我国网络信息保护面临的挑战及应对措施

2014-08-15 09:31王闯冯伟
网络空间安全 2014年6期
关键词:措施建议信息安全

王闯+++冯伟

【摘要】近年来,我国网络信息面临的安全风险不断加大,个人信息泄露事件频发,各种新型网络攻击不断出现,造成的影响日益严重。本文首先介绍了我国网络信息保护面临的严峻形势,分析了我国在网络信息保护方面存在的问题,结合世界各国在网络信息保护方面的做法,提出我国应采取的措施建议。

【关键词】信息安全;网络信息保护;电子身份证;措施建议

【中图分类号】O242; F830.9【文献标识码】A

1引言

2013年6月份,美国国家安全局被曝出“棱镜门”事件,谷歌、微软、思科、Facebook等数千家科技、金融以及制造公司与美国国家安全局密切合作,为其提供敏感信息。同时,美国国安局旗下设有一个部门,名为“定制入口行动办公室”(TAO),过去近15年中一直从事侵入中国境内电脑和通讯系统的网络攻击,借此获取有关中国的有价值情报。这一事件给我国网络信息安全敲响了警钟。

据统计,2012年我国约有2.57亿人遭受网络犯罪侵害,所蒙受的直接经济损失达人民币2,890亿元。

为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,全国人大常委会于2012年12月28日通过了《关于加强网络信息保护的决定》,我国首个个人信息保护国家标准也于2013年2月1日正式实施。在当前环境下,做好网络信息保护工作,实现我国网络信息保护相关政策平稳落地,对于保障广大人民群众的合法权益,促进我国网络经济健康持续发展具有重要意义。

2网络信息保护概述

2.1基本概念

这里所提到的网络信息,与通常所讲的个人信息含义相当。在《关于加强网络信息保护的决定》中明确规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”而在个人信息保护国家标准中,将个人信息定义为:可为信息系统所处理、与特定自然人相关、能够通过与其他信息相结合识别该特定自然人的计算机数据。

实际上,在法律范畴内,个人信息通常是指自然人所的在在有的,能够直接或间接识别其本人的特定资料所反映出来的内容,其具有人格属性。个人信息隐私权则兼具人格权与财产权双重属性。在当前信息时代中,个人信息也是一种财产类型。

2.2核心问题

网络信息保护中最核心的内容主要包括三个方面:一是法律,个人信息涉及到隐私和财务权,必须有专门的法律来参考执行;二是监管,在信息社会中,个人信息产生的纠纷大幅增加,需要专门的监管部门来管理;三是实施,就是技术支撑体系,在网络环境下,我们需要各种技术手段来保障个人信息不被窃取、盗用、冒用等,而且要在出现上述情况后追踪到犯罪分子并提供相关证据,当前主要基于公钥基础基础设施(PKI)相关技术体系实现。

3我国面临的主要问题

3.1政策法规标准体系尚不健全

我国目前在网络信息保护方面还未形成健全的政策法规标准体系。在法律方面,我国涉及个人信息保护的法律有近40部,法规30部,但都是零散的法律条文,《关于加强网络信息保护的决定》可以看成第一部个人信息保护立法,但如何正确使用这部法律,怎样将这部法律与当前法律体融合起来,从而有效解决个人信息保护中存在的问题,这都需要进一步完善。在标准体系方面,我国首个个人信息保护国家标准已正式实施,但该标准只是指导性技术文件,在网络信息保护方面的作用有限,网络信息保护相关的标准体系仍有待完善。

3.2网络信息保护监管有待加强

我国目前在网络信息保护方面缺乏足够的监管,这也是个人信息泄露频发的一个重要原因。首先,我国个人信息保护面临工业和信息化部、公安部、国家保密局、国家密码管理局、卫生部等相关部门之间交叉管理的问题,缺少一个从整体上统一协调个人信息保护工作的专门机构。其次,没有形成对侵害公民个人信息犯罪进行治理的长效机制,2012年初公安部统一部署的集中治理行动取得了丰硕成果,但打击侵害公民个人信息犯罪还没有固化到日常工作中。最后,没有对涉及公民个人信息的互联网企业实现有效监管,包括企业收集公民个人信息的流程是否合规,涉及个人信息的用户协议条款是否完善,以及企业是否具备相应的安全级别等。

3.3技术服务支撑体系亟待建设

我国目前还没有形成能够全面支撑网络信息保护的技术服务支撑体系。首先,尚未建立有效的网络身份管理体系。从根本上讲,网络信息保护是为了明确各主体在网络空间的权利和责任,在具体实施过程中则需要确定现实世界中的对应主体,这就需要完善的网络身份管理体系。其次,尚未形成覆盖全面的网络身份信任服务体系。网络应用种类繁多,网络主体身份多种多样,网络身份管理体系是否能够得到广泛应用,直接关系到网络信息保护能够有效实施,网络身份信任服务体系必不可少。最后,网络信息保护技术支撑体系有待完善。随着互联网应用的日益深入,网络上存储和流传的信息种类和数量不断增多,需要严格保障网络信息存储和使用的安全性,并保证网络信息的可追溯性,为网络信息被侵害提供取证和鉴证技术支撑。

4国际上的主要做法

4.1建立完善的个人信息保护法律体系

目前,世界上已经有70多个国家和组织制定了个人信息保护相关法律法规。美国通过了一批个人信息保护相关的法律,如《隐私权法》、《信息保护和安全法》、《消费者隐私保护法》、《反网络欺诈法》等;欧盟先后制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于个人数据自动化处理之个人保护公约》和《关于保护自动化处理过程中个人数据的条例》;英国制定了《数据保护法》;德国制定了《联邦数据保护法》;加拿大制定了《隐私保护法》和《个人信息保护及电子文档法案》;日本制定了《个人信息保护法》。由于互联网应用模式多种多样,各国仍在不断丰富自己的法律体系,以确保满足网络信息保护的具体要求。endprint

4.2成立专门的个人信息保护监管机构

个人信息保护是政府部门的管理职责,很多国家都设立了具体的机构来负责保护消费者信息和企业信息安全的职责。欧盟在网络个人隐私的保护方面订立了非常严格的保护标准,并设立了特别委员会以执行此项工作。德国创设了联邦数据保护专员制度,美国、日本、澳大利亚有综合性的机构内设部门或专门设立隐私专员(如韩国的个人信息调解委员会和澳大利亚的隐私专员)予以管理,显示出个人信息保护的普遍性和社会性。韩国由行业监管机构——韩国通信委员会及互联网与安全局,具体执行消费者信息保护。

4.3启动有效的网络身份管理体系建设

为了确保对网络身份有效管理,实现相互信任的网络环境,美欧等国家都建立了各具特色的网络身份管理体系,如美国的网络身份生态体系、欧盟的电子身份证等。首先,以国家力量研究网络身份管理体系。欧盟于2002年的第六框架计划开始进行身份管理相关的研究,为推广电子身份证打下坚实的基础。其次,通过国家政策全面推动网络身份管理体系建设。美国政府通过发布《网络空间可信身份国家战略》(NSTIC),启动对网络身份生态体系的建设。欧盟则推出了电子签名计划,电子身份证是计划中一项重要的试点工作。最后,构建了较完善的基础设施。各国的网络身份管理体系基本上都是基于公钥基础设施(PKI),美国政府建立了完善的联邦PKI体系,包括联邦桥CA、联邦通用策略框架CA、电子政务CA、公众及商务类通用CA等。欧盟各国在推行电子身份证的过程中都建设了专门的基础设施,如德国的CSCA和CVCA。

4.4启动针对性网络信任服务应用推广

网络信任服务是在网络身份管理体系基础上提供的身份认证、属性验证等服务,欧美等国通过积极推进网络信任服务应用,从而为网络信息保护打造良好的环境。欧美等国都采取政府引导,企业实施的公私合作模式,通过在特定领域开展试点工作等方式,积极推广网络信任服务。欧盟在数字签名计划框架下推出大量覆盖欧洲的试点工作,如公民的电子身份证(STORK)、泛欧洲在线公共采购(PEPPOL)等。美国在推出NISTC战略后很快就推出五项试点工作,包括在线身份系统、在线交易系统、在线医疗及教育等。这些试点工作既能推广网络信任服务,又可以验证技术体系的安全性,为建立安全可信的网络打下基础。

5我国加强网络信息保护的措施建议

5.1完善法律法规体系

有法可依是加强网络信息保护的基础,应进一步完善我国个人信息保护法律法规体系。《关于加强网络信息保护的决定》已经规范了网络空间主体的权利和义务,明确了相关主体应当承担的法律责任和义务,各相关部门应尽快建立配套的行政法规和部门规章,并出台实施细则,为网络身份保护的实施提供依据。

5.2加大行业监管力度

成立专门的网络信息保护机构,建立跨部门、跨区域的协调机制,协调各职能部门在网络身份管理、互联网行业监管等各项工作中的分工合作。加强个人信息保护执法队伍建设,加大对非法泄露和倒卖公民个人信息行为的打击力度。加强对涉及个人电子信息相关单位的监管,设立专门的机构接受网络用户申诉、投诉,建立有效的互联网行业审查制度,对在业务活动中收集公民个人信息的网络服务提供者和其他企事业单位进行监督管理。

5.3打造网络信任体系

借鉴欧美等国的网络身份管理体系,以电子认证服务业为基础,建立网络身份信任体系,为网络信息保护提供安全可靠、隐私保护、方便快捷的网络身份服务。协调公安部、人社部、教育部、银行等部门,实现现有身份信息的有条件开放,在不改变现实社会身份信息管理格局的前提下,为网络身份与真实身份的绑定提供权威依据。基于现有电子认证服务基础设施,坚持统一规划、分布部署的原则,建立覆盖全国各地的网络身份管理服务网络。完善网络身份信任服务标准体系,制定网络身份申请、核验、管理、应用等方面的技术标准,实现网络身份信任服务的规范化、标准化。

5.4积极推广示范应用

大力推广网络信任服务应用,为网络信息保护构建良好环境。采取政府引导企业主导的方式,从电子政务、电子商务等现实生活中对身份要求较高的领域着手试点应用,逐步向整个网络空间推广。充分利用市场化机制推广应用,以服务代替管理可以消除人们对“互联网监管”的疑虑,而且可以大大提高用户的体验,有助于应用推广。在重点领域和行业率先开展应用试点工程,不断深化拓展应用,完善相关管理制度和规范,加强工程管理,及时发现和反馈工程实施中存在的问题,总结成功经验,进一步完善网络信任服务体系建设。

5.5营造良好社会氛围

加强个人信息保护宣传力度,充分利用广播、电视、报刊、网络等各种媒体,广泛开展面向全社会的个人信息保护宣传教育。采取讲座、论坛、研讨会等多种形式宣传《关于加强网络信息保护的决定》、《电子签名法》等相关政策法规,进一步普及个人信息保护、电子签名与认证电子认证相关知识。大力宣传网络身份信任服务,提高社会公众利用网络主体身份认证服务、网络主体属性认证服务保护自身权益的意识和能力,营造有利于网络身份信任体系建设的良好氛围。

6结束语

面对日益严峻的网络信息保护形势,我国应采取针对性措施,实现网络信息保护的真正落地。本文介绍了网络信息保护的背景和相关概念,分析了我国网络信息保护所面临的挑战和问题,通过研究世界各国在网络信息保护方面的具体做法,提出了我国加强网络信息保护的措施建议。

参考文献

[1] GB/Z 28828-2012,信息安全技术 公共及商用服务信息系统个人信息保护指南[S].2012.

[2] 陈玉莲,沈旸,雷子君.个人信息保护机制的构建[J].河北公安警察职业学院学报,2009,第9卷(第1期).

[3] 洪海林.个人信息财产化及其法律规制研究[J].四川大学学报,2006年,第5期.

[4] 张春生.中国电子认证服务业发展蓝皮书[M].北京:中央文献出版社,2013.

[5] 芳芳. 国外PKI/CA体系发展状况的研究[J].计算机安全,2001年,第9期.

基金项目:

本课题得到国家高技术研究发展计划(863计划)No.2012AA01A403支持。

作者简介:

王闯(1984-),男,博士,助理研究员,工业和信息化部赛迪智库信息安全研究所工作,主要从事计算机应用技术、电子认证、信息安全战略、信息安全产业等领域的研究工作。

冯伟,男,博士,工业和信息化部赛迪智库信息安全研究所工作,主要从事通信、电子认证、信息安全、工业控制信息安全等领域工作。endprint

猜你喜欢
措施建议信息安全
信息安全不止单纯的技术问题
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
推进企业机关作风建设常态化的实践与思考
浅谈企业内部审计质量控制
中等职业学校实施“长短课”的必要性与实施建议
浅淡如何发挥交通基础作用打赢精准扶贫攻坚战
2014第十五届中国信息安全大会奖项
信息安全管理