2016年世界網絡安全態勢盤點

沈逸 楊楊

2016年世界網絡安全態勢盤點

沈逸 楊楊

2016年是全球網絡空間安全態勢持續呈現復雜化演進態勢的一年。可以被歸類為構成國家安全威脅的網絡安全重大事件持續高發，國家關鍵基礎設施防護，與國家安全相關的數據資源保障，以及如何保障涉及關鍵國內政治過程的數據基礎設施免受威脅，成為考驗國家網絡安全戰略能力的關鍵。面對威脅，主權國家迅速在網絡空間采取行動，通過戰略文件、制度設計以及針對性的政策安排，來改善網絡安全態勢，同時，全球網絡空間的主權化、安全化態勢，也變得更加顯著。

網絡安全；主權；安全化

沈逸副教授，復旦大學網絡空間治理研究中心主任，中國網絡空間研究院特約研究員。發表大量為國內外關注的、有影響力的國際網絡空間治理著述。

楊楊復旦大學網絡空間治理研究中心研究助理。

一、2016年全球重大網絡安全事件盤點

2016年全球網絡安全事件呈現高發態勢，重大網絡安全事件層出不窮，對網絡安全構成嚴重的威脅。根據金雅拓公司（Gemalto）公布的2016年數據泄露等級指數（Breach Level Index, BLI）①Gemalto. First Half 2016 Breach Level Index Report. Available: http://breachlevelindex.com/assets/Breach-Level-Index-Report-H12016.pdf顯示，2016年上半年全球范圍內有記錄的數據泄露事件數量為974起，被盜檔案數約5.54億份；相比于2015年下半年844起數據泄露事件增長了15%，被盜檔案數（4.24億份）增長了31%，2016年上半年的數據泄漏率呈現明顯的加劇趨勢。主要國家的政府圍繞網絡空間和數據資源展開戰略競爭的同時，跨國企業、網絡犯罪組織如黑客組織和網絡恐怖組織等非國家行為體發起的網絡安全攻擊將持續增加，影響力和破壞性顯著增強。其中針對政府信息系統的攻擊事件明顯增加，許多政府網站或政府域名郵箱被入侵；針對關鍵基礎設施的攻擊事件，特別是電力、石油石化、軌道交通、水利水務等涉及國計民生的關鍵基礎設施安全成為網絡攻擊的重要實施目標；此外，針對金融領域、網上支付系統、移動科技、社交網絡等對象的攻擊類型不斷更新，多與金融犯罪和用戶隱私等價值目標緊密相關。

1.以色列國家電力當局遭受網絡襲擊

在2016年1月26日舉行的2016CyberTech網絡技術大會上，以色列基礎設施、能源及水資源大臣Yuval Steinit向與會人員透露，以色列電力當局于1月25日遭到黑客軟件嚴重襲擊，許多電腦遭襲后癱瘓兩天。其隨后于會上稱當局已監測到病毒軟件并正安裝正確軟件來進行修復，并呼吁網絡時代大家應重視網絡襲擊事件，共同努力抗擊網絡入侵行為。其稱“網絡對基礎設施的攻擊會致使供電站及整個能源供給系統癱瘓……并導致人員傷亡。”此次事件起源是該電力當局內一名員工打開了一封釣魚郵件后感染病毒，并將病毒傳染給其他同事的電腦。①Julian Robinson. Hackers Cripple Israel's Electricity Grid with Cyber Attack Just as Temperatures Drop Across the Country. Jan. 27, 2016. Daily Mail. http://www.dailymail.co.uk/news/article-3419426/Hackers-cripple-Israel-s-electricity-grid-cyberattack-just-temperatures-drop-country.html國家電力當局發言人在當地的媒體采訪時表示局內遭到入侵的電腦已切斷網絡，而Steinit的言論也令不少人擔心以色列的電網系統會因此切斷。②Mary-Ann Russon. Israel: Electricity Board Crippled by Ransomware Cyberattack Causing Widespread Panic. January 28, 2016. International Business Time. http://www.ibtimes.co.uk/israel-electricity-board-crippled-by-ransomware-cyberattackcausing-widespread-panic-1540615

2.菲律賓史上“最大”政府數據泄露事件

2016年3月27日，菲律賓全國選舉委員會（COMELEC）存有的大約5千萬注冊選民的個人信息，包括1580萬選民的指紋及護照信息遭到黑客組織LulzSec Pilipinas竊取。該黑客組織隨后在網上發布了盜取數據的下載鏈接，文件容量達340G。同日早些時候，COMELEC官方網站被自稱是“匿名菲律賓人”的黑客組織攻陷，該組織留下文字訊息譴責COMELEC沒有為即將到來的菲律賓大選做好投票機器的安保工作。③Alex Hern. Philippine Electoral Records Breached in 'Largest Ever' Government Hack. April 11, 2016. The Guardian. https://www.theguardian.com/technology/2016/apr/11/philippine-electoral-records-breached-government-hack盡管COMELEC官方聲稱此次泄露的數據無敏感信息，④Tina G. Santos. Comelec Shrugs Off Hacking. March 29, 2016. Philippine Daily Inquirer. http://newsinfo.inquirer. net/776683/comelec-shrugs-off-hacking網絡安全軟件及服務領域的全球領軍公司趨勢科技（Trend Micro）在對該事件進行調查后表示，此次數據泄露還包括130萬海外菲律賓選民的護照信息及從2010年起參加總統競選的人員名單等，可謂是“史上最為嚴重的政府數據泄露事件。”⑤Leisha Chi. Philippines Elections Hack 'Leaks Voter Data'. April 11, 2016. BBC News. http://www.bbc.com/news/ technology-36013713其進一步表示，此次事件再次強調了政府部門需要在數據管理人員的監督下依據信息敏感度分類隔離并保護數據。

3.土耳其國民信息數據庫泄露事件

2016年4月，土耳其爆發史上規模最大的信息泄露事件，包括土耳其總統雷杰普?塔伊普?埃爾多安在內的近5000萬土耳其公民個人信息被黑客曝光至網絡上。曝光的信息內容包括公民姓名、性別、身份證號、出生日期、家庭地址，父母姓名等一連串敏感信息。這批數據被打包成大小為1.6G（解壓后為6.6G）的文件發布到芬蘭某一服務器上供全球人民下載。除披露上述信息外，黑客還指出土耳其政府信息數據庫存在的漏洞，大肆嘲諷其數據庫管理及編碼加密能力。同時，信息發布者還將矛頭指向土耳其總統及特朗普，指責二人均無領導才能，無法勝任總統職位。其還對土耳其社會局面進行批判，“誰會想到，土耳其國內的意識形態倒退、任人唯親與不斷上升的宗教極端主義情緒會導致技術基礎設施的崩潰與缺陷？”⑥Robert Tait. Personal Details of 50 Million Turkish Citizens Leaked Online, Hackers Claim. April 4, 2016. The Telegraph. http://www.telegraph.co.uk/news/2016/04/04/personal-details-of-50-million-turkish-citizens-leaked-online-ha/土耳其官方宣稱此次泄露的信息內容為舊有數據，并不具有時效性。⑦Turkish Authorities' Probing Huge ID Data Leak. April 6, 2016. BBC News. http://www.bbc.com/news/technology-35978216雖然此次泄露的信息不包括公民信用卡號、郵箱地址及密碼等，但無論如何，此次信息泄露事件規模之大（涉及人數、信息之多）可謂土耳其史上之最。居民出生日期、家庭住址等信息的泄露可誘發詐騙、盜竊等犯罪。

4.美國民主黨全國委員會郵件泄露

維基解密（WikiLeaks）網站于2016年7月22日起陸續發布了美國民主黨國家委員會高層七位關鍵人物的4.5萬封郵件及1.8萬條附件信息，時間跨度從2015年7月份算至2016年5月底。維基解密并未對信息來源做出說明，而事后一名綽號為Guccifer 2.0的黑客宣稱對此事負責。此次郵件泄露事件直接導致民主黨全國委員會主席Debbie Wasserman Schultz、首席執行官Amy Dacey以及首席財務官Brad Marshall陸續辭職。2016年7月25日，民主黨全國委員會為其在泄露郵件中的言論向總統競選人桑德斯（Bernie Sanders）書面致歉，稱委員會并未在競選過程中保持中立與公正。①Alana Abramson, Shushannah Walshe. The 4 Most Damaging Emails From the DNC WikiLeaks Dump. July 25, 2016. ABC News. http://abcnews.go.com/Politics/damaging-emails-dnc-wikileaks-dump/story?id=408524482016年10月，維基解密又接連公開了總統候選人希拉里競選團隊主席John Podesta的近2000封個人郵件。其中一條2014年8月份希拉里發送的郵件內容涉及了如何打擊ISIS的八點主張，其中包括為駐敘利亞及伊拉克的庫爾德部隊提供軍事扶助。②Bethan McKernan. Hillary Clinton Emails Leak: WikiLeaks Documents Claim Democratic Nominee' Thinks Saudi Arabia and Qatar Fund ISIS. Independent. http://www.independent.co.uk/news/world/politics/hillary-clinton-emails-leak-wikileaks-saudiarabia-qatar-isis-podesta-latest-a7355466.html

5.美國國家安全局“方程式組織”遭黑客攻擊

2016年8月13日，一個自稱為“影子經紀人”（The Shadow Brokers）的黑客組織攻擊了美國國家安全局頂級“網絡武器庫”—“方程式組織”（Equation Group），并泄露了該網絡庫中部分用于大規模監控及攻擊全球計算機的黑客工具及數據信息。③Hackers Auction Files' Stolen From NSA. August 16, 2016. BBC News. http://www.bbc.com/news/technology-37095037該黑客組織表示，將對手中尚未曝光的數據進行拍賣，并在籌集到100萬比特幣（約5.68億美元）之后將所有竊取到的信息公之于眾。“方程式組織”一直被認為與美國國安局關系緊密，據卡巴斯基安全公司2015年發布的報告，該組織為世界上最強悍的黑客組織。④美國國家安全局網絡“武器庫”被黑客組織攻入．2016年8月22日，中國信息安全測評中心．http://www.itsec.gov. cn/export/sites/itsec/news/5b8e94bc-6b5d-11e6-b846-4fa1f1c236bf/美國中央情報局前技術分析人員愛德華?斯諾登表示，美國國安局用于黑客目的的服務器并非首次遭到攻擊，不過泄露信息被公開可謂前所未有。美國國安局前工作人員大衛?埃德爾（Dave Aitel）認為，幾乎可以確信此次數據泄露與導致美國民主黨數位領導人辭職的針對該黨派的黑客襲擊事件有關。⑤Kevin Rawlinson. Edward Snowden: Russia Probably Behind NSA Leak. August 17, 2016. BBC News. http://www.bbc.com/ news/technology-37104745

6.俄羅斯發生多起大規模數據泄露事件

2016年9月6日，數據泄露索引服務網站LeakedSource報告稱俄羅斯訪問量最大的搜索引擎Rambler.ru曾于2012年遭到黑客攻擊，致使約1億用戶的包括用戶名、口令、ICQ號碼在內的賬戶信息被擄走。數據分析顯示，不同于其他數據泄露事件，本次泄露的密碼信息并未進行過哈希加密，全部以明文的方式保存。而在幾天前，LeakedSource還公布過另一起數據泄露事件，即黑客攻擊了俄羅斯一家論壇網站vBulletin，并泄露了約2700萬用戶的個人信息，其中大部分用戶都來自俄羅斯十分流行的Mail.ru郵件產商旗下的三個游戲論壇。⑥Zack Whittaker. Over 25 Million Accounts Stolen After Mail.ru Forums Hacked. August 24, 2016. ZD Net. http://www.zdnet. com/article/over-25-million-accounts-stolen-after-mail-ru-forums-raided-by-hackers/同樣與Mail.ru相關，此前5月份，曾幫助揭露過Adobe、JPMorgan等公司數據泄露事件的網絡信息安全公司Hold Security首席信息安全官Alex Holden確認稱，俄羅斯黑客已成功地盜取了2.723億個帳號信息，以Mail. ru用戶為主，此外還有Gmail地址、雅虎以及微軟電郵Hotmail用戶。路透社稱，數以億計的數據目前正以廉價在“俄羅斯地下黑市”進行售賣。⑦Eric Auchard. Exclusive: Big Data Breaches Found at Major Email Services - Expert. May 5, 2016. Reuters. http://www. reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6

7.雅虎用戶數據泄露事件

2016年9月22日，雅虎公司首席信息安全主席鮑勃?羅德（Bob Lord）發表聲明，承認公司約5億用戶的賬戶信息于2014年底遭到黑客竊取，丟失的信息可能包括姓名、電子郵箱、電話號碼、出生日期及安保問題和答案等。聲明還稱此次黑客行動可確信是由某國政府支持實施，同時呼吁用戶修改密碼并重新設置安保問題。①FBI調查雅虎大規模泄密事件：10億賬戶數據被盜。2016年12月16日．《中國日報》http://www.chinadaily.com.cn/ interface/toutiaonew/1020961/2016-12-16/cd_27691825.htmlFBI、美國執法部門以及雅虎方面均對該次事件展開了調查，雅虎稱調查結果顯示用戶支付卡數據和銀行賬戶信息沒有被竊。②Mark Fahey, Nicholas Wells. Yahoo Data Breach is Among the Biggest in History. September 22, 2016. CNBC. http://www. cnbc.com/2016/09/22/yahoo-data-breach-is-among-the-biggest-in-history.html2016年12月14日，雅虎公司再次發表聲明，稱公司于2013年8月被黑客襲擊，大約10億賬號信息被泄露。據紐約時報報導，泄露信息已開始于暗網拍賣。③王逸君，全球最大信息泄露事件：雅虎超10億用戶信息遭竊．2016年12月16日．人民網． http://world.people.com.cn/ n1/2016/1216/c1002-28954943.html雅虎兩次大規模信息泄露事件對雅虎公司打擊巨大，除股價下跌，形象受損、用戶流失外，其與美國第一大移動運營商Verizon公司于7月底達成的48.3億美金的雅虎核心業務收購計劃也將受阻。④Seth Fiegerman. Yahoo Says 500 Million Accounts Stolen. September 23, 2016. CNN News. http://money.cnn. com/2016/09/22/technology/yahoo-data-breach/事發后Verizon在10月表示，公司將重新評估其與雅虎的收購交易。

8.全球著名的成人交友網站AdultFriendFinder遭遇互聯網史上最大泄露事件

全球著名成人主題短期約會交友網站AdultFriendFinder繼2015年5月份遭受網絡攻擊泄露400萬賬戶信息后，2016年11月再次遭遇網絡攻擊事件并直接導致3.4億個賬戶信息被泄露，這是互聯網史上涉及被盜賬戶最多的數據泄露事件。⑤Andrea Peterson. Adult FriendFinder Hit With One of the Biggest Data Breach Ever, Report Say. Nov.14, 2016. Washington Post. Available: https://www.washingtonpost.com/news/the-switch/wp/2016/11/14/adult-friendfinder-hit-with-one-of-thebiggest-data-breaches-ever-report-says/?utm_term=.5bffe52387e9泄露信息包括用戶的個人身份數據，比如郵箱地址、用戶名、郵編及出生日期以及可用于定位的IP地址等，還包括更為隱私的信息如性偏好等。從黑客泄露出的付費用戶賬戶信息以及用來注冊網址的電子郵件地址來看，其用戶群不乏美國聯邦或地方機構雇員，已確認的賬戶持有人中有些人使用的電子郵件地址是可被追溯到美國國土安全部、聯邦航空管理局、喬治亞州奧古斯塔地方政府、弗吉尼亞州政府和華盛頓特區警察局的電子郵件。其中一個賬戶持有人用了Navy.mil的電子郵件注冊，被黑的賬戶記錄顯示此人登錄約會網站的IP來自弗吉尼亞海灘的海軍網絡信息中心。⑥Waqas. Adult Dating Site Hack Reveals Sexual Secrets of Millions, Including Feds and Cops. May 23, 2015. Available:https:// www.hackread.com/adult-friend- finder-hacked/此外，在本次數據泄露事件里，受害用戶的損失無法通過修改信用卡或修改密碼來彌補，在刪除賬戶信息后，部分受害者仍然會收到大量垃圾郵件。⑦Data Breach of Adult Dating Site Exposes Victims to a Different Kind of Threat. Trend Micro. Available: http://www. trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/data-breach-of-adult-dating-site-exposes-victims-to-adifferent-kind-of-threat

9.舊金山市政交通局遭黑客軟件襲擊勒索

2016年11月28日，黑客利用惡意軟件入侵了舊金山市政交通局售票系統，于交通局內售票電腦留下“你們被黑了，所有數據均被加密”字樣，并以使售票機器正常工作為籌碼勒索交通局100比特幣（約7萬美金）。不過黑客并未得逞：市政交通局隨后允許舊金山市市民免費乘坐輕軌交通并于兩天后內恢復了售票系統。黑客隨后威脅稱，若交通局不對其脆弱的安保系統進行修理，其將泄露30G的交通局員工及顧客信息。⑧Robert Hackett. Hackers Threaten to Release 30 GB of Stolen Data From San Francisco's Municipal Railway. Nov. 29, 2016. Fortune. http://fortune.com/2016/11/28/muni-hack-san-francisco/舊金山市政交通局發言人稱，此次黑客入侵事件并未對交通運輸、安全系統及市民個人信息帶來任何威脅。①Thomas Fox-Brewster. Ransomware Crooks Demand $70,000 After Hacking San Francisco Transport System. Nov. 28, 2016. Forbes. http://www.forbes.com/sites/thomasbrewster/2016/11/28/san-francisco-muni-hacked-ransomware/#3facf5e154dd此黑客組織曾數次通過Cryptom27@yandex.com在網絡上進行勒索。

10.國家電網手機客戶端信息遭泄露

2016年12月13日，央視新聞、南方都市報、21世紀經濟報等媒體指出國家電網官方移動APP“掌上電力”及“電e寶”存在信息泄露問題，涉及用戶規模達上千萬，且部分泄露信息可能經由淘寶等平臺流入黑色產業鏈。②國家電網否認千萬APP用戶數據泄露．2016年12月14日．中國網．http://news.china.com/zh_cn/ tech/11184589/20161214/30078421.html“掌上電力”及“電e寶”是國家電網自2014年起推出的便民服務類移動端應用程序，注冊用戶至今已接近9000萬。用戶需使用手機或微信登陸注冊，并綁定家庭電表戶號、密碼等方可使用操作，綁定后可進行電費充值、故障報修、要求應急送電、查看停電通知等。自2016年5月國家各地區電力公司規模推廣此APP之后，淘寶網站出現數千家商鋪提供“掌上電力”注冊綁定服務，部分商鋪單日銷量達80萬筆。各地電力公司向淘寶商戶提供包括用戶省市、戶號、查詢密碼等數據，淘寶店鋪再轉手倒賣至黑產。③國家電網APP出現數據泄露 涉及用戶已超千萬．2016年12月13日．《觀察者》．http://www.guancha.cn/ economy/2016_12_13_384168.shtml事后國家電網在官微中聲明“經再次查證，在推廣‘掌上電力’、‘電e寶’APP過程中不存在泄漏大量客戶信息的情況。”并舉報淘寶上開辦此業務的商家。目前，淘寶的“掌上電力”、“電e寶”APP注冊服務等已無搜索結果。

二、主要國家和地區2016年網絡安全戰略性文件和立法盤點

網絡安全已成為各國國家安全的重要組成部分，自2015年以來各國政府對網絡安全頂層設計重視程度明顯提升，相繼發布網絡安全方面的戰略性文件或出臺相關立法。2016年全年共有包括美國、歐盟、中國、俄羅斯、英國等在內的13個主要國家和地區發布或更新網絡安全戰略性文件或重要立法（見表1），遍布美洲、歐洲、亞洲、大洋洲和非洲。總體上看，2016年各國在網絡空間的戰略上和政策上都有明顯升級調整，其中關鍵基礎設施保護、網絡信息／數據安全、公民個人信息隱私安全保護、打擊網絡犯罪均是各國網絡安全政策保障重點；此外，各國戰略性文件或立法對政府、公共和私營部門各方在網絡空間安全保障中的責任和義務都加以明確，以期更好地規制網絡空間安全。

（一）美國

2016年2月9日，美國總統奧巴馬宣布推出《美國國家網絡行動計劃》（Cybersecurity National Action Plan, 縮寫為NAP）。④Fact Sheet: Cybersecurity National Action Plan. Office of the Press Secretary, the White House. Available: https://www.whitehouse.gov/thepress-office/2016/02/09/fact-sheet-cybersecurity-national-action-plan這是本屆美國政府通過七年時間努力出臺的網絡安全方面具有重要意義的象征性文件，涵蓋一系列短期行動計劃和長期戰略目標，旨在全面提升聯邦政府、私營企業以及個人生活的網絡安全。《網絡安全國家行動計劃》主要吸納了奧巴馬政府當任七年來對于網絡安全趨勢、網絡威脅、網絡入侵等方面的經驗和教訓總結，從國家戰略層面進一步提高對網絡安全的關注和保護，保護隱私，保證公眾安全以及經濟和國家安全。其具體包括如下重要舉措：

1.建立了“國家網絡安全促進委員會”。該委員會將由來自政府外的頂級戰略、業務部門與技術智庫專家，包括兩黨國會領袖指定的成員組成。委員會就未來十年的行動提出建議，包括在加強公共和私營部門網絡空間安全的同時保護隱私，維護公共、經濟和國家安全；開發新的技術解決方案；加強聯邦、州和地方政府和私營部門在開發、推廣和使用的網絡空間安全技術、戰略和做法等方面的伙伴關系。

表1.2016年世界主要國家和地區網絡安全方面的戰略性文件和立法總覽

2.設立信息技術現代化基金。專門分配31億美元用于信息技術現代化基金建設，升級已過時或難維護的政府現有IT和網絡安全管理基礎設施。同時設立聯邦首席信息安全官（the Federal Chief Information Security Officer）。這是美國首次設立專職的高級政府職位，致力于制定、管理和協調整個聯邦政府范圍內的網絡安全戰略、政策和運行。

3.加強美國公民在線賬戶的保護，除密碼外，輔以指紋、短信發送一次性密碼等更多安全措施。通過“國家網絡安全聯盟”（the National Cyber Security Alliance）發起了新的國家網絡安全宣傳行動（National Cybersecurity Awareness Campaign），專注多重認證，以提升、培育信息消費者的網絡安全意識。“國家網絡安全聯盟”為非營利性組織，其成員包括美國國土安全部（DHS）以及賽門鐵克、思科、微軟、SAIC與EMC等私營企業。其呼吁并鼓勵使用多重驗證機制，同時實施一套尚未最終定名的“有效身份認證”方案。合作者包括Google、Facebook、DropBox、Microsoft等頂尖技術公司，以及MasterCard、Visa、PayPal和Venmo等交易服務公司。

4.聯邦政府繼續加大網絡安全資金投入。2017年網絡安全總體支出將超過190億美元，比2016年的預算分配增加了35%；其中，在網絡空間安全人員方面投資將超過6200萬美元。這主要用于：建立網絡安全預備役（Cyber Corps Reserve）計劃；開設網絡安全的核心課程；《國家網絡空間安全學術卓越中心計劃》（National Centers for Academic Excellence in Cybersecurity Program）等。

（二）歐盟

2016年7月6日，歐洲議會全體會議正式通過了《網絡與信息安全指令》（Directive on Security of Network and Information Systems, NIS Directive），①Fact Sheet: Directive on Security of Network and Information Systems, European Commission. Available: http://europa.eu/rapid/pressrelease_MEMO-16-2422_en.htm這是歐盟出臺的第一個歐盟層面關于網絡與信息安全的指導性法規，在歐盟網絡安全戰略與實踐中具有里程碑式意義（NIS指令當月即時生效，之后成員國須于21個月之內將其轉化為國內法）。NIS指令明確了歐盟關于網絡安全的頂層制度設計，確立網絡安全國家戰略，強調合作與多方參與，確立網絡安全事故通知與信息分享機制，對數字服務提供者采取輕監管思路，避免過度監管對互聯網行業發展產生不利影響。其核心目的是通過三個層面在歐盟范圍內實現統一的、高水平的網絡與信息系統安全：

1.在成員國層面提升各國網絡空間安全保障能力。指令規定了成員國層面的義務：第一，各成員國需要制定國家層面的網絡與信息安全戰略，明確網絡安全領域的戰略目標以及相應的政策措施，以指導具體操作。第二，各成員國必須設立或指定（一個或多個）國內職能機構，在國家層面負責監管、執行指令各項要求。第三，建立網絡和信息系統安全領域的“單點聯絡機構”（single point of contact），負責在成員國主管機構、其他成員國相關機構間和指令創建的合作機制的聯絡與協作。第四，組建計算機安全事件響應工作組（Computer Security Incident Response Teams，CSIRTs）。

2.在歐盟層面增進成員國間的協同合作。指令規定成立一個“協同工作組”（Cooperation Group）以支持和促進成員國間的戰略合作與情報交換，提升各方的信任水平。此外，指令還要求建立“計算機安全事件響應工作組網絡”（CSIRTs Network），將有各國CSITR代表和歐盟機構計算機緊急事件響應工作組（the Computer Emergency Response Team for the EU institutions, agencies, bodies, CERT-EU）組成，從而在操作層面確保各成員國在處理網絡安全事件與風險情報共享環節迅速、有效的協作，提升網絡安全事件的快速響應及處置能力。

3.在企業層面規定“關鍵服務經營者”和“數字服務提供商”兩類主體有風險管理和事故報告的義務。首先，指令認為“關鍵服務經營者”（operator of essential services）在經濟社會中占據重要地位，根據指令規定了關鍵服務經營者的三項義務：第一，應當采取適當的技術和組織措施管理網絡安全風險，這些措施應當確保一定程度的網絡安全；第二，應當采取恰當的措施防止、削弱網絡安全事件的影響；第三，應當將具有重大影響的網絡安全事件通知主管機構。其次，對于“數字服務提供商”（digital service provider），即在線市場提供商、云計算服務提供商以及搜索引擎提供商等，指令同樣要求其三項義務：第一，數字服務提供者應當采取適當的技術和組織措施管理網絡安全風險，所采取的措施應當確保一定程度的網絡安全；第二，應當采取措施防止、削弱網絡安全事故的影響；第三，應當將具有實質影響的網絡安全事故通知主管機構。

（三）中國

2016年11月7日十二屆全國人大常委會第二十四次會議審議并通過了《網絡安全法》，該法將于2017年6月1日起施行。①《中華人民共和國網絡安全法》，載《全國人民代表大會網》2016年11月7日。《網絡安全法》作為中國國家實施網絡空間管轄的第一部法律，其出臺從根本上填補了我國綜合性網絡信息安全基本法、核心的網絡信息安全法和專門法律的空白，②高紅靜：“探討《網絡安全法》出臺的重大意義”，載《環球網》2016年11月8日。使得中國在信息化時代的網絡安全方面將有法可依。《網絡安全法》共有7章79條，全面和系統地確立了各個主體包括國家有關主管部門、網絡運營者、網絡使用者在網絡安全保護方面的義務和責任。另外，它確立了保障網絡的設備設施安全、網絡運行安全、網絡數據安全、以及網絡信息安全等各方面的基本制度。內容上有六方面亮點：③《網絡安全法》正式出臺：明確網絡空間主權，載《人民網》2016年11月7日。

1.明確了網絡空間主權的原則。比如，《網絡安全法》第一條“立法目的”明確規定要維護我國網絡空間主權。第二條明確規定本法適用于我國境內網絡以及網絡安全的監督管理。這是我國網絡空間主權對內最高管轄權的具體體現。

2.明確了網絡產品和服務提供者的安全義務。

3.明確了網絡運營者的安全義務。比如第三章第二十一條和第二十五條明確規定了網絡運營者的有保障網絡免收干擾、破壞或者未經授權的訪問，制定應急預案和在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告等義務。

4.進一步完善了個人信息保護規則。《網絡安全法》第四章專門闡述了用戶信息保護要求，明確了個人信息的收集、使用、保存和刪除等方面的義務，要求網絡運營者建立健全的用戶信息保護制度。

5.建立了關鍵信息基礎設施安全保護制度。比如國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。并且強調關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定等。

6.確立了關鍵信息基礎設施重要數據跨境傳輸的規則。《網絡安全法》第三十七條明確規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要業務數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”

（四）俄羅斯

2016年12月6日，俄羅斯總統普京簽署法令批準了新版《俄羅斯聯邦信息安全學說》（Informational Security Doctrine of the Russian Federation），④Указ Президента Российской Федерации от 05.12.2016 № 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" . http://publication.pravo.gov.ru/Document/View/0001201612060002?index=0&rangeSize=1上一版信息安全學說是在2000年9月發布的。該《信息安全學說》的出臺旨在確保俄羅斯在信息領域的國家安全，并從戰略層面防止和遏制與信息科技相關的軍事沖突。《信息安全學說》全文包括五章34條，該《學說》雖極少涉及具體步驟，但確定了新政策的總體目標，包括擴大軍隊的外宣力度及加強對俄羅斯互聯網的管控。⑤俄羅斯頒布新《信息安全條例》，載《透視俄羅斯》2016年12月19日。http://tsrus.cn/kuaixun/2016/12/19/655941具體要點包括：

1.總則：《信息安全學說》體現出在信息領域保障俄羅斯聯邦國家安全的官方的，帶有系統性特點的觀點。《信息安全學說》是在保障俄羅斯聯邦的國家安全領域的戰略規劃文件，其中對俄羅斯聯邦國家安全戰略的條款和這一領域的其它戰略規劃文件進行了發展。

2.信息安全領域的國家利益：具體包括“遵守憲法和公民對信息獲取和使用的自由，個人生活不可侵犯”，“發展俄聯邦信息技術行業”，“確保在和平時期、受直接侵略威脅和戰爭時期，俄信息基礎設施都能夠不間斷穩定發展并發揮作用”，“俄羅斯及國際輿論可知曉有關國家政策的真實信息”，以及“向世界推廣俄羅斯人民的精神和文化價值觀”。

3.俄羅斯在信息安全方面存有諸多威脅。比如：外國正在增強信息通信技術領域的潛力，其中包括打擊俄聯邦關鍵信息基礎設施（電網、交通控制系統等）和針對俄羅斯國家機關、科研機構和國防企業的技術間諜活動；在涉及經濟方面的信息安全領域存在很多不足，如俄國內工業在電子元件、軟件支持等領域很大程度上仍依賴外國信息科技機構；一些國外媒體的報道對俄國家政策片面或偏頗報道；同時外國情報機構正試圖對俄青年施加影響，以改變他們的傳統道德價值觀等。

4.保障信息安全的戰略目標和主要方向：《信息安全學說》分別從國防領域，社會安全領域，經濟領域，科學、技術和教育領域，戰略穩定和平等伙伴關系領域5個領域明確了俄羅斯保障信息安全的戰略目的，并指出其具體方向。

5.保障信息安全的組織基礎：《信息安全學說》強調信息安全保障系統是俄羅斯聯邦國家安全保障系統的組成部分。以綜合立法、執法、權益保護、司法、監督和國家機關其它類型的活動為基礎，在同地方自治機關、組織和公民配合的情況下實現保障信息安全的目的。信息安全保障系統的內容由俄羅斯聯邦總統確認；信息安全保障系統的的組織基礎由以下部分構成：俄羅斯聯邦聯邦會議聯邦委員會（上院）、俄羅斯聯邦聯邦會議國家杜馬（下院）、俄羅斯聯邦政府、俄羅斯聯邦安全委員會、聯邦權力機構、俄羅斯聯邦中央銀行、俄羅斯聯邦軍事工業委員會、由俄羅斯聯邦總統和俄羅斯聯邦政府建立的跨部門機構、俄羅斯聯邦主體權力機構、地方自治機構、及根據俄羅斯聯邦法律規定參加到保障信息安全任務中的司法機構。與此同時，《信息安全學說》還明確了國家機構在保障信息安全方面的原則和任務。

（五）英國

2016年11月1日，英國政府啟動新一輪的“國家網絡安全戰略2016－2021”，①National Cyber Security Strategy 2016-2021. UK Government. https://www.gov.uk/government/uploads/system/uploads/attachment_data/ file/567242/national_cyber_security_strategy_2016.pdf主要明確應該網絡安全戰略的三個目標：（1）防御（defend），包括實施積極的網絡防御政策，有效應對突發事件；確保政府部門、關鍵國家基礎設施和其他核心部門的網絡安全；提升公民、企業和公共部門網絡安全意識和危機管理能力。（2）震懾（deter），包括追捕和起訴罪犯，打擊網絡犯罪；適時反擊敵對行動；應對網絡恐怖；提升進攻性網絡能力和加密技術。（3）發展（develop），包括建立由世界領先的科學研究和發展支撐的網絡安全技術產業；大力發展網絡安全專業機構；建立世界級的信息保障和網絡專業人才渠道，提供滿足我們在公共和私營部門的國家需求的技能；利用前沿分析和專業知識使英國能夠克服未來的威脅和挑戰。基于上述目標，英國政府將采取以下行動：

1.采取“國際行動”，通過投資那些可以讓全球網絡空間的發展朝著有利于英國經濟和安全利益的方向發展的伙伴關系來發揮英國影響力。不斷擴大與國際伙伴的合作，推動共同安全；與新合作伙伴建立關系，以保護英國在海外的利益。同時通過包括歐盟、北約和聯合國在內的多邊治理機制，促進雙邊和多邊合作，加強網絡安全。

2.加大干預力度，利用市場力量提高英國的網絡安全標準。英國政府將與蘇格蘭、威爾士和北愛爾蘭的行政管理部門合作，與私營和公共部門合作，確保個人、企業和組織采用措施保持自身的網絡安全。不斷加強關鍵國家基礎設施的網絡安全，推動網絡安全領域的改進，使其符合英國的國家利益。

3.借助工業界的力量，開發和應用積極的網絡防御措施，以提高英國的網絡安全水平。這些措施包括最大程度減少最常見的網絡釣魚攻擊，過濾已知的不良IP地址，并主動遏制惡意網絡安全活動，提高英國對最常見的網絡威脅的抵御能力。

4.啟動國家網絡安全中心（National Cyber Security Center,NCSC），使其成為英國網絡安全環境的權威機構。該機構將致力于分享網絡安全知識，修補系統性漏洞，為英國網絡安全關鍵問題提供指導。

5.確保武裝部隊具有網絡彈性以及強大的網絡防御能力，從而能夠捍衛其網絡和平臺的安全，并能夠協助應對重大的國家網絡攻擊。

6.確保能夠采用與我們響應任何其他攻擊相同的手段應對網絡攻擊，使用最適當的能力，包括進攻性網絡能力。

7.利用英國政府的權威性和影響力，投資包括從學院到大學和整個社會的人才發展計劃，解決英國網絡安全技術短缺的問題。

8.成立兩個新的網絡創新中心，來推動尖端網絡產品和網絡安全公司的發展。撥款1.65億英鎊設立國防和網絡創新基金（Defense and Cyber Innovation Fund），以支持國防和安全領域的創新采購。

9.巨額資金支持。英國將在2016—2021年期間投資約19億英鎊（約合23億美元）用于加強網絡安全和能力。

（六）澳大利亞

2016年4月21日，澳大利亞政府頒布了《澳大利亞網絡安全戰略》（Australia's Cyber Security Strategy），①"Australia's Cyber Security Strategy: Enabling growth, innovation and prosperity", Australian Government. Available: https:// cybersecuritystrategy.dpmc.gov.au/assets/img/PMC-Cyber-Strategy.pdf旨在通過強有力的網絡安全確保國家的創新、增長和繁榮。這一戰略符合澳大利亞政府更廣泛的國家創新和科學議程（National Innovation and Science Agenda），有助于為澳大利亞締造一個現代的、有活力的二十一世紀經濟體系。《澳大利亞網絡安全戰略》為澳大利亞未來4年（至2020年）確立了針對網絡安全行動的5個主題，即全國性的網絡合作、穩固的網絡防御能力、全球性責任及影響、發展與創新、網絡智能國家，以及明確了政府即將采取的行動計劃：

1.全國性網絡合作

澳大利亞政府將主辦年度網絡安全領導人會議，總理和商業領導人制定了戰略性網絡安全議程，并推動該戰略的實施；簡化其網絡安全治理和結構，以改善私營部門和公共部門之間的互動，并將遷移澳大利亞網絡安全中心，以實現其增長，并使政府和私營部門能夠更有效地合作；與私營部門和學術界合作，更好地了解惡意網絡活動對澳大利亞經濟的成本。

2.穩固的網絡防御能力

為了實現此目標，政府將建立一種分層方法，通過聯合網絡威脅共享中心（最初設點在首都堪培拉）共享實時公共—私人網絡威脅信息和在線網絡威脅共享門戶；與私營部門共同設計國家自愿網絡安全指南；更新澳大利亞信號局發布的“緩解目標網絡入侵的戰略”；引入積極的網絡安全治理“健康檢查”，使董事會和高級管理層能夠更好地了解他們的網絡安全狀況；支持小企業對其網絡安全性進行測試；提高澳大利亞網絡安全中心應對網絡安全威脅和網絡犯罪的能力；更新和調整網絡事件管理安排與國際合作伙伴，并與私營部門共同應對惡意網絡活動；支持政府機構改善其網絡安全，包括指導政府機構管理ICT設備和服務的供應鏈安全風險。

3.全球性責任及影響

具體措施有任命澳大利亞第一個網絡大使；發布國際網絡參與戰略；倡導開放、自由和安全的互聯網，使所有國家在網上創造增長和機會；展開國際合作關閉安全港和防止惡意網絡活動，特別是印度洋—太平洋地區的活動；在印度洋—地區以及其他區域通過公私伙伴關系建立網絡能力。

4.發展與創新

與私營部門建立網絡安全增長中心，以協調國家網絡安全創新網絡，開拓先進的網絡安全研究和創新；促進澳大利亞網絡安全產品和服務的發展和出口，特別是印度洋－太平洋地區；與企業和研究機構合作，更好地將網絡安全研究和開發目標瞄準澳大利亞的網絡安全挑戰。

5.網絡智能國家

通過澳大利亞各級教育系統中的有針對性的行動，從大學網絡安全卓越的學術中心開始，并通過增加這種勞動力的多樣性，解決網絡安全專業人員在勞動力方面的短缺；與私營部門和國際合作伙伴合作，提高對社區網絡安全重要性的認識。

（七）巴西

經過五年多的公開磋商討論，2016年5月13日巴西國會通過第5276／2016號《個人數據保護法案》（Personal Data Protection Bill）的最終草案。該法案包括此前草案是由司法部國家消費者保護局（SENACON）與司法部法律事務廳（Office of Legal Affairs）聯合編寫的。①Fábio Pereira, Veirano Advogados. "Privacy and data protection: recent developments in Brazil", International Bar Association. January 19th, 2016. Available: http://www.ibanet.org/Article/Detail.aspx?ArticleUid=5f5aab45-7e98-4ced-a1ec-d1a59c7d6b32主要目的是確保公民在使用和處理其個人信息方面的基本權利，從而能夠更好地控制收集這些信息，無論這些信息是在國家領土還是在國外的服務器。該法案確立了諸多數據保護原則，旨在在巴西創建一個全面的數據保護框架：

1.最終性原則，根據該原則，數據使用應當以合法目的，具體地、明確地告知數據所有者；

2.充分性原則，根據數據使用情況，使用應符合數據所有者的期望目的和合理期望；

3.必要性原則，其中規定數據使用應限于實現其目標、目的所需的最低限度，包括適當，相稱和不過分的數據；

4.自由獲取原則，數據的所有者應確保數據的自由、便利地獲得和其個人數據的完整性；

5.數據質量原則，必須根據滿足其使用目的所需的頻率，確保數據的準確，清晰和更新（即數據處理的持續時間必須納入考慮）；

6.透明度原則，必須向數據所有者保證有關完成數據使用的明確和充分的信息。

此外，根據第38和39條，在《數據保護法案》架構下還專門成立了國家數據保護和隱私委員會（National Council for Data Protection and Privacy），負責實施和監督立法。其結構和屬性在具體立法和各種權限中加以確定，以確保執行立法規定，還用于評估國家數據保護政策的某些方面或調查可能的侵權行為，包括執行行政制裁，促進數據保護意識，要求控制者進行隱私影響評估。

（責任編輯：鐘宇歡）

Review of the Situation of Global Cybersecurity 2016

SHEN Yi YANG Yang

In 2016, the situation of global cybersecurity has become more complicated. More and more important cybersecurity issues which could be categorized as the threat toward national security happened frequently. How to ensure the security and safety of the critical infrastructure, how to effectively manage the national security related data resources, and how to protect the cybersecurity in the critical domestic political process, has become the key test of the national cybersecurity capacity. The major state actors, in 2016, have taken quick actions to counter the cyber threat via producing new strategic files, designing new institutions and regimes, and making speci fied policies. Of course, at the same time all these measures promote the further sovereignty and security of the global cyberspace.

Cybersecurity; Sovereignty; Securitization

G20

A