美参议院商务委员会通过《网络安全法案》编辑本段回目录
只需轻按一下键盘,就有可能发动一场网络战。
黑客最常使用的攻击手段是计算机病毒。
新华网华盛顿3月24日电(记者任海军)美国参议院商务、科学和运输委员会24日全票通过了旨在加强美国网络安全、帮助美国政府机构和企业更好应对网络威胁的《网络安全法案》。该法案将进入参议院全院表决程序。
法案要求政府机构和私营部门在网络安全领域加强信息共享,在应对“网络安全紧急情况”时加强合作。“网络安全紧急情况”在法案中的定义是“相当于战争行为、恐怖袭击或重大自然灾害的网络事件”。法案还要求通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
不过,24日通过的法案不允许总统单方面关闭美国的互联网,这与委员会主席杰伊·洛克菲勒及参议员斯诺·盖恩去年提交的法案草案有所不同。
“(美国的网络安全)现状不可忍受。我们需要21世纪的新模式。我们必须确保美国的关键网络以及在全球市场中的创新和竞争力,”洛克菲勒在法案通过后发表声明说。
奥巴马政府上任以来一直高度重视网络安全问题。他曾表示,来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一。据悉,美国参议院国土安全和政府事务委员会也在讨论一项有关网络安全的议案,议案要求在白宫增设国家网络安全顾问,其任命须经参议院批准。
美草拟网络安全法案 被喻为没有牙齿的老虎编辑本段回目录
在这份长达64页的“全国保护网络安全策略”(National strategy to Secure Cyberspace)计划中,布什政府将许多强化网络安全的作法留给民间(即网络用户与企业)自行解决。
政府采取放手作法虽然在科技产业颇受好评,但引来部分批评声浪。一位安全机构执行长Steven Kirschbaum便指出,“这形同没有牙齿的老虎,缺乏强制性。任何安全政策的入门规则便是要有强制性,否则只是一篇门面好看的新闻稿而已。”
草案中比较受争议之处是此次政府将大部分责任放在最弱势的族群:个人用户。例如,先前旧版强制网络服务供货商(ISP)必须提供防火墙与防毒软件给用户,但新版中只建议ISP这么做。
“这有点像要求搭乘飞机的乘客自备降落伞登机一样。”网络安全机构SANS研究主任Alan Paller表示。
不过白宫虽然不愿制订任何新的管理政策,新版草案中则明列将利用政府采购力量来推动此一计划,内文中建议政府各机构必须严格要求厂商提供更安全的软件,且唯有达成这些要求的厂商才能获得采购合约。
计划也建议民间企业遵照政府此一办法进行,例如在网络上设定身份认证、管理软件设定、教育员工正确的安全观念、组成意外响应小组、组织安全管理团队、定期分析网络、并运用采购力量来影响厂商软件的安全措施。
Paller认为这应该是可让IT厂商推出更安全产品的唯一办法。
一连串安全警告
最近一连串事件显示强化网络安全的措施并非无的放矢。光是一只名为Slapper的Linux病毒就已经瘫痪超过6700台服务器,并可自组P2P网络攻击企业的网络联机。此一毒虫是利用OpenSSL软件中的漏洞,许多网站都使用此一开放原始码软件做为网络安全通讯软件。
另外,Netscape与Mozilla版的浏览器最近也传出漏洞,会泄漏网友的网络浏览信息。此一漏洞会将网友正在浏览的网页URL传送给上一个造访的网络服务器(即使网友是使用bookmark或手动输入网址亦同)。如此一来,网络服务器便可追踪网友离开该网站之后的行踪。
微软也在上周警告用户Windows操作系统中有两个严重的漏洞,可能导至用户的PC遭骇客入侵掌控。漏洞主要是出在微软版的Java虚拟机器中(JVM)。
针对外界反映,白宫上周五则表示不受外界压力干扰。“政府不应该规定民间产业要如何发展。”白宫国家安全架构保护委员会副主席Howard Schmidt表示。不过这位前微软安全长也表示这份计划目前还在修订中,未来还会有八次会议,预计在秋季前呈递给布什总统。
美众院批准耗资近十亿美元的网络安全法案编辑本段回目录
美国国会2002年11月12日下午批准了一项大规模开支计划,该计划将支出近10亿美元用于电脑安全研究。
通过呼声表决,美众院通过了网络安全研究和发展法案(CSRDA),该法案在未来5年内将拨给大学约9亿美元用于创建安全中心、招募研究生以及支付研究费用。
这些措施已得到参院的批准,将呈送总统布什签字。
在表决后举行的记者招待会上,该法案的支持者说,该法案有助于解决美国的“网络安全”问题,并相信会有更多的学生研究相关课题。
布什签署该法案后,该法案在5年内将达到以下目的:
拨款2.75亿美元用于博士后研究奖学金和高级研究奖学金。研究工作必须“与电脑系统安全有关。”
拨款2.33亿美元用于研究专用款项,研究内容包括9个与安全有关的领域,如密码、隐私、无线安全以及“提高发现、调查、起诉网络犯罪的执法能力,包括那些涉及知识产权保护的犯罪”等。
拨款1.44亿美元建立电脑和网络安全研究中心,该中心用于增加“电脑和网络安全研究人员以及其他专业人员的数量并提高他们的素质。”
拨款95万美元专项资金用于让大学“建立或改善电脑和网络安全的研究生和本科生计划”。
拨款9000万美元用于为那些追求电脑和网络安全研究的研究生建立培训计划。
拨款3200万美元研究资金,用于改善网络安全,并支付“多学科、长期、高风险研究费用,以改善电脑系统的安全”。
拨款2500万美元用于培训计划,以鼓励研究生“在获得博士学位后选择网络安全为学术生涯”。
网络安全法案编辑本段回目录
网络安全法案,按照H.R.5710 2002年国家安全法案第225部分规定实施
生效日期:2002年11月22日
I.概况
网络安全加强法案(下称"法案")包括多个提高计算机网络安全和隐私的修正条例.在其他情况中,法案(1)授权法律实施在某些紧急情况下使用追踪和诱捕跟踪设备,比如威胁到国家安全和受保护计算机受到攻击时;(2)对于计算机黑客侵犯案件引起死亡或严重人身伤害的情况下提高刑罚;(3)指示审判委员会对所有黑客案件检查使用刑罚;和(4)对于某些侵犯隐私的案件,比如非法拦截手机电话,提高刑罚.
II. 225部分条款(b)和(c):关于计算机黑客侵犯案件量刑指导的修正条款
225部分(b)指导美国量刑委员会回顾,并且在合适的时候修正适用于18U.S.C. § 1030侵犯案的指导原则.在进行回顾时,该部分规定指示委员会考虑到某些因素,包括犯罪是否:(1)为了商业收益或金融利益;(2)造成对个人隐私的侵犯;(3)影响国防,国家安全,或司法行政;(4)损害紧要的军事防卫设施;或(5)威胁公共卫生或安全,或对任何人造成伤害.按照225部分(c)的规定,委员会必须最晚在2003年5月1日之前向国会报告它回顾的结果,包括任何对指导纲领的修正条款.
III.225部分(d):提供商在涉及死亡或严重人身伤害的紧急形势下自愿透露信息的情况
以前的法律:附属部分2702(b)(6)以前同意网络服务提供商向"某个法律强制机关" 自愿透露某种传播过程的内容,但是只有在下列情况下允许:(1)网络服务提供商无意中获得(比如,服务提供时的事件)某些内容,这些内容显示和某项犯罪有关;(2)内容包括儿童色情,这附属于42 U.S.C. § 13032规定的报告要求;或者(3)"提供者有理由相信〔d〕一次涉及马上会发生的死亡危险或严重人身伤害的紧急情况要求〔d〕毫不耽搁地透露信息."
问题:网络服务提供商主张附属部分2702(b)(6)不必要强迫透露防止死亡或严重人身伤害所需要的信息.附属部分同意网络服务提供商只能"向法律实施机关"泄漏这些内容.而在某些紧急情况下,比如一次生物恐怖主义攻击,向例如疾病控制中心这样的非法律实施机关透露消息或许更快捷和更合适.虽然如此,然而,将这样的紧急情况向合适的非法律实施机关汇报的网络服务提供商将面临潜在的民事责任.
另外,网络服务提供商表达了担忧,那就是以前依照法规的条文要求他们自己(即网络服务提供商)来诠释有歧义的表达以决定是否属于无需法律程序就允许透露信息的规定不足以对他们进行保护.比如,如果一个网络服务提供商相信有与某个生命威胁相关的紧急情况的内容出现,并且向法律实施机关透露了,如果法庭此后决定该网络服务提供商的相信不够"充分理由"的话,他就可能为透露信息而负责.这样,以前的附属部分就打击了网络服务提供商为反对危险情况而悄悄透露拯救生命的信息的行动.
同样,一个网络服务提供商透露用户交流中有关威胁到生命的紧急情况的内容时,也会面对负责的问题.如果法庭之后认为死亡或严重人身伤害的危险不是那么"紧急而致立即发生".这种负责的考虑会引起信息透露的延误,减轻法律实施的责任以防止或调查这样的紧急情况.
变动:新的附属部分2702(b)(7)代替了旧的2702(b)(6)(C),这就使得向"联邦,州或地方政府机关"透露相关生命威胁的紧急情况的内容有了可能,而不只是向"法律实施机构".如果向一个非法律实施机构——比如说疾病控制中心或联邦紧急事务管理机关——透露这样的内容将会更加合适和有效,网络服务提供商可以将这样的内容直接向那个机构透露.新的附属部分也要求网络服务提供商坚持,只要有"善的诚意"相信有死亡或人身伤害危险,消除了必须充分理由和危险必须非常急迫的要求.不象以前那样要求危险必须有那么紧急,新的附属部分要求网络服务提供商相信该危险需要"毫不耽搁"地透露相关信息.一个有善的诚意相信该内容有关某个生命威胁的紧急情况的网络服务提供商可以无需担心为此负责地透露相关信息.
另外,法案建立了一个报告要求,即关于提供者透露有关死亡或人身伤害危险的信息.法案225部分(d)(2)要求接收类似信息文件的政府部门在信息透露90天内提交一个报告,汇总到总检察官,透露内容包括指明(1)2702(b)部分的那段内容,就是关于透露信息的部分,(2)信息透露相关的顾客或用户数目,和(3)透露交流的数目,如果有的话.总检察官则必须在2003年11月22日提供所有这些报告.司法部正在准备指定一个合适的部门来接收来自法律实施部门关于紧急信息透露的报告.(4)政府部门应当收集和保留这些报告,直到部门发布有关这方面内容的进一步的指示.
IV.225部分(f):网络上关于非法拦截设备的广告
以前的法律:在修正案之前,第18条的附属部分2512(1)(c)认为对非法拦截设备的广告(那些设备对于通讯中偷偷摸摸的拦截"具有初步的用处")是违法的,这些广告通过"报纸,杂志,小广告传单和其他印刷品方式……通过邮件发送或在国内或国外的商业来往中传送".附属部分的条文或解释它的个案法律都不能阐明,附属部分规定是否适用于网络上的广告,或甚至是通过传统电子媒体比如无线电收音机或电视播送的广告.法庭决议讨论附属部分2512(1)(c)只在有关物质媒体的情况下才适用,比如宣传册或小册子.建立2512部分的原始立法的历史--犯罪控制汇编第III条和1968年的安全通道法案――也没有任何适用于电子媒体的部分.
问题:是否法庭将提供这部分内容给网络广告还不清楚.这种不确定性来自某种联邦诉讼法庭决议,该决议认为其他联邦刑事成文法规没有涉及不可接触性物质.例如,第10次巡回审判认为第18条的1462和1465部分
-指摘在国内分别"携带"或"运输【】"淫秽物品
-没有涉及指导有关非接触性物品,比如预先录制的"电话性"信息,通过电话线路传送.见美国对Carlin Commun案,Inc., 815 F.2d 1367, 1371 (1987,第10次巡回审判).
然而,其他法庭将同样的成文法规解释成可以适用于不可接触性物质.例如,第六次巡回审判对淫秽计算机(通过长途电话线传送的图片文件)的运输使用了1465部分的法律条文.见美国对Thomas案, 74 F.3d 701, 706-07 (第六次巡回审判), cert. denied, 117 U.S. 74 (1996).
按照其他成文法规中相似语言的具有冲突性的解释,法庭是否对于网络上拦截设备的广告适用附属部分2512(1)(c)的规定尚不明确.例如,一个法庭将"报纸,杂志,小条或其他印刷物"解释成只是接触性印刷品.然而对于违反2512条的关于设备的电子广告会引起和印刷媒体中同样的问题和害处.
变动:附属部分2512(1)(c)的修正案明确指出,剥夺公权适用于"通过电子传播方式"传递的广告.法案还确认,成文法规只适用于那些"知道或有理由知道"广告内容的个人.这样,比如,刑事查禁就不适用于一个网络服务提供者,因为它不知道,而且没有理由知道所寄的邮件或通过其服务器传输的内容有非法听力设备的广告.
V.225部分(g):提高对涉及死亡或人身伤害的黑客犯罪的刑罚.
以前的法律:在国家安全法案之前,1030部分包含的内容中没有任何引起死亡或严重人身伤害的侵犯进行刑罚处置的条款.对这类侵犯最严重的刑罚是十年,和那些不会引起如此严重后果的侵犯案件的刑罚一样.
问题:以前已有的成文法规未充分防止引起死亡或严重人身伤害的攻击情况,因为它没有让罪犯为他们的行为结果负责.计算机系统现在是提供基础服务的组成部分,比如电力,电讯,医学护理,这些系统的破坏能导致6灾难性的结果.比如,如果没有事先的定罪,一个黑客攻击了空间交通控制计算机系统,无意或者是知道后果情况下,却造成一次毁灭性的飞机失事事故,18 U.S.C.第1030条款(c)规定的入狱时间不超过10年.
变动:国家安全议案225部分(g)将最高刑罚期限提高到入狱监禁20年,如果行为人引起或试图引起严重的人身伤害;另外,如果他或她引起或试图引起死亡事故则判处无期徒刑.18 U.S.C. 1030(c)(5)(A) 和 (B).
VI.225部分(i):在紧急情况下使用追踪仪器以及诱捕和跟踪设备.
以前的法律:追踪仪器以及诱捕和跟踪设备提供关于通讯来源或目的地的信息,但是不获取通讯的内容.它们是法律实施过程中不可缺少的工具.比如,诱捕和跟踪设备能够确认一个绑架者电话的来源.美国爱国者法案,在2001年10月实施,明确指出,法律实施能够使用追踪仪器以及诱捕和跟踪设备命令来跟踪计算机网络上的通讯交流,比如在因特网上发送的电子邮件的来源或目的地.在通常的情况下,检察官在向法庭确认收集的信息将和一桩正在进行的刑事调查有关之后,便可以获得一份使用追踪仪器以及诱捕和跟踪设备的指令. 在某些紧急情况下,涉及死亡或严重人身伤害危险的时候,和组织的犯罪调查一样,以前的成文法内容授权法律实施权力机关在申请向法庭申请许可的时候可安装追踪仪器以及诱捕和跟踪设备使用48小时.
问题:18 U.S.C. § 3125规定的在紧急状况下使用追踪仪器以及诱捕和跟踪设备的限制,阻碍了法律实施过程中若碰到恐怖主义威胁和其他严重犯罪事件时进行反应的能力.比如,当国家安全利益受到威胁的时候,除非该威胁同时涉及立即会发生的死亡或严重人身伤害,不允许使用紧急的追踪仪器以及诱捕和跟踪设备进行检测来及时反应.假设7 一次网络恐怖主义攻击严重损坏了国家金融市场的计算机运行系统,造成对美国相当严重的经济损失.因为这样的一次攻击不涉及"有组织的犯罪特点"的行为,也不会引起死亡或严重人身伤害的威胁,调查者就不能使用预先修正的紧急授权许可来证明它们为此所负的责任.
变动:法案扩展了法律实施过程中在紧急情况下能够使用追踪仪器以及诱捕和跟踪设备权力的范围,增加了以下情况(1)对国家安全利益马上就会产生威胁;(2)正在对受保护的计算机进行攻击.修正案对成文法规中已经规定的对于使用这种特权的紧急状况的内容保持不变:(1)特别指定的法律实施官员必须决定有理由使法庭开始使用追踪仪器以及诱捕和跟踪设备命令,(18 U.S.C. § 3125(a)(2)); (2)紧急状态授权许可只在48小时内有效,必须在这段时间内获得法庭的命令,以决定是否需要继续监视,18 U.S.C. § 3125(b);以及(3)如果没有成功地在48小时内申请命令安装或使用该设备就是对法规的违反.(18 U.S.C. § 3125(c)).
VII. 225部分225(j)(1):提高对干扰私人手机对话的刑罚
以前的法律:2511部分(4)(b)规定过去对于某些电话窃听侵犯事件给予更低的刑罚处置规定.比如,尽管大部分的非法窃听会构成5年的重罪,成文法规对于第一次中途拦截手机来电的违反者的惩罚仅仅处以罚款.
问题:忽略1986年最初引起减轻刑罚的考虑,如果对中途拦截手机对话只是作小小的违规行为的处罚的话,那就已经不再具有防御作用了.
变动:法案消除了对于手机拦截窃听的特别刑罚处置.8 依照法规,这类犯罪最重的处罚年限如今是5年监禁,就和大部分其他窃听侵犯事件的处罚一样.要求是此类侵犯是故意造成的,这就保证了法规并不为仅仅是无意中听到了一次交流的简短的部分情况定罪.详见18 U.S.C. § 2511(1)(a)-(d).
VIII.225部分(j)(2):提高侵犯储存的通讯的个人隐私的处罚
以前的法律:附属部分2701(b)为某个个人在未经允许的情况下进入"电子储存"的通讯记录而造成的侵犯事件建立了处罚规定.例如,这些个人隐私的侵犯包括在电子邮件服务器等待发送到收件人的过程中偷看储存的电子邮件.这样,如果一个公司的系统管理员在她日常责任工作之外将执行总裁电子信箱中尚未被读取的信件备份,然后用电子邮件中的这项信息来为自己个人的经济收益服务,她就在这项提供服务过程中有了侵犯行为.
这条法规最开始的解释是将那些经常是非常明显的个人侵犯都定为轻罪.当这种对个人隐私侵犯是为了商业利益,或者违反者出于恶意并造成损坏的时候,最重的刑罚是对初犯者处于1年监禁.如果没有这些严重的因素,侵犯者只需接受在监狱度过最多6个月监禁的处罚.
问题:以前的处罚结构中,所有的初次违犯者都被处于轻罪,没有反映出此类侵犯的严重性.极少情况(如果有的话)会因此类侵犯而受到起诉,这就限制了法规的威慑效果.另外,要符合刑罚处置标准,违犯者还必须是有意识引起破坏或是为了获取经济利益.现在有越来越严重的隐含的情况没有被包括在内,那些违犯者,他们违犯法规是为了其他犯罪或侵权行为,比如他们侵犯他人的隐私并使用这些获得的信息从他们的受害者那里勒索钱财.
变动:法案修正了2701(b),在行为者有越来越严重的隐含情况时,将最重刑事处罚提高到5年(对于重犯者则判10年),对于其他违犯者是一年(重犯则判5年).另外,如使用在窃听法规和计算机欺诈与滥用法案中的语言,法案规定,为其他犯罪或侵权行为而违犯这一部分内容的个人必须按情况适当受到处罚.
