时间:2023-11-20 10:01:14
关键词:军事物流;信息系统;安全威胁
中图分类号:E246 文献标识码:A
Abstract: Military logistics information system is the never center of logistics support command in modern warfare. By analyzing the main threaten of military information system in the information network war and hidden troubles in basic safety of military logistics information system, some technical products of information safety has been put forward and some safety countermeasures of military logistics information system has been given based on national net core products, basic software and independent inmovation.
Key words: military logistics; system of information; safety threaten
随着信息技术的发展和军事信息化进程的推进,信息技术的渗透性、扩散性和连通性对军事系统功能整合和效能倍增的作用越来越明显,信息技术的综合应用及其辐射效应,促进了武器装备系统一体化和指挥信息系统的一体化,催生了基于信息技术的新型作战方式――信息网络战,战争开始“从基于平台的作战转向基于网络的作战”。但同时,信息网络作为信息战的基础设施,网络的发达与通信的神速使各种信息攻击手段越来越容易得逞,而且越来越隐蔽,由此带来的军事信息和军事信息系统安全问题也日益突出。军事物流信息系统是现代战争中后勤保障指挥的神经系统,对战争的成败起着至关重要的作用,军事物流信息系统在信息网络战中面临的各种基础安全问题不容小视。
1 信息网络战中军事信息系统面临的安全威胁
在信息网络战中,军事信息网是夺取战场“制信息权”的焦点,是达成敌方“战略性瘫痪”的关键。为了适应这一战争模式,各种体系的军事信息系统必须从传统分立的、作战保障能力很差的“烟囱式”系统转变为开放的、一体化的系统,战时的物流信息网将由各军兵种信息网、盟军信息网、国家主干网和国际互联网等构成。由于信息网络的国际化、全球化和形式上的多样化,敌对双方都能以多种手段来实施信息网络战,藉以威胁军事系统的安全。这些手段主要包括以下方面。
1.1 擅自访问和植入软件
利用对方网络和系统本身错误与薄弱环节非法获取信息或篡改数据,获取对方情报或篡改对方的重要数据。1998年2月至3月间,一名计算机“黑客”先后闯入4个海军系统、7个空军系统的计算机网络,使美国国防部陷入惊慌和尴尬的境地。利用对方网络和系统漏洞把病毒程序或“逻辑炸弹”植入对方信息系统,扰乱对方计算机系统工作或使计算机系统瘫痪,这是信息网络战最常用的技俩。美国已拥有世界最大的计算机病毒武器库,随时可以从漏洞植入病毒至基于Windows系统和应用程序的主机。目前,美军军方正积极研制“无线计算机病毒传输技术”,对所有连接无线网的计算机设备造成巨大威胁。该技术一旦投入实战,我方将面临“无网不危”的境地了。
1.2 电子干扰和网络灌水
通过通信节点进行电子干扰和电子压制,使对方通信系统受阻;或通过通信节点大量灌入虚假信息,制造信息洪流,冲击敌方网络系统。在北约空袭南联盟的战斗中,美军的网络战部队通过通信节点渗透进南联盟的军方计算机系统,并插入错误信息和目标,有效干扰了南联盟的防空体系;南联盟也曾向北约国家及军队的信息系统倾泻大量的垃圾信息和病毒,造成北约网络通信阻塞和瘫痪,美海军陆战队所有作战单元的E-mail一度都被“梅利莎”病毒阻塞,美海军“尼米兹”号航母上的计算机系统甚至瘫痪达3个小时。海湾战争中,伊军信息接收站一天就收到15.2万条假消息和杂乱信息,“信息洪流”使伊军整个信息系统瘫痪、指挥控制混乱、防空系统基本失去作用。
1.3 直接摧毁
利用芯片武器或电子生物武器,直接摧毁敌方信息系统。目前,美国正在研制一套自寻的网络设备攻击系统,它利用网络设备特有的辐射电磁波为导引,用定向能摧毁网络设备的精密电子元器件,或者直接对网络设备实施火力摧毁的“硬杀伤”手段。
2 我军军事物流信息系统基础安全隐患
信息基础设施具有国家战略的核心地位,军事信息基础设施的安全更是关系到国家利益和战争走向,是未来信息战的主攻目标,军事通信网络核心硬件和军事物流信息系统基础软件更是首当其冲。目前,我军一些信息系统和信息控制系统还在使用国外的技术和产品,这些技术和产品的漏洞不可控制,使网络和系统易受到攻击,造成军事信息泄露。据统计,我国芯片、高端元器件、通用协议和标准等80%左右依赖进口,防火墙、加密机等10类信息安全产品65%来自进口。随着互联网的漫延,针对重要军事信息系统网络攻击持续增多,大量的网络攻击将可能导致军事信息泄露和系统瘫痪,给我军军事物流信息安全带来严峻挑战。现实情况下,我军军事物流信息基础设施面临安全问题的根源,大体上有物理硬件的安全、方案设计的缺陷、基础软件系统的安全漏洞、TCP/IP协议安全等几个方面。
2.1 核心硬件中的安全隐患
由于我国缺乏自主的计算机网络产品,高端服务器领域全部被IBM、HP等国外产品所垄断,和平时期建立的军事信息网络,没有对直接引进国外的信息设备,进行必要的监测和技术改造,给他人入侵系统或窃取信息等非法操作提供了可乘之机,使军事信息网络的安全性能大大降低,信息安全隐患不言自明。如当前思科的安全漏洞造成我国信息基础设施的严重安全隐患。思科是目前全球网络设备主要厂商之一,掌握着核心技术。中国的骨干网接入设备大部分采用思科的设备,一旦发生安全问题,中国的信息网络会全面瘫痪。目前思科的网络设备广泛用于我国电信运营商的骨干网、金融、政府、铁路、民航、医疗、军警等要害部门,军事信息网络也部分依赖于国家骨干网,思科的安全漏洞也将严重影响军事信息网络的安全。
作为主机核心芯片的微处理器,也是信息系统的核心硬件之一,其可靠性是系统安全的基本条件。我国自主产权的CPU还没有具备大规模生产能力,AMD、Intel几乎垄断了全球微处理器市场,我们的计算机终端产品中几乎无一例外地是由国外的CPU掌控。如果Intel要想悄悄地往CPU中间塞一块电路――间谍电路以实现后门,用户无人知晓,这对系统安全性将造成严重威胁。
2.2 基础软件中的安全隐患
信息系统安全由硬件系统安全和软件系统安全协同构成。在软件系统中,操作系统与数据库管理系统的安全问题是核心。随着软件系统规模的不断增大,系统中的安全漏洞或后门也不可避免的存在,常用的操作系统,无论是Windows还是Linux几乎都存在或多或少的安全漏洞,众多的各类服务器最典型的如微软的IIS服务器、浏览器、数据库等都被发现过存在安全隐患。可以说任何一个软件系统都可能因为程序员有意和无意的设计缺陷等而存在安全漏洞,这也是系统安全问题的主要根源之一。我国信息技术发展晚于国外几十年,在基础软件方面国外软件更是先入为主,占据了市场,特别是在中间件、数据库软件方面,IBM、Oracle等国外软件商在认知度上就要先于国内厂商。由于国外软件的广泛使用,信息系统的信息安全性已明显不保。
(1)操作系统类安全漏洞
操作系统是系统软件的核心和基础,其安全问题是关键中之关键。目前,我国广泛应用的主流操作系统都是从国外引进直接使用的产品,在国防领域大量应用国外软件,将会直接威胁国家安全。微软操作系统的漏洞和后门,使得在非常时期我方很可能因为系统软件为人所制。由于微软拒绝开放源代码,德国、法国、英国、韩国、秘鲁等国,甚至美国的某些政府部门都选择了非Windows操作系统。
实际国外著名软件公司的产品都有秘密“后门”,以便美国国家安全局进入用户的操作系统并偷看用户的敏感电脑资料。微软公司就承认Vista的研发得到了某些组织的大力帮助。如果国家之间发生战争,我国目前的计算机系统可能成为我们的死穴,美国可以轻易让我们的国防、金融等系统瘫痪。
(2)数据库系统国产化所面临的问题
作为信息处理的核心软件,数据库系统是除操作系统外最重要的系统软件,也是应用广泛的基础性软件。我国数据库软件市场一直是国外厂商主导,几乎完全被国外的几大厂商垄断。国外厂商掌握着数据库系统原代码,我方系统中的数据结构、数据视图、数据存取对于厂商而言均为裸状态,由访问控制和安全机制构成的安全防护形同虚设,对方通过网络系统安全漏洞获取的数据将一目了然。
2.3 方案设计的缺陷
有一类安全问题根源在于方案设计时的缺陷。由于在实际中,网络的结构往往比较复杂,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求。开放性和安全性正是一对相生相克的矛盾。
因特网最初设计基本没有考虑安全问题,因此在安全可靠、服务质量、带宽和方便性等方面存在这严重的不适应性。作为因特网灵魂的TCP/IP协议,更存在着很大的安全隐患,缺乏强健的安全机制,这也是网络不安全的主要因素之一。比如,IP协议依据IP头中的目的地址项来发送IP数据包,如果目的地址是本地网络内的地址,该IP包就被直接发送到目的地,如果目的地址不在本地网络内,该IP包就会被发送到网关,再由网关决定将其发送到何处,这是IP协议路由IP包的方法。IP的这种数据通信方式虽然非常简单和高效,但由于IP不进行源地址检验,它同时也是IP的一个安全隐患,常常会使TCP/IP网络遭受两类攻击,最常见的一类就是服务拒绝攻击DOS,如TCP-SYN FLOODING攻击;另一类是劫持攻击,即对基于源地址认证的主机,攻击者通过攻击对方主机可以获得某些特权,因为基于源地址认证是指以IP地址作为安全权限分配的依据,只要冠以目标机的IP地址,就可以突破安全防线获得某些特权。
3 基于国产化的安全对策
军事物流信息系统的安全性对未来的战争胜负关系重大。未来战争中,军队系统要确保实现信息网络战战略,具备安全、通畅、实时的通信网络和综合信息系统是关键。包括可编程模块通信系统、军用卫星导航与通信系统、指挥与控制系统、军事文电系统等,为实施信息网络战战略奠定基础。必须尽快通过创新拥有自己的硬件核心产品,掌握与系统软件相关的战略性、前沿性和前瞻性的关键技术,建立我国自主的软件体系。
3.1 采用国产化网络核心产品建立军事物流基础设施
建立安全的网络基础设施,需使用自主产权的网络核心设备,如国产华为中兴的交换机与国产CPU的曙光龙芯服务器等,同时使用认证的国产网络安全产品。网络安全产品基本可以分为以下几个方面的产品:防火墙、网闸、物理隔离卡等。网闸与防火墙一样都是属于逻辑隔离的产品。但是他有比防火墙更强的安全性。物理隔离卡使一台计算机变成两台计算机分别连接内部和外部网络,从而形成两个网络,这两个网络是物理隔离的。使用物理隔离卡实现物理隔离是国家保密局确认的物理隔离方案。采用国产网络安全产品应是军用网络网建的基本条件之一。由于物理隔离网闸处于网与非网的网关的特殊位置,尤其在下面的5种场合环境中应使用物理隔离网闸:网与非网之间;局域网与互联网之间(内网与外网之间);办公网与业务网之间;电子政务的内网与专网之间;业务网与互联网之间。选择网闸产品时,应选择通过了公安部计算机信息系统安全产品质量检验中心检测,或通过国家保密局的技术鉴定。
我军物流网络中存在的国外产品带来潜在致命的安全威胁,应当考虑替换现有国外品牌网络设备及对现有网络进行安全审查等,换用自主产权的网络核心产品,在建网硬件选型时,以国产自主品牌产品为主,服务器选用曙光系列或浪潮系列,工作站选用联想系列或长城系列,路由器及交换机选用华为系列等,从而加速网络基础设施国产化步伐。
3.2 采用国产基础软件搭建军事物流系统平台
基础软件是信息系统的核心,基础软件国产化是信息系统安全的基本保证。在基础软件国产化方面,必须加强基础软件核心技术研发,重点支持高可信服务器操作系统、安全桌面操作系统、高可靠高性能的大型通用数据库管理系统等基础软件的开发应用。在安全体系的构作和评估方面,通过学习、吸收、消化TCSEC的准则,进行了安全操作系统、多级安全数据库的研制,但由于系统安全内核受控于人,以及国外产品的不断更新升级,基于具体产品的增强安全功能的成果,难以保证没有漏洞,难以得到推广应用。为确保军事物流信息的安全可靠,军事物流信息系统应率先支持国产基础软件应用,将操作系统、数据库与办公软件逐步换用到国产软件平台。如“麒麟OS”、“红旗Linux”等系统,数据库支持人大金仓数据库、武汉达梦数据库以及航天神通数据库,客户端支持通用Linux系统等,并支持国产办公系统WPS、永中office。
3.3 采用自主创新的信息安全技术与产品加强安全性
信息安全产品是技术安全防护的物质基础和主要手段。在我国自主可控的信息安全领域,自主创新一直是薄弱环节,使用国外的信息安全技术与产品,直接威胁军事物流信息系统的安全基础,使我军在信息战和信息网络战处于高度风险的威胁之中,建设的网络信息系统只能以行政手段,对使用做种种限制,以防泄密,使信息系统不能充分发挥作用,严重制约着军事物流信息化的进程。必须发展自主技术的信息安全军工产业,加强军事用途的信息安全技术与产品开发,以便能够用自己的安全设备加强军事物流信息与网络的安全性,构筑牢固的信息安全屏障,在信息网络战中掌握主动权和制信息权。
4 结束语
军事物流信息系统的安全直接关系到国防安全和未来战争的胜负,必须重视军事物流信息基础设施和基础软件在信息网络战中可能面临的各种威胁,走自主创新的发展道路,拥有自主产权的信息技术核心产品。采用国产的安全设备和安全系统构筑军事物流信息网络的安全屏障,才能建立起具有可靠防御和威慑能力的军事后勤保障系统,确保在未来信息网络战中赢得主动。
参考文献:
[1] 冯杰,等. 军事信息系统安全风险评估模型与方法[J]. 四川兵工学报,2009(3):1-4.
[2] 丛友贵. 信息安全保密概论[M]. 北京:金城出版社,2001.
[3] 王宁. 信息系统安全性评估的研究和评估系统的设计[J]. 科技导报,2005(6):27-29.
[4] 周保太. 美军信息安全发展综述[J]. 国防,2006(4):64-66.
2011年12月21日,中文IT技术社区CSDN网站数据库遭黑客入侵,600万用户的登录名及密码惨遭泄露,用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包,上传至网络供人下载,构成以获取利益为目标的违法行为。至此,泄密事件一发不可收拾,逐步衍化为一起波及多方的社会事件。
中国软件开发联盟CSDN(Chinese Software Develop Net)是中国最大的IT知识服务集团,从事IT信息传播、技术交流、教育培训和专业技术人才服务。CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴,全球中文网站排名第27位。可以想象,这样一个企业的用户数据被泄露,后果不堪设想。
CSDN“泄密门”事件之所以有如此广泛的影响,还因为作为一个开发者、程序员汇集的技术社区网站,普遍被认为安全级别很高,被黑客袭击似乎是件很讽刺的事情。
祸不单行的是,之后几天里,人人网、天涯社区、百合网等众多知名网站也相继中招,纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌,一时之间,关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼,各种防盗宝典、安全贴士铺天盖地。
2012年1月10日,北京市公安局称,CSDN两名涉案黑客已经被抓获,并指出此次泄密与实名制无关,对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日,CSDN董事长蒋涛在事件爆发20天后首次直面媒体,正面解释泄密事件。鉴于此前CSDN同大多网络公司一样,没有配备专门的安全系统或安全工程师,CSDN宣布将与阿里云公司的专业安全团队合作,共同打造安全可信的服务平台。
然而,从CSDN泄密事件爆发到宣布与阿里云公司合作,对互联网安全的讨论和反思,仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发,到调查结果出台后事态迅速冷却,再至春节气氛下彻底遗忘,CSDN“泄密门”像很多之前曾轰动一时的事件一样,在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全,是一件我们必须时常考虑的事情。
信息泄露,谁之过?
泄密事件发生后,CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上,董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施:重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示:“审计发现,CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”
但问题不仅仅存在于这场悲剧的主角CSDN,许多大型网站都存在安全意识薄弱的问题。据统计,有80%的常用网站和60%的安全类网站也存在漏洞,70%的密码库可以被破解。蒋涛称:“这些数据早都存在,长久以来国内整个信息系统都存在问题,只是在CSDN事件爆发后,才被摊在桌面上。这是我们互联网的现状。”
此次CSDN的泄密事件让很多网站开始反思自己的安全问题。
按照蒋涛的说法,国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够,由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法,与目前先进的IT技术完全脱节,无法抵御形式多样的攻击。
有资料表明,在欧美国家,互联网公司的信息安全投入占整体支出的8%—10%,而中国企业这个投入的比例还不到1%。互联网数据中心IDC(Internet Data Center)对来自多个国家近3000家公司的调查也显示,国外信息安全投入远大于中国。
另一个同样严重的问题是,目前在我国互联网行业,信息安全和信息技术是分离的。蒋涛也表示:“一般只有像百度、腾讯这样的网络公司才会有安全工程师,其他网站很少有这样的人才配备。”当然,要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此,网站同信息安全公司结合的模式或许会成为许多公司未来的选择。
网站信息安全的建设不是一朝一夕的事,能意识到问题只是第一步,和信息安全公司的磨合也需要时间。与此同时,网站自身还需要采取一些具体的措施,力保用户信息安全。
为防止信息泄露,网站首先要做的是全面掌握自己有哪些信息,清楚信息安全维护的短板何在。比如,许多网络安全专家认为,明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题,结合各部门的具体情况进行相应管理。
同时,网站应建立规范的制度,如签署保密协议、对信息的获取权限、流程等进行严格规定。此外,还需要建立严格的审计机制,对内部人员,尤其是有高权限的IT管理人员的行为进行定期审计,若有问题,及早发现。
除了技术性的防护手段和操作规范以外,网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。一些企业长期忽视用户利益,责任意识淡薄,更不排除在看到内部资料,如客户信息的价值后,有些员工会突破职业底线。如此一来,这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患,网站企业需加强内部管理,如利用企业文化规范员工行为,提升员工凝聚力等。
对于某些信息安全问题,装在客户端的杀毒软件无能为力,用户更是束手无策。但实际上,有些安全问题不仅限于服务端,也存在于用户端。
很多用户不重视账户安全,以为账号不值得被利用,殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实,不论网站还是用户,安全意识淡薄都是发生信息泄露的根本原因。
密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出,密码设置并没有引起大部分用户的重视:在我国,100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例,即便在信息遭泄露、网站反复提醒下,也仅有30%密码遭泄露的用户对密码进行了修改。
根据安全专家的建议,网友应该把日常使用的网络服务分类。“邮箱就像保险箱,里面有打开其他服务的全部钥匙”,所以重要服务如邮箱等,设置密码时需要尤为注意,避免一但被黑客恶意进入,暴露更多真实信息。同时,应尽量在不同网站设置不同的登录密码,以防其中之一被攻破,其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。最后,养成定期更换密码的习惯,且设置的密码安全等级要有一定强度。
除了在密码上花些心思,确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。
相比于一般企业,网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息,如姓名、地址、手机号码,一旦泄漏,后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出,此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外,法律方面,主管部门应尽快出台法规,从权利保护、责任认定、责任追究和法律保障上,对个人信息予以保护,明确个人、网站和监管机构各方所应承担的责任、义务。
同时,有律师表示,不管是黑客入侵还是内部泄露,网站既构成侵权,又构成违约。如果用户因为信息泄露造成损失,有权向网站索赔。
而目前,我国对个人信息安全保护的相关法律条例仍有待完善。更有通过法律的明确规定,才能让企业真正实行其义务,有力保障个人信息。在制定公民信息法律方面, 美、德、法、英四国就为我们做出了很好的表率。
美国是隐私权相关概念和理论的发祥地,其保护隐私权的法案早在1974年就已生效。之后,又有《财务隐私权法》、《联邦电子通信隐私权法》、《家庭教育权利及隐私法》、《计算机对比和隐私权保护法》等不断补充进来。随着信息技术的发展,联邦政府及各州还不断出台新法、升级老法,使隐私权保护能紧跟时代步伐。
在德国,隐私权作为一项独立的人格权受到民法典保护。1970年,德国黑森州颁布了德国首部地方性《数据保护法》,从而在全球开辟了一个新的立法领域。《联邦数据保护法》和《州数据保护法》在1977年和1981年也先后出台。1983年,德国立法机构全面修订了《数据保护法》。为适应时代变化,德国又于2001年和2006年根据欧盟的新规定两度修订《联邦数据保护法》。
法国国家信息技术与自由委员会成立于1978年,目的是保证信息技术不妨碍人权、个人隐私和自由。2004年,法国国民议会通过法律,赋予委员会对违规机构进行经济处罚的权利。
英国议会于1984年通过了《数据保护法》,并于1998年对该法进行修订。此后,英国陆续通过了《调查权法》、《通信管理条例》和《通信数据保护指导原则》等一系列旨在保护公民个人信息的法律。
做好信息安全,需要网站企业、用户个人、监管部门三方共同促进。一种处在这三种角色之间的新力量,能否肩负起维护信息安全的重任?
在媒体见面会上,蒋涛曾承认,CSDN当时对乌云平台发出的预警没有足够的重视,导致事件不断扩大。乌云网是国内一家披露互联网厂商安全漏洞的网站,其信息来源于注册用户的提交,旨在为厂商和安全研究者之间搭建一个平台:企业可通过该平台获知自己网站的潜在危险,后者可以在此学习、交流和研究。
去年岁末,作为许多网络泄密事件的源头,乌云网先后曝出了CSDN、天涯社区、当当网、京东商城等网站存在安全漏洞。12月29日又披露了1,500万至2500万支付宝用户资料泄露事件和广东出入境政务网站后台存在的严重漏洞。据称,444万网上申请用户的真实信息,如姓名、护照号码、港澳通行证号码等已经遭到泄密。
鉴于以上几起泄密事件为自身带来的巨大压力,12月31日,乌云网宣布暂时关闭网站,理由是“对系统做短暂升级”。同时,网站还公告称:“最近频繁披露的安全事件及带来的影响表明,一方面我们企业的整体安全建设还不够完善,但是同样反馈出乌云平台无论是沟通渠道还是响应机制都存在一些问题。在漏洞公开机制上,乌云考虑是否逐渐向公众披露,以减少实际可能带来的影响。”但分析人士指出,网站选择暂时关闭,更可能是来自政府以及企业的压力。“社会影响太大,已经远远超出漏洞公布的技术层面了。”有专家这样说。
结语
承诺书是指承诺人对要约人的要约完全同意的意思,并以书面形式表达。以下是小编收集整理的关于网络信息安全的承诺书,欢迎大家阅读,但愿对你有借鉴作用。
关于网络信息安全承诺书1为了保护我校校园网络系统的安全,促进学校计算机网络的应用和发展,保证校园网络的正常运行,根据市公安局和市教育局的有关文件以及《__x中学网络安全管理制度》的要求,请各位老师配合做好以下工作:
一、每位老师使用的电脑应使用固定ip地址并进行绑定,使用真实姓名对计算机进行命名。具体操作方法:鼠标右键点击"我的电脑"_属性_计算机名,在此界面的中部“要重新命名此计算机或加入域”,单击更改,改名的格式:__李__,以此类推。
二、所有连入校园网络的计算机均须安装使用公安部门检测认证的杀毒软件,禁止安装网上下载的未经公安部门检测认证的或试用版的杀毒软件,同时要做好病毒和木马等安全防范工作。
三、坚决杜绝访问国家禁止的非法网站、国内外的反动、迷信、暴力、色情等不健康的网站。
四、禁止浏览、下载并传播一些盗版、迷信、暴力、色情等不健康的内容的文件和电影。
五、校园网中对外信息的web服务器中的内容必须经部门领导审核才能,所有校园网用户的帐号密码必须自己妥善保管使用,不得随意公布转借。
六、校园网的所有用户有义务向网络安全管理人员或有关部门报告违法犯罪行为和有害的、不健康的信息,并协助有关部门进行调查。校园网建设领导小组应不定期检查校园网络信息的内容,督促管理员和各部门对有害信息进行清除。
请老师们遵守以上条例,如有违反,将导致无法上网并承担一切后果。
关于网络信息安全承诺书2为保障互联网网络与信息安全,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,承诺遵守《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《互联网安全保护技术措施规定》(公安部82号令)等有关法律法规的规定,履行以下法定义务:
一、依法进行备案登记
1、在网络正式联通后的三十日内到郴州市公安局网技支队进行备案登记;
2、向公安机关提供本单位互联网资料、网络拓扑结构和接入本网络的接入单位和用户情况;
3、向公安机关提供本单位IP地址范围、分配给本网联网用户IP地址和详细使用情况。
4、与郴州市公安局网技支队建立联席制度和用户资料报告制度,确保用户IP等资料及时更新。
二、依法从事信息服务业务
不利用国际联网制作、复制、、传播下列信息:(注:据修订后的292号令的相关内容进行修改)
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
发现网络传输的信息明显属于上述所列内容之一的,立即停止传输,保存有关记录,并向公安机关报告;对网络传输的信息内容难以辨别的,经相关主管部门审核同意后再。
三、切实履行安全保护职责
建立并落实以下网络信息安全保护管理制度和技术保护措施:
(一)信息、审核制度;
(二)信息监视、保存、清除和备份制度;
(三)病毒检测和网络安全漏洞检测制度;
(四)违法案件报告和协助查处制度;
(五)账号使用登记和操作权限管理制度;
(六)安全管理人员岗位工作职责;
(七)安全教育和培训制度;
(八)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施
(九)重要数据库和系统主要设备的冗灾备份措施;
(十)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施,信息内容留存六个月以上,日志信息留存12个月以上;
(十一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(十二)提供新闻、出版以及电子公告等服务的,能够记录并留存的信息内容及时间;
(十三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;
(十四)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息;
(十五)法律、法规和规章规定应当落实的其他安全保护制度和安全保护技术措施。
提供微博客、博客、论坛、即时通讯等交互式信息服务的,还应落实以下安全保护管理制度和安全保护技术措施:
(一)专职信息安全员管理制度,按照日均发帖1万条以下的配备1名,10万条以下配备3-5名,100万条以下不少于20名,500万条以下不少于50名,超过500万条的不少于60名的标准配备安全员;
(二)用户实名注册保护管理制度及措施;
(三)7_24小时公共信息巡查制度;
(四)信息网络安全事件应急处置工作制度及措施。
(五)法律、法规和规章规定应当落实的其他安全保护技术措施。
四、配合公安机关互联网管理工作
1、按公安机关通知要求,第一时间对含有违法有害内容的地址、目录或者服务器进行关闭或删除;
2、当公安机关依法查询、追踪和查处通过计算机信息网络实施的违法犯罪活动时,如实提供有关信息、资料及数据文件。
3、建立网络与信息安全责任人联系制度,保证公安机关可以随时与本单位安全责任人沟通联系。
本单位法定代表人为第一负责人,相关部门负责人为第二负责人,并确保联系畅通。
4、网站提供信息服务项目、网站网址、接入服务商、安全负责人及联系方式等发生变更的,相关情况应于变更后一个工作日内报告公安机关。
若有违反上述承诺的行为,愿意承担法律责任。
单位电话:__________ 单位传真:__________
法定代表人及联系电话:__________
网络与信息安全责任人及联系电话(所有相关部门安全负责人均应列明):
此承诺书一式两份,一份报公安机关网络安全保卫部门备案,一份单位/个人留存。
单位盖章(个人签名):__________
_____年_____月_____日
关于网络信息安全承诺书3杭州电商互联科技有限公司:
本用户郑重承诺遵守本承诺书的有关条款,如有违反本承诺书有关条款的行为,由本用户承担由此带来的一切民事、行政和刑事责任。
一、本用户承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际互联安全保护管理办法》及其他国家有关法律、法规和行政规章制度。
二、本用户已知悉并承诺遵守《电信业务经营许可管理办法》、《互联网IP地址备案管理办法》、《非经营性互联网信息服务备案管理办法》、等国家相关部门有关文件的规定。
三、本用户保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事违法犯罪活动。
四、本用户承诺严格按照国家相关的法律法规做好本用户网站的信息安全管理工作,按政府有关部门要求设立信息安全责任人和信息安全审查员。
五、本用户承诺健全各项网络安全管理制度和落实各项安全保护技术措施。
六、本用户承诺不制作、复制、查阅和传播下列信息:
1.反对宪法所确定的基本原则的;
2.危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3.损害国家荣誉和利益的;
4.煽动民族仇恨、民族歧视,破坏民族团结的;
5.破坏国家宗教政策,宣扬邪教和封建迷信的; 6.散布谣言,扰乱社会秩序,破坏社会稳定;
7.散布淫秽、色情、、暴力、凶杀、恐怖或者教唆犯罪的;
8.侮辱或者诽谤他人,侵害他人合法权益的;
9.含有法律、行政法规禁止的其他内容的。
七、本用户承诺不从事下列危害计算机信息网络安全的活动:
1.未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
2.未经允许,对计算机信息网络功能进行删除、修改或者增加的;
3.未经允许,对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的;
4.故意制作、传播计算机病毒等破坏性程序的;
5.其他危害计算机信息网络安全的。
八、本用户承诺当计算机信息系统发生重大安全事故时,立即采取应急措施,保留有关原始记录,并在24小时内向政府监管部门报告并书面知会贵单位。
九、若违反本承诺书有关条款和国家相关法律法规的,本用户全部承担相应法律责任,造成财产损失的,由本用户承担全部赔偿。你单位有权停止服务,且无需承担任何责任。
十、本承诺书自签署之日起生效。
客户签章:
关于网络信息安全承诺书4为维护__公司信息安全,保证公司内部网络环境的稳定,保障各系统运行效率,我愿意遵守以下承诺:
1、确保设备正常运行,不随意查看来历不明的信息,打开相关信息前确保系统处于安全防护中心开启状态。
2、不利用外部软件系统传输重要文件,重要文件传输尽量利用企业邮箱,以免造成重要文件、数据泄漏。
3、涉及到的重要文件信息,其电子文档应该存储在涉密介质中加密单独存储。
4、对单位使用的系统,每三个月更换一次密码,且密码需要字母、数字、符号混搭使用,提高账户的安全性。
5、私人账户密码与公司系统用户密码完全分开,不设置一样或类似密码。
6、不在单位私自架设WIFI网络。
7、对自己在用的办公电脑内的公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
8、不安装有可能危及公司计算机网络的任何软件。
9、不利用网络系统制作、传播、复制有害信息。
10、不利用公司网络入侵他人计算机获取重要文件。
11、未经授权不使用他人计算机。
12、未经授权不查阅他人邮件。
13、不故意干扰网络畅通运行。
14、不浏览没有安全许可的网站。
15、不利用公司网络便利观看与工作无关的视频、音频等相关文件。
16、不利用公司网络便利使用与工作无关的软件(股票、影音)等类似软件。
17、不使用个人介质如光盘、U盘、移动硬盘等存储设备拷贝公司的重要文件、资料并带出公司。
18、不将ERP帐号或OA帐号密码透露给他人,不让他人代己做ERP单据或办理OA流程。
19、对自己在用的办公电脑使用杀毒软件和防火墙,并设置好自动更新和病毒库自动升级,定期杀毒。
20、不在工作时间利用计算机网络从事与本职工作无关的活动。
承诺人:
日期:
互联网和IT技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
目前,许多企事业单位的业务依赖于信息系统安全运行,信息安全重要性日益凸显。信息已经成为各企事业单位中的重要资源,也是一种重要的"无形财富",分析当前的信息安全问题,有十五个典型的信息安全问题急需解决。
一、网络共享与恶意代码防控
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
二、信息化建设超速与安全规范不协调
网络安全建设缺乏规范操作,常常采取"亡羊补牢"之策,导致信息安全共享难度递增,也留下安全隐患。
三、信息产品国外引进与安全自主控制
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
四、 IT产品单一性和大规模攻击问题
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、"零日"攻击等安全事件。
五、 IT产品类型繁多和安全管理滞后矛盾
目前,信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
六、 IT系统复杂性和漏洞管理
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明,绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。1998年2月份,黑客利用Solar Sunrise漏洞入侵美国国防部网络,受害的计算机数超过500台,而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。
为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是,大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
七、网络攻击突发性和防范响应滞后
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
八、口令安全设置和口令易记性难题
在一个网络系统中,每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
九、远程移动办公和内网安全
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。"既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全。"就成了一个许多单位都面临的问题。
十、内外网络隔离安全和数据交换方便性
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,"内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。"但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
十一、业务快速发展与安全建设滞后
在信息化建设过程中,由于业务急需要开通,做法常常是"业务优先,安全靠边",使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是"亡羊补牢",出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
十二、网络资源健康应用与管理手段提升
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到"可信、可靠、可视、可控"。
十三、信息系统用户安全意识差和安全整体提高困难
目前,普遍存在"重产品、轻服务,重技术、轻管理,重业务、轻安全"的思想,"安全就是安装防火墙,安全就是安装杀毒软件",人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:
用户选取弱口令,使得攻击者可以从远程直接控制主机;
用户开放过多网络服务,例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接"ping"内部网主机,允许建立空连接;
用户随意安装有漏洞的软件包;
用户直接利用厂家缺省配置;
用户泄漏网络安全敏感信息,如DNS服务配置信息。
十四、安全岗位设置和安全管理策略实施难题
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是"一肩挑"。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
自主原创
随着中国信息安全意识的不断提升,国家相关监管政策的逐年升级,2009年10月18日中国信息安全测评中心在新闻会中隆重公布了率先获得国家信息安全产品“自主原创证明”的四家国内信息安全骨干企业,希望以此鼓励并促进业内信息技术企业开发拥有自主关键技术和自主知识产权的信息技术产品,加强信息技术知识产权服务系统的建设,促进自主创新成果的知识产权化、商品化及产业化发展。
东软作为率先获得国家“自主原创证明”的信息安全企业之一,自1996年东软安全品牌诞生,13年来东软NetEye一直战斗在中国信息安全战场的前线,此次东软NetEye防火墙系统成为率先通过国家认证的自主原创信息安全产品是东软多年坚持走自主原创民族品牌道路的有力证明。
“13年的自主原创之路历经风雨,坚持原创的软件之路其实是很艰辛的。通过多年的技术积累,东软已经拥有了流过滤技术、NOS安全操作系统、事件描述语言NEL、IDS内容恢复、网络流量分析系统、信息收集引擎ICA、安全管理平台中的信息关联分析等多项领先的核心技术,它们为东软打造自主原创品牌,更切实地贴近行业用户的实际需求从而有效提高用户整体网络安全保障能力提供了强有力的技术支持。” 东软网络安全营销中心总经理贾彦生如是说。
2008年重大体育赛事和近期的新中国60周年大庆等重大活动对信息安全提出了更高的要求,也成为了用户和广大网民提升信息安全意识的很好的契机,越来越多人意识到信息安全的重要性,对提高安全防护能力的需求也更加具体、迫切。东软网络安全市场总监路娜介绍说,与国外品牌相比,东软更能了解中国用户的业务需求和IT系统架构,同时可以调用东软集团各个行业的资深技术专家来为用户提供全面的信息安全评估,并结合东软NetEye13年安全行业的技术经验,为用户量身打造适合、适度的信息安全解决方案。且不说东软传统安全产品已连续8年名列国内权威测评机构年度评选防火墙市场前列,应运而生的东软NetEye安全运维管理平台(SOC)和网络流量分析与响应系统(NTARS)在市场上也已小试身手且业绩不俗。
在安全服务方面,东软提出了安全大服务的创新构想。此安全大服务的理念与东软集团董事长兼CEO刘积仁博士的大服务理念相一致,面向软件、面向系统的安全支撑体系的建设和运维管理平台的搭建是东软从主流产品市场往另一方向扩展的重要内容。
中国信息安全漏洞库
“网络促进发展 安全创造价值”。2009年10月22日,在美丽的星城――湖南长沙召开的中国计算机网络应急年会上,伴随着蓝色水晶球的旋转,中国信息安全漏洞共享平台共建签约仪式正式启动,东软网络安全产品营销中心总经理贾彦生参加启动仪式,这标志着东软成为了中国信息安全漏洞库(CNVD)少有的几家率先签约技术支撑合作企业之一。
由国家互联网应急中心发起,行业用户、安全厂商、软件厂商等共同参与、协同合作,共同搭建中国信息安全漏洞共享平台,实现漏洞信息的反馈、收集和应对措施办法的分享,从而更加有效地提高广大用户和网民的信息安全风险意识和防护能力。鉴于目前国内安全形势不容乐观,漏洞的应用难度越来越低,尤其是零日漏洞危害极大,通过协调政府、用户、安全厂商等各方面资源,本着开放性、中立性和非赢利性的原则,集全国信息安全极强实力打造这样一个平台,无疑是下了一场及时雨。东软表示,作为中国领先的信息安全民族品牌,为国家漏洞库及时地提供有关信息、技术支持及技术共享是东软义不容辞的责任和使命。
国家信息安全漏洞共享平台将面向政府部门、重要信息系统用户、基础电信运营商、安全企业以及互联网终端用户,建立不同的漏洞信息途径,并按照不同用户的安全需求不同类型的漏洞信息,使得信息系统用户能够在第一时间获知其所使用信息系统的安全隐患情况,从而加强对安全威胁的及时防范能力。
东软NetEye在漏洞发现、处置等方面进行了大量研究工作,同时也建立了有数万条目的企业级安全漏洞库,在漏洞发现和分析上积累了一定的经验。作为CNVD成员和率先获得“自主原创证明”的地地道道的民族品牌,东软表示愿意继续积累并分享信息安全领域的专业技术和经验,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,为促进国内相关安全产品的发展做出应有的贡献。
安全应急响应服务
为拓宽掌握互联网宏观网络安全状况和网络安全事件信息的渠道,增强对重大、突发网络安全事件的应对能力,强化公共互联网网络安全应急技术体系建设,促进互联网网络安全应急服务的规范化和本地化,权威工业和信息化主管部门、国家计算机网络应急技术处理协调中心早在2004年已启动了“CNCERT/CC网络安全应急服务支撑单位”的选拔工作。
1 网络信息安全应急机制的理论基础
1.1 宪政基础 宪政是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是宪政最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有宪政上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。
在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。
1.2 社会连带责任思想 社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。
首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。
其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。
美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。
1.3 权利平衡理念 从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。
为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、宗教信仰权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。
2 网络信息安全应急机制的价值目标
所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。
2.1 安全价值 安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。
安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。
2.2 经济价值 网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。
网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。
2.3 发展价值 发展价值是应对网络安全紧急状态的约束价值,是人们应对紧急状态这种非常态规则的限制思想,是正确认识发展与安全、效率之间关系的理性抉择。首先,根据心理学理论,企业长期处于应急状态,必然会影响发展,所以应急立法应当以“尽快结束紧急状态”为其基本原则,设计制度、建立机制。其次,对应急过程中的行政紧急权力进行必要的限制,以防止行政紧急权力的滥用对重要领域企业的发展造成不利的影响。同时,建立合理的紧急状态启动程序和终止程序,这对于企业健康快速发展也至关重要。第三,对政府在紧急状态下的征用、断开、责令停产停业等措施对公司、企业造成的经济损失,在紧急状态结束后应该给予相应的赔偿,以增加企业对政府的信任度,促进企业经济发展。
网络信息安全应急机制的价值目标是一个由安全价值、经济价值和发展价值构成的有机体系。安全价值是核心,是首要目标,位于第一层次。网络信息安全应急机制中安全价值的地位类似于法律制度中位阶最高的法律价值,它指导和贯穿整个网络信息安全应急的过程。在目标体系中,经济价值是第二价值目标,位于第二层次;发展价值是第三价值目标,位于第三层次。经济目标和发展目标必须服从于安全目标的要求,只能在保障安全的基础上考虑应急的效率性和国民经济的发展。
3 网络信息安全应急机制的法律保障
从网络信息安全应急机制的理论基础出发,为实现网络信息安全应急机制的安全价值目标,笔者认为,法律应从以下几方面进行界定:
3.1 建立适合我国国情的网络信息安全应急管理体系 应急管理体系是网络信息安全应急保障的重要内容。应急管理体系是否合理直接关系到法律实施的效果。根据国务院27号文的总体精神,文章认为,我国网络信息安全应急管理体系应为一元化的两层结构。所谓一元化,是指国家应当建立应急协调机构,统一负责网络信息安全应急管理工作。所谓两层结构是指应当发挥行业和地方政府的优势,加强应急管理。
a.国家应急协调机构及其职责。国家应急协调机构是我国网络信息安全紧急状态应急的最高决策机构[6]。在美国,主要由国土安全部负责开发国家网络空间安全响应系统,对网络攻击进行分析,告警、处理部级重要事故,促进政府系统和私人部门基础设施的持续运行。在我国,国家应急协调机构为信息产业部互联网应急处理协调办公室。国家应急协调机构应当履行以下主要职责:协调制定和贯彻国家信息安全应急法律法规政策;协调国家应急响应基础设施建设;协调国家紧急状态下应急技术的攻关和开发;授权、终止国家和区域性的紧急状态命令。
b.行业应急管理部门及其职责。行业应急管理部门是指根据国家法律和行政规章授予的职权,建立行业内网络应急管理的部门,如军队可以分兵种建立信息安全应急管理体系,国务院可以按照行政职权的不同分别建立网络安全应急管理体系,中共中央和政协系统也可以建立各自应急管理体系。行业应急管理部门依法对管辖的国家关键基础设施的紧急状态进行管理。
行业应急管理部门的主要职责应当包括:贯彻落实国家关于网络信息安全应急的政策和法律;实施行业应急响应基础设施的规划、建设;在行业内部建立应急预警和检测体系,建立预警网络平台,加强与其他行业之间的合作;对行业内重要部门有关危害网络安全的警告;组织协调行业应急响应工作。
c.地方政府应急管理部门及其职责。地方政府应急管理部门负责其辖区内的网络信息安全应急管理工作。在美国,新墨西哥关键基础设施保护委员会(NMCIAC)就是一个私人-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(FBI)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥关键基础设施的保护。NMCIAC致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响NMCIAC成员组织和普通民众的那些因素所采取的各种响应进行研究。
3.2 建立准确、快速的预警检测机制 建立一套快速有效的网络信息安全应急预警、检测和通报机制,成为实际处理突发事件成功的关键。网络信息安全应急的目的就是要预防网络安全紧急事件的发生,或者是将紧急事件的危害降到最低。建立常设的预警机构,及时准确地收集掌握各种情报信息,把握事件发生的规律和动态,才能对事件的性质、范围、严重程度做出准确的判断,最终才能打赢应急这场仗。
美国《网络空间安全国家战略》指出,在网络信息安全应急响应检测预警机制的建设上,将网络告警与信息网从联邦政府网络检测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供了一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调。这种建立统一平台、共享网络告警信息的做法对我国有着非常重要的借鉴价值。
笔者认为,一个完善的预警检测应包括以下几个方面的内容:a.建立一个全国性的能够对重大基础设施攻击发出预警的国家中心,各个部门还应该建立事前收集掌握各种紧急状态信息的检测判定和应急响应的日常机构。同时,建立自己的网络监测平台,连入CNCERT/CC的监测平台,实现信息共享。b.各级政府、行业应急部门及其社会性的应急部门要制定预防网络安全紧急事件的应急预案,针对不同的计算机信息系统,按照事件发生后的影响程度(时间长短、业务范围、地域范围等因素)制定不同的预案。要对应急预案进行测试和演练,不演练和改进,所有好的预案都等于零。c.建立统一的网络安全紧急事件预防控制体系,及时准确地收集掌握各种深层次、前瞻性的情报信息,及时把握事件发生的规律和动态。d.对预警、检测规定法律责任。
3.3 明确应急过程中的行政紧急权力的限制和法律救济机制 为了应对紧急状态,临时剥夺某些公民、单位的私权益,是各国应急法的普遍实践。行政紧急权力是一种必要的权利,但又是一种最为危险的权利,这些权利一旦滥用,社会就会出现新的混乱。关闭网络、封堵部分网络路由,征用关键通信设施、监控电子通信等等应急措施可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法制的轨道。
a.严格界定紧急状态的定义及其分级。为了防止政府随意宣布进入紧急状态,随意启动行政紧急权力,同时也为了防止政府在紧急状态下的消极不作为,有必要通过法律界定紧急状态的定义。一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态[7]。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。
b.明确宣布进入紧急状态的主体。紧急状态是否形成危险以及危险的程度,不同人会有不同的认识和判断,为了减少紧急状态确认的随意性,增加宣告的权威性和认同感,紧急状态的宣布主体必须是法定的权威机关。
c.对行使行政紧急权力的具体程序进行严格的规定,不但要规定启动行政紧急权的程序,而且还要规定撤销紧急状态的程序,以及发生与公民隐私权冲突情况下的处理程序。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。
d.建立首席信息安全官(CIO)制度,确保对私权益的尊重和保护。
e.确定私权保护的最低标准。政府活动的底线就是尊重和保护基本人权,即使是在紧急状态情况下,也不得随意克减基本人权,否则就很容易放纵国家权利机关滥用行政紧急权利。
f.明确规定应急主管机关在紧急状态下的职责和义务,防止渎职和失职现象。为防止在关键时刻出现渎职和失职情况,法律必须明确规定应急主管机关的具体职责,为渎职和失职设定明确的法律后果,并建立有效的责任监督和追究机制。
在隐私权的保护方面,美国信息系统保护国家计划V1.O要求,国家计划中所有的提议要与现有的隐私期望完全一致,要求每年召开一次关于计算机安全、公民自由和公民权利的公-私讨论会,以确保国家计划的执行者始终关注公民的自由。政府检查公民计算机或电子通信的任何举动必须与现有法律如《电子通信隐私法案》相一致。
在紧急状态得到控制后,应急计划的启动者应当终止紧急状态的命令,恢复正常的社会秩序。结束紧急状态意味着被暂时剥夺的私权益将得到恢复。网络紧急状态终止后,国家基础设施运营部门应当向国家应急协调机构、行业和地方应急管理机构提交详细的应急响应报告,行业和地方应急管理部门应当向国家应急协调机构提交应急管理工作的总结报告。对政府在紧急状态下的征用、责令停产停业等措施对公司、企业或个人财产造成损失,在紧急状态结束后应该给予相应的赔偿,对补偿的标准要予以明确的规定。要明确规定受害人获得行政救济和司法救济的途径。
法律救济始终是各部门法律不可欠缺的重要环节。没有救济规定的法律是不完整的法律。如法国《紧急状态法》就规定,凡依法受到紧急处置措施羁束的人,可以要求撤销该措施。韩国《戒严法》也规定,从宣布“非常戒严”时起,戒严司令官掌管戒严区域内的一切行政和司法事务,在“非常戒严”地区,戒严司令官在不得已时,可在“非常地区”破坏或烧毁国民财产,但必须在事后对造成的损失进行适当的赔偿。
3.4 建立应急技术储备的法律保障 网络信息安全应急需要装备先进技术,这已是不争的事实。应急本质是一种信息对抗。控制紧急状态的恶性发展,对抗就是防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。但是依赖进口,将无法摆脱应急受制于人的被动局面,国家必须化大力气,扭转被动局面,关键应急技术的自主研究是我们掌握网络信息安全主动权的根本出路。美国信息系统保护国家计划V1.O规定,在技术的研究、开发和人员的培训方面,由科技政策办公室(OSTP)来领导,并与各机构和私营部门合作来进行技术开发。
建立应急技术储备的法律保障首先要明确国家对关键应急技术研究的责任,以及应急响应的经费保障问题;其次,要明确调动民间资本展开应急技术研究的范围,以及国家、社会采购、征用的条件;第三,要明确应急技术市场化的管制方式和控制环节;第四,对必要引进的国外应急产品和服务的范围和控制力度要有明确的法律规定;第五,国家要进行财政预算,对应急技术开发支持;第六,要在一定的限度内加强国际间的应急技术交流与合作。
【参考文献】
1 商继政,傅华.“宪政概念辨析”.四川大学学报(哲学社会科学版),2003;(6)
2 郑尚元.社会法的存在与社会法理论探索.法律科学(西北政法学院学报),2003;(3)
3 江必新.紧急状态与行政法治.中国法学,2004;(2)
4 庞德.通过法律的社会控制.北京:商务印书馆.1984
1网络信息安全应急机制的理论基础
1.1基础是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。
在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。
1.2社会连带责任思想社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。
首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。
其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。
美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。
1.3权利平衡理念从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。
为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。
2网络信息安全应急机制的价值目标
所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。
2.1安全价值安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。
安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。
2.2经济价值网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。
网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。
2.3发展价值发展价值是应对网络安全紧急状态的约束价值,是人们应对紧急状态这种非常态规则的限制思想,是正确认识发展与安全、效率之间关系的理性抉择。首先,根据心理学理论,企业长期处于应急状态,必然会影响发展,所以应急立法应当以“尽快结束紧急状态”为其基本原则,设计制度、建立机制。其次,对应急过程中的行政紧急权力进行必要的限制,以防止行政紧急权力的滥用对重要领域企业的发展造成不利的影响。同时,建立合理的紧急状态启动程序和终止程序,这对于企业健康快速发展也至关重要。第三,对政府在紧急状态下的征用、断开、责令停产停业等措施对公司、企业造成的经济损失,在紧急状态结束后应该给予相应的赔偿,以增加企业对政府的信任度,促进企业经济发展。
网络信息安全应急机制的价值目标是一个由安全价值、经济价值和发展价值构成的有机体系。安全价值是核心,是首要目标,位于第一层次。网络信息安全应急机制中安全价值的地位类似于法律制度中位阶最高的法律价值,它指导和贯穿整个网络信息安全应急的过程。在目标体系中,经济价值是第二价值目标,位于第二层次;发展价值是第三价值目标,位于第三层次。经济目标和发展目标必须服从于安全目标的要求,只能在保障安全的基础上考虑应急的效率性和国民经济的发展。
3网络信息安全应急机制的法律保障
从网络信息安全应急机制的理论基础出发,为实现网络信息安全应急机制的安全价值目标,笔者认为,法律应从以下几方面进行界定:
3.1建立适合我国国情的网络信息安全应急管理体系应急管理体系是网络信息安全应急保障的重要内容。应急管理体系是否合理直接关系到法律实施的效果。根据国务院27号文的总体精神,文章认为,我国网络信息安全应急管理体系应为一元化的两层结构。所谓一元化,是指国家应当建立应急协调机构,统一负责网络信息安全应急管理工作。所谓两层结构是指应当发挥行业和地方政府的优势,加强应急管理。
a.国家应急协调机构及其职责。国家应急协调机构是我国网络信息安全紧急状态应急的最高决策机构[6]。在美国,主要由国土安全部负责开发国家网络空间安全响应系统,对网络攻击进行分析,告警、处理部级重要事故,促进政府系统和私人部门基础设施的持续运行。在我国,国家应急协调机构为信息产业部互联网应急处理协调办公室。国家应急协调机构应当履行以下主要职责:协调制定和贯彻国家信息安全应急法律法规政策;协调国家应急响应基础设施建设;协调国家紧急状态下应急技术的攻关和开发;授权、终止国家和区域性的紧急状态命令。
b.行业应急管理部门及其职责。行业应急管理部门是指根据国家法律和行政规章授予的职权,建立行业内网络应急管理的部门,如军队可以分兵种建立信息安全应急管理体系,国务院可以按照行政职权的不同分别建立网络安全应急管理体系,中共中央和政协系统也可以建立各自应急管理体系。行业应急管理部门依法对管辖的国家关键基础设施的紧急状态进行管理。
行业应急管理部门的主要职责应当包括:贯彻落实国家关于网络信息安全应急的政策和法律;实施行业应急响应基础设施的规划、建设;在行业内部建立应急预警和检测体系,建立预警网络平台,加强与其他行业之间的合作;对行业内重要部门有关危害网络安全的警告;组织协调行业应急响应工作。
c.地方政府应急管理部门及其职责。地方政府应急管理部门负责其辖区内的网络信息安全应急管理工作。在美国,新墨西哥关键基础设施保护委员会(NMCIAC)就是一个私人-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(FBI)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥关键基础设施的保护。NMCIAC致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响NMCIAC成员组织和普通民众的那些因素所采取的各种响应进行研究。
3.2建立准确、快速的预警检测机制建立一套快速有效的网络信息安全应急预警、检测和通报机制,成为实际处理突发事件成功的关键。网络信息安全应急的目的就是要预防网络安全紧急事件的发生,或者是将紧急事件的危害降到最低。建立常设的预警机构,及时准确地收集掌握各种情报信息,把握事件发生的规律和动态,才能对事件的性质、范围、严重程度做出准确的判断,最终才能打赢应急这场仗。
美国《网络空间安全国家战略》指出,在网络信息安全应急响应检测预警机制的建设上,将网络告警与信息网从联邦政府网络检测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供了一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调。这种建立统一平台、共享网络告警信息的做法对我国有着非常重要的借鉴价值。
笔者认为,一个完善的预警检测应包括以下几个方面的内容:a.建立一个全国性的能够对重大基础设施攻击发出预警的国家中心,各个部门还应该建立事前收集掌握各种紧急状态信息的检测判定和应急响应的日常机构。同时,建立自己的网络监测平台,连入CNCERT/CC的监测平台,实现信息共享。b.各级政府、行业应急部门及其社会性的应急部门要制定预防网络安全紧急事件的应急预案,针对不同的计算机信息系统,按照事件发生后的影响程度(时间长短、业务范围、地域范围等因素)制定不同的预案。要对应急预案进行测试和演练,不演练和改进,所有好的预案都等于零。c.建立统一的网络安全紧急事件预防控制体系,及时准确地收集掌握各种深层次、前瞻性的情报信息,及时把握事件发生的规律和动态。d.对预警、检测规定法律责任。
3.3明确应急过程中的行政紧急权力的限制和法律救济机制为了应对紧急状态,临时剥夺某些公民、单位的私权益,是各国应急法的普遍实践。行政紧急权力是一种必要的权利,但又是一种最为危险的权利,这些权利一旦滥用,社会就会出现新的混乱。关闭网络、封堵部分网络路由,征用关键通信设施、监控电子通信等等应急措施可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法制的轨道。
a.严格界定紧急状态的定义及其分级。为了防止政府随意宣布进入紧急状态,随意启动行政紧急权力,同时也为了防止政府在紧急状态下的消极不作为,有必要通过法律界定紧急状态的定义。一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态[7]。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。
b.明确宣布进入紧急状态的主体。紧急状态是否形成危险以及危险的程度,不同人会有不同的认识和判断,为了减少紧急状态确认的随意性,增加宣告的权威性和认同感,紧急状态的宣布主体必须是法定的权威机关。
c.对行使行政紧急权力的具体程序进行严格的规定,不但要规定启动行政紧急权的程序,而且还要规定撤销紧急状态的程序,以及发生与公民隐私权冲突情况下的处理程序。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。
d.建立首席信息安全官(CIO)制度,确保对私权益的尊重和保护。
e.确定私权保护的最低标准。政府活动的底线就是尊重和保护基本人权,即使是在紧急状态情况下,也不得随意克减基本人权,否则就很容易放纵国家权利机关滥用行政紧急权利。
f.明确规定应急主管机关在紧急状态下的职责和义务,防止渎职和失职现象。为防止在关键时刻出现渎职和失职情况,法律必须明确规定应急主管机关的具体职责,为渎职和失职设定明确的法律后果,并建立有效的责任监督和追究机制。
在隐私权的保护方面,美国信息系统保护国家计划V1.O要求,国家计划中所有的提议要与现有的隐私期望完全一致,要求每年召开一次关于计算机安全、公民自由和公民权利的公-私讨论会,以确保国家计划的执行者始终关注公民的自由。政府检查公民计算机或电子通信的任何举动必须与现有法律如《电子通信隐私法案》相一致。
在紧急状态得到控制后,应急计划的启动者应当终止紧急状态的命令,恢复正常的社会秩序。结束紧急状态意味着被暂时剥夺的私权益将得到恢复。网络紧急状态终止后,国家基础设施运营部门应当向国家应急协调机构、行业和地方应急管理机构提交详细的应急响应报告,行业和地方应急管理部门应当向国家应急协调机构提交应急管理工作的总结报告。对政府在紧急状态下的征用、责令停产停业等措施对公司、企业或个人财产造成损失,在紧急状态结束后应该给予相应的赔偿,对补偿的标准要予以明确的规定。要明确规定受害人获得行政救济和司法救济的途径。
法律救济始终是各部门法律不可欠缺的重要环节。没有救济规定的法律是不完整的法律。如法国《紧急状态法》就规定,凡依法受到紧急处置措施羁束的人,可以要求撤销该措施。韩国《法》也规定,从宣布“非常”时起,司令官掌管区域内的一切行政和司法事务,在“非常”地区,司令官在不得已时,可在“非常地区”破坏或烧毁国民财产,但必须在事后对造成的损失进行适当的赔偿。
3.4建立应急技术储备的法律保障网络信息安全应急需要装备先进技术,这已是不争的事实。应急本质是一种信息对抗。控制紧急状态的恶性发展,对抗就是防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。但是依赖进口,将无法摆脱应急受制于人的被动局面,国家必须化大力气,扭转被动局面,关键应急技术的自主研究是我们掌握网络信息安全主动权的根本出路。美国信息系统保护国家计划V1.O规定,在技术的研究、开发和人员的培训方面,由科技政策办公室(OSTP)来领导,并与各机构和私营部门合作来进行技术开发。
建立应急技术储备的法律保障首先要明确国家对关键应急技术研究的责任,以及应急响应的经费保障问题;其次,要明确调动民间资本展开应急技术研究的范围,以及国家、社会采购、征用的条件;第三,要明确应急技术市场化的管制方式和控制环节;第四,对必要引进的国外应急产品和服务的范围和控制力度要有明确的法律规定;第五,国家要进行财政预算,对应急技术开发支持;第六,要在一定的限度内加强国际间的应急技术交流与合作。
【参考文献】
1商继政,傅华.“概念辨析”.四川大学学报(哲学社会科学版),2003;(6)
2郑尚元.社会法的存在与社会法理论探索.法律科学(西北政法学院学报),2003;(3)
3江必新.紧急状态与行政法治.中国法学,2004;(2)
4庞德.通过法律的社会控制.北京:商务印书馆.1984
关键词:网络信息技术;信息安全
通过加强内部网络信息安全,能够保护计算机网络中的敏感信息和数据的安全,若网络信息被泄露或窃取,那么就会造成十分严重的后果。从宏观上来讲,可能会泄露国家机密,不利于国家的长治久安。从微观上来讲,泄露个人和企业机密,可能会为个人和企业带来十分严重的经济损失。
一、内部网络信息安全问题
1、木马和病毒
随着我国网民规模的不断增长,网络与人们的工作生活密切相关,而恶意代码也已经成为威胁内部网络信息安全的主要因素。所谓恶意代码,也被称为病毒、木马、蠕虫等,其会在没有明确提示或未经许可的情况下,在计算机上安装运行,侵犯人们的合法权益,破坏计算机信息系统。同时,恶意代码也能通过多种方式传播,感染更多的计算机,最终导致网络瘫痪。例如,在2006年底至2007年初,我国发生著名的“熊猫烧香”事件,在计算机系统被感染“熊猫烧香”病毒后,所有的.exe的应用程序文件全部变成“熊猫烧香”图案。如果网站编辑人员的计算机被感染“熊猫烧香”病毒,在对网站进行上传更新后,就会使浏览此网站的网民也会感染该病毒。同时,该病毒的某些变种可通过局域网进行传播。据统计,“熊猫烧香”病毒当时攻击和破坏了上千万台次的计算机,造成了巨大损失。因此,在当前计算机网络环境下,恶意代码已经成为构成风险的主要因素。
2、黑客的网络攻击
现今,精通网络信息技术的专业人员越来越多,使到黑客数量也有一定幅度的增长。许多黑客凭借自身高技术水平,编写病毒程序,非法入侵攻击各大网站、政府与企业网络以及个人电脑等,这就对网络环境造成许多安全隐患。例如,2011年,我国某著名乳制品生产企业,其乳制品出现黄曲霉毒素超标事件,这一事件在社会中产生极大的影响。2011年11月28日,此乳制品生产企业官网被黑客攻击,并突破最后的防线,在其主页留言表达对企业不负责任的控诉和谴责。与此同时,全球很多著名企业,也都受到过黑客的攻击。随着网络信息技术的发展和计算机的普及,黑客的数量越来越多,特别是来自境外的黑客攻击,对我国的网络安全造成极大威胁。
二、合理化建议
1、构建防火墙系统
为确保内部网络安全,提高网络防护能力,严防失泄密事件的发生,我们需要构建防火墙系统加强网络安全。防火墙由软件和硬件设备组合而成,是在内部网和外部网之间、专用网与公共网之间构建的保护屏障,时刻检查出入防火墙的所有数据包。随着科学技术的飞速发展,国内许多安全厂商针对防火墙做出了不少贡献,例如天融信、天网、瑞星等,能够在很大程度上保护内部网络。通过构建防火墙系统,首先能够阻挡木马程序和网络病毒的入侵,其次能够防范黑客对于内部网络的攻击,再次能够限制内部用户可执行的操作。由于市场的自发性,许多企业为了打击同行业竞争对手,聘请黑客攻击竞争对手的网站或渗透到其内部网络,进而谋取利益。因此,通过防火墙系统的构建,能够极大解决此类问题,进而加强内部网络安全体系的建设。
2、提高安全防范意识
针对目前网络环境,许多计算机用户并没有相应的网络安全防范意识,这就直接导致用户在使用计算机的过程中,没有加强对内部网络信息的保护,进而造成重要数据与信息泄露的事件发生。为进一步构建安全的内部网络环境,应该倡导用户增强网络安全防范意识,并在计算机上安装杀毒软件、防护软件和防火墙。同时,加强网络信息技术的应用,在内部网络与公共网络之间设置障碍,这样能有效防止外部对内部网络的攻击,以及隔断内部对外部的不安全访问,进而加强内部网络环境的构建。
3、加强科技研发,完善网络监管体系
科学技术是第一生产力,通过科技研发,能够有效的防范内部网络安全问题。因此,需要专门的计算机人才队伍进行科技研发,使安全防护软件和设备能更有效的保护计算机网络的安全。同时,我国应该加强对于计算机专业人才的管理,使其为营造文明健康、安全有序的网络环境,为经济社会可持续发展做出贡献。
结束语
随着计算机在我国各个领域的广泛应用,木马程序、网络病毒、黑客攻击,已经成为影响内部网络信息安全的重要因素。为了能够保护国家和人民的利益,就必须从根本上加强对内部网络环境的构建,进而为我国计算机网络的发展,奠定良好的基础。
参考文献
[1]田松.网络信息安全存在的问题及对策研究[J]燕山大学.2012.05(01)
[2]许春.关于内部网络信息安全防护措施的探讨[J]网络安全技术与应用.2013.07(15)
(一)境外信息安全威胁已然显现
棱镜门事件折射出美国通过国内高科技公司实施全球网络空间霸权的战略图谋,为我国金融业敲响警钟。是国外对中国金融信息的窃取仅次于军事情报,我国金融业核心软硬件多为国外企业产品,使得我国金融信息系统容易被国外掌控,为行业信息安全埋下隐患。服务外包对国外厂商依赖度较高,加大了风险控制难度,敏感信息、核心技术泄密的可能性增加。我国对外政治经济摩擦不断增多,金融改革持续推进,竞争进一步激烈,金融机构数据中心遭受境外黑客攻击的可能性大大增加。例如,2013年11月29日,“中国煤炭银行”官网被黑,其官网称此次事件系日本金融财阀勾结国内金融集团所为。
(二)互联网舆情威胁不容忽视
互联网是广大网民获取信息资源、表达诉求最便捷和最有效的平台。微博客、网络社区、论坛等网络舆论平台飞速发展,成为社会舆论的发动机。网络舆论与摘要:我国金融业信息化进程不断加速,国内外信息安全环境深刻变化,金融机构须定期判断和分析国内外信息安全形势,不断提高风险防范水平。本文分析了当前金融业面临的信息安全形势,并从完善信息安全组织机制、夯实信息安全基础、强化互联网风险防范等角度提出应对策略和建议。关键词:金融业;信息安全;安全威胁;形势分析;应对策略传统媒体相互呼应,将迅速形成风险扩散的“蝴蝶效应”,放大信息安全风险。一旦金融机构局部的信息安全风险被网络聚焦、放大,会加大风险控制与事件处置的难度。此外,一些组织或个人出于竞争、报复或利益的目的,通过互联网关于金融机构的不实信息,营造“伪舆论”。还有一些小摩擦或小纠纷,由于没有得到及时察觉和合理处置,引发网民围观,形成网络热点事件。这些不仅会严重影响金融机构声誉,还会给整个行业带来不良社会影响,甚至造成巨额经济损失,实力相对较小的微型金融机构可能面临倒闭风险。
(三)互联网金融使信息安全形势更趋复杂
2013年中国互联网金融出现了快速发展势头,被称为中国互联网金融元年,各大互联网企业巨头纷纷进军互联网金融,推出“余额宝”、“微银行”、“京宝贝”等金融产品和服务。面对激烈竞争,传统金融机构积级调整战略介入其中。互联网金融为金融业带来新的发展机遇的同时,同样引入了信息安全风险和威胁。除具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外,互联网金融还存有信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险,且风险诱因更加复杂、风险扩散传播速度更快。移动互联网发展和智能手机的普及使互联网金融随处可及,互联网金融活动突破了时间和空间的局限,将成为网络钓鱼、黑客攻击的新目标,金融业面临信息安全形式更趋复杂。
二、新形势下金融业信息安全应对策略
(一)完善信息安全工作的组织机制
组织机制是保障信息安全最基础、最有效的长效机制,金融机构要基于当前信息安全形势和监管部门要求,进一步完善信息安全工作的组织机制。
1.明确不同部门和岗位的信息安全职责。当前,保障信息安全已不是一个或几个部门的责任,而是机构内所有部门、全体员工共同的职责。金融机构要明确业务部门、内控部门与技术部门共担信息安全风险的责任,将信息安全保障纳入到各岗位职责中,将信息安全工作作为一项重要的日常工作,努力形成全员参与信息安全保障的局面。
2.严格信息安全责任追究。按照“谁主管,谁负责;谁使用,谁负责”的原则,落实信息安全问责制,把信息安全风险的防范、识别、消除纳入业绩考核范畴,使所有员工意识到信息安全责任重于天。
3.提高制度的执行力。建立健全制度落实的规范流程和监督检查机制,关注各流程、环节之间的衔接性,实现部门自控与机构内控相结合。及时发现和解决制度执行中的问题,保证制度的有效落实,维护制度的严肃性和权威性。
(二)夯实信息安全基础,提升风险防范水平
信息安全工作涉及内容较多,内外部的信息安全威胁不断发生变化,信息安全保障和风险防范不可能一蹴而就,而是一项不断建设、持续完善的工程。金融机构应根据机构现状和内外部安全形势,科学制定机构信息安全发展规划,有重点、有层次推进机构信息安全工作,不断提升信息安全防范水平。
1.切实落实国家信息安全等级保护和信息系统分级保护工作。按照国家有关等级保护和分级保护的管理规范和技术标准开展等级保护和分级保护工作,严格遵照安全等级划分标准确定机构计算机网络和信息系统的安全等级,并按相应等级具体要求,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。
2.稳步推进信息产品国产化进程。“棱镜门”事件后,信息安全国产化进程加快,金融业要牢牢把握国产化机遇期,以安全生产为底线,按照“推广成熟、扩大基本成熟、试点逐步成熟、攻关不成熟”的策略,稳步推进金融业信息技术国产化进程,逐步实现信息安全产品、关键设备、核心系统、系统等国有产品替换。加强人才队伍建设和培养,提高自主运维能力和水平,逐渐减少对国外企业外包服务的依赖。
3.安全管理与技术防护并重。综合使用多种安全机制,将不同安全机制的保护效果有机结合,安全管理与技术防护双管齐下,相互配合,形成完整的立体防护体系。金融机构要摒弃“重技术,轻管理”的认识误区,突出安全管理在信息安全保障体系中的重要性,增强技术防护体系的效率和效果,弥补当前技术不能完全解决的安全缺陷,实现最佳的保护效果。
4.完善灾备体系建设和管理。灾备体系是保障金融业务连续性的重要防线,是维护信息系统和网络安全的重要措施。金融机构要把灾备中心建设规划提升到国家信息安全战略高度予以重视,扎实做好机构灾备中心布局规划和灾备建设工作。定期研究、评估当前灾备中心布局,对存在的问题及时进行整改。对于核心业务系统,要实现应用级备份,保证突发事件发生时可及时恢复业务运营。确保备份数据的有效性,定期对冗余备份系统、备份介质进行深度可用性验证。
5.加强人员操作行为管理,防范操作风险。从风险防范角度进一步完善网络和信息系统的操作流程,加强操作流程管理和审查,实现人员操作事前能控制、事中可监控、事后有审计,使风险防范从“管住人”进一步发展到“管住行为”。善于运用技术手段加强对操作风险防控,达到从管理和技术两个方面防范技术人员操作风险的目标,确保操作零风险。
6.提高机房设施保障水平。计算机机房是信息中心的核心部位,除承载机构的重要网络和信息系统外,还有空调、消防、防雷等保障机房设备安全稳定运行的机房设施。要加强机房设施的监测和风险评估工作,确保UPS供配电子系统、机房空调子系统、防雷接地子系统、设备监控子系统、机柜微环境子系统、安全消防子系统等机房设施健康运转,为机房这个“躯体”提供充足的“氧气“和“血液”,保障作为“器官”的各信息系统正常运行。将机房设施安全放在同网络和信息系统安全同等重要地位,发现风险隐患及时整改,勿将本应发挥安全保障功能的机房设施变成风险易发区域。
7.重视应急演练工作,提高应对突发事件的能力和水平。全面评估信息安全风险,建立风险全覆盖的应急预案体系和应急演练常态化工作机制。根据风险的等级和影响程度,合理确定单项演练、综合演练、跨部门演练、跨地域演练等不同类型演练的组合,具备应对不同类型风险的应急处置能力。依据风险的变化和应急演练效果完善应急预案,不断提高应急预案的可操作性。坚持在演练中锻炼队伍,持续提高人员的风险意识和突发事件的响应处置能力。
(三)强化互联网风险防控工作
1.加强互联网舆情监测,妥善处置网络热点事件。完善互联网舆情监测系统,加强人才队伍建设,建立网络舆情摘报和热点专报制度,及时掌控舆情动态,尽早发现各种形式“伪舆论”,避免形成网络热点事件,影响正常的金融秩序。重视信息和舆论引导工作,做到未雨绸缪、预防在先。完善舆情热点事件处置机制和流程,做到反应快速、判断准确、处置合理,充分发挥传统媒体与网络媒体的协同作用,对网络舆情进行正面引导和回应,将不利影响控制在最小范围内。
关键词:公安情报信息,工作,能力培养
2008年3月以来我国境内连续发生多起暴力恐怖事件,这些恐怖事件无一例外的告诉我们随着国内社会矛盾的复杂化以及国际形势的变化,诸多影响国家安全和社会政治稳定的不利因素正悄然滋生,暴力恐怖势力与境内外反华势力的明暗勾结,屡造事端,已严重威胁了国家安全,同时也给我公安部门的情报工作提出了新的挑战。免费论文参考网。免费论文参考网。面对新形势,我们要充分认识到公安情报工作改革的重要性,加强我校学生情报信息工作能力的培养。
一、资料链接
(一)拉萨“3.14”事件
2008年3月14日,在达赖流亡政府的策动下,拉萨爆发了举世震惊的打、砸、抢、烧暴力恐怖事件。事后,经统计,不法分子纵火300余处,拉萨908户商铺、7所学校、120间民房受损或被毁。有18名无辜群众被烧死或砍死,受伤群众达382人,拉萨市直接财产损失达24468.8万元。同日在甘肃省甘南州也发生了暴力恐怖事件,据统计在甘南州有105个县市直部门受到冲击,共造成财产损失5795.6万元。3月16日,四川省阿坝州也没逃脱,不法分子烧毁了24间商铺和2个公安派出所,烧毁了81辆警用和民用车辆,打伤了很多无辜群众和200多名政府机关工作人员、执勤的公安民警。
在“3.14”打、砸、抢、烧事件之后,一些西方媒体罔顾事实,肆意挞伐我国政府,对拉萨事件进行连篇累牍、触目惊心的歪曲报道,不少西方报纸、电视和网站上充斥着对我国政府“镇压”藏人的报道、达赖和“藏独”分子在海外喧哗的镜头以及对西藏局势持续恶化的臆测。
(二)新疆乌鲁木齐“七.五”事件
2009年“世维会”借“626事件”精心策划了7月5日在新疆乌鲁木齐市发生的的严重暴力恐怖事件。事后,经统计,不法分子纵火220多处,过火面积达56850平方米,有260间门面房、14间民房、2栋楼被烧毁,烧毁车辆达260部,造成197人死亡,1721多人受伤。造成了巨大的经济损失。在“七五”事件后,新疆又连续发生多起针刺事件,严重影响了乌鲁木齐地区人民正常的生产生活秩序。
(三)新疆哈什地区恐怖事件
2008年8月4日清晨8时许(相当于北京时间6点)。新疆喀什公安边防支队的70余名武警官兵刚刚开始晨练,一辆拉沙石料的载重卡车突然冲入队伍,随后,投出两枚自制手雷。这次暴力恐怖袭击最终造成了16名武警战士死亡,另有16人受伤。在8月5日的新闻会上,新疆公安厅厅长刘耀华表示此次袭警事件是有预谋、有计划、有分工的,犯罪嫌疑人对武警出操时间和地点进行了为期一个多月的侦察。
二、新形势下公安情报信息工作存在的问题
通过上述资料链接,我们可以看出暴力恐怖活动正严重影响我国家安全和社会政治稳定,且不断体现暴力活动范围广、破坏大、针对性强、突发性强等新特点。也正是由于我们的公安情报工作未能适应暴力恐怖活动的这些新特点,才导致了这一幕幕悲剧的发生。在新形势下只有做好公安情报工作才能更好的开展公安工作,也只有这样,我们才能真正肩负起党和国家赋予我们的使命,这就要求我们解决以下几点问题
(一)规范工作机制,树立“情报信息主导警务”的思想意识。由于反恐情报工作是一项投入大见效慢的基础性工作,所以许多民警甚至是领导者忽视了情报信息的主导意义,甚至有人认为情报信息的收集和处理只是情报机关和情报人员的事,严重挫伤了情报工作人员的积极性。同时,反恐情报信息工作本身存在运作不规范,规程不规范,加之大多数部门缺乏情报奖惩机制,不利于调动情报人员的积极性。
(二)情报信息工作的总体能力不高。目前的反恐情报信息工作主要存在干警发现情报信息的敏感性不足;获取情报信息渠道单一;对已获取的情报信息缺乏有效的分析鉴别能力;收集情报信息的方法不当等问题,严重影响了我们获取情报的质量,使情报信息本身缺乏服务性和实用性。
(三)情报协作工作发展滞后。目前国内反恐情报协作工作仍未形成一定的机制,一方面,没有形成地区间、省市间的反恐情报交流、协作机制,没有定期的协调、总结会议,使反恐情报交流不畅,情报协作工作仅仅成为跨地区、跨省市打击已发暴力恐怖犯罪时的“专门工作”;另一方面,缺少专门的反恐情报协调机构和协调人员从事情报协作工作,从而使这项工作不系统、基础差。
三、加强情报信息工作能力的培养
我校作为西藏地区唯一的警察院校,担负着为西藏公安战线输送人才的重大责任,在培养培训学生时必须着眼于公安实际工作。新形势下,面临上述国家安全对公安情报工作提出的新要求,结合新形势下暴力恐怖活动的特点,加强学生情报信息工作能力的培养。
(一)确定正确的培养目标
为贴近实战需求,我们在实际教学中以培养学生情报信息工作的积极性、敏感性和创造性为目标。让学生真正认识信息工作是公安工作的生命线,积极主动地从事情报信息工作,在实践中培养学生的发现能力,着力培养学生的联想意识和预见能力,使学生能够敏锐的捕捉社会热点问题和国家安全间的联系,全面、客观地收集信息,不断积累创新,在树立情报信息的远期效益观念中,逐步形成正确的情报意识。
(二)注重核心环节的培养
培养学生情报信息工作的能力,主要应抓好三个环节,即:情报信息的采集、研判、应用。
1、情报信息的采集。免费论文参考网。培养学生对情报信息采集的能力是学生情报信息工作能力培养的前提。情报信息的采集要求学生能够在严格按照情报工作的规范,灵活运用各种公开或秘密的方法,通过各种途径,全面有效地搜集情报信息。同时还要求学生能够充分认识情报信息工作的重要性,准确的把握工作内容,秉承客观、正确、全面、及时的原则对情报信息进行动态搜集。
2、情报信息的研判。培养学生对情报信息研判的能力是学生情报信息工作能力培养的重点。这就要求学生必须以情报信息本身为主,从本职工作出发,从实战出发,从案情本身出发进行观察、分析、思考、提炼。同时还要树立学生的情报协作意识,对研判后的情报信息应在允许范围内进行信息共享,以达到情报的有效利用,并促进情报信息研判的深入。
3、情报信息的应用。培养学生对情报信息的应用能力是培养学生情报信息工作能力的关键。情报信息的应用来源于公安工作中强烈的情报需求,情报信息的采集、研判就是为了情报信息的应用。因此我们在培养过程中应让学生认识到:在公安实践中,不仅要树立“情报信息主导警务”的思想,还要善于创造情报信息的利用条件和寻求最佳的情报信息利用途径,综合利用情报信息,实现情报信息应用价值的最大化是情报信息运用的最佳效果。
(三)加强情报信息工作能力的方法
1、提高公安院校情报信息教师队伍的素质,激发学生的学习积极性采用“请进来,走出去”的方式,即邀请公安基层长期从事情报信息工作的专家来学校给教师和学生授课、作讲座,介绍公安实践中情报信息工作的经验与做法,同时选派相关教师到公安基层挂职锻炼,增强情报信息工作实践经验,提升教师队伍的素质和授课水平,同时教师还应及时捕捉大量国内外的最新动态,及时传递给学生,以活跃学生思维,激发他们对新知识的渴望,培养他们的情报信息意识,提高其对情报信息工作的积极性。
2、理论联系实际,让学生在实践中加强对情报信息工作的敏锐性教育与实践相结合是提高个体或群体情报意识的根本方法,也是提高情报工作能力的根本方法。学生要积极利用见习和实习的机会,把在学校所学的有关情报信息工作的理论运用到实际公安工作中,在实践中培养情报信息的敏锐性。
3、改进教学模式,在课堂教学中除保留原有的“案例”教学法,让学生在案例讨论中学会总结经验外。还可采用“热点问题讨论”的方式,把热点问题引入课堂,让学生在热点问题的讨论中发现新形势下公安工作面临的新情况和新问题,可能影响国家安全和社会稳定的新苗头、新动向,并积极探索公安工作的新思路和新方法,准确预测维护稳定工作的内在规律。同时热点问题的讨论还可以不断拓宽学生的知识面,加强学生情报信息工作能力的创造性,增强学生的情报需求意识和危机感拓宽其获取情报信息的途径提高学生情报研判的能力。
参考文献
【1】陈振华.加强公安情报信息工作是提高公安工作效率的基础[J].上海:上海公安高等专科学校学报,2001,(1).
【2】张艳.对公安工作中情报信息的思考[J].行政与法,2003,(8).
【3】杜心全.国内安全情报信息[M].北京:群众出版社,2007.
【4】彭知辉.关于公安情报概念的理解[J].公安学刊,2007,(1).
【5】梁治寇.对当前公安反恐情报工作的几点思考[J].公安研究,2007,(5).
【6】梅建明.情报信息主导警务模式的起源、特征和意义[J].警察技术. 2007,(5).
【7】欧三任.公安情报需求与服务的发展研究[J].北京人民警察学院学报,2007,(1).
【8】李春.加强公安情报意识,维护国家安全[J].云南公安高等专科学校学报,2001,(1).
(一)信息安全的内涵
信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
(二)信息安全在国家安全中的地位
电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
(三)我国所面临的信息安全威胁
我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实,西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域,电子媒介成为国际意识形态斗争的主导工具;某些西方大国利用信息及信息传输技术优势,妨碍、限制、压制和破坏其他国家对信息的自由运用,甚至利用信息把本国的价值观念、意识形态强加于别国头上,以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位,通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域,网络泄密是军事信息安全的重要表现;军事泄密触目惊心;黑客攻击对军事信息安全的危害极大;信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。
同时国家为加快信息化建设的需要,大量引进国外的基础设备,对引进的信息和技术缺乏相应的有效管理和技术改造,尤其是对发达国家或跨国公司在提供关键设备中可能做手脚(如在电脑芯片中隐藏着特定的程序,有可能在某种指令下被激活,或使电脑无法启动)缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患,买来不安全的后果。
(四)我国电子政务中信息安全的现状及表现
目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的错接服务,向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点,利用电子公告栏、新闻讨论等公共媒体,发表反动文章,散布反动言论,煽动反政府情绪;利用互联网进行组党结社,公开吸纳成员;利用电子邮件直接向国内用户发送反动刊物;利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括:偷窃、分析、冒充、篡改、抵赖等。
二、政府信息安全的保护
一个国家的信息安全,实际是由两方面构成的。其一,为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二,为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略;后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础,信息安全的国家发展战略(包括信息安全法律制度),早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重,尤其作为信息技术相对落后的我国如何调整信息安全战略,完善信息安全保障法律规范,不仅是提高信息安全保障能力的手段和方法,而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容,一是国家安全监督管理,二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括:安全法规、安全管理、安全技术三方面”。
信息安全是一项极其复杂的系统工程,在安全法规、安全管理、安全技术的保障措施中,安全技术是信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。
采用先进可靠的安全技术是维护信息安全的有力保障。事实上,大多数安全事件和安全隐患的发生与其说是技术上的原因,不如说是管理中的缘故。我国已发生的许多计算机安全事件(包括计算机犯罪行为),技术手段并不高明,仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施,另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员和网络用户的教育和管理。
采用安全技术,加强安全管理,可以大大提高网络的安全性。为了切实贯彻执行这些安全措施,并有实施的法律依据,制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为,只能依靠法律进行惩处,当然也包括一些民事行为的法律调整,这是保护网络安全的最终手段。同时通过法律的威慑力,还可以使有犯罪意识者产生畏惧心理,达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为,而自觉地不为,从而创造一个良好的社会环境,起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。
综观各国信息安全法律政策,其主要特征有:
1.以国家信息安全的组织保障为原则
各国在其信息安全法律政策中,无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围,在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定,由商务部所属的国家标准和技术局(NIST)负责有关敏感信息的信息安全工作,具体负责主持制定和推广计算机安全标准和指导方针,为联邦政府解决各种信息安全问题,其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等;由国防部所属的国家安全局(NSA)负责例如“国家安全系统”,即由政府及其合同单位或机构管理的信息系统中保密信息的信息安全工作,其中包括国家保密信息、美国宪法2315款第102项(Warner修正案)规定的信息、涉及谍报(Intelligence)的信息、涉及与国家安全有关的秘密活动(Crypt—logic)的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。
2.以国家信息安全的全面保障为基础
信息安全是个巨大的系统工程,需要各方面力量的综合协调,更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此,信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有,制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法;出版了《信息系统安全产品和服务自录》;对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估;全力支持对安全措施的投入;协调各个机构的信息安全工作;监督政府信息安全管理原则、标准、指导方针的制定和推广工作;强化计算机信息系统人员的安全法律培训等等。
3.以国家信息安全的技术防范为核心
社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身,就信息安全的法律保护和技术保护的关系来说,技术保护是基础和前提,法律保护只是技术保护的手段。,因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代,美国率先在计算机保密模型(Bel&
La
padula模型)的基础上,制定了《可估计算机系统安全评价准则》(TCSEC),随后又制定了关于网络系统、数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则。20世纪90年代初,欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》(ITSFC)。近年来,美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》(CC for ITSEC),综合了国际上已有的评价准则和技术标准的精华,给出了信息安全保护的框架和原则要求。
4.以国家信息安全的技术标准为内容
将技术标准纳入国家信息安全保障的政策法律体系范畴,赋予技术标准以国家意志的属性,使其具有强制实施的法律效力,是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准,现在已经形成了由国家标准化协会制定的国家标准(ANSI)、由国家标准局制定的联邦信息处理安全标准(FIPS)以及由国防部制定的信息安全指令和标准(DOD)三位一体的国家信息安全标准体系,从不同的角度规范国家的信息安全。欧盟除了前已所述的《信息技术安全性评测标准》(ITSEC)之外,还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。
三、我国电子政务中信息安全的保护对策
针对我国信息安全的现状,结合我国电子政务的实际,当前在政府信息安全的保护方面的当务之急是:
(一) 尽快建立我国信息安全的保护体系
1. 迅速健全信息安全保护的组织机制
国家信息化工作领导小组是站在国家的高度,对网络信息的国家发展总体战略进行规划、设计、研究,组织、协调、配合有关部门进行立法调研,使国家在网络信息方面的立法成为一个有机的整体。但地方政府和重点保护的重要领域相应的组织机构还不健全;《中华人民共和国计算机信息系统安全保护条例》中确立了公安部主管全国计算机信息系统安全保护工作,但由于编制等原因许多地方公安机关没有成立专门的机构,警力尤其是适应计算机信息技术高速发展的警力配备不足等。最好能组建国家信息安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中信息安全的分工,对国家信息安全政策统一步调、统筹规划。因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。
2. 尽快完善国家信息安全基础设施建设
我国目前信息安全基础设施的建设还处于初级阶段,需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括:国际出入口监控中心、安全产品评测认怔中心、病毒检测和防治中心。关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中,国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。
3. 坚定地确立信息安全产业的策略
目前就我国的信息产业无论是技术、管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全,而绝对安全却需要国产化。国家可集中人力、物力和给以政策,大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等,以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。
(二) 进一步完善我国信息安全保障的法律体系
虽然我国已颁布相当数量的信息安全方面的法律规范如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》等,但立法层次不高,现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章;法律规定之间不统一;立法理念和立法技术相对滞后等,因此要进一步完善我国信息安全的法律保障体系应当做到:
1. 确立科学的信息安全法律保护理念
为了使国家的政策法律能够适应社会存在的现实和需求,需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想,修正传统的立法理念,从彻底改革国家传统的经济体制和保障机制入手,改变落后的调整方法,把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来,以规范发展达到保障发展,由保障发展实现促进发展,构筑促进国家信息化发展的社会环境,形成适于信息网络安全实际需要的法治文化。
2. 构建完备的信息安全法律体系
信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿,其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等,是指导国家信息化发展的基本内容,也是国家信息化建设的公共需求;信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用,包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等,它是信息社会生活必不可少的基本支柱;信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应,国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。
3. 强化超前的信息安全法律效率
信息技术突飞猛进,信息安全政策、法律的促进作用不应仅仅是被动适应和滞后,在国家信息化建设中,更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策法律必须促进信息技术的进步,因此要强化超前的信息安全政策法律的效率。在制订政策和创设法律时应当借鉴国际社会关于“技术中立”的主流思想,注意政策和法律符合技术的特殊要求,同时为技术的发展和完善预留空间,排除可能窒息技术发展的可能性,提高法律自身对信息社会的适应性。在具体做法上,则可以吸取外国的“明示式”和“开放式”立法模式中有益的成分,参照“准则式”的立法模式解决技术和法律之间的矛盾,鼓励技术创新,开发自主的知识产权,加强技术标准体系的建立和完善,提高国家信息法律规范的效率。
1.1目的
为明确各级渔业行政主管部门处置渔业船舶水上安全突发事件的职责和工作程序,及时、有效处置突发事件,最大限度地减少突发事件造成的人员伤亡和财产损失,维护渔区社会稳定,制定本预案。
1.2工作原则
各级渔业行政主管部门在各级人民政府的领导和海上搜救机构的指导下,与其他相关部门通力合作,依法规范、科学决策、积极参与渔业船舶水上安全突发事件的应急处置工作。
(1)应急救助按照就近救助原则。无论事发渔业船舶所在地远近,离事发水域最近的县、地(市)、省(区、市)渔业行政主管部门应做出响应,协助海上搜救中心开展应急救助工作。
(2)善后处理按照船籍港管辖原则。无论事发水域是否在本省(区、市)管辖范围内,由事发渔业船舶船籍港所在地渔业行政主管部门负责协助有关部门处理善后工作。
1.3编制依据
《中华人民共和国渔业法》、《中华人民共和国安全生产法》、《中华人民共和国海上交通安全法》、《中华人民共和国渔港水域交通安全管理条例》、《中华人民共和国内河交通安全管理条例》。
1.4适用范围
本预案适用于农业部处置在我国管辖水域发生的渔业船舶水上重大和特别重大安全突发事件,指导省、地(市)、县级渔业行政主管部门参与渔业船舶水上安全突发事件的应急处置工作。
2.组织指挥体系及职责
2.1应急组织机构与职责
2.1.1组织指挥机构及其职责
农业部设立渔业船舶水上安全突发事件应急处置指挥部,由分管副部长兼任总指挥,渔业局局长、渔政指挥中心主任兼任副总指挥。成员由渔政指挥中心分管副主任、渔业局和渔政指挥中心相关职能处室负责人兼任。其主要职责是:
(1)及时向国务院及国家安全生产监督管理总局报告渔业船舶水上安全突发事件的有关信息。
(2)指导各省渔业救助力量参与渔业船舶水上安全突发事件的救助工作。
(3)协调渔业船舶水上安全突发事件处置过程中的各种关系。
(4)协助国务院有关部门做好渔业船舶水上安全突发事件的善后处理工作。
(5)决定表彰和奖励先进单位和个人等事宜。
省、地(市)、县级渔业行政主管部门应参照农业部的组织指挥机构设置,遵照分级管理、分级响应、属地管理为主的原则,处置渔业船舶水上安全突发事件。
2.1.2现场应急指挥机构及其职责
地方各级人民政府应设立渔业船舶水上安全突发事件的现场应急指挥机构,各级渔政渔港监督管理机构作为其成员单位。现场应急指挥机构的主要职责是:
(1)指挥、调配辖区内各种救助力量,处置渔业船舶水上安全突发事件,协调事件处置过程中的各种关系。
(2)保证现场应急指挥通信联络的畅通。
(3)决定向社会公众和新闻媒体渔业船舶水上安全突发事件和应急处置情况。
2.2相关机构职责
2.2.1农业部在国务院领导下,积极协助交通部开展渔业船舶水上安全突发事件的应急处置工作。各级海上搜救中心是渔业船舶水上安全突发事件实施应急救助的专业力量。
2.2.2各级渔政渔港监督管理机构在接获渔业船舶水上安全突发事件险情报告并经核实后,向其渔业行政主管部门报告;省、地(市)、县级渔业行政主管部门应将事件情况逐级上报至农业部,同时报告本级人民政府及其安全生产监督管理部门、海上搜救机构。紧急情况下可越级上报至农业部。发生重大突发事件,农业部应报告国家安全生产监督管理总局。发生特别重大突发事件,应报告国务院及国家安全生产监督管理总局。
2.2.3各级渔政渔港监督管理机构在其渔业行政主管部门的领导下,积极组织事发海域附近的渔船、所辖渔业行政执法船舶,参与渔业船舶水上安全突发事件的应急处置工作。在突发事件应急处置过程中,下级单位要服从上级单位对应急救助工作的指导,其渔业行政执法船舶要服从上级单位的调动与指挥。
3.预防和预警机制
3.1信息监测与报告
预警信息包括:气象、海洋、水文等自然灾害预报信息;可能威胁水上人员生命、财产安全或造成水上安全突发事件发生的其他信息等。
3.1.1风险分级
本预案将预警信息的风险等级从高到低分为四个等级:
(1)特大风险信息(Ⅰ级):
1热带气旋、风暴潮、海啸等天气在24小时内造成海上风力10级及以上、内河风力8级及以上的信息。
2雾、雪、暴风雨等造成能见度不足100m的信息。
(2)重大风险信息(Ⅱ级):
1热带气旋、风暴潮、海啸等天气在48小时内造成海上风力10级及以上、内河风力8级及以上的信息。
2雾、雪、暴风雨等造成能见度不足500m的信息。
(3)较大风险信息(Ⅲ级):
1热带气旋、风暴潮、海啸等天气造成海上风力8级~9级及以上、内河风力6级~7级及以上的信息。
2雾、雪、暴风雨等造成能见度不足800m的信息。
(4)一般风险信息(Ⅳ级):
1海上风力7级及以上、内河风力6级及以上的信息。
2雾、雪、暴风雨等造成能见度不足1000m的信息。
3.1.2信息传报
中国海上搜救中心及省级海上搜救机构应及时将获得的预警信息分别向农业部和省级渔业行政主管部门通报。省、地(市)、县级渔业行政主管部门及其渔政渔港监督管理机构应及时通过现有通信网络,最大限度地将预警信息向渔区和海上作业渔业船舶。
3.2预防预警行动
3.2.1各级渔业行政主管部门要落实安全生产责任制,加大对渔业船舶安全生产的管理力度。
3.2.2各级渔业行政主管部门要积极开展对渔业船舶船员安全生产技能的各种培训,引导渔业船舶编队生产和联组作业,提高渔业船舶自救互救能力。
3.2.3各级渔业行政主管部门要鼓励渔业船舶及其船员参加必要险种的保险。
3.2.4各级渔政渔港监督管理机构要严格执行渔业船舶进出港签证制度,加大港口和水上渔业船舶的安全监督检查力度,对擅自改变船体结构、用途,违章载客、载货,维修保养不到位,通信导航、救生、消防等安全设备不齐全的渔业船舶及时采取有效的预防与控制措施,消除事故隐患。
3.2.5各级渔政渔港监督管理机构要为承担应急救助工作的有关工作人员、渔业行政执法船舶及其船员购买必要险种的保险。
3.3预警支持系统
各级渔业行政主管部门要建立健全渔业安全通信网。承担渔业安全通信网值班任务的岸台(站),应将电台呼号、工作频率向社会公布;实行24小时全时守听,确保渔业船舶水上安全突发事件的通信及时、准确和畅通;及时转发灾害性海洋环境和天气预报。
3.4预警级别及
3.4.1按照预警信息风险等级相对应的原则,预警级别从高到低分为特别严重(Ⅰ级)、严重(Ⅱ级)、较重(Ⅲ级)和一般(Ⅳ级)四级预警,颜色依次为红色、橙色、黄色和蓝色。
3.4.2气象、海洋、水利等预报部门应要求从事监测的单位根据各自职责通过信息播发渠道向有关方面气象、海洋等自然灾害预警信息,公布预警级别。
4.应急响应
4.1分级响应程序
4.1.1渔业船舶水上安全突发事件等级标准:
(1)特别重大突发事件(Ⅰ级)。指死亡(失踪)30人以上,或危及50人以上生命安全。
(2)重大突发事件(Ⅱ级)。指死亡(失踪)10人至29人,或危及30人至49人生命安全。
(3)较大突发事件(Ⅲ级)。指死亡(失踪)3人至9人,或危及10人至29人生命安全。
(4)一般突发事件(Ⅳ级)。指死亡(失踪)1人至2人,或危及9人以下生命安全。
4.1.2预案启动级别及条件根据突发事件的等级标准,应急响应级别分为部、省、地(市)、县四级。
(1)特别重大突发事件造成死亡(失踪)人数在49人以下,由农业部决定启动本级预案,并领导本级渔政渔港监督管理机构在职责范围内采取应急处置措施;当造成死亡(失踪)人数在50人以上时,农业部除启动本级预案外,还应立即报请国务院指导、协调突发事件的应对工作。
(2)重大突发事件由省级渔业行政主管部门决定启动本级预案,并领导本级渔政渔港监督管理机构在职责范围内采取应急处置措施。
(3)较大突发事件由地(市)级渔业行政主管部门决定启动本级预案,并领导本级渔政渔港监督管理机构在职责范围内采取应急处置措施。
(4)一般突发事件由县级渔业行政主管部门决定启动本级预案,并领导本级渔政渔港监督管理机构在职责范围内采取应急处置措施。
(5)发生任何渔业船舶水上安全突发事件,县级渔业行政主管部门应首先启动预案。
(6)省、地(市)、县级渔业行政主管部门在启动本级预案时,由于能力和条件不足等特殊原因不能有效处置突发事件时,可请求上级渔业行政主管部门启动相应级别的预案。
4.2信息共享和处理
4.2.1信息来源与收集各级渔政渔港监督管理机构要严格执行渔业应急值班制度,确保通信网络畅通,及时接收不同来源的渔业船舶水上安全突发事件的信息:
(1)来源于海上搜救机构的信息。
(2)来源于本系统内上传下达的信息。
(3)事件渔业船舶的求救信息。
(4)其他渠道获得的信息。
4.2.2信息核实各级渔政渔港监督管理机构对于接获的信息要迅速进行核实,核实的内容应包括:
(1)事件性质(热带气旋、大风、大雾等气象灾害、海洋灾害、火灾、碰撞、触礁、触损、搁浅、机械故障或伤残等)。
(2)事件发生的时间、地点及事发海域海况。
(3)事件渔业船舶资料、特征。
(4)遇险人数及人员伤亡等情况。
(5)事件渔业船舶已采取的措施和效果。
(6)其他需要核实的内容。
4.2.3信息报告
(1)经核实,凡发生死亡(失踪)3人至9人的突发事件,接到报告的各级渔业行政主管部门应通过电话、传真等形式逐级报告,每级间隔时间不得超过4小时。省级渔业行政主管部门接到报告后,应在2小时内报告农业部渔政指挥中心,农业部渔政指挥中心接到报告后应立即报告农业部安全生产委员会办公室。
(2)经核实,凡发生死亡(失踪)10人以上的突发事件,接到报告的各级渔业行政主管部门在通过电话、传真等形式向上级部门快报的同时,应将事故情况报告省级渔业行政主管部门和农业部渔政指挥中心。农业部渔政指挥中心接到报告后,应立即将事故情况报农业部安全生产委员会办公室。农业部安全生产委员会办公室接到报告后应立即报国务院及国家安全生产监督管理总局。各级报告间隔时间不得超过2小时。
4.2.4各级渔政渔港监督管理机构应采取一切有效通信手段,与事件渔业船舶和渔业救助力量保持联系,及时掌握最新信息,为救援决策提供依据。
4.2.5突发事件如涉及港、澳、台或外国人时,要及时向有关港、澳、台办或外办和上级渔业行政主管部门报告。
4.3通信
各级渔业行政主管部门应汇编应急值班通讯联络名单、联系方式以及渔业电台呼号、工作频率,确保横、纵向通信畅通。
全国渔业安全通信网岸台呼号、工作频率表见附件二。
4.4紧急处置省级渔业行政主管部门是组织、协调重大、特别重大渔业水上安全突发事件救助行动的主体。
4.4.1应急救助工作应根据当时的气象条件与预报信息和海况,配合相应海上搜救机构,具体实施:
(1)指导事件渔业船舶开展自救。
(2)指挥、调度事发海域附近生产渔业船舶参与救助。
(3)组织本辖区内符合适航条件的渔业行政执法船舶及有关力量前往救助。
4.4.2渔业船舶及渔业行政执法船舶在接到救助命令后,必须按要求的时间出航并到达事发现场。救助期间必须服从指挥。因特殊原因需离开救助现场时,须经相应渔政渔港监督管理机构批准。
4.4.3当就近救助力量不能满足救助需要时,由上一级渔业行政主管部门协调邻近省(区、市)、地(市)、县的渔业救助力量协助救助。
4.4.4当事件渔业船舶需港、澳、台或他国海上救助力量协助救助时,应报请中国海上搜救中心或有关部门协调处理。
4.5新闻严格按照《中共中央办公厅国务院办公厅关于进一步改进和加强国内突发事件新闻报道工作的通知》(中办发[2003]22号)要求,区分渔业船舶水上安全突发事件的不同情况,按照应急处置领导小组的统一部署,向外界进行客观、准确、及时的信息。
4.6应急结束各级渔业行政主管部门可根据以下情况向同级人民政府提出渔业救助力量中止或结束救助工作的建议:
(1)遇险人员的生命安全不再受到威胁。
(2)遇险人员不再有任何符合情理的生存希望。
(3)渔业救助力量自身安全受到严重威胁。
5.后期处置
5.1善后处置
5.1.1渔业船舶水上安全突发事件应急处置中止或结束后,相关渔业行政主管部门应对事件的处理情况和损失情况进行评估。
5.1.2涉及人员伤亡的,按照船籍港管辖原则,由渔业船舶船籍港所在地渔业行政主管部门协助做好善后处理工作。
5.1.3各级渔业行政主管部门应及时配合同级政府有关部门处理好发生突发事件的渔民及其家属的安抚工作,帮助其尽快恢复正常的生活、生产。
5.2保险渔业船舶水上安全突发事件应急处理结束后,保险机构应积极主动赶赴事发地,对相关财产损失和人员伤亡情况进行评估、理赔。
5.3调查报告
5.3.1渔业船舶水上安全突发事件结束后,相关渔业行政主管部门应对事件应急处置工作整个过程进行总结,吸取经验教训,提出整改措施。
5.3.2渔业船舶水上安全突发事件结束后,相关渔政渔港监督管理机构应按渔船事故调查处理的有关规定,对事件的性质、类别、成因进行调查,分析原因,判明责任,并对事件相关责任人提出处理意见。
6.保障措施
6.1通信保障各级渔业行政主管部门及其渔政渔港监督管理机构要指定负责日常联络的工作人员(2人以上),并配备必要的移动通信设备,保证24小时通信联络畅通。
6.2应急支援与装备保障
6.2.1现场救援保障。承担救助任务的渔业行政执法船舶应根据事件情况携带必要的救生、消防设备和急救药品等。
6.2.2应急队伍保障
(1)各级渔业行政主管部门及其渔政渔港监督管理机构的人员、渔业行政执法船舶及其他执法工具。
(2)渔业船舶。各级渔政渔港监督管理机构要对本辖区的渔业船舶专门登记造册,作为水上救助的重要力量。
6.2.3经费保障。实施渔业船舶水上安全突发事件应急预案所需经费,按财政部《突发事件财政应急保障预案》执行。
6.3宣传、培训和演习各级渔业行政主管部门应最大限度公布突发事件应急预案信息,向渔民宣传预防、避险、避灾、自救、互救等常识。同时对应急值班人员以及辖区内有关渔业船舶、渔业行政执法船舶和有关人员进行突发事件救助知识的培训和演习。
6.4监督检查特别重大突发事件(Ⅰ级)预案启动后的执行情况,由农业部安全生产委员会监督检查。重大突发事件(Ⅱ级)预案启动后的执行情况,由农业部渔业局或省(区、市)人民政府负责监督检查。较大突发事件(Ⅲ级)、一般突发事件(Ⅳ级)预案启动后,由省(区、市)渔业行政主管部门或所在地市(地)、县人民政府负责对预案的执行情况、救助力量的到位情况、现场应急措施落实情况进行监督检查。
7.附则
7.1名词术语
7.1.1渔业船舶水上安全突发事件:指渔业船舶在航行、作业、锚泊及停靠等过程中因热带气旋、大风、大雾等气象灾害、海洋灾害、火灾、碰撞、触礁、触损、搁浅、机械故障或伤残等原因严重危及船员生命安全或造成船员死亡(失踪)的事件。
7.1.2渔业救助力量:指渔业船舶、渔业行政执法船舶和其他执法工具。
7.2预案管理与更新
7.2.1本预案有关通信联络的附件应随时保持更新。相关单位与人员的通信联络发生变化时应及时通知农业部渔政指挥中心。
7.2.2省(区、市)渔业行政主管部门相应制定的突发事件应急预案分别报上一级渔业行政主管部门备案。
7.3奖励与责任
7.3.1各级渔业行政主管部门应根据实际情况,对在渔业船舶水上安全突发事件处置过程中有突出贡献的单位和个人,按照国家法律、法规及有关规定给予表彰和奖励。
