论信息安全的道德防线,本文主要内容关键词为:信息安全论文,防线论文,道德论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1 信息安全问题:意外的或故意的
由于计算机技术,通讯和远程通讯手段的广泛运用,信息业正在以惊人的速度发展。因特网使地球变小,人们比以往任何时候都更容易传播、存取和交流信息。而与此同时,信息安全问题也日益变得严重,愈来愈为人们所关注。人们普遍认识到:信息非常需要安全保障,没有必要的安全保障,信息就可能被非法地窃取,就可能被某些别有用心的人用来损害他人的合法利益。
就大多数情况而言,信息安全问题是由人的行为引起的。归纳起来,使信息安全发生问题的行为无外乎两种类型:意外的和故意的。信息存取人员或信息系统的使用者由于粗心、疏忽大意等原因,在操作中不慎损坏了信息系统的软、硬件,或不经意间泄露了信息数据库中的保密信息,因为他主观上并无追求产生如此后果的故意,故这样的行为属于导致信息安全问题的意外行为。这种行为虽然是非故意的,但其引起的后果也往往可能是严重的:信息系统可能因此而运转不良甚至于瘫痪,信息所有者的合法利益亦可能面临被损害的危险。
更为严重的是造成信息安全问题的大量故意行为。这样的行为花样百出,形式不一。有人可能纯粹出于恶作剧或报复目的,非法使用信息手段,把别人的信息系统搞得一塌糊涂;也有人为了获取钱财、情报等,而非法地侵入有关信息系统。前者如编制逻辑炸弹(“定时炸弹”)、“蠕虫”之类的非法程序,或以大量的垃圾信息密集轰炸特定网站,致使计算机系统的软、硬件受损或网站无法正常工作。后者如侵入银行的信息系统,使用“意大利香肠”、“特洛伊木马”等非法技术手段盗取钱财;侵入竞争对手的信息系统,盗取有关的商业机密等等。无论这样的行为采取何种方式,其共同点有二:一是行为主体都有主观上的故意,二是导致受攻击方的既得利益或可得利益的损失。从目前情况来看,使信息安全遭受威胁的故意行为有越来越多且越来越严重的趋势。
为了保障信息安全,人们已经或正在采取一系列的技术措施与法律措施。
从技术层面上看,可以采用“防火墙”、数据加密等技术手段保护信息系统,可以研制和开发用于杀灭病毒或增加信息系统对于病毒的“免疫力”的反病毒软件。目前,为保障信息安全而创造的技术手段已有很多,而且还在继续研制和开发。通过采用这样的技术手段,在一定程度上确实提高了信息系统的安全系数。
从法律层面上看,应当说,法律以其强制性特点而能够成为保障信息安全的有力武器。事实上,信息立法的不少内容都涉及到信息安全问题,如:美国的《反计算机诈骗和滥用条例》,英国的《反计算机滥用法》、《数据保护法》等等。以这样的法律为依据打击破坏信息安全的各种违法、犯罪行为,可以明显减少对于信息安全的威胁。在我国,有关信息安全的法律、法规也在逐步健全。1997年10月1日颁布的新《刑法》规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机系统,处三年以下有期徒刑或者拘役。而违反国家规定对计算机信息系统进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。新《刑法》还对故意制作、传播计算机病毒等破坏程序和利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的各种行为,作出了相应的定罪处罚规定。
虽然技术层面、法律层面的保障对于信息安全是必不可少的,但仅有这样的保障又是不够的。斯皮内洛指出:“从某种程序上来说,安全技术落后于计算机技术的发展。”[1]相对于信息技术的突飞猛进,信息安全的技术手段总是显得不够完备。而且,安全与反安全的技术较量也似乎不会止息:无论用于信息安全保护的技术手段如何改进,它总会遭遇企图破解或规避这种手段的不法分子的挑战。法律虽然是一种有力的武器,但相对于信息领域日新月异的变化,相对于不安全因素的层出不穷,有关信息安全的法律保护又往往因立法程序问题而显得姗姗来迟。此外,信息立法只规定对于那些威胁信息安全的严重行为的惩处,而大量次一级的行为则可能游离于法律的边缘或法律之外。
为了使信息安全能够获得更深层次的保障,以补技术保障与法律保障之不足,人们有必要诉诸道德,从道德层面来考虑信息安全的进一步保障问题。
2 信息安全保障的道德层面
从道德层面考虑信息安全的保障问题,至少应当明确:在信息安全问题上,什么人负有特定的道德责任和义务?这些道德责任和义务有那些具体的内容?对于信息安全负有道德责任和义务的人员大致可以分为三种类型:信息技术的使用者、开发者和信息系统的管理者。为了保障信息安全,这三种类型的人都应履行特定的道德义务,并要为自己的行为承担相应的道德责任。根据其活动、行为的不同性质及与信息安全的不同关系,可以为这三种类型的人拟定各自应遵循的主要的道德准则,从而形成三个不同的道德准则系列。
系列1:信息技术的使用者的道德准则
(1)不应非法干扰他人信息系统的正常运行;
(2)不应利用信息技术窃取钱财、智力成果和商业秘密等;
(3)不应未经许可而使用他人的信息资源。
系列2:信息技术的开发者的道德准则
(1)不应将所开发信息产品的方便性置于安全性之上;
(2)不应为加速开发或降低成本而以信息安全为代价;
(3)应努力避免所开发信息产品自身的安全漏洞。
系列3:信息系统的管理者的道德准则
(1)应确保只向授权用户开放信息系统;
(2)应谨慎、细致地管理、维护信息系统;
(3)应及时更新信息系统的安全软件。
在系列1中,准则(1)、(2)、(3)所针对的大多为引起信息安全问题的故意行为。准则(1)和准则(2)所禁止的行为,是对他人利益造成直接危害的行为。无害于他人,是道德的最低要求,连此最低要求都达不到的行为,自然要列入道德准则禁止的范围。准则(3)所禁止的行为,可能造成但也并非一定造成实际的损害,但即使是未造成实际损害的这类行为,在道德上也无法获得支持。斯皮内洛指出:“一般都认为即使没有任何直接的损害,电子侵害本身就是错误的。当进行电子侵害时,侵害者便违反了对财产权的尊重,而尊重财产权是重要的道德和社会价值。”[2]
在系列2中,准则(1)涉及方便性与安全性的关系。用户在使用信息产品时,可能觉得没有那些用于提高安全性的技术手段会更方便一些。但如果只顾一时之方便,则可能酿成重大的不良后果。因此,为用户的最终利益考虑,信息产品的开发者应当将安全性置于方便性之上。另有一些信息产品的开发者之所以不愿意采取信息安全措施,则是为了降低产品成本或加快产品开发的速度,这虽然可能对产品的开发者有利,但却将信息安全的隐患留给了产品的使用者。准则(2)的设定,正是针对这一类的损人利己行为。虽然保障信息安全已有多种技术手段可供选择,但随着产品的升级换代,还可能会出现新的安全漏洞。准则(3)实际上是要求信息产品的开发者在更新产品的同时,也要努力改进信息安全保障,以最大限度地避免安全漏洞的产生。
在系列3中,准则(1)的设定,是为了防止信息被非法滥用。信息系统的管理者,在道义上具有监控信息存取的责任。他们有义务拒绝那些未经授权的人访问信息系统。未经授权的访问者一般都缺乏足够的责任心,拒绝他们的访问,就堵死了非法滥用的一条可能途径。准则(2)针对那些给信息安全带来问题的意外行为。只有谨慎、细致地管理、维护信息系统,才可能消除因粗心、疏忽而造成的信息安全隐患。准则(3)要求信息系统的管理者具有动态的安全意识,不要固化于已有的安全保障。1999年4月26日CIH病毒的大发作,造成至少七十多万台电脑受损。而造成如此惨重损失的原因之一,就是许多信息系统的管理者没有将杀毒软件及时升级。应当认识到,对于信息系统的管理者来说,及时升级包括杀毒软件在内的安全软件,不是单纯的技术问题,而是一种重要的道德责任,因为这关系到某些合法用户的利益是否可能受损。
以上三个系列的道德准则,不难理解,却难落实。因为它们毕竟只是道德规范,不像法律规范那样具有一种不可抗拒的强制力。要使这些道德准则在信息领域中发挥保障信息安全的实际效力,必须充分运用道德的特殊动作机制。道德的维系,主要依靠舆论和个体的良心。因此,要落实上述三个系列的道德准则,一要营造对于违反这些道德准则的行为者的强大舆论压力,使这方面的不道德行为受到大众的监督和谴责;二要对有关人员进行上述道德准则的专门教育,使这些道德准则逐渐深入人心,从而导致有关人员在信息安全问题上形成必要的道德自律。强大的舆论压力与良心的道德自律相结合,就可以使得上述道德准则真正成为信息安全的可靠保障,就可以弥补有关信息安全的法律规范之不足。
当然,此处提出的三个系列的有关信息安全的道德准则,并不是封闭的体系。也就是说,每一系列中道德准则的数目,不会局限于现已提出的3条。信息业方兴未艾,信息安全问题还会层出不穷。不同的道德准则,往往针对不同的信息安全问题。随着新的信息安全问题的出现,也需要增加与之相对应的新的道德准则,就像技术措施与法律措施需要不断完善一样。虽然如此,道德相对于技术与法律的优越之处还是不容否定的,这就是:道德一旦成为行为主体的内在自觉,他就不再需要他人为其行为设定准则,而是自己为自己的行为“立法”,自主地、自动地设定面向新问题的行为准则。
3 关于所谓“黑客伦理”
讨论信息安全问题,不能不涉及“黑客”与“黑客伦理”。
最早的“黑客”,英文原文为"Hacker",是指专门闯入计算机网络,窃取、破坏系统信息的人。但后来被称为"Hacker"的人,有的确实有窃取等恶劣行为,有的则仅仅通过找出信息系统的漏洞来达到自我表现的目的;有的确实破坏了信息系统,有的则仅仅将他所发现的信息系统的漏洞公诸于众,并未亲自对该系统实施破坏。因此,自上一世纪80年代中期始,为了与并无恶意的Hacker相区别,人们将恶意的“黑客”称作"Cacker"。据说,Hackers的目的主要是追求一种自我表现的成功感,而Cackers的目的则是“恶意的”并“带有个人的企图”[3]。
无论是Hackers还是Cackers,不管是有恶意还是无恶意,黑客们都会以某些共同的伦理信条或准则作为其行为的精神支撑。这种在黑客亚文化群中得到共识的伦理信条和准则,即为黑客伦理。一般认为,黑客之所以做出危害信息安全的行为,是因为黑客伦理作为一种行为准则引导甚至鼓励他们这样做。然而,要确切把握“黑客伦理——黑客行为——信息安全”之间的关系,必须首先对黑客伦理的具体内容进行分析。
根据莱维的总结,至今仍对黑客行为起指导作用的黑客伦理的论纲包括以下几条[4]:
(1)进入(访问)计算机应该是不受限制的和绝对的:总是服从于手指的命令;
(2)一切信息都应该是免费的;
(3)怀疑权威,促进分权;
(4)应该以作为黑客的高超技术水平来评判黑客,而不是用什么正式组织的或者它们的不恰当的标准来判断;
(5)任何一个人都能在计算机上创造艺术和美;
(6)计算机能够使生活变得更美好。
在这些最原始的黑客伦理论纲中,第(1)条是所有黑客的基本信念。正是这一基本信念,使得黑客们自认为有权进入他们所欲进入的任何信息系统。这种“进入”是“不受限制的和绝对的”,因而是无须他人授权的。若以“他人授权”作为限制条件,则黑客们会认为是限制了他们的“自由”。问题的症结显然在于,黑客伦理赋予“自由”以绝对的性质。但是,在信息领域也如同在其他领域一样,既需要自由,又需要有对于自由的合理限制。没有自由,不利于信息的传播和有效利用;而没有对于自由的合理限制,则会导致信息领域的无序,就会造成各人自由的相互冲撞的局面。因此,对于信息社会的发展来说,对于信息领域的繁荣来说,需要的自由只能是有合理限制的自由,而不是“不受限制的和绝对的”自由。虽然迄今为止,在信息领域内,尚未找到最为合理的方式来处理自由与限制之关系的途径,但以否定一切限制的方式来保障自由肯定是不利于信息领域的正常发展的。
黑客伦理论纲的第(4)条,涉及对黑客行为的评价标准问题。根据此条,只能从技术水平的角度对黑客行为进行评价,而任何道德评价的标准都成了“不恰当”的。诚然,对黑客行为确实有某些“不恰当”的道德评价。但若因为某些道德评价的“不恰当”而干脆否定所有的道德评价,这种否定本身便也变得“不恰当”了。这一条如果贯彻到底,那么,黑客伦理也会被否定,因为黑客伦理就是黑客们自立的道德评价标准。可见,黑客们实际上并不是不要任何道德评价标准,而只是拒斥来自黑客亚文化群以外的道德评价标准。然而,黑客们并非存在于与世隔绝的地方,过着不食人间烟火的生活。黑客们总是以这样那样的方式与黑客亚文化群以外的人们发生关系,黑客“进入(访问)”的信息系统,往往是他人所有的信息系统,黑客的行为涉及到他人的利益。在这样的双边关系中,如果仅以黑客一方自立的标准评价行为,对另一方显然是不公平的,亦即不道德的。
应当指出,黑客伦理中的某些因素也不乏积极的道德意义,如“使生活变得更美好”、“创造艺术和美”等。因此,我们没有必要对黑客伦理持完全否定的态度。事实上,有些黑客的行为并未对他人利益构成危害,反而有利于他人信息安全措施的完善。1995年9月,两位加州大学的研究生黑客伊恩·戈德伯格和大卫·瓦格纳一起发现了网景公司设计的用于人们通过环球网进行信用卡购物的软件程序中的一个漏洞。他们将其公布于众,网景公司随后推出了该程序的修正版。但紧接着,他们又公布了新的漏洞,向商界发出公告:由于各公司都抢着将酝酿中的交易输入互联网络中,那些声称金融交易安全无虞的公司将很快发现他们的声明受到考验[5]。诸如伊恩·戈德伯格和大卫·瓦格纳这样的黑客,是将其所发现的他人信息系统的漏洞公布于众,以引起存在类似漏洞的信息公司改进其系统,而不是利用这些漏洞来谋取私利。这样的黑客行为所依据的道德准则,也许与一般的社会道德评价标准可以兼容。如果确实有必要建立一种特殊的黑客伦理,那么,黑客伦理的合理性显然应当以这样的兼容性为基础。