网络时代信息安全@@的范围及特点@@
2017年@@5月@@12日@@,一款利用@@Windows操作系统漏洞的勒索病毒席卷全球@@,近百个国家的数以万计的电脑遭到攻击@@,由此带来的损失尚难以估量@@。可见@@,在@@网络已经构筑了世界主要国家生产@@、生活基础设施的现代社会@@,信息安全@@跟网络安全是密不可分的近义词@@,甚至可以说现阶段的信息安全@@主要就体现在@@网络安全上@@。
信息是构成当前@@社会运行的基本要素@@。因此@@,信息安全@@所涉及的范围十分宽泛@@,其主体@@包括个人@@、企业@@、机构@@、政府@@组织乃至国家@@,其主旨是保障信息本身不缺失@@、不泄露@@@@、不失实@@,不因自然的@@、人为的或是恶意的干预攻击等@@原因而出现损害@@、泄露@@、异常或中断的情况@@;同时@@,信息安全@@也涉及信息硬件设施的安全@@、传输渠道的安全@@、应用程序的安全@@、正当内容的安全等@@多个层次@@@@。
在@@互联网@@环境下@@,世界各国都面临着信息安全@@的挑战@@。仅以美国@@为例@@,Facebook、Linkedin、Myspace等@@社交网站@@,雅虎@@、谷歌@@、微软等@@软件或网络服务企业@@@@,以及凯悦酒店集团等@@企业@@@@,均曾经遭遇大规模的用户信息泄露@@或被黑客窃取的事件@@@@。此外@@,美国@@很多地区也曾在@@@@2016年@@遭遇网络攻击@@,直接导致网络服务瘫痪@@。不仅是作为信息网络世界第一强国的美国@@无法避免出现信息安全@@问题@@,其他国家同样如此@@。例如@@,2017年@@5月@@初@@,英国@@文化@@、媒体和@@体育部@@(DCMS)发布@@《2017年@@网络安全漏洞调查@@》报告称@@,近一半@@(46%)的英国@@企业@@在@@@@2016年@@遭遇过信息泄露@@或网络攻击@@,这一数字在@@中型企业@@和@@大型企业@@中则高达@@2/3。
从近年@@来@@频发的信息安全@@事件@@所涉主体@@来看@@,网络时代的信息安全@@主要体现在@@微观@@、中观及宏观三个层面上@@。在@@微观层面@@,主要是个体的信息安全@@会受到来自互联网@@的影响@@。网络技术@@的发展让个体在@@互联网@@上的行为留下越来越多的痕迹@@,而当下基于@@大数据@@、用户监测的智能推荐软件更让这种对个体用户行为的分析与建模在@@向着逼近真实的角度发展@@,必然触及个体的信息安全@@@@。在@@中观层面@@,互联网@@亦会对企业@@@@、事业单位@@、机构@@等@@的信息安全@@产生影响@@。当前@@,企事业单位@@等@@通过网络进行信息交换@@、资源共享@@、业务实施@@、公文往来@@、跨境贸易@@、资产管理等@@@@,几乎所有业务流程都已经实现网络化@@,对于@@信息安全@@提出了很高的要求@@。在@@宏观层面上@@,信息安全@@同样也包含一个国家和@@地区的公共安全@@,以及一个主权国家的信息空间@@主权的完整与不受侵犯@@。
西方主要国家在@@国家层面制订战略与政策@@,宏观统筹信息安全@@治理@@
在@@信息安全@@的战略政策部分@@,2003年@@美国@@便公布了@@《保护网络空间@@国家战略@@》,2013年@@美国@@政府@@责任办公室特别发布@@了调查报告@@《网络空间@@安全@@:要更有效地定义与实施国家战略@@、功能及责任@@》。美国@@的做法是一方面侧重网络基础设施的安全维护@@,包括设备的维修@@、网络加密技术@@以及网络病毒攻击的阻断技术@@等@@@@,其主旨是维护网络空间@@安全@@@@;另一方面侧重监控@@、管理网络信息的内容@@,主要包括治理信息的网络泄露@@@@、色情及暴力内容@@、舆论的煽动@@,以及散布恐怖信息等@@非法或不良的传播活动@@,其主旨是维护网络信息内容安全@@。整体而言@@,美国@@对网络信息安全@@的维护战略从国内@@、国外两端着手@@,对内倡导@@“网络中立@@”、对外推行@@“互联网@@自由@@”。
在@@英国@@@@,首个@@《网络信息安全@@战略@@》颁布于@@@@2009年@@,这也是其第一次@@将网络信息安全@@与国家安全政策等@@同视之@@。2011年@@英国@@再次@@颁布了新版@@《网络信息安全@@战略@@》,将网络安全的战略级别再次@@提升@@,直至与战争@@、恐怖袭击与自然灾害共视为国家主要威胁@@。2016年@@,英国@@又发布@@了@@《国家网络安全战略@@2016-2021》。这些策略主要包括成立网络安全中心@@、开展国民科普@@、培养高级技术@@人才@@、维护公民信息安全@@@@、促进企业@@提升安全水准以及开发更高的国际标准等@@@@。2012年@@,德国公布了@@《欧洲网络信息安全@@策略报告@@》,这一报告将网络安全战略聚焦于@@官方与民间协作@@、预先示警@@、提升网络服务安全性以及强化地区协作等@@@@。此外@@,芬兰和@@法国等@@国家也陆续出台了重点防范破坏网络基础设施@@、传播不良信息内容以及保障公民多项个人权益的信息安全@@战略规划@@。
西方主要国家加大技术@@研发投入@@,不断升级技术@@标准@@
网络时代的信息安全@@具有典型的高技术@@特性@@。对高新科技的不良应用和@@对这种不良应用的防御@@,一直是信息安全@@领域的主题@@。作为互联网@@技术@@的@@“创始国@@”,美国@@一直致力于@@借助在@@互联网@@技术@@的顶端位置@@,通过科技的持续投入@@、互联网@@企业@@的全球扩张来巩固技术@@的霸主地位@@。例如@@,2014年@@8月@@美国@@政府@@宣布已成立了一个全新的数字服务部门团队@@(US Digital Service,简称@@USDS),以负责美国@@医保等@@诸多政府@@网站@@的数据服务@@,当年@@团队的预算额度高达@@2000万美元@@。在@@企业@@收购领域@@,2016年@@6月@@,思科公司收购@@Cloudlock,这家企业@@专门致力于@@云访问安全代理@@(CASB)技术@@,围绕云服务中的用户行为和@@敏感数据为企业@@提供可见@@性和@@分析服务@@,成为思科的@@“安全无处不在@@@@”战略的一部分@@,该项收购的标的接近@@3亿美元@@。类似的收购案例还有很多@@。
在@@英国@@@@,技术@@创新研发一直被置于@@网络安全防护体系的重要位置@@。技术@@创新侧重于@@多领域相结合@@、基础性支持以及攻击恢复能力的研究@@。近年@@来@@,英国@@愈加注重技术@@人才的储备@@,在@@2014年@@及@@2015年@@,英国@@分别在@@多所大学里设立专家课程并提出@@“网络安全学徒计划@@”,旨在@@号召青年@@人加入网络信息安全@@领域@@。德国的信息安全@@技术@@研发@@,一直以来都以核心基础设施的防卫为主@@,同时@@强化网络安全技术@@@@。2005年@@与@@2008年@@德国曾分别启动了用以支持公私联合技术@@研发的@@“关键设施实施计划@@”和@@“安全合作伙伴关系计划@@”,后者由国家教研部资助@@。
西方主要国家将信息活动纳入法律框架@@@@
制定@@、颁布相关法律法规@@,通过立法确保信息安全@@@@,特别是通过法律的方式@@,明确对于@@不同程度危害信息安全@@的行为的处罚@@,是西方各国普遍采用的手段@@,也是被实践证明行之有效的手段@@。
美国@@作为网络技术@@的全球发源地@@,其颁布过的网络信息安全@@相关法条众多@@,至今共计已高达一百余部@@,涉及计算机系统的运行标准@@、信息处理的方法和@@具体技术@@操作@@、不同群体的网络权益等@@领域@@,对破坏网络基础设施的犯罪行为也制定@@了严格的惩处标准@@。在@@网络信息安全@@方面@@,美国@@有严格的数据信息保密法@@,如规定公民隐私权不容侵犯且使用者有义务对信息进行保密等@@@@。“9·11事件@@”发生后@@,美国@@将打击恐怖主义作为信息安全@@的管理重点@@,政府@@甚至限定各项法律的建立皆需以首先保证互联网@@战略与信息安全@@为前提@@。
德国于@@@@20世纪@@70年@@代制定@@个人信息保护法@@@@,其主要动因在@@于@@试图限制国家对公民个人信息的处理@@。1977年@@其制定@@了首部@@《联邦资料保护法@@》,并于@@@@2009年@@制定@@了@@《联邦信息技术@@安全法@@》,2013年@@再次@@修订@@,其主要目的在@@于@@确保互联网@@企业@@落实保护网络信息安全@@的相关责任@@。
在@@亚洲国家里面@@,日@@本早在@@@@1988年@@就制定@@了@@《关于@@保护行政机关所持有之个人信息的法律@@》;2003年@@5月@@颁布了日@@本@@《个人信息保护法@@》,并相继制定@@@@、颁布了针对行政机关@@、独立行政法人等@@持有个人信息机关的多部法律@@。针对公共部门@@,韩国于@@@@1994年@@1月@@7日@@制定@@了@@《公共机关个人信息保护法@@@@》,于@@1995年@@1月@@8日@@起正式实施@@;在@@2011年@@3月@@29日@@公布了@@《个人信息保护法@@》,规定了个人信息保护的基本原则@@、个人信息保护的基准@@、信息主体@@的权利保障@@、个人信息自决权的救济等@@@@。
借助国际组织@@,掌握技术@@标准或治理规则@@
美国@@联邦政府@@中虽然没有设立专职负责网络与信息安全@@问题的机构@@@@,但负责分散承担网络信息安全@@管理的具体组织部门数量众多@@。这些组织和@@部门主要由上级委员会领导@@,例如@@“总统关键基础设施保护委员会@@”等@@。这些直属委员会都由政府@@设立@@,成员来自不同的内阁部门@@,负责分散承担网络信息安全@@管理的具体组织机构@@还会下辖不同的地方行政机构@@@@。在@@日@@常工作中@@,整个组织体系有机配合@@、形成合力@@,共同行使保障国家信息安全@@的管理职能@@。同时@@,美国@@商务部长期通过总部设在@@华盛顿的民间团体互联网@@域名与地址管理机构@@@@(ICANN)实际实现对互联网@@的管理霸权@@,即使美国@@商务部同意于@@@@2016年@@10月@@开始把互联网@@域名管理权正式移交给@@ICANN,但实际上@@,全球互联网@@的@@13台根服务器@@,仍然大多数在@@美国@@@@手中@@,而且国际互联网@@工程任务组@@(IETF)、万维网联盟@@(W3C)、国际互联网@@协会@@(ISOC)这样的互联网@@领域的标准制定@@组织仍然在@@美国@@@@的科技界占据主导地位@@,制定@@全球大多数的网络技术@@标准@@。
除了美国@@之外@@,欧盟这样的区域一体化组织同样是各成员国进行信息安全@@治理的重要凭借@@。1995年@@,刚刚成立不久的欧盟即出台@@《关于@@涉及个人数据处理的个人保护及此类数据自由流动的指令@@》。据此@@,欧盟各成员国相继制定@@了个人数据资料保护法或者类似的法律@@。此后@@,欧盟通过了多部指令@@、原则或建议等@@不同形式的组织法规@@,从而敦促各成员国内有效地建立起了有关网络隐私权保护的统一的法律体系@@。此外@@,欧盟成立了欧洲信息安全@@局@@,该机构@@作为超越成员国和@@欧盟委员会之外的机构@@@@,对促进各利益主体@@间的协作具有基础性意义@@。
强化具体操作规范的执行@@,确保信息安全@@治理效果@@
在@@具体操作规范的执行方面@@,面对当前@@@@“信息大爆炸@@”的时代背景@@,世界各国对网络信息的审查与管控能力皆不断受到挑战@@。在@@美国@@@@,面对浩如烟海的网络信息环境@@,司法机关通过一系列的摸索与实践@@,最终形成了一种对网络信息既进行一定限制@@,但又尽力避免以立法方式对言论自由范围做@@“一刀切@@”的范式@@。美国@@法院倡导对个案进行逐个判断@@,再评估政府@@是否有管制该信息的足够理由@@。美国@@依此总结出了一系列的信息审查原则@@,已在@@全球众多国家被广泛讨论甚至借鉴引入@@。
英国@@曾于@@@@2008年@@发布@@过一份旨在@@使国家执法机关在@@打击网络信息犯罪时@@,能够获得必要关键资料的@@“监听现代化计划@@”,其要求互联网@@及通讯企业@@搭建有能力保存用户信息的数据平台@@@@。该计划可同时@@用于@@阻击常规网络犯罪与严重的恐怖袭击@@。2014年@@英国@@还通过了@@《紧急通信与互联网@@数据保留法案@@》,批准执法机构@@在@@必要时可以提取网络使用者的信息@@。
作为正处于@@转型时期的发展中国家@@,我国网络信息安全@@面临着愈加严峻@@、复杂的挑战@@。我国除了在@@立法@@、制定@@政策@@、提高信息素养@@、提升企业@@自律水平等@@方面进行改善之外@@,还需进一步增强在@@国际组织中制定@@标准的话语权@@。我们需要在@@借鉴西方国家先进信息管理经验的同时@@@@,结合我国实际@@,以期最终形成符合我国国情@@、媒介发展趋势@@、我国大众心理特性@@,以及防控并重且兼顾稳定性@@、灵活性与科学性的信息安全@@监管治理@@体系@@,为具有中国特色的社会主义和@@谐社会创建更加安全的信息环境@@。
(作者@@为清华大学国家文化产业研究中心副主任@@,清华大学文化创意发展研究院副院长@@、研究员@@)
