网络安全文化的法律对策研究,本文主要内容关键词为:网络安全论文,对策研究论文,法律论文,文化论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:TP393.08 文献标识码:A 文章编号:1003-6938(2007)01-0101-05
1 网络安全文化现状
网络安全文化是网络安全中重要的一环,也是容易被忽略的元素。因为网络安全受到重大威胁时,人通常是安全链中最薄弱的环节。[1]因此,使用网络的人们必须懂得他们的行为,即使表面上不重要的行为都能对机构的安全形势产生很大的影响。只有安全意识得以普及和提高,才能减少安全威胁的影响和增强一个机构对危险的承受力。因此,世界各国都开始注意到网络安全文化的重要性,推动网络安全文化一时成为全人类的一项重大课题。世界经济与合作发展组织于2002年发表了《信息系统和网络安全指南》,这个指南则以推动安全文化发展来应对变化甚大的安全环境。
根据公安部公共信息网络安全监察局、国家反计算机入侵和防病毒研究中心公布的《2004年全国信息网络安全状况调查分析报告》,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致安全事件的占安全事件总数的66%,登陆密码过于简单或未修改密码导致安全事件的占19%。[2]
调查表明,近年来,网络使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。被调查单位也普遍反映用户安全意识薄弱,安全管理人员缺乏培训,安全经费投入不足和安全产品不能满足需要等问题。也说明目前安全管理水平和社会化服务的程度还比较低。[3]
2 概念辨析
2.1 文化与网络文化
“文化”是我们熟知而不真知的概念之一。之所以说熟知,是因为文化渗透于我们的一切生活经验、生活世界乃至存在方式中,和我们有不可割舍的亲和性;之所以说不真知,也是由于它渗透于一切之中,我们对它的思考必须从定义和概念入手,而任何对文化本身的定义和概念都受到特定文化价值观念的限制,这给文化研究造成了很大的困境。据统计,到目前为止,有关文化的定义达300余种。从词源学角度来考察,文化是人与自然关系的一种表征。中国古代哲人所理解的文化是“人文化成”即“关乎人文,以化成天下”。在西方,“文化”一词源于拉丁语cultura,原意指对土地的耕作及动植物的培育,后逐渐转化引申为培养、教育、发展、信仰等含义。“文化”概念在进一步演化中形成了两个基本层面的理解:功能性文化概念和主体性文化概念。前者侧重于从客体性角度界定文化,把文化看成是人所创造的身外之物。后者侧重于从主体性角度界定文化,认为文化即人化。
所谓“网络文化”有两方面含义:一是网络作为一个新生事物,不仅是一种技术与社会现实,更是一种文化现实,网络就是一个新兴文化形态;二是文化本身是以网络的形态存在和发展的,人无时无刻不生活在文化之网中,网络文化可以说是人类文化发展的网络化形态的最典型的体现。简言之,就是“网络的文化”或“文化的网络”。
网络文化的内部结构分为四层:网络文化的主体——网民;网络文化的客体——网络的“硬件”、“软件”和协议;网络文化的中介——通过网络平台传输的信息及其意义;网络文化的价值——通过网络而形成的人们的新的价值观和生活方式。网络文化具体表现在各个方面,比如网络科技、网络教育、网络经济、网络政治、网络组织、网络语言等。网络文化具有文化的共性,也具有与其它文化形态不同的特性,主要是技术基础性、全球性、开放性、共享性、多元性、虚拟性、交互性、分布性、创新性与超限性等。这些特性具体体现在网络技术、网络组织方式、网络思维方式与网络价值和规范中。
相关计算机网络法律法规的制定与实施进一步促进了网络文化的发展,为了促进互联网的持续健康发展,各国都结合本国的实际情况制定了计算机网络相关法律法规,这些法规本身就是网络文化的一种渗透与体现,同时又反过来引导和促进网络文化的形成与发展。
2.2 安全文化
安全文化伴随人类的产生而产生,伴随着人类社会的进步而发展,但人们最早有意识的发展安全文化则是起源于20世纪80年代的核工业领域,在1986年国际核应急专家从切尔诺贝利核电站事故中意识到“安全文化”的重要性后便迅速发展,至今已形成一套完整的理论,且与安全相关的行业纷纷建立具有特色的行业安全文化。它渗透于人们的观念、安全法律法规、安全制度以及各种物质产品中,是促进和保证安全的重要措施。安全文化是人们在不断的生产生活实践中的经验的总结,是人们勇于奉献、防范被侵害的重要手段,它通常被定义为安全价值观与安全行为的总和,[4]它对人们的生命财产安全有着重大的影响,有着良好安全文化的地方总伴随着较低的事故率。安全文化一般分为基础安全文化与专业安全文化两大类,[5]基础安全文化是每一个社会成员都应当普遍具备的安全文化,即国民普及安全文化,也可以称为社会安全文化。专业安全文化是指各种技术专业领域中的安全文化,基础安全文化是专业安全文化的基础,而专业安全文化又因推动着基础安全文化的提高而发展。总结起来,安全文化的作用主要体现在:a.影响人们的安全意识,安全价值观和对风险的态度;b.影响安全相关法律法规和制度的制定;c.影响社会权力的分配和组织结构的形成;d.影响安全生产方式的实施和安全生产环境的形成。培养良好的安全文化对保障安全,推动社会发展有着重大的实际意义。
安全文化与网络文化同属人类文化,是从不同的角度对文化进行划分而得出的两个不同却又相关的概念,安全文化作用于安全领域,影响着人们的安全行为,网络文化是网络空间的文化,为人们提供网络价值观和网络行为模式,它们相互影响、相互渗透。
2.3 网络安全文化
网络活动总会有意识无意识地包含着安全活动,安全文化会自然而然地融入网络活动中,引导和制约着人们的网络信息安全行为,起到约束和管理人的网络信息行为的作用,形成一种全新的,而在以往被人们忽视了的“网络安全文化”。
网络安全文化是安全文化的子类,是安全文化和网络文化相互渗透的结果。他继承了安全文化与网络文化的共性,同时又具有自己的特性。它通过影响网络操控者的行为来影响网络安全,它对网络安全的影响贯穿于人们网络活动的始终。因此,根据以上分析结合经合组织2002年颁布的《信息系统与网络安全准则》的理念,我们认为,网络安全文化是安全文化和网络文化的一个子类,它指人们对网络安全的理解和态度,以及对网络事故的评判和处理原则。即在发展信息系统和网络过程中重视安全问题,在信息系统和网络之间的利用和相互作用过程中采用新的思维和行为方式,对不断变化的安全环境做出迅速反应;建立一个能够适当考虑所有参与者的利益,以及系统、网络和相关服务性质的方法。在网络安全文化的指导下,每一个参与者都是保证安全的重要角色,参与者应根据其职责,了解相关安全奉献、预防性措施,并承担相应职责、采取措施提高信息系统与网络的安全性。安全文化的发展应能够加深所有参与者对安全需求的理解,而且能够提高安全计划与管理的优先地位。各级政府、企业和所有参与者应关注安全问题并承担责任。
3 推动网络安全文化的目的和原则
3.1 推动网络安全文化的目的
根据OECD《信息系统和网络安全指南》,推动网络安全文化要达到以下目的:
(1)向所有参与者推广安全文化,以此作为保护系统和网络的手段。
(2)增强系统和网络的风险意识;要有政策、惯例、措施和步骤化解这些风险;提出采用和执行这些政策、惯例、措施和步骤的要求。
(3)增强所有参与者对系统和网络及其提供和使用方式的信心。
(4)建立一个一般的参照系,靠此帮助参与者了解安全问题,在发展和执行与系统和网络相关的政策、惯例、措施和步骤中尊重道德价值观。
(5)在发展和贯彻安全政策、惯例、措施及步骤中推动所有参与者合作和信息共享。
(6)推动所有参与者在发展和贯彻标准时将安全作为一个重要目标。[6]
3.2 推动网络安全文化的原则
3.2.1 安全原则,包括安全的设计、执行和管理
参与者应将安全作为系统和网络的一个基本要素。系统、网络和政策需要正确设计、执行、调整以达到最大安全。一个重点是设计和采用合适的防范措施和解决方案,避免和限制已知的威胁和脆弱性造成的损害。技术和非技术防范措施和解决方案都是需要的,并且应该与组织的系统和网络上的信息价值相称。同时,参与者应该为安全管理采用全面的策略。安全管理应以风险评估为基础,而且应是动态的,包含各级参与者的活动和他们业务的各个方面。应包括对新威胁的前瞻性应对,并针对事故预防、探测和应对,系统恢复,经常性维护、评论和检查。应该协调和整合系统和网络安全政策、惯例、措施及方法,以建立统一的安全制度。
3.2.2 民主自由原则
信息系统和网络安全应与民主社会的基本价值观相容。应以一种与民主社会承认的价值观相容的方式实现安全,这包括交换思想和想法的自由、信息自由交流、信息和通信机密性、个人信息的适当保护、公开和透明。
3.2.3 安全意识先行的原则
参与者应该知道系统和网络的安全要求及他们能够做些什么来增强安全。风险和防范意识是系统和网络安全的第一道防线。系统和网络可以受到内外风险的影响。参与者应该知道安全故障可以严重地损害他们控制下的系统和网络。他们也应该知道由于相互联系和相互依赖会给其他系统和网络造成损害。
3.2.4 参与者责任的原则
所有参与者都对系统和网络安全负责。参与者依靠相互连接的当地及全球的信息系统和网络,应该知道他们应负的责任。参与者应定期回顾他们的政策、惯例、措施和步骤以及评价它们是否适合他们的环境。开发、设计和供应产品和设备者应致力于系统和网络安全,并及时提供适当的包括升级的信息,这样用户就更能了解产品和服务的安全功能及他们的安全责任。
4 推动网络安全文化发展的法律对策
4.1 制定安全意识计划,促进网络安全文化的内容法定化
安全意识是各个网络参与者对安全和安全控制重要性的一般的、共同的意识。制定安全意识计划有助于:减少人员未授权的行为;提高保护控制的有效性;消除计算机资源的欺骗、浪费和滥用。
各国在制定和调整网络安全计划中都越来越重视安全意识。美国政府在维护网络安全的国家战略中提出了五项主要措施,其中两项就是改进安全培训和加强安全意识,建立一项旨在减少威胁和增强抵御能力的计划。[7]2001年10月,美国管理与预算办公室(OMB)颁布了新的政府部门网络安全自我评估导则,新导则要求各部门就安全费用、具体实施方案和优先行动计划等问题做出详细汇报。该办公室还根据2000年颁布的“政府信息安全改革法案”(GISRA),要求政府各部门对自身的安全情况进行评估。管理与预算办公室对这些评估结果进行分析后指出,目前在政府机构中普遍存在着安全隐患,并有针对性地提出了六项改进意见:(1)提高高层管理人员对安全问题的重视程度;(2)制定安全评估指标,量化各部门安全官员的工作成效;(3)加强安全教育,提高安全意识;(4)将解决安全问题列入政府预算;(5)确保商务运作环境的安全;(6)提高探测、报告和共享安全隐患信息的能力。[8]由上可以看出,该导则的前三项都与网络安全文化特别是安全意识紧密相关。根据这些改进意见,各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划,以提高网络防御能力。
美国能源部为提高本部门的网络安全性,也对自身的网络安全计划进行了调整,主要措施包括对本部门人员进行有关网络安全的培训,提高其安全意识,使每个人都了解自己的安全职责;为那些向公众开放的信息系统开发和设计安全认证和鉴定程序;对关键的信息系统进行独立鉴定;将网络安全费用计算到信息系统的运作成本中。国土安全部同时充当联邦政府的主要联络点,为州和地方政府、私人机构以及美国公民就信息网络安全问题展开讨论提供沟通平台。[9]
4.2 制定法律法规,推动网络安全文化教育和培训
重视网络安全的教育和培训是推动网络安全文化发展的重要方法。虽然已有许多管理学家提出了网络安全教育和培训的方法,但是我国法学界中几乎没有人提出将其用立法加以保障。事实上,鉴于网络安全的重要性,一些发达国家已经将进行网络安全的教育和培训用立法来保障,给政府部门、企业或其他组织规定了定期培训的法定义务。以美国为例:
美国1987年《计算机安全法案》中就要求必须对员工进行计算机安全意识和已接受的安全实施方案的定期培训。将安全意识的培训法定化。这种上升为法律的行为本身就会为推动安全意识的提高起到重要作用。
2001年10月,美国管理与预算办公室(OMB)颁布了新的政府部门网络安全自我评估导则,提出:要提高高层管理人员对安全问题的重视程度;加强安全教育,提高安全意识。2002年3月刚刚通过的“联邦信息安全管理法案”(FISMA)(“政府信息安全改革法案”已于2001年11月29日废止),对政府机构的安全问题作出了更为详细的规定,它不仅要求各部门提供更加详细的安全情况报告,还提出了诸如要求政府部门遵循国家标准技术研究院(NIST)制定的安全标准,并使用他们开发的安全工具(如安全评估问卷)的新要求。
相比之下,我国法律对于网络安全文化只是笼统地提及,如《国家信息化领导关于加强信息安全保障工作的意见》(中办发[2003]27号文)提出其主要精神之一就是要“创建安全健康的网络环境”,但是并没有明确提出如何创建,对于教育和培训更是没有规定。建议我国也对特定人员进行强制培训,如政府工作人员和企业管理人员,也应该通过立法要求网络服务商对于使用和接受网络服务的用户进行一定程度的网络安全培训,加强用户的安全意识。
4.3 构建法律责任体系,明确各参与者推动网络安全文化的法律责任
在发展信息系统和网络中要强调安全,在使用信息系统和网络以及与它们交互作用时要采用新的思维和行为方式。在一段时期内,网络和系统的安全设计及使用常常是亡羊补牢,发出了与此决裂的信号。从法律责任体系的构建上作出具体规定,是促进网络安全文化发展的最有效和直接的途径。由于制定时间先后及使用概念之差别,我国信息网络安全法规的法律责任有欠规范。在罪与非罪、多罚与少罚的界限方面,大多规定含糊。如刑法规定破坏计算机信息系统安全“后果严重”者,必须承担刑事责任。但何为严重,何为不严重,法律没有规定。在构建推动网络安全文化的法律责任体系中,要避免这一点,笔者认为从各参与者出发,适当地考虑所有参与者的利益以及系统、网络和相关服务的特性,它才可以提供有效的安全。
每一个参与者都是保证安全的重要执行者。参与者应该与他们所起的作用相适应,为增强信息系统和网络的安全,要知道相关的安全风险和防范措施,并承担责任和采取措施。推动安全文化的发展不仅需要领导和广泛参与,还要使安全规划和管理成为高度优先,让所有参与者都知道安全要求。安全问题应该是各级政府、商业和所有参与者关注的主题和应该承担的责任。《信息系统和网络安全指南》建议所有参与者采用和推动安全文化,以此作为思考、评价、行动及运行信息系统和网络的一种方式。
下面我们从不同网络参与者的角度来界定他们的作用和责任范围并提出促进安全意识的方法(见下表)。
结束语:
网络安全文化是人们对网络安全的理解和态度,以及对网络事故的评判和处理原则。即在发展信息系统和网络过程中重视安全问题,在信息系统和网络之间的利用和相互作用过程中采用新的思维和行为方式,对不断变化的安全环境做出迅速反应;建立一个能够适当考虑所有参与者的利益,以及系统、网络和相关服务性质的方法。网络安全文化的发展需要从制度层面确认和保障其发展,包括制定安全意识计划,建立促进安全意识教育和培训的法律法规,构建法律责任体系。
收稿日期:2006-04-04;
标签:安全文化论文; 网络安全论文; 网络文化论文; 安全意识论文; 法律论文; 安全培训论文; 法律制定论文; 网络行为论文;