网络安全法 新安全即日启程

2015-08-18 |  作者:网界网记者鹿宁宁 |  来源:独家

摘要网络安全已成为关系国家安全和发展,关系民众切身利益的重大问题,与此相关的《网络安全法》呼之欲出。

如今,网络空间技术迅猛发展,已经深度融入我国经济社会的各个方面,极大地改变和影响着人们的社会活动和生活方式,随之而来的网络安全问题也日益凸显。一是,网络入侵、网络攻击等非法活动,严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的网络基础设施的安全,云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。二是,非法获取、泄露甚至倒卖用户个人信息,侵犯知识产权等网络违法活动时有发生,严重损害了公民及法人的合法权益。网络安全已成为关系国家安全和发展,关系民众切身利益的重大问题,与此相关的《网络安全法》呼之欲出。

2015年6月,第十二届全国人大常委会第十五次会议初次审议了《网络安全法(草案)》(以下简称“草案”),并将该草案在中国人大网公布。截至2015年8月6日,该草案已经完成向社会公开征求意见阶段。此举表明捍卫网络空间安全这项工作在我国真正进入了实质性立法程序,这是一个重大历史进步。中央网络安全和信息化领导小组成立后,将网络安全提升到了国家安全和发展的高度,不但作出“网络强国”的全局战略部署,更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等,无一不历经多年论证而蹉跎,今朝方开花结果。作为我国网络安全领域的一部重要法案,不少人将它的发布视作一个里程碑。草案7章68条中,涵盖了网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等多方面内容,力度之大、范围之广前所未有。广大网络安全专家和厂商对草案的讨论亦如火如荼,山石网科销售技术副总裁杨庆华在接受本报记者采访时表示,我国一直以来缺少网络安全法律的规定,此法案是网络安全从业者翘首以盼的,它的出台令广大网络安全从业者倍受鼓舞,大众的网络安全意识将进一步提升。

公民信息安全得到保护

此次草案中,特别值得注意的是,公民个人信息保护的相关内容在其中得到强调,公民数据安全有望获得更有力的法律保障。公众对个人数据安全的重视,源自一个个惨痛的教训。

2014年3月,携程网用户的信用卡数据遭遇严重泄密。乌云漏洞平台称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。但同时,因为保存支付日志的服务器未作较严格的基线安全配置,存在漏洞,导致所有支付过程中的调试信息可被黑客任意读取。这些可能被窃取的信息包括持卡人姓名、身份证号、银行卡号、银行卡CVV码等,危害可想而知,令人不寒而栗。

去年12月,中国铁路客服中心12306网站也发生重大数据泄露事故,大量用户数据在互联网上疯传,包括用户账号、明文密码、身份证号码、电子邮箱等。而早在几年前,有媒体曝出不少酒店开房数据遭泄露。著名的“3Q”大战更是引起了国人对个人数据安全的关注。

在今年六月1日-7日第二届国家网络安全宣传周期间,主办单位发布了《我国公众网络安全意识调查报告》。报告显示,在权益认知方面,网民普遍认为,网络隐私权是最重要的权益,其次是选择权和知情权。近年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。此外,报告还指出,网民被泄露的个人信息涵盖的范围也非常广。78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。82.3%的网民表示亲身感受到了个人信息遭泄露对日常生活造成的影响。

个人信息泄露问题如此严重,原因是多方面的。比如网络服务提供者在个人信息保护的技术方面存在问题,如果系统达不到很强的保护能力,就会出现泄露问题。再者,用户网络安全保护意识极为薄弱,对互联网传播信息的广泛性不够重视,后患无穷。针对泄露个人信息发生的违法犯罪行为,相关立法和管理还相当不完善,网络安全立法必须跟上。

草案对此做了两个方面的规定,分别是要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条);加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条)。这些规定在保障用户个人信息安全方面,做出了十分有益的尝试。但同时,在大数据时代,保障公众网络信息安全不能仅仅通过强化对运营者的法律监管来实现,还需要有效的提升国家对数据流动,尤其是网络空间与特定数据资源相关的行为的感知能力,进而在此基础上,构建国家级的网络入侵防御系统来有效地实现。

关键信息基础设施保护入正轨

要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全,与前者不完全一致,但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点,有的国家甚至以CIIP/CIP战略代指国家网络安全战略。从整体来讲,我国与国外差距很大,已是国家安全的软肋,草案为此设立了“关键信息基础设施的运行安全”一节。

草案的第三章第二节专门用于规范关键信息基础设施的安全。此次列入关键信息基础设施范围的,涵盖了涉及国家安全、经济安全和保障民生等领域,具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。保障关键信息基础设施的安全,从全球各国的实践来看,是国家网络安全战略中最为重要和主要的内容,与人们日常生活对网络关键基础设施的强烈依赖密不可分。有效的识别和分析威胁的来源,并采取相应的安全保障措施,是问题的关键。草案对网络产品和服务提供者的安全义务有了明确的规定(草案第十八条),将现行的安全认证和安全检测制度上升成为了法律(草案第十九条),强化了安全审查制度(第三十条),明确等级保护制度在保障国家网络安全中所处的地位(第十七条)。这些措施,从已经有的实践来看,一定程度上可以满足保障网络安全的需求,应对由非国家行为体,从国内外可能实施的网络攻击所带来的威胁;但就中长期前景来看,中国面临的战略任务是如何在持续开放互联的全球网络空间内,有效预防来自强势行为体,对中国关键信息基础设施构成的威胁挑战;基于条线分工形成的多点静态网络安全保障体系,很难有效胜任应对这种真正的国家级的安全威胁,这也是后续修订相关法律,完善战略,构建新的实践操作程序时,必须认真思考的问题。

监管部门壁垒被打破

此外,在国家网络安全向相关信息共享,以及网络安全监督管理体制建设方面,草案进行了有益的尝试。努力打破部门壁垒(+微信networkworldweixin),共享网络安全相关的信息,是此次草案中值得高度关注的亮点之一,草案规定:要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作(草案第四十四条、第四十五条);建立网络安全应急工作机制,制定应急预案(草案第四十六条);规定预警信息的发布及网络安全事件应急处置措施(草案第四十七条至第四十九条);为维护国家安全和社会公共秩序,处置重大突发社会安全事件,对网络管制作了规定(草案第五十条)。同时,草案尝试对网信、工信、公安等涉网管理部门的权限进行了明确的规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作,并在一些条款中明确规定了其协调和管理职能。同时规定,国务院工业和信息化、公安等部门按照各自职责负责网络安全保护和监督管理相关工作(草案第六条)。

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多,还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法,这些“软性”法律规定确有必要,其意在于宣示国家网络安全工作的基本原则,明确建设网络安全保障体系的主要举措,从而为整体推进保障体系建设提供法律依据。

值得改进之处

总体来看,草案能够从全局的角度加强对网络安全的保护,但从公众、广大网络安全从业者的反响来看,也存在很大的改进空间。

首先,受访者一致认为草案对于关键信息基础设施安全的相关规定不够完整。杨庆华认为,草案对基础安全的规定远未覆盖网络安全的全部重要领域。同时,绿盟科技安全顾问肖岩军认为,草案本身的意义在于确定了相关部门的权责,要求各个运营者在职责、组织架构、设备采购、运营维护等方面进行了定义,是一份大纲性质的法律,而具体相关规定会有各种配套办法来具体实施。

其次,受访者认为安全预警机制亟需建立。肖岩军谈到,美国对于安全预警信息是非常重视,其保持开放态度,借助国家漏洞库等项目,预警信息直达政府单位及企业。美国在推动这些情报的使用场景发挥,除了涉密的部分外,通过漏洞标准化、元语化来强化预警信息的分类、流通。为了检验安全应急预案的有效性,美国组织全行业参与“网络风暴”演练,由军方或者政府负责攻击,运营商、金融、电网负责防护。他认为,我们应充分借鉴发达国家的先进经验,兼顾国内实际情况。如此,草案才能够更加有效地执行。杨庆华建议,应尽快建立安全预警机制。他认为,在此机制中应由国家承担起主要责任,并设置预警等级机制。此外,他还谈到,法律的实施要具备可操作性,处罚部分类似行政条例,处罚力度的衡量有待商榷(例如可以以违法营业所得的倍数来处罚,而并非具体数字)。过于细致不可取,应设立原则性、方向性的规定。

再次,杨庆华认为,等级保护这一想法是否应该提出有待商议,因为并不是所有行业都有等保的要求。此外,运维章节方面,公民个人信息的界定应模糊化,过于细致的规定会给具体执行的时候增加难度;安全事件的涉及地点过于狭隘,类似县级政府启动安全预案,因为安全事件是涉及到整个网络的,网络是第五空间,而法案还是以四维空间为基础进行制定。杨庆华还认为,草案中对于政府层面如何支持安全产业的发展,阐述得过于笼统,不够完善,甚至稍显粗糙。因此,还是需要一部统筹各方、起到统领性作用,而且层级较高的统一立法,对网络安全进行系统全面的规定。

结语

对于网络安全的重要性,怎么评估都不为过。如今我国已进入互联网+时代,网络已与金融、电信、能源、交通、卫生、教育、科研等各行各业紧密联系在一起,一旦网络系统被攻击破坏,其危害结果难以估量。有专家曾说,一个网络病毒所造成的损害,远远超过一架轰炸机所造成的损害。

网络安全已经在全世界成为一个共性问题。相比发达国家的网络安全立法,并对比中国客观的国家网络安全需求来看,草案中做出的尝试和努力是非常初步的,我们应该宽容它、呵护它,使其不断成熟、更加科学,漫长而艰巨的任务尚有待完成。

相关文章