國家計算機網絡與信息安全管理中心青海分中心 石西華,嚴浩
隨著網絡化時代、信息化時代、數字化時代、數據化時代的到來,大數據技術帶動了互聯(lián)網的發(fā)展,我國網民數量和互聯(lián)網普及率不斷提升,支付寶、微信、網銀等支付渠道在日常生活中使用的頻率越來越高,增加了潛在的網絡安全和信息安全問題。另一方面,木馬病毒、僵尸網站、惡意APP更是通過各種方式收集人們的信息資料,給人們日常生活帶來了極大的安全風險。因此,當今時代必須做好網絡安全和信息安全治理,否則互聯(lián)網利與弊無法得到有效平衡,只有在減輕互聯(lián)網網絡信息安全風險的情況下才能盡量減少其中的負面影響。
1.國外現狀
互聯(lián)網誕生于國外,具有開放性和包容性的特點,網絡安全和信息安全治理機構也具有同樣的特點,除了政府之外,其他社會組織或者公眾等利益主體能夠參與網絡治理,但是網絡安全和信息安全治理的主體仍然是國家和政府。由于網絡信息安全治理的網絡社會規(guī)模比較大,如果讓相關利益主體全部直接參與網絡治理反倒不利于網絡信息安全治理工作的開展。因此,國外多采用相關利益主體間接參與網絡信息安全治理的形式,即通過政府發(fā)布的文件和規(guī)范提供參考意見,這樣可以保留相關利益主體的參與主動權[1]。
2.國內現狀
國內互聯(lián)網發(fā)展起步較國外晚一些,但是國內近些年互聯(lián)網的發(fā)展速度遠快于國外,我國主要采用政府主導、多個參與主體共同參與的網絡信息安全治理制度,該模式下雖然各個非政府組織能夠參與到網絡信息安全治理中來,但是政府在網絡信息安全治理中仍然占據主導地位,因為我國網絡安全和信息安全關乎社會穩(wěn)定和國家安全。非政府機構有協(xié)助政府機關打擊網絡犯罪的責任和義務,但是這些機構并沒有侵犯個人隱私的權利,因此我國必須對隱私保護方面的法律法規(guī)進行完善,不能讓非政府機構打著打擊網絡犯罪的旗號侵犯公民個人隱私[2]。
英美等西方國家比較重視網絡安全治理工作,美國在網絡信息安全教育體系中明確了上層領導部門的網絡安全教育責任,通過財政、物質保障網絡安全教育效果,同時開設網絡安全課程、完善網絡信息安全治理法律體系,提高公民的網絡信息安全防范意識。英國在網絡信息安全組織體系中,由政府和行業(yè)相互結合,政府主導建立網絡信息安全治理框架,各個行業(yè)通過自律組織對網絡信息安全治理框架進行完善,同時各個行業(yè)的自律組織還可以在該框架中行使自身權利,共同參與網絡信息安全治理。
1.從戰(zhàn)略層面制定網絡信息安全治理策略
由英美網絡信息安全治理案例可知,從戰(zhàn)略層面制定網絡信息安全治理策略是非常重要的,政府不主導進行網絡信息安全治理是無法維護國家網絡主權和社會穩(wěn)定的,只有從戰(zhàn)略層面重視起來才能讓國家管理機構、行業(yè)主導者、廣大人民群眾充分認識到網絡信息安全治理工作的重要性。
2.政府主導民眾配合,共同提高網絡信息安全防范效果
由英美網絡信息安全治理案例可知,民眾自主對網絡信息安全隱患進行治理是不現實的,網絡社會規(guī)模非常龐大,民眾不具備治理大規(guī)模網絡社會的能力,而且很多企業(yè)在網絡信息安全防范過程中還會監(jiān)守自盜。因此必須由政府主導、民眾配合,才能提高網絡信息安全防范效果。
3.國家成立網絡信息安全中心,及時處理各類網絡信息安全事件
由英美網絡信息安全治理案例可知,國家不能只從戰(zhàn)略層面制定網絡信息安全治理策略和相關法律法規(guī),政府必須建立國家級網絡信息安全中心,對各類網絡信息安全事件進行統(tǒng)一處理,這樣才能確保上層網絡信息安全治理策略能夠在民眾中起到網絡信息安全防護的效果。
互聯(lián)網時代的網絡宣傳渠道比較多,包括微信、微博、抖音、快手等用戶日活量比較大的新媒體平臺,而傳統(tǒng)媒體的主要宣傳渠道包括電視、廣播、報紙等,這些渠道均可以在網絡安全和信息安全防范教育中發(fā)揮巨大作用。但是目前各類宣傳渠道中很少見到網絡信息安全防范教育的內容,導致人們普遍認為網絡安全和信息安全事件中那些受害人是由于個人原因才被騙,沒有正確認識到互聯(lián)網時代網絡安全和信息安全隱患的嚴重性。
互聯(lián)網時代網絡安全和信息安全問題層出不窮,但是其根本原因是網絡信息安全治理模式單一,目前主要由國家有關部門專門對網絡安全和信息安全問題進行治理,而后由司法機關對網絡信息安全事件背后的人員進行審判。這種網絡信息安全治理模式本質上屬于事后治理,事后治理只能盡量挽回網絡信息安全事件中受害人的損失,而無法在事件發(fā)生之前進行避免。
互聯(lián)網時代,移動端APP數量隨著手機普及率的提高而增多,很多APP存在惡意收集和使用用戶信息的情況,而且這些互聯(lián)網企業(yè)還將廣大用戶的隱私信息定義為企業(yè)資源,甚至還有不法人員私下售賣廣大用戶的隱私信息,導致用戶個人信息安全根本無法得到保障。其根本原因是網絡信息收集相關標準不明確,導致網絡服務商肆意妄為,很多用戶經常反饋,剛注冊完平臺賬號,各種電話便接連不斷地打來,讓人感覺到隱私被泄露和違法利用。
互聯(lián)網時代,網絡信息安全治理效果較差與硬件基礎設施和信息存儲具有直接關系。硬件基礎設施差,很容易被不法分子直接通過木馬和漏洞盜取用戶個人信息,很多不法分子盜取企業(yè)隱私數據后向企業(yè)勒索財產,這種事情發(fā)生的概率比較高,無法完全避免。如果信息存儲存在問題,則容易被感染,愛蟲病毒、摩根大通銀行信息泄露、我國社保系統(tǒng)大漏洞等事件直接影響人員達上千萬,可見網絡信息安全隱患的危害之大。近年來我國電信詐騙案件頻發(fā),電信詐騙受害人數量和財產損失逐年升高,這些因素都表明我國網絡信息安全治理效果不盡人意。
網絡信息安全防范教育不足的根本原因是網絡安全信息風險防范意識不強,網絡安全信息風險防范意識淡漠的原因有網絡信息安全教育缺失、網絡信息安全宣傳不到位、網絡信息環(huán)境惡化等。網絡信息安全教育是政府相關部門應盡的責任和義務,相關人員必須持續(xù)對各類群體開展網絡信息安全教育宣傳,一旦網絡安全相關知識沒有普及到位,就易遭到網絡詐騙。網絡信息安全宣傳不到位的原因還包括對當前各類宣傳途徑利用不到位,網絡信息環(huán)境惡化是網絡服務商社會責任感缺失和懲罰機制不健全導致的。
網絡信息安全治理模式單一的根本原因是網絡安全信息風險治理機構不健全,具體體現在外部和內部風險防范組織不合理、網絡服務商風險防范組織不健全、信息安全服務體系落后等方面。外部和內部風險防范組織不合理主要指的是內部管理機構冗余、外部對社會組織和互聯(lián)網企業(yè)的協(xié)調管理無序。網絡服務商風險防范組織不健全指的是互聯(lián)網企業(yè)沒有健全的網絡信息安全防護部門。信息安全服務體系落后指的是信息安全企業(yè)服務水平不高,且該行業(yè)沒有發(fā)展空間。
網絡信息收集相關標準不明確的根本原因是網絡安全信息風險治理制度不規(guī)范,具體包括政府治理制度滯后、網絡服務組織信息風險防范規(guī)章不完善、網絡信息安全行業(yè)存在監(jiān)守自盜行為等。政府必須清楚,在互聯(lián)網時代網絡安全信息風險出現的速度是快于法律法規(guī)完善速度的,因此必須及時補充和完善法律法規(guī)。而且網絡服務組織很少對員工進行網絡安全信息風險防范培訓,因為這些組織自身或多或少都存在泄露網絡安全信息的行為。
網絡信息安全治理效果差的根本原因是網絡安全信息風險治理機制不合理,具體體現為網絡安全信息風險評估機制不完善、網絡安全信息風險應急響應體系和網絡安全信息風險治理平臺構建不健全,導致國家有關部門沒有對各類網絡安全信息風險作出準確評估,導致網絡安全信息風險治理處于被動局面,而且國家沒有做好對各個組織的協(xié)調工作,導致網絡安全信息風險傳播過程中存在信息孤島的情況。
網絡安全和信息安全治理有關部門可以通過加強信息安全通識教育、建立長效信息安全宣傳機制、凈化信息安全生態(tài)環(huán)境等措施提高管理機構和人民群眾的網絡信息風險意識。網絡信息安全教育可以讓各類人群了解常見的網絡信息安全風險,提高自身的風險預防能力。網絡信息安全宣傳機制可以潛移默化地讓人們掌握各類網絡信息安全事件的處理方法,這樣信息安全生態(tài)環(huán)境才能夠逐漸形成,并且讓處于該環(huán)境中的人們時刻注意網絡信息安全問題。
政府網絡信息安全組織機構可以通過完善相關部門組織體系、監(jiān)督網絡服務商成立網絡安全治理組織體系、優(yōu)化網絡安全治理體系等措施豐富網絡信息安全治理模式。國家首先應該在領導層面明確各部門在網絡信息安全組織方面的責任,然后構建各級信息安全部門的網絡信息安全組織體系,最后對網絡服務商是否按照相關要求成立對應的網絡安全治理組織體系進行監(jiān)督,這樣才能逐漸對整個網絡信息安全行業(yè)進行治理,進而對行業(yè)網絡安全治理體系進行優(yōu)化,政府、行業(yè)、企業(yè)多方共同努力,才能改善落后的網絡信息安全治理模式。
政府相關部門必須緊密結合互聯(lián)網發(fā)展情況,對其中出現的網絡信息安全問題進行總結分析,然后找出當前法律法規(guī)的漏洞,通過人民代表大會進行完善,最后監(jiān)督網絡服務組織是否違背法律法規(guī)盜取用戶個人隱私,如果網絡服務組織拒不整改,必須進行嚴懲。
政府相關部門必須通過建立網絡信息安全評估機制、完善網絡信息安全事件應急影響體系、建立多方網絡信息安全共享治理平臺等措施提高網絡信息風險治理效果。網絡信息安全評估機制可以對各類風險進行準確分類,有利于提高各級機構和工作人員的工作效果。網絡信息安全事件應急影響體系可以對各種大規(guī)模網絡信息風險進行預防和處理,防止上千萬人級別的隱私泄露事件再次發(fā)生。多方網絡信息安全共享治理平臺可以讓政府內部和社會企業(yè)乃至民眾全部參與到網絡信息風險防范中來,這樣才能避免信息孤島的出現。
綜上所述,根據國內外網絡信息安全治理案例和經驗可知,必須從戰(zhàn)略層面制定網絡信息安全治理策略,政府主導、民眾配合,共同提高網絡信息安全防范效果,國家成立網絡信息安全中心,及時處理各類網絡信息安全事件,再通過信息安全教育、完善網絡信息安全組織機構、完善網絡信息安全法律法規(guī)、優(yōu)化網絡信息風險防范機制等治理策略,即可達到提高網絡安全和信息安全的目的。