安全资讯

共筑网络安全防线亟需推动威胁信息共享立法

近年来,随着网络信息化技术应用深入到社会生活的各个领域,网络安全挑战日益严峻复杂,不仅网络攻击事件层出不穷、网络攻击手段不断升级,甚至出现了针对交通、电力、电信、金融等领域关键信息基础设施和特定目标的“高级持续攻击”(APT攻击)。从早期的摧毁伊朗核电站离心机的Stuxnet病毒、乌克兰电网被攻击事件,到前几年针对我国政府、能源、军事和科研领域实施APT攻击的“海莲花”组织、“白象行动”、“蔓灵花攻击行动”等,再到近期的WannaCry勒索病毒、美国对ISIS发动网络战、委内瑞拉等国大规模停电事件、俄罗斯电网被植入后门、美国伊朗网络交战等,可以发现网络安全不仅关乎国计民生,也日益成为国家间对抗的新战场,网络安全威胁开始在政治、经济、文化、国防等各个领域全面显现。
面对已经渗透到社会各个领域的网络安全威胁,单一的、静态的、局部的防护思路显然已经不合时宜,必须树立综合的、动态的、系统的网络安全防护理念,必须动员全社会力量共同维护网络安全。习近平总书记2016年4月在网络安全和信息化工作座谈会上的讲话明确指出,要“全天候全方位感知网络安全态势”,“网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线”。
网络安全靠人民、共筑网络安全防线,不仅需要发挥政府“国家队”的力量,也需要重视和支持企业、社会组织和广大网民等民间力量发挥作用,打赢维护网络安全的人民战争。从域外经验来看,以美国代表的西方国家除了增强政府网络安全能力、制定并严格执行相关法律和技术标准外,还尤其注重培育网络安全企业和社会组织、广泛开展公众教育。这些企业和社会组织,不仅提供民用网络安全维护服务和网络安全评估,有时还在政府支持和雇佣下参与国家级的网络安全攻防和竞争。近年来,以美国“赛门铁克”、“火眼”、“曼迪昂特”,俄罗斯“卡巴斯基”为代表的网络安全公司快速兴起,成为国家间网络攻防的重要力量。有分析就认为,名义上独立的网络安全公司,已经成为大国博弈的重要工具。
我国近年来开始不断重视发挥企业、社会组织和民众在维护网络安全方面的重要作用。2014年开始每年举办国家网络安全宣传周,突出“网络安全为人民、网络安全靠人民”的主题,在全国范围内形成了学安全、懂安全、重安全的良好氛围。2019年国家网络安全宣传周开幕前夕,习近平总书记对国家网络安全宣传周作出重要指示强调,举办网络安全宣传周、提升全民网络安全意识和技能,是国家网络安全工作的重要内容。近些年我国在G20峰会、金砖会议等重大活动期间的网络安全保障工作,不仅有公安部、网信办、工信部、总参、科研院所等体制内队伍坐阵,也有360公司、安恒公司等本土企业深度参与,取得了较好的安防效果。
不过与网络安全威胁全领域全方位渗透显现的现实相比,在共筑网络安全防线方面,我们还有很大的提升空间。其中很重要的一个方面,就是为了实现“全天候全方位感知网络安全态势”而需要建立有效的网络安全威胁信息共享机制,这是共筑网络安全防线的重要抓手。我国政府和企业在这方面已经进行了一系列探索。比如,国家互联网应急中心(CNCERT/CC)建立了国家信息安全漏洞共享平台(CNVD),截止2019年10月累计收录了针对软硬件产品漏洞17.2万条以及具体信息系统漏洞31.3万条,通报处置了重要信息系统单位漏洞事件13.8万余起;该中心还牵头组建了中国互联网网络安全威胁治理联盟(CCTGA)、中国反网络病毒联盟(ANVA),截止2019年10月,前者成员单位已达138家,累计共享网络安全威胁情报数据133.2万条,后者成员单位已达61家,在阻断恶意程序传播方面发挥了积极作用。
再比如,360公司2018年推出了360安全大脑服务体系。在这一体系中,“威胁情报云”是构建其“看见”高级别网络攻击的要素之一。这与360在威胁情报云方面的积累密不可分:360已累计报告主流厂商漏洞2000以上,独立捕获7次野外APT 0Day漏洞攻击,发现针对中国的境外APT组织40以上。这些威胁情报未来还会不断增加,360安全大脑在其落地场景中会对接企业的态势感知系统,为客户建立威胁情报中心等,这将极大地丰富威胁情报源,强化“看见”威胁的能力。
但是近期在应对一些突发网络安全事件过程中出现的问题,也暴露了我们在网络安全威胁信息共享方面存在一定的短板。以2017年5月12日爆发的Wannacry勒索病毒为例,该病毒短短几天就影响了我国境内10多万IP地址,对我国互联网造成严重的安全威胁。虽然经过政府有关部门和安全企业的积极应对,有效遏制了该病毒在我国的扩散,但是复盘整个应对过程仍引人深思。其实早在2017年4月16日,国家互联网应急中心负责的国家信息安全漏洞共享平台(CNVD)就发布专门公告,指出“影子经纪人”公布的漏洞攻击工具集成化程度高、部分攻击利用方式较为高效,有可能引发互联网上针对服务器主机的大规模攻击。有些国内企业也通过不同渠道提前获知了勒索病毒可能爆发的情况。不过很遗憾利用“影子经纪人”公布的“永恒之蓝”漏洞的Wannacry勒索病毒还是对我国造成了严重影响,这说明我们并没有充分有效的威胁信息共享机制去提前部署充分的应对措施,企业或相关主体在共享威胁信息方面有着很大的顾虑。
相关主体之所以在共享网络安全威胁信息方面存有顾虑,是因为所有建立网络安全威胁信息共享机制的尝试,都面临着较大的法律风险。这主要体现在以下两个方面:一是共享网络威胁情报可能让信息共享主体承担更多责任或陷入不利地位。例如,不论是对政府部门还是私营机构,共享网络安全信息往往就要承认自身已遭受网络攻击或发生数据泄露,这可能引发消费者提起侵权之诉,或者可能追究因违反信息保护义务而构成的法律责任。例如,企业共享网络安全威胁信息,可能泄露类似商业秘密等商业信息,企业可能会丧失竞争优势或在市场竞争中陷入被动。再如,企业为了应对网络安全威胁而共享给政府的信息,可能会被政府作为执法证据,追究企业的某些法律责任。正因为此,企业一般不愿与政府或其他企业共享涉及商业利益的信息。二是共享网络威胁情况还可能违反隐私和个人信息保护的规定。例如各国对消费者个人的信用信息、金融数据、教育信息和健康信息等一般有专门性规定,如果共享的安全信息涉及可识别的个人信息,就可能违反这些个人信息保护的专门性规定。
因此,共筑网络安全防线,建立网络安全威胁信息共享机制,亟需立法予以保障。近年通过的美国《网络安全信息共享法》和欧盟《网络和信息系统安全指令》都对此有针对性规定。美国《网络安全信息共享法》授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息,并将网络安全信息界分为网络威胁指标(cyber threat indicator)和防御措施(defensive measure)两类信息。欧盟《网络和信息系统安全指令》规定各国计算机安全事件响应团队负责监测网络安全事件并交换这些网络安全事件信息,而基本服务运营者、数字服务提供者有义务报告网络安全事件。
我国《网络安全法》虽然规定了“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”,网络运营者应“按照规定向有关主管部门报告”网络安全事件,“国家建立网络安全监测预警和信息通报制度”等。2019年11月20日,国家互联网信息办公室公布了《网络安全威胁信息发布管理办法(征求意见稿)》,将“网络安全威胁信息”界定为描述可能威胁网络正常运行行为的意图、方法、工具、过程、结果等的信息以及可能暴露网络脆弱性的信息,进一步规范了网络安全威胁信息发布行为。但这些规定并没有专门涉及如何减轻相关主体共享网络安全威胁信息的法律风险,相关制度设计仍需要进一步细化完善。针对前述问题,笔者对于网络安全威胁信息共享立法提出如下完善建议:
一是规定企业的责任豁免以激励其参与共享。即规定企业在遵循法定强制标准和按照法定要求共享网络安全信息的情况下,减轻或免除因此而产生的法律责任。例如,对于遵守监管标准的关键信息基础设施运营者,可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时,可只向消费者承担补偿性赔偿责任,而非承担惩罚性赔偿责任。再就是为了提升企业发现网络安全漏洞的能力和打消其因分享信息而承担责任的顾虑,建议我国立法应授权企业有权监视其负责运营的网络信息系统以及系统内存储、处理和传输的数据,并规定不承担因此而产生的法律责任。对于并未纳入强制监管范围的企业,可自愿加入网络安全信息共享机制,只要其按法定要求共享相关信息,可以规定豁免其相应的法律责任。除此之外,还可以考虑政府采购倾斜、税收减免等激励措施。
二是规定维护网络安全与保护私人权益的平衡机制。在网络安全威胁信息共享中,应尤其重视对私人权益的保护。建议规定政府或其他主体保存、使用或者传播网络安全威胁信息时,必须保护这些信息里任何可识别的个人信息不被未经授权的披露、处理或者使用。所共享的网络安全威胁信息,应该移除或匿名化其中与网络安全威胁没有直接关系的个人信息;对于无法移除或匿名化的个人信息,应最大限度地确保其用于法定目的而不被泄露滥用,规定留存这些个人信息的合理期限。在含有个人信息的网络安全威胁信息发生意外泄露事件时,应及时通知这些个人信息所涉及的权利主体。建议规定使用共享的威胁信息不能侵害个人隐私、商业秘密、知识产权等合法权益,而且这些共享的威胁信息不属于政府信息公开的范围。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号