邱实 牟承晋:网络化数据安全的根本性变化——来自西工大的警示
数据安全,更为准确地说,是“网络化”(Networked)的数据安全,已成为当前国际间竞争和斗争的焦点。数据,不仅被作为国家的核心资产和资源,而且被作为政治化和武器化的标的。
中国政府相关部门最近宣布,西北工业大学遭受美国国家安全局(NSA)的持续网络攻击,导致大量敏感数据遭窃。这起事件是对数据安全保护的又一次深刻警示,亟应举一反三地从中汲取经验和教训,果断采取必要和有效措施,加固国家关键信息基础设施(和数据安全)的底座。
鉴于,网络入侵和攻击、数据遭窃或失窃,乃至极端情况下被断网或断服的潜在风险,都具有相应的范围和边界(尽管有时是动态的),其中包括:起点(战术)、路径(技术)和步骤(过程);因此,有必要探究和搞清楚三个基本且相互关联的问题:
1)国家安全与公共安全(起点);
2)网络的基本特征(路径);
3)管辖权与控制权(步骤)。
一、国家安全与公共安全
从数据安全的角度,国家安全(National Security)与公共安全(Public Safety),既具有不同的术语界定,也具有不同的内涵与外延。
一方面,国家必须以立法的形式,规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
另一方面,由于数据安全在事实上动态地被泛化,使得区域的不同环境、立法的统一解释、执法的力度效能都存在不同程度的困难,或滞后于现实的变化和需求。
因此,美国和欧洲等国家存在行政命令和立法执法并行与互补的机制,并明确国家安全与公共安全的差异与重点。
例如,美国法典第44卷第3542章定义了美国的“国家安全体系”(简称“NSS”),即:是由美国政府机构或机构的承包商或代表机构,所使用或运营的任何信息系统(包括任何电信系统)。1990年7月5日,布什总统签署第42号“国家安全指令”(NSD-42),指定由美国国家安全局(NSA)作为该“国家安全体系”的主管(或称为“国家安全经理”,National Security Manager)。至今,NSA所行使的职责,“旨在预防和消除网信安全威胁,以挫败外国对手并保护重要网络”,是“法定”赋予其在网信安全领域的定位和职能。
拜登上台伊始,于2021年3月3日发布了“国家安全战略临时指南”,把“网信安全(Cybersecurity)作为重中之重(Top Priority)”;不久,又于2021年5月12日签发总统行政令(EO14028 ),再次明确NSA的职能和作用是“加强国家的网信安全”。
此外,国家网信安全及基础设施安全局(CISA ,隶属于国土安全部),主要负责政府部门以及承包商的网信安全监督与协调;联邦调查局(FBI,隶属于司法部),主要负责网信安全调查与执法;而国家安全委员会的副顾问安妮 纽伯格(Anne Neuberger)和国家网信安全总监克里斯 英格利斯(Chris Inglis),都是来自于NSA。
由此可见,美国国家安全暨网信安全(Cybersecurity)是 差异化管控体制,实际上处于“军管”机制。至少,NSA目前仍隶属于美国国防部,陆军上将保罗 中曾根在NSA(和美军网战司令部)的任职被延长了一年(至2023年5月)。
7 月 20 日,美国众议院能源和商务委员会以53:2 的投票结果,将新的“美国数据隐私和保护法案”(H.R. 8152,简称“ADPPA”)提交众议院审议。ADPPA 试图创建一个全面的消费者隐私保护框架。该法案在两个问题上做出妥协:包容州立的数据隐私法以及允许个人对数据隐私的诉讼权。
虽然该法案能否通过参议院的审议还有待观察,但是该法案的一些关键方面值得关注:
●涵盖的实体。该法案将适用于大多数实体,包括非营利组织和公共运营商。一些实体(包括政府实体和其他服务提供商)使用数据,将面临不同或额外的要求。
●涵盖的数据。该法案将适用于“标识或被链接或合理链接”到个人的信息。
●忠实的义务。该法案将禁止相关实体收集、使用或传输超出个人请求提供的服务数据,为敏感数据的涵盖类型制定特殊保护,这些数据被定义为十六种不同的数据类别;该法案将要求涵盖的实体在将其涵盖的数据传输给第三方之前,须获得消费者的肯定或明确同意,除非适用特定例外。
●透明度(Transparency)。该法案将要求相关实体披露他们收集的数据类型、使用这些数据的目的、保留数据的时间,以及数据是否会让中国、俄罗斯、伊朗、朝鲜访问。
●第三方数据收集实体。该法案将为第三方数据收集实 体设定特定义务,这些实体不直接从消费者那里收集数据(例如数据托管代理人),但这些实体必须遵守联邦贸易委员会(FTC)的审计规定。
●数据安全。该法案将要求受管辖的实体根据实体的规模和活动,采用合理的数据安全方法和程序,并将授权FTC 对数据安全要求的法规发布详细说明。
目前ADPPA得到了美国国会中两党的支持,电子隐私信息中心、民主与技术中心和一些主流媒体等各种利益集团都对该法案表示了热情。48个不同的公共利益团体在8月25日致函众议院议长南希 佩洛西,敦促国会通过ADPPA ,称该法案是“有意义的妥协”, 如果不采取行动可能会“阻碍这方面的进展”,成为“未来几年的问题。”
但是,一些人还对ADPPA的某些条款表示担忧。加利福尼亚州等十个州的总检察长联名致函国会,批评ADPPA为数据隐私权设置“上限”而不是“下限”。这些州的总检察长们认为,应该允许各州通过自己的数据隐私法,以便他们可以“立法响应”技术和现实的变化。
欧盟在数据安全和隐私保护的立法和执法,似乎也面临着类似异议的尴尬。
2018年5月25日,欧盟“通用数据保护条例”(简称“GDPR”)生效,欧盟委员会为此发出公告:“别了,数据滥用。今天,我们欧盟数据保护规则开始实施,使得欧洲人重新控制自己的数据。欧洲主张其数据主权,并为数字化时代做好准备。”
然而,时至今日,欧洲所主张的“数据主权”仍在蹒跚之中。例如,对“DNS 4 EU”(欧洲的DNS)专项招标(2022年1月),IBM(QUAD9 DNS)公开声明不参与,以示“抗议”。
显见,即使在标榜“法治”的西方国家中,对于数据安全和数据主权也是“有差别”的处理,即涉及国家安全采取强制性措施,而对于公共安全则需要听证与辩论、协调与统筹。
毕竟,公共利益必须服从于国家利益,清晰地界定数据安全(网信安全)的起点与定位、措施与实施,至关重要。
二、网络的基本特征
网络(Network)是一个广义的概念,是由点和线的集合所形成的拓扑结构;其中,“线”可以是两个点之间的连接或关联关系。例如,生物网络、神经网络、生态网络、社交网络、供应链网络,互联网络(Internet)等,不一而足。
尽管在所有这些不同的领域中,仅仅具备了“网络”组件的详细知识,都不足以描述整个系统;但是,目前的研究已经证明:自然界中的各种网络都遵循一个共同的发展模式,即具有无标度(Scale-free)的特征。
一般而言,“无标度”网络具有显著的异质异构性,其中各节点之间的连接状况(度数)具有明显的非均匀分布性:网络中少数称之为“中心”的节点拥有极大量的连接,而大多数节点只有很少量的连接。少数“中心点”(Hub)对无标度网络的运行起着主导的作用。这就是说,无标度网络的特性是描述大量网络互联互通所构成的复杂系统,在整体上严重非均匀分布的一种内在的动态性质(图 1)。
【图 1全球互联网络的“无标度”连接特性示意】
备注-1:在图 1 中,“点”表示自治系统,“线”表示自治系统之间的连接;因此,全球互联网络又被称为“由多个网络所组成的网络”(Network of Networks)。
自治系统(AS)可以是一个局域网络或区域网络,全球 的互联网络可以认为是由数以万计的自治系统所动态组成(目前注册的自治系统数量为:111,314 个),而互联网络的路由路径是自治系统之间的连接所组成。
从自治系统的定位和功能,全球互联网络可以被简化地分为三个层次(金字塔状,图 2 ):
【图 2互联网络中自治系统的功能简化层次】
其中,“转发”自治系统是全球互联网络的“中心”节点,向“中继”自治系统提供服务并收费(与“对等”自治系统互不收费);“中继”自治系统向“末端”自治系统提供服务并收费(与“对等”自治系统互不收费);“末端”自治系统,一般是本地的局域或区域网络,必须通过“中继”自治系统接入互联网络。
备注2:“对等”(Peer)是一种网络运营模式,即两个自治系统(属主)经协商后互不收取互连接的服务费用,或是以其它方式予以补偿。
目前,全球互联网的部分“中心”节点如下:
其中,“收费”自治系统数量,表示连接并通过“中心”节点转发数据的分布在全球的自治系统数量(且是动态变化)。
根据 2021年2月发布的《第47次中国互联网络发展状况统计报告》,截至2020年12月,中国互联网的国际出口带宽数为 11.5Tbps(图3):
【图3中国互联网主要骨干网络的国际出口带宽数】
其中,具有国际出口带宽的主要自治系统包括:
备注-3:西北工业大学所属的自治系统(AS24353)是中国教育和科研计算机网(CERNET)的一个末端节点,仅与CERNET骨干网自治系统(AS4538)相连接。
已知:
●中国教育和科研计算机网(和中国科技网)的“产品优势之一”是:拥有独立、高速的国际互联网出口带宽。
●中国教育和科研计算机网(和中国科技网)所连接的境外自治系统具有“无标度”连接特性,即数据传输的“路径”存在不确定性, 网络攻击的“跳板”具有动态性和欺骗性。
●中国教育和科研计算机网(和中国科技网)的邮件系统被托管在Coremail,且Coremail 具有“海外镜像加速”的优势。
●“海外镜像加速”,仅仅是内容分发网络(CDN)和内容被托管在境外的市场推销术语。
●基于域名系统(DNS)和“任播”(Anycast)技术的CDN,使得对网络攻击的溯源被模糊化和复杂化。
●不论是对系统的入侵和攻击,还是窃取敏感数据,都需要通过网络路径。虽然中国教育和科研计算机网的国际出口带宽仅153.6 Gbps ,但是,如果传输140 GB(字节)数据量,却只需约 7 秒钟。
此外,中国教育和科研计算机网(和中国科技网)也具有“无标度”特性;因此,遭受攻击的事件不会是孤立的、突发的、偶然的。
三、管辖权与控制权
显而易见的是,没有控制权,管辖权就是形同虚设。
据7月14日的媒体报道,华尔街一些最大的银行正在与美国证券交易委员会(SEC)和商品期货交易委员会(CFTC)进行谈判,以和解并支付巨额罚款,预计十家银行将分别支付约2亿美元,总计20亿美元。这些银行犯了什么法?只是由于他们的员工使用加密的个人短消息应用程序,如WhatsApp。
根据 SEC 和 CFTC 的规定,金融经纪公司应该保存和监控其员工的书面通信,并制作成书面记录,以供监管机构检查金融经纪公司对投资者保护法规的遵守情况。由于WhatsApp 和 Signal 等信息服务App已被加密,监管机构无法看到这些被发送的短消息。而且,这些短消息还可以配置在一定时间或阅读后自动删除的功能。个人隐私加密短消息应用程序的兴起和普及流行,使员工远离办公室并依赖个人设备,随之扩大了对法规的偏离和监管的缺失。
美国银行政策研究所(BPI)反对“端到端加密”(E2EE),其理由是,银行监管机构和行业需要能够监视和记录相关的通信。
根据美国金融行业一位律师的说法,银行担心,“当他们真正地顺应当今许多业务的处理方式而不同于传统模式时,”该如何遵守监管规则;或随着网络技术和业务发展,监管当何去何从!
据称,“中国高校前100 强中60%采用Coremail邮件系统”,“中科院下辖单位提供用户信息和 DNS 设置情况,根据各单 位的用户数据进行导入(Coremail邮件系统)”。那么:
●中国教育和科研计算机网(中国科技网)对其邮件系统有控制权吗?
● Coremail 对被在“海外镜像加速”的邮件有控制权吗?
●谁对被托管在境外的这些邮件系统有控制权?
事实上,管辖权与控制权是两个不同的维度,可以组合为 4 种可能的状态(图 4):
【图4 数据的安全与主权的之基本环境的四个象限及其状态】
如同传染病毒的宿主,“假阴性”(False-negative)的危害性最大。表面上对数据安全和网络安全拥有管辖权,但实际控制权已(自觉或不自觉地)被拱手相让(被第X方操控)。
确保以及监督拥有管辖权和控制权(即“阴性”)的环境,是维护数据安全与主权不可或缺的必要条件。反之不难设想, 周而复始的“前门拒虎、后门进狼”,却可能“不知其所以然”。
【图5数据安全的“短板效应”】
综上,网络化的数据安全已发生了质和量的根本性变化。“同一个世界,同一个互联网”是曾经不切实际的幻想,或成为混淆当下竞争原则和误导严峻斗争立场的人为制造的“迷雾”。
换个角度关联思考,不论是美国实施的“清洁网络”计划,还是“未来互联网宣言”,以及可能出台的“美国数据隐私和保护法”,都是围绕着同一个目标:数据是地缘政治力量和竞争的来源,被视为经济安全和国家安全的核心;同时亦主张:全球互联网时代已经结束(The era of the global internet is over)。
还需要指出的是,网络化数据的安全问题,在本质上是 由于大数据的交换和流通,进而对数据的存储和处理、开发 及利用,产生了不同的跨域需求以及关联的跨界利益。换言之,任何关键信息基础设施的运营者,面对业务和技术的快速发展,都不再可能“面面俱到”、“应有尽有”,而第三方(第X方 … )的托管代管成为普遍的商业模式,或形成潜在的供应链。
故此,在统筹安全与发展中行稳致远,维护国家的数据安全,是一项长期与常态、艰巨与细致的工作,其关键的基础性和系统性举措必须包括(但不限于):
●【界定】国家安全与公共安全(战术);
●【澄清】网络的基本特征(技术);
●【治理】管辖权与控制权(过程)。
建议:对于在数据安全中潜在的“假阴性”状况,借鉴并采取必要和必须的“熔断机制”。