下载掌阅APP,畅读海量书库
立即打开
对于网络安全的定义,目前理论界和实务界众说纷纭。究其原因,除了关于网络安全规范本身的基础模式思考不同之外,即使在采取积极拥抱网络空间的基础模式的多数国家和地区,包括中国、欧盟、美国在内,也存在许多难以确定的困难。
这种难以确定的困难,最少体现在三个方面:一方面,网络安全在功能、利益、领域不同的区划方面存在复杂性,这使得网络安全本身存在内部分类的不确定性和标准的多样性,由此统一定义十分困难,往往只能选择一种主要的分类进行指导性界定;另一方面,这种困难也体现在前面所说的网络安全本身是动态发展的概念,因此具有开放性;此外,在不同国家,还存在有关网络安全与意识形态、基本社会制度联系的差别,导致是否应该在政治和非政治的领域做出网络安全区分的特殊问题。
我们不妨分析一下相关的一些定义。
维基百科定义认为,网络安全指的是“网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断”
。这种定义方式,显然是选择了网络安全的功能层次分类进行的一种指导性定义,也就是说把网络安全区分为物理的安全和数据的安全两个方面,前者是指网络系统的硬件、软件的安全,后者是指系统中的数据安全。
2013年欧盟议会及欧盟理事会颁布的(EU)No 526/2013号条例(以下简称《条例》)大体就是这样的一种分类界定方式,但是重点放在信息安全上。该法就“网络与信息安全”的定义做了如下规定:“指在给定的可置信水平(level of confidence)上,网络或者信息系统抵抗意外事件、非法的或者恶意的行为的能力。这些意外事件、非法的或者恶意的行为可能损害已储存或已传输数据的可用性、完整性和机密性,以及通过网络或信息系统提供的或者获得的服务。”
该《条例》前言部分,对电子通信领域的安全保护也有相关阐述,主要包括电子通信及其基础设施服务的安全,包括对其完整性、有效性、保密性的保护等,特别是对个人数据免遭丢失、变更、无授权的使用或披露以及传输过程中的安全保密性,也有所提及。
美国2013年新版《网络情报共享与保护法案》(Cyber Intelligence Sharing and Protection Act)共7条,主要包括网络情报共享的协调工作以及对1947年《国家安全法》的修改,该法案本身并未对网络安全直接进行界定,而是通过对“网络威胁信息”(Cyber threat information)、“网络威胁情报”(Cyber threat intelligence)、“网络安全犯罪”(Cyber security crime)、“网络安全目的”(Cyber security purpose)等概念进行定义
。这种方式表现出“网络安全”内涵的一些重要侧面,即关系到刑事犯罪和国家安全问题,这是从功能指向的角度所理解的网络安全的范围延伸开来,网络安全从这种功能意义上,除了这种国家安全、公共安全(网络犯罪),还应该包括社会安全、个人安全。
比较流行的专业辞典,通常受到欧盟定义的影响,从网络安全功能层次划分出发,区分狭义网络安全和信息安全,并以信息安全为重点界定广义的“网络安全”。其中,信息安全意指保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受
。
部分学者注重对于英美的借鉴,从保障利益的角度对于网络安全进行区分界定,即区分对国家的安全、对公共和社会的安全以及对个人的安全。但是这种划分同时又融入了非常浓厚的主权意识,同时极力强调在我国要将网络安全放到网络空间以及网络空间主权的高度来理解
。这种观点提出,应将网络安全问题与主权问题联系起来,应特别强调网络的空间性并认识到这种空间也属于主权范畴。在这种思维下,网络空间主权思维因此凸显,网络安全的侧重点是与陆、海、空、太空等并行的网络空间安全(Security in Cyberspace)概念,并一开始就具有军事安全和主权安全性质。在这种观点下,通常被其他国家(如欧盟)从层次区分的角度置于较重要位置的信息安全,被放到了不起眼的位置。因为,“与信息安全相比较,网络安全与网络空间安全反映的信息安全更立体、更宽域、更多层次,也更多样,更能体现出网络和空间的特征,并与其他安全领域更多地渗透与融合”
;而与网络安全相比较,网络空间安全作为一个相对的概念,具有针对性和专指性,与网络安全有细微的差别。尽管两者都聚焦于网络,但所提出的对象有所不同; 较之“网络安全”,“网络空间安全”更注重空间和全球的范畴
。
由于受到网络主权意识的影响,我国还有学者提出,应从混合的角度,对“网络安全”的要素构成进行非规则描述,认为网络安全应当由网络系统安全、网络数据安全、网络信道安全及网络主体秩序安全这四个要素构成,任一要素缺失,都是网络安全体系的疏漏。尤其是,网络信道安全一直是目前法律法规中比较忽视的要素,认为之前朝鲜遭受国外的网络攻击正是通过恶意流量网络出入口节点,实际上其国内各地司法部门正在处理多起利用DDOS网络信道的网络攻击
。
近年来,还有学者提出,应从不同时期就网络安全所对应的对象进行阶段划分,将网络安全划分为三个发展阶段,即区分第一代,包括系统安全、信息安全和应用安全,第二代,包括使用安全和内容安全,第三代,空间安全(见下表)
。
从上述国内外的网络安全定义可以看到,对网络安全形成一致接受的概念几乎是不可能的,其原因在于网络安全本身存在多类型区分的必要,有的从功能层面,有的从保护利益层面,有的则从主权意识出发,有的甚至从行为出发,进行网络安全的描述,但是这些描述都只是网络安全的某个方面,需要拼合起来且动态地看待才可能较为完整地把握住网络安全的含义。从这个意义上说,网络安全本身作为对象具有交织多样性,规范把握起来比较困难,不能简单依据一种分类把握就达到全面定义和系统规范的效果,而有必要几种分类交错展开,通过多角界定方式、交织规范的处理,才能达到合理、全面规范的效果。
除了静态内容界定上的困难,网络安全还存在动态发展的复杂性,这就使得其界定不得不保持开放性。仅就信息安全而言,我们就知道其是伴随信息化的进程而不断变化,以其载体和内容不同,可以划分六个阶段,如下表所示。
2015年6月,全国人大常委会提交审议《网络安全法(草案)》,该草案试图对网络安全的概念进行界定。附则第65条规定:“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统”;“网络安全,是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。”
这个定义是从网络安全实施主体的行为或能力的角度,对网络安全进行定义,可谓独辟蹊径,揣测起来,大概是意识到网络安全原本定义的复杂性。但是,这种界定是从治理行为或治理能力的角度出发的,这使得规范对象本身变得更加不清晰。实际上,该定义还是间接从这种网络安全治理能力的针对范围,对于网络安全进行了范围界定,界定方式是接近功能描述式的,仍然可以划分为网络物理安全和网络信息安全两个范畴。而且,从表述上看,应该是侧重于强调对基础设施(物理层)和网络层的安全保护,即对构建网络的各项设施以及网络本身的保护,至少对于信息安全本身没有重点强调。我国先前的法律政策文件多使用“网络与信息安全”的表述,如《国家安全法》使用的是“网络与信息安全”,但在成立中央网络安全和信息化领导小组以后,大约为了简略起见,将“网络与信息安全”的提法统一为“网络安全”
。这一点与比较法上更加关注的信息安全不同。作为网络的传输、应用对象,网络信息的安全性问题必然构成网络安全问题的核心部分。信息安全强调的是防止不良的外来信息的入侵,防止信息的泄露、修改和破坏等。广义的信息安全既有网络的运行安全(防止入侵),也有信息本身的安全(信息加密等),此外也间接包括构成网络的设备本身的安全。
当然,这个定义忽略了通过其他分类比如保护利益不同的分类所具有的特定内涵揭示意义,此外也不具备动态开放的特点。
网络安全的定义在今天还应该具备网络空间意识。随着全球信息化的深入发展和持续推进,数字社会在各个领域所占的比重越来越大,量变引发质变,以数字化、网络化、智能化、互联化、泛在化为特征的网络社会逐渐向空间化方向发展,这为网络安全带来了空间化意义的新挑战,甚至出现全球化的互联互通空间
。因此,“网络空间安全”逐渐从一般的网络安全中分化出来,成为新的安全领域,甚至成为国际关系空间。
网络空间论导致网络主权意识出现。这种网络主权观念反映到网络安全空间的治理上,会产生两种思维分歧。一种认为,网络空间存在积极的网络主权安全治理问题,一国可以像海陆空领土主权一样,将网络空间纳入主权范围,通过行使主权保障空间安全。另一种认为,网络空间主权意识应该有所节制,从互联网的空间安全治理而言,涉及的主权问题应该是在一个消极层面展开的,一国不能在网络空间简单宣布主权,即不能简单通过宣布主权方式对网络空间圈地,相反只能在尊重其具有公共领域属性的基础上,对这一领域可能出现的加害或威胁主权安全的行为加以预防、阻遏和治理——在这一意义上,网络空间颇似公海、外空,本身非属于主权范围,却涉及主权安全问题,具有在这一领域实施主权防御的必要性。
所以,网络安全的界定方法可以多样,包括:以信息安全为重心的功能划分、保护利益为基础的目的划分、以时间或者技术过程为线索的迭代划分、以构成要素依据的内容划分,以及注重网络空间安全统和论,以主权为考虑的政治的划分,等等。但是,上述分类观点各具意义,任何一种都不足以完备。总结来看,网络安全的界定和规范,应该依据功能的划分为主,同时必要时辅助以不同分类,必须适应网络本身的不确定性和动态性,保持足够的包容性、开放性。网络安全本质上是一个具有发展属性和不断升级的概念,其中数据安全将是下一步网络安全规制与重点关注的全新代际问题。