网络安全和信息安全及其治理研究

国家计算机网络与信息安全管理中心青海分中心 石西华，严浩

随着网络化时代、信息化时代、数字化时代、数据化时代的到来，大数据技术带动了互联网的发展，我国网民数量和互联网普及率不断提升，支付宝、微信、网银等支付渠道在日常生活中使用的频率越来越高，增加了潜在的网络安全和信息安全问题。另一方面，木马病毒、僵尸网站、恶意APP更是通过各种方式收集人们的信息资料，给人们日常生活带来了极大的安全风险。因此，当今时代必须做好网络安全和信息安全治理，否则互联网利与弊无法得到有效平衡，只有在减轻互联网网络信息安全风险的情况下才能尽量减少其中的负面影响。

一、国内外网络安全和信息安全及其治理现状分析

（一）国内外网络安全和信息安全及其治理现状

1.国外现状

互联网诞生于国外，具有开放性和包容性的特点，网络安全和信息安全治理机构也具有同样的特点，除了政府之外，其他社会组织或者公众等利益主体能够参与网络治理，但是网络安全和信息安全治理的主体仍然是国家和政府。由于网络信息安全治理的网络社会规模比较大，如果让相关利益主体全部直接参与网络治理反倒不利于网络信息安全治理工作的开展。因此，国外多采用相关利益主体间接参与网络信息安全治理的形式，即通过政府发布的文件和规范提供参考意见，这样可以保留相关利益主体的参与主动权[1]。

2.国内现状

国内互联网发展起步较国外晚一些，但是国内近些年互联网的发展速度远快于国外，我国主要采用政府主导、多个参与主体共同参与的网络信息安全治理制度，该模式下虽然各个非政府组织能够参与到网络信息安全治理中来，但是政府在网络信息安全治理中仍然占据主导地位，因为我国网络安全和信息安全关乎社会稳定和国家安全。非政府机构有协助政府机关打击网络犯罪的责任和义务，但是这些机构并没有侵犯个人隐私的权利，因此我国必须对隐私保护方面的法律法规进行完善，不能让非政府机构打着打击网络犯罪的旗号侵犯公民个人隐私[2]。

（二）网络信息安全治理案例分析

英美等西方国家比较重视网络安全治理工作，美国在网络信息安全教育体系中明确了上层领导部门的网络安全教育责任，通过财政、物质保障网络安全教育效果，同时开设网络安全课程、完善网络信息安全治理法律体系，提高公民的网络信息安全防范意识。英国在网络信息安全组织体系中，由政府和行业相互结合，政府主导建立网络信息安全治理框架，各个行业通过自律组织对网络信息安全治理框架进行完善，同时各个行业的自律组织还可以在该框架中行使自身权利，共同参与网络信息安全治理。

（三）网络信息安全治理经验总结

1.从战略层面制定网络信息安全治理策略

由英美网络信息安全治理案例可知，从战略层面制定网络信息安全治理策略是非常重要的，政府不主导进行网络信息安全治理是无法维护国家网络主权和社会稳定的，只有从战略层面重视起来才能让国家管理机构、行业主导者、广大人民群众充分认识到网络信息安全治理工作的重要性。

2.政府主导民众配合，共同提高网络信息安全防范效果

由英美网络信息安全治理案例可知，民众自主对网络信息安全隐患进行治理是不现实的，网络社会规模非常庞大，民众不具备治理大规模网络社会的能力，而且很多企业在网络信息安全防范过程中还会监守自盗。因此必须由政府主导、民众配合，才能提高网络信息安全防范效果。

3.国家成立网络信息安全中心，及时处理各类网络信息安全事件

由英美网络信息安全治理案例可知，国家不能只从战略层面制定网络信息安全治理策略和相关法律法规，政府必须建立国家级网络信息安全中心，对各类网络信息安全事件进行统一处理，这样才能确保上层网络信息安全治理策略能够在民众中起到网络信息安全防护的效果。

二、网络安全和信息安全存在的问题分析

（一）网络信息安全防范教育不足

互联网时代的网络宣传渠道比较多，包括微信、微博、抖音、快手等用户日活量比较大的新媒体平台，而传统媒体的主要宣传渠道包括电视、广播、报纸等，这些渠道均可以在网络安全和信息安全防范教育中发挥巨大作用。但是目前各类宣传渠道中很少见到网络信息安全防范教育的内容，导致人们普遍认为网络安全和信息安全事件中那些受害人是由于个人原因才被骗，没有正确认识到互联网时代网络安全和信息安全隐患的严重性。

（二）网络信息安全治理模式单一

互联网时代网络安全和信息安全问题层出不穷，但是其根本原因是网络信息安全治理模式单一，目前主要由国家有关部门专门对网络安全和信息安全问题进行治理，而后由司法机关对网络信息安全事件背后的人员进行审判。这种网络信息安全治理模式本质上属于事后治理，事后治理只能尽量挽回网络信息安全事件中受害人的损失，而无法在事件发生之前进行避免。

（三）网络信息收集相关标准不明确

互联网时代，移动端APP数量随着手机普及率的提高而增多，很多APP存在恶意收集和使用用户信息的情况，而且这些互联网企业还将广大用户的隐私信息定义为企业资源，甚至还有不法人员私下售卖广大用户的隐私信息，导致用户个人信息安全根本无法得到保障。其根本原因是网络信息收集相关标准不明确，导致网络服务商肆意妄为，很多用户经常反馈，刚注册完平台账号，各种电话便接连不断地打来，让人感觉到隐私被泄露和违法利用。

（四）网络信息安全治理效果差

互联网时代，网络信息安全治理效果较差与硬件基础设施和信息存储具有直接关系。硬件基础设施差，很容易被不法分子直接通过木马和漏洞盗取用户个人信息，很多不法分子盗取企业隐私数据后向企业勒索财产，这种事情发生的概率比较高，无法完全避免。如果信息存储存在问题，则容易被感染，爱虫病毒、摩根大通银行信息泄露、我国社保系统大漏洞等事件直接影响人员达上千万，可见网络信息安全隐患的危害之大。近年来我国电信诈骗案件频发，电信诈骗受害人数量和财产损失逐年升高，这些因素都表明我国网络信息安全治理效果不尽人意。

三、网络安全和信息安全问题成因分析

（一）网络安全信息风险防范意识不足

网络信息安全防范教育不足的根本原因是网络安全信息风险防范意识不强，网络安全信息风险防范意识淡漠的原因有网络信息安全教育缺失、网络信息安全宣传不到位、网络信息环境恶化等。网络信息安全教育是政府相关部门应尽的责任和义务，相关人员必须持续对各类群体开展网络信息安全教育宣传，一旦网络安全相关知识没有普及到位，就易遭到网络诈骗。网络信息安全宣传不到位的原因还包括对当前各类宣传途径利用不到位，网络信息环境恶化是网络服务商社会责任感缺失和惩罚机制不健全导致的。

（二）网络安全信息风险治理机构不健全

网络信息安全治理模式单一的根本原因是网络安全信息风险治理机构不健全，具体体现在外部和内部风险防范组织不合理、网络服务商风险防范组织不健全、信息安全服务体系落后等方面。外部和内部风险防范组织不合理主要指的是内部管理机构冗余、外部对社会组织和互联网企业的协调管理无序。网络服务商风险防范组织不健全指的是互联网企业没有健全的网络信息安全防护部门。信息安全服务体系落后指的是信息安全企业服务水平不高，且该行业没有发展空间。

（三）网络安全信息风险治理制度不规范

网络信息收集相关标准不明确的根本原因是网络安全信息风险治理制度不规范，具体包括政府治理制度滞后、网络服务组织信息风险防范规章不完善、网络信息安全行业存在监守自盗行为等。政府必须清楚，在互联网时代网络安全信息风险出现的速度是快于法律法规完善速度的，因此必须及时补充和完善法律法规。而且网络服务组织很少对员工进行网络安全信息风险防范培训，因为这些组织自身或多或少都存在泄露网络安全信息的行为。

（四）网络安全信息风险治理机制不合理

网络信息安全治理效果差的根本原因是网络安全信息风险治理机制不合理，具体体现为网络安全信息风险评估机制不完善、网络安全信息风险应急响应体系和网络安全信息风险治理平台构建不健全，导致国家有关部门没有对各类网络安全信息风险作出准确评估，导致网络安全信息风险治理处于被动局面，而且国家没有做好对各个组织的协调工作，导致网络安全信息风险传播过程中存在信息孤岛的情况。

四、网络安全和信息安全治理策略

（一）通过信息安全教育提高网络信息风险意识

网络安全和信息安全治理有关部门可以通过加强信息安全通识教育、建立长效信息安全宣传机制、净化信息安全生态环境等措施提高管理机构和人民群众的网络信息风险意识。网络信息安全教育可以让各类人群了解常见的网络信息安全风险，提高自身的风险预防能力。网络信息安全宣传机制可以潜移默化地让人们掌握各类网络信息安全事件的处理方法，这样信息安全生态环境才能够逐渐形成，并且让处于该环境中的人们时刻注意网络信息安全问题。

（二）通过完善网络信息安全组织机构丰富治理模式

政府网络信息安全组织机构可以通过完善相关部门组织体系、监督网络服务商成立网络安全治理组织体系、优化网络安全治理体系等措施丰富网络信息安全治理模式。国家首先应该在领导层面明确各部门在网络信息安全组织方面的责任，然后构建各级信息安全部门的网络信息安全组织体系，最后对网络服务商是否按照相关要求成立对应的网络安全治理组织体系进行监督，这样才能逐渐对整个网络信息安全行业进行治理，进而对行业网络安全治理体系进行优化，政府、行业、企业多方共同努力，才能改善落后的网络信息安全治理模式。

（三）通过完善网络信息安全法律法规提高治理规范性

政府相关部门必须紧密结合互联网发展情况，对其中出现的网络信息安全问题进行总结分析，然后找出当前法律法规的漏洞，通过人民代表大会进行完善，最后监督网络服务组织是否违背法律法规盗取用户个人隐私，如果网络服务组织拒不整改，必须进行严惩。

（四）通过优化网络信息风险防范机制提高治理效果

政府相关部门必须通过建立网络信息安全评估机制、完善网络信息安全事件应急影响体系、建立多方网络信息安全共享治理平台等措施提高网络信息风险治理效果。网络信息安全评估机制可以对各类风险进行准确分类，有利于提高各级机构和工作人员的工作效果。网络信息安全事件应急影响体系可以对各种大规模网络信息风险进行预防和处理，防止上千万人级别的隐私泄露事件再次发生。多方网络信息安全共享治理平台可以让政府内部和社会企业乃至民众全部参与到网络信息风险防范中来，这样才能避免信息孤岛的出现。

五、结论

综上所述，根据国内外网络信息安全治理案例和经验可知，必须从战略层面制定网络信息安全治理策略，政府主导、民众配合，共同提高网络信息安全防范效果，国家成立网络信息安全中心，及时处理各类网络信息安全事件，再通过信息安全教育、完善网络信息安全组织机构、完善网络信息安全法律法规、优化网络信息风险防范机制等治理策略，即可达到提高网络安全和信息安全的目的。