第二节 2018年我国网络安全重点政策解析
一、2018年我国网络安全重要政策文件
(一)《2018年教育信息化和网络安全工作要点》
教育行业网络攻击事件频发,与高考入学、考生信息泄露相关的网络诈骗案件屡屡曝光,重点高校面对的要挟相对最大,互联网风险不容忽视,重点高校成为黑客的主要目标。严峻的挑战促使网络安全工作地位快速上升,也催生了相关文件的出台。2018年2月11日,教育部办公厅印发了《2018年教育信息化和网络安全工作要点》(以下简称《工作要点》)。
《工作要点》围绕网络安全提出了很多具体举措,一是加强网络安全人才培养。二是开展网络空间国际治理研究。启动实施《构建全球化互联网治理体系研究》重大攻关项目。在提高教育系统网络安全保障能力方面,一是健全完善教育系统网络安全制度体系。二是推进关键信息基础设施保障工作。三是持续推进教育系统网络安全监测预警。2018年《工作要点》把“网络安全工作”放在文件的标题上,首次将其与“教育信息化”并列提出,可见做好网络安全工作将成为教育信息化建设的重中之重。
(二)《关于推动资本市场服务网络强国建设的指导意见》
为进一步发挥资本市场服务实体经济功能,加强政策引导,促进网信企业规范发展,2018年3月30日,中央网信办和中国证监会联合印发了《关于推动资本市场服务网络强国建设的指导意见》(以下简称《意见》)。《意见》从对网信事业的总体要求、政策引导、网信企业发展以及组织保障四个方面阐述了15条指导意见,其中与网络安全相关的主要集中在以下几点:一是保障国家网络安全和金融安全。二是落实网络与信息安全保障措施。三是支持网信企业服务国家战略,建立工作协调机制。
制定出台《意见》,有助于激发网信企业遵守国家网络安全管理要求的自觉性与积极性,提高网信企业规范运作和公司治理水平,提升网信企业对个人信息以及重要数据的保障能力。既能够提高网信企业的国际竞争力,促进网信企业的发展,又可以为我国网络空间营造安全有序的氛围,加固我国网络安全的防线。
(三)《关于促进“互联网+医疗健康”发展的意见》
近年来,党中央和国务院越来越重视“互联网+医疗健康”工作。为贯彻落实党中央、国务院的精神,国家卫生健康委会同有关部门研究起草了《关于促进“互联网+医疗健康”发展的意见》(以下简称《意见》)。
《意见》要求加强行业监管和安全保障,与网络安全相关的主要集中在第十三部分和第十四部分。其中,在第十三部分“强化医疗质量监管”中提到:一是要出台规范互联网诊疗行为的管理办法,明确监管底线,加强事中事后监管,确保医疗健康服务质量和安全。二是要求“互联网+医疗健康”服务产生的数据应当全程留痕,做到可查询、可追溯,满足行业监管需求。在第十四部分“保障数据信息安全”中提到:一是要研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规。二是要加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。《意见》的出台进一步推动了互联网与医疗健康的深度融合发展。
(四)《关于纵深推进防范打击通讯信息诈骗工作的通知》
为落实全国网络安全和信息化工作会议、中央经济工作会议和《政府工作报告》中提出的防范打击电信网络诈骗相关要求,工信部于2018年5月18日发布了《关于纵深推进防范打击通讯信息诈骗工作的通知》(以下简称《通知》),阐明了打击电信网络诈骗的各项任务。
《通知》明确了九项重点任务:一是切实加强实人认证工作,持续巩固电话用户实名登记成效。二是持续规范重点电信业务,着力治理境外来源诈骗电话。三是加强钓鱼网站和恶意程序整治,有效降低网络诈骗威胁风险。四是依法开展网上诈骗信息治理,着力压缩诈骗信息传播渠道。五是强化数据共享和协同联动,有效发挥全国诈骗电话技术防范体系作用。六是密切关注新动态新趋势,严控新兴领域通信信息诈骗风险。七是不断完善举报通报机制,充分发挥关键抓手作用。八是全面从严监督执法,切实强化企业责任落实。九是广泛加强宣传教育,切实提高用户防范意识。《通知》的发布是坚决贯彻落实党中央、国务院近期工作部署要求的重要举措,是进一步巩固和深化前期有效措施的迫切需求,也是积极应对防范打击工作面临新情况新问题的重要保障。
(五)《网络安全等级保护条例(征求意见稿)》
2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下简称《等保条例》)。《等保条例》由八大部分组成,分别为总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任、附则。其中,主要内容如下:一是对网络进行分级管理;二是对涉密网络进行分级管理;三是制定了网络安全等级保护密码标准规范。
从整体看,《等保条例》是对《网络安全法》的贯彻落实。等级保护的适用范围由“国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统”,扩大成“境内建设、运营、维护、使用网络的单位原则上都要在等保的使用范围”,这意味着所有网络运营者都要对相关网络开展等保工作。
(六)《互联网个人信息安全保护指引(征求意见稿)》
2018年11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》(以下简称《指引》)。《指引》的主要内容共分为六个部分,分别为规范、范围性引用文件、术语和定义、管理机制、技术措施和业务流程。其中,主要内容如下:一是对个人信息相关术语进行了定义,包括个人信息、个人信息主体、个人信息生命周期、个人信息持有者、个人信息持有、个人信息收集、个人信息使用、个人信息删除等专业名词的定义;二是明确了管理机制;三是明确了技术措施;四是明确了互联网企业对个人信息进行处理的流程中应达到的要求。
《指引》具体描述了互联网中个人信息安全体系的保护防范轮廓,面向现实网络真实环境中存在的问题和特点提供了具有针对性的操作细则,并与网络安全法下的其他法律法规相辅相成,互相补充。
(七)《微博客信息服务管理规定》
依据《中华人民共和国网络安全法》等相关法律法规,国家互联网信息办公室制定了《微博客信息服务管理规定》(以下简称《规定》),并于2018年2月2日发布。《规定》共十八条,包含了微博客服务提供者主体责任、真实身份信息认证、分级分类管理、辟谣机制、行业自律、社会监督及行政管理等条款。其中与网络安全有关的主要内容如下:一是微博客服务提供者要承担信息内容安全管理的主体责任;二是加强实名认证账号管理;三是保障使用者个人信息安全。
近两年是我国互联网立法的高峰期,一系列网络信息活动、社交活动等都相继被纳入合规轨道中。总的来看,此次《规定》的出炉,是对《网络安全法》《互联网新闻信息服务管理规定》等法律法规成果的具体运用,也是互联网法治成果运用到微博客的具体化体现。
二、2018年我国网络安全重要标准规范
(一)《信息安全技术 物联网数据传输安全要求》
随着计算机和网络技术的发展,特别是感知与控制技术的深度融合,物联网产品的应用日益广泛。从家用摄像头、智能恒温器、可穿戴电子设备、烟雾感应器等生活环境用品,到温湿度感应器、光敏感应器、物料电子标签、PM2.5自动监测仪等生产环境用品,我们的生产、生活都已经被物联网技术和产品深度渗透。物联网应用系统一旦遭受攻击,将严重影响人们生产、生活的安全稳定。对此,全国信息安全标准化技术委员会(SAC/TC260)立项研制了物联网安全通用模型、感知设备安全、传输安全等多项国家标准。
标准共7章,主要内容包括:范围、规范性引用文件、术语和定义、物联网数据传输安全概述、基础级安全技术要求、增强级安全技术要求。其中,术语和定义界定了物联网、感知终端、传感器、传输安全、完整性、保密性、可用性、新鲜性、隐私、信任;物联网数据传输安全概述介绍了物联网数据传输安全模型、安全防护范围、安全分级原则;基础级安全技术要求介绍了数据传输完整性、数据传输可用性、数据传输隐私、数据传输信任、信息传输策略和程序、信息传输协议、保密或非扩散协议;增强级安全技术要求介绍了数据传输完整性、数据传输可用性、数据传输保密性、数据传输隐私、数据传输信任、信息传输策略和程序、信息传输协议、保密或非扩散协议。
(二)《信息安全技术 信息技术产品安全可控评价指标》
为满足应用方的安全可控需求,增强应用方信心,进而推动信息技术产业健康、快速发展,制定了《信息安全技术 信息技术产品安全可控评价指标》系列标准。标准针对信息技术产品提出安全可控评价指标和评价方法,不评价产品本身的安全功能和安全性能,推荐对安全可控有较高要求的应用方配合其他信息安全标准使用。
标准在编制过程中参考了CC、ISO/IEC27036、SP800-53、NIST SP 800-161、FIPS_PUB_140-2等国际标准的相关内容,充分考虑了WTO等国际规则要求,基本保持国内外标准一致性。该标准符合现有法律法规,主要依据现有法律法规制定,与现行强制性国家标准及相关标准不冲突。2015年7月正式发布的《国家安全法》第25条明确要求要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。在国家标准方面,我国尚未制定信息技术产品安全可控相关国家标准,该标准主要从安全可控角度提出管理要求,现有的信息技术产品相关安全标准主要从安全功能和安全要求方面提出技术要求,标准内容之间不重叠,可同时使用。
(三)《信息安全技术 网络安全等级保护测评过程指南》
网络安全法中针对关键信息基础设施的运行安全提出相关要求:“国家对一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”其中所采用的是网络安全等级保护制度。
该标准通过对等级保护系统测评过程中涉及的关键技术进行了系统的归纳、阐述,概述技术性安全测试评估的关键要素、实现功能和使用原则,并提出建议供使用,适用于测评机构、信息系统的主管部门及运营使用单位对重要信息系统的安全等级测评,为信息系统的安全等级测评工作的技术规范性提供方法依据,在应用于系统等级保护测评时可作为对《信息安全技术 信息系统安全等级保护测评要求》和《信息安全技术 信息系统安全等级保护测评过程指南》的补充,为机构进行计划、实施技术性的信息系统安全等级保护测试评估提供参考。系统的管理者也可以利用本标准提供的信息,促进与信息系统安全等级保护测试评估相关的技术决策过程。