第一篇 理论篇
第1章 引论
教学提示:随着计算机和网络技术的发展及应用的普及,全球信息化已经成为一种趋势。但是绝大多数的计算机和网络应用并没有或者很少考虑到安全性问题。然而,随着黑客和恶意攻击者的攻击技术和手段的不断提高,作为全球信息基础设施关键部分的互联网,因其开放性、复杂性、无界性、脆弱性,成为某些受经济利益驱动或出于政治目的的个人、组织乃至国家攻击的重要目标,这给本来就十分脆弱的网络系统提出了巨大的挑战。网络安全已经涉及人们的生产、生活及国民经济等各个领域,成为信息化建设的一个非常突出的问题。
教学目标:了解和掌握网络安全的相关概念及相关内容。
1.1 网络安全的基础
网络涉及国家政治、经济、军事、文化教育等诸多领域,所存储、传输和处理的是政府宏观决策、经济信息、资金转账、股票证券、科技研发数据等重要信息。网络具有开放性、超越组织与无国界等特点,其安全性上也同样存在着开放性和无国界性的特点,这给网络使用者带来了严重的安全隐患。计算机和互联网犯罪率正迅速升高,使各国的计算机系统,特别是网络系统面临着巨大的威胁,并成为严重的社会问题。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性,已经成为所有计算机网络应用必须考虑和必须解决的问题之一。
1.1.1 网络安全的含义
网络信息安全是一个关系社会稳定和国家安全的重要问题。它正随着全球信息化步伐的加快变得越来越重要。网络信息安全是一门涉及计算机科学、网络通信技术、信息安全技术、密码技术、信息论等多种学科的综合性学科。网络安全的一个通用定义:它主要是指网络系统的软、硬件及其系统中的数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1.1.2 网络安全的特征
保证网络安全,最根本的就是保证网络安全的基本特征发挥作用。因此,下面先介绍网络安全的七大特征。
1.保密性
保密性是指信息不泄露给非授权的用户、实体或过程,或者供其利用的特性。在网络系统的各个层次上有不同的保密性及相应的防范措施。例如,在物理层,要保证系统实体不以电磁的方式(电磁辐射、电磁泄漏)向外泄露信息;在数据处理、传输层面,要保证数据在传输、存储过程中不被非法获取、解析,主要的防范措施是密码技术。
2.完整性
完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。完整性要求信息保持原样,即信息的正确生成、正确存储和正确传输。完整性与保密性不同,保密性要求信息不被泄露给未授权人,而完整性则要求信息不受各种原因的破坏。影响网络信息完整性的主要因素有设备故障、传输、处理或存储过程中产生的误码、网络攻击、计算机病毒等,主要防范措施是校验与认证技术。
3.不可否认性
不可否认性也称不可抵赖性,它是指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性。
4.可用性
网络信息系统最基本的功能是向用户提供服务,而用户所要求的服务是多层次的、随机的。可用性是指可被授权实体访问,并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
5.可控性
可控性是指对信息的传播及内容具有控制能力,保障系统依据授权提供服务,使系统任何时候不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。
6.可审查性
可审查性是指提供历史事件的记录,对出现的网络安全问题提供调查的依据和手段。
7.可保护性
可保护性是指保护所使用的软、硬件资源不被非法占有,免受攻击或病毒蠕虫的侵害。
1.1.3 网络安全的目标
网络安全的目标是确保网络系统的安全,网络安全主要包括信息存储安全和信息传输安全两个方面。信息在静态存放状态下的安全就称为信息存储安全,如是否会被非授权者调用等,一般通过身份识别、设置访问权限、局部隔离等措施来保证信息存储安全。访问控制技术是解决外来访问、调用的信息存储安全的主要途径。在网络系统中,调用指令和信息反馈均是通过网络传输来实现的。因此网络信息传输上的安全就显得非常重要。为确保网络信息的传输安全,就需要防止以下问题的出现。
① 防止攻击者对网络上的信息进行截获并篡改其内容,从而造成用户无法获得准确、有用的信息。还要防止中断攻击者通过各种方法,中断用户的正常通信。
② 防止对用户身份进行仿冒,采取的传统的对策是采用身份认证方式防护。但是,由于用户身份认证的密码在登录时通常以明文的方式在网络上进行传输,很容易被攻击者截获,进而可以对用户的身份进行仿冒。
③ 防止“信息重发”攻击。所谓“信息重发”攻击,是指攻击者截获网络上的密文信息后,并不将其破译,而是把这些数据包再次向有关服务器发送,以实现恶意破坏的目的。
④ 防止对网上传输信息的截获。攻击者只要在网络的传输链路上采用一定的物理或逻辑手段,就能对数据进行非法截获与监听,进而得到用户或服务方的敏感信息。
1.1.4 网络安全的体系结构
网络安全的技术都滞后于安全问题的出现,随着计算机网络的扩大与丰富,系统漏洞更是层出不穷。以往的那条补、堵网络与系统漏洞的老路,显然已经不能够保证网络信息的安全,网络安全已经不仅仅是一个纯技术的问题,不可能仅靠技术因素来确保网络的安全。如今,网络所面临的安全问题除了技术因素外,还涉及管理和法律。要想有效地保护好网络安全,就应该处理好三者间的关系。
1.2 威胁网络安全的因素
20世纪60年代计算机安全事业已经开始发展了。当时,计算机系统的脆弱性已日益为美国政府和一些私营的机构所认识。但是,由于当时计算机的速度和性能比较落后,使用的范围也不广,再加上美国政府把它当成敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。
20世纪80年代后,随着计算机的性能得到了极大的提高,应用范围也在不断扩大,它已经成为人们正常生产、生活不可或缺的工具。为了相互通信和资源共享,人们利用通信网络把孤立的计算机连接起来,构成大的通信网络。但是,网络信息安全问题日益严峻已经严重制约了它自身的发展。因此,网络安全已成为今后信息技术中的核心问题之一。
1.2.1 网络的安全威胁的类型
目前网络存在的安全威胁有以下几种:
① 非授权访问。非授权访问主要是指在没有授权的情况下对网络以及资源进行使用。
② 假冒合法用户。这主要是指利用各种假冒或欺骗的手段非法获得合法的使用权,以达到占用资源的目的。
③ 破坏数据完整性。在非法获得数据的使用权后,对其进行删除、修改或插入来破坏数据的完整性,干扰用户对数据的正常使用。
④ 干扰系统的正常运行。改变系统正常运行的方向,以及延时系统的响应时间。
⑤ 传播病毒。利用网络传播计算机病毒。对于这种情况用户是很难防范的,它的破坏性是远远超过单机系统的。
在安全威胁中,可实现威胁是十分重要的,因为这类威胁的某一实现会直接导致任何基本威胁的实现。主要的可实现威胁包括渗入威胁和植入威胁。
渗入威胁主要有:
① 假冒。某个实体假装成另外一个不同的实体,这是渗入某个安全防线的最通用的方法。通过假冒攫取合法用户的权利和特权。
② 旁路控制。为了获得未授权的特权和权利,某个攻击者会发掘系统的缺陷或安全上的漏洞,攻击者可以绕过防线守卫者渗入系统内部。
③ 授权侵犯。被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他未授权的目的。
主要的植入威胁有:
① 特洛伊木马。软件中含有一个觉察不出的或无害的程序段,当它被执行时,会破坏用户的安全性。
② 后门。在某个系统或某个文件中设置“机关”,使得当提供特定的输入时,允许违反安全策略。
1.2.2 物理设备脆弱性
物理设备脆弱性也称实体脆弱性,主要有各种自然灾害、人为的破坏、设备故障、操作失误、场地和环境的影响、电磁泄漏、各种元器件的被盗和数据资料的损失等。
1.2.3 软件系统脆弱性
软件系统脆弱性包括操作系统的安全脆弱性、应用软件的安全脆弱性等方面。操作系统是计算机网络应用的软件基础设施,目前用得比较普遍的是Linux、UNIX、Windows等。没有任何一种操作系统宣称自己是完全安全的,操作系统的安全脆弱性也使网络系统本身存在很大的安全脆弱性。许多攻击就利用了操作系统存在的漏洞,同时有些操作系统对可执行文件访问控制不严。现在受攻击最多的是 Windows 操作系统,因为它是现在个人使用最多的一种操作系统;其次是Linux、Solaris等操作系统。主要是使用一些现有的黑客工具或自己编制一些程序对操作系统的弱口令或安全漏洞加以攻击,获得一般用户或者超级用户的权利。应用软件的安全脆弱性包括软件的完整性、软件本身的漏洞和数据库的安全脆弱性等方面。
1.2.4 协议实现的脆弱性
协议实现的脆弱性是指网络中互相通信的协议本身存在的安全方面的不健全和协议实现中存在的漏洞。协议本质上也是一种软件系统,因此在设计上不可避免会存在一些失误。例如,TCP/IP本身是建立在研究和试验的基础上的,没有考虑安全性。
1.2.5 网络架构的脆弱性
在传统电话网络中,整个通信系统不管是接入、传输、交换还是控制,其各部分通信设备的部署和各种协议的运行都是安全的。网络规模和容量的不断扩大在带来效益的同时也引起设备的复杂化以及管理的复杂化,随之而来的便是给网络带来更多安全隐患。我国电信网络已发展成全球最大固网和移动网络之一,运维一个如此巨大的网络没有先例,也没有参照对象,极有可能出现一些意想不到的安全问题。随着网络规模和设备容量的扩大,设备越来越复杂,不可控因素随之增加。
1.2.6 经营和管理带来的脆弱性
多运营商竞争在开拓通信市场以及增加网络备份的同时,也带来新的安全隐患。多运营商网络互连互通,但是安全策略、安全管理力度以及安全设施各不相同,容易出现安全隐患。由于恶性竞争的存在,运营商互连互通时还可能造成人为的安全事故。网络系统的管理直接影响系统的安全。配置再完善的防火墙、功能再强大的入侵检测系统、结构再复杂的系统密码,也挡不住内部人员从网管背后的一击。当前企业网络很多的安全漏洞来自内部管理的不严密。
1.3 网络安全的防御技术
网络信息安全的关键防御技术有下面几种。
1.3.1 数据加密
所谓数据加密,就是指使用数字加密方法来重组数据信息,使得除了合法授权者外,任何其他人想要恢复原始信息都是困难的。该技术的目的是对传输中的信息进行加密,常用的方法有两种,即线路加密和端对端加密。线路加密侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。端对端加密则指数据信息由发送端通过专用的软件,采用某种加密手段对所发送报文信息进行加密,把明文加密成密文,然后进入TCP/IP数据包封装穿过互联网;这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复为可读明文。
1.3.2 网络故障检测与安全评估
故障检测是指当网络出现故障时,网络故障管理系统应能通过故障检测机制及时获悉并采取相应的措施予以解决。当前网络的主要特点是网络规模不断扩大,复杂性不断增加,网络的异构性越来越高。随着用户对网络的性能要求越来越高,如果没有一个可靠的故障管理系统对网络系统进行管理,则很难保证其能够提供令人满意的服务。
当前网络功能越来越强大,相应的软、硬件设备越来越复杂。网络中信息自身的安全性则依赖于设备的安全性及网络管理。随着网络技术的迅速发展,在带给人们方便快捷的同时也不可避免存在着安全风险,网络安全问题已成为当前网络技术研究的重点。
1.3.3 故障恢复与保护倒换
计算机网络通信中故障恢复是指节点或者链路发生故障后,在短时间内采取一定措施恢复提供服务。通常网络故障恢复需要人工干预来解决。保护倒换是指在网络上指定一个备用路径,当传输节点或者链路出现故障时,故障路径上的信息流量能够自动切换到备用路径上,从而不影响业务的正常运行。传输网络有成熟的保护倒换机制,能够在规定时间内完成保护倒换,保证信息传递安全可靠地进行。
1.3.4 信息传输安全
信息传输安全技术主要包括信息加密技术、信息鉴别与密钥管理技术等。
1.信息加密
在保障信息安全传输的诸多技术中,密码技术是信息安全传输的核心技术,通过数据加密,可以在一定程度上提高数据传输的安全性。密码技术的手段之一是给信息加密,加密是通过对信息的重新组合,使得只有通信双方才能解码还原出原始信息的方法。一般情况下,加密分为对称加密和非对称加密两种。目前,随着技术的进步,加密技术正在逐步被集成到系统和网络中。通过密码技术对数据进行加密处理,能够有效防止网络通信过程中的信息泄露。
2.信息鉴别与密钥管理
使用报文鉴别可以保证数据完整性,为保证数据的不可否认性则可以采用数字签名。攻击者可以修改报文,却无法修改鉴别码。接收方收到报文后计算的鉴别码与收到的鉴别码不同,那么就可以判定报文的内容已经被破坏。
传统的对称加密方法中,通信双方加密解密用同一把密钥,如果通信双方相隔较远,那么密钥的安全传送就成了一个很大的问题。而公开密钥的出现则很好地解决了这个问题,公开密钥是公开的,不需要用任何保密手段进行传送,通信的一方得到公开密钥对报文加密,报文只有私钥的持有者可以解开。但是公开密钥算法加密的速度却比对称加密算法慢很多,因此在实际应用中,常常用公开密钥法进行保密通信间的密钥共享,然后用对称加密法进行数据的加密。
1.3.5 互联网安全
互联网安全技术主要包括网络管理技术、接入与访问控制技术、防火墙开启技术、网络防攻击与防病毒技术等。
1.网络管理
网络管理系统包括配置管理、故障管理、性能管理、安全管理和计费管理这五大部分,它是维护网络可用性、可靠性的重要手段。通过强大的网络管理,可以有效地增强网络的健壮性,从而增强网络信息传输的安全性。
2.接入与访问控制
网络服务可控的网络必须对用户接入进行控制。访问控制是保证网络通信安全的重要措施。使用防火墙在一定程度上可以实现访问控制,防止通信过程中病毒对信息的攻击,以及黑客对其的拦截等。这就要设置防火墙在网络边缘的安全屏障,对网络的访问进行有效控制。
3.防火墙开启
防火墙的技术实现通常基于所谓的包过滤技术,而进行包过滤的标准通常是根据安全策略制定的。在防火墙产品中,包过滤的标准一般由网络管理员在防火墙设备的访问控制清单中设定。访问控制的标准一般包括包的源地址和目的地址,以及连接请求的方向和数据报协议等。
4.网络防攻击与防病毒
由于现在互联网都采用智能终端,并且提供多样化的服务,所以互联网比较容易被攻击。互联网被攻击可以分为控制层面的攻击、消耗网络资源的攻击以及对关键应用服务的攻击。为了防止恶意用户试图发布错误路由信息来干扰整个互联网的连通性,通常采用路由协议鉴权和认证的手段。病毒在网络上传播会消耗网络资源。当前大量病毒通过网络传染,并造成大范围的破坏,因此防病毒也是通信网络安全关键技术。
1.3.6 网络欺骗技术与蜜罐技术
每个网络系统都存在漏洞,而且这些漏洞都可能被入侵者所利用。网络欺骗技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源,然后将入侵者引向这些虚假的资源,从而增加入侵者的工作量,提高入侵复杂度以及不确定性,使入侵者不知道其进攻是否奏效或成功。而且,它可以迅速地检测到入侵者的进攻并获知其进攻技术和意图;影响入侵者,使之按照安全管理者的意志进行选择;对入侵者进行监视和追踪;消耗入侵者的资源。故意在网络上布置吸引攻击的陷阱,可以让攻击者落入预先设置的这些圈套之中,处于被监视和控制之中,还可以获取攻击策略。陷阱机是一个使用网络重定向技术创建的欺骗主机。在这台计算机上,可建立多个操作系统伪装环境作为陷阱,利用重定向机制,分别保护对应的服务器,如邮件服务器、网站服务器、域名服务器等。
蜜罐(Honeypot)是一种信息系统资源,价值在于资源的非正式或者非法的使用。蜜罐技术是在早期的黑客诱骗技术中发展起来的,为了在网络安全领域内增大黑客的无效劳动、欺骗黑客,使其枉费精力,从而保护工作网络的安全技术。理论上讲一个蜜罐应该没有任何的流量存在,因为在蜜罐上没有任何合法的行为。
1.3.7 黑客追踪技术
1.IP追踪
IP追踪是最普通的追踪方式,适用于追踪巨大、连续的正在传输的数据流,如正在进行的拒绝服务攻击产生的数据攻击流。在DoS攻击中,源IP经常把欺骗地址塞到数据包的源地址字段假装成真实的IP地址,所以追踪就是找到最原始的攻击源。
2.入口过滤
大多数的攻击者使用欺骗源地址的数据包,造成了巨大的网络破坏。通过服务提供商的合作和努力,使用基本的包过滤——网络入口过滤,很好地限制了带有欺骗源地址的包的出现,以及这些包被发送到互联网的能力。
3.反射追踪
反射追踪是一种在实践当中应用最好的追踪方法。追踪目标是产生洪水攻击数据包的 DDoS攻击者,将含有“目标不可达”消息的数据包重新发回给攻击源地址,从而重构攻击路径。反射追踪技术依赖于存在的互联网路由协议标准特性。
4.包标记追踪
路由器以一定的概率向过往的数据包中填塞部分的路径信息,根据所有的标记信息进行Hash运算,重构出攻击路径。
1.4 信息网络安全策略和安全保护体系
1.4.1 信息网络安全策略
信息网络运行部门的安全管理工作应首先确定信息网络安全策略,安全策略确定网络安全保护工作的目标和对象。信息网络安全策略涵盖内容很多,如网络安全策略、部门安全策略、应用系统安全策略、设备安全策略等。一个信息网络的总体安全策略可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”,总体安全策略为其他安全策略的制定提供总的依据。
1.实体可信
实体是指构成信息网络的基本要素,主要有网络基础设备、软件系统、用户和数据。保证构建网络的设备、软件和系统安全可信,没有预留后门或逻辑炸弹。保证接入网络的用户是可信的,防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的,防止搭线窃听、非授权访问或恶意篡改等。
2.行为可控
保证用户行为可控,即保证本地计算机的各种资源不被非授权使用,或被用于危害本系统或其他系统的安全。保证网络行为可控,防止滥用资源、非法访问、网络攻击和传播有害信息等恶意事件的发生。
3.资源可管
保证对路由器、交换机、数据库、服务器、域名系统、安全设备、密码设备、IP地址、用户账号、服务端口等网络资源进行统一管理。
4.事件可查
保证对网络上的各类违规事件进行监控记录,确保日志记录的完整性,为安全事件稽查取证提供依据。
5.运行可靠
保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行,具有容灾抗毁能力和备份恢复能力。保证能够有效防范黑客的攻击和病毒所引起的网络拥塞、系统瘫痪和数据丢失,并具有较强的应急响应能力和灾难恢复能力。
1.4.2 信息网络安全保护体系
网络信息安全保护涉及人员、技术和法规三个方面,因此,信息网络安全防护体系从总体上可分为三大部分,即技术防护体系、组织管理体系和法规标准体系,以信息网络的总体安全策略为核心,共同保护信息网络安全运行。
《2006年—2020年国家信息化发展战略》中关于建设国家信息安全保障体系部分特别指出:全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用,建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。大力增强国家信息安全保障能力。积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,抓紧开展对信息技术产品漏洞、后门的发现研究,掌握核心安全技术,提高关键设备装备能力,促进我国信息安全技术和产业的自主发展。加快信息安全人才培养,增强国民信息安全意识。不断提高信息安全的法律保障能力、基础支撑能力、网络舆论宣传的驾驭能力和我国在国际信息安全领域的影响力,建立和完善维护国家信息安全的长效机制。
1.5 计算机系统的安全标准
20世纪70年代,美国国防部就已经发布了诸如《自动数据处理系统安全要求》等一系列安全评估标准。为了实现对网络安全的定性评价,20世纪90年代美国又提出了网络安全标准(DoD5200.28-STD),即可信任计算机标准评估准则(Trusted Computer Standards Evaluation Criteria)。该标准认为对应不同的安全级别,硬件、软件和存储的信息应当实施不同的安全保护以避免系统受到攻击。在安全体系结构方面,ISO制定了国际标准ISO 7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分:安全体系结构》。我国从20世纪80年代开始,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,使我国信息安全技术得到了很大的发展。
计算机网络系统安全的评估,通常采用美国国防部计算机安全中心制定的可信计算机系统评价准则(Trusted Computer System Evaluation Criteria,TCSEC,是美国国防部橘皮书)。TCSEC定义了系统安全的5个要素:系统的安全策略、系统的可审计机制、系统安全的可操作性、系统安全的生命期保证、针对以上系统安全要素而建立并维护的相关文件。TCSEC中根据计算机系统所采用的安全策略、系统所具备的安全功能,将系统分为A、B(B1、B2、B3)、C(C1、C2)、D共4类7个安全级别。
① D 类:最低保护(Minimal Protection),未加任何实际的安全措施。这是最低的一类,不再分级。常见的无密码保护的个人计算机系统属于这一类。
② C类:被动的自主访问策略(Discretionary Access Policy Enforced),分为以下两个子类。
C1:无条件的安全保护。这是C类中较低的一个子类,提供的安全策略是无条件的访问控制,具有识别与授权的责任。早期的UNIX系统属于这一类。
C2:有控制的存取保护。这是C类中较高的一个子类,除了提供Cl中的策略与责任外,还有访问保护和审计跟踪功能。
③ B类:被动的强制访问策略(Mandatory Access Policy Enforced),属强制保护,要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视。B类又分为以下3个子类。
Bl:标记安全保护,是B类中的最低子类。除满足C类要求外,还要求提供数据标记。
B2:结构安全保护,是B类中的中间子类。除满足B1要求外,还要实行强制性的控制。
B3:安全域保护,是B类中的最高子类,提供可信设备的管理和恢复。即使计算机系统崩溃,也不会泄露系统信息。
④ A 类:经过验证的保护(Formally Proven),是安全系统等级的最高类。它包含了较低级别的所有特性,它的设计、控制和验证过程非常严格。
1.6 网络安全法律法规
随着网络信息技术的迅猛发展,信息安全已经成为全球共同关注的话题。信息安全管理体系逐渐成为确保组织信息安全的基本要求,同时网络安全标准化工作已经成为信息安全保障体系建设的重要组成部分。网络安全标准的研究与制定为管理信息安全设备提供了有效的技术依据,这对于保证设备的正常运行、网络系统的运行安全和信息安全具有极其重要的意义。
近年来,世界各国有关网络安全的法律、法规、政策层出不穷,以构建网络安全文化为出发点和归宿,综合考虑建设网络安全文化的目标和原则。作者认为网络安全文化法制建设的内容主要为以下几方面:
① 从保护国家主权、政治安全出发,建立网络安全法律、法规及政策体系。
② 从建立网络安全保障体系出发,针对不同的网络系统用户建立网络分级法律制度;出台并完善与信息网络安全服务产业活动相关的法律、法规,以促进网络系统用户尽快建立网络风险防范体系,明确不同主体的安全责任。
③ 从促进经济发展出发,针对日益频繁的电子商务活动建立一系列保护电子商务安全的法律、法规体系,提高网络系统的可信度。
④ 从维护网络世界合理的行为秩序,保护公民基本的民事权利如信息网络隐私权出发,建立民事领域的网络安全法律、法规及政策体系。
⑤ 从促进世界信息化进程出发,建立国际合作,签订信息共享的协议。
⑥ 建立自律性组织,制定自律性章程。基于网络的开放性及无国界性,鼓励网络用户自发建立自律性组织,制定自律性章程,开展自律活动,以便从根本上保障网络系统的安全。
1.6.1 国外网络安全相关法律法规
作为世界上信息技术最发达的国家,美国的网络安全法制建设也走在世界前列。整体来看,其在安全文化立法方面已建立主要框架。包括:有关国家主权、政治安全的网络法律,如《计算机欺诈和滥用法》、《计算机安全法》、《政府信息安全改革法》、《计算机安全研究和发展法》等;政府政策,如“对911恐怖袭击的响应”、“行政令第13010号:关键基础设施保护”、“行政令第13011号:联邦信息技术”、“美国总统令63号:保护美国的关键基础设施”、“行政令第13103号:计算机软件盗版”、“克林顿政府:信息系统保护国家计划”、“布什政府:国土安全国家战略计划”、“行政令第13231号:信息时代的关键基础设施保护”等;有关电子商务及公民民事权益保护的法规,如《电子商务加强法》、《信息技术管理改革法》、《新千年数字商务法》、《全球及全国电子商务签名法》、《电子通信隐私法》、《联邦互联网隐私保护法》、《数字隐私法》、《儿童在线隐私保护法》等。相关性政策有《联邦政府执行电子签名技术的记录管理指导方针》、《联邦电子身份认证政策》等。此外,美国联邦政府还于2002年签署发布了3部技术标准体系,分别为《电力部门计算机安全标准》、《美国联邦政府签署Windows安全指南》、《银行用户身份认证体系》。
世界其他国家和地区也有一些与建立网络安全文化体系相关的立法。但侧重点在民事领域,且较为零散。在保护国家安全方面,英国2000年颁布的《通信监控权法》专门制定了对网上信息的监控条款,规定:在符合法定程序的前提下,为国家安全或为保护英国的经济利益,政府可以截收或强制性公开某些信息。在著作权保护方面,欧盟1996年2月颁布了《欧洲议会与欧盟理事会关于数据库法律保护的指令》,该指令旨在调整政策对数据库应用的规范,欧盟各国可以对通过互联网访问的数据库提供一定程度的保护。在明确网络用户应承担的责任方面,德国议会在1997年颁布了《网络服务提供者责任法》,规定提供信息者必须对信息内容负完全责任,提供他人信息者负连带责任,要求商业信息服务必须附加法律提示标志和条文有关信息,必须通过联邦机构检查才能上网。
1.6.2 我国网络安全法制法规建设
1.法律
与网络安全相关的法律主要有:《中华人民共和国宪法》、《中华人民共和国人民警察法》、《中华人民共和国刑法》、《中华人民共和国治安管理处罚法》、《中华人民共和国刑事诉讼法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《中华人民共和国行政处罚法》、《中华人民共和国行政诉讼法》、《中华人民共和国行政复议法》、《中华人民共和国国家赔偿法》、《中华人民共和国立法法》、《全国人大常委会关于维护互联网安全的决定》等。
2.行政法规
与网络安全有关的行政法规主要有:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《计算机软件保护条例》等。
3.部门规章
与网络安全相关的部门规章主要有:公安部颁布的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《关于开展计算机安全员培训工作的通知》等;信息产业部颁布的《互联网电子公告服务管理规定》、《软件产品管理办法》、《计算机信息系统集成资质管理办法》、《国际通信出入口局管理办法》、《国际通信设施建设管理规定》、《中国互联网络域名管理办法》、《电信网间互联管理暂行规定》等。
4.规范性文件
与网络安全相关的规范性文件有:《互联网文化管理暂行规定》、《互联网著作权行政保护办法》、《互联网等信息网络传播视听节目管理办法》、《国务院办公厅转发文化部等部门<关于开展网吧等互联网上网服务营业场所专项整治意见的通知>》、《文化部、中央文明办、信息产业部、公安部、国家工商行政管理总局关于净化网络游戏工作的通知》、《文化部、信息产业部关于网络游戏发展和管理的若干意见》、《商务部关于印发<公共商务信息服务体系建设“十一五”发展规划>的通知》、《信息产业部关于加强互联网域名注册服务管理的通知》。
5.存在的问题
总结我国有关网络安全的法律、法规及相关文件的规定,可以发现以下问题:
① 我国网络安全法律体系中,与安全文化建设相关的立法更多地集中在保护国家主权及政治安全方面。
② 建立网络安全保障体系的法律规定较为零散,仅有与网络分级相关的法规,但对从事网络安全服务业的企业的主体资格认定、从业条件、从业规则均缺乏明确规定,对不同网络用户不履行安全义务所应承担的责任也缺乏具体规定。
③ 有关网络用户在从事电子商务活动时所需的保护交易安全的制度散见于法律、法规及国家各部门的规章中,但未形成体系;并且由于多部门制定,存在冲突,缺乏统一协调性。
④ 我国现有立法缺乏保护公民网络隐私权的内容。
⑤ 有关引导未成年人安全上网的规定多见于文化部和教育部的部门规章及规范性文件,较少法律规定。