《网络安全法》解读
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。本法在以下几个方面值得特别关注:
一、《网络安全法》确立了网络安全法的基本原则
第一,网络空间主权原则
● 《网络安全法》第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。
● 第2条明确规定《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第二,网络安全与信息化发展并重原则
● 习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。
● 《网络安全法》第3条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
第三,共同治理原则
●网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。
●《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
二、《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度
●《网络安全法》第4条明确提出了我国网络安全战略的主要内容,即:明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
●第7条明确规定,我国致力于“推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。”这是我国第一次通过国家法律的形式向世界宣示网络空间治理目标,明确表达了我国的网络空间治理诉求。
●上述规定提高了我国网络治理公共政策的透明度,与我国的网络大国地位相称,有利于提升我国对网络空间的国际话语权和规则制定权,促成网络空间国际规则的出台。
三、《网络安全法》进一步明确了政府各部门的职责权限,完善了网络安全监管体制
●《网络安全法》将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。
●第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
四、《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
●《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。
●关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。
●网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
五、《网络安全法》完善了网络安全义务和责任,加大了违法惩处力度
●《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。
●在“法律责任”中则提高了违法行为的处罚标准,加大了处罚力度,有利于保障《网络安全法》的实施。
六、《网络安全法》将监测预警与应急处置措施制度化、法制化
● 《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。
●这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障。
【法治中国:《网络安全法》】
【法治中国:《网络安全法》宣传】
4.1 电子商务安全技术
案例引入:
1、“熊猫烧香”病毒传播
2、“CSDN泄密门”
问:如何保护个人信息的安全?
1、电子商务安全体系的概念
(1)电子商务系统物理安全:物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作错误和各种计算机犯罪行为导致的破坏过程。主要包括三个方面:环境安全;设备保护;媒体安全。
(2)网络安全:网络安全主要是指网络的运行安全,包括系统安全(如主机、服务器等)、网络安全检测、审计分析、访问控制、备份与恢复等方面。
(3)电子商务信息安全:信息安全主要涉及到鉴别、信息传输的安全、信息存储的安全以及对网络传输信息内容的审计等方面。
(4)电子商务系统软件安全:软件安全是指保护软件和数据不被篡改、破坏和非法复制。
(5)电子商务安全立法:电子商务安全立法是对电子商务犯罪的约束,它是利用国家机器,通过安全立法,体现与犯罪斗争的国家意志。
(6)安全管理:面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,因为诸多的不安全因素都是反映在组织管理和人员使用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2、电子商务系统面临的安全问题
(1)系统瘫痪:系统瘫痪是指计算机网络故障、操作错误、应用程序错误、硬件故障、系统软件错误、黑客攻击、计算机病毒等原因导致系统不能正常工作。
(2)信息被泄露:电子商务系统是用于商业贸易的一种手段,商务信息在网络上传输必须要保证信息传输的机密性,即要保证交易双方进行交易的内容在传输过程中不被非法用户所窃取和使用。也就是使信息失去其机密性。
(3)信息被篡改:信息被篡改是指商务信息在传输过程中信息丢失、信息重复或信息传输次序的差异而导致贸易各方所得到的信息不同,或者是信息在传输时的意外差错或恶意的欺诈行为,导致贸易各方的信息出现偏差或差异。也就是使信息失去其真实性和完整性。
(4)信息传输的抵赖行为:信息传输的抵赖行为是指在交易过程中交易的一方不承认已发送或接收到某信息,或对已签订的合同、契约、单据等进行否认。也就是交易过程中的抵赖行为破坏了交易的可靠性。
3、电子商务的安全要求
(1)信息传输的保密性:信息的保密性是指信息在传输过程或存储中不被非法用户获取,信息的保密性在电子交易中显得尤为重要。
(2)信息的完整性:完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或故意地添加、删除、修改、伪造、乱序、重放等操作破坏和丢失的特性。
(3)信息的不可抵赖性:不可抵赖性是指防止发送方或接收方否认信息的发送或接收。当信息发出时,接收方可以证实信息确实是从声明的发送方发出。反之,当接收到信息时,发送方也能证实信息确实由声明的接收方接收了。
(4)可用性:可用性是指当用户需要使用网络时,网络能够及时地提供服务。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的多方面的,有时还有时间要求。
(5)访问控制:在网络安全环境中,访问控制能够限制和控制通过通信链路对主机系统和应用的访问。
(6)身份认证:身份认证服务的目的在于保证消息的可靠性。在只有一条消息的情况下,验证服务的功能就是要保证信息接收方接收的消息确实是从它声明的来源发出的。
(7)有效性:有效性是指对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及病毒产生的威胁进行控制和预防,以保证贸易数据在确定的时间和地点是有效的。
4、防火墙技术
防火墙是一种安全有效的防范技术措施,是访问控制机制、安全策略和防入侵措施。通常防火墙是一组硬件设备,如路由器、主计算机或者是路由器和配有适当软件的计算机网络的多种组合。
防火墙的主要目的是控制数据组,只允许合法流通过。可以将防火墙分为两大体系:一是基于包过滤的防火墙,二是基于代理服务的防火墙。
