曹 兴
对外经济贸易大学法学院,北京 100029
《网络安全法》历经多年,与信息安全等级保护制度相融合,网络空间安全与国家主权安全具有同等重要的地位,但这部法律是宏观层面的,如何指导管道企业遵从我国网络空间法律行为,保护国家秘密,守住网络安全的最后防线,需要对基本法进一步细化,制定相关细则,而一系列法规制度也正在加紧制定,它们共同形成相配套的我国国家网络安全法律体系,为管道企业如何贯彻落实《网络安全法》指明了方向,解决了一系列问题:一是等级保护制度的法律地位的提升;二是明确对天然气管道信息基础设施的保护范围;三是加强对管道业务数据的加密保护;四是为网络安全管理提供了法律依据;五是突出网络安全合规性及应承担的法律责任。其重大意义在于:
现如今各个重要领域的基础设施都已经向着网络化、信息化、数据化的方向发展,各项基础设施的核心部件也都离不开网络信息系统的技术支撑。一个国家要想强大,不仅国家主权要独立,还应具有强大的网络安全防御能力,不受别国干涉,《网络安全法》为全面推动网络安全防御体系的建立提供了牢固的法律依据。在国际上,已经发生了诸多国家的重点领域遭受攻击事件,主要是因为网络安全防护措施落实不到位。2015年,恶意软件攻击乌克兰电力设施,导致七十万家庭数小时的断电事故,造成严重社会恐慌。2017年,“永恒之蓝”蠕虫病毒在全球蔓延,以锁定重要数据相要挟,使用户数据遭受重大损失。惨痛的事实证明没有网络安全,就没有国家安全,在预防网络风险方面,《网络安全法》提供了坚实的法律保障。
网络空间已不再是虚拟的法外之地,它已经与现实世界接轨,成为我国国家主权的一部分,《网络安全法》在履行国家主权等方面,涉及互联网及相关领域的公共政策,界定了我国网络安全的边界。《网络安全法》是国家网络空间主权原则下强有力的法律武器,主权原则也体现了国际义务,既要采取措施减少网络安全威胁、提升国家网络防御能力,也要实现国际共同合作,预防和打击国际网络空间稳定的网络攻击和网络犯罪。网络安全无国界,需要国际社会共同参与、共同治理,共同努力防范和打击跨国网络犯罪。
网络空间管理涉及公共安全问题以及公众个人切身利益。网络安全立法秉承“以人为本”、公众参与的原则,立法程序公开、透明,为了遵从网络时代的客观规律,既体现互联网发展的特点,又汲取他国成功经验,确保法律的科学和专业。例如对“关键信息基础设施”的界定,体现了概括加列举的定义方法,采用了内涵加外延的法律范围界定,将那些中断服务、失效或被破坏会危及国家安全、公共健康与安全、危及社会福祉等的设施均列为关键基础设施而予以重点保护。
《网络安全法》作为具有强制性的基本法,具有以下特点:①坚持网络安全和信息化发展并重原则;②提出网络空间主权;③强调开展国际合作;④建立统筹协调、分工负责的管理体制;⑤重点保护关键信息基础设施;⑥网络突发事件采取“网络通信管制”;⑦充分发挥行业组织自律作用;⑧加大网络安全资金投入。《网络安全法》的内容与管道企业发展和社会民生又存在着紧密联系,重点从以下三个方面进行分析:
一是提升了等级保护制度的法律地位[1]。将等级保护工作根据重要程度,从低到高分为一至五级。定级一般采取自愿原则,关键信息基础设施的等级保护是强制性义务。等级保护工作内容包括:①系统定级、②安全域划分、③等级安全指标设计、④等级安全体系规划、⑤安全等级评测等[2]。信息系统等级保护标准沿用至今,具有一定的科学性和可操作性,为网络安全等级保护制度奠定了基础,从而提升了网络安全等级保护制度的法律地位[3],两者顺利衔接,相互融合,但《网络安全法》规定了等级保护制度的总原则,可操作性和执行性不强,需进一步出台相关配套细则加以明确,指导等级保护测评工作的开展,明确了重要信息系统及网络安全风险的检查和应急处置工作,强化企业网络安全防御体系建设,提升网络安全管理水平[4]。
二是对关键信息基础设施实行重点保护。纵观国际社会发生的重大网络安全事件,能源信息基础设施已成为网络攻击的目标,关键基础设施仍然是信息安全保障的最核心内容[5]。例如“永恒之蓝”病毒针对加油站的攻击,我国将关键信息基础设施安全保护上升至法律层面,立法很迫切、出台很及时,说明国家对重要行业和领域网络安全的高度重视,尤其是能源行业的管道企业,对油气设施及坐标数据进行重点安全保护,不仅需要提高油气信息基础设施自身安全,更应当进行一系列制度规范体系建设,建立完善的规章制度[6],搭建可落地的制度框架。
三是网络安全的核心是信息,数据保护是重点。信息可理解为业务数据,业务数据来自业务的开展过程,因此在业务开展过程中去发现信息的安全保护问题,进而使用信息化手段解决此问题,助力业务发展。数据的安全保护,又分为两方面内容:一是要求各企业切实承担起数据安全的职责,即数据的保密性、数据的完整性、数据的可控性及数据的不可否认性[7]。二是保障个人对其个人信息的安全可控。但对于国家层面的数据保护,可以说《网络安全法》仅仅规定了关键信息基础设施上的重要数据应当留存本地。如果将数据真正当成“基础性战略资源”,则国家层面的数据保护至少包含了三项主要内容:数据安全、数据支配权、防止敏感数据遭恶意使用对国家安全的威胁。在这三个方面,《网络安全法》都欠缺清晰的思路,需要后续制定相应的配套细则加以明确。
首先,在基础网络和应用系统建设上的投入是基础,而在网络安全管理上的投入也固然重要,安全的投入不仅是软硬件采购部署,平时的执行管理更加关键,安全投入和安全等级以及数据价值不相匹配。有些企业也无视国家法律法规,不严格执行网络安全管理制度,未履行安全保护义务,面临重大网络安全法律风险。
其次,安全的重点不全在于技术,而是在于管理执行,管理措施重要性在于信息安全管理水平,对于明知故犯者应给予严惩。有些企业安全管理水平低下,如管理制度建设不健全,缺乏有效的应急处置机制,员工不自觉或受外部利益诱惑而主动泄密。
第三,管理漏洞造成网络安全威胁。普遍存在①内外网混用、②未启用防火墙、③未安装防病毒软件、④未及时更新病毒库、⑤随意开放网络端口等管理漏洞,风险防范意识不强,引起黑客的入侵,严重的会造成内部数据的泄密和丢失等损失。
第四,缺乏有效的网络安全人才培养机制。信息技术日新月异,尤其是网络安全技术更新较快,未制定长远的网络安全人才培养规划,业务培训水平参差不齐,且防范知识更新较慢,新的网络安全管理知识领会不深,不仅无法尽快培养一批水平较高的网络安全人员,甚至还会造成网络安全人才严重流失。
最后,除了基本的网络、设备和存储备份等基础管理以外,数据访问与存放分离,敏感数据加密,访问授权尽量细分和限时等虽然加强了安全防范,但是难免忽视某些环节,使黑客及网络攻击者有机可乘,安全的信息要可视化,能够掌握安全风险来自何处,有针对性的防范,安全防范的措施要有弹性,不能一点被攻破,就全盘崩溃,防守永远无法建立坚固的网络安全防护体系。
过去,只有信息系统等级保护标准及相关法规,而没有法律的强制性规定来要求企业履行网络安全保护这方面的工作,大多数企业的网络安全建设还是比较薄弱的,在网络安全方面不能很好的履行企业的社会责任。一旦爆发网络安全事件,监控预警等网络安全建设比较完善的企业会立即启动应急处置预案,避免遭受病毒入侵感染,能够快速做好应对工作。
《网络安全法》的实施,给企业的安全建设也提供了一定的指导作用,企业做好网络安全防护工作,遵从网络安全保护义务,才能使企业本身的业务防护能力得到提升,国家的网络安全环境治理能力增强,也许下一个“永恒之蓝”就不会大面积爆发传播扩散了。
《网络安全法》作为基础性的网络安全保障法律,企业需要履行应尽的社会责任,遵从《网络安全法》相关规定,尽到安全保护义务,否则还会触犯民事责任和刑事责任,《刑法修正案(九)》专门规定了网络服务提供者应履行的相关责任,严重违法还有可能触犯刑法,甚至还会被记录到企业信用档案。
《网络安全法》对企业的信息安全保障工作主要提出了以下几点具体要求:
(一)重要系统开展等级保护测评工作,涉密系统依照相关法律要求重点保护;
(二)定期开展信息安全风险评估工作,及时处置系统漏洞、防范网络及病毒攻击、黑客侵入等安全风险;
(三)提高网络安全岗位人员职业素质及法律合规教育;
(四)提高对病毒攻击、黑客入侵、网络诈骗及网络失窃密的防范能力;
(五)重视信息安全应急处置,提高信息安全应急响应能力;
(六)建立办公内网与互联网分离的网络架构;
(七)通过网络监控设备有效监控网络的运行情况,并做好应急预案工作;
(八)运用加密设备及加密技术,进行数据加密,重视相关信息的保护。
[1]马欣,王胜开.对建立网络安全审查制度的分析[J].互联网天地,2014(06).
[2]严承华,陈璐,赵俊阁等.信息安全工程[M].北京:清华大学出版社,2017.
[3]赵林.信息安全等级保护工作取得新进展[J].信息网络安全,2007(06).
[4]王伟,戴国强.党政机关网站安全管理规范化建设探究[J].信息化建设,2011(08).
[5]刘洪梅,张舒.2016年国内外信息安全态势[J].中国信息安全,2017(01).
[6]尹丽波.网络安全法将促进国家关键信息基础设施保护新局面[J].中国信息安全,2015(08).
[7]信息安全保障[Z].北京:中国信息安全测评中心,2013.