近年来,随着计算机技术的发展,作为一种新型武器,计算机网络攻击对国际社会的秩序提出了挑战。对计算机网络攻击进行深入的研宄和探讨,具有重要的法律和现实意义。
1计算机网络攻击的定义
计算机网络攻击,简称CNA,可以通过无线电波或国际远程通信来实施,尽管可能并不涉及直接的物理损害,但可能造成毁灭性的系统障碍。关于计算机网络攻击的定义很少。很多学术论文直接对计算机网络攻击的具体问题进行讨论,却没有解释计算机网络攻击的含义。关于什么是计算机网络攻击,目前没有一个统一的定义。美国国防部把计算机网络攻击定义为,“通过计算机网络破坏、拒绝、减少或者毁损存储于计算机和计算机网络的信息,或者计算机和计算机本身的行为”。2006年美国国会的CRS报告中,计算机网络攻击被定义为“破坏或者毁损存储于计算机和计算机网络的信息的行动”。山东大学威海法学院教授姜世波认为,网络攻击是指利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。完全由私人发起的网络攻击一般属于网络犯罪,由一国国内法进行调整。通常情况下,我们研宄讨论的网络攻击是可以归因于国家的行为,受害国可以依据《联合国宪章》第51条的规定对所遭受的网络攻击行使自卫权。因此,上述对计算机网络攻击的定义忽视或者模糊了实行网络攻击的主体。个人浅见,计算机网络攻击宜被定义为:一国通过计算机网络破坏、拒绝、减少或者毁损存储于他国计算机和计算机网络的信息,或者他国计算机和计算机本身的行为。
2计算机网络攻击与国际人道法基本原则
作为新型武器,网络攻击的出现对传统的国际人道法基本原则提出了挑战。
比例原则,是指作战方法和手段的使用耍与预期的、具体的和直接的军事利益成比例,禁止过分的攻击和引起不必要痛苦性质的作战方法和手段。但是,军事决策者权衡之初,很难与作业监视程序的检测。
3)空口令和RPC。操作系统为维护方便而预留的无口令入口和提供的远程过程调用(RPC)服务都是黑客进入系统的通道。
4)超级用户。操作系统的另一个安全漏洞就是存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。
(2)计算机系统本身的脆弱性。
计算机系统的硬件和软件故障可影响系统的正常运行,严重时系统会停止工作。系统的硬件故障通常有硬件故障、电源故障、芯片主板故障、驱动器故障等;系统的软件故障通常有操作系统故障、应用软件故障和驱动程序故障等。
(3)数据库系统的脆弱性。
由于数据集库管理系统对数据库的管理是建立在分级管理的概念上,因此,DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。黑客通过探访工具可强行登录或越权使用数据库数据,可能会带来巨大损失:同时我们在使用数据库的时候,存在补丁未升级、权限提升、缓冲区溢出等问题,数据库安全也由于这些存在的漏洞让安全部门越来越重视。
(4)网络存储介质的脆弱。
各种存储器中存储大量的信息,这些存储介质很容易被盗窃或损坏,造成信息的丢失;存储器中的信息也很容易被复制而不留痕迹。此外,网络系统的脆弱性还表现为保密的困难性、介质的剩磁效应和信息的聚生性等。就某次网络攻击是否符合比例原则做出适当的评估。网络环境的不确定性,使得预见网络攻击可能产生的后果很困难。
区分原则,是指冲突各方在任何时候都应将平民百姓和作战人员区分开来,以便保护平民及其财产。但是,在网络空间中,难以对平民和战斗员进行区分。平民可能因为直接参与网络攻击的敌对行动而成为战斗员,进而丧失受保护的地位。
3计算机网络攻击是否构成武力
联合国的宗旨之一是维护国际和平与安全。《联合国宪章》第二条第三款规定:“各会员国应以和平方法解决其国际争端,俾免危及国际和平、安全及正义”。《联合国宪章》第二条第四款规定:“各会员国在其国际关系上不得使用威胁或武力,或以与联合国宗旨不符之任何其他方法,侵害任何会员国或国家之领土完整或政治独立”。
《联合国宪章》第五十一条规定了合法使用武力的情形,即合法的自卫。在尼加拉瓜诉美国案中,国际法院确定禁止使用武力是国际习惯法的一项原则。然而,何种行为构成了使用武力或者武力攻击仍然是有争议的,《联合国宪章》没有对此进行定义。
联合国第3314号决议,即规定侵略定义的决议案,规定了构成使用武力或者武力攻击的行为。该决议第一条与《联合国宪章》第二条第四款非常类似。该决议第三条列举了七种构成侵略罪的行为,而该决议第四条规定,上述列举的行为没有穷尽其他构成侵略罪的行为。当遇到网络攻击时,国家自卫性质的武力使用应当是必需的和对称的。这种必需性和对称性是国际法院在尼加拉瓜诉美国案与关于核武器的威胁或使用是否合法的咨询意见中确定下来的。
.在尼加拉瓜诉美国案中,国际法院发现,国际习惯法包含一个良好建立的规则,即自卫要保证自卫的措施要与武力攻击成比例并且是必要的。而在关于核武器的威胁或使用是否合法的咨询意见中,国际法院认为,自卫权的行使符合必需性和对称性是国际习惯法原则。
由于目前关于网络攻击的国家实践较少,并且没有使用或者不使用网络攻击作为武器的法律确信,因此,目前国际社会还不存在禁止使用网络攻击的国际习惯法。但是,国际法院认为,人道主义法基本法律原则的人道主义性,己渗透在整个武装冲突法里,适用于一切战争形式,适用于所有各种武器,过去、现在和将来的武器。
因此,虽然无论是国际习惯法还是国际条约法都没有特别允许网络攻击武器的威胁或者使用,也都没有全面的和普遍的禁止网络攻击武器的威胁或者使用,但是,如果利用网络攻击武器进行威胁或者使用武力违反了《联合国宪章》第二条第四款、第五十一条,就可能构成武力威胁或者武力使用,甚至构成侵略,是不法行为。
4计算机网络攻击的国际立法
当新科技出现之时,国家常常需要新的法律加以规范,正如曾经规范生物武器、化学武器和激光武器的条约一样。网络攻击作为一种新型武器,少有国家实践。比较著名的两次网络攻击案例是2007年针对爱沙尼亚的网络攻击和2008年针对格鲁吉亚的网络攻击。这两次网络攻击造成了两国的政府、银行、媒体和其他机构的运转陷入瘫痪状态。虽然有国家猜测是由俄罗斯采取的网络攻击行为,但却缺乏足够的证据支持。
如何对网络攻击进行国际立法,以对网络攻击这种新式武器作为规范,是国际社会一直以来关心的问题。
首先,可以采取多边条约的形式。但是,实现的可能性较低。由于各国网络攻击的优势是其网络信息技术的保密性,国家可能不希望公开其网络信息技术。因此,在网络信息技术方面占有优势的强国可能不愿意签订此多边条约。而由于这些强国对多边条约的内容具有重大影响,多边条约的影响力因此也会降低。
其次,可以采取双边条约的形式。这是一种比较容易实现的形式,由当事国对条约的内容进行协商,对网络攻击的形式加以规制和限制,对双方当事国的权利和义务加以明确。而且,随着签订的双边条约的增多,法律确信的增强,可能形成关于网络攻击的国际习惯,由国际习惯法对网络攻击加以约束。
最后,可以采取订立基本原则的形式。即对网络攻击订立一些基本原则,要求各国遵守,比如不得干扰他国网络信息原则,维护他国网络信息安全原则等。可以由联合国采用联合国大会决议的形式进行规制,虽然不具有国际法上的约束力,但是会对成员国产生影响,也有利于更多国家的响应和遵守。
总之,各国有义务一秉善意,通过适当的形式,使网络攻击武器处于国际控制之下。
5计算机网络攻击对中国的启示
2010年国务院新闻办公室发表的《中国互联网状况》白皮书明确提出了“互联网主权”的概念,指出:“互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。”如果他国对我国实行网络攻击,则构成了对我国主权的破坏,是不法行为。由于前文分析的原因,未来计算机网络安全的法律框架短期内在联合国框架之内达成不太可能。但是,我国可以与其他国家签订计算机网络攻击双边条约,为构建一个计算机网络安全环境贡献出一份力量。
