亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

共筑網(wǎng)絡(luò)安全防線亟需推動威脅信息共享立法

近年來,隨著網(wǎng)絡(luò)信息化技術(shù)應(yīng)用深入到社會生活的各個領(lǐng)域,網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴峻復(fù)雜,不僅網(wǎng)絡(luò)攻擊事件層出不窮、網(wǎng)絡(luò)攻擊手段不斷升級,甚至出現(xiàn)了針對交通、電力、電信、金融等領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施和特定目標的“高級持續(xù)攻擊”(APT攻擊)。從早期的摧毀伊朗核電站離心機的Stuxnet病毒、烏克蘭電網(wǎng)被攻擊事件,到前幾年針對我國政府、能源、軍事和科研領(lǐng)域?qū)嵤〢PT攻擊的“海蓮花”組織、“白象行動”、“蔓靈花攻擊行動”等,再到近期的WannaCry勒索病毒、美國對ISIS發(fā)動網(wǎng)絡(luò)戰(zhàn)、委內(nèi)瑞拉等國大規(guī)模停電事件、俄羅斯電網(wǎng)被植入后門、美國伊朗網(wǎng)絡(luò)交戰(zhàn)等,可以發(fā)現(xiàn)網(wǎng)絡(luò)安全不僅關(guān)乎國計民生,也日益成為國家間對抗的新戰(zhàn)場,網(wǎng)絡(luò)安全威脅開始在政治、經(jīng)濟、文化、國防等各個領(lǐng)域全面顯現(xiàn)。
面對已經(jīng)滲透到社會各個領(lǐng)域的網(wǎng)絡(luò)安全威脅,單一的、靜態(tài)的、局部的防護思路顯然已經(jīng)不合時宜,必須樹立綜合的、動態(tài)的、系統(tǒng)的網(wǎng)絡(luò)安全防護理念,必須動員全社會力量共同維護網(wǎng)絡(luò)安全。習(xí)近平總書記2016年4月在網(wǎng)絡(luò)安全和信息化工作座談會上的講話明確指出,要“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”,“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民,維護網(wǎng)絡(luò)安全是全社會共同責(zé)任,需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與,共筑網(wǎng)絡(luò)安全防線”。
網(wǎng)絡(luò)安全靠人民、共筑網(wǎng)絡(luò)安全防線,不僅需要發(fā)揮政府“國家隊”的力量,也需要重視和支持企業(yè)、社會組織和廣大網(wǎng)民等民間力量發(fā)揮作用,打贏維護網(wǎng)絡(luò)安全的人民戰(zhàn)爭。從域外經(jīng)驗來看,以美國代表的西方國家除了增強政府網(wǎng)絡(luò)安全能力、制定并嚴格執(zhí)行相關(guān)法律和技術(shù)標準外,還尤其注重培育網(wǎng)絡(luò)安全企業(yè)和社會組織、廣泛開展公眾教育。這些企業(yè)和社會組織,不僅提供民用網(wǎng)絡(luò)安全維護服務(wù)和網(wǎng)絡(luò)安全評估,有時還在政府支持和雇傭下參與國家級的網(wǎng)絡(luò)安全攻防和競爭。近年來,以美國“賽門鐵克”、“火眼”、“曼迪昂特”,俄羅斯“卡巴斯基”為代表的網(wǎng)絡(luò)安全公司快速興起,成為國家間網(wǎng)絡(luò)攻防的重要力量。有分析就認為,名義上獨立的網(wǎng)絡(luò)安全公司,已經(jīng)成為大國博弈的重要工具。
我國近年來開始不斷重視發(fā)揮企業(yè)、社會組織和民眾在維護網(wǎng)絡(luò)安全方面的重要作用。2014年開始每年舉辦國家網(wǎng)絡(luò)安全宣傳周,突出“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的主題,在全國范圍內(nèi)形成了學(xué)安全、懂安全、重安全的良好氛圍。2019年國家網(wǎng)絡(luò)安全宣傳周開幕前夕,習(xí)近平總書記對國家網(wǎng)絡(luò)安全宣傳周作出重要指示強調(diào),舉辦網(wǎng)絡(luò)安全宣傳周、提升全民網(wǎng)絡(luò)安全意識和技能,是國家網(wǎng)絡(luò)安全工作的重要內(nèi)容。近些年我國在G20峰會、金磚會議等重大活動期間的網(wǎng)絡(luò)安全保障工作,不僅有公安部、網(wǎng)信辦、工信部、總參、科研院所等體制內(nèi)隊伍坐陣,也有360公司、安恒公司等本土企業(yè)深度參與,取得了較好的安防效果。
不過與網(wǎng)絡(luò)安全威脅全領(lǐng)域全方位滲透顯現(xiàn)的現(xiàn)實相比,在共筑網(wǎng)絡(luò)安全防線方面,我們還有很大的提升空間。其中很重要的一個方面,就是為了實現(xiàn)“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”而需要建立有效的網(wǎng)絡(luò)安全威脅信息共享機制,這是共筑網(wǎng)絡(luò)安全防線的重要抓手。我國政府和企業(yè)在這方面已經(jīng)進行了一系列探索。比如,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)建立了國家信息安全漏洞共享平臺(CNVD),截止2019年10月累計收錄了針對軟硬件產(chǎn)品漏洞17.2萬條以及具體信息系統(tǒng)漏洞31.3萬條,通報處置了重要信息系統(tǒng)單位漏洞事件13.8萬余起;該中心還牽頭組建了中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟(CCTGA)、中國反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA),截止2019年10月,前者成員單位已達138家,累計共享網(wǎng)絡(luò)安全威脅情報數(shù)據(jù)133.2萬條,后者成員單位已達61家,在阻斷惡意程序傳播方面發(fā)揮了積極作用。
再比如,360公司2018年推出了360安全大腦服務(wù)體系。在這一體系中,“威脅情報云”是構(gòu)建其“看見”高級別網(wǎng)絡(luò)攻擊的要素之一。這與360在威脅情報云方面的積累密不可分:360已累計報告主流廠商漏洞2000以上,獨立捕獲7次野外APT 0Day漏洞攻擊,發(fā)現(xiàn)針對中國的境外APT組織40以上。這些威脅情報未來還會不斷增加,360安全大腦在其落地場景中會對接企業(yè)的態(tài)勢感知系統(tǒng),為客戶建立威脅情報中心等,這將極大地豐富威脅情報源,強化“看見”威脅的能力。
但是近期在應(yīng)對一些突發(fā)網(wǎng)絡(luò)安全事件過程中出現(xiàn)的問題,也暴露了我們在網(wǎng)絡(luò)安全威脅信息共享方面存在一定的短板。以2017年5月12日爆發(fā)的Wannacry勒索病毒為例,該病毒短短幾天就影響了我國境內(nèi)10多萬IP地址,對我國互聯(lián)網(wǎng)造成嚴重的安全威脅。雖然經(jīng)過政府有關(guān)部門和安全企業(yè)的積極應(yīng)對,有效遏制了該病毒在我國的擴散,但是復(fù)盤整個應(yīng)對過程仍引人深思。其實早在2017年4月16日,國家互聯(lián)網(wǎng)應(yīng)急中心負責(zé)的國家信息安全漏洞共享平臺(CNVD)就發(fā)布專門公告,指出“影子經(jīng)紀人”公布的漏洞攻擊工具集成化程度高、部分攻擊利用方式較為高效,有可能引發(fā)互聯(lián)網(wǎng)上針對服務(wù)器主機的大規(guī)模攻擊。有些國內(nèi)企業(yè)也通過不同渠道提前獲知了勒索病毒可能爆發(fā)的情況。不過很遺憾利用“影子經(jīng)紀人”公布的“永恒之藍”漏洞的Wannacry勒索病毒還是對我國造成了嚴重影響,這說明我們并沒有充分有效的威脅信息共享機制去提前部署充分的應(yīng)對措施,企業(yè)或相關(guān)主體在共享威脅信息方面有著很大的顧慮。
相關(guān)主體之所以在共享網(wǎng)絡(luò)安全威脅信息方面存有顧慮,是因為所有建立網(wǎng)絡(luò)安全威脅信息共享機制的嘗試,都面臨著較大的法律風(fēng)險。這主要體現(xiàn)在以下兩個方面:一是共享網(wǎng)絡(luò)威脅情報可能讓信息共享主體承擔(dān)更多責(zé)任或陷入不利地位。例如,不論是對政府部門還是私營機構(gòu),共享網(wǎng)絡(luò)安全信息往往就要承認自身已遭受網(wǎng)絡(luò)攻擊或發(fā)生數(shù)據(jù)泄露,這可能引發(fā)消費者提起侵權(quán)之訴,或者可能追究因違反信息保護義務(wù)而構(gòu)成的法律責(zé)任。例如,企業(yè)共享網(wǎng)絡(luò)安全威脅信息,可能泄露類似商業(yè)秘密等商業(yè)信息,企業(yè)可能會喪失競爭優(yōu)勢或在市場競爭中陷入被動。再如,企業(yè)為了應(yīng)對網(wǎng)絡(luò)安全威脅而共享給政府的信息,可能會被政府作為執(zhí)法證據(jù),追究企業(yè)的某些法律責(zé)任。正因為此,企業(yè)一般不愿與政府或其他企業(yè)共享涉及商業(yè)利益的信息。二是共享網(wǎng)絡(luò)威脅情況還可能違反隱私和個人信息保護的規(guī)定。例如各國對消費者個人的信用信息、金融數(shù)據(jù)、教育信息和健康信息等一般有專門性規(guī)定,如果共享的安全信息涉及可識別的個人信息,就可能違反這些個人信息保護的專門性規(guī)定。
因此,共筑網(wǎng)絡(luò)安全防線,建立網(wǎng)絡(luò)安全威脅信息共享機制,亟需立法予以保障。近年通過的美國《網(wǎng)絡(luò)安全信息共享法》和歐盟《網(wǎng)絡(luò)和信息系統(tǒng)安全指令》都對此有針對性規(guī)定。美國《網(wǎng)絡(luò)安全信息共享法》授權(quán)政府機構(gòu)、企業(yè)以及公眾之間可以在法定條件和程序下共享網(wǎng)絡(luò)安全信息,并將網(wǎng)絡(luò)安全信息界分為網(wǎng)絡(luò)威脅指標(cyber threat indicator)和防御措施(defensive measure)兩類信息。歐盟《網(wǎng)絡(luò)和信息系統(tǒng)安全指令》規(guī)定各國計算機安全事件響應(yīng)團隊負責(zé)監(jiān)測網(wǎng)絡(luò)安全事件并交換這些網(wǎng)絡(luò)安全事件信息,而基本服務(wù)運營者、數(shù)字服務(wù)提供者有義務(wù)報告網(wǎng)絡(luò)安全事件。
我國《網(wǎng)絡(luò)安全法》雖然規(guī)定了“促進有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者以及有關(guān)研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”,網(wǎng)絡(luò)運營者應(yīng)“按照規(guī)定向有關(guān)主管部門報告”網(wǎng)絡(luò)安全事件,“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度”等。2019年11月20日,國家互聯(lián)網(wǎng)信息辦公室公布了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》,將“網(wǎng)絡(luò)安全威脅信息”界定為描述可能威脅網(wǎng)絡(luò)正常運行行為的意圖、方法、工具、過程、結(jié)果等的信息以及可能暴露網(wǎng)絡(luò)脆弱性的信息,進一步規(guī)范了網(wǎng)絡(luò)安全威脅信息發(fā)布行為。但這些規(guī)定并沒有專門涉及如何減輕相關(guān)主體共享網(wǎng)絡(luò)安全威脅信息的法律風(fēng)險,相關(guān)制度設(shè)計仍需要進一步細化完善。針對前述問題,筆者對于網(wǎng)絡(luò)安全威脅信息共享立法提出如下完善建議:
一是規(guī)定企業(yè)的責(zé)任豁免以激勵其參與共享。即規(guī)定企業(yè)在遵循法定強制標準和按照法定要求共享網(wǎng)絡(luò)安全信息的情況下,減輕或免除因此而產(chǎn)生的法律責(zé)任。例如,對于遵守監(jiān)管標準的關(guān)鍵信息基礎(chǔ)設(shè)施運營者,可以考慮規(guī)定其信息系統(tǒng)被惡意攻擊而導(dǎo)致大規(guī)模數(shù)據(jù)泄露時,可只向消費者承擔(dān)補償性賠償責(zé)任,而非承擔(dān)懲罰性賠償責(zé)任。再就是為了提升企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的能力和打消其因分享信息而承擔(dān)責(zé)任的顧慮,建議我國立法應(yīng)授權(quán)企業(yè)有權(quán)監(jiān)視其負責(zé)運營的網(wǎng)絡(luò)信息系統(tǒng)以及系統(tǒng)內(nèi)存儲、處理和傳輸?shù)臄?shù)據(jù),并規(guī)定不承擔(dān)因此而產(chǎn)生的法律責(zé)任。對于并未納入強制監(jiān)管范圍的企業(yè),可自愿加入網(wǎng)絡(luò)安全信息共享機制,只要其按法定要求共享相關(guān)信息,可以規(guī)定豁免其相應(yīng)的法律責(zé)任。除此之外,還可以考慮政府采購傾斜、稅收減免等激勵措施。
二是規(guī)定維護網(wǎng)絡(luò)安全與保護私人權(quán)益的平衡機制。在網(wǎng)絡(luò)安全威脅信息共享中,應(yīng)尤其重視對私人權(quán)益的保護。建議規(guī)定政府或其他主體保存、使用或者傳播網(wǎng)絡(luò)安全威脅信息時,必須保護這些信息里任何可識別的個人信息不被未經(jīng)授權(quán)的披露、處理或者使用。所共享的網(wǎng)絡(luò)安全威脅信息,應(yīng)該移除或匿名化其中與網(wǎng)絡(luò)安全威脅沒有直接關(guān)系的個人信息;對于無法移除或匿名化的個人信息,應(yīng)最大限度地確保其用于法定目的而不被泄露濫用,規(guī)定留存這些個人信息的合理期限。在含有個人信息的網(wǎng)絡(luò)安全威脅信息發(fā)生意外泄露事件時,應(yīng)及時通知這些個人信息所涉及的權(quán)利主體。建議規(guī)定使用共享的威脅信息不能侵害個人隱私、商業(yè)秘密、知識產(chǎn)權(quán)等合法權(quán)益,而且這些共享的威脅信息不屬于政府信息公開的范圍。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號