传统犯罪地及确定犯罪地的标准的认定
刑法理论中的犯罪地(locus commissi delicti)问题刑法学讨论的重要问题之一[14].在如何认定犯罪地问题上,到目前为止有三种学说:
1.以犯罪行为实施地为犯罪地的“行为地原则”。这种学说亦称主观说,是将犯罪的本质视为行为人反抗意志(主观恶性)的表现,强调刑法的一般预防功能的主观的犯罪概念在犯罪地问题上的反映。因为行为人的主观恶性是通过犯罪行为,而不是犯罪结果表现出来的,因此应该以犯罪行为地为决定犯罪地的标准。
2.根据犯罪结果的发生地来决定犯罪地的“结果地原则”。这种学说的理论基础是将犯罪的本质归结于犯罪的客观危害,强调发挥刑法保护作用的客观的犯罪概念。由于只有犯罪结果才是刑法所保护利益实际遭受侵害的标志,因此这种学说将犯罪结果的发生地视为犯罪的发生地。
3.将犯罪的行为和结果发生均视为犯罪地的“折衷原则”或“择一原则”(亦称“扩张的行为地原则”)。由于无论将犯罪的主观恶性或对法益的危害性绝对化,都具有不可避免的片面性,采取主观恶性与客观危害兼容的犯罪概念,强调刑法的一般预防功能与保护功能并重,是世界各国刑事立法的主流,故当今世界各国的立法例或司法实践多采用这最后一种学说。
我国刑法采用第三种理论进行立法,即《中华人民共和国刑法》第六条第三款:“犯罪的行为或结果有一项发生在中华人民共和国领域内的,就认为是在中华人民共和国领域内犯罪。” 按照该规定,下列情形可以视为发生在我国境内:(1)犯罪行为和犯罪结果全部都发生在我国境内;(2)只是犯罪行为发生在我国境内;(3)只是犯罪结果发生在我国境内。我国刑法中的“犯罪行为”从行为形态看,包括犯罪预备、中止、未遂、既遂行为;从行为的实施阶段看,包括全部的犯罪发展阶段都在我国境内实施的犯罪行为,也包括那些“部分”在中国境内实施的行为,也包括从我国境内开始实施的、在国外实施终了的犯罪行为,还包括自国外开始实施、在我国境内实施终了的犯罪行为。“就行为的实施方式而言,要注意以不作为犯罪在犯罪地问题上的特殊性。因为,对以不作为方式实施的犯罪行为来说,犯罪行为的实施地应是行为人法定义务的履行地,与行为人在应履行法定义务时身在何处无关。如一个外国人认为了逃避在我国纳税,在纳税期限截止时,虽然他已身在国外,但其犯罪行为仍应视为是发生在我国境内。[15]”就我国刑法中“犯罪结果”的认定在我国刑法学界有两种不同的观点:一种观点认为犯罪结果,就是犯罪行为已经造成的损害结果或者具体的物质性结果;第二种观点认为犯罪结果是对刑法所保护的社会关系的所造成的损害[16].按第一种观点,犯罪结果是自然意义上的结果,只存在于结果加重犯或结果犯的完成形态之中。按第二种观点理解的犯罪结果,是犯罪行为法律意义上的结果,由于没有侵害刑法所保护的社会关系的行为就不是犯罪行为,因而任何犯罪,包括犯罪的预备、未遂、中止等未完成形态,都必须具有这种结果。本文认为,就网络空间中的犯罪而言,《刑法》第6 条第三款中的“结果”包括 “具体的物质结果”,如网络信息泄密;还包含未完成的犯罪行为可能实现的结果和危险犯所造成的危险状态,如潜伏中的电脑病毒所隐藏着的对网络安全运行、信息保密、数据完整性的损害。
(二)网络空间中网络行为的刑事违法性的判断
网络行为的刑事违法性的判断是指何种网络行为应该纳入刑法的调整范围,即哪些网络行为是犯罪行为。如前所述的,网络行为是一系列连续性的行为-网络子行为组合而成的联合行为,要完成网络犯罪行为,任何一个子行为都不可缺少。那么是否这一系列的行为都具有严重的社会危害性进而具有刑事违法性呢?答案是否定的。
犯罪行为有预备、中止、未遂、既遂四种形态,网络犯罪行为同样有这四种形态,但是刑法不能因此追究所有这四种形态的行为。依据我国传统的刑法理论的法律制度,在故意犯罪中,存在犯罪预备、未遂、中止形态,同时把这三种形态纳入刑法的调整范围赋予其刑事违法性加以追究刑事责任。但是对预备行为不加以严格区分-有些行为开始是不存在犯罪动机的,如甲看到单位乙很有钱,甲曾经说要去“盗窃”乙,于是有一天乙的工作人员丙在看到甲到市场上买了一些铁锤、电钻等工具后就到派出所报案称甲要盗窃乙财产,派出所就以甲买工具行为认定为盗窃准备工具的犯罪预备行为拘留了甲,而事实上甲购买工具后并没有实施对乙的盗窃的一系列行为,其购买工具行为存在多种可能:或者家用装修房屋,或者赠与他人,或者用于盗窃,在此种情况下就很难认定甲的行为是否具有刑事违法性。因此对预备行为一律予以刑事法律化,本身就是不科学的。意大利著名刑法学者贝卡利亚认为:法律不惩罚意向[17].也就是说贝卡利亚认为“着手实施犯罪以前的行为不具有可罚性”[18].国外一些国家也从立法上限制把预备行为刑法化,如《匈牙利刑法典》第19条就规定:“凡意图犯罪而与犯罪构成无关行为者,如供给工具,或者使工具便于犯罪行为或者招引他人实施犯罪行为,而自己表示为此目的予以帮助或者由于他人的劝说而加以担任或者作成关于共同实施犯罪之约定,应按预备犯罪处罚之,但以法律有处罚预备行为特别规定者为限。”。我国在修改刑法时仍然保留了1979年刑法中的预备行为犯罪化的规定,即1997新刑法第22条。保留这种理论和法律制度引起了很大的争议,因为其存在着不少的弊端[19]:(一)从主客观相统一上看,预备犯大多社会危害性相当轻微。因而在我国司法实践中对大多数犯罪的预备犯是不予刑事处罚的,但是现行刑法仅规定了处罚预备犯的一般原则,这就一方面使上述司法实践的正确做法依法无据,甚至违法,另一方面又使法律的规定不能切实贯彻而有损法律的严肃性和权威性。从而造成了立法过剩与虚置,导致法律资源的浪费;需要通过刑法总则关于犯罪预备的规定作为预备犯处罚的,主要是故意杀人罪、罪、抢劫罪等极少数犯罪[20];(二)在举动犯罪的场合下,不存在未遂的情况:(三)对一切故意犯罪的预备行为、未遂行为都加以犯罪化,在实践中是行不通的。“由于公安机关的办案经费和警力严重不足,公安机关对既遂的大案要案的侦查常常疲于奔命,面临巨大的压力,在这种情况下,尽管法律作了规定,但是在实践中真正予以刑事处罚的仍然是少数(极少数)严重罪行的预备行为和未遂行为”;(四)将导致犯罪范围宽泛化,刑法触角延伸过长,刑罚权任意扩张;(五)导致监狱人满为患,不符合人道主义,使得监狱陷入管理困境,给社会带来沉重负担,制约社会经济的发展;(六)对危害不大的预备行为、未遂行为都一律加以犯罪化,会折断行为人回归社会所架设的“黄金桥”,和国家的预防犯罪的刑事政策相悖;(七)必然导致人们过于迷信刑罚在抗制犯罪中的作用,从而轻视并削弱其它法律手段和社会措施在抗制犯罪中的作用。
上述对预备行为、未遂行为一律规定为犯罪的弊端分析是很中肯的,尤其是对网络空间中发生的预备行为和未遂行为是否应该一律赋予犯罪化具有重要的意义。本文认为,要追究网络行为的犯罪后的刑事责任,必须是行为实施的某一形态的行为实质侵害了一国刑法所保护的法益时才能够把该行为纳入该国刑法的调整范围,如前举例子:几名前联邦德国的学生通过国际互联网络进入美国国防部为克格勃窃取军事机密一案。这几名学生从西德登录到日本,然后再从日本登录到美国的一所大学,再从这所大学登录到美国国防部的军用计算机信息系统并进而窃取军事秘密。这几名学生的行为可以分解成若干连续的行为:预谋阶段-从西德到日本再到美国的一所大学-为犯罪准备工具、制造条件的行为;实施阶段-从美国的大学进入美国国防部的那一个侵入计算机网络的行为才是实质的“网络犯罪”行为。预备阶段的行为除了目的外和普通的网络行为并没有什么区别,也就是说这些行为是纯粹的手段行为,对于这种手段行为是否要追究其法律责任,应该以一国刑法所保护的法益最终受到侵害为前提,因为这些行为经过的国家并不是唯一的行为“路径”,具有选择性,可以选择其他国家的网络转道进入美国国防部,不存在实质意义上的法律威胁:没有在“路径国”散发病毒,没有破坏这些国家的网络信息也没有影响网络的安全运行。事实上,就算是在物理空间里,也存在这样的过国境但是不违法该过境国刑法的法律现象,如某些国家规定了安乐死是合法的行为(A国),有些国家却规定为非法行为(B国),我们不能把那些试图中转B国到A国的行为视为非法行为,适用B国的刑法。再例如:甲乙两人是同一国籍的人,但甲现在A国,乙在B国,甲为了谋杀乙,只身不带作案工具转道C、D、E国到达B国,如果转道国事前不知道甲的中转该国的目的,就不可能对甲的过境行为追究刑事责任的,事实上甲的过境行为也没有给过境国产生实质的违法性-既没有在该国进行准备工具、制造条件的行为,也没有实施对该国刑法所保护的法益进行侵害的行为。如果只是凭借中转该国就确认甲的行为违反刑事法律显然有些牵强和没有实质的法律意义-刑事违法性。本文认为,在故意的网络犯罪类型中,着手行为应该是行为人找到了最终的目的网络或者网站后开始运行计算机程序命令攻击行为对象的那一瞬间才是着手行为,此前的行为都不是着手行为,除了危害国家安全犯罪和故意杀人罪-例如电脑病毒侵入医院婴儿暖房电脑,指令电脑错误操作空调或者氧气设备,致使暖房气温过高或者氧气减少,造成婴儿不适应而死亡,除此之外,都只是具有轻微的社会危害性,尚不能引起刑法对该预备行为的调整。又根据我国刑法第22条的规定:为了犯罪,准备工具、制造条件的,是犯罪预备。对于犯罪预备,可以比照既遂犯从轻、减轻处罚或者免除刑罚。因此本文认为为了减少网络刑事管辖权的冲突,应该确认这些行为经过的国家不具有刑事管辖权,只以行为最终要抵达的目的地来确认该行为的行为地或者结果地,只有当网络行为给“路径”国的网络造成了实质的侵害时才拥有合法的刑事管辖权,这就要求各国对现行的刑法所规定的行为地和结果地确认标准进行变通的解释。
(三)网络行为的类型及其法律价值
网络空间安全定义范文第5篇
关键词:信息安全;保密性;完整性;抗抵赖性
1引言
信息化已作为推进全球化的一支重要力量,深刻地改变着人们的生活。网络空间和现实生活紧密相连,构成一个开放的复杂巨系统,而信息安全也成为影响网络空间健康发展的关键因素。近年来,全球范围内的信息安全事件越来越多,造成的损失和影响逐年增大,已成为一个不容忽视的现实问题。
除人为破坏之外,还存在包括来自需求定义错误、系统设计/硬件缺陷、信息传输、人员安全意识等多种安全问题。正是由于计算机存在这些不安全因素,导致了信息安全漏洞存在的必然性和普遍性。联网计算机数量以及网上应用的飞速发展,使得互联网络及由互联网支撑的网络空间的安全问题、安全环境变得日趋复杂。在这种开放复杂的网络环境下,信息泄露、信息冒用、信息篡改问题已成为扰乱人们正常互联网办公的重要安全问题。
2数据传输过程威胁分析
目前基于互联网办公的方式逐渐被人们采纳及推广。其中包括基于互联网的OA系统、ERP系统、邮件系统及电子商务系统等,但是目前多数公司或者政府部门在网络规划及实施过程中,由于人员的安全意识或者投资等问题,导致办公人员在访问这些系统的时候都是采用明文数据传输的方式进行业务办理。本文针对数据传输过程所面临的威胁种类分析如下:
2.1数据泄露的危险
通过互联网络进行数据传输时,如果信息数据是明文传输(即没有加密),那么如果存在恶意的内部员工或者破坏分子就可以轻易地在网络上通过抓包软件抓取用户传输的所有数据,或者黑客在拨入链路上实时对数据进行监听。(包括其中的敏感信息)得到的所有数据可以通过细化分析过程达到信息数据的还原,这样也就导致了数据传输泄漏的危险。
2.2数据被篡改的危险
通过互联网络进行数据传输时,由于信息数据是明文传输。当恶意人员将数据获取或者劫持后,为了满足个人利益,从而当将劫持后的数据进行恶意篡改操作,最后将篡改后的数据按照之前的数据传输规则让接收方接收。而接收方实际上接收的数据是非法的或者恶意的指示。最终可能会对公司造成利益损失。
2.3伪造身份的危险
通过互联网络进行数据传输时,数据有可能被中间的黑客截获。如果黑客获取了这些数据,就可能把这些数据在适当的时候发往接收方。如果没有对这些数据的身份确认,那么这些数据就可能被接收方接受,并进行处理,从而造成了严重的安全隐患。
除了发送方和接收方外,其他人是不可知悉的(隐私性);
传输过程中不被窜改(真实性);
发送方能确信接收方不会是假冒的(防假冒);
发送方不能否认自己的发送行为(抗抵赖)。
3 VPN技术应用
VPN虚拟专用网已经具有与专线几乎相近的稳定性和安全性。事实上,利用VPN技术组建的“专用网络”,已经成为今天大多数企业、政府、事业单位的首选解决方案。
3.1 VPN特点
3.1.1安全保障
3.1.2服务质量保证(QoS)
3.1.3可扩充性和灵活性
3.1.4可管理性
3.2 VPN技术解决问题分析
3.2.1随着全球化的步伐加快,移动办公人员越来越多,公司客户关系越来越庞大,而如果不采用VPN远程接入方案必然导致高昂的长途线路租用费及长途电话费。目前基于互联网移动办公的方式都可以通过VPN加密技术实现。当终端用户需要访问内部OA、ERP、邮件及电子商务等系统时,首先通过VPN拨入认证。如果认证成功后,访问内部服务器系统时则采用加密及指定用户PC的方式限制信息数据的泄露及抗抵赖。
3.2.1.1用户及口令认证;
3.2.1.2提供用户名+usb key证书认证的双因子认证方式,可以方式单一条件的非法登录;
3.2.1.3提供针对于用户主机的认证特征码的绑定方式,可以防止用户随意主机非法登录;
3.2.1.4提供用户主机的登录区域的限制,可以防止用户携带主机随意网络非法登录。
3.2.2传统的企业网组网方案中,要进行远地LAN 到 LAN互连,除了租用DDN 专线或帧中继之外,并无更好的解决方法。并且互联网链路昂贵的费用消耗从而也影响到一些企事业单位之间的互联互通问题。随着VPN技术的发展,VPN隧道可以部分替换昂贵的专线链路。当公司总部及分支机构采用专线星型网络部署时,可以采用基于IPSEC VPN网关-网关接入方式,这种方式由于封装与解封装只在两个接口处由VPN设备按照隧道协议配置进行,内网中的其他设备将不会觉察到这一过程,对与内部网用户来说这一切都是透明的。通过有效部署,不仅可以保证数据传输的机密性、完整性及抗抵赖性,同时也可以降低费用支出。
4结论
网络中的各种威胁将直接导致业务数据被窃取和篡改,将会带来极大危害。一方面如果办公业务数据不准确,就会耽误大事,贻误战机,增加公司生命财产损失,增加公司不稳定因素,后果不堪设想。另一方面一些办公业务数据是企业的商业机密,必须防范。然而目前高速发展的信息化时代,以核心业务系统安全、连续、稳定运行为核心;以安全、畅通、高效的网络传输为保障;是信息化建设目标,只是需要完全建立在有效的保证数据信息安全性的前提下。而具体采用的安全手段应该是管理组织在建设信息规划时必须考虑的问题。
参考文献:
[1]卢开澄.《计算机密码学-第3版》[M].清华出版社
[2]Alfred Menezes,译者:胡磊.《应用密码学手册》[M].(《Handbook of Applied Cryptography 》).电子工业出版社
[3]金汉均,仲红,汪双顶.《VPN虚拟专用网安全实践教程》[M].清华大学出版社
作者简介:
