_{<form id="boogf"></form>}

_{<center id="boogf"></center>}

<rt id="boogf"><dfn id="boogf"></dfn></rt>

安全資訊

共筑網(wǎng)絡(luò )安全防線(xiàn)亟需推動(dòng)威脅信息共享立法

【時(shí)間】2019-12-28

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

近年來(lái)，隨著(zhù)網(wǎng)絡(luò )信息化技術(shù)應用深入到社會(huì )生活的各個(gè)領(lǐng)域，網(wǎng)絡(luò )安全挑戰日益嚴峻復雜，不僅網(wǎng)絡(luò )攻擊事件層出不窮、網(wǎng)絡(luò )攻擊手段不斷升級，甚至出現了針對交通、電力、電信、金融等領(lǐng)域關(guān)鍵信息基礎設施和特定目標的“高級持續攻擊”（APT攻擊）。從早期的摧毀伊朗核電站離心機的Stuxnet病毒、烏克蘭電網(wǎng)被攻擊事件，到前幾年針對我國政府、能源、軍事和科研領(lǐng)域實(shí)施APT攻擊的“海蓮花”組織、“白象行動(dòng)”、“蔓靈花攻擊行動(dòng)”等，再到近期的WannaCry勒索病毒、美國對ISIS發(fā)動(dòng)網(wǎng)絡(luò )戰、委內瑞拉等國大規模停電事件、俄羅斯電網(wǎng)被植入后門(mén)、美國伊朗網(wǎng)絡(luò )交戰等，可以發(fā)現網(wǎng)絡(luò )安全不僅關(guān)乎國計民生，也日益成為國家間對抗的新戰場(chǎng)，網(wǎng)絡(luò )安全威脅開(kāi)始在政治、經(jīng)濟、文化、國防等各個(gè)領(lǐng)域全面顯現。

面對已經(jīng)滲透到社會(huì )各個(gè)領(lǐng)域的網(wǎng)絡(luò )安全威脅，單一的、靜態(tài)的、局部的防護思路顯然已經(jīng)不合時(shí)宜，必須樹(shù)立綜合的、動(dòng)態(tài)的、系統的網(wǎng)絡(luò )安全防護理念，必須動(dòng)員全社會(huì )力量共同維護網(wǎng)絡(luò )安全。習近平總書(shū)記2016年4月在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上的講話(huà)明確指出，要“全天候全方位感知網(wǎng)絡(luò )安全態(tài)勢”，“網(wǎng)絡(luò )安全為人民，網(wǎng)絡(luò )安全靠人民，維護網(wǎng)絡(luò )安全是全社會(huì )共同責任，需要政府、企業(yè)、社會(huì )組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò )安全防線(xiàn)”。

網(wǎng)絡(luò )安全靠人民、共筑網(wǎng)絡(luò )安全防線(xiàn)，不僅需要發(fā)揮政府“國家隊”的力量，也需要重視和支持企業(yè)、社會(huì )組織和廣大網(wǎng)民等民間力量發(fā)揮作用，打贏(yíng)維護網(wǎng)絡(luò )安全的人民戰爭。從域外經(jīng)驗來(lái)看，以美國代表的西方國家除了增強政府網(wǎng)絡(luò )安全能力、制定并嚴格執行相關(guān)法律和技術(shù)標準外，還尤其注重培育網(wǎng)絡(luò )安全企業(yè)和社會(huì )組織、廣泛開(kāi)展公眾教育。這些企業(yè)和社會(huì )組織，不僅提供民用網(wǎng)絡(luò )安全維護服務(wù)和網(wǎng)絡(luò )安全評估，有時(shí)還在政府支持和雇傭下參與國家級的網(wǎng)絡(luò )安全攻防和競爭。近年來(lái)，以美國“賽門(mén)鐵克”、“火眼”、“曼迪昂特”，俄羅斯“卡巴斯基”為代表的網(wǎng)絡(luò )安全公司快速興起，成為國家間網(wǎng)絡(luò )攻防的重要力量。有分析就認為，名義上獨立的網(wǎng)絡(luò )安全公司，已經(jīng)成為大國博弈的重要工具。

我國近年來(lái)開(kāi)始不斷重視發(fā)揮企業(yè)、社會(huì )組織和民眾在維護網(wǎng)絡(luò )安全方面的重要作用。2014年開(kāi)始每年舉辦國家網(wǎng)絡(luò )安全宣傳周，突出“網(wǎng)絡(luò )安全為人民、網(wǎng)絡(luò )安全靠人民”的主題，在全國范圍內形成了學(xué)安全、懂安全、重安全的良好氛圍。2019年國家網(wǎng)絡(luò )安全宣傳周開(kāi)幕前夕，習近平總書(shū)記對國家網(wǎng)絡(luò )安全宣傳周作出重要指示強調，舉辦網(wǎng)絡(luò )安全宣傳周、提升全民網(wǎng)絡(luò )安全意識和技能，是國家網(wǎng)絡(luò )安全工作的重要內容。近些年我國在G20峰會(huì )、金磚會(huì )議等重大活動(dòng)期間的網(wǎng)絡(luò )安全保障工作，不僅有公安部、網(wǎng)信辦、工信部、總參、科研院所等體制內隊伍坐陣，也有360公司、安恒公司等本土企業(yè)深度參與，取得了較好的安防效果。

不過(guò)與網(wǎng)絡(luò )安全威脅全領(lǐng)域全方位滲透顯現的現實(shí)相比，在共筑網(wǎng)絡(luò )安全防線(xiàn)方面，我們還有很大的提升空間。其中很重要的一個(gè)方面，就是為了實(shí)現“全天候全方位感知網(wǎng)絡(luò )安全態(tài)勢”而需要建立有效的網(wǎng)絡(luò )安全威脅信息共享機制，這是共筑網(wǎng)絡(luò )安全防線(xiàn)的重要抓手。我國政府和企業(yè)在這方面已經(jīng)進(jìn)行了一系列探索。比如，國家互聯(lián)網(wǎng)應急中心（CNCERT/CC）建立了國家信息安全漏洞共享平臺（CNVD），截止2019年10月累計收錄了針對軟硬件產(chǎn)品漏洞17.2萬(wàn)條以及具體信息系統漏洞31.3萬(wàn)條，通報處置了重要信息系統單位漏洞事件13.8萬(wàn)余起；該中心還牽頭組建了中國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全威脅治理聯(lián)盟（CCTGA）、中國反網(wǎng)絡(luò )病毒聯(lián)盟（ANVA），截止2019年10月，前者成員單位已達138家，累計共享網(wǎng)絡(luò )安全威脅情報數據133.2萬(wàn)條，后者成員單位已達61家，在阻斷惡意程序傳播方面發(fā)揮了積極作用。

再比如，360公司2018年推出了360安全大腦服務(wù)體系。在這一體系中，“威脅情報云”是構建其“看見(jiàn)”高級別網(wǎng)絡(luò )攻擊的要素之一。這與360在威脅情報云方面的積累密不可分：360已累計報告主流廠(chǎng)商漏洞2000以上，獨立捕獲7次野外APT 0Day漏洞攻擊，發(fā)現針對中國的境外APT組織40以上。這些威脅情報未來(lái)還會(huì )不斷增加，360安全大腦在其落地場(chǎng)景中會(huì )對接企業(yè)的態(tài)勢感知系統，為客戶(hù)建立威脅情報中心等，這將極大地豐富威脅情報源，強化“看見(jiàn)”威脅的能力。

但是近期在應對一些突發(fā)網(wǎng)絡(luò )安全事件過(guò)程中出現的問(wèn)題，也暴露了我們在網(wǎng)絡(luò )安全威脅信息共享方面存在一定的短板。以2017年5月12日爆發(fā)的Wannacry勒索病毒為例，該病毒短短幾天就影響了我國境內10多萬(wàn)IP地址，對我國互聯(lián)網(wǎng)造成嚴重的安全威脅。雖然經(jīng)過(guò)政府有關(guān)部門(mén)和安全企業(yè)的積極應對，有效遏制了該病毒在我國的擴散，但是復盤(pán)整個(gè)應對過(guò)程仍引人深思。其實(shí)早在2017年4月16日，國家互聯(lián)網(wǎng)應急中心負責的國家信息安全漏洞共享平臺（CNVD）就發(fā)布專(zhuān)門(mén)公告，指出“影子經(jīng)紀人”公布的漏洞攻擊工具集成化程度高、部分攻擊利用方式較為高效，有可能引發(fā)互聯(lián)網(wǎng)上針對服務(wù)器主機的大規模攻擊。有些國內企業(yè)也通過(guò)不同渠道提前獲知了勒索病毒可能爆發(fā)的情況。不過(guò)很遺憾利用“影子經(jīng)紀人”公布的“永恒之藍”漏洞的Wannacry勒索病毒還是對我國造成了嚴重影響，這說(shuō)明我們并沒(méi)有充分有效的威脅信息共享機制去提前部署充分的應對措施，企業(yè)或相關(guān)主體在共享威脅信息方面有著(zhù)很大的顧慮。

相關(guān)主體之所以在共享網(wǎng)絡(luò )安全威脅信息方面存有顧慮，是因為所有建立網(wǎng)絡(luò )安全威脅信息共享機制的嘗試，都面臨著(zhù)較大的法律風(fēng)險。這主要體現在以下兩個(gè)方面：一是共享網(wǎng)絡(luò )威脅情報可能讓信息共享主體承擔更多責任或陷入不利地位。例如，不論是對政府部門(mén)還是私營(yíng)機構，共享網(wǎng)絡(luò )安全信息往往就要承認自身已遭受網(wǎng)絡(luò )攻擊或發(fā)生數據泄露，這可能引發(fā)消費者提起侵權之訴，或者可能追究因違反信息保護義務(wù)而構成的法律責任。例如，企業(yè)共享網(wǎng)絡(luò )安全威脅信息，可能泄露類(lèi)似商業(yè)秘密等商業(yè)信息，企業(yè)可能會(huì )喪失競爭優(yōu)勢或在市場(chǎng)競爭中陷入被動(dòng)。再如，企業(yè)為了應對網(wǎng)絡(luò )安全威脅而共享給政府的信息，可能會(huì )被政府作為執法證據，追究企業(yè)的某些法律責任。正因為此，企業(yè)一般不愿與政府或其他企業(yè)共享涉及商業(yè)利益的信息。二是共享網(wǎng)絡(luò )威脅情況還可能違反隱私和個(gè)人信息保護的規定。例如各國對消費者個(gè)人的信用信息、金融數據、教育信息和健康信息等一般有專(zhuān)門(mén)性規定，如果共享的安全信息涉及可識別的個(gè)人信息，就可能違反這些個(gè)人信息保護的專(zhuān)門(mén)性規定。

因此，共筑網(wǎng)絡(luò )安全防線(xiàn)，建立網(wǎng)絡(luò )安全威脅信息共享機制，亟需立法予以保障。近年通過(guò)的美國《網(wǎng)絡(luò )安全信息共享法》和歐盟《網(wǎng)絡(luò )和信息系統安全指令》都對此有針對性規定。美國《網(wǎng)絡(luò )安全信息共享法》授權政府機構、企業(yè)以及公眾之間可以在法定條件和程序下共享網(wǎng)絡(luò )安全信息，并將網(wǎng)絡(luò )安全信息界分為網(wǎng)絡(luò )威脅指標（cyber threat indicator）和防御措施（defensive measure）兩類(lèi)信息。歐盟《網(wǎng)絡(luò )和信息系統安全指令》規定各國計算機安全事件響應團隊負責監測網(wǎng)絡(luò )安全事件并交換這些網(wǎng)絡(luò )安全事件信息，而基本服務(wù)運營(yíng)者、數字服務(wù)提供者有義務(wù)報告網(wǎng)絡(luò )安全事件。

我國《網(wǎng)絡(luò )安全法》雖然規定了“促進(jìn)有關(guān)部門(mén)、關(guān)鍵信息基礎設施的運營(yíng)者以及有關(guān)研究機構、網(wǎng)絡(luò )安全服務(wù)機構等之間的網(wǎng)絡(luò )安全信息共享”，網(wǎng)絡(luò )運營(yíng)者應“按照規定向有關(guān)主管部門(mén)報告”網(wǎng)絡(luò )安全事件，“國家建立網(wǎng)絡(luò )安全監測預警和信息通報制度”等。2019年11月20日，國家互聯(lián)網(wǎng)信息辦公室公布了《網(wǎng)絡(luò )安全威脅信息發(fā)布管理辦法（征求意見(jiàn)稿）》，將“網(wǎng)絡(luò )安全威脅信息”界定為描述可能威脅網(wǎng)絡(luò )正常運行行為的意圖、方法、工具、過(guò)程、結果等的信息以及可能暴露網(wǎng)絡(luò )脆弱性的信息，進(jìn)一步規范了網(wǎng)絡(luò )安全威脅信息發(fā)布行為。但這些規定并沒(méi)有專(zhuān)門(mén)涉及如何減輕相關(guān)主體共享網(wǎng)絡(luò )安全威脅信息的法律風(fēng)險，相關(guān)制度設計仍需要進(jìn)一步細化完善。針對前述問(wèn)題，筆者對于網(wǎng)絡(luò )安全威脅信息共享立法提出如下完善建議：

一是規定企業(yè)的責任豁免以激勵其參與共享。即規定企業(yè)在遵循法定強制標準和按照法定要求共享網(wǎng)絡(luò )安全信息的情況下，減輕或免除因此而產(chǎn)生的法律責任。例如，對于遵守監管標準的關(guān)鍵信息基礎設施運營(yíng)者，可以考慮規定其信息系統被惡意攻擊而導致大規模數據泄露時(shí)，可只向消費者承擔補償性賠償責任，而非承擔懲罰性賠償責任。再就是為了提升企業(yè)發(fā)現網(wǎng)絡(luò )安全漏洞的能力和打消其因分享信息而承擔責任的顧慮，建議我國立法應授權企業(yè)有權監視其負責運營(yíng)的網(wǎng)絡(luò )信息系統以及系統內存儲、處理和傳輸的數據，并規定不承擔因此而產(chǎn)生的法律責任。對于并未納入強制監管范圍的企業(yè)，可自愿加入網(wǎng)絡(luò )安全信息共享機制，只要其按法定要求共享相關(guān)信息，可以規定豁免其相應的法律責任。除此之外，還可以考慮政府采購傾斜、稅收減免等激勵措施。

二是規定維護網(wǎng)絡(luò )安全與保護私人權益的平衡機制。在網(wǎng)絡(luò )安全威脅信息共享中，應尤其重視對私人權益的保護。建議規定政府或其他主體保存、使用或者傳播網(wǎng)絡(luò )安全威脅信息時(shí)，必須保護這些信息里任何可識別的個(gè)人信息不被未經(jīng)授權的披露、處理或者使用。所共享的網(wǎng)絡(luò )安全威脅信息，應該移除或匿名化其中與網(wǎng)絡(luò )安全威脅沒(méi)有直接關(guān)系的個(gè)人信息；對于無(wú)法移除或匿名化的個(gè)人信息，應最大限度地確保其用于法定目的而不被泄露濫用，規定留存這些個(gè)人信息的合理期限。在含有個(gè)人信息的網(wǎng)絡(luò )安全威脅信息發(fā)生意外泄露事件時(shí)，應及時(shí)通知這些個(gè)人信息所涉及的權利主體。建議規定使用共享的威脅信息不能侵害個(gè)人隱私、商業(yè)秘密、知識產(chǎn)權等合法權益，而且這些共享的威脅信息不屬于政府信息公開(kāi)的范圍。

咨詢(xún)在線(xiàn)客服

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线

<center id="zzxn5"></center>

<rp id="zzxn5"><meter id="zzxn5"></meter></rp>

<input id="zzxn5"><small id="zzxn5"></small></input>