关键词:互联网;文化安全;治网机制
中图分类号:C913.5文献标志码:A文章编号:1002-2589(2015)26-0073-02
随着网络时代信息技术发展为核心的新媒体时代的到来,全球思想文化交流交锋变得更加频繁和激烈。对一个国家而言,文化安全威胁也变得日趋复杂。基于此,探讨网络背景下我国的文化安全问题具有重要的理论和实践意义。
一、文化安全及其重要性
1992年联合国发表的《人类发展报告》中就提到文化安全,并将其视为人类的一项基本权利,文化安全也是我国重大的战略问题。从外部讲,文化安全是指可以独立自主地选择政治制度和社会管理制度,不受其他强势外来文化和恶意文化侵害攻击和损害,防范通过互联网新媒体技术进行的文化渗透;从内部来讲,文化安全是指在信息技术、网络技术、数字化技术快速发展的新媒体时代,我国优秀的文化以及长期形成的道德、精神、信念等不被自己淡化,不被他人颠覆,能够继续保持和延续固有的价值理念、意识形态、民族特性以及文化特质。
文化是民族的血脉,是人民的精神家园,是一个国家和民族兴旺发达的基础,是国家综合国力的重要组成部分。一个国家和民族要想立于世界民族之林,文化的安全性、文化的世代传承和不断创新是前提。而互联网时代的到来,使得国家与民族文化的相对封闭区域被打破,各种异质文化蜂拥而至,文化的安全、存续与发展,文化的影响力和吸引力等难免面临着新的环境和挑战。
在当前互联网背景下,维护我国文化安全具有现实性和紧迫性。截至2015年,我国有将近十亿的互联网和手机用户,他们每天都在接收和处理着海量的数据信息。互联网等新的媒体已成为社会公众日常生活不可或缺的部分。互联网和各种新媒体的广泛应用及其特点,导致我国文化安全面临着前所未有的威胁和挑战。
首先,网络上消极庸俗文化的盛行将削弱我国传统优秀文化的地位。传统优秀文化是中华民族薪火相传的标志,是民族精神和民族特征的名片,是熔铸在中华民族血脉中的文化因子,是深刻影响中华民族思维方式、内心世界、日常生活和视听言行的最重要因素,是民族发展的强大精神动力和精神财富,其地位必须维护。但是,历史发展到今天,我们必须看到,网络作为虚拟世界,打破了文化传播的传统时空概念,新的网络空间既是信息传播的平台,又是信息传播的区域。各种庸俗文化的网上流行和盛行,对民族传统文化形成了不小的冲击。
其次,网上各种错误的政治观和负面价值观的大行其道对我国主流意识形态形成了现实的冲击。马克思主义意识形态是正确的世界观和方法论,是我国的主流意识形态,是我党我国的指导思想,其地位不能动摇。但是网络上各种反马克思主义的错误思潮、观点以及各种非马克思主义价值观的大行其道,削弱了马克思主义意识形态的主导地位,搞乱了人们的思想,使得社会正能量缺失,对我党意识形态的领导权、话语权和管理权,构成了严峻的挑战。
再次,国外敌对势力推行的文化霸权主义和网络渗透,对我国的文化安全构成了威胁和挑战。随着社会主义中国的崛起,国民财富一跃成为世界第二,西方敌对势力的心理更加失衡,他们更加紧了对社会主义的经济战和文化战。他们的主要手段是通过网络大肆推行文化帝国主义和文化侵略,肆意宣传资本主义的政治观和价值观以及生活方式,借以攻击和抹黑社会主义文化,消解我国的文化软实力,动摇民众中国道路、中国精神的心理认同和价值认同,危害我国的社会稳定和长治久安局面。
最后,网络的难以监控性,也使得文化安全的维护具有难以克服的管理漏洞和“技术漏洞”。网络是个跨越国界,没有统一法律管控的虚拟世界,网络主体具有隐匿性、互动性和变动性大的特点,这使得管理者对不良信息的和传播难以监控和杜绝,为文化安全性留下了隐患。
二、网络背景下我国面临的主要文化安全问题
(一)政治文化安全
1.意识形态安全
在意识形态领域,以美国为首的西方世界一直将中国视为强劲的对手和攻击的目标。美国不断地输出他们的文化产品,对我国的意识形态、价值观和政治制度进行渗透,使得西方的生活方式、消费方式和资本主义观念持续对我国造成影响。国外敌对势力往往通过隐蔽的手段,如门户网站、虚拟社区论坛、视频网站等方式揭露中国社会的阴暗面、夸大政府政策的失败程度、大肆攻击党和政府、试图制造社会动荡,同时与“持不同政见者”“民族分离主义者”相互勾结引起人们的同情,达到其不可告人的目的。
2.政治制度和社会管理制度安全
制度安全是党掌握政权和治理国家的前提和重要保障,维护政治安全和社会稳定,促进国家有序发展是我国一贯的目标。一般地说,得到本国人民的认同和肯定是国家制度安全的根本。而新媒体的出现,使得西方国家获得了最方便快捷的信息传播通道,美国依靠强大的数字技术和网络技术优势,不断突破我国的网络审查技术的层层封锁,向我国民众不断宣传所谓的“自由民主的政治体制”“自由的市场经济制度”“个人主义的山巅之国”“优越的美式生活方式”等价值观念,试图降低人民群众对国家制度的认同感和自信心。
(二)宗教文化安全
宗教文化安全有利于我国宗教文化体制的稳定和政治文化的安全,有利于社会整体的平衡和稳定。而美国为首的西方世界试图利用基督教来冲击我国的主流意识形态,他们传播教义,发展信徒,越来越成为分化、西化我国的工具。同时,组织也利用我们开放的社会环境大肆入侵,不断制造矛盾,动摇民众的社会主义信仰,企图分裂我们的社会。
(三)民族文化安全
网络背景下,我国的民族文化安全主要表现在西方势力的不断弱化和西方文化的同化。近代以来,西方资本主义工业的发展使得西方文明在全球范围内一度领先并占据着重要的话语权,一切以西方为标准成了人民的普遍共识,西方媒体更是借助无孔不入的新媒体手段不断加强西方价值观对人们生活方方面面的渗透,强化人们的价值判断标准,以达到弱化中国民族自身文明的认同感。同时,西方文明中的快餐文化、简单暴力美学、腐朽腐败思想也不断消耗着国人的思想,使得中华上下五千的优秀文明逐渐被消解着。
(四)语言文字安全
汉语是中华民族的文化符号,是亿万中华儿女的精神与思维的外化。网络背景下,意识形态的多元化导致人们形为的多元化,乱用汉语现象层出不穷,错别字、谐音字、象形字成了时下的流行语,这给中华民族语言文字的纯洁性和规范性带来了灾难性的破坏。同时,英语正在挤占着汉语的使用空间,英语的侵略在电视广播、科技信息、互联网资源等等方面无处不在,这些必须引起我们的高度重视。
三、维护我国文化安全的对策
(一)践行社会主义核心价值观,巩固社会主义文化主体地位
社会主义核心价值观是社会主义意识形态的本质体现,是我们抵御西方国家文化渗透,应对国内极端分离主义势力与组织的文化侵袭的有力思想武器。践行社会主义核心价值观,维护我国文化安全,可从两方面入手:其一,坚持马克思主义意识形态主导地位不动摇。要以社会主义核心价值观为评判标准,坚决抵制危害我国文化安全、威胁马克思主义意识形态一元主导地位的思想观念。同时加强马克思主义的自我完善与发展,巩固社会主义文化主体地位。其二,增强社会主义文化的影响力与感染力。要充分利用新媒体在文化传播过程中高效、开放的特点,强化社会主义文化的宣传工作,将新媒体作为传播社会主义文化的新阵地。
(二)发展文化产业,提升我国文化软实力
随着现代通信技术的迅猛发展,文化产业的外延也在不断地拓展,网络电视、新媒体等新兴文化产业形态不断出现。以数字信息技术为核心要素的新兴文化产业虽然出现时间不长,但其在发展态势与市场份额方面却有着不俗的表现,并在文化传播领域起到越来越重要的作用。因此,我们必须顺应这一发展潮流,把握新兴文化产业的发展规律,加快推进新兴文化产业发展,占据文化传播的制高点,掌握文化传播的主动权。
(三)构建技术治网机制
强化技术手段对不良信息的过滤,加快互联网防火墙与计算机防病毒软件的建设与升级。要加快信息监管与过滤技术的研发,对低俗、反动等不良或有害信息进行过滤并及时阻断其传播。同时,对有害信息的来源进行倒查与追踪,从而实现有害信息的源头定位与治理。2013年6月被斯诺登揭露的“棱镜门”事件震惊了世界,也为我国的互联网安全敲响了警钟。因此,必须要积极建构互联网的信息关口,保证我国的信息安全,确保我国社会主义文化不受侵袭。
(四)坚持依法治理网络
法律是维护我国文化安全的利器。由于网络传播具有隐蔽性强、覆盖面广的特点,单纯的技术管控不可能实现对于网络空间的无死角覆盖,因此,通过法律规范的进一步完善,为新媒体传递信息的行为划定范围与边界,是维护我国文化安全一种行之有效的方式。所以,要加快互联网综合法律的出台,使各个网络主体明确自身所拥有的权利与义务,自觉规范自己的言行,使之不逾越法律的界限。同时针对特定网络现象出台专门法律,对网络失范行为形成威慑,减少精神暴力行为或抹黑社会主义文化的谣言在网络中蔓延传播,从而为营造绿色、健康的网络环境提供保障。
参考文献:
自2006年以来,NetEvents已成为媒体、分析师、软硬件厂商、电信运营商、数据中心提供商、系统集成商、IT渠道商共同探讨网络与通信领域技术创新的盛会。
在旧金山湾区萨拉托加市的小山之巅,来自全球的媒体和分析师,俯瞰硅谷,坐而论道。起于计算领域的云计算浪潮,正在席卷网络与通信领域,软件定义网络(SDN)成为峰会最热的词汇。
软件定义已成潮流
“IT产业经历了三次浪潮。第一次是以主机、终端为主,拥有数百万用户和数千种应用;第二次是以PC、客户机/服务器、局域网/互联网为代表,拥有数亿用户和数万种应用;我们正在经历的第三次浪潮,是以云或软件定义数据中心、移动、社交、大数据为特征,拥有数十亿用户和数百万的应用。”VMware首席网络架构师马丁·卡萨多在开幕式主题演讲中表示。
卡萨多被媒体列为变革互联网基础设施的十大创新者之首。2006年还是斯坦福大学博士生的卡萨多便提出了OpenFlow,立志通过软件定义网络来颠覆网络架构。
在对硬件定义的数据中心与现代SaaS数据中心进行比较时,卡萨多表示,前者采用专有网络、专有存储与专有x86进行垂直整合,构成硬件定义数据中心平台,其上运行各种应用。而后者采用可选的IP网络、可选的存储和可选的处理器,构成软件定义的用户定制平台,其上运行特定的用户应用。
卡萨多认为,软件定义的数据中心优势显著:数据中心的核心智能在软件一侧,核心技术在应用与平台之中,在整个堆栈中实现高灵活性和用户选择,创新速度以数月计,由服务提供商主导,成本较之硬件定义的数据中心至少低一个数量级。相形之下,硬件定义的数据中心则是核心智能在硬件一侧,核心技术在ASIC(专用集成电路)之中,既无灵活性,用户也无法选择,创新以数年计,由供应商主导。
451研究集团专注于IT创新对企业级市场影响的研究。其董事总经理西恩·哈克特(SeanHackett)认为,传统的网络结构严重制约了数据的处理规模和虚拟机的数量,要解决这一瓶颈问题,要么把现有的网络功能迁移到运行在外部物理网络的软件上,要么对现有物理网络进行根本性的改变。软件定义数据中心带来的技术拐点,将给网络带来重大的转变。
应对SDN带来的挑战
尽管SDN具有显著的优势,但也带来诸多挑战。
“SDN可以给业界带来种种好处,但SDN还处于发展初期。这将是一个复杂的过程,犯错在所难免,而且这一进程需要大量的投资。因此充分认识SDN带来的挑战,选择正确的实施路径十分重要。”Dell’Oro集团副总裁新梅田警告说。位于硅谷的Dell’Oro集团专注于网络与电信业的市场研究。
谈及SDN带来的技术挑战和特点,哈克特认为主要来自以下几点:一是整合,现代数据中心网络规模之大难以想象,面对各种历史标准、设备和网络端口,必须强化网络的管理能力;二是多租户增加了在大型数据中心上的独立活动,这些租户的数量远远超过了传统网络架构所能支持的虚拟网络的数量;三是各种应用使得数据流更加复杂;四是商用服务器的性价比快速提升,单位面积计算能力将会加速提高;五是混合云架构需要与客户现有网络透明集成。
记者在峰会上看到,IBM、惠普等企业纷纷给出自己的应对策略。
IBMSDN全球销售与业务拓展主管查理斯·佛兰德(CharlesFerland)介绍说,IBM在其计算、存储和网络设备之上基于Openstack构建了软件定义解决方案。在软件定义计算上,IBM提供可供选择的Hypervisor虚拟化平台、卓越的性能与高可扩展性,以及丰富的虚拟化功能设置。在软件定义存储上,IBM提供先进的分层、迁移和压缩服务,领先的存储虚拟化,以及用于大规模扩展的弹性存储软件;在软件定义网络上,提供多平台网络虚拟化、OpenFlow和OpenDaylight能力、跨虚拟交换机与光纤的统一控制。此外,IBM还提供资源智能管理软件。
惠普网络事业部全球产品线管理副总裁多姆·王尔德(DomWilde)表示,惠普的应对策略就是简化网络。而简化网络的关键在于提高开放性。高开放性意味着客户拥有更多选择和惠普成本的下降。惠普是OpenStack的第二大贡献者,惠普的云操作系统战略就建立在OpenStack之上。惠普长期致力于推动SDN相关的开放系统的发展。作为IT供应商,惠普看到用户面临的新的挑战是,如何从他们原有的平台进化到现有的平台。
云安全新思路
信息安全问题始终与软件结伴而行。当网络开始由软件定义之时,也就意味着新的信息安全挑战随之而来,而且来得更为复杂。
NSSLabs是全球知名的信息安全与咨询公司,其云与虚拟化测试总监艾本·罗德里格斯(IbenRodriguez)认为,由SDN带来的信息安全挑战主要来自于分布式数据的安全控制、云隐私权,数据,数据静态加密与加密算法,密钥管理,地理位置和网络路径的选择、审计、测试,云提供商与第三方供应商,大数据分析,供应链管理,网络功能虚拟化安全功能等方面。
专注于云安全的稳捷网络(WedgeNetworks)创始人兼CEO张鸿文,给出了云安全的挑战与对策:
其一,云内安全。云中的访问管理和用户身份识别至关重要。这不仅仅是防止数据窃取,而且基于云的机器对机器(M2M)通信和物联网,要求分配只访问由现有合同协议与云信息供应商所涵盖的设备。再有就是分布式拒绝服务(DDoS)攻击流量应该在进入目标虚拟机之前被过滤。
其二,云网络安全,无论云内的操作如何安全且高效,如果云之间或用户与云之间的数据传输安全得不到保障,最终也难以保障安全。通过分离控制层和数据层,SDN使网络结构更加灵活。更重要的是使用诸如速率限制、事件过滤、丢包和超时调整等技术保护控制层防止恶意访问和攻击。
其三,隐私问题,这方面云数据审计需要高效,易于实施,并且必须同时保护被审计数据的隐私。
其四,云安全管理,云安全管理由基于云的集中、一致和灵活的管理取代了传统、复杂、往往效率不高的分布式安全管理。这种“安全即服务”建立在云的无缝检测、管理和监测解决方案上。
张鸿文认为,软件定义网络安全(SDNS)是一个基本的新范式,它充分利用了最新的网络虚拟化和SDN技术。数据流量被虚拟化以传输到云中,并通过虚拟化的网络安全功能进行操作。
云带来多样化创新
云与软件定义网络将不仅深刻地改变信息产业,也将深刻地影响到企业用户。
UBM技术公司云连接总经理史蒂夫·卫理(SteveWylie)通过调查给出了云对企业市场的影响。他表示,企业在云解决方案、服务上投入不菲。在接受调查的企业中,58%的企业的投入超过其IT预算的10%;56%的企业将云作为差异化的竞争优势,以形成卓越经营并加速创新,并认为基于云来构建战略将会加速企业成长;安全依旧是企业采用私有云的主要原因,2/3的企业认为私有云比公有云有更高的安全性;缺乏专家成为制约私有云发展的关键因素,2/3的企业认为缺少内部技能和专家阻碍了企业实施私有云;基于标准的基准测试将会加速云市场的成熟。
有趣的是,调查还显示,CIO在云浪潮下将会收复失地。卫理说,当云上升为企业战略时,企业认为需要CIO的积极参与。
基于云和SDN,戴尔提出了软件定义企业的概念。戴尔认为,软件定义的企业由软件定义的数据中心和软件定义的桌面与接入两部分构成,前者提供IaaS、SaaS和汇集服务等软件定义的服务,后者通过VDI(虚拟化桌面基础设施)为用户提供客户端的服务和接入。
1.申论考试,与传统作文考试不同,是对分析驾驭材料的能力与对表达能力并重的考试。
2.作答参考时限:阅读资料功分钟,作答110分钟。
3.仔细阅读给定的资料,按后按申论要求依次作答,答案书写在指定位置。
二、资料
“五一”长假期间,中美爆发网络大战,数万网络黑客,透过虚拟空间竞相角逐,数千家网站被黑。目前,这场网络之战仍然如火如茶,究竟鹿死谁手,中国胜算几何,此役到底对未来战争有何影响,网络战争是否已经爆发……本报记者带着诸多读者关心的问题,采访了著名军事专家、国防大学军事与装备教研室主任张召忠教授。
记者:您曾经对网络战争做了许多描述。从您的视角来看,中国黑客在这场网络大战中有哪些值得肯定的地方?
张召忠:历时7天的“五一”中美网络大战具有极其重要的意义。它不仅揭开了信息时代网络战争的序幕,把一个活生生的现代战争样式呈现在网民面前,而且在实战中创新了不少战法,积累了诸多经验,扩充了黑客队伍,磨炼了网络战意志,在世界网民面前展示中国网民的聪明和才智,让那些在信息技术上领先于中国几十年而不可一世的网络贵族们胆战心惊,人人自危,惶惶不可终日。
从动机来看,中国网络黑客虽然兵出多家,盟规各异,但基本都是针对中美撞机事件、美国对售和中国大使馆被炸两周年等事件而发泄义愤,体现了高度的使命感、责任感和爱国主义豪情,对于这样的动机和出发点是值得保护和称赞的。从网络大战的性质来看,属于自卫反击作战,是在遭受对方黑客强攻的情况下,被迫进行自卫反击的一种行为。
记者:像中美之间进行的这种网络战如果任其发展下去,是杏会引起更大的混乱,是否会诱发真正的战争,是否会导致周家瘫痪呢?
张召忠:网络和信息好比是人的神经中枢系统,人体的各个部位都依赖于这个神经中枢的指挥和控制,如果这个指挥部出了毛病,一切都会乱套。所以,随着时代的发展,网络和信息越来越重要,与人们的生活联系越来越紧密,摧毁、袭击和破坏这样的网络体系,就如同制造污染、破坏公共秩序一样对人们的生活造成危害。有的黑客是想对美国政府和军队网络系统进行攻击,由于此类网络系统在硬件上是独立的,通常不会与因特网进行硬连接,所以即便是黑客高手也难以攻克此类网站。因此,实际上网络攻击战的目标全部是民用网站,既然攻击民用目标被视为非法,所以无论是国际法还是国内法对网络破坏行动都是禁止的。我们都应该认识到,安全是共同的,秩序需要大家共同来维护。
记者:既然如此,您认为中美两国政府应当对中美网络大战采取什么样的态度和措施比较恰当呢?
张召忠:我个人认为,中美两国政府都不会擅自支持和默许此类网络攻击行为,因为这样的行为既不利于中美两国关系的发展,又不符合两国的国家利益,而且还严重违反相关条约和法规。对于进行网络攻击的黑客,一方面要给予肯定,因为他们的精神和动机是好的;一方面要进行法制教育,使他们认识到网络攻击的后果是严重的,是很容易伤及无辜的。战争永远都不是不受限制或超越限制的,任何战争和进攻行动都受政治和法律的约束。所以,每一位公民都应该自觉地在法律的约束下行动,超越了这种行动就应该接受法律的制裁。
记者:既然网络黑客的破坏手段不断更新,我们就应该加强信息和网络安全,如果在这方面多做一些工作,是否就可以避免一些损失呢?
张召忠:中美网络大战中,可谓两败俱伤。在攻击美国网站的同时,诸多中国网站也遭到程度不同的破坏,而且总的损失可能要远远大于美国。总的看来,美国黑客的攻击相当有组织,专业水准高,技术先进而且效率明显。
网络安全已经不再是一个新鲜话题,也绝对不是此次网络大战之后才诱发出来的一个新课题,几乎随着网络的出现就已经引起人们的高度关注。在这方面,我们必须注意三个问题:
安全与不安全是相对的,不要追求绝对的安全。事物发展都是辩证的,没有绝对的东西。在我们享受计算机和网络带给我们巨大的方便和快捷的时候,安全问题随之而涌现出来:于是有人就喋喋不休地抱怨,怪这怪那,似乎一切都归罪于信息科技的发明,甚至归罪于网络黑客的捣乱。其实,安全与不安全都是相对的。所以,我们不能为了追求绝对安全而放弃使用计算机和网络,应该在最大限度使用高科技的同时;加强信息安全。消除不安全因素的关键,是加大自主知识产权的创新力度;我们经常听说美国、中国、欧洲哪个国家遭到网络攻击或者黑客破坏,但很少听说俄罗斯的网站遭到破坏。因为俄罗斯一切都强调自力更生,宁愿不使用,也不引进美国的信息产品。这种办法也的确是够绝的,一般国家都做不到。我个人的观点认为,适当引进信息技术产品是需要的,但关键部门的使用要格外警惕,特别是计算机硬件、软件、网络路由器和服务器一定要争取自主研制,不能随便将机密
以上的信息资料存储于这类平台之上,否则难以保证信息安全。但是,对于民用计算机和网络产品,大量引进和使用并无不当,只要加以注意,装个防火墙或者防毒软件就可以了,不必搞得人人自危,风声鹤唳。
广泛利用和推广黑客实战经验和研究成果,以毒攻毒。黑客自有黑客的道理;只要规范其行动,就可以发扬其优势,使之为国效力。应该看到,这些黑客奋战在国际网络战争的第一线,远比那些只会动口、不会动手,只会嚷嚷网络而不会进行网络攻击的战略家和理论家强得多,如果通过合理机制和措施,最大限度地发挥这些人的作用,使之地下与地上相结合,定会迅速提高我国的信息安全水平。去年克林顿把黑客高手请进白宫,共商网络安全大计,难道我们不可以以此为例,大行发掘黑客特长之道吗?
此外,黑客高手们在实战中验证的技术也可转化为信息网络安全产品,逐渐培育和形成信息安全产业,以便为中国的网络防御和信息安全提供坚实的盾牌。
记者:您曾经在《谁能打赢下一场战争》中对怎样打赢未来战争做过预测和分析,你能否结合网络战争做些预测,看谁能打赢未来的网络之战?
张召忠:中美网络大战正在如火如茶地进行,究竟鹿死谁手,中国胜算几何,很难预料。不过,在网络作战胜负输赢问题上,有两个原则值得我们关注:
网络战争与传统战争的关系。大凡谈到“战”、“战争”之类的词,人们一般都与军人和军队联系起来。网络战也带有这样的意思,不要那么认真地用传统战争的概念来套用网络战,网络战只是黑客们在虚拟空间中进行的一种竞技性运动,和我们传统概念的战争是两码事。
网络战争胜负输赢的标准问题。应该看到,在信息和网络问题上,中国不仅比美国落后,而且差距比较大;在信息和网络安全问题上,我们必须有强烈的忧患意识和危机感,因为自己的家里安装的都是美国人的锁,连钥匙都是人家给配好了的,不信看看你自己的奔腾芯片、微软的平台,不要说几个黑客高手,几十、几百个也绝对不可能搞垮美国!网络战争是一体化较量,是综合国力的较量,篡改几个网站的页面很容易,要想攻击国防部网站就难一些,要钻进五角大楼的数据库,盗取核控制机密,冒充美国军方高层指挥员给作战部队下达命令简直是难于上青天,要想摧毁和瘫痪美军的数据链路,隔断美国地面与太空的联络信道,阻绝各军兵种联
合作战的网络空间就更是难上加难。一个一个黑客进行单打独斗和散兵游勇式的在网上乱黑一通,不可能在短期内解决类似的技术难题。
谁能打赢未来网络战争呢?我想,未来战争的胜利者属于那些具有忧患意识和超前思维的智者。谁能预测未来,谁就能把握未来和控制未来,谁也就能够赢得未来。但愿我们能够成为未来网络战争的胜利者。(摘自《北京青年报》)
二、申论要求
1.请用不超过150宇的篇幅,概括出给定资料所反映的主要问题。
2.以国务院政策研究室工作人员的身份,用不超过350字的篇幅,提出解决给定资料所反映问题的方案。要有条理地说明,要体现针对性和可操作性。(30分)
3.就给定资料所反映的主要问题,用不1200字左右的篇幅,自拟标题进行论述。要求中心明确,内容充实,论述深刻,有说服力。(50分)
四、参考答案
1.答案提示
“五一”长假期间,中美爆发网络大战,数万网络黑客,透过虚拟空间竞相角逐,数千家网站被黑。记者就此采访了著名军事专家、国防大学军事与装备教研室主任张召忠教授。张教授认为:中国黑客的行为体现了高度的使命感、责任感和爱国主义豪情,对于这样的动机和出发点是值得保护和称赞的。同时,中美网络大战中,可谓两败俱伤。由此我们要加强网络安全建设,树立忧患意识和超前思维,力争成为未来网络战争的胜利者。
2.答案提示
(1)要肯定中国黑客的精神和动机是好的,同时要对他们进行法制教育,使他们认识到网络攻击的后果是严重的,是很容易伤及无辜的。每一位公民都应该自觉地在法律的约束下行动,超越了这种行动就应该接受法律的制裁。
(2)利用这次机会,整合民间信息安全技术力量,为国家信息安全服务。
(3)加强国家信息安全措施,加强国家信息安全建设步伐。
3.参考例文
爱国须先爱国法
互联网络这些天来颇不平静。裹挟着中美撞机事件和以美为首的北约轰炸我驻南使馆的余愤,“中国红客联盟”在“五一”前夕召开了“动员大会”,“五四”那天发起了大“冲锋”,把中国国旗插到了许多美国的网页上。中美网络黑客大战的战火,愈烧愈烈。
浏览国内网民对此事件的评论,中国黑客的行为很受许多国人崇拜,称其为民族英雄,是在为捍卫正义和国家尊严而战。
应当承认,中国“红客”是一群有正义感和爱国热情的网友。可尽管如此,其攻击网站的行为,仍然是违法行为。
从法理上讲,国家间的争端应由政府间通过外交等正常渠道解决。“红客”的行为并非国家行为,并危害了国际互联网络的安全。
从我国现行法规看,《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》等诸多法规均规定:任何组织和个人不得从事危害计算机信息网络安全的活动,违者要承担相应的行政或民事责任;违反国家规定,危害计算机信息网络安全,后果严重的,还要依照《刑法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》,承担刑事责任。
但遗憾的是,如此类似于恶作剧并公然违法的行为,却被许多人视为正义、爱国和民族精神的展现。对我们来说,比图一时之快更重要的是,我们需要明确,在理性社会和法治国家中,
一、网络对国家政治安全的影响与对策研究
目前学界对于网络与国家政治安全影响的研究呈现出雨后春笋的研究状态。对于这方面研究,学者们首先分析了网络作为新兴的传播工具,与传统报刊、广播、电视等传统媒体相比,网络的开放性、平等性、虚拟性、互动性等特点显得尤为突出。[2]也有从网络舆情的角度为基本出发点,研究网络政治的特点:网络政治主题突出,网络的普遍性、及时性和敏感性、真实性和直接性、互动性、表现力强等特点。[3]随着网络技术的发展,以及网络对政治安全提出的新挑战,有学者提出网络时代政治安全问题的出现的全新特点,政治安全的影响因素在信息化时代的空间领域有了新的扩展,由传统的海陆空等传统领域扩张到网络疆域,由此可见政治安全受到的威胁必须得到重视。[4]
网络与全球化一样是一把“双刃剑”,既给我国政治安全带来全新的机遇,同时也是严峻的挑战。关于网络对国家政治安全的影响研究成果也是相当的丰富,主要是从利弊两方面进行阐述。关于网络对政治安全的积极影响,学者主要是政治稳定的角度进行论证。第一,从公民角度出发,在互联网时代,公众借助这一新的传播媒介,政治参与热情高涨,政治参与渠道拓宽;互联网开辟了政治参与的新渠道,民众借助这种新渠道可以发泄政治不满情绪,从而缓解和减少社会矛盾和社会冲突,降低群体性事件的发生概率;第二,从政府角度出发,互联网增强了民众对政府政治决策过程的监督,促进决策的科学性与透明性;互联网也实现了信息在政治主体之间的沟通与互动,使政府层多倾听民意,了解民情,从而减少政治沟通失灵。[5]同样,网络政治参与促使网络民意得到更加有效的表达,提高民众的政治素养,为现代化进程中政府治理模式的改革与发展提供了重要条件,为政府职能转变提供了路径,有利于合理政府与社会关系的构建,为政府决策集中民意与智慧,从而缓解社会冲突、化解社会矛盾。[6]针对这些观点,学者更多的是从动态的政治过程来研究网络对于政治安全的积极影响,从民众与政府两个主题出发来探讨网络的功能,这与网络的开放性、虚拟性、互动性等特征是密切相关的。
其次,以阐释政治安全的内涵为基点,论述网络之于政治安全的挑战及消极影响是学者们的研究重点。政治安全内涵的丰富性与复杂性,加之研究者研究背景的多样性、研究角度的层次性,主要有以下几点:主要是从政治安全概念分析入手,讨论网络带来的挑战。第一,网络挑战国家主权安全。网络的发展拓宽了国家主权的边界,使国家主权形式上分散化,广大发展中国家在网络信息技术上的薄弱使得他们面临信息泄露的威胁,传统意义上的国家主权在网络信息时代呈现出新的不平等。[7]发展中国家在网络信息技术上的不成熟迫使他们严重依赖发达国家,信息主权面临严重威胁。[8]第二,网络威胁国家政治制度安全。一贯以来,西方发达国家以各种方式极力鼓吹西方的价值观与政治发展模式,希望以此来冲击社会主义国家的社会和政治制度,并用网络手段使发展中国家在网络层面成为新的“殖民地”,新的“依附体系”在网络时代大行其道。[9]第三,网络冲击国家意识形态安全。互联网的便捷性与即时性为意识形态的渗透提供了不同于现实的便捷途径,在技术层面西方发达国家的地位占据主导。[10]传统意义上的信息垄断在网络时代被打破,网络传播信息的快速性使得政府垄断信息的局面收到挑战,主流意识形态在社会的传播收到挑战,多元化思想传播弱化了统一舆论的影响,意识形态安全面临前所未有的挑战。[11]第四,网络威胁政治秩序安全。网络打破了国家节制政治参与的瓶颈,网络政治参与呈现新的态势,政府对网络事件的控制力度得到弱化,全球理念传播更加广泛,政府威信与权威受到挑战。综合以上四点,网络对政局稳定的冲击也是显而易见的。如果从宏观层面看待这些消极影响,与积极影响相比,网络对政治安全的威胁更多的是制度层面的破坏,从而影响动态的政治参与等一系列政治行为。
维护网络时代我国的政治安全问题,首先一个重要问题就是应当深入认识网络政治问题,重视网络对政治安全的影响,坚持思想、制度建设与政治层面相结合。思想层面,正确看待网络之于国家安全的积极与消极影响,将学习国外与立足国内相结合,网上工作与网下工作相结合原则;树立“网络边疆”[12]意识,构建与信息时代相适应的新型政治安全机制模式;从制度管理层面出发,制定相应的网络政治安全法律,充分发挥立法的作用,从法律制度方面对技术以及行为进行规制,及时有效地针对实际情况进行相关法律的制定、修改与废除工作;从网络技术管理层面出发,加快我国网络信息化建设,在网络信息技术层面就投入更多人力物力与财力,减少与发达国家技术上的差距,增强网络信息安全的防御能力,开展多方面的网络安全国际合作,加大力度培养高精尖网络人才。在网络政治层面,将民主选举、民主决策、民主管理、民主监督机制在互联网平台上引入有序的政治参与渠道,健全和完善民主机制;大力宣传网络安全意识,增强民众网络民主意识与网络王权维护意识;推行与实际相结合的电子政务,使电子政务服务更加全面、高效、便捷。除此而外,更重要的是要为网络政治安全的维护树立坚实的经济支撑与后盾,大力发展社会主义市场经济,为网络安全提供内生动力;加快政府治理模式的转变,提高政府决策的效率;扩公民有序政治参与的渠道,健全政治参与机制的健全和完善;发扬社会公平与正义,促进社会主义民主政治建设。
二、网络舆情给政治安全带来的挑战
关于网络舆情的研究,有学者指出,舆情是一种社会政治态度,是指要在一定的社会空间内,围绕中介性社会事件的发生、发展和变化,民众对政府所做的政策的反应及态度。[13]网络舆情就是民众在网络领域的所表现出的政治态度。事实上,无论是舆情,还是网络舆情,二者都属于大众媒介的一部分。所以说,网络舆情对政治安全影响的过程就是网络这一新媒介在政治领域发挥作用的过程。
有学者对网络舆情从不同学科角度例如从心理学、社会学、政治学、社会心理学、政治社会学等多方面进行研究,探讨其内涵的多样性与舆情过程的动态性。因此,针对网络舆情,研究者主要从它的定义与特征,产生的途径与方式,对社会政治生活的影响等方面进行论述。因此,很多学者在研究网络舆情的过程中又不得不提及网络政治参与这一政治现象,在当今中国的网络政治参与中,网络群体的庞大、网络信息的复杂、网络舆论的可控性差,存在各种网络群体,这些网络群体以公共舆论为名,对政府所做的各种决策施加压力,在网络政治参与中以各种网络结社的形式影响公共决策。对参与政治者进行特征分析、研究网络政治参与与国家政治安全之间的关系以及政治参与过程中的政策思考主要成为这一方面的研究内容。当前我国网络群体的主要是围绕维护个人利益以及监督政府权力为主题,网络群体相对零散、自发性表现突出。在当代西方国家,群体的政治参与是公民集中表达意见一种常态化的政治行为,民众主要以这种方式影响政府决策。群体政治参与一般是以理性的方式参与政治扩大实践影响从而影响政府决策的出台。
国家安全的网络舆论的形态是通过网络舆情表现出来的,网络舆情是国家安全在网络舆情领域的体现。一般来说网络舆情安全有两层含义,一层含义是在国家层面上,另一层含义是在社会层面上。无论是在哪一种层面上,网络舆情对国家政治安全的影响都不容忽视。例如,美国依仗期其互联网技术优势针对我国民主、人权等问题进行网络舆论夸大宣传,对我国有效维护国家安全造成巨大压力。[14]学者对于网络舆情对国家安全的思考更多的是建立在网络对其影响的基础之上,因此,对策也是从思想意识层面、制度建设层面以及组织领导层面来进行建言献策,无论是在哪一个层面均以经济发展水平为基本前提,只有这样才能为维护政治安全树立网络舆论层面的屏障。
三、网络外交的兴起与其对政治安全的冲击
所谓网络外交,是指在信息时代条件下,在以互联网为基本平台,依托信息技术,以维护自身发展利益为前提的国际行为主体所进行的一系列外交活动。网络外交主体表现形式十分多样,传统形式是国家,网络时代也可以是国际组织、跨国公司亦或是个人。网络外交作为外交在网络时代的特殊形式,其目的也具有外交的一般性,即为了维持国际发展主体自身的利益,这是网络外交的基本出发点。网络形式多样也导致网络外交的方式多样性,可以是不同的国际主体之间在网络层面展开的外交活动,这种活动可以是个人也可以是群体行为,在公共领域可以是公开亦可是秘密进行。[15]从其定义可以看出,网络外交是一种将现代化信息网络技术与外交系统结合的政治活动,本质上仍然是公共外交,与传统外交相比更具有虚拟性、即时性、互动性、灵活性等特点,核心是信息与知识传输与价值认同的塑造。[16]
近年来,网络外交逐渐成为政治学甚至是传播学的研究热点。网路外交发展潜力巨大,对其研究呈现出多学科、多领域的发展特点。与许多新兴学科的研究相类似,尽管学者已经对网络外交给予了很多关注,但是相关的专门化、系统化的研究还未出现,国内学者在这方面的研究也是近几年来呈现一个较快的发展态势,数量上增长比较迅速。主要研究集中以下几个方面:当前世界范围内的网络外交状况,探讨了我国网络外交的现状与对策;网络外交兴起的原因与障碍,及其对我国网络外交的启示;奥巴马政府“E外交”的提出、发展、效果与趋势;网络外交兴起的历史渊源及其发展的政治动因;还有学者从网络外交的形式与机制为基本出发点研究网络外交的各种类型。总体而言,国内外外学者对网络外交的发展关注度不断提高,相关研究不断深入、全面,但是系统性的研究专著仍未形成。由于网络外交这一现象还处于发展初期,研究者也只能从现象表层以及背景层面进行相关探索,从政治学学科角度进行论证还还未形成理论性成果。
从传统意义上讲,主权国家通过外交手段进行过与其他国家的交流活动。然而,随着全球化时代的来临,特别是网络信息技术的迅猛发展,全球化格局势不可挡,世界已然被连成了一个整体。传统的国与国之间的外交活动更多地以网络外交的形式存在。任何一个国家通过网络进行的外交活动可以在相当短的时间内传遍全世界,随之会引起国内外民众的广泛关注和热烈讨论,在此基础上网络舆论变会形成巨大的舆论压力,进而影响政府的决策,这种现实压力如果处理不当就会危及国家的政局稳定;同时,由于网络的便捷性、开放性与高度灵活性,政府面对舆论压力往往无法进行有效控制,一旦这种外交影响超出政府预期,加之政府再次决策的滞后性,这种连环效应便会带来新的外交挑战。毋庸置疑,网络与政治安全的关系不可分割,网络舆情与网络外交等形成密不可分的网状关系,新时期网络所带来的政治影响将会愈加凸显。
1棱镜”折射下我国网络信息安全面临的巨大挑战
1.1对新兴科技的滥用加剧网络安全的脆弱性
美国著名技术史专家M.Kranzberg曾深刻地指出:科技本身既不好也不坏,甚至不是中立的。科技进步往往对环境、社会以及人产生超越科技设备及技术本身直接。科技本目的的影响,这正是科技与社会生态的互动”身不会对网络安全造成威胁,对科技的滥用才是网络安全风险的根源。棱镜门”事件中,无论是美国政府,还是涉事的几大网络巨头,无一不利用了新技术的跨地域性、隐秘性、造成破坏的规模性及不确定性,加剧了全球网络安全的脆弱性。了解新技术对我国网络安全的影响,是构筑我国网络安全战略的必要前提。
1.1.1云”技术放大了数据风险云计算”指远程数字信息存储技术,该技术允许用户从接入到互联网的任意互联设备接触其文件。云计算技术如同双刃剑,在用户运用该技术便捷地进行数据共享、备份的同时,也为新的技术风险与社会冲突开启了方便之门。
首先,云计算服务商可能基于监管套利合法地侵害”我国用户的个人隐私和安全。监管套利指互联网环境下,某些跨国企业通过选择适用自身偏好的法律以规避对己不利的监管。云计算的服务器可能位于不同国家,而不同国家对数据安全义务的界定、数据丢失责任、隐私保护、数据的公开政策等均存在不同规定,监管法律的差异为云服务商提供了套利空间。例如卷入棱镜门”的谷歌公司,虽然向我国用户提供网络服务,其服务器却位于美国加州。其提供的谷歌云端硬盘(GoogleDrive)服务要求用户同意谷歌可依据谷歌的隐私政策使用其数据”,但谷歌有权随时改变其隐私政策。在谷歌最新的隐私政策中规定:如果我们确信:为了满足适用法律、法规、法律程序的要求或强制性的政府要求的目的而有必要访问、使用、保留或披露相关信息,我们就会与Google以外的公司、组织和个人分享用户个人信息。”据此,谷歌有权也有义务遵守服务器所在地的美国国家安全局的要求,向其提供用户储存的数据。作为互联网用户无可避免的传输和储存信息的数字中介,云计算服务商向美国政府披露用户信息在美国虽属合法”,却严重地损害了他国用户的个人信息隐私和安全,甚至可能影响他国国家安全。
其次,云计算数据所有人与控制人分离”的模式增加了对网络信息在物理上监管和追责的难度。在传统模式下,数据存放在本地技术设施中,数据在逻辑上、物理上是可控的,因此风险也是可控的。在云计算模式下,由于用户的数据不是存储在本地计算机上,而是在防火墙之外的远程服务器集中储存,传统的、借助机器或网络物理边界来保障信息安全的方式已经无法发挥作用。发生信息安全事件时,日志纪录可能分散在位于不同国家的多台主机和数据中心,因此即使是同一个云服务商部署的应用程序和托管服务,也可能难以追查纪录,这无疑增加了取证和数据保密的难度。
1.1.2大数据技术动摇数据保护的基本原则大数据指各类组织依托海量数据、更快的电脑以及新式分析技巧以挖掘隐藏的极有价值的关联性、更为强大的数据挖掘方式。棱镜门”牵涉的所有互联网巨头,包括谷歌、微软、脸谱、雅虎等均以不同形式运用了大数据技术,并将数据作为其主要资产以及价值创造来源。
首先,大数据可能动摇数据保护规制的基石。欧盟的数据保护指令、欧盟通用数据保护条例草案,以及世界其他国家的数据保护法大多依赖于透明度”和同意”的要求以确保用户能够在知情的基础上分享个人信息。然而大数据的性质就在于通过数据挖掘与分析寻找意料之外的联系以及制造难以预测的结果,不仅用户对于其同意的对象和目的缺乏认知,甚至运用数据挖掘技术的公司自身也无法事先得知通过大数据技术将发现什么,因此也就很难实现实质意义上的同意”。
其次,大数据技术带来的巨大商业利润可能诱使服务商漠视用户隐私,进而威胁数据安全。在互联网背景下,一方面众多网络信息媒介有机会接触用户的大数据,而大数据技术使这些信息媒介能够以极低的成本轻易地获取和处理这些信息;另一方面,大数据能够产生惊人的商业利润:据McKinsey咨询集团的报告,大数据每年能为美国的健康行业贡献3000亿美元的价值,为欧洲的公共管理行业贡献2500亿欧元。因此,那些有机会接触客户庞大数据的网络媒介有足够的激励,以用户无法想象,并且常常是无法察觉的方式利用其客户的大数据。越来越多的商业组织开始将转卖搜集的数据视为潜在的商业机会,并且开始从中获利。大型金融机构开始将与其客户支付卡相关的数据进行市场推广(例如,常消费的店铺及购买商品)。在荷兰,一家GPS定位服务提供商将其用户移动的地理编码出售给政府机构,包括警察服务,而这些数据原本用以规划自动变速雷达陷阱的优化安装。在面临巨大利润诱惑并且无人知晓、无人监管的情况下,信息媒介对信息的利用容易偏离初衷,将用户信息置于巨大的风险中。
1.2我国网络信息安全市场信息不对称导致市场失灵
披露网络安全风险的成本、技术障碍以及我国网络信息安全立法的缺失决定我国网络信息安全市场存在信息不对称。由于缺乏真实反映网络安全风险的信息,产业将无法准确决定需要供给多少网络安全产品,这一市场失灵导致网络信息安全风险的必然性。
1.2.1披露网络安全风险的技术障碍及成本决定网络信息安全市场的信息天然不足网络信息安全风险自身的无形性、复杂性、动态性特征决定了网络安全风险的相关信息存在先天不足。同时,由于公布网络安全风险事件可能损害市场份额、声誉以及客户群,私人企业往往缺乏激励披露网络安全风险事件。有研究显示每公开披露一个安全漏洞,经销商的股价平均下跌0.6%左右,这相当于每披露一次漏洞,就丧失大约8.6亿美元的市值。网络安全风险的信息不对称并不意味着社会没有对网络安全上进行投资或投资过度,相反,它意味着没有以理想的比例投资正确的防范措施”。由于缺乏对威胁及防范正确的认识,用户和企业倾向于投资万金油式的解决方法。同时,安全企业也不会具有足够的压力将新科技带入市场,以抵御实质性的威胁。
1.2.2我国网络信息安全立法的缺位加剧了市场失灵在公民网络信息安全方面,我国尚未颁布专门的法律。2009年我国在刑法中设立侵犯公民个人信息罪,然而该条款的适用对象仅限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,无法涵盖网络空间处理公民个人信息的网络服务提供商。同时该条款由于追责情形不清、缺乏明晰的处罚标准,被批评为可操作性,欠佳”目前鲜见因该条款被追责的案例。现有网络安全立法散见于效力层级较低的行政法规、部门规章及地方政府规章,或是仅针对特定行业或特定信息对象,适用面狭窄。因此,即使棱镜门”披露某些企业涉嫌侵犯我国公民网络信息安全,我国网络信息安全立法缺位的现状决定了此类事件在现阶段处于无法可依、无责可追”的尴尬局面。在立法缺乏规制的情况下,企业并无确保网络安全及披露网络泄露事件的法定义务,对数据泄露事件的公布反而可能引来监管机构更多的关注,从而增加企业,乃至整个行业的运作成本。这决定了企业缺乏动机进行信息安全风险披露,加剧了信息不对称。
1.3网络军事化趋势引发网络信息安全风险升级
依据军事革命理论(RevolutioninMilitaryAffairs),新科技和相关组织架构的创新运用将引发战争性质的变化。随着数字网络关键基础设施的依赖性日渐增强以及相较于传统武器的低成本,军事战场开始从传统的水、陆、空转向网络空间,网络战工具被视为是军事革命的自然演进。Clarke在其《网络战》一书中将网络战定义为国家为了造成损害或干扰的目的,侵入另一国电脑或网络的行为”局在互联网上对包括中国在内的多个国家10类主要信息进行监听,该事件正是网络战的真实案例并已经实质性地威胁到全球网络环境的信息安全。不仅如此,我国网络频频遭受来自于海外的信息监控及网络攻击。据中国国家互联网应急中心数据显示,2012年的抽样监测发现,境外约有7.3万个木马或僵尸网络控制服务器控制我国境内1419.7万余台主机,其中位于美国的12891个控制服务器(占境外控制服务器的17.6%)控制我国境内1051.2万余台主机(占受境外控制的境内主机的74.0%),控制服务器数量和所控制的我国境内主机数量均居首位。这些事件并不是孤立的,背后是某些国家利用网络技术对中国、欧洲乃至全球信息霸权独享和控制的体现。网络战对信息安全的破坏存在如下特征。
1.3.1网络战具有不可预测性和不可控性指网络战对他国可能带来的破坏规模无法事先预测,其事后的衍生效应可能无法控制。信息系统在结构和互联设置上任何微小的改动都可能导致截然不同的系统行为,针对某一系统的网络攻击既由系统操作人的行为和该特定系统的性质所驱动,也可能由网络武器自身的特征所影响。网络武器相对小而隐蔽的特征使攻击对象难以察觉,无法作出及时的反应,进一步加剧了网络战后果的不可预测性。在2007年,爱沙尼亚整个国家的网络由于黑客攻击陷入瘫痪。具有政治动机的黑客通过制造数据过载,在长达10小时的时间里,迫使系统每6秒下载相当于整个WindowsXP操作系统规模的数据,致使整个国家的网络陷入瘫痪。爱沙尼亚最大的银行在此过程中损失超过100万美元,爱沙尼亚议会成员持续四天无法登录电子邮件系统。
1.3.2针对关键基础设施的网络战将导致对网络安全破坏强度的升级关键基础设施(CriticalInfrastructure)指一旦被摧毁或干扰,将对健康、安全、国家安全或公民的正常生活或政府的有效运作造成严重影响的、物理和信息的科技设施、网络、服务和财产。棱镜”项目披露美国国家安全局曾入侵中国电讯公司以获取手机短信信息,并持续攻击清华大学的主干网络以及电讯公司Pacent香港总部的计算机,该公司拥有区内最庞大的海底光纤电缆网络。从该事件可知,网络安全风险已经从网上蔓延至网下,网络攻击的间接效果已经直接地威胁我国关键基础设施的安全。
1.3.3网络空间的军事化缺乏国际制约机制冷战期间各国订立了用以限制核武器制造的条约,以控制军备竞赛可能到来的潜在风险。然而目前各国尚未就互联网治理达成任何具有约束力的国际条约。如果互联网不受国家间条约框架的规制,将导致更加开放和不稳定的军事结构。国家间在网络空间的军备竞赛会威胁数字生态的稳定性,其造成破坏的规模和结果难以预料。
2构筑我国网络信息安全保护方略
棱镜门”事件为我国网络信息安全敲响了警钟,从法治的视角积极构建我国网络信息安全保护方略不仅必要,而且迫切。在网络信息安全保护方略中,明确网络服务提供商的义务与责任是前提,完善网络用户救济权是核心;与此双管齐下的,是进行国际维权并推动国际谈判向利我方向发展。本文将从国内和国际两个视角分别思考。
2.1国内视角
构筑网络信息安全保护战略首先应体现在完善网络信息处理行为的规范和追责机制,矫正市场失灵,实现政策对确保网络安全和促进科技发展运用的最大效能。
2.1.1出台专门立法明确网络服务提供商的义务与责任
目前我国网络信息安全领域乱象丛生,很大程度在于现行法律缺乏对网络服务提供商在网络信息安全方面的法律义务和责任的规定,这意味着现实生活中的用户信息安全问题和信息安全纠纷解决常常依赖于网络服务供应商与用户之间的许可协议。网络服务商往往会利用自己的优势地位在服务协议中尽可能规避相关风险问题,不承诺对客户个人数据丢失、数据泄密及数据被破坏等行为承担法律责任,这无疑会侵害广大网络用户的信息安全。同时,在云计算、大数据等新生科技背景下,网络信息安全风险的跨地域性、隐秘性、造成破坏的规模性及不确定性等特点,客观上对我国信息网络安全立法提出了更高的要求。鉴于此,建议从以下几点明确网络服务提供商的法律义务与责任:
1)确立网络服务商持续的数据安全保护义务,即所有涉及数据处理的主体或组织都必须实施并保持合理、适当的安全流程及做法,以保护个人信息免受非法接入、丢失、破坏、使用、修改或披露的侵害。由于技术的快速革新,网络风险的来源与形式不断地发生调整,这就决定了数据安全保护义务不是一劳永逸的,而是持续的过程。具体而言,合理、适当的安全措施”要求公司采取持续的、不间断的过程以定期评估风险、识别风险并针对风险采取适当的安全措施、监控并验证安全措施的有效实施,并确保会根据科技的发展持续地调整、更新。具体采取的安全措施应当由公司自行决定。
2)确立数据泄密的警示义务以确保用户的知情权。由于网络安全风险的无形性、即时性以及连带性,用户可能在发生了严重的犯罪结果后才得知信息外泄、丢失事件。为此,为了防止信息泄密导致用户更加严重的衍生后果,必须明确网络服务商对数据泄密的公示义务,即要求所有处理敏感个人信息的企业及机构在此类信息发生泄密事件后,必须在一定时限内向受影响的用户发出通知及警示。这里需要注意的是,该义务需要明确敏感信息的范围,包括但不限于:身份证号码,金融机构账户或信用卡号码等;而通知的方式应以电子方式或有全国影响力的传统媒体方式实现,以确保通知的覆盖面及即时性;而通知的情形应为个人用户数据的丢失、修改、破坏或者未经许可的接入的情形。
3)明确网络服务商的责任。对于未履行数据保护义务的网络服务商,应承担不同层次的责任,包括由主管部门发出违规通报、责令改正、行政罚款、撤销经营资格等行政处罚;同时个人数据受损的用户有权向网络服务提供商提出民事损害赔偿;刑法层面应将网络服务提供商纳入侵犯公民个人信息罪的主体范围中,并明确情节严重”的具体认定标准。
4)建议引入欧盟的长臂”条款约束跨境信息流动。长臂条款”系欧盟特有的数据保护原则,该原则通过约束位于欧盟以外的数据处理人以及跨国公司集团内部的跨境数据转移,尤其是云计算背景下的第三国数据处理人,旨在确保向欧盟以外传输的欧盟公民个人数据能够获得与欧盟内类似的保护水平,因此具有跨域适用的长臂效应”。该原则主要过3种机制以实现对欧盟境外主体的约束:①国家保护水平评估机制,即欧盟有权评估第三国是否就数据安全提供了足够水平的保护。如果经评估,第三国未能提供充分的保护水平,欧盟将禁止向该第三国传输个人数据并将与第三国协商。②约束性公司规则(BindingCorporateRules,BCR),指约束向公司集团设立于未提供充分保护水平国家的组织进行个人数据转移的公司内部政策(包括与数据安全、质量、透明度有关的隐私原则,有效性的工具,如审计、培训、投诉处理制度等,以及证明BCR具有约束力的要素)。草案规定跨国企业可以通过制定符合草案要求的BCR,并将BCR提交主要数据保护监管机构审批来履行充分保护义务。③标准数据保护条款或经许可的合同条款,指除了BCR,跨国企业也可以通过适用欧盟采纳的标准数据保护条款来履行足够保护义务。如果需要适用自行商议的合同条款,则该条款需要获得监管机构的事先许可。云计算技术使一国数据可能在他国存储或被处理,网络风险为此可以摆脱时间和地点的限制,风险的来源地和结果地可能完全分离,这为我国监管机构在网络安全监管、取证及追责带来许多困难。有鉴于新技术发展的实际需要,建议引入欧盟的长臂”条款,明确我国网络安全的法律适用于我国以外建立的公司或组织,如果这些主体对我国用户信息进行处理或者提供外包服务。具体的约束机制包括对其在国内的经营实体进行监管,如未在我国设立经营实体,要求本国企业与其通过合同形式履行我国网络安全保护的义务。
2.1.2以救济权为核心完善网络用户的权利保障机制无救济,则无权利,面临网络空间愈演愈烈的安全风险,完善用户的救济权”是当务之急。
1)确立保护用户的举证责任。在网络服务关系中,一旦用户选择了某一服务提供商,该服务提供商就获得了用户数据的控制权,可以通过检查用户纪录,掌握客户的商业秘密和个人隐私信息,用户在技术、信息获取、谈判用户处于相对弱势地位。为此,为了防止网络服务商滥用其在网络服务关系中的优势地位,也考虑到个人用户网络取证的难度,对于网络泄密造成的用户损失,应规定主要由网络服务商承担履行数据安全保护相关义务的举证责任。
2)确立一站式”的主管机构。网络信息安全牵涉到个人隐私、商业秩序、电信设施安全、金融安全、公共安全及国家安全等社会管理的多个环节,各个环节的主管部门都涉及到部分网络监管的职能,然而各自为政、多头管理的体系增加了企业合规的不确定性和成本,也增大了公民维权的难度。建议设立涵盖所有行业的网络信息安全主管机构,考虑到网络安全的战略意义,该主管机构应直属于国务院,负责制定网络信息安全方面的政策战略,监管全行业的网络安全合规情况并具有相应的行政执法权,通过整合协调各个机构与网络信息安全相关的职能,作为受理用户与网络信息安全相关的投诉事件的接待门户,便利用低户成本、高效率、一站式解决网络安全方面的纠纷。
3)提供多层次的救济程序。除了传统的司法程序,针对网络数据保护纠纷涉及面广、技术性强、时效性要求高的特点,建议引入调解、仲裁程序,在网络主管机构下设专门处理个人信息纠纷的仲裁委员会,仲裁委员会由监管政府官员、网络安全技术人员、消费者代表、互联网服务商代表、学者等组成,在给定期限内由仲裁委员会提出调解方案供各方参考,如果各方接受,则作为具有约束力的文件履行;如果无法被接受,则进入司法程序。另外,数据泄密涉及者众,而互联网行业作为新兴行业进行旷日持久的独立诉讼也会造成巨大成本,建议规定数据保护集团诉讼/仲裁的程序,明确诉讼与仲裁之间的效力与程序衔接问题,引导通过集团诉讼或仲裁快速、简便地解决纠纷。
2.2国际视角
构筑我国网络信息安全保护方略不仅体现在国内立法与执法体系的完善上,也应体现在影响网络安全国际标准未来谈判和国际合作走向上。
在网络安全已经成为国际社会面临的共同挑战的今天,防范网络安全风险已不可能完全在封闭的国内法体系中实现,而必须置于国际法框架内予以合作和解决。许多情形下,网络安全问题已经不再是一个国家的司法内政问题,而是涉及到多个国家的司法问题,尤其是在类似于棱镜门”这样影响范围广、涉及多国当事人的信息外泄事件,必然涉及到跨国取证、协调纠纷管辖以及明确法律适用等现实难题。目前许多国际组织,包括联合国、经合组织、亚太经合组织、欧盟、北约、八国集团、国际电信联盟(ITU)以及国际标准组织(ISO)都在解决信息和通讯基础建设的问题。一些新成立的组织开始考虑制定网络安全政策与标准,现有组织也积极地希望将职能拓展到这一领域。这些组织的协议、标准或做法将对全球产生影响。同时棱镜门”事件后,各国纷纷对现有网络安全战略进行调整,可以预见今后几年将是推动网络安全国际合作框架建立的关键期。作为最主要的网络安全受害国与最大的发展中国家,一方面我国应进行相关研究,系统掌握各国网络安全战略的特征和动向,尤其是某些国家侵害他国公民网络信息安全的证据,为我国在国际阵地维权提供保障。另一方面中国有必要主动参与网络安全国际公约及标准的制定,充分表达本国合理的利益诉求,与各国紧密合作,借助各个国际舞台,积极争取我国在网络空间中的利益。
3结束语
【关键词】计算机网络;信息安全;安全技术
伴随着计算机网络技术的不断发展,全球信息化将会成为人类发展的大趋势,在国防军事领域、金融、电信、商业、证券以及我们的日常生活中,计算机网络都得到了广泛的应用,尤其是在不久前美国成立了网络战司令部,提出了网络中心站等思想,这就充分体现了网络技术的重要性。计算机网络具有终端分布不均匀性、联结形式多样性和网络的开放性、互联性等特点,这使得网络很容易受到病毒、黑客、恶意软件等不轨的攻击。因此网络信息的安全和保密成为了一个至关重要的问题。我们必须要求网络具有足够强大的安全措施,否则网络非但发挥不了它应有的作用,反而会给使用者带来许多其他的危害,严重的会危及国家的安全。不管是在局域网还是在广域网中,都存在着自然或者人为等因素的潜在威胁。因此,我们要大力加强网络安全措施,针对不同的威胁采取不同的应对方法,这样才能够保证网络信息的保密性、可用性和完整性。
1.网络安全的含义
网络安全从其本质上来讲就是网络上信息的安全,它涉及的领域相当广泛。这是因为,在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义的角度来说:凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全索要研究的领域。下面给出网络安全的一个通用定义:
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,防止和控制非法、有害的信息、进行传播后的后果,本质上是维护道德、法规或国家利益。
网络上信息内容的安全,即我们讨论的狭义的“信息安全”。它侧重于保护信息、的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充等有损于合法用户的行为,本质上是保护用户的利益和隐私。网络安全与其所保护的信息对象有关,其含义是通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播即内容具有控制能力。网络安全的结构层次包括:物理安全、安全控制和安全服务。
2.计算机网络安全机制分析
安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合,为一个信息系统的任意部件检测和防止被动与主动威胁的方法。安全机制与安全有关,机制是用于实现服务的程序,OSI定义的安全性机制有加密、数字签名、鉴别、访问控制、通信量填充、路由控制、公证等。安全和安全性机制有一定的对应关系,例如:机密可以通过加密、通信量填充和路由控制来实现。另外,加密不仅可以是机密的成分,而且还可以是完整性和鉴别服务的成分。
各种安全机制中,加密有着最广泛的应用,并且可以提供最大程度的安全性。加密机制的主要应用是防止对机密性、完整性和鉴别的破坏。
数字签名是一种用于鉴别的重要技术。数字签名可以用于鉴别服务,也可以用于完整和无拒绝服务。当数字签名用于无拒绝服务时,它是和公证一起使用的。公证是通过可信任的第三方来验证(鉴别)消息的。
对于网络终端用户来说,最通常的安全性经历是通过使用口令来实现访问控制。口令是一个字符串,用来对身份进行鉴别。在获得对数据的访问权之前,通常要求用户提交一个口令,以满足安全性要求。问卷与口令有很近的亲缘关系,它也是鉴定身份的方法。
3.采取的应对措施
3.1信息加密
信息加密技术是一种主动的信息安全防范措施,是保证网络信息安全的核心技术。信息加密技术的原理是利用一定的加密算法,将明文转换成为不可以直接读取的密文,对非法用户获取和理解原始数据起到了很好的阻止作用,确保了数据的保密性。明文转化为密文的过程我们称之为加密,密文还原成为明文的过程我们称之为解密,加密、解密使用的可变参数就叫做密钥。信息加密技术通常分为两类:一类是对称加密技术。另一类是非对称加密技术。
3.2数字签名
为防止他人对传输的文件进行破坏以及确定发信人的身份,我们采取了数字签名这一手段。数字签名在电子商务中起着至关重要的作用,它具备他人不能伪造,签字方不能抵赖,在公证人面前能验证真伪等特点。
3.3数字证书
数字证书是互联网通讯中标志通讯各方身份的一系列数据,它为网络提供了一种验证身份的方式。由权威机构CA来负责签发、认证、管理证书。此技术可以用来验证识别用户身份。
3.4数字摘要
又称数字指纹、SHA(SecureHashAlgorithm)或MD5(MDStandardsforMessageDigest),它是使用单向Hash函数加密算法对任意长度报文进行加密,摘要成一串128比特的密文,这段密文我们称为数字摘要。它是一个唯一对应一段数据的值。
3.5数字信封
数字信封就是信息发送端用接收端的公钥,把一个对称通信密钥进行加密,形成的数据称为数字信封。只有指定的接收方才可以用自己的私钥打开数字信封,获取对称密钥,解读通讯信息。
4.结语
网络安全的重要性已经有目共睹,特别是随着全球信息、基础设施和各个国家的信息基础逐渐形成,信息电子化己经成为现代社会的一个重要特征。信息本身就是时间、就是财富、就是生命、就是生产力。因此,各国开始利用电子空间的无国界性和信息、战来实现其以前军事、文化、经济侵略所达不到的战略目的。随着计算机技术的高速发展,攻击网络的技术的不断更新,单一的安全防护策略则是不安全的,网络安全将是一个系统的概念。未来的计算机网络安全防护策略方向应该是安全措施高度综合集成的。在我国,计算机网络安全技术的研发正处于起步阶段,各种技术需要我们不断的去探索,争取赶上发达国家的水平,保障我国计算机网络信息的安全,推进信息全球化的进程。
【参考文献】
【关键词】网络安全立法问题解决措施
S着计算机技术在全国范围内的迅速普及,网络安全隐患的事件不断出现。我国人口基数大,社会关系复杂。使得网络安全问题日益突出,甚至威胁到我国的国家安全和社会稳定。公民、法人和其他组织的合法权益也受到了侵害。因此,维护国家和公民的利益,增强我国的网络安全立法势在必行。
一、我国网络安全立法的发展历程
我国的网络安全立法最早起步于上世纪80年代,在21世纪之前,网络在我国应用并不是很广泛,对网络安全的立法也没有收到立法机构的重视,只是在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》、1997年的《计算机信息网络国际联网管理暂行规定》等零零散散的规定。21世纪初之后便是互联网安全和信息安全保障立法阶段。直到2013年,国际网络安全的形势动荡不安,出现了一系列的具有重大影响力的事件,我国也开始进入了网络安全立法阶段。先后颁布了《国家安全法》、《反恐怖主义法》、《反间谍法》以及《刑法(修正)九》对网络安全的相关规定。值得注意的是,《中华人民共和国网络安全法(草案)》于2016年6月再次接受全国人大常委会的审议,对我国网络安全立法的发展具有重要意义。但是,该草案还是存在诸多争议,如何兼顾各方的利益还值得商榷。
二、我国网络安全立法存在的问题
1、缺乏系统完善的法律。由上文可知,我国的《网络安全法》还是草案阶段,只有《电子签名法》这一部正式的法律,以及具有法律性质的两个决定,《全国人民代表大会常务委员会关于维护互联网安全的决定》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》。而全国人大常委会的两个决定是否属于法律,在司法实践中也存在争议,一部分法律人士认为决定和法律的性质上并没有多大区别,在法律缺失的情形下,可以替代法律发挥作用;另一部分法律人士认为,决定不能直接调整社会关系以及创设权利、义务。无论从哪个观点来看,我国缺乏系统完善的法律的问题是现实存在的。
2、立法阶位较低。我国的网络安全立法,除了全国性的法律以外,仅有《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等几部行政法规。部门规章则是为了保护自身的利益,各自为政。在立法上,缺少统一的法律在个行政法规和部门规章之间进行协调,导致行政法规和地方性法规、规章的衔接有着诸多瑕疵。现行的法律法规也没有对网络安全作出一个统一的定义,个法规规章都是从计算机、互联网、电子商务等各自的角度入手,也没有统一的认知。
3、立法滞后。当今时代,各种网络技术和信息日新月异,各种聊天工具、网络媒介每天都有数以亿计的信息,新的犯罪方式也是层出不穷。在立法上,尤其是应对网络金融服务新领域,如支付宝、手机钱包、二维码等一些新颖的支付方式,没有相应的法律法规去调整。我国的网络安全立法还停留在几年前甚至十几年前的阶段上。社会在发展,如果法律不能随着社会的变化而进行调整,就毫无法律意义可言。尤其是针对网络这种发展迅速,变化异常的领域,更需要能够保障网络安全,管理互联网的完善的法律体系。
三、完善网络安全立法
网络安全立法应当是我国立法的焦点问题,完善我国的网络安全立法也是众望所归。然而网络安全涉及的问题太复杂,使得立法的进程比较缓慢。从上文可知,我国的《网络安全法(草案)》已再次送审,但是我国在网络安全立法方面,还需要制定网络安全专门法。在一些网络安全立法比较发达的国家,都建立以一套完整的网络安全立法体系。
因此,在完善我国网络安全立法的过程中,首先要做的就是加快我国《网络安全法》的立法进程,为适应时代的发展,尽早出台《网络安全法》;其次,制定网络安全专门法,如在公民的个人信息保护方面,制定一些应急性或者系统性的规定;最后,就是完善现行法律关于网络安全的规定,注重行政法规、部门规章和地方性法规的配套。
结束语:尽管在过去的十几二十几年里,我国的网络安全立法已经取得了极大的进步,网络安全立法的体系也已经基本成型,但是还需要进一步完善。在这个信息传播速度飞快的社会,可谓是“没有网络安全就没有国家安全,没有信息化就没有现代化”。因此,建立和完善以《网络安全法》为中心的,各法律法规和地方政府规章相配套的网络安全立法体系是势在必行的。
参考文献
[1]于志刚,邢飞龙.中国网络法律体系的现状分析和未来建构[J].辽宁大学学报(哲学社会科学版),2013,41(4):82-94.
【关键词】安全风险网络安全风险评估关键技术
引言:现如今人类已对网络产生依赖性,相关统计数据显示我国网民高达七亿人。人们通过网络进行在线商务洽谈、交易支付、资源共享。自网络诞生以来,安全问题就备受社会各界关注。网络应用中稍有不慎就有可能遭到攻击或入侵,一些黑客利用木马或后门软件,便可盗取他们账户、密码、网银信息,使网络用户遭受经济损失。个人信息丢失相对来说影响比较小,但如果是国家信息或者企业信息被窃取,将影响到社会和谐稳定。企业信息多为商业机密,一旦泄露极有可能会影响正常运营,给企业带来负面影响,甚至诱使企业倒闭。为了保障网络安全,提高网络安全性,做好网络安全风险评估具有重要意义。
一、网络安全风险研究现状及评估意义
计算机网络指的是将不同地理位置的独立功能的多台计算机及其外部设备,通过通信线路连接起来,在操作系统及网络软件与硬件在网络通信协议的管理及协调下,实现的信息资源共享和传递的计算机系统。网络建设目的是计算机之间互联、信息共享、资源整合[1]。
计算机网络发展至今已历经四个阶段分为是:远程终端连接阶段、计算机网络阶段、网络互联阶段、国际互联网与信息高速公路阶段。计算机网络具有开放性特点,用户群体庞大,任何人都可以成为网络用户。进入二十一世纪后,网络几乎实现了世界范围的推广和应用,全球网络用户不计其数。但正是因为网络的开放性特点,也为一些不法之徒提供了便利,网络攻击不仅给社会造成了不良影响,更给某些企业带来了经济损失。
近些年,网络安全问题已成为社会各界广泛关注的焦点,有许多学者曾针对网络安全风险问题展开研究。林文教授曾经在论文《层次化网络安全风险量化评估研究》中提出,网络安全是是网络应用的前提条件,若无法保证网络的安全,致使用户私人信息泄露,用户便会逐渐远离网络,这无疑会制约网络发展[2]。现如今网络行业已成为经济支柱产业,若网络产业发生倒退,必然给经济发展造成不利影响,网络安全风险问题不能小视。近些年,网络攻击事件笔笔皆是,网络风险随之增加,对网络安全风险进行评估,科学规避网络风险势在必行。
二、威胁网络安全的常见网络攻击手段
网络上存在大量不确定和不安全因素,自网络诞生以来就存在非法入侵、数据盗取破坏等行为。这个世界上没有百分之百安全的网络,网络发展和应用中信息盗取、黑客入侵、病毒攻击频频发生[3]。
二零一五年,携程网络就曾遭受网络攻击,造成网站无法访问,用户信息大量丢失,APP完全陷入瘫痪。此次攻击,使携程遭受直接经济损失超过五百万美元,股票下跌百分之十一点二。网络攻击手段多种多样,五花八门,但大多都是通过软件漏洞、物理漏洞、数据漏洞进行攻击,威胁网络安全,来实现截获、窃取、破解用户信息、破坏用户系统目的。想要进行有效的网络安全风险评估,必须要了解网络攻击手段。常见网络攻击手段有:IP欺骗攻击、口令攻击、数据劫持攻击、网络窃听攻击等等。
其中口令攻击最为常见是黑客常用的网络攻击手段之一,黑客确定攻击目标后,利用穷举法,通过字典”便可进行口令测试,破解网络口令。口令攻击在UNIX系统网络攻击中,由于UNIX系统并不会对错误口令尝试进行提示或封锁用户系统,可无限尝试错误口令,所以UNIX系统容易遭受口令攻击。口令测试成功网络遭到入侵时系统不会向管理员发送报告,黑客通过FTP或Telnet就可以进行系统数据加密文件破解[4]。
网络攻击中数据劫持攻击和网络窃听攻击危害巨大,将直接造成用户密码信息的泄漏,导致网络陷入瘫痪,这种攻击通常发生在网络文件传输过程中。IP欺骗攻击是目前较为流行的攻击手段,通过伪装网络主机,复制主机TCP/IP地址,提供虚假网络认证来骗取返回报文,导致主机无法连接网络,造成计算机网络无法使用,这种攻击主要发生在IP协议传送报文时。
通过分析不难看出网络攻击的危害性和严重性,网络攻击无处不在,网络应用中必须针对网络攻击特点和特征,做好安全风险评估,提高网络安全性,降低网络风险。
三、网络安全风险评估的关键技术
网络安全风险威胁着网络用户系统安全、信息安全、网络安全,对网络安全风险进行评估,构建网络风险评估框架,是做好网络安全防护的前提条件,对提高网络安全性有着重要意义。下面通过几点来分析网络安全风险评估关键技术:
3.1定性评估技术
定性评估技术是较为常用的网络安全风险评估技术,采用德尔菲法,利用推倒演绎理论来实现对网络安全进行分析,判断网络安全状态。定性评估技术在具体评估过程中要先采用背对背通信方式获取安全影响因素,利用匿名数据筛选的方式,对数据进行处理结果分析,通过多次反馈与征询判断网络安全风险因素和网络安全系数,进行安全风险评估。
3.2定量评估技术
定量评估技术与其他评估技术相比,评估结果更加直观,评估有效性更好,但评估复杂性和难度较大,应用中存在一定局限性。这种评估技术主要利用嫡权系数法,通过数据指标量化方式进行网络安全风险评估。定量评估技术的原理是,利用嫡权系数法计算参数权重,度量系统不确定因素,把安全风险进行量化,根据极值特征评估网络安全风险。评估中若熵值越大,网络安全风险越大,安全风险影响因素越多。若熵值ei最大值是1,风险因素对系统安全影响越小,说明网络安全性较高。
3.3综合评估技术
网络安全风险影响因素较多,具有多变性和复杂性,一些时候若无法通过定性评估技术或定量评估技术取得良好评估效果,便可应用综合评估技术。综合评估技术是通过将各种评估技术有机结合方式,来提高评估有效性和准确性,判断网络安全系数,达到网络安全风险评估目的。
综合评估方法主要包括:威胁树法、障碍树法、层次分析法等。综合评估技术大多以定量评估为基础,以定性评估为核心,继承了这两种评估技术优点,进一步提高了评估准确性。
四、结束语
关键词:拒不履行信息网络安全管理义务罪主体主观心理客观特征
中图分类号:F062.5文献标识码:A
文章编号:1004-4914(2016)10-085-03
经济的发展,科技的进步,使得网络逐渐融入到了社会生活的每个角落,伴随而产生的网络犯罪也逐渐泛滥开来。网络犯罪呈现出专业化、系统化、共同分工合作的特点。2015年修正的刑法即刑法修正案九加大对网络犯罪的惩处,新增了三种具体犯罪的规定。笔者在本文将对修正案九规定的拒不履行信息网络安全管理义务罪的构成特征作一探讨,以期为司法适用提供指导。
一、拒不履行信息网络安全管理义务罪的界定
刑法修正案九在原刑法第二百八十六条规定下增加了一条规定,作为二百八十六条之一,其具体内容如下:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。”2015年两院公布的罪名解释六将该规定的罪名确定为拒不履行信息网络安全管理义务罪。
根据上述规定,笔者认为,拒不履行信息网络安全管理义务罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播,或者致使用户信息泄露,造成严重后果,或者致使刑事案件证据灭失,情节严重或者有其他严重情节的行为。
二、拒不履行信息网络安全管理义务罪的主体研究
(一)该罪的主体为网络服务提供者
从刑法修正案九的规定来看,拒不履行信息网络安全管理义务罪的主体是很明显的,该罪的主体为网络服务提供者,且既可以是自然人,也可以是单位。这一点是不容置疑的,得到大家的一致认可,看似没有可讨论之处。但怎样理解网络服务提供者,网络服务提供者到底包括哪些,范围如何界定,刑法并没有细化明确,只有把网络服务提供者的概念界定清楚了,有关部门追究相关主体的法律责任时才能有的放矢。因此,我们有必要对网络服务提供者的范围进行界定。
(二)网络服务提供者的界定
何谓网络服务提供者?笔者认为,在这一法律术语中有两个关键词语,一是网络服务,一是提供,只有弄清两者的涵义和二者的关系,才能准确界定其概念。当然,相应的行政法律法规也能为我们确定其涵义和范围提供一定的依据。同时也可借鉴国外的立法规定,对这一法律概念作出界定。在我国法律层面,首次使用“网络服务提供者”这一法律术语的是2009年颁布的《侵权责任法》。之后的2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013年颁布的《信息网络传播权保护条例》修正案对“网络服务提供者”也使用了这一法律概念,同时对其在开展业务时所应遵循的义务进行了规定,但对何谓“网络服务提供者”,却未置一词。同样在司法解释中对何谓“网络服务提供者”也缺乏清晰的阐述。如最高人民法院在《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》中也只是对网络传播中的网络服务提供者担责或免责的要件作出了规定,并未对“网络服务提供者”进行定义。在国外法律层面,与我国有所不同,它们对网络服务提供者则在立法上作出了明确的界定。如日本在2002年实施的《关于特定电子通信服务提供者的损害赔偿责任限制以及公开信息传播者信息的法律》中规定,“网络服务提供者”是指使用特定电子通信设备传播他人的通信信息,以及使用其他特定电子通信设备为他人通信提供服务者。根据该法立法者的立法解释,是否营利并不是判断“网络服务提供者”的依据。欧盟在2000年制定的《关于在地区内信息社会服务、特别是电子商事交易的特定法律方面的欧盟议会以及理事会指令》中确定的网络服务提供者,是指使用固定设施无限期地进行有效率的经济活动的网络服务提供者,而为提供该服务所必要的技术手段和已经存在的技术以及对该技术的利用,不被视为该网络服务提供者的固定设施。2010年的《美国数字千年版权法》将“在网络用户指定或网络用户所选择的终端之间,对传送或接收的内容未做变更而提供传输和转发服务、以及网络数据通信连接服务的法律主体”视为“网络服务提供者”。
我国在立法上对网络服务提供者没有作出一个明确的定义,而现阶段我国学者主要还是从提供专业网络服务的内容以及营利性两个层面来对“网络服务提供者”进行界定,但在大数据时代非营利性提供网络服务有发展的趋势,综上所述,笔者认为“网络服务提供者”是指利用互联网应用技术,使用网络电子信息传输设施,传播他人的通信信息或为他人提供网络电子通信服务的单位或个人。网络服务提供者遍布整个互联网应用服务领域,不仅包括基础电信业务和增值电信业务提供者为主的营利性市场主体,而且包括非营利性的单位以及自然人。
三、拒不履行信息网络安全管理义务罪的主观心理研究
(一)主观要件的理论之争
对于拒不履行信息网络安全管理义务罪的行为人的主观心理,学界有三种不同看法。有部分学者认为,本罪的主观方面应当是故意,既包括直接故意,也包括间接故意,即行为人明知自己不履行法律法规、不有效执行监管部门的改正措施将会造成严重后果,而希望或者放任其发生。有的学者则认为应当只为间接故意,因为该罪的行为人只能是明知危害后果可能发生,而放任其发生的态度,如果行为人明知该危害后果必然发生而不履行责任、不采取措施,或者明知该危害后果可能发生,而采取积极地措施希望其发生,此时不应当认定为该罪,构成其他犯罪的,则成立其他犯罪。大部分学者则认为该罪的主观方面应当为过失。
(二)主观罪过之我见
犯罪故意不同于日常生活中的故意,就在于行为主体不仅对行为而且对行为所产生的后果所持有的希望或放任心理,如果只是对行为持有故意,则不是刑法意义上的犯罪故意。对于该罪主体而言,刑法规定其客观构成要件为“经监管部门责令采取改正措施而拒不改正”的情形,致使很多学者认为该罪的主观要件是故意。笔者则不这样认为,笔者认为,拒不履行信息网络安全管理义务罪的主观方面为过失,包括过于自信的过失和疏忽大意的过失。“经监管部门责令采取改正措施而拒不改正”的刑法规定只是说明行为主体对于违反法律、行政法规规定的信息网络安全管理义务、拒不改正的态度是故意,即明知该行为违反法律、行政法规规定的信息网络安全管理义务的要求、而仍然不采取改正措施予以改正,就如驾驶人员故意闯红灯违反交通法规一样,没有人认为交通肇事罪的主观心理是故意一样的道理,关键是看行为人对于违反这一义务所造成的后果是否持有希望或放任。根据刑法条文之间的逻辑关系,以及网络使用致使信息传播的情形来看,笔者认为该主体对后果持有轻信能够避免或没有预见更为恰当。因此,该罪的主观心理为过失更合乎立法之目的。如果该罪主体对于最终后果是积极追求或者明知必将或可能如此仍旧放任其发生的态度,则应当按照相关犯罪的行为犯或帮助犯来进行处理,而不认定为该罪。例如,行为人明知他人利用信息网络实施犯罪,而为其提供互联网接入等行为的,主观方面是故意,对于危害后果是放任甚至追求的态度,属于帮助犯,这应当成立帮助信息网络犯罪活动罪,而不是本罪。
四、拒不履行信息网络安全管理义务罪的客观特征研究
刑法二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播,或致使用户信息泄露,造成严重后果,或致使刑事案件证据灭失,情节严重或有其他严重情节的,应当承担刑事责任。为准确把握该罪这一构成特征,笔者将对上述内容进行剖析。
(一)网络服务提供者应履行的信息网络安全管理义务
该罪的成立以网络服务提供者不履行法律、法规规定的信息网络安全管理义务为前提,那么网络服务提供者应履行哪些信息网络安全管理义务?结合《关于加强网络信息保护的决定》(以下简称《决定》)以及《信息网络传播权保护条例》《网络交易平台规范》等,将网络服务提供者应履行的信息网络安全管理义务归纳如下:
1.合法、正当、必要收集、使用信息义务。如《决定》第二条允许网络服务提供者在业务活动中收集、使用公民个人电子信息,但必须公开其收集、使用规则,明示收集、使用信息的目的、方式和范围,并征得被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
2.保护隐私、保障信息安全义务。如《决定》第三条、第四条规定,网络服务提供者对在业务活动中收集的信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供,应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集信息泄露、毁损、丢失,以确保信息不被非法利用。
3.信息审查、监管义务。如《决定》第四条要求网络服务提供者在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施予以阻止。《决定》第五条要求网络服务提供者加强对其用户的信息进行管理,如果发现法律、法规禁止或者传输的信息,应当立即停止传输该信息,采取消除等处置措施。
4.提示和警告的义务。如,附属于网络服务提供者的电子布告栏系统,若一段时期内诈骗信息多发,其应对浏览电子布告栏的网络用户进行提示、发出警告;同时对于过去曾经多发的侵权信息,应建立面向未来的防范措施,杜绝相似侵害行为的再次发生。
5.信息保管及协助调查的义务。如《决定》第五条要求网络服务提供者一方面加强对其用户的信息进行管理,另一方面发现有不当行为时进行处置并保存有关记录,向有关主管部门报告。《决定》第十条规定,在有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
6.及时更新设施设备、确保网络安全的义务。从事互联网业务不仅要求其应拥有法律法规、行业标准等所要求的硬件、软件水平和技术实力,也要求其提供与其自身业务规模相当及适用网络的快速发展所需的设施设备,以确保网络安全。具体到各类网络服务提供者,有不同的标准。例如,对购物网站的特殊要求包括:对举报信息及时复核,发现风险应采取警示用户、屏蔽虚假信息、注销商户等措施。对BBS论坛的特殊要求包括:对新用户作出包括不得违法信息等的警示;对侵权举报信息及时复核,并相应采取警告、删帖、屏蔽用户等措施。
(二)经监管部门责令采取改正措施而拒不改正
该罪的成立除了网络服务提供者不履行信息网络安全管理义务行为外,同时还要求具备经监管部门责令采取改正措施而拒不改正的行为。即在该罪的客观要件上设置了前置行政行为。换句话说,如果没有经过监管部门的行政责令,并下达改正意见,仅有网络服务提供者不履行信息网络安全管理义务的行为,行为人也不能成立该罪。那么哪些机构对信息网络安全管理赋有监管义务,并可下达改正意见?当前,互联网领域的监管部门包括国信办、工信部和地方通信主管部门、新闻出版部门、教育部门、卫生部门、工商行政管理部门、药品监督管理部门、公安部门和国家安全部门等等众多部门,存在“多头管理、职能交叉、权责不一”的状况,导致实务中往往出现越界监管、指令过多、处罚标准不明确的情形,使得互联网企业无所适从。
2016年修正的《互联网上网服务营业场所管理条例》对互联网上网的设立、经营和处罚作出了相应规定,国家对互联网上网服务营业场所经营单位的经营活动实行许可制度。未经许可,任何组织和个人不得设立互联网上网服务营业场所,不得从事互联网上网服务经营活动。互联网上网服务营业场所经营单位应当实施经营管理技术措施,建立场内巡查制度,发现上网消费者有本条例所列行为或者有其他违法行为的,应当立即予以制止并向文化行政部门、公安机关举报。根据条例的上述规定,笔者认为信息网络安全管理部门主要是文化行政部门和公安机关,如果他们认为网络服务提供者的行为没有履行信息网络安全管理义务,则可作出相应的行政处罚行为,下达整改措施,要求网络服务提供者进行改正。
(三)该行为造成了危害后果
刑法对该罪的法律后果采取了两种规定方式,既有例举式的规定,也有概括式的规定。刑法的规定看似具体,其实还是很抽象,在司法实务中缺乏一定的可实际操作性。即在该罪的结果要件要素表述上法律采用的规范的构成要件要素,对于这种规范的构成要件要素进行解释有三种解决方式,一是法律的评价要素,即根据相关的法律法规对构成要件内容作出评价;二是经验法则的评价要素,即根据经验法则对构成要件内容作出评价;三是社会的评价要素,即根据社会的一般观念或社会意义对构成要件内容作出评价。在新的司法解释尚未出台之前,笔者将借鉴刑法理论并参考其他司法解释的内容对这一问题进行阐述。
1.致使违法信息大量传播。在该结果的认定上有两点值得注意,一是信息的内容要求具有违法性。如何判断信息内容的违法性?笔者认为应当根据现有的法律规定来对信息的内容进行评价,根据是否违反现行法律的禁止性规定从而作出信息内容是否违法的判断。一是大量传播。这里的大量是指达到什么样程度的一个数量?根据两院在《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第二条第一项的规定,同一诽谤信息实际被点击、浏览次数达到5000次以上,或者被转发次数达到500次以上的可认定为情节严重,那么对本罪的大量传播也可采用上述标准来认定,即该违法信息实际被点击、浏览次数达到5000次以上,或者被转发次数达到500次以上可认定为“大量传播”。或者传播违法信息达到500条以上的可认定为“大量传播”。
2.致使用户信息泄露,造成严重后果。网络服务提供者根据其收集、使用信息的目的、方式和范围,确定了收集网络用户的信息内容,并且对用户信息产生了保密义务。致使用户信息泄露是指泄露其之前所获得的相关用户的信息资料,因而在该结果的认定上值得注意的是怎么界定“严重后果”。笔者认为如果有下列情形之一,则可以认定为造成了严重后果:(1)利用用户信息,实施盗窃、诈骗等行为,给用户造成数额巨大的财产损失的;(2)利用用户信息,对他人进行诽谤等,造成被害人或者其近亲属精神失常、自残、自杀等严重后果的;(3)利用用户信息,辱骂、恐吓他人,情节恶劣,破坏社会秩序;(4)造成其他严重后果。
3.致使刑事案件证据灭失,情节严重。该结果是指网络信息已成为证明其他犯罪的证据,网络服务提供者对该犯罪证据具有保存的义务,并协助司法机关提取该证据材料。在理解该结果时应重点注意把握证据灭失与情节严重的关系。笔者认为二者是并列关系,构成该结果要同时满足二个条件即既有证据灭失的情形,同时也要达到情节严重,也就是说证据灭失不一定是情节严重。那么怎么认定达到情节严重,关于这一点笔者认为可以根据灭失的证据所证明的犯罪的行为人所承担的刑事责任来确定,如行为人为可能被处三年以上有期徒刑的犯罪分子。
4.有其他严重情节。是指不属于前三种情形以外的其他情形,如经过行政管理部门二次以上行政处罚仍然实施上述行为的等等。
在互联网高度发展的今天,网络将成为犯罪滋生的场所,网络犯罪的风暴将会越演越烈,其所影响的范围,将越来越滚广,破坏的程度也越来越高。本文希望通过对拒不履行信息网络安全管理义务罪构成特征的探析,能够为在司法实践中适用本罪提供依据,以真正做到罪责行相适应,更好地防控网络犯罪。只有加强对网络犯罪的法制建设,才能保证网络只是犯罪滋生的场所,而不是犯罪滋养的摇篮。
参考文献:
[1]罗勇.论“网络服务提供者”的法律界定――以中日比较为中心[J].学术交流,2016(6)
[2]李敏.网络犯罪心理浅析[J].职工法律天地,2015(5)
[3]朱凯超.论网络服务提供者的实质审查义务.吉林大学硕士学位论文,2015
[4]刘仁文.张慧.刑法修正案(九)草案有关网络犯罪规定的完善建议.人民法院报,2015.8.12
[5]南方周末.法律专家:QQ相约自杀案判决不妥.http:///content/53315,2011.1.6
(作者单位:湖南警察学院湖南长沙410138)
关键词:计算机;网络;防御;关键技术;策略
1计算机网络的安全运行现状分析
随着计算机网络信息系统规模的增加趋势,出现了云计算、大数据等新的技术,计算机网络中存在的不确定性因素也不断增加,为了有效提升计算机网络的安全性和可靠性,需要关注和研究计算机网络的两大类安全隐患。
在计算机网络运行的过程中,存在的一种安全隐患即为病毒感染。这是一种对计算机网络进行攻击的主要方式,它通过电子邮件通信工具等载体,实现对计算机内部服务器的干扰和影响,导致计算机网络系统出现异常和故障现象,甚至严重的情况还会导致计算机网络的整体瘫痪,对人们的日常工作和生活带来极大的危害。在病毒感染的攻击方式之下,还会导致计算机网络中的软件配置受到损坏,容易导致计算机网络中的个人信息泄露或丢失等问题。另一种即为计算机网络系统漏洞,它可以是计算机网络的硬件设施方面的漏洞,如:电子辐射泄露;电话线专线信息泄露、微波信息泄露等。还有源自于计算机操作应用系统方面的漏洞以及软件方面的漏洞,都会给计算机网络用户造成难以估量的巨大损失。
2计算机网络防御求精策略综述
计算机网络防御求精策略涉及多个层面,就计算机网络防御求精的层次而言,具有高层防御、低层防御、操作层防御等策略;就计算机网络防御的各种不同角度而言,具有防护策略、检测策略、快速响应策略、恢复策略等;就计算机网络防御的手段而言,包涵有控制访问、杀毒软件、入侵检测、防火墙、数字签名、文件加密、漏洞检测、网络监控等方式。在这个多元化、多层次的计算机网络防御体系之下,可以较好地对计算机网络起到保护的作用,促进计算机网络的正常安全运行。而计算机网络防御策略求精则是计算机网络防御策略中的关键策略,它主要是将网络拓扑信息与求精规则相融合,在具体的、可操作的防御策略之下,将高层策略转换为操作层策略,使计算机网络防御效果达到最优。
3计算机网络防御求精关键技术及策略应用
3.1计算机网络防御策略模型建构
在计算机网络防御策略模型建构的过程中,以计算机网络防御策略模型建构思想为基准,运用相关的计算机网络理论知识,使计算机网络拓扑信息与求精规则相整合,使之达到所期望的行为,并将高层的抽象策略转化和映射为低层、操作层的具体策略,具体是通过对计算机各个节点中的服务资源,实现各个节点端口的细化和分解,获取相关的数据包信息、接口信息、端口信息等。同时,在建构计算机网络防御策略模型的过程中,必须使之符合三个假设条件,即:(1)高层策略要求语法和语义的准确性,要确保其逻辑性的准确性。(2)选择的多个高层策略之间并没有冲突或矛盾的关系。(3)相关策略可以较好地掌控区域网络的设备。建构的计算机网络防御策略模型如图1所示。
在上述计算机网络防御的策略模型之中,由x轴代表计算机的安全性能及特征;y轴代表计算机内部的通信网络、信息处理、物理环境等;z轴代表计算机在实际运行状态下所处的环境。这是计算机网络防御策略的核心,它可以有效地减少计算机网络防御方面的人工成本,并在安全机制逐步完善和优化的条件下,调节所有不合理的因素和环节,提升计算机网络各系统的实际运行性能。
3.2计算机网络防御策略求精关键技术
3.2.1求精模型
(1)保护策略。这主要是对计算机网络的访问用户进行权限的限制,通过对访问用户的身份验证和核实,实现相关信息的管理。(2)监测策略。这主要是对计算机网络中的系统漏洞加以有效的监测和检查,预先发现计算机网络中存在的安全威胁,以避免计算机网络系统遭遇到突如其来的攻击,较好地保持计算机网络的正常运行状态。(3)快速响应策略。这主要是实现对计算机网络系统的重启操作和限制性的访问,在计算机网络的快速响应之下,保持计算机网络的正常与安全。(4)恢复策略。这主要是对高层策略和操作层策略的重建,还可以应用于对系统内补丁的安装。
3.2.2计算机网络防御策略求精关键技术
(1)概念语义的一致性分析技术。这也是计算机网络语义变换的技术,可以用特定的语言和形式加以表达,并提取核心词与修饰词之间的语义关系,建构不同的语义模型。(2)结构语义的一致性分析技术。这主要是针对高层策略和低层操作层策略而言,它们之间具有一定的对应关系,并在这个对应关系的前提下,可以保持其实例语义上的一致性。
4计算机网络防御求精关键技术完善
4.1完善计算机网络安全技术体系
在计算机网络之中,要注重对相关人员的管理和培训,通过有效的计算机设备管理机制,推动计算机网络防御工作的有序进行。同时,还要有效设置计算机网络的防火墙等安全服务器设施,通过对防火墙的有效设置,杜绝不明站点的访问,建立计算机网络安全保护屏障,确保计算机系统的安全技术应用和运行。
4.2完善计算机网络反病毒技术
在计算机网络之中,还需要完善和改良自身的反病毒技术,要拟定相P的管理规则,不要使盗版软件有机可乘,使一些未经安全检测的软件系统进入到计算机网络系统之中。对于计算机网络中的个人信息和内部保密性文件,要注重及时有效的备份,防止计算机网络被病毒感染之后数据破坏。同时,还要设置计算机网络访问权限,杜绝不良非法分子的入侵。运用扫描技术,并与防火墙技术、反病毒技术相配合运用,从而更好地提升计算机网络系统的安全性。
5结束语
综上所述,计算机网络渗透到了社会各个层面和领域之中,其安全性能成为了首当其冲的关键性问题,为了有效地防范各种攻击行为,计算机网络需要建构完善的计算机网络防御策略模型,并采用计算机网络防御策略求精关键技术,确保计算机网络系统的安全运行。
参考文献
[1]卡里木江・阿克巴尔,万丰瑜,孙佳洲.探讨计算机网络防御策略求精关键技术研究[J].探索科学,2016(02).
[2]余汾芬.计算机网络防御策略求精关键技术研究[J].山东工业技术,2015(20).
[3]吴月红.计算机网络防御策略求精关键技术[J].信息与电脑(理论版),2015(08).
关键词:烟草行业;计算机网络技术;网络安全;防范策略
中图分类号:TP393.08文献标识码:A文章编号:1007-9599(2012)05-0000-02
近几年来,随着信息技术的高速发展促进了网络在烟草行业的普及,信息化改变了烟草行业人们传统的手工操作模式,给大家带来了便利。随之面临的网络安全问题也不容忽视,直接影响到我们业务的正常运行而带来损失。因此,建立一套网络安全防范体系是解决当前网络安全管理的关键,只有从管理和技术相结合,人防和技防相结合,从根本上解决网络安全问题,促进烟草行业又好又快的发展。
一、网络安全的概念
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
二、网络安全威胁类型
(一)蠕虫病毒:蠕虫病毒是一种常见的计算机病毒,它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫
病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
(二)恶意软件:网络用户在浏览一些恶意网站,或者从不安全的站点下载游戏或其它程序时,往往会连合恶意程序一并带入自己的电脑,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或自动出现时,用户才有可能发觉电脑已“中毒”。
(三)间谍软件:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。
三、分析烟草行业内部网络安全存在问题
由于烟草行业网络中心承担了所有的系统业务操作,若计算机、网络出现大面积的故障,正常的业务运行将受到严重的影响,带来的后果将不可估量。因此分析内部存在的各种网络安全威胁,对如何采取具体的对策具有重大的意义。具体分析:
(一)物理安全方面
路由器、交换机、服务器等网络设备和通信链路往往因为断电或者其他的人为因素而发生物理损坏,出现链路故障,造成数据在传输过程中断,直接影响网络的安全。
(二)技术脆弱性方面
目前网络中局域网之间远程互连线路混杂,有电信、联通、移动等多家,因此缺乏相应的统一安全机制,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在。
(三)计算机病毒计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒,就是以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传统的恶性病毒。它具有病毒的一些共性,如传播性、隐蔽性、破坏性和潜伏性等。
(四)员工安全意识淡薄
大量的员工对信息安全知识和技能掌握不够,认为信息安全只是技术部门的事,安全防护意识不强,经常将自己的系统帐号随意转借他人,任意开启资源共享,错误操作等等都给网络安全带来了极大的威胁。移动存储介质的随意使用,引人病毒和木马程序,在计算机直接进行传播,往往造成系统的异常甚至崩溃,影响了业务的正常运转。
四、相应的防范对策
(一)物理安全及其保障。在中心机房建设方面就要充分考虑到设备的安全问题,按照信息安全等级保护要求,主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应和电磁防护等方面。
(二)漏洞扫描技术。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。
(三)防火墙技术。做为一种隔离控制技术,在行业的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。
(四)防病毒技术。在网络环境下,防范病毒问题显得尤其重要。这有两方面的原因:首先是网络病毒具有更大破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦,而且有时恢复几乎不可能。因此部署防毒软件是一件非常重要的事情。
(五)入侵检测技术。入侵检测技术是一种能够及时识别并报告系统中非法入侵或异常现象的技术,并限制这些现象。该技术用于检测计算机网络中违反安全策略的行为,能够有效保障计算机系统的安全。同时采用基于网络和主机的混合入侵检测系统,组成一套完整的主动防御体系,可避免系统再次受到同类型现象的入侵。
(六)上网行为管理技术。大量的非业务应用也在不断的吞噬组织的网络带宽,影响了主要业务对网络带宽的需求,很大程度上也增加了运营成本以及管理成本,其主要功能是实现对各种网络应用的识别、审计、记录、控制,并在此基础上实现对各种不同应用的网络流量的管理和控制,起到优化网络服务质量的作用(QoS)。
(七)加强员工信息安全培训
除了对用户进行有关网络安全的法律和规章制度进行宣传教育外,还必须让网络用户知道和了解一些安全策略:包括口令的选取、保存、更改周期、定期检查、保密。尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。设置有显示的屏幕保护,并且加上口令保护。定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯等等。
五、总结
总而言之,网络的安全与管理是密不可分的,只有将人防和技防相结合,才能保证网络的高效运转和数据的安全。
参考文献:
[1]王辉.浅析网络信息安全[J].农业图书情报学刊,2008
关键词:计算机网络安全及防范技术
一、计算机网络安全定义
随着计算机的普及,网络安全已经越来越为人们所关注。所谓计算机网络安全,指的是计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即指计算机网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改和泄露,确保系统能连续可靠正常地运行,使网络服务不中断。计算机网络安全从其本质上来讲就是系统上的信息安全。然而,从更为广泛的意义上来讲,我们对于计算机网络安全则可以给出如下的定义:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性、真实性、可控性和保密性。当然,计算机网络安全的具体含义也并不是一成不变的,它会随着计算机使用者“角度”的变化而变化。比如,从用户(个人、企业、办公人员等)的角度来说,他们希望涉及个人隐私、商业利益以及部门内部情况的信息在网络上传输时能够受到有效的保护,而不是因为一些网络安全的漏洞而遭受一些不必要的损失。由此可见,计算机网络安全并不存在一个固定的定义来对其各个方面加以界定,而是从不同角度出发就会有不同的定义。但是,无论从哪个角度讲,计算机网络安全都是旨在维护计算机以及用户的运行和使用方面的可用性、完整性、可控性、保密性和真实性。
二、影响计算机网络安全的主要因素
影响网络安全的因素是多方面的,既有网络本身的缺陷或者漏洞问题,也与网络使用者的技术水平有关。除去上面这两方面,在计算机网络安全的监管方面也存在一些漏洞,还有就是计算机网络黑客的攻击手段不断地更新也是影响计算机网络安全的主要因素。以下就从上述几点来详细地介绍影响计算机网络安全的主要因素。
(一)计算机网络系统本身所存在的问题
就当前流行的计算机网络系统而言,无论是Win-dows,还是Unix等,都不同程度地存在着网络安全的漏洞问题。这些漏洞的存在往往就为黑客攻击网络系统提供了可乘之机,相当多的黑客就是通过计算机操作系统所存在的不同形式的安全漏洞来侵入计算机网络系统,从而给用户的使用和计算机自身带来极大的不便。造成计算机网络系统方面出现问题的原因主要有以下几点。一是计算机系统的稳定性和可扩充性存在一定的局限,在计算机网络系统的设计中由于对整个系统在规范性和合理性方面欠缺考虑,从而造成系统的稳定性和可扩充性不足的问题,进而影响到计算机网络系统的安全。二是计算机网络文件服务器的设计存在问题。文件服务器是整个计算机网络系统的中枢,它在运行中的稳定性和功能完善性直接影响到整个计算机网络系统的运行状况。但是在文件服务器的设计中,没有能够充分地考虑到网络应用的需求,因而在网络系统的设计和选型上就存在一些不合理、不完善的地方,这一状况的存在直接导致计算机网络功能的发挥受到限制,从而影响到整个计算机网络系统运行的可靠性、可扩充性以及系统各部分的升级换代。三是计算机网络系统的使用上还存在一些其他的漏洞,比如许多计算机站点在防火墙的配置上没有充分考虑到访问权限的问题,使之应起的作用不能得到有效的发挥,从而为其他人员滥用计算机系统打开了方便之门;还有就是由于网络访问控制配置的复杂性,极易导致网络系统配置的错误,这也为计算机网络安全留有很大的隐患。
(二)计算机网络内部用户使用所存在的问题
相较于计算机外部用户对计算机安全所造成的危险,内部用户的危险性指数更大。在计算机网络内部用户的使用中,使用者普遍缺乏足够的安全意识,并且很少考虑计算机应用服务系统在访问控制和安全通信等方面对于计算机网络系统安全的影响。在此情况之下,如果计算机网络设置出现错误,就很容易造成计算机相关数据、资料等的损失。另外,计算机网络内部用户的管理制度也存在着一些问题,突出的表现在制度的不科学、不健全以及不完善上,这一情况的存在也就使得计算机网络的管理和维护随意性比较强,从而为计算机网络系统安全留下很大的隐患。在计算机网络内部用户使用上网络管理员或者是网络用户利用相应的权限来对计算机网络系统安全制造威胁这类的事件也是存在的,具体的如在计算机网络使用的过程中发生操作口令泄露或者是计算机临时文件没有及时删除被其他人窃取等等诸如此类的问题,都会为计算机黑客侵入网络系统创造机会,从而也就使得计算机网络系统安全面临极大的威胁。
四、确保计算机网络安全的防范措施
(一)技术层面
技术对于确保计算机网络安全具有极其重要的作用,它是计算机网络安全的重要保障。从技术层面入手来确保计算机网络安全,首先就要努力完善计算机的各项安全技术。完善的技术是确保计算机网络安全的一个基本条件,在这方面就要努力完善计算机的实时监测技术、实时扫描技术、防火墙技术、完整性检验保护技术、病毒情况分析报告技术以及系统安全管理技术等等,凭借这些技术作支撑构筑起确保计算机网络安全的“技术大网”,使得各种病毒和黑客的入侵进不来、待不住、活不长。当然,确保计算机网络安全首先就是要努力做到使各种威胁进不来,这是确保网络安全最为关键的一步,即使这些威胁能够进入计算机也可以凭借各种相应的防御性的技术来消除这些威胁和隐患,使之待不住、活不长,不会对计算机构成致命性的安全威胁。
(二)管理层面
上面已经提到计算机网络安全不仅仅是一个技术问题,更是一个管理问题。好的管理措施同样可以确保计算机网络的安全。在这方面主要是建立和健全完善的计算机网络安全管理制度。在管理层面确保计算机网络安全可以从以下几个方面入手:
一是依据相应的计算机网络安全管理制度来进行网络安全管理,依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训;二是加强计算机的安全管理,建立相应的计算机安全管理机构,增强计算机用户的网络安全意识,对其进行网络安全教育,加强其在计算机安全方面的法律、法规以及道德观念方面意识。
参考文献
[1]朱理森,张守连,计算机网络应用技术[M].北京:专利文献出版社,2010.
