前言:中文期刊网精心挑选了网络空间安全管理体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络空间安全管理体系范文1
信息安全管理系列之十九
1 信息安全的主要研究方向
1.1 密码学(cryptography)
从之前的讨论中,我们可以看出,“信息安全”的词汇随着“载体”或者“关注点”保持了持续的变化,从“通信安全”“计算机安全”,到“网络安全(network security)”直至“信息安全”[1],本质都是为了保护最核心的资产,即“信息”。ISO/IEC 27000:2014中对信息安全的定义为:保证信息的保密性(confidentiality)、完整性(integrity)和可用性(availability);另外也可包括例如真实性(authenticity)、可核査性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等。
这其中的诸多安全属性主要依靠密码学的相关技术或机制解决[2],具体如表1所示,表中的数据来自GB/T 9387.2—1995 / ISO 7498-2:1989。
因此,一直以来,密码学都是信息安全最重要的研究方向之一。在通信安全时代及其之前,载体方面主要防止窃听,这并不需要形成单独的学科,最重要的安全措施是加密传输,但是在计算机与信息系统出现之后,仅靠消息加解密已经不能解决所有的问题,更重要的是,在信息大爆炸的时代,这不现实也没必要。
信息安全引起广泛重视,一个很重要的原因还是信息系统的普及。围绕信息系统,存在两个最重要的研究方向,即关注如何设计信息系统的计算机科学与技术领域,以及关注如何应用信息系统的信息系统管理领域,具体如图1所示。
通过图1,也给出了解决信息安全问题的两种主要途径:一是技术,即通过安全防护系统加固现有的信息系统;或者二,通过管理,即通过信息安全制度加强对个体行为的约束。
1.2 起源于计算机领域的安全防护系统研发
防火墙、防病毒和入侵检测系统(Intrusion Detection Systems,IDS)等信息安全防护系统研发是目前实践中最常见的手段,也是研究领域的热点之一。按照Basie von Solms[3,4]对信息安全实践的划分,技术部署是最早出现的浪潮。当然,在今天的信息安全实践中,已经不再可以区分技术手段还是管理手段,更多的是关注安全目标,例如,在ISO/IEC 27001:2013中,一个安全控制目标所对应的不仅是技术,也包括管理。
1.3 起源于管理学领域的信息系统安全管理
单纯的技术不会解决任何问题,在目前信息安全业界已经得到公认[5]。首先,技术不是万能的,不能解决所有的问题;此外,即使是技术系统,最终需要人去操作,依然需要相应的制度或策略。例如,防火墙策略的配置。即使在“最技术”的密码学领域,BruceSchneier也曾经指出“再强的密码算法也抵不过前克格勃的美女”[6]。
2 为什么研究重点会转移到行为信息安全
2.1 安全机制中最薄弱的环节
普遍认为,人是安全机制中最薄弱的环节,航空领域的诸多事故基本证实了这一点。在集中计算时代,每一个管理员都如同飞行员一样,都是专业人员,这种脆弱性表现的并不突出。但是在个人PC广泛普及的时代,人在安全机制中的脆弱性就暴露无遗。
以信息安全风险评估为例。在集中计算的时代,信息安全风险评估并没有完整的流程,而是一系列的检查表(checklist)[7],例如PD3000系列。这实际是最经济,也是最有效的方式之一,例如在其他行业,医疗领域的新生儿阿普加(Apgar)评分表2),原理不复杂,但是有效地降低了新生儿死亡率,到现在仍然应用于临床。再如,飞行员做安全检查的主要依据是一系列的检查表。但是,要使定性的检查表有效,一个重要前提是操作者是专业人员,因此当分布式计算时代来临的时候,检查表就不再能够有效地发挥作用。或者说,基于主观判断的检查表并不适用于非专业人员,于是促生了现在常用的“经典六因素法”(资产,威胁,脆弱性,控制措施,可能性和影响),信息安全风险评估成了规范的流程/方法,检查表只是其中的一个技术工具。
2.2 行为信息安全研究出现的必然性
在很多行业,从对技术的关注转向对人的关注也是一个必然过程,在每个人都可以操作的系统中表现的尤为明显,主要因为:第一,技术是新生事物,而不是必然存在的,因此在发展的开始阶段,更多地考虑技术进步,但是技术一旦成熟,如何应用就成了关注的重点;第二,技术的进步在某种程度上是可控的,是一个不断迭代的过程,但是人类本身的进步却是缓慢的,在短时间内不会超越生理极限,而且以系统论的观点来看,越复杂的系统,可能越不可靠,人恰恰是最复杂的系统。
此外,限定只有专业人员操作的行业可以通过规范操作等途径来加强管理,例如航空业,但是每个人都可以操作的信息系统则很难实现,行为表现出更大的复杂性且操作者不能挑选。在航空安全等领域,人类工效学(ergonomics)或人因因素(human factors)主要是针对专业人员,使用者或者旅客等对安全的影响有限。
在这种背景下,国际信息处理联合会(International Federation for Information Processing,IFIP) TC8/WG11和TC11/WG133)在2013年定义了行为信息安全研究方向[8],主要关注信息安全中的个体行为。行为信息安全在学科中的位置如图2所示。
行为信息安全研究大致起源于1990年,期间经历了产生、发展、形成和定义等阶段,在后续的文章中,我们将陆续介绍。
在实践中,流行的信息安全架构已经将个体行为的要素考虑在内,例如,ISO/IEC 27001:2013中,“A.7人力资源安全”从人员任用的角度考虑信息安全;“A.9.3 用户责任”从用户角度考虑访问控制问题。因此,信息系统安全管理的研究重点已经从“怎么做系统”转化为“怎么用系统”。
3 网络空间中个体行为的虚拟化
行为信息安全研究的主要关注点还是停留在“物理人”,随着网络空间(cyberspace)的发展,更多的威胁来自“虚拟人”[9],虽然虚拟人是建立在物理人的基础上,但是两者的个体行为表现出很明显的区别。图3给出了物理人与虚拟人关系的示例。
与现实世界相比较,网络空间中的个体行为主要有如下特征:
(1)在网络空间中,个体数量众多,行为也更多样化。在物理世界,人的数量是有限的,但是在网络空间中,一个人可以同时以各种表现迥异的角色出现,例如,在微博同时开几个账号,以不同的身份发表言论。单个的虚拟人在网络空间中的行为可能比物理世界的人要简单得多,但是由于数量众多所带来的多样性更难以预测。实践已经证明,在网络空间中,个体更容易表现出极端行为或非主流小众行为,虽然这些极端行为不能直接造成人身伤害,但是极端的言论具有很大的危害。
(2)在网络空间中,个体违规能力更弱,但是违规意愿更强。在现实世界中,每一个人都有一定的违规能力,即使是弱者。但是在网络空间中,绝大部分的人都属于技术上的菜鸟,并不具备违规能力,因此表现出的弱者特征更加明显,例如发牢骚、发表威胁性的言论等。心理学的诸多研究表明,人在感受到威胁时更容易表现出攻击性,加上缺乏足够的能力或解决途径,因此在网络空间中,语言暴力往往更加突出。同时,由于违规能力弱,更容易导致“抱团取暖”,从而容易形成群体行为。
(3)在网络空间中,个体更具备机会主义特征。现实世界的秩序已经形成,机会主义缺乏足够的土壤。但是在网络空间中,违规的成本更低,甚至可以反复“复活”,新游戏规则下,个体更具备机会主义特征。例如,在现实世界中,一个人在街上发牢骚,出于自保,一般不会有太多响应,除非引起足够的共鸣。在网络空间中不同,这种“见义勇为”的成本很低,围观者甚至将辨别事实的步骤都省略了就参与进来。
综上所述,由于个体行为所表现出的不同特征,个体信息安全行为研究应该过渡到行为网络安全研究,从而对网络空间中的个体行为给与更多的关注。
网络空间安全管理体系范文2
关键词:信息安全 管理 现状 改进策略
虽然国际互联网最早起源上个世纪八十年代,并在90年代末进入高速发展的时期,但由于技术和设备的引入受到美国的限制,导致我国一直到1994年才得以引入。迄今为止的20年间,我国的计算机信息网络技术得到了巨大的发展,很大程度的改变了我国居民的生活和工作模式,给生产力的发展带来巨大的推动作用。然而,信息网络环境的复杂性、多变性以及脆弱性等特点却注定其是一把双刃剑,在产生巨大推动力的同时也带来了许多的安全问题,造成许多不良的社会影响,甚至是国民经济损失。这主要是由于我国在信息技术上的发展时间还不够长,在长足的发展中并没有形成对于信息安全管理的足够认识,在没有足够预警措施的背景下,保护网络信息安全是一项必须尽快施行的重要措施。
一、我国的信息安全现状
1.缺少法律体系的约束。
法律才是保障人民和国家利益的根本所在,才是保障信息安全的基本防线。我国的法律体系主要是由法律、行政法规以及规章等三层面的规定构成,信息行业作为一个新兴的行业,而且其涉及内容、影响范围以及运行模式都在不断的变化和革新,因此我国虽然对信息安全进行相关的立法保护,但是仍有不少法律没有涉及的部分,甚至原有的法律无法对新出现的信息板块进行约束。除此之外,我国的信息安全法律体系还存在一定的内容交叉问题,导致执法困境的现象,最终阻碍了我国法律对于信息安全的保护。
2.缺少严密的管理措施。
信息安全的管理是一个系统的工程,其包括了事前的教育培训和系统评估认证,还有预期懂的安全规划,事中的风险管理和应急措施,以及事后的总结和规划,各个内容之间存在明确的管理和责任。然而我国并没有在这个问题上进行详细的约定和规范,导致多头管理和权责交叉的现象出现,阻碍的信息安全管理效益,信息安全的保障机制不能高效运行。
3.缺乏信息安全意识。
信息安全不仅仅是制度和法律的保障,更多的应当是来自于每一个人在每一个层次上进行安全保护。然而大多数人都没有形成对于信息安全的足够认识,违规操作和风险运行的事件时有发生,极大的危害了信息安全的管理工作。这一方面说明了操作主体缺乏安全意识,另一方面也说明了主体没有受到相关的教育和培训。
4.忽略了技术和管理的重要性。
据不规则统计,大多数的安全问题都是由于操作技术和管理模式的缘故。尤其是现阶段,我国的企业发展十分迅速,也对信息部门有了一定的认识,然而却并源于投入更多的人力和物力来保障信息安全,往往会出现安全系统过时、技术人员能力不足或是身兼数职等现象,对信息安全的管理工作造成了极大的安全隐患。
二、信息安全的主要特点
1.趋利性。
近几年已经网络信息安全事件的多发期,由于互联网金融的发展,巨大的经济利益和信息网络联系在一起,引起不法分子的主义,这也从另一方面说明了信息安全的威胁主要是利益引发的,因此,这要求我国人民在进行经济利益相关的信息操作时需要更加的小心和细致。
2.多样性。
系统安全技术经过多年的病毒洗礼之后已经有了大幅度的提升,然而,不法分子对于病毒形式也有了更多的研究。各式各样的病毒软件被研发出来,对PC和移动终端造成了巨大的影响,过去常用的电子邮件病毒已经渐渐被遗忘,更多种类的病毒危害着用户的信息安全。
3.漏洞多发性。
信息安全事故的发生虽然有一部分来自于不当操作,但也不排除来自安全漏洞的原因。往往是由于用户没有对系统进行及时的更新,也没有对安全技术懂的革新引起足够的重视,造成漏洞信心安全事故问题居高不下。
三、防反信息安全风险的策略
1.构建并完善信息安全管理制度。
要保障信息的安全就必须建立完善的信息安全管理制度,进行统一规划和分工,保障各部门、更阶层甚至每个个体都各司其职,分工合作。其次,还需要保障管理的高效性,防止多头控制和协调不力的现象出现,保障权责统一。然后还需要在各省市甚至各县城都建立基层保护体制,维护各地区人民的信息安全利益。建立完善的监管合作机制,将政府、机构甚至个人联合起来,建立内外结合的安全管理体系,将信息安全落到实处。
2.强化信息安全法律体系的完善工作。
法律的建立和完善才是信息安全保护机制中最重要的组成部分,这对我国的法律法规建设工作提出了较高的要求。首先,我国政府应该加快对于信息安全管理的法律法规建设速度,对于相关的技术人员和执法人员团队的建设应当将职业意识和职业能力同时纳入考核体系,只有健全职业意识才能在执法过程中实现对于法律的执行,保障人民懂的根本利益。同时,各有关管理机构和部门也应当积极配合,主动协调,在履行自身义务的基础上也要把本职工作做好,对于信息安全管理工作贡献自身的一份力量。除此之外,法律的维护和执行需要社会各阶层的自觉维护,不仅仅是政府和机关,更包括各阶层的社会团体和个人,信息网络环境的安全需要大家集体来护卫。
3.加大信息安全违法犯罪的打击力度。
近年来,在网络违法犯罪的问题上,我国做出了巨大的努力,虽然取得了巨大的成就,但随着信息技术的不断更新换代,网络信息安全违法的形式变得越来越多样化。这要求,我国执法机关和部门在健全法律执行范围的基础,在打击力度上也要进一步强化,提高对于网络信息犯罪的预防、处理和控制等方面的能力,也要在信息安全的自我保护上多进行培训和教育,提高个体和群体对于信息安全技术和系统的认识和运行能力。最终,实现防治结合。
4.加大政策扶持,维系良好的信息安全环境。
首先要加强对于信息安全工作的扶持力度。例如:政府需要建立转型资金付出计划,帮助相关的部门和机关进行公益性和公共性的信息安全系统建设和技术普及工作,联合各相关企业进行技术研发和技术培训,明确各自对于信息安全的需求和期望,建立适合自身现状和发展的信息安全管理体系。其次是加强对于相关安全技术管理的人才培养。督促相关的教育机构强化对于社会信息安全管理的需求了解工作,切实调整自身的发展步伐,迎合市场需求,发展自身教育计划,建立专门的信息安全学习和进行机制,加快信息安全人才培养,发挥人才所产生的保护效益。
四、结语
信息网络是一把“双刃剑”,其在推动社会生产和人们生活方式发展的同时也带来了巨大的安全隐患。因此,人们在享受这种社会科技利益的同时,也要注意使用所引发的信息安全事故。因为,只有在安全条件下的运营才会给人们带来发展和效益增长。虽然现阶段已经有越来越多的人意识网络信息安全问题的重要性,不仅仅是政府和相关技术人员,更在不少的普通居民心中引起了足够的重视。只要坚定在党的领导,加强信息安全法律体系的构建,推动信息安全管理机制的建立,进一步强化对于安全信息的认识培训,推动我国信息安全产业的高速发展,我们就一定有信心在我国的网络发展中保障信息安全,维护国家和人民的利益。
参考文献:
[1]杨珂.浅谈网络信息安全现状[J].数字技术与应用,2013,02:172.
[2]薛鹏.信息安全的发展综述研究[J].华东师范大学学报(自然科学版),2015,S1:180-184.
[3]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015,02:72-84.
[4]华贤平.电子信息安全技术存在的问题和对策[J].电子技术与软件工程,2014,15:211.
网络空间安全管理体系范文3
一、网络安全制度建设的必要性
1、制度建设是网络安全建设的根基
无论是电信网还是互联网,都植根于一定的制度环境之中。制度环境是一系列基本的经济、政治、社会及法律规则的集合,它是制定生产、交换以及分配规则的基础。在这些规则中,支配经济活动、产权和合约权利的基本法则和政策构成了经济制度环境。在一定的制度环境下,存在着一系列的制度安排。制度安排可以理解为游戏规则,不同的游戏规则导致人们不同的激励反应和不同的权衡取舍。
社会主义市场经济的建立为调整人们之间的关系构建了最广泛的制度环境,它作为经济活动的外生变量是人们无法选定的既成事实,但对于具体的制度安排,人们可以随着生产力的发展而不断做出相应的调整。电信网和互联网作为代表信息社会最先进的生产力组成部分,已逐渐渗透到社会的各个领域,在未来的军事对抗和经济竞争中,因网络的崩溃而造成全部或局部的失败,已成为时刻面临的威胁。这在客观上要求建立与之相适应的生产关系,也就是能促进网络安全有效运行的一系列制度安排。
网络安全可分为电信网络的安全可靠性、互联网的安全可靠性和信息安全三个层次。具体包括网络服务的可用性(Availability)、网络信息的保密性(Confi-dentiality)和网络信息的完整性(Integrality)。技术保障、管理保障和法律保障是网络安全运营的三项重要措施。只有从制度安排上保障网络的安全性即网络的可用性,才能在技术层面和管理层面上保障网络信息的保密性和完整性,才能使杀毒软件、防火墙、加密技术、身份验证、存取控制、数据完整性、安全协议等发挥其最大的效力。
2、网络的外部性客观上要求必须进行制度建设
网络产业具有很强的外部性特征。从经济学角度看,通过市场机制自身对经济活动外部性的克服主要是通过三个方面进行的。一是组织一个足够大的经济实体,即一体化经济组织来将外部成本或收益内部化;二是通过界定并保护产权而使市场交易达到帕累托最优;三是以社会制裁的道德力量规范负的外部性及其行为。
首先,电信网和互联网等网络产业不同于制造业,其面临的外部性不可能通过一体化效应来使外部成本或外部收益内部化。网络的正的外部性与负的外部性都主要通过麦特卡尔夫定律(Metcalfe’s Law)表现出来。麦特卡尔夫定律表明:网络价值同网络用户数量的平方成正比(即N个联结能创造N2的效益)。随着网络用户的增加,无论是技术知识等正面信息还是网络病毒及扰乱社会政治经济秩序等负面信息都呈几何级数扩散,其扩散范围之广、速度之快、对经济社会发展影响之深刻都是前所未有的。网络自身对国界、民族及地域的超越,使通过一体化来解决外部性问题成本极大。
其次,通过界定和清晰产权,不能解决电信网及互联网等网络产业的外部性问题。科斯定理(Coase’sLaw)对外部性的解决是建立在产权明确界定并受到法律有效保护这一基础之上的。而电信网和互联网作为一种公共资源,使每个人都可以自主地在网络上和获取信息,这种对公共资源均等使用的权力,使市场机制无法在这一领域充分发挥作用,而必须通过政府的制度建设克服人们对公共资源的滥用。
最后,以道德力量来建立电信网及互联网的安全体系几乎是不可能的。网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。网络空间秩序企图通过伦理道德、个人自律和对共同利益的维护和驱动来实现,几乎像现实世界没有国防、司法制度就可以保障一个国家的安全和社会的稳定一样不可想象。因此,只有通过制度建设,才能真正建立起对电信网及互联网安全有效运行的保护屏障。
3、信息安全要求政府必须建立网络空间秩序 从网络信息安全的角度看,绝对的网络自由是不存在的。那种认为网络空间创造了一种比以往任何文明所创造的世界更友善、更公正的新文明,从而使任何人可以在任何时间、地点自由发表自己的意见和主张,实践证明是不可能的。电信网和互联网不仅是重要的通信媒体,而且是各种信息特别是知识和娱乐信息的宝库,它既给人类社会的发展带来了巨大的福利,同时也向人们打开了一个潘多拉的盒子,而中立的技术无法对危害网络信息安全的行为进行根本性的抑制。因此,靠网络参与主体的自律和技术手段是不可能代替法律等制度安排来实现对网络参与者有效的规制的。基于信息安全的考虑,政府对电信网和互联网进行管制也就成为国家立法的重要内容。
二、我国网络安全在制度建设上存在的主要问题
网络安全的本质在于促进和维持社会发展与经济繁荣。因此,围绕着网络安全问题,各国都进行了一系列的制度建设,从而使技术层面和管理层面的安全设置更好地发挥其安全保障作用。
目前除了网络黑客的攻击和其他的网络犯罪危及我国的网络安全外,最大的风险是我国网络自身缺乏一整套完整严密的制度安排,从而使网络自身缺少一层制度屏障,降低了网络自身的免疫力。这种制度缺失主要体现在以下几个方面:
1、网络安全缺少最基本的法律保护层
电信网络作为国家信息化的基础设施,在保障网络与信息安全上担负着重要的责任。随着互联网的普及、IP业务的发展,电信网、互联网和有线电视网逐渐走向融合,如何保障电信网络信息服务的安全,将电信网络建成真正安全、可靠的网络,是网络信息社会亟待解决的重要问题之一。
市场经济的典型特征是政府通过一系列制度安排来规范市场主体的经济行为。电信法是网络安全最基本的保护层,也是网络安全技术得以发挥作用的制度安排。而在电信市场,我国政企合一的电信管理体制使电信法至今仍处于难产状态。早在1956年我国就组织起草过电信法,几上几下之后,最终未能修成正果。上世纪90年代中期,政府再一次启动电信法的起草工作,千呼万唤的电信法到2000年也只是出台了《电信管理条例》。2001年又开始了新一轮电信法的起草工作。电信法是保障网络安全的最基本的制度安排,法律制度的缺失使政府无法公平公正地调整利益冲突各方的关系。有数据显示从1998年开始,上报到信息产业部的互联互通恶性案件达540起,至少影响到l亿人次的用户使用,造成10亿元的直接损失和20亿
元的间接损失①。在全国范围内,由于恶性竞争而砍电缆、锯铁塔等破坏通信设施的恶性事件屡禁不止,严重影响了网络安全与畅通。除了物理性破坏之外,更多的情况则是在通信软件上做手脚或者恶意修改信令,对竞争对手经营的电信业务进行各种形式的限呼、拦截,造成了网间接通率偏低甚至完全中断。1999年,兰州市电信公司采用恶性竞争手段使本市27万手机用户打不通固定电话。目前,阻碍互联互通的情况已经从几年前的直接挥大刀砍电缆、互联中继不足、整个省不通IP卡等现象,转化为落地拦截、掉线、噪音等更为隐蔽的技术手段,甚至出现了主导运营商不再对一个局向或者一个号段全部进行干扰拦截的方式,而是针对个别用户特别是高端用户直接进行拦截干扰,手段更为有效和隐蔽。对于这些影响网络安全的无序竞争,来自体系内的监管力量发挥的作用一直相当有限。出台电信法的呼声越来越高。随着我国在WTO中电信承诺表的兑现,国外电信运营商及外资的进入,会使竞争更加激烈。允许竞争但却缺乏竞争规则,会使无序的恶性竞争愈演愈烈,这一切都使网络随时面临着瘫痪的可能。因此,没有法律制度的网络运行是网络最大的安全隐患。
2、制度摩擦使网络存在安全隐患
如果一国的制度安排有利于基于网络交易的电子商务市场容量最大化,有利于网络安全运营及经济效率的提高,那么就可以说该国具有高的制度资本。不利于网络市场交易的制度,则使交易的成本变高,这种成本通常被称为“制度成本”。当然,制度成本不仅仅指在网络市场交易发生过程中实际要支付的成本,也包括由于制度障碍而根本无法进行或选择放弃的市场交易所带来的机会成本,这种机会成本包括“本来可深化的市场”因制度障碍而只能半途而废的情况,以及市场勉强得到发展的情况。根据国际惯例,广播和电视网络都属于电信。有史以来,欧洲多数国家和日本的广播电视业都归口国家邮电部直接管理,美国则由联邦通信委员会统一归口管理,国际电信联盟(ITU)也设有广播电视分支机构。世界公认的电信定义就是“利用有线、无线,电磁和光的设备,发射、传输、接收任何语音、图像、数据、符号、信号”。但是由于我国某些历史原因,广播电视属于意识形态重要宣传机构,不能划归信息产业部,使网络电视(IPTV)之类的新业务难以发展,并使不同网络之间由于管理归口问题而纷争不断,人为阻断网络运行的情况时有发生。
3、制度资本投入不足导致网络安全运行成本较高
网络互联互通是一道世界难题,各国电信引入多家竞争机制以后,原来由一家公司完成一次通信服务现在改为多家来共同完成。网络的全程全网性使运营商之间形成既竞争又合作的关系。因此,各国都通过电信法等一系列制度安排及相应的管制机构来协调各运营商之间的行为和利益关系。在我国,竞争规则等一系列制度安排的缺失,导致网络安全运营成本较高。目前,RSA信息安全公司了一项新的指数来反映网络的不安全程度,即“互联网不安全指数”(Inter-net Insecurity Index)。计数方法从1到10,显示每年的互联网不安全程度。例如互联网不安全指数从2002年的5上升到2003年6.5,说明网络安全运行状况越来越令人担忧。这一指数是从网络安全受到威胁的间接角度来衡量网络安全的,笔者认为若直接从安全角度来衡量网络安全,则网络安全指数(S)最大化主要取决于以下变量的投入及其组合关系:网络安全的制度资本(I)、技术强度(T)、管制水平(R)、资本投入量(K)和人力资本状况㈣,并与以上各变量投入呈正相关关系。其函数关系式可写成:
S=(I,T,R,K,L)
在技术强度、资本投入和人力资本既定的条件下,网络安全指数大小主要取决于制度资本的投入和管制水平的高低。与互联网相关的法律制度的健全是保障网络安全的最基本的制度资本。而制度资本投入滞后于网络的快速扩展和纵深延伸,致使我国网络安全运行成本相对较高。制度资本的投入应建立最有利于促进市场交易发生、尽量使交易成本最低、保证网络安全运营的一系列法律规章制度。当一国的制度机制不利于市场交易时,人们相当一部分技术投入、资本投入和人力资本投入等都是为了对冲制度成本而没有形成社会经济效益。例如,联通公司与移动公司用户互发短信的结算争议,电信公司出售“手机休息站”设备拦截移动手机业务量,全国手机与固定电话互通结算问题,用户驻地网纠纷,全国电话卡出售与结算矛盾等问题此起彼伏、接连不断。制度成本过高致使我国为获得同样的网络安全要投入更多的技术和人力物力财力。
三、完善我国网络安全制度建设的建议
公用电信网是国家信息网的基础,其安全方面的某一弱点可能把其他部分都置于风险之中。网络遭到重大破坏,除了对社会和国家经济造成重大损失外,还可能使国家安全受到威胁,因此,各国都非常重视加强对公用电信网的安全管理。
1、尽快完善以电信法为核心的一系列制度建设
国际上,特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题,经过30多年的发展,在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国已经颁布的网络法规主要有:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。与网络安全相关的一系列制度建设是保障网络安全运营的第一道防护屏障,也是最基本的制度保障。而电信法又是保障网络安全运营的基础中的基础。在我国由于电信法至今仍未出台,也就无法从法律制度的角度来规范电信网、互联网等网络参与者的行为。电信法的难产,暴露了我国新旧体制转轨中制度建设的滞后性,使我国电信网和互联网处于不设防的状态,从而对网络安全运营构成致命威胁。并使微观经济主体要损耗掉比市场制度健全的国家更多的人力物力和财力,才能对冲阻碍市场交易的制度成本。因此,尽快完善以电信法为核心的一系列制度建设,是市场经济制度的必然要求,也是在国际互联网中布设保证国内网络安全的一道安全防线。
2、建立不同层级的网络安全保护制度
制定“国家网络安全计划”,建立有效的国家信息安全管理体系。例如,美国已将信息安全战略纳入国家安全的整体战略之中;美国的空间战略以强化部门协调和强化政府协调的互动合作而适应网络社会的需求和特点,其网络空间战略是一个全社会共同参与、实施的战略。我国要充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划
要能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。网络安全的制度安排和保护是分为不同层级的。要重点保护以电信网为代表的基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的制度安排及相应的技术措施进行防护。这样就可以在投入有限的情况下,确保网络及信息的安全性。
3、各种制度安排要随着网络的发展而不断深化
一个好的制度安排必须具有激励机制,推动生产力的快速发展,而不是阻碍生产力的发展与科学技术的进步。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。一旦一国缺乏自主创新的网络安全策略和手段,国家的信息就有可能完全被葬送。例如,为适应电信飞速发展的要求,美国电信法几次修改,欧洲大部分国家也都是立法在先改革在后。因为一个成熟的社会,在涉及国计民生和千家万户的越来越重要的网络领域,没有完善的法律制度约束是不可能稳步发展的。我国电信领域出现的许多问题都与制度安排有关。由于没有完善的制度环境,企业明显违规,政府束手无策。即使已有了较完善的制度安排,各种制度安排也还要随着网络的发展而不断深化。正如制度经济学家道格拉斯・诺思所言:“制度安排的发展才是主要的改善生产效率和要素市场的历史原因”②。从长远来看,在电信网和国际互联网中,决定一国网络安全运营的最基本的要素是其制度资本,即制度机制是否更有利于网络社会的网络安全。
总之,关于网络安全问题,需要政府和各部门从上到下充分重视,并从国家政策、法律规范、技术保障和公众意识等方面来设置防线。必须在社会主义市场经济体制框架内进行各种制度安排,即建立游戏规则,才能不断降低阻碍市场交易的制度成本。这种制度资本投资的增加,将会在既定的管制水平、资本投入量和人力资本条件下,挖掘出网络安全技术的最大潜力,建立安全指数较高的网络世界。
注释:
①赵平:“河南互联互通问题铁幕调查,要如何保卫钱袋”,《中国经营报》2004年3月19日。
②道格拉斯・诺思(Douglass North):《制度变迁与经济增长》,引自盛洪主编:《现代制度经济学(上卷)》,第290页,北京大学出版社2003年版。
参考文献:
①盛洪主编:《现代制度经济学(上卷)》,北京大学出版社2003年版。
②李 娜:“世界各国有关互联网信息安全的立法和管制”,《世界电信》2002年第6期。
③吴瑞坚:“我国互联网信息政府管制制度探析”,《探求》2004年第3期。
