安全資訊

共筑網絡安全防線亟需推動威脅信息共享立法

近年來,隨著網絡信息化技術應用深入到社會生活的各個領域,網絡安全挑戰日益嚴峻復雜,不僅網絡攻擊事件層出不窮、網絡攻擊手段不斷升級,甚至出現了針對交通、電力、電信、金融等領域關鍵信息基礎設施和特定目標的“高級持續攻擊”(APT攻擊)。從早期的摧毀伊朗核電站離心機的Stuxnet病毒、烏克蘭電網被攻擊事件,到前幾年針對我國政府、能源、軍事和科研領域實施APT攻擊的“海蓮花”組織、“白象行動”、“蔓靈花攻擊行動”等,再到近期的WannaCry勒索病毒、美國對ISIS發動網絡戰、委內瑞拉等國大規模停電事件、俄羅斯電網被植入后門、美國伊朗網絡交戰等,可以發現網絡安全不僅關乎國計民生,也日益成為國家間對抗的新戰場,網絡安全威脅開始在政治、經濟、文化、國防等各個領域全面顯現。
面對已經滲透到社會各個領域的網絡安全威脅,單一的、靜態的、局部的防護思路顯然已經不合時宜,必須樹立綜合的、動態的、系統的網絡安全防護理念,必須動員全社會力量共同維護網絡安全。習近平總書記2016年4月在網絡安全和信息化工作座談會上的講話明確指出,要“全天候全方位感知網絡安全態勢”,“網絡安全為人民,網絡安全靠人民,維護網絡安全是全社會共同責任,需要政府、企業、社會組織、廣大網民共同參與,共筑網絡安全防線”。
網絡安全靠人民、共筑網絡安全防線,不僅需要發揮政府“國家隊”的力量,也需要重視和支持企業、社會組織和廣大網民等民間力量發揮作用,打贏維護網絡安全的人民戰爭。從域外經驗來看,以美國代表的西方國家除了增強政府網絡安全能力、制定并嚴格執行相關法律和技術標準外,還尤其注重培育網絡安全企業和社會組織、廣泛開展公眾教育。這些企業和社會組織,不僅提供民用網絡安全維護服務和網絡安全評估,有時還在政府支持和雇傭下參與國家級的網絡安全攻防和競爭。近年來,以美國“賽門鐵克”、“火眼”、“曼迪昂特”,俄羅斯“卡巴斯基”為代表的網絡安全公司快速興起,成為國家間網絡攻防的重要力量。有分析就認為,名義上獨立的網絡安全公司,已經成為大國博弈的重要工具。
我國近年來開始不斷重視發揮企業、社會組織和民眾在維護網絡安全方面的重要作用。2014年開始每年舉辦國家網絡安全宣傳周,突出“網絡安全為人民、網絡安全靠人民”的主題,在全國范圍內形成了學安全、懂安全、重安全的良好氛圍。2019年國家網絡安全宣傳周開幕前夕,習近平總書記對國家網絡安全宣傳周作出重要指示強調,舉辦網絡安全宣傳周、提升全民網絡安全意識和技能,是國家網絡安全工作的重要內容。近些年我國在G20峰會、金磚會議等重大活動期間的網絡安全保障工作,不僅有公安部、網信辦、工信部、總參、科研院所等體制內隊伍坐陣,也有360公司、安恒公司等本土企業深度參與,取得了較好的安防效果。
不過與網絡安全威脅全領域全方位滲透顯現的現實相比,在共筑網絡安全防線方面,我們還有很大的提升空間。其中很重要的一個方面,就是為了實現“全天候全方位感知網絡安全態勢”而需要建立有效的網絡安全威脅信息共享機制,這是共筑網絡安全防線的重要抓手。我國政府和企業在這方面已經進行了一系列探索。比如,國家互聯網應急中心(CNCERT/CC)建立了國家信息安全漏洞共享平臺(CNVD),截止2019年10月累計收錄了針對軟硬件產品漏洞17.2萬條以及具體信息系統漏洞31.3萬條,通報處置了重要信息系統單位漏洞事件13.8萬余起;該中心還牽頭組建了中國互聯網網絡安全威脅治理聯盟(CCTGA)、中國反網絡病毒聯盟(ANVA),截止2019年10月,前者成員單位已達138家,累計共享網絡安全威脅情報數據133.2萬條,后者成員單位已達61家,在阻斷惡意程序傳播方面發揮了積極作用。
再比如,360公司2018年推出了360安全大腦服務體系。在這一體系中,“威脅情報云”是構建其“看見”高級別網絡攻擊的要素之一。這與360在威脅情報云方面的積累密不可分:360已累計報告主流廠商漏洞2000以上,獨立捕獲7次野外APT 0Day漏洞攻擊,發現針對中國的境外APT組織40以上。這些威脅情報未來還會不斷增加,360安全大腦在其落地場景中會對接企業的態勢感知系統,為客戶建立威脅情報中心等,這將極大地豐富威脅情報源,強化“看見”威脅的能力。
但是近期在應對一些突發網絡安全事件過程中出現的問題,也暴露了我們在網絡安全威脅信息共享方面存在一定的短板。以2017年5月12日爆發的Wannacry勒索病毒為例,該病毒短短幾天就影響了我國境內10多萬IP地址,對我國互聯網造成嚴重的安全威脅。雖然經過政府有關部門和安全企業的積極應對,有效遏制了該病毒在我國的擴散,但是復盤整個應對過程仍引人深思。其實早在2017年4月16日,國家互聯網應急中心負責的國家信息安全漏洞共享平臺(CNVD)就發布專門公告,指出“影子經紀人”公布的漏洞攻擊工具集成化程度高、部分攻擊利用方式較為高效,有可能引發互聯網上針對服務器主機的大規模攻擊。有些國內企業也通過不同渠道提前獲知了勒索病毒可能爆發的情況。不過很遺憾利用“影子經紀人”公布的“永恒之藍”漏洞的Wannacry勒索病毒還是對我國造成了嚴重影響,這說明我們并沒有充分有效的威脅信息共享機制去提前部署充分的應對措施,企業或相關主體在共享威脅信息方面有著很大的顧慮。
相關主體之所以在共享網絡安全威脅信息方面存有顧慮,是因為所有建立網絡安全威脅信息共享機制的嘗試,都面臨著較大的法律風險。這主要體現在以下兩個方面:一是共享網絡威脅情報可能讓信息共享主體承擔更多責任或陷入不利地位。例如,不論是對政府部門還是私營機構,共享網絡安全信息往往就要承認自身已遭受網絡攻擊或發生數據泄露,這可能引發消費者提起侵權之訴,或者可能追究因違反信息保護義務而構成的法律責任。例如,企業共享網絡安全威脅信息,可能泄露類似商業秘密等商業信息,企業可能會喪失競爭優勢或在市場競爭中陷入被動。再如,企業為了應對網絡安全威脅而共享給政府的信息,可能會被政府作為執法證據,追究企業的某些法律責任。正因為此,企業一般不愿與政府或其他企業共享涉及商業利益的信息。二是共享網絡威脅情況還可能違反隱私和個人信息保護的規定。例如各國對消費者個人的信用信息、金融數據、教育信息和健康信息等一般有專門性規定,如果共享的安全信息涉及可識別的個人信息,就可能違反這些個人信息保護的專門性規定。
因此,共筑網絡安全防線,建立網絡安全威脅信息共享機制,亟需立法予以保障。近年通過的美國《網絡安全信息共享法》和歐盟《網絡和信息系統安全指令》都對此有針對性規定。美國《網絡安全信息共享法》授權政府機構、企業以及公眾之間可以在法定條件和程序下共享網絡安全信息,并將網絡安全信息界分為網絡威脅指標(cyber threat indicator)和防御措施(defensive measure)兩類信息。歐盟《網絡和信息系統安全指令》規定各國計算機安全事件響應團隊負責監測網絡安全事件并交換這些網絡安全事件信息,而基本服務運營者、數字服務提供者有義務報告網絡安全事件。
我國《網絡安全法》雖然規定了“促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享”,網絡運營者應“按照規定向有關主管部門報告”網絡安全事件,“國家建立網絡安全監測預警和信息通報制度”等。2019年11月20日,國家互聯網信息辦公室公布了《網絡安全威脅信息發布管理辦法(征求意見稿)》,將“網絡安全威脅信息”界定為描述可能威脅網絡正常運行行為的意圖、方法、工具、過程、結果等的信息以及可能暴露網絡脆弱性的信息,進一步規范了網絡安全威脅信息發布行為。但這些規定并沒有專門涉及如何減輕相關主體共享網絡安全威脅信息的法律風險,相關制度設計仍需要進一步細化完善。針對前述問題,筆者對于網絡安全威脅信息共享立法提出如下完善建議:
一是規定企業的責任豁免以激勵其參與共享。即規定企業在遵循法定強制標準和按照法定要求共享網絡安全信息的情況下,減輕或免除因此而產生的法律責任。例如,對于遵守監管標準的關鍵信息基礎設施運營者,可以考慮規定其信息系統被惡意攻擊而導致大規模數據泄露時,可只向消費者承擔補償性賠償責任,而非承擔懲罰性賠償責任。再就是為了提升企業發現網絡安全漏洞的能力和打消其因分享信息而承擔責任的顧慮,建議我國立法應授權企業有權監視其負責運營的網絡信息系統以及系統內存儲、處理和傳輸的數據,并規定不承擔因此而產生的法律責任。對于并未納入強制監管范圍的企業,可自愿加入網絡安全信息共享機制,只要其按法定要求共享相關信息,可以規定豁免其相應的法律責任。除此之外,還可以考慮政府采購傾斜、稅收減免等激勵措施。
二是規定維護網絡安全與保護私人權益的平衡機制。在網絡安全威脅信息共享中,應尤其重視對私人權益的保護。建議規定政府或其他主體保存、使用或者傳播網絡安全威脅信息時,必須保護這些信息里任何可識別的個人信息不被未經授權的披露、處理或者使用。所共享的網絡安全威脅信息,應該移除或匿名化其中與網絡安全威脅沒有直接關系的個人信息;對于無法移除或匿名化的個人信息,應最大限度地確保其用于法定目的而不被泄露濫用,規定留存這些個人信息的合理期限。在含有個人信息的網絡安全威脅信息發生意外泄露事件時,應及時通知這些個人信息所涉及的權利主體。建議規定使用共享的威脅信息不能侵害個人隱私、商業秘密、知識產權等合法權益,而且這些共享的威脅信息不屬于政府信息公開的范圍。

服務熱線

400-1021-996

產品和特性

價格和優惠

安徽靈狐網絡公眾號

微信公眾號

国产欧美一区二区精品性色