随着互联网的不断发展,网络安全正在成为一个国际问题,维护网络安全需要具备国际视野。不久前,在由北京师范大学刑事法律科学研究院、互联网刑事法治科学研究中心与奇虎360公司法务部联合主办的“网络空间与网络安全国际治理”研讨会上,业内权威人士对此进行了深入讨论。
等级保护制度支撑网络安全
站在国际高度应对网络安全问题,需要建立网络安全等级保护制度。
根据网络安全法第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
“网络安全等级保护制度和一般技术不一样,是网络空间安全保障体系的重要支撑,由制度来指导我们网络空间安全体系的建设,是应对强敌APT(指高级持续性威胁,即利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式)的有效措施。”中国工程院院士沈昌祥说。
据沈昌祥介绍,我国早在上世纪80年代就对此进行研究,在1994年,国务院就颁发了《中华人民共和国计算机信息系统安全保护条例》。
“我们的等级保护是五个等级,经过十几年,现在最高等级是四级,五级没有产生。因此,实际上我们的等级保护是四级,我们实行了十几年的等级保护是具有创新性的。”沈昌祥说,“以前我们是按照网络层、剥离层、系统层分层来进行保护,而且我们的技术还限于封堵查杀,现在我们可以进行主动防御。此外,目前出现了新的技术,比如说云计算、大数据、物联网等,我们用网络安全等级保护制度来保障网络安全,需要确保关键信息基础设施的安全。”
网络安全等级划分,依据三个梯度。
“第一,法人、公民受到损害是二级。第二,社会秩序和公共利益损害是二级,严重损害是三级,特别严重损害是四级。第三,国家安全损害是三级,严重损害是四级,特别严重是五级。”沈昌祥说。
网络安全法第十六条规定,“支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务”。
“以前我们计算科学有片面性,只讲计算速度,不讲安全防护,所以计算机体系的建构不全面,就是只有计算的资源没有保护的资源。现在,要打造一种运算和防护并存的主动免疫的新计算模式。既有计算部件又有防护部件,这样才能保障云计算、大数据、工业控制、物联网等新型计算环境可信、可识别和控制。要确保体系结构可信、操作行为可信、资源配置可信、数据存储可信,策略管理可信。”沈昌祥说,计算机网络是资源、是平台、是国家主权。我们有信心通过自主创新的技术来构建我们国家的安全防护体系。
网络空间主权不容侵犯
除了网络安全等级保护制度,网络安全的国际治理还需要从多个方面推进。
据北京师范大学法学院副教授、中国互联网协会研究中心秘书长吴沈括介绍,现在无论是发达国家还是发展中国家,在网络空间治理方面已经进行了调整。在之前网络技术和应用不发达的时期,可能很多国家都倡导的是政府为主导的管理模式。但是时至今日,多数国家,尤其是在网络技术应用比较发达的国家,更多是倡导治理的模式。
吴沈括说,所谓的治理和之前的管理存在着很大的不同,管理更多是强调政府主导,社会各方面去参与,作为一个次要的位置进行参与。而治理更多是认为网络空间具有主体的多元性、活动的多重性、行为的多样性。基于这样的特点,单靠一方面的主体力量很难实现网络空间的根本治理。所以,现在都倡导网络空间采取多元主体共治的模式,这无论是在发达国家还是在发展中国家,无论是理论层面还是实践层面,基本上得到了国际社会的认同。
“所不同的可能是在一些具体问题上,比方说我们的治理方式自上而下,还是自下而上,不同的主体在治理过程中所发挥的具体作用有什么样的不同,这可能在不同的国家有不同的认识。”吴沈括说。
推进网络安全的国际治理必须明确网络主权问题。
“这个问题迄今为止在国际社会有不同的认识,主要观点有三种。一种观点认为,网络空间是属于全人类的,某一个具体的国家不应该对网络空间实施独占性的管理权,在这种理论下提出网络空间是自主的、是无主权。另外也有一种观点认为,网络空间是有主权的,虽然网络空间具有虚拟性,但是设备、设施、主体在网络上的行为发生地是有归属的,基于这方面的原因认为网络空间是有主权的。这是具有代表性的两种观点。当然,也有一些国家在这两种观点之间,提出一个所谓的中间路线。”吴沈括说。
吴沈括认为,无论是在政策层面还是法规层面,无论是在理论层面还是实践层面,我们国家认为网络空间是有主权的。有几个标志性的几个文件可以当作参照,“两年前,在第二届世界互联网大会上,习近平同志在国际空间治理这个问题上提出了四项原则,五点主张。其中,在四项原则里第一条就提出要尊重网络空间主权。此后,一系列的政策文件里面也体现了这样一种观点,比如今年3月,外交部和网信办出台的《网络空间国际合作战略》,里面比较明确提出了要维护网络空间,从设备设施、网络活动等方面提出要尊重网络空间主权,并提出国家要在网络基础设施保护、网络行为的管控方面有一些管辖权和主导权。这实际是从政策方面给网络空间主权作了明确阐释。在法律层面,国家安全法里面明确提到维护国家网络空间,网络安全法提出要维护网络空间主权”。
主导建立网络犯罪公约
在司法实践中,面对一些具体的网络犯罪案件,也牵涉到跨境的问题。
“我们部门叫科技犯罪检察部,我们这个部门是去年北京市检察机关在司法改革过程中新设立的一个部门,为的是应对现在日益扩大的网络犯罪活动。原来我们也有类似的办案组,但是为了更好地全面地对网络犯罪进行打击,我们新设立了一个部门。”北京市海淀区人民检察院科技犯罪部主任许丹说。
据许丹介绍,今年7月,海淀区检察院配合北京市公安局海淀分局破获一起案件,此案主要涉及一个名为火球的病毒。
“涉案公司在海淀区,我们为了打掉这种犯罪采取提前介入的机制。我们检察院和公安机关配合,抓捕的时候和公安机关一起到第一线,第一时间扣押冻结电子数据。案件是一个涉外的跨境网络犯罪,涉案公司所有的病毒全都是针对国外的IP。”许丹说。
“未来不能仅仅停留在合作方面,我们要在网络空间、网络安全方面发挥主导作用。可以考虑制定一部有关网络安全或者是网络犯罪的公约。这个公约不一定是联合国国际公约,可以是地域性、区域性的。”北京外国语大学法学院副院长王文华教授说。
这个设想已经具备可行性。
“我国电子商务及电子商务的体量已经很大了,有关网络空间、网络安全、网络治理的实践已经走在了世界的前列。”王文华说。
“我们国家是网络空间主权原则的主张者和坚定的支持者。虽然一些国家还不支持网络主权原则,事实上我们看到,不管是否承认这样的原则,在很多判例或各国的立法中已经有这样的倾向。除此之外,近些年来,各国关于对跨境数据流动的立法、数据中心设施本地化的立法都在主张一些主权的原则。”中国信息通讯研究院互联网法律研究中心主任李海英说。
联合国全球网络犯罪主管Neil Walsn先生在给此次会议发来的视频中提到,“在联合国,我们目睹着一些全球范围的挑战,并试图共同应对它们,帮助世界各国携手打击网络犯罪,增强网络安全。”“为应对网络犯罪,开展在立法、执法和情报层面的能力建设和国际合作等外交活动,是维护网络空间安全的重要途径。” (本报记者 杜 晓 本报实习生 张希臣)
责任编辑:深度解读
版权所有 中国报道杂志社 广播电视节目制作经营许可证:(京)字第07311号 电子邮件: chinareport@foxmail.com 法律顾问:北京岳成律师事务所
电话: 010-68995855 互联网出版许可证:新出网证(京)字 189号 京ICP备08103425号 京公网安备:110102000508