智慧城市建設(shè)中網(wǎng)絡(luò)信息安全的法律保障問題

PAGE2PAGE5智慧城市建設(shè)中網(wǎng)絡(luò)信息安全的法律保障問題矯健律師內(nèi)容摘要：在智慧城市建設(shè)中，計(jì)算機(jī)信息系統(tǒng)是不可或缺的，信息安全問題更是重中之重，在技術(shù)層面，法律制度應(yīng)對(duì)網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品創(chuàng)新進(jìn)行激勵(lì)；從法律建設(shè)的層面，對(duì)網(wǎng)絡(luò)信息安全評(píng)審制度加以完善；應(yīng)區(qū)分全民普法與專門人才培養(yǎng)的針對(duì)性開展全民信息安全教育關(guān)鍵詞：信息化網(wǎng)絡(luò)信息安全信息安全法當(dāng)今世界，經(jīng)濟(jì)全球化，網(wǎng)絡(luò)無國界。隨著全球信息化和信息技術(shù)的不斷發(fā)展，信息化應(yīng)用的不斷推進(jìn)，信息安全形勢(shì)日趨嚴(yán)重：一方面信息安全事件發(fā)生的頻率大規(guī)模增加，信息安全問題日趨多樣化；另一方面信息安全事件造成的損失越來越大。存在于網(wǎng)絡(luò)中的國家政治、經(jīng)濟(jì)、軍事信息、企事業(yè)單位的商業(yè)信息，公民個(gè)人信息都直接反映和表現(xiàn)為國家利益。確保計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)的安全，特別是國家重要基礎(chǔ)信息系統(tǒng)的安全，已成為信息化建設(shè)過程中必須解決的重大問題。相應(yīng)的，保障網(wǎng)絡(luò)信息安全也成為法律必須高度關(guān)注的領(lǐng)域。在今日錯(cuò)綜復(fù)雜的國際、國內(nèi)形勢(shì)下，某些西方國家需要互聯(lián)網(wǎng)的自由來推動(dòng)民主革命；而強(qiáng)化網(wǎng)絡(luò)安全又會(huì)同保護(hù)個(gè)人隱私產(chǎn)生矛盾。各種情況對(duì)我國網(wǎng)絡(luò)安全和社會(huì)安全的影響應(yīng)得到足夠的重視。本文主要從智慧城市建設(shè)中網(wǎng)絡(luò)信息安全的法律保障問題中的技術(shù)創(chuàng)新、法律建設(shè)、安全教育幾個(gè)方面做初步探討。一、法律制度對(duì)網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品創(chuàng)新的激勵(lì)現(xiàn)代化的信息手段對(duì)于人類的社會(huì)管理、生產(chǎn)活動(dòng)、經(jīng)濟(jì)貿(mào)易、文化教育以至于戰(zhàn)爭方式都產(chǎn)生了革命性的影響。而我國由于在計(jì)算機(jī)操作系統(tǒng)的安全和芯片的安全上的技術(shù)成熟度問題，例如包括一直困擾我國信息安全的技術(shù)上的后門或縮微無線發(fā)射裝置等問題，讓我們的計(jì)算機(jī)信息系統(tǒng)的安全掌握在別人手里。所以，要加強(qiáng)技術(shù)上的安全防范能力是一個(gè)急待解決的問題。在網(wǎng)絡(luò)安全技術(shù)層面，隨著信息技術(shù)的進(jìn)步，信息化應(yīng)用的不斷推進(jìn)，信息安全問題日趨多樣化，用戶需要解決的信息安全問題不斷增多，解決這些問題所需要的信息安全手段不斷增加，并且這些技術(shù)也在不斷升級(jí)，不會(huì)一勞永逸。那些信息化進(jìn)程起步較早、水平較高的發(fā)達(dá)國家，其信息安全領(lǐng)域的研究水平和產(chǎn)業(yè)化程度已令人相當(dāng)矚目。從技術(shù)的角度，針對(duì)高速網(wǎng)絡(luò)環(huán)境下如何獲取網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控——對(duì)網(wǎng)絡(luò)流量可視、可控、可追溯，是網(wǎng)絡(luò)安全技術(shù)目前所要解決的一個(gè)問題。美國硅谷一家公司開發(fā)的一種技術(shù)，以高性能專用集成電路芯片為核心，從技術(shù)上基本實(shí)現(xiàn)ASIC架構(gòu)的對(duì)網(wǎng)絡(luò)L2-L7層流量分析控制和安全管理，將防火墻的功能也納入芯片中，采用DPI技術(shù)，可以全方位的優(yōu)化用戶的網(wǎng)絡(luò)，迅速提升網(wǎng)絡(luò)使用有效性和安全可控性。實(shí)現(xiàn)了網(wǎng)絡(luò)流量的可視、可控、可追溯，實(shí)現(xiàn)了高性能流量安全管理，我們國內(nèi)一些學(xué)校、醫(yī)院還有一家電信公司都使用了它。它對(duì)用戶的控制包括成敗。所以，對(duì)信息安全風(fēng)險(xiǎn)分析與評(píng)估方法的研究吸引了世界各國政府、相關(guān)研究機(jī)構(gòu)及學(xué)者的興趣，已經(jīng)產(chǎn)生了一些研究成果，很多機(jī)構(gòu)也已經(jīng)開展了風(fēng)險(xiǎn)分析與評(píng)估業(yè)務(wù)。有關(guān)介紹可以參考馮登國等編著的《信息社會(huì)的守護(hù)神——信息安全》的有關(guān)章節(jié)。在中國，如中國國家信息安全測(cè)評(píng)認(rèn)證中心上海測(cè)評(píng)中心就是為信息網(wǎng)絡(luò)安全建設(shè)服務(wù)的。有人說，網(wǎng)絡(luò)信息安全是相對(duì)的，不安全才是絕對(duì)的。因此，當(dāng)我們的網(wǎng)絡(luò)信息安全計(jì)劃和措施制定并實(shí)施過程中，由于技術(shù)和破壞者水平的提高，信息系統(tǒng)安全性會(huì)隨著時(shí)間推移而發(fā)生變化，因此，在信息系統(tǒng)發(fā)生重大修改時(shí)，或沒有修改但經(jīng)過一個(gè)規(guī)定的時(shí)間段后，對(duì)信息系統(tǒng)安全性應(yīng)評(píng)審一次，比如美國規(guī)定三年。評(píng)審的方式可以是外界機(jī)構(gòu)獨(dú)立的審查，也可以是自檢。評(píng)審時(shí)可以使用一些技術(shù)工具：如病毒檢測(cè)軟件、網(wǎng)絡(luò)薄弱環(huán)節(jié)評(píng)估工具、或者黑客侵入測(cè)試工具等。這樣對(duì)網(wǎng)絡(luò)信息系統(tǒng)有前瞻性的掌控，避免安全漏洞、安全事件出現(xiàn)后才亡羊補(bǔ)牢。我國涉及網(wǎng)絡(luò)安全的法律、法規(guī)包括《治安管理處罰法》、《刑法》等幾十部之多，對(duì)違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的都有相關(guān)的處罰規(guī)定。具體到信息安全測(cè)評(píng)的標(biāo)準(zhǔn)、法規(guī)，包括《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法》（GB/T20280——2006）、《信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》（GB/T20281——2006）等一系列標(biāo)準(zhǔn)，為開展面向信息安全產(chǎn)品的測(cè)評(píng)工作提供了基本依據(jù)。國標(biāo)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984——2007），規(guī)定了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法等內(nèi)容。在此希望對(duì)網(wǎng)絡(luò)信息安全測(cè)評(píng)制度不斷完善，并以法律的形式強(qiáng)化。對(duì)網(wǎng)絡(luò)信息安全測(cè)評(píng)在基礎(chǔ)網(wǎng)絡(luò)、重點(diǎn)單位之外，在其他網(wǎng)絡(luò)部分，也要按標(biāo)準(zhǔn)程序進(jìn)行。特別是從法律人的角度，以法律的視角，關(guān)注、研究網(wǎng)絡(luò)信息安全測(cè)評(píng)制度，促進(jìn)相關(guān)法律制度、體系的完善，形成保證網(wǎng)絡(luò)安全的包括技術(shù)、管理和法律在內(nèi)的完整體系。三、安全教育：有針對(duì)性的開展全民普法與專門人才培養(yǎng)信息安全涉及的面和層次很多，必須形成全民的信息安全意識(shí)，才能有效保護(hù)國家信息安全。所以，信息安全教育要有針對(duì)性。從法律層面明確，以不同的財(cái)力、人力資源投入，把網(wǎng)絡(luò)信息安全教育制度化。（一）普法性的宣傳、教育從義務(wù)教育階段開始信息安全的普法教育；在高等教育、職業(yè)技術(shù)教育階段，有相應(yīng)的課程設(shè)置。對(duì)保有信息的單位，應(yīng)明確信息收集、加工、管理和使用的規(guī)范。1998年英國《數(shù)據(jù)保護(hù)條例》對(duì)商業(yè)公司處理個(gè)人資料有如下要求：1向英國數(shù)據(jù)保護(hù)管理委員會(huì)通報(bào)自己的真實(shí)身份，說明處理個(gè)人數(shù)據(jù)的過程及處理該數(shù)據(jù)的目的；對(duì)處理的個(gè)人數(shù)據(jù)，該數(shù)據(jù)來源人有權(quán)得到經(jīng)處理的數(shù)據(jù)，有權(quán)核對(duì)、糾正自己的數(shù)據(jù)記錄，并有權(quán)制止某些情況的處理。對(duì)比我國商業(yè)公司收集處理個(gè)人資料的情形，可以發(fā)現(xiàn)我國的全民信息安全意識(shí)還是很缺乏的，對(duì)什么人可以收集自己信息、用途、查詢等等，根本是沒有明確的意識(shí)。信息安全是一個(gè)涉及面廣、涉及層次多的問題。因此，要大力普及信息安全的有關(guān)知識(shí)，形成全民的信息安全防范心理，才能有效地保護(hù)國家信息安全和個(gè)人信息安全。（二）專門人才培養(yǎng)從法律層面，建立人才培養(yǎng)機(jī)制。談到計(jì)算機(jī)信息系統(tǒng)，涉及硬件和軟件技術(shù)，網(wǎng)絡(luò)技術(shù)。在職業(yè)教育、高校專業(yè)設(shè)置方面、在學(xué)科建設(shè)方面，都要考慮培養(yǎng)計(jì)算機(jī)信息安全技術(shù)人才，包括網(wǎng)絡(luò)安全管理的人才的需要。我們培養(yǎng)出來的人才，不僅僅是普通的計(jì)算機(jī)、網(wǎng)絡(luò)管理人才，還應(yīng)該有具有網(wǎng)絡(luò)信息安全國際宏觀視野的人才，保障我們國家網(wǎng)絡(luò)信息的安全。四、在智慧城市建設(shè)中，信息安全問題是重中之重早在10多年前，美國軍方就將網(wǎng)絡(luò)空間列為陸地、海洋、天空、太空之外的“第五空間”。北約也正在討論是否要將傳統(tǒng)意義上的防務(wù)同盟擴(kuò)展到網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施保護(hù)領(lǐng)域。據(jù)2012年2月6日人民網(wǎng)文章“慕尼黑安全政策會(huì)議聚焦網(wǎng)絡(luò)安全”介紹，在第四十八屆慕尼黑安全政策會(huì)議上，美國前中央情報(bào)局局長海頓說，一年多前的“震網(wǎng)”蠕蟲病毒，足以讓人回想起1945年的原子彈實(shí)驗(yàn)。因?yàn)檫@是人類歷史上第一次由軟件系統(tǒng)攻擊造成物理破壞的先例，宛如出現(xiàn)了一種“新式武器”。俄羅斯網(wǎng)絡(luò)安全公司總裁卡巴斯基把網(wǎng)絡(luò)安全問題歸成四類：首先是網(wǎng)絡(luò)犯罪，比如盜用信用卡；其次是網(wǎng)絡(luò)黑客行為，政府機(jī)關(guān)如不加強(qiáng)管理，網(wǎng)絡(luò)黑客容易演變成網(wǎng)絡(luò)恐怖主義；第三類是網(wǎng)絡(luò)間諜；最后是網(wǎng)絡(luò)戰(zhàn)爭?？ò退够J(rèn)為當(dāng)前最重要的是加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育，以及進(jìn)行國際間對(duì)話。這些觀點(diǎn)足以進(jìn)一步加深我們對(duì)