(六)加大支持力度,推进网络安全核心技术创新
为落实网络安全法“扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和利用”等要求,科技部会同国家互联网信息办公室共同编制了专项研究计划,立足网络空间安全发展现状,围绕提高我国关键信息基础设施和数据安全的防护能力、支撑网络空间可信管理和数字资产保护、提升网络空间防护能力等目标,确立若干重点研究方向。为了加大对网络安全技术研究开发和应用的支持,科技部、工业和信息化部等部门,在“十三五”国家重点研发计划中优先启动了“网络空间安全重点专项”,投入国拨经费13.84亿元,系统部署了47项研究任务,力争到2020年,基本形成自主可控的网络空间安全核心技术体系。另外,在“科技创新2030——重大项目”中,也将优先安排一批网络空间安全重大研究项目,为提升我国信息监管、泄密窃密防范、网络防御等提供技术支持。教育部创新网络安全人才培养模式,增设了网络空间安全一级学科,与有关部门共同下发了《关于加强网络安全学科建设和人才培养的意见》,启动了一流网络安全学院建设示范项目,为网络安全技术创新提供人才支持。
三、工作中存在的困难和问题
从检查情况看,各地在贯彻实施“一法一决定”、维护网络安全方面还存在一些困难和问题。
(一)网络安全意识亟待增强
许多关键信息基础设施运营单位对网络安全的重要性认识不到位,认为受到网络攻击只是小概率事件,对可能受到的网络攻击的危害性缺乏认知。在信息化方面“重建设、轻安全;重使用、轻防护”,缺乏主动防御意识,不愿在安全防护方面进行必要投入;在处理业务信息系统可用性和安全性的关系时,往往更重视可用性,在二者有冲突时,往往会降低安全性要求。不少地方政府和部门领导干部不能从国家安全的高度认识网络安全,没有把网络安全工作列入本级政府和部门工作重要议程,或者只是口头上重视,“说起来重要,干起来次要,忙起来不要”。社会公众网络安全意识总体不强,“万人调查报告”显示,有55.4%的受访者认为,他们身边的许多人缺乏网络安全意识,对网络安全“知其然不知其所以然”。
(二)网络安全基础建设总体薄弱
一是网络安全态势感知平台建设滞后。网络安全风险具有很强的隐蔽性,感知安全态势是做好网络安全最基本最基础的工作。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。但不少省份尚未启动网络安全态势感知平台建设,不能实现对重要信息系统网络安全风险的全天候实时、动态监测。二是容灾备份体系建设总体滞后。不少关系国计民生的关键信息基础设施运营单位没有按照法律规定对重要数据进行异地容灾备份,而仅仅采取了一些简单的数据备份措施,有的甚至尚未进行过容灾备份,不能有效应对重大网络安全风险。在有些省份,多数重要信息系统未按法律要求进行异地容灾备份。三是重要工业控制企业的设备和控制系统国产化程度有待提高。一些重要工控企业对外国技术依赖严重,不仅生产控制系统由国外公司建设,配套的网络及安全设备也采用国外产品,网络及安全设备的配置由外方人员操控,企业内部人员甚至不掌握安全设备配置和管理权限。在有的省份,重要工控企业的生产控制系统国产化率不足20%。四是应急预案流于形式。有的网络安全应急预案侧重于设备设施障碍的排除,针对网络攻击、信息泄露等网络空间安全事件的内容较少;有的应急预案缺乏可操作性;有的应急预案长期未修订,已不能应对当下的网络安全事件;许多单位由于应急演练相关条件不足,未真正举行过应急演练;不少地方和行业用于解决网络安全问题的经费不足,发现了问题后,往往因经费缺乏不能及时解决。
(三)网络安全风险和隐患突出
为了解网络运行情况,执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施(60个门户网站和60个业务系统)进行了远程渗透测试和漏洞扫描。该中心出具的报告显示,本次远程测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个,其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞,严重威胁了系统及服务器安全,也存在严重的用户信息泄露风险。远程检测还发现,多个设区的市政府门户网站存在页面被篡改风险。执法检查组现场抽查时发现,许多单位没有依照法律规定留存网络日志,这可能导致发生网络安全事件时无法及时进行追溯和处置;有的单位从未对重要信息系统进行风险评估,对可能面临的网络安全态势缺乏认知。检查还发现,在许多单位网络安全法培训班讲话,内网和专网安全建设没有引起足够重视,有的单位对内网系统未部署任何安全防护设施,长期不进行漏洞扫描,存在重大网络安全隐患。随着各地区各领域信息化建设的推进,各行业各领域数据化、在线化、远程化趋势更加明显,对网络安全提出了更高要求。
(四)用户个人信息保护工作形势严峻
“万人调查报告”显示,“一法一决定”关于用户个人信息保护的多项制度落实得并不理想:有52.1%的受访者认为,法律关于“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,必须明示收集、使用信息的目的、方式和范围”的规定执行得不好或者一般;有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”;有52.5%的人认为执法部门保护用户信息的成效一般或者不好,不少人反映,在发现本人信息被泄露或者被滥用后,举报难、投诉难、立案难现象比较普遍。许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。检查发现,有的互联网公司和公共服务部门存储了大量公民个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用。一些单位内控制度不完善或不落实,少数“内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露。当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。从公安部门近期破获的案件看,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且违法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。
(五)网络安全执法体制有待进一步理顺
网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。“万人调查报告”显示,有18.9%的受访者反映,在遇到网络安全问题后,他们不知该向哪个部门举报和投诉,即使举报了也往往不予处理或者没有结果。参加座谈的多数网络运营单位反映,行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题,不同法律实施主管机关采集的数据还不能实现“互联互通”,经常给网络运营商增加额外负担。不少人认为,如果不能合理定位,准确厘清部门之间的职责,等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。另外,检查发现,城市轨道交通控制系统等工控系统网络安全管理责任边界不清,运营单位落实网络安全责任制存在困难;通信行业监管和行政执法力量严重不足,执法力量与当前网络安全事件频发多发的严峻形势不相适应。
(六)网络安全法配套法规有待完善
不少单位反映,作为网络安全管理方面的基础性法律,网络安全法不少内容还只是原则性规定,真正“落地”还有赖于配套制度的完善。比如,网络安全法虽然对数据安全和利用作了规定,但现实中数据运用比较复杂,数据脱敏标准、企业间数据共享规则等,仍然需要有关法规规章予以明确;网络安全法仅明确了关键信息基础设施运营者数据出境需进行评估,但其他网络运营者掌握的重要数据出境是否进行安全评估,尚待进一步明确。关键信息基础设施保护制度是网络安全法一项重要制度,但对于什么是关键信息基础设施、关键信息基础设施认定的标准和程序等,目前认识尚不一致,需要配套法规予以明确。关键信息基础设施如何进行年度检测评估、网络运营者和管理部门如何统一发布网络安全预警信息、如何扶持网络安全自主知识产权等,也有待于配套法规规章予以明确。
(七)网络安全人才短缺
参与调查的10370人中,有超过69%的受访者认为,所在单位或者熟悉的人中,能够熟练从事网络安全防护的专业技术人才较少,无法满足现实需要,其中有21.6%的受访者认为所在单位基本上无人熟悉网络安全防护技术。从检查的情况看,不管是经济发达地区还是相对落后地区,网络安全技术人才都比较匮乏,现有的网络运营单位技术人才多侧重于系统使用、操作维护,对网络安全风险的监控、应急处置和综合防护能力不足,难以适应保障网络安全的需要。有的关键信息基础设施核心业务系统虽然安装了防护系统,但由于缺乏高水平的安全技术人才,不能对安全软件进行升级和打补丁,从而使网络安全防护产品难以有效发挥作用。不少政府门户网站没有专门的网络安全技术人才,网站管理人员没有接受过系统的网络安全技能培训。另外,网络安全主管部门专业人才也明显不足。受到编制、职务、薪资等因素制约,许多地方网信、公安、通信管理、工信等单位往往招不到或留不住专业技术人才,一线执法人员的专业素养和技能难以胜任网络运行安全常态化监管执法职责。
四、几点建议
根据检查情况,检查组对进一步贯彻实施“一法一决定”提出以下建议。
(一)进一步提高对网络安全重要性的认识
在信息时代,网络空间已经成为继陆地、海洋、天空、外层空间之外,人类活动的第五空间,成为国家利益的新边疆和世界各主要国家战略博弈的新领域,网络安全对国家安全牵一发而动全身,已成为基础性、全局性的国家安全问题。党的十九大报告强调,网络安全等非传统安全是人类面临的共同挑战之一,要坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,统筹外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全,完善国家安全制度体系,加强国家安全能力建设。要进一步深化对新形势下加强网络安全工作重要性的认识,不断增强贯彻落实网络安全法等法律法规的紧迫感和自觉性。法律实施主管机关和其他相关单位要结合工作实际,进一步加大对网络安全法的宣传培训力度,不仅让广大网络运营商、关键信息基础设施运营单位的相关人员能够熟知法律内容,还要以喜闻乐见的方式加强对社会公众的宣传,让广大公众认识到网络安全与自身的密切关系,增强全社会的网络安全意识。
(二)正确处理安全和发展的关系
习近平总书记强调指出,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要充分认识到互联网在国家管理、经济发展和社会治理中的作用,继续推进电子政务、电子商务、新型智慧型城市建设,不断推进技术融合、业务融合、数据融合,打通经济社会发展的信息“大动脉”。要按照网络安全法“坚持网络安全与信息化发展并重”的要求,坚持一手抓网络和信息化发展,一手抓网络安全,“两手抓,两手都要硬”。对于网络安全,既要重视传统的信息安全和意识形态安全,营造风清气正、正能量充沛的网络空间,也要高度重视攻防能力提升,有效防范网络攻击,切实维护网络信息系统安全。要科学制定不同行业、不同单位的网络安全标准,认真研究解决有些单位提出的“网络安全合规成本过高”的问题。鼓励和支持网络安全产业的发展,发挥社会力量的作用,提供安全的产品和服务。
(三)加快完善网络安全法配套法规规章
要加快《关键信息基础设施安全保护条例》《网络安全等级保护条例》的立法进程,对实践中大家普遍感觉难以把握的问题,如什么是关键信息基础设施、如何认定关键信息基础设施等作出明确规定,并对等级保护制度和关键信息基础设施保护制度落实过程中的部门职责进一步予以明确。网信、工信、公安等部门要尽快制定配套规章或者文件,细化法律中个人信息和重要数据出境安全评估、网络数据管理、网络安全监测预警和信息通报、网络安全审查、网络安全认证和安全检测结果互认等制度。此前已制定的一些行政法规和部门规章也应根据网络安全法的要求以及法律实施中遇到的新情况新问题,及时予以修改完善。根据防范和打击网络违法犯罪的需要,加强互联网刑事立法,研究制定网络违法犯罪防治法,推动网络违法犯罪行政处罚与刑事处罚的有效衔接。
(四)着力提升网络安全防护能力
一是加快网络安全态势感知平台建设。要整合各部门资源,建立统一的全天候网络安全感知平台,以更好地发现风险、感知风险,进而构建统一高效的网络安全风险发现机制、报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。二是依法组织开展风险评估。要尽快完善网络安全风险评估机制,加强对金融、能源、交通等重要行业和领域的评估,根据评估情况,适时调整网络安全工作方案和保护措施。三是定期组织应急演练。组织关键信息基础设施运营单位定期进行应急演练,使事关国家安全、关系国计民生的重要信息系统能够有效应对有组织的高强度网络攻击。四是要认真落实法律要求,加快关键信息基础设施数据的容灾备份建设,并定期开展灾备效果验证,提升信息系统的抗灾、减灾和恢复能力。要督促网络运营单位认真落实法律规定,依法留存网络日志。五是要加强网络安全保密保障体系建设网络安全法培训班讲话,提升网络安全保密装备能力,推进网络安全保密技术保障基础设施建设。六是要大力推进国产化替代工程。加大技术研发力度,逐步提高重要工业企业信息控制系统的国产化率,提升关键信息基础设施和网络安全设备的自主可控能力。
(五)进一步加大用户个人信息保护力度
一是要加快个人信息保护法立法进程。通过专门立法,明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。二是加强安全防护。强化数据安全监管手段建设,实施数据资源分级分类管理,推动大数据场景下的数据防窃密、防篡改、防泄露等安全技术的研发和部署。三是要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多、实名登记事项过滥问题。各地区各单位对某一事项实施实名登记制度,应当有明确的法律依据。要改进实名信息采集方式,减少实名信息采集的内容。四是加大监督检查力度。建立第三方评估机制,督促网络运营和公共服务单位严格依法收集用户信息,建立健全内部管理制度,有效降低“内鬼”窃密风险。五是进一步加大打击力度。公安机关要加大对网络攻击、网络诈骗、网络有害信息等违法犯罪活动的打击力度,切断网络犯罪利益链条,持续形成高压态势,落实法律保护公民个人信息的规定,使广大公民的合法权益免受侵害。六是要完善投诉受理机制。研究建立统一高效的用户信息安全事件投诉受理机制,为用户投诉、举报提供便利,维护人民群众合法权益。
(六)强化网络安全工作统筹协调
网络安全工作涉及领域多、范围广、任务重、难度大,系统性、整体性、协同性很强。应对复杂的网络安全态势,必须做到统一谋划、统一部署、统一标准、统一推进。要不断完善网络执法协作机制,尽快健全适应网络特点的规范化执法体系。要落实网络安全法相关规定,加强网络安全执法队伍和执法能力建设,强化网信部门的统筹协调职责,明确各职能部门的权责界限和接口,形成网信、工信、公安、保密等各部门协调联动机制,既要防止职能交叉、多头管理,又要避免执法推责、管理空白,不断提高执法效率,有效维护网络空间的安全。考虑到互联网跨区域性强、地域边界不明显的特点,要健全完善网络安全异地执法协作机制,实现区域之间执法联动。还要破除部门利益,打通数据和信息壁垒,减少重复建设,建立共享数据平台,切实做到不同部门收集的数据能够共享,提高网络安全防范能力。
(七)加快网络安全人才队伍建设
网络安全是技术更新最快的领域之一,网络空间的竞争,归根到底是人才的竞争;建设网络强国,最关键的资源是人才。要高度重视网络安全人才培养工作,不仅要培养精通信息系统使用和维护的技术人才,还要培养大批能够开展网络安全风险监控、应急处置和综合防护的人才,从而满足网络安全法实施提出的要求。要进一步加强网络安全学科建设,优化师资队伍结构,改革人才培养模式,培养更多满足实践需要的应用型人才。要鼓励网络和信息化人才发展体制机制改革先行先试,研究建立网络安全特殊人才培养、管理和激励制度,加大对网络安全高端人才、紧缺人才的培养、引进和支持力度,使党政机关、关键信息基础设施运营单位能够招得进、用得好、留得住精通网络安全技术的“高、精、尖”专业人才。
当前,互联网已深度融入经济发展和社会生活的方方面面,深刻改变着人们的生产和生活方式。我们要认真学习、全面贯彻党的十九大精神特别是习近平新时代中国特色社会主义思想,进一步提高政治站位,牢固树立正确的网络安全观,进一步增强贯彻实施法律的紧迫感和自觉性,推进“一法一决定”各项制度全面落实,切实维护网络空间主权和人民群众切身利益,为决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利、实现中华民族伟大复兴的中国梦提供坚强保障。
以上报告,请审议。
网络法前哨 ∣网络法前沿的侦察兵
感兴趣可长按关注前哨君
注册会员查看全部内容……
限时特惠本站每日持续更新海量各大内部创业教程,年会员只要98元,全站资源免费下载
点击查看详情
站长微信:9200327
