新闻媒体

浅议“棱镜门”背后的网络信息安全

浅议“棱镜门”背后的网络信息安全
  美国“棱镜门”所曝光的的网络信息安全问题让人震惊。从“棱镜”到“梯阵”等系列窃听项目,标志着美国对整个世界的监控无处不在,无时不在。“棱镜门”背后的网络信息安全问题,不仅仅是个人的隐私保护问题,也是美国反恐、霸权政策中自由与安全分裂的问题,更是美国不断将网络信息问题“安全化”,进而“军事化”的问题。这意味着,网络信息领域将成为新世纪争夺最重要、最激烈的领域。其中,窃听与反窃听、控制与反控制的斗争将持续且激化,这将成为世界和平与发展的严重隐患。解决网络信息安全的出路在于从个体层面应立法加强隐私、信息的保护;国际层面则应增强信任与合作,及在网络信息领域“去安全化”。

  “9·11事件”彻底改变了美国安全与自由的平衡。美国政府“9?11事件”后随即“向恐怖主义宣战”,当时竞有80%的美国民众表示,为获得更大的安全,他们已准备好为合法保护自由做出牺牲。也就是说,美国民众一度认可并接受了安全压倒自由。

  但2013年6月9日,随着美国电脑专家、中央情报局前分析师和国家安全局承包商的雇员爱德华?J?斯诺登在英国《卫报》和美国《华盛顿邮报》同时曝光,美国情报机构于2007年启动的一个代号为“棱镜”(PRISM)的绝密监控项目--他们可以在没有授权的情况下对任何在美国境外人士或涉外通信的美国人进行秘密监听。其中,Google、Facebook、微软、雅虎和苹果等在内的9家科技公司为美国政府提供服务器接人许可。一时间,世界哗然。随着“棱镜门”事件的发展,隐私保护、网络信息安全被再次提出并广泛讨论。

  一、窃听:从“棱镜门”到“梯阵”系统

  在“棱镜”计划遭曝光后的第二天,美国总统奥巴马做出回应,公开承认该计划。但他同时指出,首先这得到了国会批准,是在外国情报监视法庭的授权下进行的,旨在反恐和保障美国人安全;其次,这项计划只是形成了“对隐私的轻度侵犯”。

  “棱镜”计划的确要从美国“9?11事件”之后美国应对恐怖袭击说起。2001年10月26日,由美国总统乔治?沃克?布什签署颁布的《爱国者法案》以国家安全的名义扩大警察机构的监控力度和情报机构的职权范围,这也成为美国应对恐怖袭击的基本措施。随后,他又授权了国家安全局(简称“国安局”,NSA)秘密执行一项无授权恐怖分子监听项目(简称TSP)。该项目无须获得美国法院授权,也无须顾及基本的民权,可以监听美国公民的国际电话和电子邮件,与这个项目同时进行的是大规模的数据挖掘活动。这次行动的细节直到2005年《纽约时报》曝光后布什政府才承认。

  恐怖分子监听计划正是“棱镜”计划的前身。恐怖分子监听项目在2001年9月11日到2007年1月之间执行。当时,这个计划曾遭到广泛批评,且其合法性因未经过外国情报监视法庭批准而受到质疑。2007年1月17日,美国司法部长冈萨雷斯写信给参议院司法委员会,报告政府将停止该项目。不过,在白宫的强烈要求与压力下,美国国会又于2007年8月通过《保护美国法案》(简称PAA),对FISA进行了修正。其中,国际无线电监听无须授权的规定扩展到所有通信方式。在美国国家情报总监和司法部长共同签署证书的情况下,即使没有监听法庭的命令,也可以对在美国之外的人进行情报监听,这一临时授权在2008年2月16日结束。“棱镜”就是这个法案的产物,“恐怖分子监听项目”正式由绝密的“棱镜”计划所取代。所以,“棱镜”只不过是小布什TSP项目的变体。2008年7月,美国国会从《外国情报监督法修正案》(Fisa Amendments Act,简称FAA)中重新获得授权,且当其中一方在美国之外时,“特别授权情报机构可以监听美国国内公民长达一周的电话、电子邮件和其他通讯,不用申请许可。”这一授权在2012年9月再次延长5年。

  “棱镜”项目设立后,微软2007年12月成为了其第一个合作伙伴;2008年,雅虎加入该项目;2009年,谷歌、Facebook和Paltalk一并加入;2010年,YouTube;2011年,Skype和AOL;2012年,苹果公司也参与其中。截止到2013年10月,斯诺登的披露显示美国已监视的国家包括:法国、墨西哥、德国、巴西、英国、中国和西班牙,世界上35个国家的领导人的电话通话遭遇监听,这已造成美国和它的一些亲密盟友关系的紧张。

  实际上,“棱镜”计划只是美国网络监控冰山一角。2013年6月16日,美国《华盛顿邮报》披露,“棱镜”计划实际上缘起于美国国安局代号为“恒星风”的监听计划。2001年“9?11事件”后不久,由小布什批准实施。在奥巴马任内,该项目改名为“拉格泰姆”计划。

  严格意义上说,“棱镜”只不过“梯阵”项目的美国版。“梯阵”系统是一个全球联合信号情报网络,监视的几乎是整个世界所有电子信号。“梯阵”系统早在“二战”结束后的1948年便诞生,当时是为了服务于美苏两大军事集团进行冷战的需要,由美国牵头在全球范围内建立了代号为“梯阵”的监听网络,以对前苏联的政治、经济、军事动向进行严密的监控。为此,美国、英国、加拿大、澳大利亚、新西兰等国还专门签订了有史以来最秘密的安全协定--《联合王国-美国协定》来保证该系统的合法性。”梯阵“系统由各协议国联合运作,根据这个安全协定,五国的电子“真空吸尘器”都有其特定的监控范围和方向。

  “梯阵”系统庞大的网络遍布世界各地。广布全球的地面监听站、航行在七大洋的情报船和针对海底电缆通信进行监听的潜艇、在低轨道运行的卫星集群、拦截通信和其他电子信号的侦察飞机等联合工作,使NSA及其联盟能监听、截获世界各国的电话、传真和电子邮件。然后,它们再将这些信息送到两个情报分析中心:一个在美国马里兰州的国家安全局,另一个在英国伦敦以西、英国皇家空军位于曼威斯山的政府通信总部。两个情报分析中心再利用其大型计算机,对这些情报加以分析综合,生成标准格式的情报数据,然后传送到相关情报机构。可以说,很少有信号能逃出该系统的电子监控。

  二、自由与安全:美国政策内在的分裂

  美国超强和领先的全球监控能力亦面临种种持续和内在的冲突与挑战,让美国政府在执行安全政策上左右为难,“棱镜门”后不得不左支右绌地面对。

  首先,美国“棱镜门”及其全球监听系统的曝光对奥巴马总统形象与美国与其盟友关系构成了重大打击。布什政府在2007年关闭了其无证窃听计划,又以一项新的法律--《保护美国法案》允许窃听在调整中继续;国家安全局通常必须向在华盛顿的秘密法庭解释其技术和目标,但不需要个人授权。当美国国会批准该方案时,当时正在参与总统竞选中的伊利诺伊州参议员奥巴马投票反对了它。“(布什)政府在我们珍惜的自由和为我们提供的安全之间提供了一个错误的选择”,奥巴马在投票前两天的一次讲话中说,“我将为我们的情报和执法机构提供他们需要的工具来跟踪和捉拿恐怖分子,而不破坏我们的宪法及我们的自由。”然而,奥巴马2009年一上台随即改变对监听的态度。奥巴马说,美国人就安全而言确实不得不做出艰难的选择。实际上,始于小布什时期的“棱镜”计划,不仅被奥巴马政府全盘接收并扩大,而且更没有哪位在奥巴马之前的美国总统如此系统地展开追踪与窃听。

  “棱镜门”曝光后,2013年6月17日,CNN公布的民调显示,奥巴马支持率为45%,较5月大跌8个百分点;不满意率为54%,较5月上升9个点,创下2011年11月以来的新低。美国监听德国总理默克尔手机一事更让奥巴马颜面扫地。奥巴马与默克尔通话时装傻表示,自己对监听一事并不知情。但美国国安局一位高级官员却透露,奥巴马2010年就被告知监听了默克尔,他“不仅没有阻止,还下令延续这个项目”。与奥巴马的个人信誉和道德姿态一起下降的是美国的软实力。随着“棱镜门”持续发酵,越来越多的原本为美国盟友国家的德国、意大利、法国、墨西哥以及巴西等国均加入到抨击和谴责美国大规模监听活动的行列。对此,法新社(AFP)如此评论道,随着斯诺登披露的内容一滴滴流出,汇成了白宫的大麻烦。令奥巴马所谓“拯救了布什时期锈迹斑斑的海外关系”的说法落空,曾被大西洋两岸欢呼为一位英雄的奥巴马正被证明,他和布什没有太大不同。

  其次,美国面临自由理念与安全的分裂。NSA前承包商雇员斯诺登泄露的一份内部审查报告显示,国安局曾在一年时间内违反规则达2776次。对此,白宫频频将“反恐”作为说辞和“脱罪”借口。奥巴马则反复辩解说:“你不能在拥有100%安全的情况下,同时拥有100%隐私和100%便利。”实际上,美国开国元勋本杰明?富兰克林就曾对安全与自由间平衡有着经典论述:“任何牺牲基本自由以换取短暂安全的人,最后既得不到安全也得不到自由。”更重要的是,美国宪法修正案第四条规定:“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利,不得侵犯。除依据可能成立的理由,以宣誓或代誓宣言保证,并详细说明搜查地点和扣押的人或物,不得发出搜查和扣押状。”在1967年的卡兹诉美国案(Katz v.United States)中,联邦最高法院认为其保护也需同样延伸到个人隐私上。此标杆性判例,使隐私位于第四修正案的核心。

  正是如此,美联社民调显示,近60%的美国人表示反对国安局收集他们的电话和互联网的数据使用。另外,《华盛顿邮报》和美国广播公司新闻联合民调也显示,74%的受访者认为国安局的间谍行为侵扰了他们的隐私权利。这表明美国民众由先前同意“安全压倒自由”正逐步转向“隐私优先于安全”。

  最后,是能力与现实的分裂。美国NSA局长、美军网络司令部司令基思?亚历山大2013年6月18日在国会作证时称,过去数年来,这两个电话及互联网监控项目和其他情报一道,曾协助挫败超过50起恐怖阴谋。但“棱镜”在去年早些时候并没能成功阻止波士顿马拉松赛爆炸案的发生,而且也没有这样的系统能够胜任如此任务。因为除非在“美国每一个家庭、商店和办公室的每个房间都能按我们需要装上摄像头和监听设备。更不用说,美国现在所有的公共场所都已安装了。或许这样,我们可能会看到波士顿爆炸案中的主犯用炸药包装他们的压力装置。”美国加州一个律师不无讽刺地如此评论道。总之,无论美国技术多高,监控能力多强,想实现绝对安全、绝对控制都是不可能的事。

  美国截获的信息量可以用海量来形容。2002年,时任NSA局长的麦克尔?海顿在国会接受质询时称,上世纪90年代国际通话量从每年380亿分钟增加到超过1000亿分钟。到2002年,国际通话将超过1800亿分钟。为提高信息的功效,美国国会2004年以建立一个“信息分享环境”进行了一次情报改革。然而,更多的情报分享则意味着更多的人获得了接触机密信息的权限。“9?11事件”和伊拉克、阿富汗两场战争,产生了巨量安全机密信息,需要更多的人来处理。情报改革成功促进了情报的完整和分享,但却无法保证管理好接触如此大量情报人员的保密问题。美国国安局搜集的几十亿通美国国内电话“元数据”,要通过几十万遍布在弗吉尼亚、马里兰和华盛顿联邦政府中的数据分析人员的分析,他们构成了美国的巨型“数据情报联合体”。而在数据瀑布中寻找一滴有潜在威胁的“水滴”无异于“大海捞针”。

  “9·11事件”后,情报外包业务量如火箭般蹿升,收集、分析情报及其他业务的需求和预算大幅膨胀。斯诺登所服务的博思艾伦咨询公司(Booz)以及SAIC、Northrup Grumman等业界巨头都分到了“大蛋糕”,但小公司也群集于此。据研究情报外包的作家蒂姆?肖洛克在其著作《雇用间谍》中透露,美国现在每年情报上大约花费了600亿美元。2007年,70%的情报开支都流向了私人公司。据国家情报总监办公室的报告,2012年有483236名私人承包商员工拥有高级安保许可。相比之下,政府工作人员中拥有高级安保许可的也不过为791200人。另外,还有近582542承包商员工有较低级别的安保许可,而政府工作人员中则有270万人拥有此类许可。可以看出,在能接触机密的人中,承包商及其员工占到相当高的比例。正是如此,出现爱德华?斯诺登这样的泄密者就并不奇怪。

  三、网络信息:从安全化到军事化

  企业承包商高级主管直接为国安局与中情局服务;退休情报人员又名正言顺地返聘到替承包商工作。这样,承包商与情报界的两者之间的密切关系与利益共同体使彼此之间形成“情报-企业复合体”。甚至,许多数十亿美元的大承包商还专门雇有对政府官员或议员进行游说或疏通的说客为他们服务。正是在内在需求、利益驱动与公关游说推动下,作为当今世界最发达的互联网大国,美国不断把网络、信息问题安全化,再由安全化推向军事化。从克林顿时代的网络基础设施保护,到布什时代的网络反恐,再到奥巴马时代创建网络司令部,美国的国家信息安全战略已演变为“从防护到威慑,甚至主动攻击”。

  2005年,美国《国防战略报告》就明确地将网络空间与陆、海、空和太空定义为同等重要的、需要美国维持决定性优势的五大空间。2009年2月,奥巴马一上任就启动了为期60天的网络安全评估工作。2009年5月29日,美国发布的《网络空间政策评估报告》中指出:“网络空间对美国经济、民用基础设施、公共安全和国家安全提供了重要的支撑。……然而,网络安全的风险也构成了21世纪最严峻的经济挑战和国家安全挑战。”2010年5月27日,奥巴马总统在向国会递交其上任以来首份“国家安全战略报告”中更是把网络安全上升到国家战略层面:“网络安全威胁是当前美国国家安全、公共安全和经济安全领域中所面临的最为严重的挑战之一。”“数字化基础设施是国家的战略资产,在确保公民隐私和自由的前提下对其加以保护,是国家安全的优先要务。”2011年5月,奥巴马亲自作序的《网络空间国际战略》中指出,恶意软件等“大规模破坏性武器”对美经济安全、公共安全和国家安全构成极大威胁,保护网络安全必须成为所有联邦政府部门的第一要务。2013年1月24日,美国国土安全部长珍妮特?纳波利塔诺在一次演说中称:“‘网络9?11’可能迫在眉睫,包括水、电和燃气供应等美国主要基础设施将不堪一击。我们不应该束手旁观,等待‘网络9?11’发生。”2013年6月27日,美国参谋长联席会议主席邓普西上将在布鲁金斯学会发表演讲时说:“网络已经从一个让人有些担忧的问题,升级成了严重威胁我们国家安全的问题。……我们现在生活的世界里,比特、字节都已经变成了武器,点击鼠标就可以扰乱整个国家。”

  根据哥本哈根学派“安全化”理论,“安全化”是指使得某种公共问题经过特定的“认同普遍化而成为国家机构涉及的安全问题。”就是把安全指涉对象建构成一种存在性威胁,并号召人们采取特殊的应对方式去消除这种威胁。并将这些问题“要么设定为一种特殊的政治议题,要么居于政治之上”,再通过话语的形式将安全的定义固定下来。安全化一是“可以使用特殊的手段来保持,也可以要求获得必要的社会资源来保证它”,这是美国“情报-企业复合体”所需要的;二是一旦安全化了,国家就可以用国家安全名义占有社会资源,甚至剥夺公民的自由。这是美国政府排斥争议、排斥美国宪法及法律束缚所迫切需要的。因为“‘安全’是超越一切政治规则和政治结构的一种途径。”安全化的结果,就意味着争论的结束,就可以超越常规法制和社会规则的手段加以迅速处理。

  不过,网络与信息的监听,不仅民间存在强大的反对声浪,就连小布什政府时期的代理司法部长科米、司法部助理部长杰克?戈德史密斯、联邦调查局局长罗伯特?米勒等,以及小布什在司法部任命的多数高层官员也都认为电子监视令违法,并拟于2004年3月12日集体请辞。而小布什为挽留他们,终止了“星风”电子监视计划。

  三是经过“安全化”后,美国政府就可以把网络、信息窃听公开地、大张旗鼓地进一步军事化。2002年,为防止遭受大规模网络攻击,时任美国总统的小布什签署了国家安全第16号总统令,组建了美军历史上首支黑客部队――“网络战联合职能司令部”。次年,美军战略司令部被正式赋予集中计划、准备和实施信息战的任务。后历经改革,在美军战略司令部下又成立了信息网络作战行动司令部和信息网络保障联合中心。2006年底,美国国防部组建了网络媒体战部队。在素有“网络总统”美名的总统奥巴马推动下,美军黑客部队的发展速度更明显加快。2009年5月29日,白宫宣布组建网络安全办公室,以负责为总统提供网络空间安全方面的决策建议,协调政府相关政策与活动。同年6月23日,时任美国国防部长的罗伯特?盖茨正式签署命令,在战略司令部下成立了网络司令部,统一指挥美军网络战。2010年5月21日,网络司令部正式开始运行,由美国NSA局长亚历山兼任司令,办公地点就设在国安局总部内。在组织架构与布署完成之后,美国国防部在2011年7月14日发布的首份《网络空间行动战略》中强调:“国防部应将网络空间视为一个行动领域,加以组织、训练和装备,……如同我们在陆、海、空、天所采取的行动,以支撑国家安全利益。”这是美国首次就网络攻击行为制订正式的反制战略,并首先明确,“武装冲突法”同样适用于网络攻击。如果网络攻击造成的人员伤亡和设施损坏达到传统军事攻击的严重程度,就会被视为战争行为。邓普西在2013年6月27日演说中也表示,军队必须“能以网络的速度行动,不能以我说的旋转椅的速度行动,……我们将竭尽所能,在网络空间上进行军事准备。”在此之前,美国国安局局长兼任网络战司令部司令亚历山大在美国参议院军事委员会听证会上表示,美国正在组建40支网络安全部队。他说,其中13支为“进攻性”部队,主要开发网络战武器;另外27支部队的主要任务是保护国防部的电脑系统和数据。所有40支部队将于2015年秋季前全部建成。还值得一提的是,美国网络司令部2013年将扩编为接近5000人,年度预算达到34亿美元。该司令部2010年建立时仅有1000人,当年预算也只有1.2亿美元。美国在网络信息军事化、武器化方面正大步前进。对于批评,奥巴马政府的回应是:“一旦人类拥有造船的能力,我们就建造海军。一旦你能制造飞机,我们就建造空军。信息网络领域成为新战场并不值得世界大惊小怪。”

  在完成网络信息的安全化与军事化之后,奥巴马就迫不及待地实战化。据《卫报》去年6月7日报道,奥巴马2012年10月签发一份保密级别极高的总统指令--“20号总统政策指令”,要求美国国家安全和情报方面的高级官员起草一份名单,列举美国发动网络攻击的潜在海外目标。绝密指令要求加快发展网络攻击能力。仅2011年,美国情报机构就曾对其他国家实施了231次网络攻击,这其中包括伊朗、俄罗斯、中国和朝鲜等国家。信息与网络正成为美国新的军事工具,成为其进攻、侵略的新武器。更应看到的是,经过20余年的摸索,美国在机构设置、人员配置、武器装备上都做好了打一场更大规模、更高层级网络战的准备。

  结语

  “棱镜门”暴露了美国对整个世界的监控无处不在,无时不在,其背后全球网络信息安全的严峻与挑战也随之浮出水面。“棱镜门”背后暴露出的网络信息安全问题是,美国不断将网络信息问题安全化,进而军事化,最终将网络信息空间塑造成继陆、海、空、天之后的第五域,即大国竞争的又一新战场。可以预见,随着人类进入信息时代,这一领域、这一新战场将成为争夺最激烈、最重要的领域。控制与反控制、对抗与反对抗将持续。首先,保护个人隐私与网络信安全任重道远。从商业方面看,获得手机号、联系人等用户隐私内容,就可以进而深入分析用户身份和社交圈。以便定向投放精准广告,如短信、电话营销、手机通知栏广告等;或直接出售给广告商和游戏、应用程序和网站的开发商,用户的隐私与信息就是他们的产品。在政治方面,用户的隐私信息可以用于竞选。安全机构则通过获取个人隐私信息构建相互参考的数据链。更进一步,随着窃听技术的扩散,新技术反过来强化少数人对多数人从精神到行为控制的可能。这并非空穴来风。早在英国前首相撒切尔夫人执政时期,撒切尔曾要求“梯阵”项目对部分怀疑对自己不忠的英国政治领袖进行监视。在美国,黑人民权领袖马丁?路德?金等名人都曾被美国情报系统监听、监视。尽管美国宪法保护美国公民的自由和隐私权,但是美国的宪法与法律怎样限制这些看不见的“手”与“眼睛”,看来是面临前所未有的挑战。

  隐私与网络信息安全更关系到西方文明与制度的延续。从西方文明之始,西方的生活方式一直依赖于能免于被国家任意干涉和监控的自由和权利。但随着未来监控技术的发展,将有能力消灭大部分西方生活方式的基础。巴西总统罗塞夫在联合国大会上直言:“没有隐私权,就没有真正的言论自由或思想自由,因此也就没有真正的民主。”

  其次,美国不会停止窃听,也不会大幅改变其窃听政策。监听能力是美国隐形霸权中最主要的部分。美国以反恐之名,实际却在争夺这个隐形战场上的制高点,以维持其全球战略优势与世界霸权。特别是奥巴马政府执政后,希望未来能“用电脑代替炸弹”、“用网络代替枪炮”,对敌人发动“更快速、更少流血的远程袭击”。不仅如此,“如果你让我们的电网陷入瘫痪,我们就将在你的烟囱里投一枚导弹。”所以,网络信息的武器化只是美国寻求单边优势的一种手段。美国的监听活动已远远超出了人们的想象,美国监听起步之早,超出人们想象。这种只顾自己的安全,只关心自己的霸业,不惜损害其它人或其它国家包括盟友的利益,反映出美国在网络信息安全问题上赤裸裸的单边主义和霸权主义。

  最后,网络信息安全是主观安全和认同安全,由想像和主观建构的安全问题。“梯阵”联合监听项目是由美国、英国、加拿大、澳大利亚和新西兰协同合作实现的,且他们之间也有协议不允许相互窃听对方。原因在于他们说的都是同一种语言--英语;主流或主体民族都是盎格鲁-撒克逊人,以及共同宗教、价值观等,代表的是西方文明。简而言之,他们有着相同的文化认同,他们的共同身份让他们“感觉”到了彼此安全。因此,从这个角度来看,网络信息安全是主观安全或认同安全。

  更何况,美国控制了全球13台域名根服务器中的10台,从计算机芯片、操作系统,到网络协议、路由、域名解析等大都打上了“美国制造”标签。美军通过指令启动可能存在的芯片内置程序,不管是自毁还是“反水”都易如反掌。这就是说,美国政府拥有世界上最强大、最先进的网络技术能力,怎么还有网络安全问题呢?正如丹麦哥本哈根和平研究所高级研究员、哥本哈根学派中坚人物奥利?维夫所认为的那样:实际上,没有什么既定的安全,当一个事物被视为安全问题时,它就是安全问题。更简单概括就是“这一事物被安全化了”。

  美国对网络信息不断地安全化、军事化,势必引发其它国家仿效与网络安全的竞争,从而形成一种安全上的“囚徒困境”,进而激发网络军备竞赛。因此,制订网络信息安全公共政策从个体层面应立法加强隐私、信息的保护;从国际层面,应是加强国家间及联合国层面的合作,增加彼此互信,通过机制、协议禁止相互间的网络间谍活动。更为根本的是要在网络信息领域“去安全化”,不要让比特、字节武器化,还网络一个自由交流、信息交换,促进发展的和平空间。