论保护信息网络安全的技术性和管理性法规,本文主要内容关键词为:网络安全论文,理性论文,法规论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
网络已深入到社会的各个角落,黑客和病毒给社会带来的负面影响也随着网络功能的增强 而扩大,网络的安全性随之上升到国家安全、公共安全的层面,世界各国亦越来越倾向依靠 法律——这个强有力的国家工具来保障网络安全。各国信息安全的立法虽各不相同,但各国 信息安全专家对这一点的认识是相同的,即保障信息网络安全必须构建一个全方位、立体化 的防御体系。这个防御体系应包括技术因素和非技术因素,其中技术防范措施主要包括:对 计算机实行物理安全防范、防火墙技术、加密技术(密码技术、数字签名技术)、完整性检验 、 反病毒技术、安全通信协议——SSL协议等等[1]。非技术因素则包括:管理方面的安全措施 、法律保护、政策引导等等。事实上,高科技的信息网络技术决定了网络安全离不开信息网 络技术和网络安全管理制度。
与这些防范措施相配套,整个信息系统安全的立法体系也是一个全面的,包括了技术因素 、管理因素和传统法律的安全保护体系。从我国现有的计算机信息系统安全保护法律来看, 我国已初步形成了一个保护网络安全的法律体系。我国宪法明确规定了公民具有保守国家秘 密的义务;基本法律中有《保守国家秘密法》,《刑法》分则中的相关规定;行政法规有《 中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联 网暂行规定》、《计算机信息网络国际联网安全保护管理办法》等;此外,大量的行政规章 和地方性法规也对计算机信息系统安全作了规定,如《中国公民计算机互联网国际联网管理 办法》、《铁路计算机系统安全管理暂行办法》、《山西省计算机安全管理规定》等等。尽 管已初成体系,但是这些法律仍着重从传统的刑事法规和行政法规的角度保护信息网络安全 ,从法律的内容上说,整个信息安全的法律中缺乏技术性和管理制度方面的法律规定。面对 日益紧迫的信息安全问题,为保障信息化建设的顺利展开,我国应完善网络安全方面的方法 ,特别是要从技术性法规、管理性法规这两个角度加强对计算机信息系统的保护。
1 制定保护信息安全的技术性法规
科学技术的发展把大量原本属于纯粹技术规范的各种标准带入到法律当中,形成了一种新 的法律规范形式——法律技术规范,又称技术性法规,它既具有技术性,又具有法律性,把 大量技术性、专业性术语带入纯粹的法律中。信息网络安全涉及大量新的网络技术、信息技 术,因此要保证信息网络安全就必须考虑采用技术保护手段与法律保护手段相结合的方式建 立信息网络安全制度,而技术性法规的特点恰恰满足了这一要求。借鉴国际上的安全技术体 系,本文认为保障信息网络安全的技术性法规可以从以下三个方面进行规定。
1.1 密码技术标准的法定化
使用密码进行加密是数据保护最常用的方法。数据加密具有机密性、证实作用、访问控制 三种功能。由于“一切秘密寓于密钥之中”,所以规定密钥技术的国产化、标准化尤为重要 。加密技术的法定化首先是国家关于密码数位技术所应达到要求的问题,其次还包括对密码 设置中数字和字符并用的规定。网络系统的攻击者往往通过解译密码来非法侵入他人系统, 所以设置密码的技术应用恰当与否直接关系到信息网络安全。要加大密码的破译难度应采用 数字和字母共用的设置办法,对其加以规定有利于加强密码管理者的安全观念,防止因系统 使用者一时疏忽或懒惰而使侵入者有机可乘,所以我国可制定如下技术性规定。
(1)重要的计算机信息系统的密码技术应使用国产密码技术,并根据具体情况规定最低的密 码位数。
(2)重要的计算机信息系统密码应采用数字、字母和其他字符并用的设置办法,并要求定期 更换密码及口令。
1.2 防火墙技术与其他信息安全技术产品的国产化
防火墙技术是目前维护网络安全最重要的技术之一,它已成为许多国家信息网络的第一道 防线[2]。国外的许多信息安全技术销售商发现,现在的消费者倾向于把防火墙作为所有网 络安全的平台。在这样的需求下,更多的信息安全技术厂商也把防火墙作为一个集成的、中 央管理的安全产品套装的一部分进行销售,而不仅仅把它作为一个单机产品。有些公司甚至 将其安全产品嵌入网络硬件中,如美国思科(Cisco)公司的太阳系统产品。这样的技术发展 趋势使我们在进口国外信息安全技术时,也不得不配套、整体引入,对我国的信息安全产生 了不利的影响。
我国政府现已明确了优先采用国产安全产品的政策,但其仅仅作为政策还不够,为了不使 我国的信息网络系统成为“定时炸弹”,还应以法律的形式将此政策固定下来。由于中国的 信息网络用户最熟悉的产品之一就是防火墙。所以,我们应在法律上明确规定:
(1)国家重要部门的计算机信息系统必须使用国产防火墙技术产品及其他国产安全产品,其 他 行业的信息系统鼓励使用国产安全产品。规定国内消费者在购置和使用国外信息安全技术产 品时,应在购买协议中明确因产品造成失密的法律责任。
(2)制定鼓励中国信息安全技术产业发展的法规、政策,如中国电信法,以体现我国扶持本 国信息产业,特别是信息安全软硬件开发的政策。
(3)在国内设置计算机信息安全产品检测机构,对信息产品的安全性能制定标准,进行检验 并评级。赋予该机构检验的权力,完善各单位计算机信息系统的年检制度。
1.3 承认当事人双方选择的认证中心所作认证的法律效力
数据加密是保护数据的最基本的方法。但是,这种方法只能防止第三者获得真实数据,如 果在联系对方发生否认、篡改、伪造、冒充等情况时,则仍不能解决数据的安全问题。
为解决上述问题,在网络中必须采用数据签名技术。但在大型网络中,由于有许多节点或 端节点,在使用这个网络时,并不是所有的用户都是诚实可信的,同时也可能由于系统故障 等原因使信息丢失、迟到,这些都很可能会引起相关的法律责任问题。要解决这些问题,国 际上普遍采用了建立数字签名认证中心或网络服务机构来确认联络双方身份的办法。即加入 一个各方都信任的中间机构,由该机构掌握公开密钥和私人密钥,建立起类似印鉴管理和邮 政登记的制度,从而担负起对电子文书的真实性进行证明或鉴定的责任,并仲裁可能出现的 问题。一旦各方同意进入公证机制,他们进行数据交换时就必须通过这个认证中心或服务机 构进行,以确保该机构能得到必要的信息供以后进行验证和仲裁。数字签名认证中心或网络 服务机构的地位在电子商务和电子合同中非常重要,但我国在法律上并未对其认证结果是否 具有法律效力作明确规定,因此建议:
(1)制定数据认证中心或网络服务机构法,赋予其独立的法律地位,明确其权利义务。数据 认证中心或网络服务机构法律地位的规定应包含以下内容:
①中心或机构必须具有独立性,不得参与任何形式的贸易活动,以保证其公正性。
②必须是用户数据电文传递中的一个公正、客观的信息中心,用户的任何信息必须通过该 机构加以传递。在用户发生交易纠纷时,法院或仲裁庭可根据该机构提供的备份资料作为证 据。
③机构负有对电子记录的保密和储存义务。传递电文的中介机构不得对中转传递的电文作 任何未经授权的改动,除法律另有规定之外,不得将其内容透露给任何未经授权的人。当事 人可采用协议的方式,对他们之间交换的数据采用密码方法或其他方法给予特殊保护。为安 全准确地储存资料,机构必须在合理的年限内妥善保存电子记录的资料,以备日后核查。
④机构应对未发出通知、通知有误或工作人员泄密承担相应法律责任,包括经济赔偿责任 。
(2)如当事人双方选择了某认证中心或服务机构,则该机构的认证或仲裁结果对当事人各方 都具有法律效力,双方必须执行。
(3)认证机构的网上仲裁机制,在立法时应以国际通行的“选择性纠纷解决程序”(Alterna tive Disputes Resolution,简称ADR,指诉讼程序外的其他纠纷解决程序,如仲裁、调解 等)为网上仲裁程序的基础。其中需特别规定的内容包括:电子文书的鉴定程序、时效的计 算方法、当事人在文书上的有效署名签字等内容。
上述技术性法规主要针对目前最常用的信息安全技术,用这些技术可以取得很大的安全效 益。但我们应看到技术保护也有其限制因素和薄弱性;科学技术的迅猛发展会使今天看似牢 不可破的安全技术轻而易举地被攻破。因此技术性法规的稳定性较差,这也是技术性法规常 以行政法规或规章的形式出现的原因所在。因此,一整套信息安全管理方案、程序和强烈的 安全保护意识可以相对弥补这方面的不足,从程序上确立一套信息安全管理制度并将其法律 化也是相当有效的一种信息安全法律保护的对策。
2 完善信息安全的管理性法规
提高安全防范意识不仅要通过经常性的思想教育和法制宣传,还要制定一整套的管理制度 ,将安全保障化为一套稳定、可操作的系统。随着管理科学在社会生活中被广泛应用,许多 涉及到管理制度的重要社会关系也逐步纳入法制化的轨道,《公司法》、《证券法》就是很 好的例证。正如江平教授所认为的:管理法的一个主要法律特征即是程序性规范的具体、详 细,以便于实际操作[3]。将安全管理的程序、制度法律化,有利于人们自觉、认真地执行 安全管理制度,并提高人们在这方面的管理水平,增强安全防范意识。
2.1 建立计算机信息系统安全评估的法律制度
谁都希望选择一个安全级别高的操作系统、数据库或者其他系统软件,但如果没有一个公 正、客观的计算机系统安全评估标准,就无法对信息安全产品进行安全评估。缺乏信息安全 技术专业知识的购买者没有可参照的安全标准,就不容易买到达到安全要求的产品。为保证 本国使用的计算机信息系统安全产品达标,美国、加拿大、英国、荷兰、法国等国家都颁布 或联合颁布了本国的可信计算机系统评测标准,以指导本国信息安全产品的制造和应用。美 国国防部颁布的“可信计算机系统评估准则”将计算机系统的安全性由低到高分为D、C1、C 2、B1、B2、B3、A1等4类7个等级,并对不同行业的应用系统提出满足安全等级的强制性要 求[4]。我国政府实际上已制定了类似的安全评估制度,但网络安全的现状要求我国尽早出 台相关的法律规定,因此建议:
(1)制定并颁布全国统一的计算机信息系统安全评估标准,设立不同的安全等级,对重要行 业的计算机系统使用的安全产品应达到的等级作强制性规定。
(2)设立权威的计算机系统安全评估机构,依计算机信息系统安全评估标准检查计算机信息 系统的安全达标情况。
2.2 设置计算机信息系统监察员制度
在我国某些地方法规和行政规章中,如《铁路计算机信息系统安全管理暂行办法》、《北 京市计算机信息系统病毒预防和控制管理办法》,设置了监察员对本部门不同级别的单位进 行统一标准的检查。实践表明,派具有专业技术知识的人担任信息安全监察员,并建立一整 套监察制度保护计算机信息系统的安全是及时有效的。监察员制度应在国内全面推广普及, 它包括以下四项内容。
(1)计算机信息系统的使用单位应当建立本单位的计算机信息系统安全监察员制度。
(2)建立全国计算机信息系统安全监察员资格考试制度。计算机安全监察员上岗前应接受技 术培训,取得全国颁发的安全监察员资格。
(3)计算机安全监察人员负责本单位的计算机信息系统安全保护工作,其职权应包括:
①检查和督促系统管理部门和使用部门执行有关计算机信息系统安全的法律法规。
②建立本单位或本部门的计算机信息系统安全管理制度。定期进行计算机系统的安全检查 ,完善安全防范措施。
③办理本单位或本部门使用的计算机安全产品的评估、认证工作。
④协助查处、侦破涉及本单位或本部门的危害计算机信息系统安全的工作。
⑤本单位或本部门授予的其他职权。
(4)地方公安机关应与本地的计算机安全监察员建立直接联系,进一步培训、指导计算机安 全监察员。
2.3 指导各单位建立自己的计算机信息系统安全的法律规定
我国《计算机信息系统安全保护条例》规定,计算机信息系统的使用单位应当建立健全安 全管理制度;负责本单位计算机信息系统的安全保护工作。但对于从哪些方面健全却没有进 一步的规定。我国的一些地区、行业或机关根据《条例》制定了自己的安全管理制度,但管 理水平的差距却很大。基于我国信息安全告急的现状,我国的法律不妨对安全管理制度作更 加详细的规定,这样能起到很好的引导和提高作用。下面就一些重要的管理规定进行探讨。
(1)优先使用国产软件、硬件的规定。目前,国外硬件、软件带上了资源密码,已不适合我 国的重要部门如国防部使用。但我国计算机软、硬件技术还比较落后,所以不宜强制性规定 各 单位、部门使用国产软、硬件,但是可以引导优先使用国产软、硬件,并通过其他措施对使 用国产计算机产品的单位给予安全评估上的优惠政策。
(2)使用软件和外来数据前必须先进行安全检验,不得使用任何来历不明的软件和数据。
(3)建立危险报警制度,对在计算机信息系统中发生的危害信息安全的案件、新病毒出现和 重大计算机安全事故,应在24小时内向县级以上公安机关报告。
(4)制定计算机机房建设的国家安全标准。
(5)其他一些应建立的管理制度,包括运行审批制度、日志管理制度、灾难恢复制度、帐户 、 密码管理制度、有害数据及计算机病毒的预防、发现及清除的管理制度、计算机机房及 其他重要区域内的出入制度、储存数据资料和设备的备份制度等等。这些管理制度都可以和 计算机审计工作联系起来,即对涉及系统安全的用户操作过程做一个完整的记录,便于发现 问题并采取有效措施予以解决[5]。
3 结 论
由于网络安全的管理制度涉及的很多内容都是技术管理,因此许多技术规定和管理制度是 密不可分的。本文着重从技术和管理角度谈对网络安全的立法保护并非削弱了传统法律的保 护作用,网络安全立法是不能背离传统的法律精神,而且正是传统法律与网络技术、网络管 理的融合,反映了这种高科技立法的特征。总而言之,管理和技术因素的融入对信息网络的 安全立法带来了迥然不同的思路,我们只有以创新的勇气进行不断的探索才能迎接这一新的 挑战。
标签:网络安全论文; 信息安全论文; 计算机安全论文; 数据与信息论文; 信息安全标准论文; 数据单位论文; 法律论文; 信息安全管理制度论文;