俄罗斯的网络安全状况评析
许文鸿[1]
[内容提要]随着互联网的发展,网络安全日益成为各国重点关注的问题。当前俄罗斯既受到有关通过网络活动介入2016年美国大选的指控,同时本国的网络也不断受到攻击,甚至进行了相关的“断网”演习。网络安全成为俄罗斯互联网发展和政治生活中的一个不可回避的重要问题。近年来俄罗斯先后采取了一系列具体的措施来保障本国的网络安全发展。俄罗斯的有关网络安全的认识和某些保障措施值得我们借鉴。
[关键词] 俄罗斯 网络安全
从人类历史的发展角度来看,人类社会的工业文明已经经历了机械化、电气化、信息化为标志和动力的三个革命性阶段,目前,某些发达国家开始进入以数字技术、物理技术和生物技术相融合的第四次工业革命时代。信息化和数字化水平,成为第四次工业革命发展的关键因素。而互联网的发展是信息化和数字化的基础,网络安全则是信息化和数字化的保障。
网络安全涉及到多方面的因素,主要包括网络硬件(网络基础设施)、软件及数据不因恶意损害而影响正常的运转。网络安全是涉及面较广的概念,既包括传统安全的内容,也包括非传统安全的内容。随着近年来国际形势的变化和互联网技术的发展,越来越夺得领域出现网络安全的问题。2017年1月美国情报体系(United States Intelligence Community)发布了《俄罗斯干涉美国选举评估报告》[2],该报告指控俄罗斯的互联网研究所(Internet Research Agency,IRA)介入2016年的美国总统大选。此事件蔓延成为严重影响俄、美首脑赫尔辛基会晤乃至影响近年俄、美关系的一个重大事件[3]。2019年2月8日,俄罗斯的主流媒体RBK报道:俄罗斯将进行一次“断网”演习[4]。假想俄罗斯的网络在“遭遇别国攻击”的情况下,俄在被“切断”与国际互联网连接的情况下,俄罗斯启用本国的网络Runet替代国际互联网以确保本国网络的安全[5]。
鉴于上述直接和间接影响到俄罗斯国内、国际等一系列问题的事件都与网络安全有关,从而使得网络安全问题在俄罗斯显得尤为重要。
俄罗斯的互联网发展现状
俄罗斯的互联网主要是指以位于俄罗斯联邦境内的网络基础设施为基础、以俄罗斯的企业运营的互联网企业为主体、以其本民族的通用语言俄语为主要载体而形成的俄罗斯独有的网络体系(虽有部分网络用英语或其他民族语种,但不占主要部分),并在此基础上逐渐形成俄罗斯的RUNET体系,是国际互联网的一个重要组成部分。近年来,随着全球范围内互联网技术和产业的发展,俄罗斯的互联网相关产业取得了显著的成就,涌现了一批如:yandex.ru, mail.ru,VK、Avito、卡巴斯基公司、1C公司等主要的网络企业。同时,国际上的大型网络企业如谷歌、推特、youtobe.com等, 在俄罗斯也有良好的发展。
俄罗斯传统上是一个科技大国,在前苏联良好的科技发展水平上,互联网技术也有着与世界同步的发展水平。网络数据传输技术始于1950年代,随后美国于1965年开始组建互联网[6]。苏联科学家最早在1952年在谢尔盖·列别杰夫的带领下建立早期的计算机网络,作为自动导弹防御系统的一部分[7]。在随后的互联网技术迅速发展的过程中,俄罗斯基本保持与世界同步。
俄罗斯总体国民受教育水平高,互联网适龄人口基数较大,据2016年的统计数据,24-54岁的人口占总人口的44.21%(2016年), 2011年俄罗斯的就超过德国,成为欧洲互联网用户数量最多的国家[8]。2016年,俄罗斯的互联网用户数量超过1亿 ,约占全俄总人口76.4%以上(2016年6月)[9]。互联网经济从业人员的数量也逐年增加。俄罗斯移动终端(智能手机、平板电脑)互联网用户比例接近60%。4G 服务已可覆盖俄罗斯70%的居民区。
2015年俄罗斯网民通过yandex.ru浏览器上网情况[10]
|
每周上网基本指标 |
台式机 |
安卓系统智能手机 |
安卓Pad |
|
上网次数 |
11,5 |
7,5 |
7,5 |
|
平均上网时间 |
331分钟 |
99 分钟 |
133分钟 |
|
登陆网站数量 |
27 |
13 |
17 |
|
浏览页面 |
252 |
78 |
103 |
自新独立以来,俄罗斯传统的经济发展严重依赖能源部门。近年来随着国际经济、政治局势的变化,国际能源价格长期在低位徘徊,俄罗斯的能源经济发展模式受到挑战。俄罗斯一直在探索转变经济发展的新模式。随着科技的发展和工业4.0概念的提出,信息化、数字化逐渐成为俄罗斯未来经济发展的一个方向[11]。为此,俄罗斯采取了多重措施,不断推动本国互联网经济的发展:如加大人才培养力度,对IT公司采取税收优惠,在IT领域加大财政投入,支持国产软件产品,追踪和促进移动通讯技术从第四代向第五代迈进等方面。因而,同在其他国家一样,互联网在俄罗斯的也逐渐成为国民经济中不可或缺的重要得基础设施,发挥着越来越重要的作用。
俄罗斯对网络安全的认识
如同在世界各国,互联网作为俄罗斯国民经济生活中不可或缺的基础设施,也存在严重和普遍的安全问题,如缺乏加密技术,网络空间没有防火墙,没有双重认证,没有复杂的密码保护等。结果导致网络瘫痪、用户信息泄露、域名系统攻击、网络诈骗、网络攻击、网络渗透,网络恐怖主义、各国间网络攻击事件的增多。并且,传统的网络安全问题逐渐从信息技术领域向工业网络、关键基础设施、制造控制等系统扩散。
近年来,俄罗斯遭受到不同程度的网络攻击的事件逐渐增多。据俄罗斯国家信息安全监测中心(Roskomnadzor)监测到的数据显示,仅2017 年第一季度,就监测到的有约1.37 亿次可能违反俄信息安全政策的现象发生,同时有多次对俄信息安全造成威胁的事故发生,其中包括,恶意软件事故、网络攻击、密码破解、违反信息安全政策、网络漏洞和DDoS 攻击的占比,分别为52%、16%、14%、9%、6%和3%[12]。2018年第一季度与2017年同期相比,俄罗斯境内发生的黑客攻击事件数量增加了约三分之一[13]。
在人类历史的发展进程中,最先进的科学技术总是优先使用在军事领域。互联网技术的发展也毫不例外[14]。据报道,俄罗斯曾先后在2007年对爱沙尼亚、在2008 年的俄格战争中、2014年在乌克兰事件中多次使用了网络攻击这种全新的打击方式。2008年,俄格战争爆发后,俄军对格鲁吉亚实施了网络攻击,使得格鲁吉亚的媒体、金融、通信和运输等系统在短时间内陷入瘫痪,机场、物流和通信等信息网络崩溃,俄罗斯的网络攻击对格鲁吉亚的军队指挥和调度以及社会秩序造成了一定的影响,网络攻击在俄格战争中发挥了重要的作用。此后,在2014年克里米亚事件中俄罗斯也实施了“赛博蛇”(Cyber Snake)计划[15]。
因此,俄罗斯对自身的网络安全问题有着清醒地认识。由于美国在互联网领域的垄断优势,由于乌克兰危机以来导致的美国为首的西方国家对俄罗斯的制裁,俄罗斯对本国的网络安全一直充满危机感[16]。2014年的俄罗斯媒体峰会上,普京曾说“互联网“美国中情局的项目而发展起来的[17]”,俄罗斯对此应保持警惕。最早从2014年,俄罗斯已开始采研究防范Runet与互联网断开连接的情景。同时,着眼于互联网的国际共享与治理,俄罗斯采取了一系列措施,呼吁发展中国家一起关注互联网的国际治理与安全问题。2012 年12 月国际电联大会在迪拜举行,在该次会议上俄罗斯联合中国、印度等发展中国家,希望对美国控制国际互联网的状况(根处理器和域名等事务的垄断)有所改变,提出国际性共享的资源应该由全球各国共同监督和管理,要求将美国对互联网的控制权转移到联合国下属的国际电信联盟,至少国际电信联盟应该部分参与国际域名的分配等倡议[18]。
2015年12月,在第二届世界互联网大会(中国乌镇)上,习近平主席阐述了“网络主权”的主张,俄总理梅德韦杰夫积极回应并呼吁建立“网络空间治理的世界性标准”,会上中俄两国倡导加强网络空间治理的主张得到了与会各国代表的积极响应[19]。2016 年6 月25 日,中俄两国在北京签署了《中俄元首关于推进信息网络空间发展的联合声明》[20]。该声明的签署将进一步促进两国之间在信息安全领域的合作,推动双方在网络安全领域的合作水平迈上一个新高度。该协议也表明,北京和莫斯科有意就探索全球互联网治理模式上加强合作。2017年 11,梅德韦杰夫总理在回答记者的提问时阐述了俄罗斯关于网络主权的态度,他认为俄罗斯应该必须“自给自足但不封闭的”[21]。由此可见,俄罗斯对保障本国网络安全的网络主权主张持积极态度。
相对中国主张的“网络主权”而言,俄罗斯更强调“信息主权”或“数字主权”[22]。俄罗斯专家伊戈尔·阿什玛诺夫(Игорь Ашманов)认为,加强网络安全管理“不是言论自由的事,而是国家主权的事情”,“失去信息主权就失去一切主权”。他认为,以利比亚和乌克兰为例,这两国都是先因失去信息主权出现国内混乱,随后失去国家的传统主权[23]。
俄罗斯的应对措施
近年来,俄罗斯对网络安全的重视程度不断加强,逐步主动采取了一系列具体措施来保障本国的网络安全,并逐渐加强同发展中国家的合作,特别是要求在全球领域的网络治理方面逐步排除美国的垄断地位和霸权。同时,在与西方由于乌克兰危机后的制裁与反制裁的对立中做好相应的应对措施。
1):从战略和国家层面强调网络安全的重要性 2 0 1 7 年普京总统在联邦安全委员会会议上明确提出俄罗斯信息空间国际合作的思路,积极推动国际信息安全体系建设[24]。近年来,俄罗斯先后出台了多个有关信息领域内发展的战略性文件,特别是2017年,俄罗斯又出台了关于信息社会建设的第3个指导性文件《2017—2030年俄罗斯联邦信息社会发展战略》,该战略明确了2030年前俄罗斯在确保信息空间国家利益、实现国家战略目标的优先任务, 以及促进信息社会发展领域的国家政策( 包括对内及对外) 的目标、任务、建设原则等。2017年8 月,联邦安全委员会秘书签署了有关《俄罗斯联邦信息安全领域科学研究主要方向》的文件。该文件明确规定了俄罗斯联邦信息安全领域科学研究工作的四个主要发展方向。2018年7月6日,普京总统出席了在莫斯科召开的国际网络安全大会,
2):俄罗斯政府也先后出台了一系列文件和政策,如2017年,俄罗斯总理梅德韦杰夫要求法律界适应经济数字化发展要求,密切关注创新、经济数字化领域的情况,提早布局并研究制定相关的法律框架,以填补这一领域的法律空白,因为“这对保护公民利益十分重要”。
3):推动立法,为俄罗斯的网络安全提供法律保障 俄罗斯通过推动立法打击网络黑客行为。 2017年底,俄罗斯对《联邦刑法典》和《联邦刑事诉讼法典》进行了相关的修订[25]。修改的主要内容就是将“黑客行为”入刑,为对黑客攻击行为进行刑事处罚提供法律依据。与次同时,还于2017年成立了专业的反黑客机构----俄罗斯技术国家公司“反黑客中心”[26]。该中心的主要任务是预防和制止网络攻击,并对可能发生的网络攻击及时做出反应。
4):建立俄联邦系统,指定专门机构具体负责网络安全 俄罗斯从联邦政府机构设置上或人员安排上进一步明确指责,明确由负责俄罗斯国家通信监管机构Roskomnadzor(俄罗斯联邦通讯、信息技术和媒体监管局)将对全俄境内的网络安全进行监管。2018年下半年建立了全俄境内“国家检测、预防和防止计算机攻击系统”(ГосСОПКА[27],如下图)。此外,格尔曼·克里门科(Герман Клименко)曾一度被普京聘请为总统互联网事务顾问,专门负责网络安全方面的相关问题[28]。
5):组建俄罗斯的网络军队和网络安全指挥系统 2017年2月,俄罗斯宣布成立俄军信息作战部队[29],从俄罗斯的武装力量、内务部、安全部门整合相关人员,并吸收了大量网络技术领域的专家。
6):强调信息基础设施的重要性 2017年7月俄罗斯颁布了《俄罗斯联邦关键信息基础设施安全法》[30]。此后,还通过一系列的相关立法、文件,对信息领域基础设施的安全保障作出了明文规定[31]。
7):强调数据的重要性 俄罗斯所采取的网络安全的一个突出特点是强调数据的重要性。早在2014年,俄罗斯就通过相关法律,要求收集俄罗斯公民个人信息的本国或者外国公司在处理与个人信息相关的数据,必须使用俄罗斯境内的服务器[32]。2018年7月24日,根据俄联邦安全委员会的№366令,建立了“计算机事件国家联络点”[33]。2018年12月14日,俄联邦议会(上议院)宪法立法和国家建设委员会向俄罗斯杜马提交了关于俄罗斯“主权网络”(sovereign internet)的法案。根据该法案,俄罗斯本国的网络数据都将在本国网络传输。任何离开俄罗斯的数据都通过在政府登记的互联网交换中心(registered exchange points)流出。
8):禁止匿名和VPN技术的应用和普及 随着互联网技术的发展和形势的变化,俄罗斯先后对《信息、信息技术和信息保护法[34]》进行了多次修订,2 0 1 7年7月进行的相关修订曾引发了高度关注,该次修订明确提出,禁止使用VPN及匿名技术访问被封堵和禁止的网站。该修订案出台后,在俄罗斯国内外引起了较大的反响。俄罗斯国家杜马信息政策委员会主席随后做了说明,该修订案禁止的只是对“非法内容”的访问,而不是对公民获取信息的自由加以限制,该修订案获得通过并于2017年11月1日正式生效。
9):采取措施,实战应对 如前文所述,俄罗斯计划在2019年4月1日前实施“断网”演习,该演习的主要目的是测试俄罗斯自身的网络安全能力。如俄杜马主席沃洛金所言,其目的“不是关闭,不是切断,只是为了保障俄罗斯的网络安全”[35]。负责这项“断网”测试信息安全工作组主席娜塔莉亚·卡巴斯卡亚(Natalya Kasperskaya)对RBC表示,该项法案“有很好的目标,但实施机制引发了许多争议。此外其实施方法尚未明确”。
10): 注重互联网安全领域的国际合作 一方面,目前网络空间的行为标准尚未有国际性的标准。需要各国共同努力,加强协调,制定普遍认可和接受的标准;另一方面,网络无边界,网络安全事件往往影响范围较广,实现网络安全需要加强国际合作。无论从维护俄罗斯自身网络安全的角度出发,还是从争夺网络安全领域内的国际话语权出发,俄罗斯在网络安全领域内都处于比较积极主动的态势。俄罗斯先后在独联体国家、上合作组织框架内多次提出加强成员国之间互联网安全领域的合作,并联合中国、哈萨克斯坦等国,以联合国和国际电信联盟为主要平台,积极推动互联网领域的安全合作。俄罗斯作为主要倡导国积极推动联合国大会通过了《保障国际信息安全领域行为规则文件》[36],2018年12月又推动联合国通过了“国际安全背景下信息和电信领域的发展”的决议[37],这些文件经过联合国的推动,逐渐形成了全球范围内网络安全领域中的普遍的和共同的行为标准,为世界各国在互联网安全领域的和平互动和防止网络攻击、进行网络对抗和任何其他网络安全行动打下基础。与此同时,俄罗斯在强调加强国际范围内的网络安全的同时强调信息自由和自由交流在互联网时代的重要性,为网络安全所采取的措施不应该以牺牲科技进步和技术创新为代价[38]。
11):中俄在网络安全领域内的合作 中俄两国经过多年的相向努力,目前已经确立了面向二十一世纪的全面战略协作伙伴关系。在网络安全领域,双方也有着密切的合作,俄罗斯对于加强同中国在网络安全方面的合作持非常积极的态度。2015年12月,在第二届世界互联网大会(中国乌镇)上,习近平主席全面阐述了“网络主权”的主张,俄总理梅德韦杰夫在随后的发言中予以积极呼应,该次会议上,中俄两国倡导加强网络空间治理的主张得到了与会各国代表的积极响应。2016 年4 月27 日,在莫斯科召开了“中俄网络空间发展于安全论坛”。随后,两国元首于2016 年6 月25 日在北京签署了《中俄元首关于推进信息网络空间发展的联合声明[39]》。该声明明文规定两国将相互不采取网络攻击对方的措施,这是世界主要国家中首次签署类似的协议。该协议的签署将进一步促进中俄两国在网络安全领域的合作,推动双方在网络安全方面的合作水平迈上一个新高度。
小 结
网络安全是世界各国都面临的一个普遍性的问题,且其重要性和紧迫性日益加强。互联网的发展还在进行之中,同时,网络安全涉及范围较广,网络安全面临的问题需要专业的知识和技能。就俄罗斯在网络安全方面而言,也还存在许多问题:俄罗斯干涉美国总统选举的指控还未有定论;俄罗斯与西方国家目前的关系还处在制裁与被制裁的状态之中,受政治因素的影响,网络领域的争夺或明或暗还在持续;与西方国家相比较,俄罗斯在网络安全技术上还存在一定的差距,高端专业技术人员不足、信息技术设施落后,企业和居民对发展网络安全的意识和技术准备程度不足等亟待破解的难题。上述诸多因素既是俄罗斯采取“断网”演习的动因,也是促使俄罗斯加强网络安全的压力,俄罗斯的网络安全问题也将是一个持续讨论的议题。
[1] 许文鸿 法学博士,中国社科院俄罗斯东欧中亚所副研究员。
[2] 《Assessing Russian Activities and Intentions in Recent Elections》, https://www.fbi.gov/news/testimony/assessing-russian-activities-and-intentions-in-recent-elections
[3] 在2018年7月的俄、美首脑会晤上,特兰普总统曾直接向普京询问,俄罗斯是否介入网络干涉美国大选;此后,由于该事件的影响,俄、美关系直接受到影响。
[4] Законопроект о «суверенном интернете» принят в первом чтении http://duma.gov.ru/news/29748/
[5] https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927 Атака изнутри: операторы протестируют закон об устойчивости Рунета
[6] 互联网技术源于美国的“阿帕”(ARPA)项目(arpanet),“阿帕”是美国国防部高级研究计划署(Advanced Research Project Agency)于1968年在美国拉里·罗伯茨(Lawrence G. Roberts)领导下开发的世界上第一个网络项目,于1969年正式投入使用,由此成为全球互联网的始祖。
[7] http://www.ccas.ru/jubilee/sbornik.pdf
[8] Comscore Releases Overview of European Internet Usage in September 2011 https://www.comscore.com/Insights/Press-Releases/2011/11/comScore-Releases-Overview-of-European-Internet-Usage-in-September-2011?cs_edgescape_cc=CN
[9] https://www.cia.gov/library/publications/the-world-factbook/geos/rs.html Russia, communications, The world factsbook.
[10] 本调查是俄罗斯的搜索引擎yandex.ru2015年所做的俄罗斯网民通过该公司浏览器上网情况的调查报告,通过该调查可以对俄罗斯互联网的普及和发展有初步了解,详情参见:Развитие интернета в регионах России https://yandex.ru/company/researches/2016/ya_internet_regions_2016
[11] 2018年9月27日,俄罗斯总理梅德韦杰夫在当日政府工作会议上强调,创建数字经济是俄罗斯的国家目标,在未来几年内数字经济对俄罗斯国内生产总值的贡献率将达到三分之一左右。
[12] Отчёт Центра мониторинга информационной безопасности за I квартал 2017 года. 23.08.2017.
https://habrahabr.ru/company/pm/blog/326810/
[13] Как Россия будет бороться с киберпреступностью. Путин назвал 5 шагов
http://gov.cnews.ru/news/top/2018-07-06_putin_prizval_strany_ne_byt_egoistami_v_tsifrovoj
[14] 互联网技术就是由美国军事部门最先使用和发展起来的。
[15] Russia’s cyber weapons hit Ukraine: How to declare war without declaring war https://www.csmonitor.com/Commentary/Global-Viewpoint/2014/0312/Russia-s-cyber-weapons-hit-Ukraine-How-to-declare-war-without-declaring-war
[16]曾任普京总统的互联网顾问科里门科(German Klimenko)早在2018年3月就宣称俄罗斯为切断国际互联网作好了准备。Russia Is Ready for a Shut-Down of the Internet — Putin’s Adviser https://www.themoscowtimes.com/2018/03/05/russia-is-ready-for-a-shut-down-of-the-internet-putins-adviser
[17] Путин: Интернет возник как проект ЦРУ, так и развивается https://www.vesti.ru/doc.html?id=1512663
[18] Requiem for Failed UN Telecom Treaty: No One Mourns the WCIT
https://www.forbes.com/sites/netapp/2012/12/14/un-business-itu/#2622b05c6d07
[19] Дмитрий Медведев выступил за международное регулирование интернета
[20] «Совместное заявление Президента Российской Федерации и Председателя Китайской Народной
Республики о взаимодействии в области развития информационного пространства»,
http://www.kremlin.ru/supplement/5099Совместное заявление Президента Российской Федерации и Председателя Китайской Народной Республики о взаимодействии в области развития информационного пространства
[21] http://www.apecom.ru/articles/?ELEMENT_ID=4270 Киберсуверенитет,Эксперты о «разговоре с
Медведевым»
[22] “Информационный суверенитет” 、“цифровой суверенитет”或 «электронный суверенитет».
[23] Игорь Ашманов: “Сегодня информационное доминирование – это все равно, что господство в воздухе”
https://ain.ua/2013/05/01/igor-ashmanov-segodnya-informacionnoe-dominirovanie-eto-vse-ravno-chto-gospodstvo-v-vozduxe/
[24] Путин призвал повысить безопасность рунета https://tass.ru/politika/4679273
[25] 主要涉及《俄罗斯联邦刑法》第146,272,273,274 的相关条款和《 俄联邦刑事诉讼法》的相关条款。
[26] В «Ростехе» создан антихакерский центр https://lenta.ru/news/2016/11/07/antihacker/
[27] Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак Критическая информационная инфраструктура 2019 год https://rtmtech.ru/articles/kriticheskaya-informatsionnaya-infrastruktura-2019/
[28] Клименко намерен принять предложение Путина стать его советником https://ria.ru/20151222/1346947346.html
[29] В России созданы войска информационных операций https://ria.ru/20170222/1488596879.html
[30] 187-ФЗ «О безопасности критической информационной инфраструктуры»
https://rtmtech.ru/articles/kriticheskaya-informatsionnaya-infrastruktura-2019/
[31] 同上。
[32] Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных
[33] Критическая информационная инфраструктура 2019 год
https://rtmtech.ru/articles/kriticheskaya-informatsionnaya-infrastruktura-2019/
[34] Об информации, информационных технологиях и о защите информации,Федеральный закон от 27
июля 2006 г. N 149-ФЗ.
[35] Законопроект о «суверенном интернете» принят в первом чтении
[36] An International Code of Conduct for Information Security
[37] Press release on the adoption of a Russian resolution on international information security at the UN General
Assembly http://www.mid.ru/en/foreign_policy/news/-/asset_publisher/cKNonkJE02Bw/content/id/3437775
[38] Как Россия будет бороться с киберпреступностью. Путин назвал 5 шагов
http://gov.cnews.ru/news/top/2018-07-06_putin_prizval_strany_ne_byt_egoistami_v_tsifrovoj
[39] «Совместное заявление Президента Российской Федерации и Председателя Китайской Народной
Республики о взаимодействии в области развития информационного пространства»,
http://www.kremlin.ru/supplement/5099Совместное заявление Президента Российской Федерации и Председателя Китайской Народной Республики о взаимодействии в области развития информационного пространства
