二、网络安全的定义和内涵
关于网络安全,目前学界和各个国家也缺乏一个统一的、普遍认可的定义。学界和实践中,经常将网络安全与信息安全混淆使用,实际上,两者存在着区别。国际电信联盟(ITU)在其发布的《网络安全国家战略指南》(ITU National Cybersecurity Strategy Guide)中,将网络安全定义为信息安全的一个分支(ITU,2011:5),并对网络安全和信息安全进行了区分:
两个概念皆旨在获得和维持保密性、完整性和可用性三个安全属性,但是互联网的全球可达性使网络安全具有独特性。首先,信息安全始于大部分系统皆独立的时期,因此很少跨越司法管辖区,网络安全则在法不确定的法律环境中应对全球威胁。因此,在互联网时代,为信息安全制定的法律严重不足。其次,网络安全必须与互联网架构抗争,这使得几乎不能将某次攻击归因于某个人。最后,由于起源于军事和外交服务,信息安全通常侧重于机密性。尽管维基解密凸显了机密性的重要,网络安全则更多地关注完整性和可用性。因此,网络安全是具有管辖权不确定性且需考量归因问题的信息安全(ITU,2011:13)。
国际电信联盟,作为联合国的专门性机构,将“网络安全”定义为“一系列可用来保护网络环境以及各个组织和用户资产的工具、政策、安全概念、安全防卫指南、风险管理方法、行为、培训、最佳实践和技术”。(2) Schatz等人(2017) 采取词汇和语义分析的定量研究方法对28个网络安全定义的范围和语境进行了分析,并提供了一个更具代表性的网络安全定义,即“与各个组织和国家所采取的用以保护网络空间中数据和资产的机密性、完整性和可用性的安全风险管理程序相关的方法和行为。该概念包括一系列指导方针、政策和安全措施、技术、工具和培训,以为网络环境及其用户提供最佳保护”。
表1.2描述了各个国家网络安全战略文本对网络安全的定义。从表1.2可以看出,国际电信联盟对网络安全的定义已为各国广泛吸收和应用,各国皆将网络安全视为一系列措施和方法。
表1.2 网络安全定义
续表
此外,从表1.2可以看出,以下两方面在网络安全中的重要性尤为凸显:(1)网络空间中数据和资产的“机密性、完整性和可用性”,如阿富汗的“信息的机密性、完整性和可访问性”和克罗地亚的“网络空间信息和系统的机密性、完整性和可用性”;(2)网络空间系统的恢复力或复原力,例如,阿富汗的“将系统恢复到网络安全事件之前的原始状态”、捷克的“受保护且具有复原力的网络空间”、荷兰的“在发生损害时予以恢复的整体措施”和奥地利的“恢复各利益相关者、基础设施和服务的行动性性能和功能性性能”等。
有学者曾指出,某些网络空间相关术语无须进行明确界定,如网络犯罪和网络安全等。正如Kosseff(2018)指出,核心概念的缺乏可能会造成更大的问题,尤其是当政策制定者在提及网络安全时,他们可能讨论的不是同一个概念。某些时候,为了对网络安全的保护对象进行更全面、广泛的规制,网络安全相关术语存在定义故意缺失的现象(Cheng et al.2019:294)。因此,是否需要对网络空间相关术语进行明确界定取决于语境的需要。例如,美国报告指出,一方面,如果定义网络犯罪是为了调查和起诉伞状术语“网络犯罪”下的任何犯罪,则定义网络犯罪可能不太重要,而更重要的是明确定义哪些特定活动构成犯罪——无论是现实世界的犯罪还是网络空间的犯罪;另一方面,区分网络犯罪和其他恶意活动可有助于制定打击范围不断扩大的网络威胁的具体政策。如果政府机构和私营部门企业围绕打击网络犯罪制定战略和任务,则可能有必要向可能参与实施这些战略的个体传达明确的网络犯罪定义。此外,如果需要评估网络安全的程度或影响,或者打击网络犯罪分子的措施,可能需要对网络犯罪进行定义。
同理,如果需要评估网络安全的程度或影响,则首先须对网络安全进行定义。例如,在对网络安全进行定义的基础上,ITU发布了全球网络安全指数(Global Cybersecurity Index,简称GCI),旨在衡量成员国对网络安全的承诺,以提高人们对网络安全的认识。GCI 围绕国际电信联盟全球网络安全议程(GCA)及其五大核心指标(法律、技术、组织、能力建设和合作)展开,考察各成员国在网络安全方面所做出的努力和贡献,每一项核心指标都有对应的问题以衡量得分。通过与专家组的协商确定问题的权重,得出 GCI 总分。目前ITU已经发布了三个报告版本,分别为《2014年全球网络安全指数》、《2017年全球网络安全指数》和《2018年全球网络安全指数》。根据ITU官网(3) ,《2020年全球网络安全指数》于2021年6月发布。
上述五大核心指标及其子指标包括:(1)法律:基于处理网络安全和网络犯罪的法律机构和框架进行评价,子指标包括网络犯罪立法、网络安全条例和网络安全培训。(2)技术:基于网络安全技术机构进行评价,子指标包括国家计算机安全应急响应组、政府计算机事件响应小组、板块计算机安全事件响应小组、组织标准、专业人员标准与认证以及线上儿童保护。(3)组织:基于在国家层面建立的发展网络安全的政策协调机关和战略进行评价,子指标包括战略、负责机构和网络安全评价标准。(4)能力建设:基于研究发展以及教育培训项目;是否有具有资格的专业人士和公共机构促进能力建设进行评价,子指标包括标准化组织、良好的实践做法、研发项目、公众认识活动、职业培训课程、国家教育项目和课程设置、激励机制和本土网络安全产业。(5)合作:基于合作伙伴、框架和信息共享网络进行评价,子指标包括国内合作、多边协议、国际活动参与、公私合作和机构间合作(国际电信联盟,2017:72)。