本文作者:李昊霖

摘要

在独特的网络/信息安全观下,俄罗斯持续强化国家信息主权,发展独立的网络通讯技术,收紧对网络的整体控制,并逐步对RuNet俄罗斯互联网系统进行技术和法律完善。在网络安全逐渐成为国家安全重要一环的今天,拥有独立的网络主权将是国家预防海外网络攻击和网络制裁以确保国民和政府信息安全的关键。俄乌危机下愈演愈烈的网络战中,从国家安全战略的角度考量,RuNet的建立不失为俄罗斯未雨绸缪之举。

来源:https://news.bitcoin.com/russia-adopts-law-to-isolate-runet-from-the-internet/

自俄乌危机以来,战火蔓延至网络。黑客团体的攻击导致俄罗斯政府官网和主流媒体网站断续离线。2022年3月1日,乌克兰向互联联网名称与数字地址分配机构ICANN提出撤销俄罗斯域名并关闭该国主要域名系统DNS服务器的请求。至此,俄罗斯网络安全风险等级随着俄乌热战持续飙升。据德国之声报道,莫斯科方面可能准备启动本国互联网系统RuNet主动与互联网断连。在俄罗斯强调国家主权的网络信息安全观下,俄罗斯近年来不断采取一系列信息安全法案措施,逐步收紧网络监管审查,建立并逐渐完善独立自主的国家互联网系统RuNet。本文将介绍俄罗斯在本国网络信息安全观下逐渐成型且不断完善的RuNet,和以RuNet为代表的全球网络主权独立及信息安全加强的发展趋势信号。

一、俄罗斯“网络/信息安全”观的形成

网络/信息安全是俄罗斯国家安全的重要部分。早1990年代末,在联合国会议中规范国家和非国家行为者在网络空间的行为的重要谈判进行之初,俄罗斯便成为网络安全相关进程和倡议的主要推动者,并于1998年在联合国大会第一委员会中强调信息安全将作为影响更广泛的国家安全和稳定因素存在,因此呼吁加强全球信息通信技术的总体安全性,促成了政府专家组(GGE)的成立。近年来,俄罗斯网络信息安全观的形成,受到来自中东欧颜色革命、纳瓦尔尼投票应用程序、乃至预防西方断网的影响,加深了俄罗斯对海外势力通过网络干涉俄罗斯内政、互联网信息传播带来信息冲击、和敌对国可能实行网络制裁的担忧。此外,由于美俄关系紧张,网络治理话语权的争夺长期与地缘政治格局高度关联。直至2021年,联合国网络空间治理的两个并行方案政府专家组(GGE)和开放成员工作组(Open-ended Working Group,OEWG)仍体现了美俄两国就网络安全问题上的分歧和博弈。

因此,俄罗斯在国家安全战略的规划中,网络/信息安全逐渐成为国家安全战略重点。2000年,普京批准了《俄罗斯联邦信息安全纲要》(Information Security Doctrine of the Russian Federation),制定了俄罗斯联邦信息安全政策,为改善俄罗斯联邦信息安全的法律、程序、科学技术和组织框架提出建议,并由于感知到信息威胁而为保护政权制定有针对性的国家信息安全计划。对比2015年的国家安全战略,2021年新颁布的国家安全战略中,关于信息安全的战略内容占据较大篇幅并被着重强调。战略提出“信息安全的目的是加强俄罗斯联邦在信息领域的主权”,计划促进电信基建设施运转的可靠性和安全性,并加强数据保护并重点发展俄罗斯本土电子信息通讯技术。在美俄关系持续低走的背景下,俄罗斯就信息安全的见解与国家地缘政治空间安全理念相匹配,形成了独特的网络/信息安全观——即持续强化国家信息主权,发展独立的网络通讯技术,收紧对网络的整体控制,以积极对抗来自诸如美国等“不友好国家”的外来信息技术对俄罗斯政权稳定的攻击。

二、RuNet格局演变趋势:强调主权独立,加强互联网控制审查

俄罗斯对网络/信息安全的重视催生了RuNet系统的形成。据大西洋理事会报告的定义,RuNet俄罗斯互联网系统是俄罗斯政府于2019年出台《主权互联网法》后希望通过技术手段建造的互联网隔离网络,使俄罗斯境内互联网在必要时刻实现与世界其他地区的互联网分离,并能够持续独立正常运转。

自2015年起,俄罗斯便通过制定新法律法规为RuNet系统的实现逐步构建在数字信息收集、互联网信息流通控制等方面的法律基础,以求加强巩固政府对境内互联网的实质管控权。如2016年7月6日颁布的联邦法案《Yarovaya法》修改了反恐、宗教团体审查和公共安全相关的法律以扩大执法机构对通讯访问的权限,并做出对电信行业数据储存和保留的新要求;2017年颁布的《VPN法》禁止使用VPN及匿名模式获取对被禁网站的访问权限,并授权俄罗斯联邦执行机构Roskomnadzor对违规网站、应用的封禁;2018年,俄罗斯为《VPN法》进行后续补充而再次修正《行政违法法典》(Code of Administrative Offenses),并于6月通过法案对违反《VPN法》的网站应用处以行政罚款,次年12月谷歌即因未能过滤违法的搜索结果而被罚50万卢布。2022年1月,谷歌再次因相同原因被处罚400万卢布。

而后,RuNet在2019年5月普京总统签署的《主权互联网法》(Sovereign Internet Law)下基调确立,逐渐形成审查更为严格的独立网络格局。《主权互联网法》旨在加强巩固俄罗斯政府对俄罗斯境内互联网架构和基建的控制,且在互联网上建立清晰的国家边界。据克里姆林宫称,《主权互联网法》是对2018年9月美国出台的国家网络安全战略进行的对等回应,以对抗美国对俄罗斯可能构成的网络威胁。《主权互联网法》主要包含三项修正案:

1.强制互联网服务供应商在网络基建上安装由俄罗斯联邦执行机构Roskomnadzor提供的“应对俄罗斯联邦境内互联网稳定性、安全性和功能完整性威胁的”技术设备,如深度数据包检测(DPI:deep packet inspection)系统或类似技术,对俄罗斯网络进行严格的审查。

2.实现俄罗斯国家域名(DNS)自主,"确保在俄罗斯领土上稳定和安全地使用域名"。Roskomnadzor计划制定俄罗斯国家域名系统的程序和规则,并将有可能与国际域名与数字地址分配机构ICANN分配的全球域名系统平行工作。

3.对电信网络进行集中管理,并为跨越俄罗斯边界的连接线建立管控机制,以应对潜在外来威胁和网络攻击。俄罗斯联邦执行机构Roskomnadzor被赋予权力在发生外来威胁时接管整个俄罗斯互联网,且互联网服务供应商必须遵守Roskomnadzor制定的规则,切断俄罗斯领土外来的网络信息。

《主权互联网法》颁布后,基于《主权互联网法》的RuNet网络隔离演习和网络基建完善也在定期举行和持续推进。2020至2021年,俄罗斯并未停下持续完善相关法律的脚步,对互联网法进行补充。如2020年12月30日签署的N482-FZ 和 N511-FZ两项法案,授予联邦通信、IT 和Roskomnadzor 审查在互联网上涉及侵犯俄罗斯公民基本人权和自由的程序并给予处罚的权利。此外,为管理在俄罗斯运营的跨国互联网服务供应商(ISP),2021年6月国家杜马通过了一项针对外国科技公司的法律,要求俄罗斯每日用户超过 50 万的网站在 2022 年 1 月之前开设位于俄罗斯境内的分支机构,并对违规者和未实施者进行处罚。为了从俄罗斯互联网基建中根除海外设备带来的威胁,俄罗斯政府采取“进口替代” (импортозамещение)模式——即以国内生产替代进口产品,通过更新对国内技术生产的税收优惠政策(如对符合要求的俄罗斯本土信息技术企业减免社会保障税和企业利润税)辅助本国软硬件生产制造的进一步发展,以削减对海外通讯设备及软件的高度依赖。

因此,俄罗斯在《主权互联网法》法律框架的指导下,极大地提升监管机构的权力,推进新的审查技术DPI,并配合政策扶持发展本国互联网基建,为RuNet的成功运转做出充分的准备。

三、结语

RuNet自提出以来争议不断。除了本身的技术局限外,RuNet也遭到来自大型IT公司、网络运营商和西方国家政府的批评,指控包括其加速破坏全球互联网完整性,并夸大越境网络威胁事实以进行对企业和个人的不透明非法网络限制等。但在俄乌危机下愈演愈烈的网络战,使互联网、信息安全问题再次显现。在网络安全逐渐成为国家安全重要一环的今天,拥有独立的网络主权和集中管理的网络设施,也是国家预防海外网络攻击和网络制裁、进而确保国民和政府信息安全的关键。从俄罗斯国家安全战略的角度考量,RuNet的建立或许可被称为是俄罗斯未雨绸缪的明智之举。若切实有效,持续加强国家网络/信息主权独立和对网络信息的控制及审查力度,可能成为许多国家效仿的网络治理趋势。

声明:本文来自海国图智研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。