一、网络安全标准及等级保护制度
人民网评论员文章“国平:为《网络安全法》出台点赞”中写道:“在网络安全问题直接关系国家安全和人民群众切身利益的时代背景下,《网络安全法》是对中国倡导的网络空间主权原则的法治化实践,可谓恰逢其时、众望所归,既体现了我国网络安全立法‘以民为本、立法为民’的核心理念,符合当前网络安全工作的实际和需要,更体现出我国在互联网空间治理上博采众长、自信开放、以人为本的大国智慧、大国担当、大国情怀。”
为维护国家网络安全,有效控制网络安全风险,健全完善国家网络安全保障体系,确保网络和信息系统运行稳定可靠,《网络安全法》强调网络安全标准化体系建设并确立了国家网络安全等级保护制度。
(一)密钥的泄露与保护
密钥即激活码,泛指各种网络产品的数字密匙。在加密技术领域,12~16位数字密钥比较成熟。通过一组公式,生成12~16位“字母+数字”。该序列即为产品的原始形态。对于普通用户而言,可以随时通过官方网站登录查询该专属密钥并可以将其复制保存起来。当前,由于病毒、木马或操作系统漏洞等引起密钥泄露的情况越来越多,电子现金系统中的密钥泄露,会使用户无法相信密钥泄露之后的未来时间内所有由该密钥所产生的电子现金。基于身份的密码体制中的密钥泄露,意味着与用户对应的身份信息(如身份证号码、电话号码、邮件地址)需要修改,这在现实生活中非常棘手。2017年2月24日,一个可能使得互联网行业为之颤抖的漏洞轰然出现,知名云安全服务商Cloudflare被曝泄露用户HTTPS网络会话中的加密数据长达数月,受影响的网站预计至少200万之多,其中涉及Uber、1password等多家知名互联网公司的服务。据了解,Cloudflare为众多互联网公司提供CDN、安全等服务,帮助优化网页加载性能。然而由于一个编程错误,导致在特定的情况下,Cloudflare的系统会将服务器内存里的部分内容缓存到网页中。因此用户在访问由Cloudflare提供支持的网站时,通过一种特殊的方法,可以随机获取来自其他人的会话中的敏感信息。这就好比你在发邮件时,执行一个特定操作就能随机获得他人的机密邮件。虽然是随机获取,可一旦有心之人反复利用该方法,就能积少成多并获得大量私密数据。漏洞最初是由谷歌Project Zero安全团队的漏洞猎人塔维斯·奥曼迪发现的,当时他在谷歌搜索的缓存网页中发现了大量包括加密密钥、cookie和密码在内的数据。于是他很快告知Cloudflare, Cloudflare派出团队来处理此事,结果发现导致问题的几个重要操作分别发生在数天和数月之前。也就是说,在这一期间甚至是在这之前,很可能有不法分子利用该漏洞,造访了所有Cloudflare提供服务的网站。而Cloudflare服务的互联网公司数量众多,其中不乏我们所熟知的Uber、OKCupid、Fibit等。
面对具有严重危害后果的密钥泄露事件,专家提出可以通过加大因密钥泄露而破坏系统安全性的难度及尽量减轻密钥泄露带来的危害两种技术手段来应对。我国《国家网络空间安全战略》明确指出,国家应建立完善国家网络安全技术支撑体系。加强网络安全基础理论和重大问题研究。加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。《网络安全法》中网络安全标准及等级保护制度的建立进一步夯实了网络安全基础,对降低密钥泄露的风险和危害具有重要作用。
(二)公共Wi-Fi是否安全
Wi-Fi是一项创建于IEEE 802.11标准的无线局域网技术,它是一个无线网络通信技术的品牌,由Wi-Fi联盟所持有,该项技术允许电子设备连接到一个无线局域网(WLAN),连接到的无线局域网通常是有密码保护的;但Wi-Fi也可以是开放的,这样就允许任何在WLAN范围内的设备进行连接。无线网络上网可以简单地理解为无线上网,几乎所有智能手机、平板电脑和笔记本电脑都支持Wi-Fi上网,是当今使用最广的一种无线网络传输技术。Wi-Fi最主要的优势在于不需要布线,可以不受布线条件的限制,因此非常适合移动办公用户的需要。2016年年初,美国纽约市曼哈顿区的一些老旧电话亭被移除,更换为全新的、现代的Wi-Fi热点终端LinkNYC,并且是免费的。而在未来数月,这些终端将遍布整个纽约市,让整个城市的每一个角落都遍布Wi-Fi信号。LinkNYC已经代表了城市无线网络的未来,它的意义不仅仅在于提供免费服务,对智能汽车、智能公路、城市自动化均具有积极的意义。
随着移动互联网的加速发展及公众对于高速公共网络需求的不断增加,我国公共场所免费Wi-Fi也在不断增多。2015年年末,中国的Wi-Fi数量已经位居全球第四位。法国、美国和英国分别位居前三,Wi-Fi热点数量分别为1300万个、980万个和560万个,中国已有Wi-Fi热点数量超过491万个。但是由于免费Wi-Fi存在的路由器和网络漏洞,也使其成为黑客攻击的对象,网民个人隐私泄露、网银被盗等事件时有发生。在2015年第五届上海市信息安全活动周活动中,信息安全机构对北京、上海、广州三地机场、火车站、旅游景点、商业中心等6万多个Wi-Fi信号的调查显示,有8.5%的Wi-Fi信号为“钓鱼”Wi-Fi,可能存在修改并植入恶意软件,盗取账号密码等风险。而在全国超过1亿个家用Wi-Fi中,约有3.3%的Wi-Fi密码使用的是低级加密方式,也就是说,有超过400万家用Wi-Fi密码设置不安全,平均每天有约3.06%的Wi-Fi遭遇DNS劫持攻击。
2016年3月15日,央视3·15晚会除了曝光“恶意软件”随意扣费外,利用免费公共Wi-Fi盗取个人隐私也令人触目惊心。晚会现场观众的手机都连上无线网络Wi-Fi,然后打开自己常用一两个消费类软件,例如打车、订餐、购物的软件,浏览一下过去下的订单和消费记录。令人惊讶的是,现场的大屏幕上各种地址、姓名、身份证号、银行卡号都显示了出来。现场随机抽取的观众验证了这些信息的准确性,结果无论是订餐APP、订电影票、打车软件,还是购物软件,消费者消费的所有信息都可以看到。如果截取这些信息进行组合,一个人衣食住行的生活习惯甚至个人隐私,都可能被不法分子一点一点摸透。当我们在机场、餐厅、咖啡厅、地铁上享受着免费公共Wi-Fi的便利时,Wi-Fi钓鱼也正在成为黑客圈子里慢慢流行起来的赚钱方式。与此同时,更有各类分享Wi-Fi密码的软件推波助澜,公共Wi-Fi凸显出的安全问题正在日益严峻。
2017年6月1日《网络安全法》正式实施之后,给个人信息加了“安全锁”,为网络服务设置了“安全红线”。《网络安全法》规定,网络运营者应当按照网络安全等级保护制度,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。这一规定从法律层面对网络入侵、网络攻击行为进行了有效的制约,可以有效防范不法分子对网络的攻击、侵入、干扰、破坏和非法使用,保障网络数据的完整性,使网络处于平稳可靠的运行状态。根据《网络安全法》的规定,未来Wi-Fi安全等级标准将更加明确,用户也将获得更加安全稳定的上网环境。针对个人信息泄露问题,《网络安全法》明确规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。这对于降低公共Wi-Fi的安全风险隐患,保障公众网络安全权益,规范网络安全运行意义重大。
(三)中国网络安全标准与等级保护制度的建立
《网络安全法》通过第十五条、第二十一条、第二十二条及第二十三条的规定,确立了中国网络安全标准与等级保护制度。其中第十五条规定,“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”在第三章网络运行安全中,《网络安全法》第二十一条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”其中安全保护义务包括制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;法律、行政法规规定的其他义务。第二十二条和第二十三条则明确规定了网络产品、服务应当符合相关国家标准的强制性要求。网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
网络安全标准是国家网络安全保障体系的重要组成部分,是做好网络安全工作的重中之重,发挥着基础性、全局性、根本性、引领性作用。当今社会,标准已成为国家核心竞争力的最基本要素。[1]从当前的立法情况来看,有关网络安全标准建设、保护和利用的立法还很不完善,技术标准不统一、法律地位不清晰的问题还有待进一步解决。未来应当根据网络发展和应用的需要,及时完善网络安全标准相关法律制度。网络安全标准立法具有鲜明的技术性、专业性和复杂性,是网络安全立法的重要组成部分。网络安全标准的建设、保护和利用是网络发展与应用的重要基础和保障。在网络技术发展日新月异、网络应用类型层出不穷的背景下,如何进一步加快网络安全标准建设、强化网络安全保护水平,迫切需要相关法律法规构建有效的约束和激励机制,确立明确、科学的技术规范标准,发挥有力的规范、指引、支撑和保障作用。
在网络安全标准化方面,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会在2016年8月共同发布了《关于加强国家网络安全标准化工作的若干意见》(本节以下简称《意见》)。《意见》指出,全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。其他涉及网络安全内容的国家标准,应征求中央网信办和有关网络安全主管部门的意见,确保相关国家标准与网络安全标准体系的协调一致。目前,中国国家标准对国际标准的贡献率仅为0.5%,在网络安全标准领域更低。为推动网络安全标准与国家相关法律法规的配套衔接,应对日趋复杂严峻的网络安全形势,国家网络安全标准化工作将建立统筹协调、分工协作的工作机制,加强标准体系建设,提升标准质量和基础能力,强化标准宣传实施,加强国际标准化工作,抓好标准化人才队伍建设并做好资金保障。根据《意见》,关键信息基础设施保护、网络安全审查、关键信息技术产品、工业控制系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、网络安全信息共享等领域的标准研究和制定工作将“先行一步”。这一安排契合了《网络安全法》的规定,符合“互联网+”行动计划、“中国制造2025”和“促进大数据发展行动纲要”等中国国家战略需求,既有助于保障国家重要信息系统和关键基础网络的信息安全,也将惠及普通民众。
在网络安全等级保护方面,《网络安全法》确立的网络安全等级保护制度是中国信息安全等级保护制度的延伸与保障。根据《网络安全法》的规定,各机构、企业用户应按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,以保护全网以及用户安全。为确保网络安全等级保护制度的有效实施,《网络安全法》在第五十九条明确规定了“网络运营者不履行网络安全等级保护制度相关义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
天津市电子政务信息与网络中心徐金宝梳理发现,早在1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)就明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求制定发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB 17859—1999)为计算机信息系统安全保护等级的划分奠定了技术基础。2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。2004年发布的《关于信息安全等级保护工作的实施意见》和2007年发布的《信息安全等级保护管理办法》则确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。2012年新修订的《中华人民共和国计算机信息系统安全保护条例》及《计算机信息网络国际联网安全保护管理办法》出台,标志着信息安全等级保护工作在全国全面展开。[2]
与此同时,《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)、《关于进一步推进中央企业信息安全等级保护工作的通知》、《水利网络与信息安全体系建设基本技术要求》、《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060—2010)、《山西省计算机信息系统安全保护条例》、《广东省计算机信息系统安全保护条例》、《宁夏回族自治区计算机信息系统安全保护条例》及《徐州市计算机信息系统安全保护条例》等部门和地方性立法中均涉及了信息安全等级保护的内容。