特大型城市网络信息安全监管研究
——以上海市为例
2017-01-18韩欣毅
韩欣毅
(上海市公安局网安总队,上海 200000)
特大型城市网络信息安全监管研究
——以上海市为例
韩欣毅
(上海市公安局网安总队,上海 200000)
随着互联网和信息技术的迅速发展,各种违法犯罪现象借网络技术层出不穷,违法信息、钓鱼网站等各种网站信息安全问题严重影响了我国互联网的健康发展,信息网络的安全可靠成为经济发展、社会稳定和保障人民生活安宁的重要因素。由于我国互联网发展起步较晚,监管体系还不够全面和完善,尽管国新办、工信部、公安部等国家政府部门从人力、物力、技术和法律法规的支持上都加大了投入,但和西方国家的发展步伐相比,我国的网络信息安全监管工作仍存在“心有余而力不足”之感。为更快地适应目前网上斗争的需要,进一步提升上海市互联网信息安全防范能力,提高网络信息安全水平,加强对网络信息安全的监管是目前迫不及待的任务。文章从上海市的网络信息安全监管工作入手,阐述网络信息安全监管工作的定义、特征和意义,并结合实际工作寻找网络信息安全监管工作中存在的问题,选取合适的网站信息安全评估因素建立评估模型,对上海市一定数量的网站进行安全评估分析,并以分析结果验证工作对策的有效性。
特大型城市;网络信息安全;监管;研究;上海市
1 网络信息安全监管概况
1.1 网站信息安全监管的内容和主要方法
1.1.1 网站信息安全监管工作的内容
(1)督促、指导网站建立安全组织机构,落实安全管理人员
督促、指导网站建立本单位计算机安全组织,负责指挥、组织、协调本单位的计算机信息系统安全保护工作,并向公安机关网安部门备案。计算机安全组织应设立二名以上专职安全员,安全员和计算机安全相关重要岗位的人员应参加公安机关组织的安全培训,持证上岗。
(2)督促、指导网站到公安机关网安部门进行备案
督促、指导网站自网络开通之日起三十日内到所在地公安机关网安部门依法办理备案手续,并按照公安机关的规定按时提交出租网站服务用户的变更情况,协助公安机关开展出租网站服务用户备案工作。
(3)督促、指导网站建立健全安全保护管理制度
(4)督促、指导网站落实安全保护技术措施
1.1.2 网站信息安全监管工作的主要方法
(1)全面掌握网站的基本情况。搜集掌握的方法有:一是本行政区划互联网运营单位(ISP、IDC)报送;二是备案;三是日常管理和监控工作中发现;四是上级有关部门和各地网安部门通报;五是技术措施检测。对掌握网站的备案率应该达到90%以上。
(2)加强安全检查和指导。要求各网站落实安全保护管理制度和安全保护技术措施,重点检查安全审计技术措施和关键字过滤措施的落实情况,以及用户登录、退出、文件传输等日志记录留存情况(60天以上)。落实安全保护技术措施的网站必须达到95%以上。
(3)重点监管具有交互式栏目的网站。对开设交互式栏目的网站进行重点监管,督促、检查、指导其落实信息安全保护管理制度,特别是落实信息发布、审查、巡查机制,同时建立重点单位数据库,加强管理。
(4)建立日常应急联络机制。要求各网站确定工作联系人和联系电话,落实7×24小时值班制度,在公安机关提出处置有害信息的要求后,必须能及时备份、删除。
2 网站信息安全的问题
2.1 公安机关监管中的问题
2.1.1 互联网信息服务准入门槛过低
按照我国法律法规规定,我国对开办网站实行经营许可和非经营备案制度,但办许可的网站很少,数量不到我国网站总数的千分之二,大量非经营性网站只登记开办者身份信息,缺乏必要的安全准入条件,大量中小型网站注册信息不准确、基本的安全管理制度措施不落实,有的网站为了提高点击量,放任、纵容淫秽色情、赌博诈骗等违法信息的大肆传播、扩散,有的甚至与不法分子相互勾结,为不法分子实施犯罪活动提供方便。近年来,公安机关依法查处了近万家违法网站,其中80%以上违法网站的注册信息是虚假的,公安机关难以找到网站开办人,无法追究网站开办人的法律责任,没有起到对不法分子的惩戒、警示作用,导致违法网站屡关屡开、违法信息屡删不尽,严重败坏社会风气,危害公共安全,侵害人民群众的合法权益。
2.1.2 互联网服务单位信息安全管理责任义务不明确
目前我国相关法律法规主要从行业管理的角度规定了开办互联网信息服务的条件和行政审批规定,但对互联网信息服务、接入服务单位应具备的安全责任义务,如公共信息巡查发现、违法信息屏蔽过滤和接入网站合法资质查验等,没有规定或规定过于原则、操作性不强,网上违法有害信息的发现责任实际上是由政府、社会和网民承担,互联网服务单位能够主动发现、及时报告的很少。一些互联网服务提供者还出于经济利益考虑,放任纵容违法信息的传播扩散,这种企业赢利、政府和社会买单的情况导致网上违法信息层出不穷、屡禁不止。
2.1.3 互联网服务单位上网日志信息留存问题
现有的法律法规中规定日志信息保存时间仅为60天,远不能满足执法机关落地调查和打击违法犯罪的需要,有的服务商甚至不留存日志信息。对网民注册登记和上网日志信息,现有的查询规定手续繁琐,时效性差,经常贻误办案时机。保存日志信息的主要目的是为执法部门打击网络违法行为服务,但现行的互联网信息服务管理办法规定,日志信息监管由电信管理机构负责,检查和处罚部门为电信管理机构,大量未留存日志的违法行为没有得到处理。一些互联网服务单位还常常以未经电信管理机构同意为由拒绝向执法机关提供数据,使网络犯罪线索查证工作陷入中断。
2.1.4 互联网管理部门责权不一致
公安机关承担着在互联网上维护国家安全、社会稳定、防范和打击犯罪的重要任务。但目前的法律法规中,给公安机关的授权不足,与公安机关所承担的职责不相适应。为有效预防、遏制和打击网络违法犯罪,应该将公安机关的互联网安全监管职责贯穿于互联网服务单位事前审核、事中监管和事后查处等多个环节。事实上,《中华人民共和国人民警察法》、《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)、《计算机信息网络国际联网安全保护管理办法》(公安部第33号令)等法律法规都赋予了公安机关的互联网安全监管职权。
2.2 监管与发展的问题
有人说加强网络信息安全监管其实是在让网民“禁言”,此言差矣。笔者认为,从公安机关的角度来看,在打击网络中别有用心者不良企图的同时,也应当保护单纯善良人群的同情心理。无数事实已表明,畅所欲言的言论自由往往最终只得到被利用、被蒙蔽甚至被欺骗的苦涩果实,与初衷早已背道相驰。正所谓不受制约的自由权利到头来肯定会违背公众利益,一味地放水养鱼最终结果无异于竭泽而渔。现实社会如此,网络社会亦如此,没有自律就没有自由,没有适度的监管也就没有长远的发展。
3 网络信息安全监管对策
3.1 进一步加强网络信息安全防范
3.1.1 加强网站软硬件系统及管理制度的安全防范
在物理层安全方面,要加强对通信线路,物理设备,机房的安全管理;在系统层安全方面,要加强对操作系统的安全管理和防范,尽可能地排除操作系统本身的缺陷带来的不安全因素,包括身份认证、访问控制、系统漏洞、安全配置、病毒威胁等;在网络层安全方面,要加强网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。
在企业内部管理制度方面,要制定严格的管理规范,包括成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制;组长落实小组人员岗位工作职责;配备2到4名计算机安全员,须持证上岗;制定网络安全事故处置措施;制定计算机机房安全保护管理制度;用户登记制度和操作权限管理制度;网络安全漏洞检测和系统升级管理制度;交互式栏目24小时巡查制度;电子公告系统用户登记制度;信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度;违法案件报告和协助查处制度;备案制度等。
在网站安全技术保护技术措施方面,要具有保存3个月以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等;要具备安全审计及预警措施,网络攻击防范、追踪措施,计算机病毒防治措施,身份登记和识别确认措施;交互式栏目具有关键字过滤技术措施;开设短信息服务的具有短信群发限制、过滤和删除等技术措施;开设邮件服务的,具有垃圾邮件清理功能等。
3.1.2 加强互联网行业从业人员教育培训
根据公安部、人事部于1999年联合下发的《关于开展计算机安全员培训工作的通知》相关要求,凡从事计算机信息网络国际联网的互联单位和接入单位的有关人员均需参加由公安、人事部门联合组织的统一教育培训与考核,考核通过后,由公安、人事部门认定其计算机安全员培训合格,并在合格证明材料上加盖省、自治区、直辖市计算机安全员培训考试专用章,方可继续从事互联网行业相关信息安全工作。
上海公安机关于2003年积极会同市人力资源与社会保障局,成立了上海市信息网络安全专业技术人员继续教育工作办公室,具体负责本市信息网络安全管理、信息网络安全技术、互联网信息内容安全管理以及互联网上网服务营业场所安全管理方面的相关信息网络安全员的教育培训工作。截至2012年底,共培训本市信息网络安全员6561人次,为提高本市网站信息安全防范水平打下了良好基础。
近年来,上海公安机关还结合本市互联网发展实际情况,加大了对提供公共上网服务场所的工作人员的教育培训力度,切实提高了本市互联网行业从业人员的岗位业务水平和职业道德素质。同时还制定并下发了《上海市信息网络安全员管理办法》,进一步规范了本市信息网络安全员的教育培训、在岗履职、失职惩处及表彰奖励等工作,推动本市信息网络安全专业技术人员继续教育工作的持续深入。
3.2 进一步加强政府职能部门监管
3.2.1 加强公安机关网安部门的依法监管
(1)加强互联网基础数据采集和基础数据库的建设。
2009年4月,公安部在全国范围内开展了互联网基础数据采集和基础数据库的建设工作。截至目前,基础数据库中共有IP地址分配及互联网服务单位备案信息200多万条。其中,IP地址段分配信息173943条,固定IP地址分配使用信息500800条;互联网接入服务、互联网数据中心、虚拟空间租赁服务单位备案信息8966条,网站备案信息1593818条,互联网上网服务场所备案信息134168条,重点联网使用单位备案信息54497条。同时,采集重点ICP用户注册信息2.9亿条,宽带上网账号信息4.1亿条,网安部门对网民的现实化管理能力进一步增强。
同时,根据公安机关长期侦查办案经验,目前国家工信部推行的网站ICP备案制度中,往往网站开办者信息存在错误或虚假的情况,导致许多涉网违法犯罪案件查证线索的中断。通过推行公安机关网安部门互联网基础数据采集和基础数据库系统的建设,可同步落实公安对网站的实名备案要求,有效提高网站开办者身份信息真实性和准确度,为提高网站信息安全提供政策支撑。
(2)加大对互联网违法犯罪行为的查处力度。
2012年,结合公安部深化打击整治网络违法犯罪专项行动,上海公安网安部门对283家出现过违法信息的网站处以警告并责令限期改正的行政处罚、4家处以罚款的行政处罚、19家处以停机整顿的行政处罚,关闭214家违法网站,并通报市通信管理局纳入黑名单管理。组织全市网站自行清理违法信息10万余条,自行关闭违法栏目2375个,自行关闭网站1191家,发现并上报违法线索35492条,极大地净化了本市互联网环境。随着互联网飞速发展的形势,公安机关应继续不断加强对互联网接入服务商、互联网信息服务商等互联网企业的监管力度,依法开展行政处罚和违法犯罪案件打击工作,加强网络社会管理工作,推进网络依法规范有序运行。
3.2.2 完善其他政府部门的监管
国家各级网络信息安全监管部门应加强信息互通与协作,根据各自网络信息安全监管职责分工,加强对网站信息安全的监督与管理。国家互联网信息内容主管部门应结合时事热点,加强对互联网内容意识形态的监管;国务院电信主管部门应加强互联网行业发展、行业准入、行业规范的监管;国务院公安部门应加强对互联网违法犯罪案事件的查处与打击。同时相关部门应建立良好的沟通协作机制,在网站信息安全领域建立统一信息共享平台,对不同部门对网站的监管结果向其他监管职能部门开放,以达到数据共享的目的,在节约监管成本的同时,提高监管效率。
3.3 加强社会化合作
3.3.1 建设网络社会征信网
互联网在经济社会发展中发挥积极作用的同时,由于其匿名隐身、即时通信、无界传播、无限扩张等特点,成为不法分子传播淫秽色情信息、散布网络谣言、恶意侮辱诽谤他人的温床。如何增强网民的自律意识,从根本上规范网民的网上行为,已成为政府部门开展虚拟社会管理工作的重要内容之一。2009年,上海公安机关网安部门创造性地在互联网上建立网络社会征信体系,促进网络社会诚信建设。2010年,由公安机关主导、行业协会出面,本市公安机关在国内首创了“网络社会征信网”(网址:www.zx110.org,以下简称“征信网”)。征信网探索将现实社会的信用管理模式引入虚拟社会,通过“以网制网”的方式,建立一套与现实征信体系融会贯通的网络征信体系,从根本上规范网上行为。经过两年多的努力,征信网在“建设制约型、引导型、服务型网络诚信门户网站”方面取得了明显成效,获得了媒体和社会各界的普遍好评。
3.3.2 上海市信息网络安全管理协会
上海市信息网络安全管理协会于2010年5月,经市公安局和市民政局批准成立,主管部门是上海市公安局,是一个由从事网络信息服务、数据服务和安全服务的管理机关、科研单位、研发厂商、服务厂商以及计算机网络用户、信息网络安全爱好者等组成的非营利性社会团体。协会成立的目的是为了团结和组织社会各界关心支持信息网络安全建设的力量,全面推动我市计算机信息网络安全技术的普及、应用和发展,提升广大计算机用户单位和个人的安全意识及安全技能,增强计算机信息网络用户的安全防范能力,维护上海网络信息产业的绿色生态环境建设,逐步建立完善全市计算机信息网络安全保障机制,确保社会经济、文化各方面的稳定和谐发展。
协会目前担负着构建上海市信息安全联动机制、信息安全领域的产品测评、安全信息发布、安全体系评估、等级保护制度具体实施和相关安全人员培训、协助政府进行行业管理等工作,是一个在政府部门、企业单位、个人用户等社会各界之间起着桥梁和纽带作用的权威组织。目前协会成员近150家,不仅涵盖了政府部门、科研机构、宣传媒体等智库机构,同时不少国内的ICP、ISP、IDC厂商、信息安全厂商及通信运营商也加入其中。协会既是一个专家学者讲座交流的论坛,又是一个厂商与客户沟通互动的平台,也是一个提供公信力保障的评价机构,更是本市在信息安全管理领域层级最高、组织结构最为紧密、行业涵盖最广及公信力最强的社会组织。
通过发挥协会的桥梁作用,一方面使得公安机关网安部门的监管要求能够更好地得到实施与落实,另一方面也使互联网企业的需求能够更好地向政府监管部门反映,同时也能够通过行业规范和行业自律,进一步提高本市网站信息安全工作水平。
3.4 健全法律法规、加强行业自律
3.4.1 健全互联网行业法律法规建设
2012年12月28日, 第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,该决定旨在为互联网时代的个人信息保护装上“法律的盾牌”,以法律形式保护公民个人及法人信息安全,确立网络身份管理制度,明确网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段,重点解决了我国网络信息安全立法滞后的问题。
网络社会没有法治,现实社会就没法儿治。我们都知道法律不是万能的,我们也知道不能奢望法律能够解决网络社会中的任何问题,但我们还必须要清醒地看到没有法律是万万不行的,没有法律,基本的网络社会公共秩序就根本无从谈起。所以网络信息安全的监管前提必定是“有法可依”,然后才是“有法必依”,“执法必严”和“违法必究”。
3.4.2 完善互联网行业自律规范
加强网络信息安全监管,不能只靠政府职能部门,互联网行业还应依靠行业力量,开展自律,制定行业内部的规范和标准。2013年1月,笔者在工作中共同参与,指导上海市信息网络安全管理协会会同市信息服务业行业协会、市互联网协会、市信息安全行业协会以及市网络文化协会,共同起草了本市互联网行业企业加强信息安全自律的《倡议书》。
3.5 对网站信息安全开展评估
3.5.1 对网站开办者身份可信度开展评估
(1)开办者身份可信度评估简介。
2012年,上海公安网安部门针对目前钓鱼网站泛滥,网站开办者信息不真实等问题,依托网络社会征信网平台,会同上海凭安网络科技有限公司探索研究并开展了网站开办者身份可信度评估服务。网站身份可信度认证是面向广大网民提供的一款评估网站身份是否可信的检测服务。当网民访问陌生网站或有疑问的网站时,可使用网站身份可信度认证提供的服务进行检测,能有效防止钓鱼、网络犯罪、恶意欺诈等不良网站对网民的危害。网站身份可信度认证服务通过建立网站身份信誉评估模型,在网站主体身份、资质、监管处罚、网民举报、用户评价等信息基础上对网站进行认证。
该评估产品可通过征信网内进行访问,网址为pinggu.zx110.org。网民只要通过输入想要访问的网站网址,即可直观地看到该网站的相关详细信息,包括网站的ICP备案信息、网站服务器信息、工商信息、公安机关的备案信息、开办者身份的验证信息、网民举报信息等。同时征信网还会返回一个网站的访问意见给网民,为网民辨别假冒虚假的钓鱼网站、保护自身信息安全起到了良好的作用。图1和2分别为征信网和一个仿冒工商银行的网站(1cbc.com)的评估结果截图。
(2)评估体系介绍。
“网站开办者身份可信度评估”是基于网站的客观信息和人工审核综合评估的。其中客观数据项的权重占80%,主要是基于以下网站信息:
表1 评估项目名称
通常评估结果较低的网站是基于以下原因:
1.网站未备案;
2.服务器位于境外;
3.网民举报经征信网确认为不良网站;
图1 网络社会征信网的评估结果
图2 域名为“1cbc.com”的仿冒工商银行的网站的评估结果
4.网站备案身份为个人。
根据以上评估指标,评级结果从0到5星不等,同时给出相应的访问建议,具体如下:
表2 评估结果及访问建议
(3)样本评估。
选取上海本市网站、近期Alexa流量排名前500名的网站(对其进行网站开办者身份可信度评估测试,这500个网站的所属分类基本涵盖了目前互联网的各大主要应用,具体情况如下:
经评估,评估结果在3星及以上(认为可放心访问)的总计为405家,占81%,整体符合预期;评估结果为三星以下的95家网站中,有53家(占56%)网站是因为其备案所有者为个人而扣分,另外有一部分网站属于跨国企业的中国站点其服务器位于境外而被扣分,其中评估结果小于2星的4家网站皆为服务器位于境外的个人备案网站。评估结果分布图如下:
表3 评估网站类别
(4)评估结论。
本次测试样本为上海流量前500名网站,整体内容及运营质量较高,从评估统计结果看评估准确性整体良好,整体平均评估分数为3.61分,基本符合预期结果。其中被评估的4家政府类网站全部达到5分标准,属于身份可信任网站,符合政府部门开办网站主体可信的事实;在所有评估的网站类型中,导航类网站平均评估分数最低,仅为3.15分,反映出目前类似信息发布类平台及信息导航类平台网站开办的不规范,相关开办主体信息不准确或未及时变更,导致一旦发生信息安全事故时难以在第一时间联系到网站开办人,给事件的处置带来安全隐患。
图3 对上海市500家网站开办者身份可信度评估的结果分布图
从评估的结果来看,各类型网站开办主体身份可信度评估得分情况,与公安机关网安部门在网络信息案事件查处过程中所掌握的情况基本一致,说明该评估模型的建立得到了工作实践的印证,评估结果可以提供给广大网民进行网页访问前的安全参考。
[1] 陈琛. 关于网络安全问题的研究[J]. 科技情报开发与经济. 2006(05).
[2] 车跃丽. 论网络时代的公共关系[J]. 江淮论坛,2002,(2):33-39.
[3] 林涛主编.网络安全与管理[M]. 电子工业出版社, 2005.28-30.
[4] 公安部.关于执行《计算机信息网络国际联网安全保护管理办法》中有关问题的通知[S].2000.
[5] 张智.网络公共领域的伦理问题研究[D].兰州大学.2011年.
[6] 郑少春.网络传播与网络管理探析[J].中共福建省委党校学报;2009年11期.
[7] 公安部 人事部.关于开展计算机安全员培训工作的通知[S].1999.
[8] 百度百科.网络安全防范体系[EB/OL].http://baike.baidu. com/view/3682590.htm,2013 Baidu.
[9] 上海市通信管理局.上海市网站管理情况报告[R].2012.
[10] 国务院法制办公室.网络信息安全的“法律之盾”[EB/OL].http://www.chinalaw.gov.cn/article/xwzx/fzxw/201301/20130100 383600.shtml,2013-01-31.
[11] 宁家俊.信息内容安全[M].贵州出版社2004.12-15.
[12] 刁生富.试论网络空间的社会问题与社会控制[J].佛山科学技术学院学报(社会科学版).2001年03期.
[13] 朱建军.三网融合视野下的网络安全与信息监控初探[J].公安研究.2011年01期.
[14] 王洪波.各国互联网不适宜内容政府管制比较研究[D].中国社会科学院研究生院.2005年.
[15] 杨月江.刘士杰.耿子林.网络安全管理的分析与研究[J].商场现代化.2008年02期.
[16] 郝文江.构建互联网上的数字长城——我国互联网安全形势及对策[J].警察技术.2007年03期.
[17] 中国经济网.强化网络监管已成趋势[EB/OL].http://intl. ce.cn/specials/zxgjzh/201206/07/t20120607_23387211.shtml,2012-06-07.
Research on network information security regulation of megacities——a case study of Shanghai
Han Xinyi
With the rapid development of the Internet and information technology, different kinds of criminal phenomenon emerged endlessly by network technique. Network information security problems such as illegal information and phishing sites, had a serious impact on the sound development of our Internet.Although the government departments such as the State Council Information Offce, the Ministry of Industry and the Ministry of Public Security had increased the investment on manpower, material resources, technical and legal regulations, China’s network information safety supervision was still in a weak position while comparing with the development of western countries. This paper from the network information safety supervision work of Shanghai, elaborates the network information safety supervision work of the definition, characteristics and significance, and combined with actual work to fnd the problems existing in the network information safety supervision work, select the appropriate web site information security evaluation factors to establish evaluation model, safety assessment analysis of a certain number of sites in Shanghai, to analyze the results verify the validity of the work countermeasures.
megalopolises; network information security; regulation; research; Shanghai
TP309
1005-9679(2016)04-0096-07
韩欣毅,助理工程师,硕士,主要研究方向为互联网信息网络安全。
