◆常青
论保护信息网络安全的技术性和管理性法规
◆常青
(中国电信股份有限公司陕西分公司 陕西 710000)
信息时代下,人们的生活、工作、娱乐处处离不开网络,网络是把双刃剑,在为人们生活提供便利的同时,也增加了人们信息泄露的风险。病毒与黑客严重威胁着网络信息安全,国家相应出台了保护信息网络安全的法律法规,采用先进的防护墙技术、加密技术、反病毒技术等等提高信息网络的安全性。本文通过对制定信息安全的技术性法规与完善信息安全的管理性法规进行研究,提高网络安全法律法规的约束力,保障互联网的运行安全,增强人们的网络信息安全防范意识。
保护信息网络安全;技术性法规;管理性法规
我国现有的信息网络安全法律法规还不够健全,一些不法分子通过钻取法律漏洞非法牟利,严重影响个人与国家的信息安全。另外,网络技术存在一个不断发展与突破的过程,2G、3G、4G、5G网络相继面世,要想保障信息网络安全,光依靠法律是不够的,还需要建立一套立体、全面的防御体系,完善现有信息网络安全法规的技术性与管理制度方面的法律法规。保护网络信息安全的技术性法规与管理性法规可以保护个人、法人以及其他组织的财产安全与个人信息安全,提高网络的安全性,维护社会管理秩序。
从第一台计算机诞生到现在的互联网全面普及,不仅计算机技术与网络技术取得了突破性发展,黑客的入侵技术与翻越防火墙能力也在不断提高。计算机犯罪存在隐蔽性与成长性的特点,犯罪形式多种多样,危害性越来越大,甚至威胁到社会与国家的公共治安。信息网络安全法律法规的出台是为了打击遏制高科技犯罪,用法律制裁、约束使用计算机犯罪的人。新中国建国以来,我国颁布的有关信息网络安全的法律法规已近百部,国家法律、行政法规、地方性法规与相关规范性文件逐渐形成了我国的信息网络安全法律体系,涉及设施安全、专用产品安全、病毒防治安全与行业安全等诸多方面,对破坏信息网络安全的个人或组织追究刑事、民事、行政责任,发挥信息网络安全的法律效力,震慑潜在的信息安全破坏者[1]。
虽然信息网络安全立法在很大层面上减少了计算机犯罪的发生率,但是信息网络安全法律法规还不够完善,一些计算机犯罪分子会钻法律的空子,游走于法律的边缘地带,做一些存在违法行为但不足以构成犯罪的事情,刑事立法存在缺陷,导致一些破坏信息网络安全的违法分子无法可依,构成的破坏行为与受到的处罚不成正比,常常有轻纵犯罪人的案件发生。另外,我国现行的信息网络安全法律体系仍然是以行政法规与刑事法规为主,有关信息安全技术性的法规较少,制定保护信息安全的技术性法规能够将先进的网络技术与法律保护手段结合起来,建立既有技术性又有法律性的信息网络安全制度。制定保护信息网络安全的技术性法规主要是提高信息安全技术的法律效力与安全效益,减少信息安全技术的限制因素,建立一种依托于信息安全技术的信息网络安全法律,让信息安全技术逐渐法律化,有关保护信息网络安全的技术性法规可以从以下3个方面理解。
最常用的数据保护措施是设置密码,采用数据加密技术保护计算机信息系统。数据加密技术具有机密性、访问控制与证实作用,法定化的加密技术包括密码设置的字母和数字使用规定,密码的位数规定等。黑客采用解译密码的方式侵入他人计算机信息系统盗取自己想要的信息。为防止计算机使用者因一时疏忽或设置的密码太低级导致黑客有机可乘,在使用密码技术时可以依照以下两点技术性规定:
(1)重要的计算机信息系统根据实际情况规定最低密码位数,使用国产密码技术;
(2)设置密码时使用数字、符号、字母等组合形式的密码,定期设置新密码和口令[2]。
防火墙技术是国际上应用较为广泛且维护网络安全的关键技术之一,很多国家采用先进防火墙技术保护国家信息网络,信息安全技术销售商将防火墙作为一种集成、中央管理的安全产品进行销售,企业购买防火墙产品后将其安装在网络硬件中达到保护信息网络系统的目的,防火墙技术的原理如图1所示。
图1 防火墙技术
国内企业在购买国外的防火墙安全产品时,同样存在信息泄露的隐患,对我国的信息安全产生不利影响。因此,推广使用国产化的防火墙技术非常重要,政府明确使用国产安全产品的政策,通过法律明文规定的形式让各大企业及组织单位使用本国的防火墙,提高国家信息网络系统的安全性。国家重要部门、企业必须使用国产的防火墙技术产品,国内消费者在购买国外防火墙技术产品前,需明确购买国外信息安全技术产品要承担的责任,若购买的国外防火墙技术安全产品造成了本国的信息泄露,将承担失密的法律责任,按照信息泄露造成的损失接受刑事处罚。政府加大本国信息产业的政策扶持力度,财政拨款鼓励开发计算机产品、数字音视频编解码技术、新型密码技术、虹膜识别技术、不良信息识别技术、电子设备互联技术等软硬一体产业。在国内设置信息产品检测机构,制定信息产品的安全性能标准,对信息产品进行检验与评级,确保信息产品的数据安全性。政府赋予检测机构权利与公信力,并完善计算机信息系统的年检制度[3]。
数据加密技术可以防止他人获取到计算机信息系统内的真实数据,但是不法分子可以通过冒充、篡改、伪造等手段盗取数据。为了解决以上问题,各大运营商相继出台了实名认证、数据签名技术,确定对方的身份。该方法在解决了他人冒充本人的问题后,也带来了新的问题如个人信息泄露。在双方无法确保自身的数据安全的情况下,第三方服务机构联络双方并确认双方身份是一种较好的选择。政府部门明确数据认证中心的法律地位,赋予数据认证中心权利和义务,确保数据认证中心或服务机构不参与任何形式的贸易活动,保证认证中心的公正性与独立性,以此来确保验证结果的真实性。另外,数据认证中心必须公正、客观,用户通过数据认证中心传递数据信息,在用户发生纠纷或仲裁时由数据认证中心提供备份资料。数据认证中心作为第三方机构对双方当事人提供的电子记录具有保密和储存的义务,且未经授权没有修改电子记录的权利,也不能泄露给任何未经授权的人员。双方当事人与数据认证中心签署协议,由认证中心对双方当事人交换的数据进行特殊保护。若认证中心或网络服务机构的工作人员发生泄露当事人信息时,应依法追究法律责任,赔偿当事人双方的经济损失。一旦双方当事人与数据认证中心签署了合作协议,认证中心的认证结果或仲裁结果都具有法律效力,双方当事人必须执行[4]。
我国的信息网络安全管理制度越来越健全与完善,各地政府加大了信息网络安全知识宣讲,规范网民的上网行为,提高网民信息网络的管理水平,提高每个网民的安全防范意识。只有个人、企业、机关单位都认真遵守信息安全管理制度和相关规范,才能够创造干净、安全的信息网络环境,保障公民和国家的信息安全[5]。
在全国范围内推广监察官管理制度,由专业技术人员担任信息安全监察员,定期对不同单位的计算机信息系统做安全检查,提高当地政府单位的计算机信息系统安全性。各单位可以根据自身的工作性质制定本单位的信息安全监察制度,安排专人负责单位网络信息安全。建立计算机信息安全监察考试制度,信息安全监察员经过专门培训并取得信息安全监察资格后才能上岗任职。
国家制定全国统一的计算机信息网络安全评估制度,设立不同安全等级,根据行业性质对应使用的安全产品等级做出强制性规定。设立权威的信息安全评估机构,机构人员按照安全评估标准评估计算机信息系统的安全等级,如图2所示。
图2 网络安全等级保护机制
使用计算机信息系统的单位根据《计算机信息系统安全保护条例》建立自身的安全管理制度,由于单位性质与管理水平存在一定的差异性,国家制定的信息安全法律法规未必适用于本单位,单位可以在国家法律基础上结合单位实际情况制定执行性强的信息安全管理制度。政府引导地方单位使用国产软硬件,给予使用国产网络安全产品的单位安全评估优惠政策,在使用国外软硬件时需要进行安全检验,制定不得使用来历不明的软硬件的规定。在各单位建立危险报警系统,一旦该单位的计算机系统中出现危险信息安全的案件时,及时上报给上级机构和公安政府[6]。
近几年,高科技信息网络技术在各行各业得到广泛应用,网络缩短了空间距离,人们凭借一部手机就可以了解世界各地正在发生的事情,有关个人信息泄露、商业机密被窃取、电脑木马病毒蔓延等新闻层出不穷,信息网络安全问题日益突出。在此背景下,国家加大信息网络环境的整治力度、完善保护信息网络安全的技术性法规、健全信息网络安全管理制度尤为重要。
[1]论保护信息网络安全的技术性和管理性法规[J]. 数码设计,2018(1):41-42.
[2]李南. 大数据时代下网络隐私权的保护[D]. 黑龙江:哈尔滨师范大学,2017.
[3]铁程洋.论个人信息网络安全的法律保护重要性[J]. 科技风,2019(30):100.
[4]陈璐.论《网络安全法》对个人信息刑法保护的新启示——以两高最新司法解释为视角[J]. 法治研究,2017(4):86-94.
[5]顾云. 关于信息安全,网络安全与隐私保护的探讨[J]. 数字通信世界,2021(7):150-151,86.
[6]乐舒,吕仝.论网络个人信息安全的法律保护[J]. 法制博览,2018(9):190.