• 發布單位:TWCERT/CC
• 更新日期:2020-03-27
• 點閱次數:494

編者按
　　5月17日是世界電信和信息社會日。
　　進入21世紀，「信息安全」涉及的領域不斷擴大，已成為全球總體安全和綜合安全最重要的非傳統安全領域之一。隨著全球信息化的深入發展和持續推進，信息安全更多地體現在網路安全領域，反映在跨越時空的網路系統和網路空間之中。中國作為一個新興網路大國，面臨著更加複雜嚴峻的網路空間安全形勢，網路空間安全已經與國家安全和經濟社會發展息息相關。由此，在世界電信和信息社會日來臨之際，《法制日報》視點版將視角鎖定網路空間安全，探討如何通過法治的力量保障中國網路空間安全。
　　□本報記者趙麗
　　系統漏洞和後門隱患問題突出，「核彈」級漏洞不斷顯現，呈現新、快、危害大、針對政府部門等重要特徵；
　　網路攻擊頻率呈現上升趨勢；
　　安全風險的邊界不斷泛化；
　　……
　　上述結論來自上海社會科學院信息研究所聯合國內相關學術和管理機構策劃編撰的年度研究報告「網路空間安全藍皮書」《中國網路空間安全發展報告(2015)》。報告稱，網路攻擊、信息竊取、網路謠傳、隱私侵害、病毒傳播、網路犯罪、網路恐怖主義等問題在時刻挑戰著中國防控網路風險的水平與決心。
　　「加強網路立法、網路執法、全網守法，進一步推進我國網路空間安全管理的制度化和法制化，設計既能確保網路空間安全，又能適應互聯網發展需要的制度體系，也是國家治理體系和治理能力現代化的題中應有之義。」作為國家社科基金青年項目「大數據時代個人信息安全規制研究」的研究人員，上海社會科學院信息研究所助理研究員張?經過梳理近年來我國主要的網路空間安全立法、執法與政策措施，勾勒出我國網路空間安全法律與政策的完整圖景。
　　信息安全不可控因素凸顯
　　「根據2014年的情況分析，中國的網路信息安全態勢不容樂觀，主要表現為技術漏洞大量存在，信息安全不可控因素進一步凸顯。」專門從事信息安全戰略及技術研究的中國信息安全測評中心總工王軍說，我國重要信息系統和關鍵基礎設施的信息安全處於高風險狀態。
　　據中國信息安全測評中心監測發現，2014年1月至10月，全國網站被攻擊次數達38000多次，截至10月相關數據總體呈上升趨勢。全國共發現惡意網站約28億個，從惡意類型數據整體分析來看，惡意網站的最大成因是黑客入侵，佔總數的近五成。
　　「從趨勢特徵來看，2014年的信息安全漏洞具有出新快、危害大、針對政府網站等重要特徵。如『面具』病毒等新型病毒不僅以單純破壞為主，而且由於其後門功能強大，逐步具有間諜性質，危害度呈幾何級放大；又如，微軟瀏覽器存在『零日漏洞』，這種攻擊往往具有很大的突發性與破壞性，致使多個版本的IE瀏覽器受到影響，波及超過50%的電腦用戶。」王軍說，此外，2014年國家與省部級重要網站漏洞減少，但地市級政府網站隱患偏大，這些網站成為黑客組織的重要「靶場」。2014年約有200多個政府網站存在嚴重安全隱患，多個政府網站遭黑客組織攻擊篡改；由於被植入非法鏈接等，我國300多個政府網站發生安全事件。
　　王軍說，隨著移動互聯網的迅猛發展，其在方便人們生產、生活的同時，也面臨著嚴峻的安全威脅，而現有的安全機制如許可權許可和審查機制等還存在一些弊端。
　　「移動互聯網具有的網路融合、應用多樣、終端智能、平台開放等諸多新特點對監管提出新挑戰。在這樣的背景下，上至國家安全下至個人隱私保護都變得複雜而艱巨。」王軍說，值得注意的是，大數據時代的到來，使得大數據與人們日常工作和生活息息相關，風險的發生機會和連帶效應將變得超過以往任何時期。
　　立法需兼顧穩定與前瞻
　　面對日趨複雜和嚴峻的國際國內網路安全形勢，黨的十八屆三中全會提出了「加大依法管理網路力度，加快完善互聯網管理領導體制，確保國家網路和信息安全」的要求，網路空間安全的立法進一步加速。
　　張?介紹說，近年來，我國網路空間安全領域的立法活動十分活躍，以《全國人大常委會關於維護互聯網安全的決定》《全國人大常委會關於加強網路信息保護的決定》《互聯網信息服務管理辦法》等為基礎，制定頒布了一系列網路安全管理的行政法規和部門規章。
　　「這一系列立法活動逐漸構建起中國網路空間安全的制度框架。」張?說，但在網路空間安全立法方面，仍存在需要進一步完善的方面。
　　「互聯網時代的治理需要立法者立足現實並具有前瞻性眼光，以應對層出不窮的新技術、新應用帶來的法律挑戰和監管困境。在互聯網環境下，立法所立足的技術背景和社會條件都處於急速的變化發展之中，法律的制定與實施既需要有前瞻性也要正視現實的可操作性，儘可能以相對穩定的法律規範去適應不斷變化的網路環境。對於重點問題先行立法，使之有法可依，並在立法過程中不斷適應新形勢，出台具體的管理細則。」張?說，在立法理念上，要釐清安全與發展的關係。
　　張?認為，網路空間的核心部分是國家關鍵基礎設施。「我國使用的信息基礎設施和關鍵核心技術設備大量都是國外的，存在嚴重的『後門』威脅。要實現我國網路空間安全的可管可控，保障關鍵基礎設施安全，要完善政府採購制度，對關係國家安全和公共安全利益的系統使用的重要信息技術產品和服務實施信息安全審查制度。」張?說，同時，立法要明確規範數據的收集、利用和跨境流動，建立可信任的數據安全保障機制，加強執法部門的定期核查。針對金融、能源、醫療、稅收、財政等涉及重大公共利益的行業信息應當給予特別保護。
　　明確網路信息安全基線
　　值得注意的是，今年4月，第十二屆全國人大常委會第十四次會議審議了《中華人民共和國國家安全法(草案二次審議稿)》。草案提出，國家建設國家網路與信息安全保障體系，提升網路與信息安全保護能力，加強網路和信息技術的創新研究和開發應用，實現網路和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網路管理，防範和依法懲治網路攻擊、網路竊密、散布違法有害信息等網路違法犯罪行為，維護國家網路空間主權、安全和發展利益。
　　「應該說，加速推進我國網路與信息安全綜合性立法已經刻不容緩。」對此，主要從事網路與信息安全法律、電子數據研究的公安部第三研究所助理研究員黃道麗介紹，目前我國網路與信息安全相關法律基本上是「補丁」式立法，散見於刑法、治安管理處罰法、保密法等法律中。
　　「近期，國家開始啟動國家信息安全審查、關鍵基礎設施保護和互聯網信息服務等方面的專項立法。」黃道麗說，但從國家形勢出發，要落實中央提出的「總體國家安全觀」，就必須制定綜合性立法。
　　「我國迫切需要一部統領信息化發展的綜合性法律。只有進行綜合性立法，明確國家對網路信息安全的基本原則，統一部署規劃，建立國家網路信息安全的輿情監測、應急響應、技術人才、組織保障等綜合法律體系，才能貫徹『總體國家安全觀』理念，體現中央關於網路安全和信息化發展的戰略要求，實現國家安全、社會穩定、產業發展和個人隱私保護的總體安全宗旨。」黃道麗認為，制定綜合性立法符合我國現實的立法需求。網路與信息安全立法涉及需求廣，且與雲計算等新技術新應用的迅速結合普及密切相關。我國現行信息安全法律法規涉及法律、行政法規、部門規章、地方法規及規範性文件等多個層次，覆蓋內容上縱向包括網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒防治等特定領域的信息安全、信息安全犯罪制裁等多個領域，橫向包括政府信息安全維護、企業權益保障和個人信息權利保護等。從總體上來看，現行法律法規無法有效應對日漸嚴峻的信息安全威脅。
　　「針對這一現狀，僅對原有法律進行解釋、修訂或增補難以把握安全與發展之間的關係，不利於國家總體安全戰略目標的實現。我國應制定綜合性立法，明確規定網路與信息安全的基線，為部門、地方的立法和政策的制定、調整和完善提供法律依據。」黃道麗說。
　　（原標題：網路與信息安全綜合性立法迫在眉睫）

參考連結： http://news.sina.com.tw/article/20150516/14387201.html