巴西网络空间安全建设管窥 作者:杨治武 李涛柱

巴西政府高度重视网络和信息安全,通过建立安全机构、加强立法、严厉打击、技术研发、推广认证机制、开展国家合作等途径,加强网络和信息安全建设。

1.建立网络和信息安全机构

一是成立互联网管理委员会。1995年,为加强对互联网的管理,巴西成立了互联网管理委员会,由政府部门、网络服务商和学术界代表共计21名成员组成,负责对全国互联网进行管理。具体职责是:制定巴西互联网使用和发展的战略与计划;提出并实施对各种在线活动监管的细则和程序;实行域名注册制、互联网通讯协议地址分配制以及以“br”结尾的顶级域名管理制度等。

二是建立电信监管局。1997年,巴西完全参照美国FCC的模式,依照“电信基本法”设立独立电信监管机构,负责执行《电信法》和监管电信企业(包括有线电视、广播电视),管理电信资费,颁发公共电信业务经营许可证,授权建设专用电信网络,规划和分配无线电频率、轨道等电信资源,管理电信资源使用费。电信监管局贯彻和执行通信部制订的电信政策,但作为独立行使电信监管权的机构,在组织体制上并不隶属通信部,依法行使自主权,还拥有对电信运营企业直接行使法律赋予的处罚权。

三是设立警方网络监管机构。2003年,巴西联邦警察局设立专门机构,对网络犯罪实施监管和打击。

四是建立全国网络安全中心。2011年8月,巴西政府指派陆军建立一个跨机构的网络安全中心(CDCiber),作为保卫巴西免遭网电攻击的领导机构。中心的主要职能是防止犯罪分子利用计算机攻击巴西国家电网,造成断电事故等,保卫巴西的关键信息技术基础设施安全。

此外,巴西网络和信息行业还成立了计算机应急响应小组、行业协会等民间组织,作为政府部门与民营企业或私人用户的协调渠道。

2.完善网络和信息安全法规

一是出台《信息保护法》。1984年10月,巴西通过《信息保护法》,创建了由总统领导,包括政府和非政府实体的代表在内的“国家信息产业和自动化委员会(CONIN)”,负责制定和修正“国家信息产业和自动化计划”,对国内的企业实行技术和市场保护。1990年,巴西着手修改《信息保护法》,1991年10月,将其修订为《信息法》。新法规定:国家任何部门不得批准从国外进口与巴西国内有能力生产的同类型的信息产品;对民族信息工业中的各类设备规定了较宽的保护范围和保护时间,对国内尚在开发或者虽已具生产能力但无国际竞争能力的本民族信息产品和技术,国家以市场保护政策予以保护和管制等。

二是制定《国家互联网民事总则》(以下简称《总则》)。2009年10月,巴西司法部出台《总则》草案,并在官方网站上公布,广泛征求社会意见。2010年5月30日征求意见结束后,根据收集到的民众意见,对《总则》草案进行了修改。《总则》是由一系列的法律文件组成的法律总则,明确规定了网络用户和网络服务商的权利和义务,成为规范互联网服务的指导方针。《总则》规定,用户一旦上网,不管是实名还是匿名,网络服务商都要对用户信息保存6个月,获取这些用户信息需经司法部门批准。《总则》还规定,网络服务商必须要建立一套“通告机制”。当网络用户受到匿名攻击被侵权后,可以经过“通告机制”上诉网络服务商,由网络服务商负责将侵权内容从网站删除。在有争议的情况下,由司法部门裁定并通知网络服务商将相关内容删除。

三是在《刑法大典》增加网络犯罪条款。2012年11月,巴西国会参议院在审议新的《刑法大典》时,首次把互联网犯罪列入刑事犯罪范畴。新法对入侵电脑、窃取密码和违法封锁网站等行为作出了详细的说明和定罪,如非法入侵他人电脑将被判三个月至一年监禁;通过远程控制电脑非法窃取私人信息、商业和公司机密,可能获刑半年至两年。

四是制定《互联网管理基本法》。2013年1月9日,巴西国会审议通过《互联网管理基本法》。法案对互联网的服务质量、发展目标和基本原则做出明确规定,旨在加强互联网服务的法制建设,保障公民言论自由、保护个人隐私和打击网络犯罪活动。4月2日,该法正式生效。

五是出台《网络民法》。2013年10月29日,巴西政府制定《网络民法》草案,要求在巴西提供社交网络、电子邮箱及搜索引擎等服务的外国互联网公司,都必须在巴西本土建立数据中心,以确保该国民众隐私权不被类似美国“棱镜”等监控计划侵犯。此举旨在保障巴西民众网络信息能在国内获得存储、处理与发布,避免被别有用心者窃取和利用。2014年3月27日,巴西国会众议院通过《网络民法》,对于网络言论自由、个人数据的保护等网络基本原则做出了规范,明确了用户、企业和公共机构在巴西使用互联网的权利和义务。

六是修订公民网络框架。2013年11月5日,巴西颁布了新修订的公民网络框架(Marco Civil da Internet),新框架规定提供互联网接入服务的公司,不能存储用户在上网时所提供的数据和信息,阻止那些公司利用这些信息去提供有针对性的广告。

3.严厉打击网络违法行为

一是打击网络犯罪活动。2010年,巴西联邦警察展开4次行动,抓获37名网络犯罪分子。2011年至2012年,又采取4次行动,抓捕140名网络犯罪分子。

二是传讯跨国信息安全企业高管。2013年10月25日,巴西警方向美国司法部递交申请,要求传讯网络巨头谷歌公司、雅虎公司和脸谱公司,以及信息技术巨头微软公司和苹果公司的首席执行官,以调查美国情报机构对巴西政府和公司进行大规模监控的情况。

三是查封侵犯个人隐私的网站。2007年1月4日,针对达妮埃拉遭侵权案,圣保罗州地方法院做出裁决,认为YouTube没有履行义务,损害了当事人形象,决定将YouTube在巴西的网站查封,直到该视频内容被彻底清除为止。

四是做好世界杯期间防御网络攻击准备。2014年3月13日,巴西国防部长表示,他们已经做好了在世界杯期间的防御网络攻击准备,在近期的重大活动中检验了本国针对网络威胁的防御策略。

4.加强网络和信息安全技术研发

一是积极研发网络监控技术。针对网络儿童淫秽色情信息泛滥情况,巴西联邦警察局充分发挥计算机取证专家的技术特长,成功开发出了专门用于监测恋童癖者在网上进行信息传输的工具软件——“EspiaMule” 。该工具软件能自动追踪在线恋童癖者,而且还能高效地过滤和鉴别出计算机中含有非法内容的共享文件,也能利用嵌入软件中的那些已被证实含有儿童淫秽色情信息的文件清单,来发现所有正在上网并共享这些非法文件的世界各地的计算机。2012年3月11日,巴西网络信息中心与ICANN 联合开发出网络安全监控技术,通过提高域名解析能力,增强了对域名服务(DNS)的潜在滥用或攻击情况的应变力,使巴西的DNS解析更快更安全。

二是构建自主信息网络系统。2013年9月18日,巴西总统罗塞夫表示,为了躲避美国无孔不入的网络监视行为,减少巴西互联网流经美国的数量,计划铺设直通欧洲的海底光缆,连结所有南美洲国家,建立自主可控的本国信息系统网络,增强网络独立性和安全性。10月13日,罗塞夫总统宣布,为防止外国监控行为,巴西将为政府电子邮件设立新的安全防卫体系,要求有关部门为联邦政府的邮件系统加强安全保障工作,以保证官方电邮的私密性不受侵犯。同时,巴西邮政系统也计划于2014年建立一个加密电子邮件系统,以取代美国G m ail和雅虎电子邮件服务。11月13日,罗塞夫总统说,巴西正在推进一项将民众的信息储存在国内信息储存中心的计划。2014年3月24日,巴西总统罗塞夫在布鲁塞尔召开的第7届巴西和欧盟峰会上宣布,巴西与欧盟已经达成协议,将合作铺设一条从葡萄牙首都里斯本到巴西东北部城市福塔莱萨的海底电缆,这个价值1.85亿美元的电缆工程将保护巴西和欧洲之间的互联网数据免遭美国监控。

三是开发基于开放源代码的信息系统和产品 。2007年,为了技术上不受制于国外,巴西政府把推广开放源代码的应用作为推进电子政务、促进本国信息产业发展的一项基本政策,大力提倡应用基于开放源代码技术的信息系统和产品。2007年内,巴西共有13个政府部门、16所大学、11个大型企业参与了这项开放源代码工作计划。1300多个政府机构、1900多家企业以及巴西中央银行和全国4800多家支行基本使用基于开放源代码的操作系统,而不再使用Windows产品,其它少数非开放源代码的应用系统也在逐步向开放源代码系统转化。

四是推广“端口25管理”技术。2013年4月10日 巴西互联网指导委员会发布首份巴西“端口25管理”(Port 25 Management) 应用评估报告指出,Port 25 Management的应用让巴西不再是发送垃圾邮件最多的国家之一。2009年,巴西的垃圾邮件高居世界首位,如今,巴西的排名下滑到第十八位。巴西Port 25 Management 项目于2005年推出,包括一系列协议,旨在降低垃圾邮件发送者对宽带网络的使用,实现邮件的直接发送。

五是强制安装反间谍电子邮件系统。2013年10月14日,针对美国监控巴西网络的报道,巴西通讯部长保罗·贝尔纳多表示,巴西政府将颁布一项法令,强制要求本国所有的行政管理与公共服务部门使用由联邦数据处理中心于2010年创建的反间谍电子邮件系统Express,要求在2014年6月之前完成强制安全工作。

5.全面推广电子认证机制

为了提高电子商务、电子政务等信息网络系统的安全性、可靠性,巴西政府高度重视电子认证工作,将电子认证系统作为信息安全建设和应用的重要基础设施 。在联邦政府的强力推动下,建成了全国统一的电子政务认证系统,并形成一套比较完整的法律法规和管理制度。其中巴西电子政务认证中心(CA)负责全国电子证书的发放和管理,每个部和州都建立相应的分中心(RA),负责本部门和地区证书的审核、发放,在全国范围形成了一个权威的证书体系。2007年底,巴西全国共有8个机构可签发数字证书,累计发放数字证书200多万张。电子认证工作的开展,有效保障了电子政务应用的数据安全,提升了信息处理的效率。

6.广泛开展国际交流合作

一是加强与联合国合作。2007年11月12日至15日,巴西举办了联合国互联网治理论坛(Internet Governance Forum, IGF)第一次会议,来自70多个国家的政府、民间组织和私营企业的代表出席论坛,代表们就互联网资源、互联网的接入、多样化、开放性和安全性等问题展开了讨论。2013年10月9日,巴西通信部长保罗·贝尔纳多说,为避免美国对其它国家实施间谍监控活动,巴总统罗塞夫倡议2014年4月在巴西举行一次由联合国参与主导的国际互联网安全大会。2013年11月1日,巴西和德国共同向联合国人权事务委员会提交了一份有关保护公民隐私和人权的决议草案。提出在网络时代要加强公民电子通讯的信息保护,要求所有国家的海外监听、监控行为都应该受到法规约束。2014年4月23日,全球互联网治理大会在巴西圣保罗开幕,巴西总统、联合国副秘书长和80多个国家或非政府组织的850名代表出席了会议。各国代表围绕互联网安全、稳定性和应变能力,以及互联网治理中的原则等议题进行讨论,最终形成了一份关于全球互联网治理的建议性文件。

二是加强与国际刑警组织合作。为了有效打击利用互联网传播淫秽电子信息犯罪,巴西警方通过国际刑警组织将相关线索提供给有关国家,共同采取行动,并取得了很好的效果。2006年2月巴西警方与20多个国家的执法机构合作,共同组织了“Azahar”行动。此外,巴西警方多次通过国际刑警组织将网络犯罪信息传送给各相关国家,使相关国家的警方得到这些信息后,共发出了400余张的搜查令,逮捕了100余名罪犯,并至少救出了4名遭到成年人性虐待的儿童,还收缴了大量的含有非法内容的各类文档。

三是召开“首届国际调查网络犯罪会议”。2004年9月13日,巴西联邦警察举办了“首届国际调查网络犯罪会议”。在为期3天的会议中,来自20多个国家的近500名专家就调查和打击网络犯罪的新技术和经验进行了交流,会议探讨了国际刑警组织在打击跨国网络犯罪中的作用和各国立法防止网络犯罪的情况,提出建立一个打击网络犯罪国际合作机制的目标。

四是加强与其它国家的双边合作。2013年9月13日,巴西国防部长与阿根廷国防部长签署声明,把网络防御列为双边国防合作的重要内容,商定在2013年年底前在巴西利亚召开会议,强化两国在网络防御上的互补合作。10月15日,巴西与印度外长表示,双方愿意共享网络安全知识,以应对美国及其盟国进行的间谍监控活动。两国将在网络安全上保持持久接触,相互交流有关知识与信息,并共同分享技术上的进步。10月16日,巴西国防部长和俄罗斯国防部长达成一致,决定加强两国间防务合作,成立专门工作组讨论网络空间安全技术,制定网络防御指令,共同研究如何控制网络武器的使用。此外,巴西还在预防和打击网络犯罪领域,先后与英国、日本、韩国等国建立了合作机制。

2017-01-13 14:12
来源:中国信息安全杂志(2016.07
热门推荐更多
热点新闻更多