网络安全问题为信息通信监管机构带来种种挑战。为此,融合性监管机构需进一步完善部门与部门之间、政府和企业之间的联动机制,提高网络与信息安全管理水平。本期推出通信行业监管创新系列报道之三——探讨网络安全与数字内容监管
信息时代亟需加强网络与信息安全监管
随着信息通信技术逐步渗透到社会生活与经济发展,任何服务的中断有可能造成严重的经济或社会危害。因此,随着对信息通信技术的依赖的增加,人们越来越深刻地认识到,必须高度重视网络安全并打击网络犯罪。
信息通信技术发展的负面影响
网络犯罪和网络空间的违法行为超越了国界并对多个行业和部门构成影响。其犯罪现场属于虚拟世界,证据多以电子形式出现而不具备物理形式。互联网的扩散性和全球性意味着罪犯可以利用某一区域的漏洞攻击其他许多地方的用户。此外,由于网络犯罪源于日新月异的技术的使用,也为打击网络犯罪增加了挑战。
随着,智能终端、无线网络和互联网结合给网络安全带来巨大安全威胁。
在原有的互联网安全的威胁仍然存在的情况下,开放的无线网络更容易受到攻击;随着技术发展网络系统更加复杂,随之漏洞增加,且新兴业务层出不穷,带来了新的安全问题;移动恶意代码数量不断增加,智能终端安全机制相对不足;用户隐私泄密事件不断,移动内容的监管缺乏有效手段。从根源上来看,是网络IP化将互联网的威胁引入到电信网,互联网开放的业务平台带来了更多的安全问题,同时,移动智能终端存储的隐私和包含的经济利益是攻击的首要目标。
这个新的时代带给了人类无限的可能去认知新的事物,去利用信息与通信的力量。但同时,这些暴露了我们对于这样的科技的不熟悉和新的挑战,还有这些科技会被作为恶性利用的可能性。
国外网络安全监管
出台系列重大战略政策,强化网络安全。随着,网络空间对国家经济与社会的重要意义的增加,使网络安全上升到国家利益的层面,因此,主要发达国家都高度重视网络安全。遏制和防止网络犯罪可被视为网络安全和重要信息基础设施保护战略不可分割的一部分。近年来,以美国为代表的西方以维护网络空间的国家利益为核心,出台系列重大政策。同时,很多国家目前正在制定有关网络安全的法律和监管框架(包括应对网络犯罪的法律框架)。并且,通过多种技术手段保证网络空间的安全。
打击网络犯罪必须团结利益攸关多方。由于性质不同,解决网络犯罪问题对传统的监管方式和刑事处罚方式构成挑战。传统的电信集中监管模式,即政府位于分层决策结构的顶端,可能不是应对网络犯罪的唯一解决方案,因为现代全球数字网络的发展已超越了政府的直接干预范围。互联网侵蚀了旧有的政府、企业和民间团体间的职责分工模式。因此,对网络犯罪的打击要以利益攸关多方的参与为基础,可以由不同利益攸关方来执行要承担的任务或由两个和更多利益攸关方共同承担任务,形成打击网络犯罪生态系统和利益攸关多方共存的环境。
监管机构打击网络犯罪领域的具体职责尚未得到明确确定。信息通信监管机构传统作用在发生变化,它们参与了很多追踪网络空间违法行为的活动,其中包含新的职责和责任,也有一些是监管机构正常工作的延伸。打击网络犯罪已经成为监管机构从集中的监管模式走向更灵活和平面化结构的组成部分。
从目前各国情况看,信息通信监管机构在打击网络犯罪领域的具体职责尚未得到明确确定。但是其职责在打击网络犯罪的领域内还得到延伸或加强,包括:一是消费者保护,例如,教育消费者、禁止垃圾信息和打击恶意软件的传播;二是信息安全和/或网络安全责任;三是向新的监管机构授予有关互联网安全的工作职责。
确保为监管机构配备发现网络威胁必不可少的工具和资源。随着信息通信监管机构职责的变化,重要的是要确保为监管机构配备发现网络威胁必不可少的工具和资源,提高利益攸关各方的认识并调动某些利益攸关方的积极性,使其在打击网络犯罪中发挥作用,协调公众机构和私营部门做出的响应,为加强各国和各区域之间的合作和协调做出贡献。
网络信息内容的监管
为什么需要内容监管?对于传统电信监管者来说,数字内容监管是新的挑战,过去只是对广播电视和印刷品内容进行监管,人们认同对数字内容有限监管是必须的,但是如何实行是巨大的挑战。所有社会都会在公民的自由表达和信息的权利上加以限制条件。如何定义和实施这些新的限制是信息领域监管的关键问题。信息通信技术发展给社会和政治带来很远影响。这种力量通过互联网和其他新媒体以更加自由的表达方式被释放出来,给社会经济发展带来很强的影响,包括信息通信技术产业本身。
什么内容需要监管?肯定的回答是网络的黑暗面。在伴随着我们每一次沟通与分享时,总是不可避免的伴随着更先进方式的诈骗和一些黑暗元素的创造。在数字化浪潮中最轻易地被创造和传播的是大量不良信息,而与此同时,我们也更难在这样的环境中保护最容易受到伤害的群体。一些最具有破坏性的数字内容是网络世界独有的:像病毒、垃圾邮件、恶性软件等通过电子代码本身传染传播。此外,一些大家共认的负面内容为我们的监管带来了挑战,其中包括数字色情、网络盯梢、网络诈骗……
如何实施对数字内容的监管?监管机构需要对于不同的数字内容进行监测,并考虑如何实施。在信息通信技术高度发达的今天,只有一些有限的办法来限制某些特定类型的传输,并没有100%可靠性。
目前的内容监管方式:一是事先约束与审查。在互联网的情况下,可能无法从字面上阻止不良内容的创造,但事先约束最接近的等效方法就是阻止用户访问这些内容,也就通过WE过滤来完成。二是调查,制止(删除),起诉。采取与其它非法活动一样方式,困难是谁对这些非法内容负责?运营商?ISP?个人?另外,互联网无国界,各国的规定不一样,被托管的服务器可能在国外。三是合作。最好的方式是鼓励鼓励信息服务提供商,政府机构和用户之间的合作;鼓励跨区域、跨国间的合作。
此外,全欧洲、美国、韩国等互联网发达国家和地区重视公民身份信息管理,2011年以来,纷纷制定并积极推行国家(地区)网络身份管理战略,保证网络身份的真实与可信,加强对公民网络信息监管和保护。例如,2011年4月15日,美国白宫发布《网络空间可信身份国家战略》提出要在美国建立一个以用户为中心的身份生态认证系统。
从网络安全与信息安全监管的关系看,数字内容监管往往不是信息通信监管机构主要职责,更多是辅助角色,主要是由其它相关机构来实施分级监管。而网络安全将是信息通信监管机构的重要工作,并且承担着极大的责任。由于网络与内容融合,电信、广电与互联网的融合,网络监管与内容监管难完全分开。
建立中国网络与信息安全的监管框架
我国互联网产业加速向各行业、各领域渗透融合,在国民经济和社会各领域中的影响和地位日益突出,但网络安全面临的形势也十分严峻。网上损害公共利益、侵害他人权益的现象时有发生,各种违法和有害信息屡禁屡现,制作传播计算机病毒、危害网络安全的网络犯罪日趋增多,严重损害人们对互联网的信心。特别是黑客攻击,已经成为网络安全的严重威胁。
互联网是国家重要的基础设施,针对当下互联网上损害公共利益的事件时有发生,网络犯罪增多等现象,必须采取措施切实维护网络运行安全和网络信息安全。
我国制定了《国家网络与信息安全事件应急预案》,确立了“谁主管谁负责,谁运行谁负责”的原则,强化了信息安全管理体制和工作机制。初步建立了涉及多行业多领域、包括安全监测、事件预警、应急处置支撑机制等在内的国家信息安全应急保障体系,重要信息系统灾难恢复建设正逐步从理论研究进入实践实施阶,已形成标准制定和测试、设备安全准入、网络安全等级保护为主的网络安全监管体系。
信息安全等级保护制度不断完善,基础信息网络和重要信息系统的安全防护水平明显提高。一是积极开展信息安全密码等级保护密码管理相关工作,研究制定了等级保护密码管理办法和相关标准规范。为加快推进信息安全等级保护,提高信息安全保障能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》,成为网络发展与网络安全和谐发展的重要保证。二是着力推进涉密信息系统分级保护工作,对涉密信息系统分级保护进行总体部署、试点和重点推进。
坚持齐抓共管、密切协作,进一步完善部门与部门之间、政府和企业之间的联动机制。要不断拓展和提高网络信息技术支撑服务水平,坚持齐抓共管、密切协作,进一步完善部门之间、政府和企业之间的联动机制,加强信息资源的共享,加强行政监管和技术支撑之间的协调配合,做好应对各类网络信息安全事件的准备,不断提高网络与信息安全管理整体工作水平。
