文│ 上海国际问题研究院网络空间国际治理研究中心 孙伟意

2021 年 8 月,德国宪保局(BfV) 局长托马斯·哈尔登旺(ThomasHaldenwang)表示,2021 年,德国约 90% 的企业沦为网络间谍活动和数据盗窃的受害者,导致德国经济每年损失 2.5 亿欧元。诸多报告也显示,网络间谍活动日益猖獗,其主要通过勒索病毒、钓鱼邮件等网络攻击形式,对被攻击者的设备实施数据盗窃的活动,已成为威胁网络安全与国家安全的重要途径。分析和探讨如何应对网络安全和进行反间谍的问题,了解美国在应对问题上有哪些实践经验等,对我国在反间谍问题上的应对具有启示性意义。

一、网络时代间谍行为的特点

互联网的出现和发展拉近了人与人之间的距离,尤其在新冠肺炎疫情后,互联网在远程办公、数字医疗、线上教育等方面发挥了巨大优势。然而,任何新事物均具有“两面性”,互联网也不例外。间谍活动的行为模式已经从传统物理世界转移到网络空间,并且通过利用网络的隐蔽性、归因难、溯源难等特点,实现传统间谍行为无法或很难达到的目标。

1.网络空间成为间谍渗透的新平台

间谍活动是由国家或组织的间谍情报机构所派遣的情报人员通过采取非法或合法手段、直接从事或间接收买线人的方式窃取情报的行为。传统间谍活动都是通过在现实世界的实际接触中展开的,情报人员不得不在“面对面”的情况下收买情报线人或获取情报,这无疑存在较高的安全风险。

网络空间提供给间谍人员一个更为隐蔽、便捷的平台,从而加大了活动开展的有效性。官方媒体曾披露,境外间谍通过网络对我国科研机构、高校等部门相关人员进行渗透,利用互联网平台的便利优势,将自己的身份进行伪装,并发送钓鱼邮件吸引目标对象,以实现进行间谍活动的目标。

2.网络入侵手段成为间谍行为新方式

相比于传统间谍将互联网作为沟通、渗透的形式,网络间谍更擅长通过利用计算机技术在未获得系统授权认证的情况下侵入目标的计算机网络,以非法窃取情报信息。网络间谍的手段复杂多样,包括长期潜伏监控、勒索软件、高级可持续威胁(APT)攻击等在内的多种形式。前美国中央情报局雇员爱德华·斯诺登(Edward Snowden)在 2013 年曝光了美国在全球实施的大规模网络监控项目,即“棱镜门计划”(Prism)和“Xkeyscore 计划”。根据网络公司 Version 于 2020 年 11 月发布的《2020-2021 网络间谍报告》(2020-2021 Cyber Espionage Report),恶意软件、社交、黑客攻击是网络间谍威胁行为者使用的首要策略,分别具有 90%、83%和 80%的占比,在众多网络间谍行为中排在前三。这意味着网络间谍威胁行为者手段复杂多样,并更多地依赖恶意软件和社交网络。

3.隐蔽性强、后果严重是网络间谍行为的“优势”

网络间谍行为的特点是隐蔽性强、归因难和溯源难,这导致间谍行为发起者能够在被攻击者不知情的情况下非法入侵计算机系统并获取数据信息,因此,能够造成比传统间谍行为更为严重的后果。网络间谍行为技术上的“优势”也是促使网络威胁事件的频发的原因。APT 攻击就是通过长期隐蔽而对某个特定目标展开的持续网络攻击。360 公司在 2020年 3 月 3 日披露了美国中央情报局(CIA)的攻击组织(APT-C-39)对中国关键领域长达十一年的网络渗透攻击,曝光了该 APT 组织针对航天、科研机构、政府等部门采取的定向攻击行为。国家计算机网络应急技术处理协调中心在 2021年 7月 20日发布的《2020年中国互联网网络安全报告》显示,2020 年,我国网络威胁日益凸显,部分 APT 组织为了控制重要目标并窃取信息,利用功能强大、结构复杂、隐蔽性高的网络攻击工具,在我国重要机构的设备中进行长期潜伏以持续监控。

4.美国在推动网络间谍活动中扮演重要角色

间谍活动的开展离不开其所属的组织机构或国家的支持,网络间谍活动更是如此。美国是世界上最大的网络发达国家,同时也是开展网络情报收集的大国,在网络间谍问题上长期以来持“双重标准”。一方面,美国重视反间谍问题,并在国际场合倡导网络自由。另一方面,美国强调其收集网络情报行为的合法性,在国际社会扮演网络间谍的角色,不断地针对包括其盟友在内的其他国家政府、高校、科研机构、企业等部门长期从事情报收集行为,危害他国的国家安全。

在网络情报收集上,美国的实际行动和已有的战略和报告显示了其在信息时代对情报收集的重视。“棱镜门”事件之后,美国在 2021 年再次被曝出监听欧洲多国政要通信设备的行为,反映出美国在网络间谍行为上不仅没有任何反思,反而进一步强化所采取的监听行动。

此外,美国定期出台国家情报战略。《2019 国家情报战略》(National Intelligence Strategy 2019)提出了信息共享与保护的目标,强调开发、提高、整合并利用情报能力和活动。美国战略与国际问题研究中心(CSIS)于 2021 年发布《保持情报优势:通过创新重塑情报》(Maintaining the IntelligenceEdge:Reimagining and Reinventing Intelligence throughInnovation)报告,指出情报界必须适应新的人工智能时代,以提升自身完成核心使命任务的能力。

二、美国应对网络间谍的措施机制

美国在应对间谍行为方面具有丰富的经验,这不仅得益于其在网络空间技术领域的先进水平,能够作为其对网络间谍进行溯源和防护的硬件基础,而且更为重要的是其在国家战略、法律文件、合规认证以及国际层面做出了一系列安排和举措,能够从多个维度提升网络安全状况,规制间谍行为的发生。

1.出台战略文件指引国家工作方向

美国于 2005 年发布了首版《国家反情报战略》(National Counterintelligence Strategy),用于分析美国面临的情报威胁,从战略层面指导国家反情报工作的开展,并且在 2007、2009 和 2016 年均出台了新版战略。“拓展美国在网络空间的反情报能力”的表述在 2007 年版中被提到,并且 2009 年版进一步强调了引入网络反情报能力的重要性。在 2016 版中,设定的战略目标更加侧重对敏感信息、资产、数据和网络安全的保护,网络安全的重要性再次被提升。

特朗普在 2020 年 1 月 7 日签署了《2020-2022年美国反情报战略》(National CounterintelligenceStrategy of the United States of America 2020-2022)。与上一版本的战略相比,新版战略更加突出了网络安全方面的情报威胁,并且提出了包括联合私营部门、知情的美国公众、盟友在内的全社会应对威胁的方式。该战略阐述了当前情报威胁的一个重要趋势是威胁行为体的增加,既包括俄罗斯、中国、伊朗、朝鲜等国家行为体,也包括黎巴嫩真主党等非国家行为体以及其他黑客团体。根据美国国家反情报和安全中心(NCSC)主任威廉·埃文尼娜(William Evanina)的说法,战略重点关注外国情报机构对美国威胁最大的五个领域,即关键基础设施、美国关键供应链、美国经济、美国民主机构以及网络和技术运营。威胁的领域转化为战略提出的五大目标,分别是保护国家关键基础设施、减少外部对美国主要供应链的威胁、保护美国经济、保护美国民主免受外国威胁、打击对美国有害的外国情报网络和技术行动。

2.健全法律框架杜绝间谍行为发生

美国先后颁布了《1917 年间谍法》(EspionageAct of 1917)、《经济间谍法》(Economic EspionageAct)、《联邦计算机欺诈和滥用法》(CFAA)、《电子通信隐私法》(ECPA)等法律文本,从间谍行为、经济活动、数据隐私和信息保护等多个角度形成对间谍行为的规制。

《间谍法》是美国于 1917 年颁布的法案。该法不仅列举了间谍的种种行为,还对违反者制定了严厉的惩罚措施,包括接受军事审判。该法规定的间谍活动还包括收集、传输或泄露国防信息。“棱镜门”事件曝光者爱德华·斯诺登曾一度遭到违反《1917年间谍法》的指控。

《经济间谍法》是美国历史上第一部专门用于管控窃取商业秘密行为的联邦法律,对经济间谍罪和盗取商业秘密罪做出了界定。该法规定,经济间谍罪是以外国政府或机构为受益人的盗取商业秘密活动属于刑事犯罪,盗取商业秘密罪是指盗取州际贸易或国际贸易所涉及产品或与该产品相关的商业秘密,给商业秘密所有人造成或可能造成损害。虽然经济间谍法并未直接涉及有关网络行为的内容,但是,事实表明,越来越多的经济间谍活动是通过网络展开的。

美国在 1986 年出台的 CFAA 聚焦利用计算机系统发生的犯罪行为。该法明确禁止了一些网络行为,包括未经授权访问计算机并获取国家安全信息、未经许可访问用于州际或外国商务信息、未经许可进入美国政府使用的非公用计算机、未经授权擅自访问受保护的计算机并实施诈骗、故意破坏计算机、贩卖密码信息、传播敲诈勒索威胁、与财产有关的网络勒索等。

与 CFAA 同年出台的 ECPA 则侧重为存储和运输过程中的通信提供保护。该法的第一章“窃听法”规定,禁止故意、企图拦截、使用或披露有关有线、口头或电子通信。除执法部门、服务提供商和其他法律授权机构外的行为体不可故意拦截过境电子通信。该法的第二章“存储通信法”提到,未经授权故意访问提供电子通信服务的设施属于犯罪违规行为,其中,个人计算机不被视为提供电子通信设施。可见,对数据安全、信息内容等方面的保护内容,已经在法律法规中有所体现。

3.完善合规认证体系保障数据安全

在日益严峻的网络信息安全威胁背景下,美国国防部于 2020 年 1 月制定了网络安全成熟度模型认证(CMMC)。美国国防工业基础部门(DIB)面临受网络间谍行为侵犯所导致严重的数据泄露风险,最具代表性的事件是 2007 年美国 F35 战斗机项目信息泄露。CMMC 综合并参考了已有网络安全标准,如美国国家标准与技术研究院(NIST)、国防联邦采购补充规定(DFARS)等,重在要求国防工业基础部门(DIB)对联邦合同信息(FCI)和受控非机密信息(CUI)的保护。CMMC将安全等级分为五个层级,且要求国防承包商需要至少达到第一等级。总体上,CMMC 的制定目的是能够提升美国抵御威胁和共享情报的能力。

4.联合“盟友”力量形成同一立场阵营

美国强化盟友作为反间谍的力量,将间谍行为的责任施加到中国、俄罗斯、伊朗等国。美国依托盟友,与“五眼联盟”、北约等国家或组织建立情报网络,在反间谍问题上形成统一立场。长期以来,中国被视为网络间谍行为的重点目标,被指责在知识产权、商业机密等方面一直实施网络盗窃行为。

白宫在 2021 年 7 月 19 日发布“美国在盟国和合作伙伴的加入下,将恶意网络活动和不负责任的国家行为归于中华人民共和国”(The United States,Joined by Allies and Partners,Attributes Malicious CyberActivity and Irresponsible State Behavior to the People"sRepublic of China)声明,表示通过“一个前所未有的盟国和伙伴集团——包括欧盟、英国和北约——正在与美国一起揭露和批评中国的恶意网络活动。”美国司法部分别于 2014 年、2020 年及 2021 年起诉多名解放军军官和中国公民,指控其通过网络对美国公司的商业机密实施盗窃、开展网络攻击行为。此外,美国政府、私营部门、智库等部门每年会发布有关中国网络间谍行为的报告,以渲染中国网络威胁。

三、启示

网络化时代间谍行为日益猖獗,反间谍问题也愈加棘手。结合美国在反间谍方面的举措和经验,我国需要从多个角度予以应对。

1.在战略规划方面,阶段性地出台相关反间谍战略

战略用于指引国家在一段时期的规划方向,解决重点威胁问题。尤其在网络安全与网络间谍态势日益复杂多变的背景下,通过定期出台相关的战略可以及时应对和调整问题,不仅会对反间谍工作做出实质性的安排,更会对间谍组织及其所属国家或机构形成一定的威慑力度,有力地彰显中国在反间谍问题上的决心和能力。

2.在国内立法方面,完善网络间谍相关法律法规

我国相继出台了《国家安全法》《反间谍法》《保密法》与《境外非政府组织境内活动管理法》等涉及国家安全的法律,对传统间谍行为的防范具有重要作用。虽然具有全面规范网络空间安全管理方面的《网络安全法》和对个人信息安全具有重要意义的《个人信息保护法》已经颁布实施,但是,已有法律对网络间谍还未有明确的表述。网络间谍在计算机技术上的优势显著,手段复杂多样、后果破坏性巨大,因此,关于针对网络间谍方面的法律内容,应予以细化和补充。

3.在能力评估方面,建立完善的网络安全认证体系

CMMC 是美国应对日益严峻的网络安全威胁、维护数据信息的重要手段,并且正在逐步推进。英国和澳大利亚也建立了本国的网络安全成熟度模型。可以发现,网络安全能力成熟度评估已成为一国衡量和保障网络安全能力的重要方式。我国已于 2021年 7 月 20 日发布征集网络安全能力成熟度评估行业标准参编单位的通知,成为完善我国电信和互联网行业网络安全防护管理体系的一个重要举措,标志着我国在网络安全成熟度模型认证的构建方面工作已经开始起步。

4.在国际应对层面,营造有利于我国的国际舆论环境

在网络间谍问题上,政治化网络间谍的溯源和归因成为美国确定攻击者身份和实施反制措施的借口。美国在此问题上一直以来联合西方盟友对中国横加指责,认为中国向来采取针对其他国家的网络盗窃、网络渗透攻击等网络间谍行为,将中国视为网络民主、网络空间安全的最大威胁。然而,实际上,中国历来遭受来自以美国为首的西方国家的网络攻击,对中国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等进行长年的监视、攻击。网络间谍问题政治化的背后反映出的是美国在将中国列为战略竞争对手后在网络空间层面对中国的压制和围堵。因此,中国应在国际上积极发声,揭露美国的网络霸权主义倾向。“棱镜门”事件表明,美国是世界上最大的网络间谍。此外,中国还应在网络间谍问题上与志同道合的国家合作,积极开展网络溯源。

(本文刊登于《中国信息安全》杂志2021年第10期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。