从勒索病毒事件谈强制灾备制度

2024年1月22日发(作者：)

从勒索病毒事件谈强制“灾备”制度思考

山西恒驰律师事务所 迟菲

2017年5月12日，一款由不法分子利用NSA（National Security

Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播的，名为WannaCry（想哭，又叫Wanna Decryptor）“蠕虫式”的勒索病毒软件肆虐全球。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。在5月12日开始的这一轮病毒攻击中，一些国家的医院系统、公共交通系统发生瘫痪，据美国总统国土安全与反恐助理托马斯·博塞特15日消息，12日开始的勒索软件网络袭击共获赎金近7万美元，但未恢复任何数据。

勒索病毒事件无疑将成为人类历史上划时代的事件之一，2017年5月12日也必将成为一个历史节点，这一事件让全世界人民第一次亲身感受到了网络战争的威力，也让全世界人民认识到高科技犯罪及网络病毒武器不再是好莱坞大片里的科幻情节，全球性大规模网络犯罪就在我们身边。

事件发生后，美国、英国等大国一边忙着拯救自己瘫痪的公共服务系统，一边忙着指责有关部门没有及时更换更安全的操作系统以及不及时对操作系统进行更新，不及时安装安全漏洞补丁。而世界其他阵营则在忙着指责美国国安局开发恶意软件意图进行的网络战争以

及其恶意软件外泄给全世界带来的损失。在我国，大多数政府部门在5月15日上班后被告知断网，在出台处理办法前不得连接互联网。

在这些纷杂的声音背后，“灾备”这一话题却少人提及，本人作为专注信息网络法律保护多年的所谓“信息网络法律专业人士”，曾对强制“灾备”制度的建立提出过一些想法。在本次勒索病毒时间后，有了再次提起强制“灾备”制度这一话题的强烈冲动。

“灾备“这个词，对于大多数法律界人士来说，是一个十分陌生的词汇，甚至对于信息网络专业内部来说，对灾备的理解也仅仅停留在对数据进行备份的层面。而事实上，灾备作为信息网络系统以及数据的备份与回复的有力手段，灾备体系的建立与否绝不是一个系统所有人可以自由选择的技术问题。特别是对于政府部门以及公共服务部门等事关社会正常运营与公民个人信息安全的特殊系统，灾备应当上升为一个社会规则与秩序的问题，由法律、法规进行强制性规范。

要说清这个问题，我们来了解一下灾备的基本概念。

灾备全称为灾难备援，它是指利用科学的技术手段和方法，提前建立系统化的数据应急方式，以应对灾难的发生。其内容包括数据备份和系统备份，业务连续规划、人员架构、通信保障、危机公关，灾难恢复规划、灾难恢复预案、业务恢复预案、紧急事件响应、第三方合作机构和供应链危机管理等等。

这个基本概念简单的说，就是在突发事件发生前，通过一系列的技术和制度手段，保证在突发事件发生后，数据系统可以维持基本运转，数据可以进行恢复。通俗的说，常见的手段就是在需要备份的服

务器或电脑，云系统合理距离内，设置一个相对独立的备份电脑网络系统，通过软件或人工实时将需要备份的内容备份至备份网络系统内。在原系统发生突发事件后，备份系统可以接替原系统进行运行并保留原始数据。合理距离与相对独立可以解决突发事件入侵同一地址所有系统的风险，利用地理距离这一原始屏障保护信息网络系统。当然，地域分离依然存在备份过程的网络连接，并不能完全解决恶意攻击所有系统的问题，这一问题不在本文讨论。

通过以上讲解可以看出，灾备其实就是一个系统及数据的备份，保证一套系统失灵不至于导致某一体系的瘫痪。

目前，是否进行灾备是各系统所有人的自愿行为。通过此次勒索病毒事件，让我们看到不仅仅是我们中国的电子政务数据及公共系统的系统及数据大多数没有进行灾备，我们印象中的所谓西方发达国家也没有进行过灾备。强制灾备在全世界都没有先例。

而事实上，在信息网络成为国家行政与民生的基础设施之一的客观事实下，在数据成为重要的国家战略物资以及商事资产的前提下，强制灾备制度已经成为一项必要的制度，主要的理由及应规制的范围大致如下：

1、公共服务体系的系统与数据安全，是国家安全战略的必要组成部分，并非私法调整的范畴，应当由国家公权力进行规制。

2、对于公共服务的系统及数据，其系统的安全稳定关系国计民生，关系到社会秩序的正常运行，更关系每一个公民合法权益的保障。因

此，这些系统的安全稳定问题是一个社会公共秩序问题，应当通过国家强制力来干预，保证其安全稳定的运转。

3、对于掌握相当规模的基础数据的民事主体，例如电信、移动等通讯公司、以及百度、淘宝等形成一定时常规模，掌握海量公民信息的企业，其系统的安全稳定也关系国计民生。这类企业类似于我们传统业态下的自来水公司，电力公司以及盐、研究等专营企业，是需要国家强制力介入管理的。

对于强制灾备制度，还需要大量的理论研究与实务探讨才能建立起完备的体系。这里我同大家分享下个人对这个问题的简单思考。

建立强制灾备制度，首先要合理确定强制灾备的范围。范围过窄，无法起到制度应有的作用，范围过宽，可能给社会增加负担，影响信息网络的正常发展。从目前的情况分析，至少电子政务系统、医疗系统、教育系统、金融系统、智慧城市的城市管理系统、以及影响国计民生足以比照基础设施的系统（例如大规模云计算中心、收集储存个人信息超过一定数量的系统）应当列入强制灾备的范围内。

其次，建立强制灾备制度，要建立统一的灾备标准，确定最低的灾备要求。目前，灾备从技术手段上分为多种形式与多个层级。建立强制灾备制度，就需要对各强制灾备的项目适用什么样的灾备标准进行明确。灾备的国家标准建立，是强制灾备制度建立的伴生条件。

再次，建立强制灾备制度，还需要对强制灾备的管理部门，管理标准，执法权力，执法程序等进行科学合理的设计，使这一制度切实可行。

最后，建立一项强制制度或标准，是对权力的限制，必须依照法定程序进行。

当然，建立强制灾备制度，除制度层面的工作外，还需要大量基础设施的投入，需要相关的专业人士的配备等一系列配套工作，绝非短时间可以完成。但是，信息网络安全威胁实时存在，并不会给我们准备时间。在我们完善这项制度前，还是需要及时采取必要措施。对于这些措施，我个人也有一些思考，先分享给大家：

1、对于电子政务及政府部门的行政办公系统，可以通过行政途径与手段，尽快利用现有商业灾备机构或建立独立的灾备设施等方式，各自建立灾备体系。待时机成熟后，再统一灾备标准，直至建立统一的行政灾备中心。

2、对于医疗、教育体系，可通过财政补贴与政策引导方式，逐步建立起灾备体系。

3、应由政府部门主导，社会资金参与的情况下，或者通过PPP等方式，逐步在各地区建立灾备中心，集合社会力量，建立更安全、更稳定的灾备体系。

4、对于新建立的政府以及公共信息网络系统及周边系统，应对灾备做出具体要求，避免出现新的系统及数据裸奔，在历史问题一时无法解决的情况下，不要继续增加新的“历史问题”。

以上是我对这一问题的简单思考，希望能引起大家对这一问题的关注，更希望有更多的朋友加入到这一问题的讨论中。