亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

共筑網(wǎng)絡(luò)安全防線亟需推動(dòng)威脅信息共享立法

【時(shí)間】2019-12-28

【編輯】Admin

【瀏覽量】

【等級(jí)保護(hù)QQ交流群】881590869

近年來(lái),隨著網(wǎng)絡(luò)信息化技術(shù)應(yīng)用深入到社會(huì)生活的各個(gè)領(lǐng)域,網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻復(fù)雜,不僅網(wǎng)絡(luò)攻擊事件層出不窮、網(wǎng)絡(luò)攻擊手段不斷升級(jí),甚至出現(xiàn)了針對(duì)交通、電力、電信、金融等領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施和特定目標(biāo)的“高級(jí)持續(xù)攻擊”(APT攻擊)。從早期的摧毀伊朗核電站離心機(jī)的Stuxnet病毒、烏克蘭電網(wǎng)被攻擊事件,到前幾年針對(duì)我國(guó)政府、能源、軍事和科研領(lǐng)域?qū)嵤〢PT攻擊的“海蓮花”組織、“白象行動(dòng)”、“蔓靈花攻擊行動(dòng)”等,再到近期的WannaCry勒索病毒、美國(guó)對(duì)ISIS發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)、委內(nèi)瑞拉等國(guó)大規(guī)模停電事件、俄羅斯電網(wǎng)被植入后門、美國(guó)伊朗網(wǎng)絡(luò)交戰(zhàn)等,可以發(fā)現(xiàn)網(wǎng)絡(luò)安全不僅關(guān)乎國(guó)計(jì)民生,也日益成為國(guó)家間對(duì)抗的新戰(zhàn)場(chǎng),網(wǎng)絡(luò)安全威脅開(kāi)始在政治、經(jīng)濟(jì)、文化、國(guó)防等各個(gè)領(lǐng)域全面顯現(xiàn)。
面對(duì)已經(jīng)滲透到社會(huì)各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全威脅,單一的、靜態(tài)的、局部的防護(hù)思路顯然已經(jīng)不合時(shí)宜,必須樹(shù)立綜合的、動(dòng)態(tài)的、系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理念,必須動(dòng)員全社會(huì)力量共同維護(hù)網(wǎng)絡(luò)安全。習(xí)近平總書記2016年4月在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話明確指出,要“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”,“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民,維護(hù)網(wǎng)絡(luò)安全是全社會(huì)共同責(zé)任,需要政府、企業(yè)、社會(huì)組織、廣大網(wǎng)民共同參與,共筑網(wǎng)絡(luò)安全防線”。
網(wǎng)絡(luò)安全靠人民、共筑網(wǎng)絡(luò)安全防線,不僅需要發(fā)揮政府“國(guó)家隊(duì)”的力量,也需要重視和支持企業(yè)、社會(huì)組織和廣大網(wǎng)民等民間力量發(fā)揮作用,打贏維護(hù)網(wǎng)絡(luò)安全的人民戰(zhàn)爭(zhēng)。從域外經(jīng)驗(yàn)來(lái)看,以美國(guó)代表的西方國(guó)家除了增強(qiáng)政府網(wǎng)絡(luò)安全能力、制定并嚴(yán)格執(zhí)行相關(guān)法律和技術(shù)標(biāo)準(zhǔn)外,還尤其注重培育網(wǎng)絡(luò)安全企業(yè)和社會(huì)組織、廣泛開(kāi)展公眾教育。這些企業(yè)和社會(huì)組織,不僅提供民用網(wǎng)絡(luò)安全維護(hù)服務(wù)和網(wǎng)絡(luò)安全評(píng)估,有時(shí)還在政府支持和雇傭下參與國(guó)家級(jí)的網(wǎng)絡(luò)安全攻防和競(jìng)爭(zhēng)。近年來(lái),以美國(guó)“賽門鐵克”、“火眼”、“曼迪昂特”,俄羅斯“卡巴斯基”為代表的網(wǎng)絡(luò)安全公司快速興起,成為國(guó)家間網(wǎng)絡(luò)攻防的重要力量。有分析就認(rèn)為,名義上獨(dú)立的網(wǎng)絡(luò)安全公司,已經(jīng)成為大國(guó)博弈的重要工具。
我國(guó)近年來(lái)開(kāi)始不斷重視發(fā)揮企業(yè)、社會(huì)組織和民眾在維護(hù)網(wǎng)絡(luò)安全方面的重要作用。2014年開(kāi)始每年舉辦國(guó)家網(wǎng)絡(luò)安全宣傳周,突出“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的主題,在全國(guó)范圍內(nèi)形成了學(xué)安全、懂安全、重安全的良好氛圍。2019年國(guó)家網(wǎng)絡(luò)安全宣傳周開(kāi)幕前夕,習(xí)近平總書記對(duì)國(guó)家網(wǎng)絡(luò)安全宣傳周作出重要指示強(qiáng)調(diào),舉辦網(wǎng)絡(luò)安全宣傳周、提升全民網(wǎng)絡(luò)安全意識(shí)和技能,是國(guó)家網(wǎng)絡(luò)安全工作的重要內(nèi)容。近些年我國(guó)在G20峰會(huì)、金磚會(huì)議等重大活動(dòng)期間的網(wǎng)絡(luò)安全保障工作,不僅有公安部、網(wǎng)信辦、工信部、總參、科研院所等體制內(nèi)隊(duì)伍坐陣,也有360公司、安恒公司等本土企業(yè)深度參與,取得了較好的安防效果。
不過(guò)與網(wǎng)絡(luò)安全威脅全領(lǐng)域全方位滲透顯現(xiàn)的現(xiàn)實(shí)相比,在共筑網(wǎng)絡(luò)安全防線方面,我們還有很大的提升空間。其中很重要的一個(gè)方面,就是為了實(shí)現(xiàn)“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”而需要建立有效的網(wǎng)絡(luò)安全威脅信息共享機(jī)制,這是共筑網(wǎng)絡(luò)安全防線的重要抓手。我國(guó)政府和企業(yè)在這方面已經(jīng)進(jìn)行了一系列探索。比如,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)建立了國(guó)家信息安全漏洞共享平臺(tái)(CNVD),截止2019年10月累計(jì)收錄了針對(duì)軟硬件產(chǎn)品漏洞17.2萬(wàn)條以及具體信息系統(tǒng)漏洞31.3萬(wàn)條,通報(bào)處置了重要信息系統(tǒng)單位漏洞事件13.8萬(wàn)余起;該中心還牽頭組建了中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟(CCTGA)、中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA),截止2019年10月,前者成員單位已達(dá)138家,累計(jì)共享網(wǎng)絡(luò)安全威脅情報(bào)數(shù)據(jù)133.2萬(wàn)條,后者成員單位已達(dá)61家,在阻斷惡意程序傳播方面發(fā)揮了積極作用。
再比如,360公司2018年推出了360安全大腦服務(wù)體系。在這一體系中,“威脅情報(bào)云”是構(gòu)建其“看見(jiàn)”高級(jí)別網(wǎng)絡(luò)攻擊的要素之一。這與360在威脅情報(bào)云方面的積累密不可分:360已累計(jì)報(bào)告主流廠商漏洞2000以上,獨(dú)立捕獲7次野外APT 0Day漏洞攻擊,發(fā)現(xiàn)針對(duì)中國(guó)的境外APT組織40以上。這些威脅情報(bào)未來(lái)還會(huì)不斷增加,360安全大腦在其落地場(chǎng)景中會(huì)對(duì)接企業(yè)的態(tài)勢(shì)感知系統(tǒng),為客戶建立威脅情報(bào)中心等,這將極大地豐富威脅情報(bào)源,強(qiáng)化“看見(jiàn)”威脅的能力。
但是近期在應(yīng)對(duì)一些突發(fā)網(wǎng)絡(luò)安全事件過(guò)程中出現(xiàn)的問(wèn)題,也暴露了我們?cè)诰W(wǎng)絡(luò)安全威脅信息共享方面存在一定的短板。以2017年5月12日爆發(fā)的Wannacry勒索病毒為例,該病毒短短幾天就影響了我國(guó)境內(nèi)10多萬(wàn)IP地址,對(duì)我國(guó)互聯(lián)網(wǎng)造成嚴(yán)重的安全威脅。雖然經(jīng)過(guò)政府有關(guān)部門和安全企業(yè)的積極應(yīng)對(duì),有效遏制了該病毒在我國(guó)的擴(kuò)散,但是復(fù)盤整個(gè)應(yīng)對(duì)過(guò)程仍引人深思。其實(shí)早在2017年4月16日,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心負(fù)責(zé)的國(guó)家信息安全漏洞共享平臺(tái)(CNVD)就發(fā)布專門公告,指出“影子經(jīng)紀(jì)人”公布的漏洞攻擊工具集成化程度高、部分攻擊利用方式較為高效,有可能引發(fā)互聯(lián)網(wǎng)上針對(duì)服務(wù)器主機(jī)的大規(guī)模攻擊。有些國(guó)內(nèi)企業(yè)也通過(guò)不同渠道提前獲知了勒索病毒可能爆發(fā)的情況。不過(guò)很遺憾利用“影子經(jīng)紀(jì)人”公布的“永恒之藍(lán)”漏洞的Wannacry勒索病毒還是對(duì)我國(guó)造成了嚴(yán)重影響,這說(shuō)明我們并沒(méi)有充分有效的威脅信息共享機(jī)制去提前部署充分的應(yīng)對(duì)措施,企業(yè)或相關(guān)主體在共享威脅信息方面有著很大的顧慮。
相關(guān)主體之所以在共享網(wǎng)絡(luò)安全威脅信息方面存有顧慮,是因?yàn)樗薪⒕W(wǎng)絡(luò)安全威脅信息共享機(jī)制的嘗試,都面臨著較大的法律風(fēng)險(xiǎn)。這主要體現(xiàn)在以下兩個(gè)方面:一是共享網(wǎng)絡(luò)威脅情報(bào)可能讓信息共享主體承擔(dān)更多責(zé)任或陷入不利地位。例如,不論是對(duì)政府部門還是私營(yíng)機(jī)構(gòu),共享網(wǎng)絡(luò)安全信息往往就要承認(rèn)自身已遭受網(wǎng)絡(luò)攻擊或發(fā)生數(shù)據(jù)泄露,這可能引發(fā)消費(fèi)者提起侵權(quán)之訴,或者可能追究因違反信息保護(hù)義務(wù)而構(gòu)成的法律責(zé)任。例如,企業(yè)共享網(wǎng)絡(luò)安全威脅信息,可能泄露類似商業(yè)秘密等商業(yè)信息,企業(yè)可能會(huì)喪失競(jìng)爭(zhēng)優(yōu)勢(shì)或在市場(chǎng)競(jìng)爭(zhēng)中陷入被動(dòng)。再如,企業(yè)為了應(yīng)對(duì)網(wǎng)絡(luò)安全威脅而共享給政府的信息,可能會(huì)被政府作為執(zhí)法證據(jù),追究企業(yè)的某些法律責(zé)任。正因?yàn)榇?,企業(yè)一般不愿與政府或其他企業(yè)共享涉及商業(yè)利益的信息。二是共享網(wǎng)絡(luò)威脅情況還可能違反隱私和個(gè)人信息保護(hù)的規(guī)定。例如各國(guó)對(duì)消費(fèi)者個(gè)人的信用信息、金融數(shù)據(jù)、教育信息和健康信息等一般有專門性規(guī)定,如果共享的安全信息涉及可識(shí)別的個(gè)人信息,就可能違反這些個(gè)人信息保護(hù)的專門性規(guī)定。
因此,共筑網(wǎng)絡(luò)安全防線,建立網(wǎng)絡(luò)安全威脅信息共享機(jī)制,亟需立法予以保障。近年通過(guò)的美國(guó)《網(wǎng)絡(luò)安全信息共享法》和歐盟《網(wǎng)絡(luò)和信息系統(tǒng)安全指令》都對(duì)此有針對(duì)性規(guī)定。美國(guó)《網(wǎng)絡(luò)安全信息共享法》授權(quán)政府機(jī)構(gòu)、企業(yè)以及公眾之間可以在法定條件和程序下共享網(wǎng)絡(luò)安全信息,并將網(wǎng)絡(luò)安全信息界分為網(wǎng)絡(luò)威脅指標(biāo)(cyber threat indicator)和防御措施(defensive measure)兩類信息。歐盟《網(wǎng)絡(luò)和信息系統(tǒng)安全指令》規(guī)定各國(guó)計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)負(fù)責(zé)監(jiān)測(cè)網(wǎng)絡(luò)安全事件并交換這些網(wǎng)絡(luò)安全事件信息,而基本服務(wù)運(yùn)營(yíng)者、數(shù)字服務(wù)提供者有義務(wù)報(bào)告網(wǎng)絡(luò)安全事件。
我國(guó)《網(wǎng)絡(luò)安全法》雖然規(guī)定了“促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)“按照規(guī)定向有關(guān)主管部門報(bào)告”網(wǎng)絡(luò)安全事件,“國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度”等。2019年11月20日,國(guó)家互聯(lián)網(wǎng)信息辦公室公布了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見(jiàn)稿)》,將“網(wǎng)絡(luò)安全威脅信息”界定為描述可能威脅網(wǎng)絡(luò)正常運(yùn)行行為的意圖、方法、工具、過(guò)程、結(jié)果等的信息以及可能暴露網(wǎng)絡(luò)脆弱性的信息,進(jìn)一步規(guī)范了網(wǎng)絡(luò)安全威脅信息發(fā)布行為。但這些規(guī)定并沒(méi)有專門涉及如何減輕相關(guān)主體共享網(wǎng)絡(luò)安全威脅信息的法律風(fēng)險(xiǎn),相關(guān)制度設(shè)計(jì)仍需要進(jìn)一步細(xì)化完善。針對(duì)前述問(wèn)題,筆者對(duì)于網(wǎng)絡(luò)安全威脅信息共享立法提出如下完善建議:
一是規(guī)定企業(yè)的責(zé)任豁免以激勵(lì)其參與共享。即規(guī)定企業(yè)在遵循法定強(qiáng)制標(biāo)準(zhǔn)和按照法定要求共享網(wǎng)絡(luò)安全信息的情況下,減輕或免除因此而產(chǎn)生的法律責(zé)任。例如,對(duì)于遵守監(jiān)管標(biāo)準(zhǔn)的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,可以考慮規(guī)定其信息系統(tǒng)被惡意攻擊而導(dǎo)致大規(guī)模數(shù)據(jù)泄露時(shí),可只向消費(fèi)者承擔(dān)補(bǔ)償性賠償責(zé)任,而非承擔(dān)懲罰性賠償責(zé)任。再就是為了提升企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的能力和打消其因分享信息而承擔(dān)責(zé)任的顧慮,建議我國(guó)立法應(yīng)授權(quán)企業(yè)有權(quán)監(jiān)視其負(fù)責(zé)運(yùn)營(yíng)的網(wǎng)絡(luò)信息系統(tǒng)以及系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)臄?shù)據(jù),并規(guī)定不承擔(dān)因此而產(chǎn)生的法律責(zé)任。對(duì)于并未納入強(qiáng)制監(jiān)管范圍的企業(yè),可自愿加入網(wǎng)絡(luò)安全信息共享機(jī)制,只要其按法定要求共享相關(guān)信息,可以規(guī)定豁免其相應(yīng)的法律責(zé)任。除此之外,還可以考慮政府采購(gòu)傾斜、稅收減免等激勵(lì)措施。
二是規(guī)定維護(hù)網(wǎng)絡(luò)安全與保護(hù)私人權(quán)益的平衡機(jī)制。在網(wǎng)絡(luò)安全威脅信息共享中,應(yīng)尤其重視對(duì)私人權(quán)益的保護(hù)。建議規(guī)定政府或其他主體保存、使用或者傳播網(wǎng)絡(luò)安全威脅信息時(shí),必須保護(hù)這些信息里任何可識(shí)別的個(gè)人信息不被未經(jīng)授權(quán)的披露、處理或者使用。所共享的網(wǎng)絡(luò)安全威脅信息,應(yīng)該移除或匿名化其中與網(wǎng)絡(luò)安全威脅沒(méi)有直接關(guān)系的個(gè)人信息;對(duì)于無(wú)法移除或匿名化的個(gè)人信息,應(yīng)最大限度地確保其用于法定目的而不被泄露濫用,規(guī)定留存這些個(gè)人信息的合理期限。在含有個(gè)人信息的網(wǎng)絡(luò)安全威脅信息發(fā)生意外泄露事件時(shí),應(yīng)及時(shí)通知這些個(gè)人信息所涉及的權(quán)利主體。建議規(guī)定使用共享的威脅信息不能侵害個(gè)人隱私、商業(yè)秘密、知識(shí)產(chǎn)權(quán)等合法權(quán)益,而且這些共享的威脅信息不屬于政府信息公開(kāi)的范圍。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)