作者:夏冰
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全法和网络安全等级保护2.0试读:
前言
网络安全靠人民,网络安全为人民。2017年6月1号实施的《中华人民共和国网络安全法》(以下称《网络安全法》)是国家安全法律制度体系中一部重要法律,是网络安全领域的基本大法。《网络安全法》完善了国家、网络运营者、公民个人等角色的网络安全义务和责任,将原来散见于各种法规、规章中的网络安全规定上升到人大法律层面,并对网络运营者等主体的法律义务和责任做了全面规定。《网络安全法》规定,我国实行网络安全等级保护制度。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国家法规和系列政策文件明确规定,实现并完善网络安全等级保护制度,是统筹网络安全和信息化发展,完善国家网络安全保障体系,强化关键信息基础设施、重要信息系统和数据资源保护,提高网络综合治理能力,保障国家信息安全的重要手段。
网络安全等级保护包括系统定级、系统备案、建设整改、等级测评和监督检查5个常规动作,贯穿信息系统的全阶段、全流程,是当今发达国家保护关键信息基础设施、保障网络安全的通行做法。对信息系统分级实施保护,在网络安全等级保护基础上,重点保护关键信息基础设施,能够有效地提高我国网络安全建设的整体水平,有利于保障网络安全与信息化同步规划、同步建设、同步使用;有利于为信息系统网络安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制网络安全建设成本;有利于优化网络安全资源的配置。
随着云计算、移动互联、大数据、物联网、工业控制系统、人工智能等新技术不断涌现,传统信息系统安全的边界和防护发生了变化。起到支撑、传输作用的基础信息网络和各类应用组成的信息系统本质没有发生变化,网络安全等级保护仍然适用。但是,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,这些都要求等级保护外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务以及重要数据和资源统统进入了等级保护视野。具体对象则囊括大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等,网络安全等级保护进入了 2.0 时代。在 2.0 时代下,等级保护的内涵在信息系统安全等级保护的基础之上,风险评估、网络安全事件应急处置、网络安全监测与通报预警、网络安全保障工作综治考核、政府网站监管、新型智慧城市监管等与网络安全密切相关的措施将被全部纳入网络安全等级保护制度范畴内。
为了便于国家关键信息基础设施主管部门、运营部门、建设部门学习网络安全法、网络安全等级保护系列政策和法规内容,便于各级党委政府、企事业单位开展网络安全风险评估、网络安全监测和通报预警、网络安全事件处置、网络安全保障工作全国综治考核评价,便于网信部门、网络安全保卫部门开展监督检查工作,在河南省公安厅网络安全保卫总队的指导下,河南省信息安全等级保护工作协调小组办公室组织编写该书。
本书由中原工学院的夏冰教授统筹协调,负责书稿的主体编写。中原工学院郑秋生教授、河南省委网信办王沛栋副研究员、河南省网络安全保卫总队的刘晓、河南省鼎信信息安全等级测评有限公司的陈宇也参与了本书的编写并提供建设性建议,在此表示感谢。河南省网络安全保卫总队的王志奇调研员对书稿审查投入大量精力,在此表示由衷的感谢。本书的编写还得到计算机信息系统安全评估河南省工程实验室和郑州市网络安全创新团队的项目资金支持,在此表示感谢。
由于水平有限,书中难免有不足之处和错误,敬请读者批评指正。
作者第1章 国家网络空间安全战略
信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,同时带来了新的安全风险和挑战。网络空间安全(以下称“网络安全”)事关人类共同利益,事关世界和平与发展,事关各国国家安全。为贯彻落实习近平总书记关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”,阐明中国关于网络空间发展和安全的重大立场,指导中国网络安全工作,维护国家在网络空间的主权、安全、发展利益,2016年 12月 27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》。
网络空间(Cyberspace)是指由互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成的空间。《国家网络空间安全战略》的重要意义是协调推进全面建成小康社会、全面深化改革、全面依法治国、全面从严治党战略布局的重要举措,是实现“两个一百年”奋斗目标、实现中华民族伟大复兴中国梦的重要保障。
网络安全战略主要包括机遇与挑战、目标、原则和战略任务 4部分。1.1 网络空间的新作用和新机遇
网络空间对我们的信息传播、生产生活、经济发展、文化发展、社会治理、交流合作和国家主权产生深刻影响。正在全面改变人们的生产生活方式,深刻影响人类社会历史发展进程。《国家网络空间安全战略》指出网络空间有 7个新作用,新作用也是新机遇。
1.信息传播的新渠道
网络技术的发展,突破了时空限制,拓展了传播范围,创新了传播手段,引发了传播格局的根本性变革。相对于传统的电视、电话、报刊,更精准、更有效、更快捷、更有影响力的新渠道出现在大众面前,主要包括微信、微博、博客、网络视频、网络社区、IPTV、移动电视、手机。网络已成为人们获取信息、学习交流的新渠道,成为人类知识传播的新载体。
2.生产生活的新空间
当今世界,网络深度融入人们的学习、生活、工作等方方面面,网络教育、创业、医疗、购物、金融等日益普及,越来越多的人通过网络交流思想、成就事业、实现梦想。世界因互联网而更多彩,生活因互联网而更丰富。
2015年“双十一”活动中,天猫的总成交金额达到 912.17亿元,比 2014年翻一番,其中移动端占比 68%。滴滴打车、在线学习、网上挂号等日益紧密地与我们的工作、学习、生活结合在一起。所谓中国新四大发明“高铁、网购、移动支付、共享单车”,其中三个都与互联网产业的发展息息相关。中国网购人群数量和网络购物交易额已经全球居首。
3.经济发展的新引擎
互联网日益成为创新驱动发展的先导力量,信息技术在国民经济各行业广泛应用,推动传统产业改造升级,催生了新技术、新业态、新产业、新模式,促进了经济结构调整和经济发展方式转变,为经济社会发展注入了新的动力。
党的十八大以来,国家高度重视互联网产业发展。诸如跨境电商、物联网、分享经济、大数据、云计算等大量互联网催生的新产品、新业态竞相涌现,凸显互联网产业发展的成绩,表明基于互联网技术的新市场、新业态正在成为中国经济的又一抹亮色。第 40 次《中国互联网络发展状况统计报告》显示,2017年上半年商务交易类应用持续高速增长,网络购物、网上外卖和在线旅行预订用户规模分别增长 10.2%、41.6%和 11.5%。互联网技术以及随之而来的生产、消费、思维模式等的变革,已经深深地影响和改变着每个人。
4.文化繁荣的新载体
网络促进了文化交流和知识普及,释放了文化发展活力,推动了文化创新创造,丰富了人们精神文化生活,已经成为传播文化的新途径、提供公共文化服务的新手段。网络文化已成为文化建设的重要组成部分。
网上图书馆、博物馆、展览馆、剧场等,通过网络来传播经典,推动优秀传统文化瑰宝和当代文化精品网络传播。实施网络精品阅读工程,积极开展网上经典阅读、好书推荐等活动,丰富大众知识。同时,开办教育网站、外语网站、双语网站、文学网站、戏曲网站、科普网站,构建特色网站群,满足不同网民群体的精神文化需求。
5.社会治理的新平台
网络在推进国家治理体系和治理能力现代化方面的作用日益凸显,电子政务应用走向深入,政府信息公开共享,推动了政府决策科学化、民主化、法治化,畅通了公民参与社会治理的渠道,成为保障公民知情权、参与权、表达权、监督权的重要途径。
近年来,各地政府按照“简化手续、优化程序、在线运行、限时办结、把审批变成服务”的要求,打造线上线下政务服务大厅,严格执行审批程序和时限规定,地方政务服务中心实行集中式审批等做法得到群众认可。2016 年调查结果显示,63.1%的受访者认为现在找政府办事比以前更容易了,较 2015年提高了 2.53个百分点。“互联网+政务”已成为常态。
6.交流合作的新纽带
信息化与全球化交织发展,促进了信息、资金、技术、人才等要素的全球流动,增进了不同文明交流融合。网络让世界变成了地球村,国际社会越来越成为你中有我、我中有你的命运共同体。
2016年 11月 16日,在第三届世界互联网大会上,习近平总书记提出:互联网发展是无国界、无边界的,利用好、发展好、治理好互联网必须深化网络空间国际合作,携手构建网络空间命运共同体。互联网连接了各行各业与所有人群,增加了有价值信息的需求,互联网让知识的交换和共享更加便捷,促进全球快速流动。
7.国家主权的新疆域
网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域,国家主权拓展到网络空间,网络空间主权成为国家主权的重要组成部分。尊重网络空间主权,维护网络安全,谋求共治,实现共赢,正在成为国际社会共识。
网络空间作为人类生活新空间,发展不平衡、规则不健全、秩序不合理等问题日益凸显,网络战阴霾密布,西方一些国家利用信息技术优势干涉别国内政、从事大规模网络监听等活动时有发生。面对网络安全这一全球性问题与挑战,任何国家都难以独善其身,必须携手应对、共同治理。这是自“构建人类命运共同体”理念首次被写入联合国决议之后,中国在全球重要治理领域对命运共同体理念的延伸和完善,彰显了中国对全球治理的重大贡献。1.2 网络空间安全面临严峻的新挑战《国家网络空间安全战略》指出,当前网络安全形势日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。
1.网络渗透危害政治安全
政治稳定是国家发展、人民幸福的基本前提。利用网络干涉他国内政、攻击他国政治制度、煽动社会动乱、颠覆他国政权,以及大规模网络监控、网络窃密等活动严重危害国家政治安全和用户信息安全。典型的例子如希拉里“邮件门”,美国民主党委员会的信息系统可能遭到俄罗斯攻击,致使总统候选人希拉里的邮件泄露,直接影响了美国大选的进程和结果。另外,朴槿惠“闺蜜事件”、阿拉伯的“茉莉花革命”都是网络安全问题引发的。
2.网络攻击威胁经济安全
网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢,遭受攻击破坏、发生重大安全事件,将导致能源、交通、通信、金融等基础设施瘫痪,造成灾难性后果,严重危害国家经济安全和公共利益。典型案例如美国东海岸发生大规模的断网事件,大半个美国的网络陷入瘫痪。世界上首例由恶意软件而引发的大规模断电事件,造成乌克兰 70 万家庭断电。黑客入侵孟加拉银行盗走支付交易凭证,通过国际银行结算系统 SWIFT 最终转出8100万美元。
3.网络有害信息侵蚀文化安全
网络上各种思想文化相互激荡、交锋,优秀传统文化和主流价值观面临冲击。网络谣言、颓废文化和淫秽、暴力、迷信等违背社会主义核心价值观的有害信息侵蚀青少年身心健康,败坏社会风气,误导价值取向,危害文化安全。网上道德失范、诚信缺失现象频发,网络文明程度亟待提高。例如一位自称上海女孩的网友发帖称,第一次去江西农村男友家过年,因一顿年夜饭难以忍受农村的贫穷落后,连夜赶回上海。这篇帖子挑起了城乡差异、地域歧视等热门话题,在网上引发轩然大波。
4.网络恐怖和违法犯罪破坏社会安全
恐怖主义、分裂主义、极端主义等势力利用网络煽动、策划、组织和实施暴力恐怖活动,直接威胁人民生命财产安全、社会秩序。计算机病毒、木马等在网络空间传播蔓延,网络欺诈、黑客攻击、侵犯知识产权、滥用个人信息等不法行为大量存在,一些组织肆意窃取用户信息、交易数据、位置信息以及企业商业秘密,严重损害国家、企业和个人利益,影响社会和谐稳定,如备受关注的“徐玉玉遭电信诈骗身亡”案。
5.网络空间的国际竞争方兴未艾
国际上争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、谋求战略主动权的竞争日趋激烈。个别国家强化网络威慑战略,加剧网络空间军备竞赛,世界和平受到新的挑战。
2017年 8月 18日,美国总统特朗普宣布美军网络司令部升格,即从目前的二级功能司令部升格为美军第十个联合作战司令部。可以预计,美方将加速此前已经纳入议事日程的跨域联合机动作战概念的持续完善,加速以俄罗斯、中国、伊朗、朝鲜为假想敌的模拟作战与推演能力的建设,加速推进积极防御、网络空间自卫反击以及国家级的网络空间威慑能力的建设。国家安全是最高意识形态的网络攻防对抗。
6.网络空间机遇和挑战并存
坚持积极利用、科学发展、依法管理、确保安全,坚决维护网络安全,最大限度利用网络空间发展潜力,更好惠及 13亿多中国人民,造福全人类,坚定维护世界和平。
比如,“互联网+”在实体经济乃至社会上下、各行各业掀起了创新的浪潮。同时需清醒地认识到,无论对于消费者、企业,还是政府监管部门,都意味着新的信息安全风险与挑战,安全风险涉及法律、制度等问题都将逐渐暴露出来。“互联网+”火热的背后暗藏潜在的风险,网络安全便是众多风险中重之又重的一方面。随着“互联网+”的推进,众多传统行业逐步数据化、在线化、移动化、远程化,同时更多消费者卷入互联网,产生的数据和信息必将呈爆炸式增长;除此之外,在物联网和物理信息系统的发展下,网络从“人”和“机”的连接延伸至“人、机、物”的连接,将产生新的自物理世界的巨量传感数据,这些数据涉及整个社会、军事及国民经济的方方面面,与国家经济发展甚至整个国家安全都息息相关,在这样的新环境下,如何保障并提升信息安全,为社会经济健康发展保驾护航,是挑战更是机遇。1.3 战略目标与原则1.3.1 五大目标
国家的总体安全观是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。《国家网络空间安全战略》提出了在总体国家安全观指导下,通过统筹国内国际两个大局和统筹发展安全两件大事的基础上,推进网络空间“和平、安全、开放、合作、有序”的发展战略目标。
和平:信息技术滥用得到有效遏制,网络空间军备竞赛等威胁国际和平的活动得到有效控制,网络空间冲突得到有效防范。
安全:网络安全风险得到有效控制,国家网络安全保障体系健全完善,核心技术装备安全可控,网络和信息系统运行稳定可靠。网络安全人才满足需求,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升。
开放:信息技术标准、政策和市场开放、透明,产品流通和信息传播更加顺畅,数字鸿沟日益弥合。不分大小、强弱、贫富,世界各国特别是发展中国家都能分享发展机遇、共享发展成果、公平参与网络空间治理。
合作:世界各国在技术交流、打击网络恐怖和网络犯罪等领域的合作更加密切,多边、民主、透明的国际互联网治理体系健全完善,以合作共赢为核心的网络空间命运共同体逐步形成。
有序:公众在网络空间的知情权、参与权、表达权、监督权等合法权益得到充分保障,网络空间个人隐私获得有效保护,人权受到充分尊重。网络空间的国内和国际法律体系、标准规范逐步建立,网络空间实现依法有效治理,网络环境诚信、文明、健康,信息自由流动与维护国家安全、公共利益实现有机统一。“和平与安全”是构建“开放、合作、有序”网络空间的前提,维持国际和平与安全是《联合国宪章》的宗旨,只有在“和平与安全”得到充分保证的前提下,才能构建“开放、合作、有序”的网络空间。互联网时代,一个和平、安全、开放、合作、有序的网络空间,对一国乃至世界和平与发展越来越具有重大战略意义。1.3.2 四项原则《国家网络空间安全战略》整体构建了维护网络空间和平与安全的“四项原则”,即“尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展”。“四项原则”以维护网络空间和平与安全为宗旨,不但反映了互联网时代世界各国共同构建网络空间命运共同体的价值取向,而且反映出互联网时代“安全与发展”为一体双翼的主潮流,集中体现了习近平在第二届世界互联网大会上提出的推进全球互联网治理体系的“四项原则”:尊重网络主权,维护和平安全,促进开放合作,构建良好秩序。
1.尊重维护网络空间主权
网络空间主权不容侵犯,尊重各国自主选择发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利。各国主权范围内的网络事务由各国人民自己做主,各国有权根据本国国情,借鉴国际经验,制定有关网络空间的法律法规,依法采取必要措施,管理本国信息系统及本国疆域上的网络活动;保护本国信息系统和信息资源免受侵入、干扰、攻击和破坏,保障公民在网络空间的合法权益;防范、阻止和惩治危害国家安全和利益的有害信息在本国网络传播,维护网络空间秩序。任何国家都不搞网络霸权、不搞双重标准,不利用网络干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动。
2.和平利用网络空间
和平利用网络空间符合人类的共同利益。各国应遵守《联合国宪章》关于不得使用或威胁使用武力的原则,防止信息技术被用于与维护国际安全与稳定相悖的目的,共同抵制网络空间军备竞赛、防范网络空间冲突。坚持相互尊重、平等相待,求同存异、包容互信,尊重彼此在网络空间的安全利益和重大关切,推动构建和谐网络世界。反对以国家安全为借口,利用技术优势控制他国网络和信息系统、收集和窃取他国数据,更不能以牺牲别国安全谋求自身所谓的绝对安全。
3.依法治理网络空间
全面推进网络空间法治化,坚持依法治网、依法办网、依法上网,让互联网在法治轨道上健康运行。依法构建良好的网络秩序,保护网络空间信息依法有序自由流动,保护个人隐私,保护知识产权。任何组织和个人在网络空间享有自由、行使权利的同时,必须遵守法律,尊重他人权利,对自己在网络上的言行负责。
4.统筹网络安全与发展
没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮。正确处理发展和安全的关系,坚持以安全保发展,以发展促安全。安全是发展的前提,任何以牺牲安全为代价的发展都难以持续。发展是安全的基础,不发展是最大的不安全。没有信息化发展,网络安全也没有保障,已有的安全甚至会丧失。
国家主权是一个国家独立自主地处理对内对外事务的最高权力,是国家的固有属性。“网络空间主权”是国家主权在网络空间的继承和延伸,必须得到各国的尊重和维护;其次,网络空间是人类共同的精神家园,“和平利用网络空间”应当在遵循《联合国宪章》倡导的主权平等原则基础上,确保网络空间在和平的环境中加以利用;再次,“依法治理网络空间”必须靠法治的力量,个人、组织、国家在网络空间行使自由的同时,必须遵守各国法律和公序良俗;最后,“统筹网络安全与发展”一定要处理好“前提”与“保障”的辩证关系,“安全是发展的前提,发展是安全的保障”。1.4 九项战略任务
为了保障网络空间“五大战略目标”的实现,《国家网络空间安全战略》提出了基于和平利用与共同治理网络空间的“九大任务”:坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作。
1.坚定捍卫网络空间主权
根据宪法和法律法规管理我国主权范围内的网络活动,保护我国信息设施和信息资源安全,采取包括经济、行政、科技、法律、外交、军事等一切措施,坚定不移地维护我国网络空间主权。坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为。
2.坚决维护国家安全
防范、制止和依法惩治任何利用网络进行叛国、分裂国家、煽动叛乱、颠覆或者煽动颠覆人民民主专政政权的行为;防范、制止和依法惩治利用网络进行窃取、泄露国家秘密等危害国家安全的行为;防范、制止和依法惩治境外势力利用网络进行渗透、破坏、颠覆、分裂活动。
3.保护关键信息基础设施
国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。
关键信息基础设施保护是政府、企业和全社会的共同责任,主管、运营单位和组织要按照法律法规、制度标准的要求,采取必要措施保障关键信息基础设施安全,逐步实现先评估后使用。加强关键信息基础设施风险评估。加强党政机关以及重点领域网站的安全防护,基层党政机关网站要按集约化模式建设运行和管理。建立政府、行业与企业的网络安全信息有序共享机制,充分发挥企业在保护关键信息基础设施中的重要作用。
坚持对外开放,立足开放环境下维护网络安全。建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。
4.加强网络文化建设
加强网上思想文化阵地建设,大力培育和践行社会主义核心价值观,实施网络内容建设工程,发展积极向上的网络文化,传播正能量,凝聚强大精神力量,营造良好网络氛围。鼓励拓展新业务、创作新产品,打造体现时代精神的网络文化品牌,不断提高网络文化产业规模水平。实施中华优秀文化网上传播工程,积极推动优秀传统文化和当代文化精品的数字化、网络化制作和传播。发挥互联网传播平台优势,推动中外优秀文化交流互鉴,让各国人民了解中华优秀文化,让中国人民了解各国优秀文化,共同推动网络文化繁荣发展,丰富人们的精神世界,促进人类文明进步。
加强网络伦理、网络文明建设,发挥道德教化引导作用,用人类文明优秀成果滋养网络空间、修复网络生态。建设文明诚信的网络环境,倡导文明办网、文明上网,形成安全、文明、有序的信息传播秩序。坚决打击谣言、淫秽、暴力、迷信、邪教等违法有害信息在网络空间传播蔓延。提高青少年网络文明素养,加强对未成年人上网保护,通过政府、社会组织、社区、学校、家庭等方面的共同努力,为青少年健康成长创造良好的网络环境。
5.打击网络恐怖和违法犯罪
加强网络反恐、反间谍、反窃密能力建设,严厉打击网络恐怖和网络间谍活动。
坚持综合治理、源头控制、依法防范,严厉打击网络诈骗、网络盗窃、贩枪贩毒、侵害公民个人信息、传播淫秽色情、黑客攻击、侵犯知识产权等违法犯罪行为。
6.完善网络治理体系
坚持依法、公开、透明管网治网,切实做到有法可依、有法必依、执法必严、违法必究。健全网络安全法律法规体系,制定出台网络安全法、未成年人网络保护条例等法律法规,明确社会各方面的责任和义务,明确网络安全管理要求。加快对现行法律的修订和解释,使之适用于网络空间。完善网络安全相关制度,建立网络信任体系,提高网络安全管理的科学化、规范化水平。
加快构建法律规范、行政监管、行业自律、技术保障、公众监督、社会教育相结合的网络治理体系,推进网络社会组织管理创新,健全基础管理、内容管理、行业管理以及网络违法犯罪防范和打击等工作联动机制。加强网络空间通信秘密、言论自由、商业秘密,以及名誉权、财产权等合法权益的保护。
鼓励社会组织等参与网络治理,发展网络公益事业,加强新型网络社会组织建设。鼓励网民举报网络违法行为和不良信息。
7.夯实网络安全基础
坚持创新驱动发展,积极创造有利于技术创新的政策环境,统筹资源和力量,以企业为主体,产学研用相结合,协同攻关、以点带面、整体推进,尽快在核心技术上取得突破。重视软件安全,加快安全可信产品推广应用。发展网络基础设施,丰富网络空间信息内容。实施“互联网+”行动,大力发展网络经济。实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用。优化市场环境,鼓励网络安全企业做大做强,为保障国家网络安全夯实产业基础。
建立完善国家网络安全技术支撑体系。加强网络安全基础理论和重大问题研究。加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。
实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。办好网络安全宣传周活动,大力开展全民网络安全宣传教育。推动网络安全教育进教材、进学校、进课堂,提高网络媒介素养,增强全社会网络安全意识和防护技能,提高广大网民对网络违法有害信息、网络欺诈等违法犯罪活动的辨识和抵御能力。
8.提升网络空间防护能力
网络空间是国家主权的新疆域。建设与我国国际地位相称、与网络强国相适应的网络空间防护力量,大力发展网络安全防御手段,及时发现和抵御网络入侵,铸造维护国家网络安全的坚强后盾。
9.强化网络空间国际合作
在相互尊重、相互信任的基础上,加强国际网络空间对话合作,推动互联网全球治理体系变革。深化同各国的双边、多边网络安全对话交流和信息沟通,有效管控分歧,积极参与全球和区域组织网络安全合作,推动互联网地址、根域名服务器等基础资源管理国际化。
支持联合国发挥主导作用,推动制定各方普遍接受的网络空间国际规则、网络空间国际反恐公约,健全打击网络犯罪司法协助机制,深化在政策法律、技术创新、标准规范、应急响应、关键信息基础设施保护等领域的国际合作。
加强对发展中国家和落后地区互联网技术普及和基础设施建设的支持援助,努力弥合数字鸿沟。推动“一带一路”建设,提高国际通信互联互通水平,畅通信息丝绸之路。搭建世界互联网大会等全球互联网共享共治平台,共同推动互联网健康发展。通过积极有效的国际合作,建立多边、民主、透明的国际互联网治理体系,共同构建和平、安全、开放、合作、有序的网络空间。
10.如何理解九大任务“九大任务”具有整体性和协同性的特征。
一是整体性。“九大任务”不是数个有关和平利用与治理网络空间规范的机械组合,而是各个相关网络空间安全治理规则的有机结合。首先,“坚定捍卫网络空间主权”和“坚决维护国家安全”是主权国家必须坚守的底线;其次,“保护关键信息基础设施”和“夯实网络安全基础”是主权国家社会稳定与国家安全的保障;再次,“加强网络文化建设”有利于扩大正能量在网络空间的辐射力和感染力;第四,“打击网络恐怖和违法犯罪”和“完善网络治理体系”是切实维护广大民群众网络合法权益,确保国家网络利益不受侵犯的根本保证;第五,“提升网络空间防护能力”是中国应对复杂网络空间挑战的基本需要;第六,“强化网络空间国际合作”是构建网络空间命运共同体的必由之路。
二是协同性。“九大任务”确立的基本任务不是各自为政、相互对立的,而是在整个战略体系中相互影响、相互作用、相互协调的。比如,从坚决捍卫国家网络空间主权和国家安全、保护关键基础设施、夯实网络安全基础,到提升网络空间防护能力、打击网络恐怖和违法犯罪等,均体现了高度的协调统一。1.5 战略意义影响深远
中国作为全球网民数量第一的网络大国和经济体量第二的经济大国,为实现国家网络空间安全提供了战略配置。“五大目标”是网络强国建设方向,“四项原则”是网络空间经略路线,“九大任务”是网络安全工作规划。《国家网络空间安全战略》的发布,成为中国从网络大国走向网络强国的标志性事件和里程碑文献。1.5.1 中国领导的中国自信
自从国家成立中央网络安全与信息化领导小组以来,国家网络空间的发展环境和治理格局发生了根本性变化。特别是提出“没有网络安全就没有国家安全,没有信息化就没有现代化”的论断,为国家空间安全战略奠定了基调。乌镇世界互联网大会上提出的四项原则是全球网络空间治理体系变革的底线,即:尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。为共同构建网络空间命运共同体提出五点主张,即:第一,加快全球网络基础设施建设,促进互联互通;第二,打造网上文化交流共享平台,促进交流互鉴;第三,推动网络经济创新发展,促进共同繁荣;第四,保障网络安全,促进有序发展;第五,构建互联网治理体系,促进公平正义。四项原则和五点主张是国家对发展大势的总体把握和准确判断,体现国家在面对新的发展机遇积极进取、敢于担当的中国自信。1.5.2 国家网络强国的战略基石《国家网络空间安全战略》将“网络安全为人民,网络安全靠人民”的服务宗旨作为核心主线。在“网络安全为人民”方面,国家提出充分保障公民在网络空间领域的合法权益,充分尊重人权,有效保护网络空间个人隐私安全,让网络发展惠及 13 亿多中国民众,加强对未成年人上网保护,加强网上思想文化阵营建设,发展积极向上的网络文化、传播正能量、营造良好网络氛围等角度贯彻“情为民所系”的群众发展路线。在“网络安全靠人民”方面,国家通过政府、社会组织、社区、学校、家庭等方面的共同努力,为青少年健康成长创造良好的网络环境;通过实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。上述措施为建设网络强国奠定坚固基石,从而全面推动生产方式、生活方式、工作方式、决策方式、管理方式等方面的变革,进而引起思维方式和观念变革,推动社会发生结构变革。1.5.3 国家网络治理的解决之道《国家网络空间安全战略》从推进全球互联网治理体系变革着手,统筹国际和国内大局,提出尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展四项原则,体现了国家治理网络的大国之道。
网络空间独立自主之道。国家提出尊重网络空间主权原则,符合《联合国宪章》确立的主权平等原则,是在网络空间方面的应用。各国在主权范围内开展网络事务管理,反对任何网络霸权和双重标准,反对任何利用网络干涉他国内政,坚决打击危及国家安全的网络活动。
网络空间互惠互利之道。独立自主并不是闭网锁国,而是要加强广泛交流与合作、推动和平开发和利用,要构建更加开放共享、互惠互利的网络空间。
网络空间依法治国之道。《中共中央关于全面推进依法治国若干重大问题的决定》指出,加强互联网领域立法,完善网络信息服务、网络安全防护、网络社会管理等方面的法规。网络空间的开放、自由更加需要依法管网、依法办网、依法上网。
网络空间科学发展之道。网络安全和信息化是成就网络强国的“一体之两翼”、“驱动之双轮”,正确处理发展和安全的关系,坚持以安全保发展,以发展促安全,才能实现网络强国之梦。1.5.4 网络空间安全的战略支撑点
网络空间安全战略已经成为国际社会共同思考的新课题,主权是网络空间安全的战略支撑点。面对网络空间的风险与挑战,需要各主权国家基于自身情况准确应对,因此需要各国依据本国国情,制定网络空间的法律法规,依法采取必要措施,管理本国信息系统及本国国土上的网络活动,保护本国信息系统和信息资源免受侵入、干扰、攻击和破坏,保障公民在网络空间的合法权益。因此,以尊重网络空间主权为战略支撑点,不仅能提升我国自身的网络强国战略,还可以促进网络空间实现平等尊重、创新发展。1.5.5 网络空间安全的中国特色
我国的《国家网络空间安全战略》与国际上其他国家发布的战略相比,既有相通之处,也体现了中国特色。
1.网络空间具有国家主权
如何管理网络空间是一个国家的内部事务,哪些信息在网络上传播,必要时采取哪些措施来管控信息在网络上的流动,对网络产品和服务进行怎么的审查,都属于行使网络空间主权的方式,他国应该予以理解和尊重。
2.网络空间安全与国家政治安全紧密相关《国家网络空间安全战略》将利用网络干涉他国内政、攻击他国政治制度、煽动社会动乱、颠覆他国政权等活动视为对国家安全的受邀威胁。因此,战略第一条就提出要坚决反对通过网络颠覆我国国家政权、破坏我国国家主权的一切行为。
3.网络安全核心技术装备、产品、服务要可控和可信《国家网络空间安全战略》提出“核心技术装备安全可控”。在战略任务中第三项提出“提高产品和服务的安全性和可控性”,第七项提出“加快安全可信产品推广应用”。通过确保使用的技术、产品、服务没有安全隐患,安全风险才能控制到最低。
4.建立网络安全审查、等级保护、风险评估、漏洞发现等安全制度和机制《国家网络空间安全战略》从国家层面配置落实一系列制度和机制来建立国家网络安全防御体系,建立完善国家网络安全技术支撑体系。做好网络安全审查制度、较为完善的等级保护、以网络执法大检查的风险评估、解决网络安全根本性问题的漏洞发现等工作,完善网络安全监测预警和网络安全重大事件应急处置机制。
5.网络空间的和平利用和合作《国家网络空间安全战略》提出,要深化同各国的双边、多边网络安全对话交流和信息沟通,有效管控分歧,积极参与全球和区域组织网络安全合作,推动互联网地址、根域名服务器等基础资源管理国际化。推动制定各方普遍接受的网络空间国际规则、网络空间国际反恐公约,健全打击网络犯罪司法协助机制,深化在政策法律、技术创新、标准规范、应急响应、关键信息基础设施保护等领域的国际合作。
6.支持鼓励企业创新发展《国家网络空间安全战略》提出,掌握大量信息和网络资源的企业要尽责和政府一起保护好国家关键信息基础设施,要尽快在核心技术上取得突破,要做大做强,国家会继续加大相应措施和举措力度,力争在国际上能对等竞争。
7.加强对关键信息基础设施的保护《国家网络空间安全战略》提出14个属于国家关键信息集成设施的大行业领域,即:公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统(如阿里巴巴、腾讯、百度)等。采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。对于关键信息基础设施的保护,国家还会出台系列细则。
8.夯实网络安全基础
从创造创新政策环境、优化市场环境、实施国家大数据战略、完善国家网络安全技术支撑体系、实施网络安全人才工程、办好网络安全宣传周活动提高全民网络安全意识等方面,夯实网络安全基础。第2章 网络安全法
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。2015年7月6日至8月5日,该草案面向社会公开征求意见。2016年6月,第十二届全国人大常委会第二十一次会议对草案二次审议稿进行了审议,随后将《中华人民共和国网络安全法(草案二次审议稿)》面向社会公开征求意见。10月31日,网络安全法草案三次审议稿提请全国人大常委会审议。2016年11月7日,十二届全国人大常委会经表决高票(154票赞成、0票反对、1票弃权)通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)。作为我国的网络安全基本法,《网络安全法》是网络安全领域“依法治国”的重要体现,对保障我国网络安全有着重大意义。《网络安全法》共七章七十九条,2017年6月1日起正式施行。2.1 立法背景与意义
1.立法背景“没有网络安全就没有国家安全”。网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题。网络已经深刻地融入了经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。
党的十八大以来,以习近平同志为核心的党中央从总体国家安全观出发,对加强国家网络安全工作作出了重要的部署,对加强网络安全法制建设提出了明确的要求,制定《网络安全法》是适应我们国家网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。中国是网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全保障水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。
在这样的形势下,制定网络安全法是维护国家广大人民群众切身利益的需要,是维护网络安全的客观需要,是落实国家总体安全观的重要举措。
2.立法意义《网络安全法》是国家安全法律制度体系中的一部重要法律,是网络安全领域的基本大法,与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶。《网络安全法》对于确立国家网络安全基本管理制度具有里程碑式的重要意义。《网络安全法》是落实国家总体安全观的重要举措。“没有网络安全就没有国家安全,没有信息化就没有现代化。”《网络安全法》是适应我国网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措。《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求,有助于推进与其他国家和行为体就网络安全问题展开有效的战略博弈。《网络安全法》助力网络空间治理,护航“互联网+”。《网络安全法》的出台将成为新的起点和转折点,公民个人信息保护进入正轨,网络暴力、网络谣言、网络欺诈等“毒瘤”生存的空间将被大大挤压,而“四有”中国好网民从道德自觉走向法律规范,用法律武器维护自己的合法权益,为“互联网+”的长远发展保驾护航。《网络安全法》完善了网络安全义务和责任。《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定。2.2 基本内容2.2.1 相关概念
为了统一术语,《网络安全法》给出了相关概念。
1.网络
网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
2.网络安全
网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
从这个概念来讲,网络安全包括传统的网络安全、数据安全,是范围更大的网络安全,更加侧重网络运行安全、信息安全。
3.网络运营者
网络运营者是指网络的所有者、管理者和网络服务提供者。
网络运营者是网络安全法中非常重要的概念,是关键义务主体或核心义务主体,出现31次。如几大电信运营商、BAT等企业以及国家机关中的网络执法部门都属于网络运营者的范畴。同时,关键信息基础设施也是一种网络运营者。《网络安全法》去掉了草案中关于“包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等”的规定,可能考虑到在互联网飞速发展的现今,对于“网络运营者”这一概念只规定内涵而对其外延采用开放的描述方式,似乎是一种更聪明也是更合乎时宜的做法。需要注意的是,是否被认定为“网络运营者”主要取决于企业是否成为了网络信息系统的所有者和管理者,以及企业的业务是否提供了各类网络服务,特别是互联网信息服务。
4.网络数据
网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。
5.个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
从定义中可以看出,网络安全法中个人信息多侧重自然人的信息,对虚拟人的信息如用户名、密码、IP、MAC、上网时间、Cookies 等信息还没有明确定义。个人信息不同于个人数据、个人隐私,自然人的健康、犯罪、私人等活动信息,网络安全法中并没有提到。
6.关键信息基础设施
国家需要对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施进行保护。《网络空间安全战略》中进一步明确,公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统(如阿里巴巴、腾讯、百度)等 14 个大行业领域属于国家关键信息基础设施。《关键信息基础设施安全保护条例(征求意见稿)》中对关键信息基础设施范围进行了更具体的界定。下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。2.2.2 法律框架《网络安全法》全文共七章七十九条,包括:总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。从主体对象角度,可将各条款分为10大类。
1.网络安全法的目标和范围
第一条:网络安全法的目的。
第二条:网络安全法的管辖权。
2.国家角度
第三条:网络安全法的原则、方针、实现路径。
第四条:解决顶层设计问题。
第五条:国家采取多种手段保护网络安全风险和威胁,解决行业力量不足问题。
第六条:构建网络安全的良好环境。
第七条:网络空间治理的国际合作态度。
第八条:赋予国家相关部门网络安全的监督职责。
第十二条:国家保护公民、法人和其他组织依法使用网络的权利,同时履行义务。
第十三条:未成年人保护。
第十四条:保护举报人的合法权益。
第十五条:国家强化标准体系建设。
第十六条:国家加大投入,解决投入不足问题。
第十七条:建设网络安全社会化服务体系。
第十八条:鼓励和支持创新。
第十九条:网络安全宣传教育。
第二十条:促进网络安全人才培养。
3.网络用户角度
第十一条:行业组织规范和自律。
第十二条:权利和义务。
第十四条:有权对网络安全违法行为进行举报。
第二十六条:开展安全认证、检测、风险评估,发布的网络安全信息应遵守国家规定。
第二十七条:违法网络安全的范围定义。
第二十九条:情报交换和风险评估。
第四十六条:严禁网络犯罪。
4.网络运营者角度
第九条:遵纪守法、履行义务、接受监督、承担责任。
第二十一条:实行网络安全等级保护制度。
第二十四条:实名制要求、网络身份认证,贯彻落实真实身份的用户服务
第二十五条:网络安全事件的应急处置和报告。
第二十八条:提供合法的侦查协助。
第四十条:建立用户信息保护制度。
第四十一条:强化个人信息保护,收集使用个人信息要合法、正当、必要。
第四十二条:个人信息保护责任,不得泄露、篡改、毁损。
第四十三条:要合理合法支持个人删除权和更正权。
第四十四条;不得窃取、非法获取、非法出售个人信息。
第四十七条:具有违法信息传播的阻断义务。
第四十九条:建立投诉、举报制度。
第五十六条:较大安全风险或者安全事件的约谈。
5.关键信息基础设施的运营者角度
第三十一条:定义,落实国家等级保护制度,突出保护重点。
第三十二条:工作规划、实施安全保护工作。
第三十三条:建设三同步原则。
第三十四条:关键信息基础设施运营者的义务。
第三十五条:网络产品和服务的采购,应通过国家安全审查。
第三十六条:采购网络产品和服务,应签订保密协议。
第三十七条:个人信息和重要数据应境内存储。
第三十八条:每年至少一次风险评估。
6.网络产品和服务提供者角度
第十条:网络安全和数据安全的要求。
第十六条:加大投入、知识产权保护、支持国家网络安全技术创新项目。
第十七条:支持网络安全认证、检测和风险评估等安全服务。
第十八条:网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。
第二十一条:网络安全等级保护制度。
第二十二条:产品服务的强制性准入要求和义务。
第二十三条:网络关键设备和网络安全专用产品的强制性认证或检测。
第三十五条:网络产品和服务需通过国家安全审查。
第三十六条:产品和服务的保密协议。
第三十七条:境外数据传输需进行安全评估。
第三十八条:开展风险检测评估工作。
第四十八条:电子信息发送和应用软件下载的安全。
7.国家网信部门角度
第八条:统筹协调网络安全工作和相关监督管理工作。
第十四条:具有对危害网络安全行为举报的处置权利。
第二十三条:主导安全专用产品目录、安全认证、安全检测工作。
第三十条:赋予获取维护网络安全的各种信息的权利。
第三十五条:主导国家安全审查。
第三十七条:主导数据境外传输的安全评估工作。
第三十九条:统筹协调关键信息基础设施的安全风险检测、安全应急演练、网络安全信息共享。
第五十条:违规违法信息的处置、阻断的权利。
第五十一条:统筹协调网络安全监测预警和信息通报工作。
第五十三条:协调建立网络安全风险评估、应急工作。
第七十三条:对第三十条的约束、权利约束。
8.有关部门角度
第八条:赋予网络安全保护和监督管理职责和权利。
第十四条:保护举报人的合法权益。
第十五条:组织制定产品、服务和运行安全的国家标准、行业标准。
第十九条:组织、指导、督促网络安全宣传教育。
第二十三条:制定、公布安全产品目录、开展安全认证和安全监测工作。
第三十条:赋予获取维护网络安全的各种信息的权利。
第三十五条:在网信协同下开展国家安全审查。
第三十七条:在网信协同下开展安全评估。
第三十九条:配合做好网络安全信息共享。
第四十九条:对网络运营者依法实施监督检查。
第五十条:违规违法信息的处置、阻断的权利。
第五十一条:建立网络安全监测预警与信息通报制度。
第五十三条:建立网络安全风险评估、应急工作机制。
第五十四条:开展网络安全风险监测和评估。
第五十六条:省级以上人民政府有关部门可以启动安全事件约谈。
第六十九条:违反有关部门要求,可以进行处罚。
第七十三条:对第三十条的约束、权利约束。
9.公安部门角度
第八条:赋予网络安全保护和监督管理权利。
第十四条:举报处置权利。
第二十八条:侦查协助制度。
第六十三条:第二十七条网络犯罪的处罚权利。
第六十四条:第四十四条个人信息违法的处罚权利。
第六十七条:第四十六条违法网站、通信群组、违法信息发布违法的处罚权利。
第六十九条:不提供侦查协助的单位的处罚。
第七十四条:境外违法的制裁措施。
10.个人信息角度
第二十二条:个人信息收集必须明示并取得用户同意,并遵守相关法律法规。
第三十七条:个人享有信息的数据主权。
第四十一条:个人信息的使用和收集必须合法、正当、必要。
第四十二条:不得泄露、篡改、毁损其收集的个人信息。
第四十三条:个人具有信息的删除权和更正权。
第四十四条:严禁个人信息的非法获取、非法出售和提供。
第四十五条:安全监管部门必须对个人信息进行保密。
第六十四条:违反个人信息的处罚。
试读结束[说明:试读内容隐藏了图片]