網絡安全等級保護制度實施效果分析
時間:2022-08-05 11:30:37
導語:網絡安全等級保護制度實施效果分析一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。
摘要:2017年《中華人民共和國網絡安全法》出臺之后,國家有關法律法規和文件中將“信息安全”調整為“網絡安全”,將“信息安全等級保護制度”調整為“網絡安全等級保護制度”。在國家網絡安全領域,該制度即是一項基本政策和方法,也成為是一項法律制度,具有重要法律意義。本文通過分析該制度的實施成效及不足,提出及時出臺配套規定、加強法律宣傳、加大監督和執法力度,并結合地方實際情況創新法律實施理念,構建信息系統集約化管理機制和專項資金保障,使實施資源得到優化配置,節約實施成本,達到實施效果最大化。
關鍵詞:等級保護;法律制度;實施研究
國家在網絡安全領域一直通過等級保護制度來不斷提升信息系統特別是關鍵信息基礎設施的安全防護能力,該制度作為基本政策和方法在保障國家網絡安全方面發揮著重要作用。2017年出臺的《網絡安全法》在第21條明確規定國家實行網絡安全等級保護制度,這是國家以基本法律形式來確立網絡安全等級保護制度。那么《網絡安全法》實施以來,網絡安全等級保護制度的實施效果如何?所謂法律實施是指將法律規定付諸實踐,把文字的規定變為實際行動,是具體的實施主體實施法的行為。亞里士多德提出的法治論中,法律實施是其中重要的構成要素:“法治的含義包含制定出臺良法,并且嚴格實施該法律”[1]199。要使一部法律的制定具有意義,只有將其實施在具體實際社會生活中,它的作用才會展現出來。指出:“如果有了法律而不實施、束之高閣,或者實施不力、做表面文章,那制定再多法律也無濟于事”。《網絡安全法》規定的網絡安全等級保護制度也是這樣的。本文將以湖北省宜昌市為例,對網絡安全等級保護制度的貫徹落實情況進行實證調查,進一步闡明該制度的法律規定及其意義,分析該制度在實施過程中的成效及問題,在此基礎上提出完善網絡安全等級保護制度的建議。
一、網絡安全等級保護制度的法律規定及其意義
我國第一次提出等級保護制度是在1994年,當年出臺的《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)第9條規定“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。我國提出該制度從時間上要早于美國等國家正式提出關鍵信息基礎設施保護制度(美國關鍵信息基礎設施保護制度(CIIP)形成的標志是1996年7月15日的第13010號行政令和1998年第63號總統令(PDD63)《克林頓政府對關鍵基礎設施保護的政策》)[2]。2007年國務院信息化工作辦公室、公安部、國家密碼管理局、國家保密局等四部門聯合出臺《信息安全等級保護管理辦法》(公通字[2007]43號),要求在全國范圍實施信息安全等級保護制度。一直以來,我國有關等級保護制度的法律法規和文件中通常采用“信息安全”這個關鍵詞。《網絡安全法》出臺之后,國家有關法律法規和文件中將“信息安全”修改為“網絡安全”,將原來使用的“信息安全等級保護制度”調整為“網絡安全等級保護制度”。網絡安全等級保護制度目的是確保網絡安全,保護對象包含各網絡運營者的專有網絡數據及公開網絡數據和存儲、傳輸、處理這些數據的信息系統、云平臺、物聯網、工控系統等,要求是對這些保護對象分等級實行安全保護、對這些保護對象中使用的信息安全產品按等級實行管理、對這些保護對象中發生的網絡安全事件分等級開展響應和處置。根據這些保護對象的重要程度等因素,保護等級由低到高分為第一級、第二級、第三級、第四級、第五級。網絡安全等級保護制度有5個工作環節:定級、備案、等級測評、建設整改和監督檢查,前4項工作由各網絡運營者負責、監督檢查由公安網安部門負責。網絡安全等級保護制度是國家網絡安全方面的基本政策和方略,是現行網絡安全領域的一項重要法律制度,筆者認為其意義體現在:保障國家利益、社會利益、集體利益及公民個人利益,預防網絡安全風險,拓寬實施對象維度,履行法律義務。(一)保障利益。隨著信息化進程的全面加快,全社會對基礎信息網絡和重要信息系統的依賴程度越來越高,一旦信息系統發生安全故障,將嚴重影響其保障服務的順利進行;如果遭遇網絡入侵攻擊,將導致系統數據或信息被竊取、被篡改,或系統不能正常運行。而信息系統的功能往往涉及國家利益、社會利益、集體利益及公民個人利益。從利益這一維度,國家通過實行網絡安全等級保護制度來保障電子政務、水、電、交通、金融等關鍵信息基礎設施的平穩運行,保障公民個人信息、資金等安全保管,保障國家利益、社會利益、集體利益及公民個人利益不受侵犯。(二)預防風險。網絡安全等級保護制度的實施,首先是查找網絡運營者的信息系統與國家法律規定、安全標準之間存在的差距,明確當前網絡安全方面存在的風險和隱患,再有針對性地開展安全整改,消除風險和隱患,提升信息系統的安全防護能力,防止遭受各種網絡攻擊、發生網絡安全事件。從安全風險這一維度,網絡安全等級保護制度旨在消除信息系統安全隱患,提升安全防護能力,預防可能發生的網絡安全風險,避免信息系統帶病上線,將安全隱患消除在萌芽狀態,防止出現無法挽回的嚴重后果。(三)體系發展。隨著社會的發展,網絡應用的外延在不斷擴展,出現了云計算、大數據、物聯網、工業控制系統等新領域,之前的等級保護制度已不能適應,因此《網絡安全法》確定了網絡安全等級保護制度。除傳統的基礎網絡、信息系統外,網絡安全等級保護制度把云平臺、大數據、物聯網、工控系統、互聯網企業等納入實施范疇中。從保護對象這一維度,網絡安全等級保護制度是在不斷發展,其保護體系將隨著互聯網的發展而發展豐富。(四)履行義務。網絡安全等級保護制度是國家網絡安全方面的基本法律要求,在工作實踐中也將該制度是否實行作為衡量網絡運營者網絡安全工作好壞的一個重要標準。如果出現一些網絡安全事件,比如某網站網頁被篡改、用戶敏感信息被泄露等,要查明相關網絡運營者是否實施網絡安全等級保護制度,若未落實,則會以不履行法律義務來評判該網絡運營者的網絡安全工作不到位。所以在網絡安全方面,實施網絡安全等級保護制度是網絡運營者必須履行的首要法律義務。
二、網絡安全等級保護制度的實施效果現狀
雅維茨曾指出:“法的實現是法的存在、作用,是法執行主要社會職能的特殊方式。如果制定的法律規定不能在人們和他們的組織的活動中、在社會關系中得到實現的話,那法就什么也不是。”[3]170張文顯也提出,良法的構成要件之一就是法律實施良好[4]22。古今中外的法學家分別從各個維度說明了法律實施的重要性,法的實施就是法的生命所在,就是達到制定法律目的和實現法律價值的必經之路。特別是中國特色社會主義法律體系建成后,法律實施比法律制定更重要,法律制定的意義、目的只有通過法律實施才能實現。在黨的十八屆四中全會上,對強化我國法律實施又提出明確要求,“法律的生命力和法律的權威都在于法律實施”。對于網絡安全等級保護制度的實施效果問題,筆者以湖北省宜昌市為例,通過實地調研、獲取實證數據、比較法、分析法等工作方法,發現《網絡安全法》實施以來,湖北省宜昌市在網絡安全等級保護制度的實施過程中取得了一定成效,同時也存在一些實施不足的問題。(一)取得的實施成效。一是以網絡安全宣傳周、網絡安全專題培訓、執法檢查等活動為載體,采取講座授課、新聞媒體、LED屏展示、資料發放、溝通交流等多種方式,對網絡安全等級保護制度的法律規定、工作內容、工作方法等進行廣泛宣傳。目前,宜昌市及各縣市區均成立領導機構,在不斷落實網絡安全等級保護制度。二是各部門積極想辦法,爭取市委市政府的重視,采取多種方式推動全市的網絡安全等級保護工作。如市委將網絡安全工作納入全市社會治安綜治治理考核的重要內容,每年由市公安局對各縣市區、各個綜治成員單位的網絡安全等級保護工作進行考核;市公安局聯合市衛計委等部門出臺專門文件,明確要求本行業內的信息系統開展網絡安全等級保護工作;市政府成立“宜昌市信息安全等級保護暨網絡與信息安全信息通報協調小組”,對全市的等級保護工作提供協調保障。三是通過具體實施,目前全市已定級備案的信息系統有348個,其中二級288個、三級60個,開展等級測評和建設整改310次,全市的網絡安全等級保護工作位列全省前列,有力推動宜昌市網絡安全防護能力提升。(二)存在“四個不到位”的實施問題。一是定級備案不到位。部分網絡運營者不知曉網絡安全等級保護制度的法律要求,回避是否需要定級備案、如何開展定級備案等問題。這主要表現在全市的信息系統數量大于備案的348個,說明還有些網絡運營者的信息系統沒有開展定級備案工作;定級備案的流程有自主定級、專家評審、主管部門審批等,部分網絡運營者有主管部門,但其定級備案的時候沒有經過主管部門審批這個環節;提交備案的資料不全,部分網絡運營者缺少網絡拓補圖、管理制度、網絡安全產品銷售許可證等資料;部分網絡運營者的信息系統發生變更后沒有及時重新備案。二是等級測評不到位。從已備案信息系統的數量分析,測評率未達到100%,與法律規定的要求差距很大。究其原因,有的網絡運營者不愿意開展等級測評,有的是因為資金問題。按照法律規定,網絡運營者應聘請具有資質的第三方等級測評機構對信息系統開展等級測評,這里必然涉及資金費用。有的網絡運營者年度可使用的資金有限,其會將資金投入到人員工資、核心業務成本等方面來維持單位運轉,很難投入資金開展等級測評;已備案信息系統中有85%涉及財政資金使用問題,有的網絡運營者認為財政資金使用流程復雜,另外如果沒有進行財政預算的就很難解決等級測評資金來源。還有的網絡運營者是先測評再備案,其未完全遵循等級測評流程,應該是定級備案后再進行等級測評。三是安全整改不到位。安全整改流程未完全得到遵循,網絡運營者應該是先開展等級測評,根據等級測評的結果有針對性制定安全整改方案,再按照方案要求開展安全整改,而有的網絡運營者是先進行安全整改活動,然后開展等級測評;有的網絡運營者未重視安全整改,只是出了問題后才添置網絡安全設備,整改一部分,而不是系統的按照要求進行安全整改;安全整改也涉及資金費用,有的網絡運營者制定整改方案的依據不是測評結果,而是依據可使用的資金數額。四是監督不到位。主要表現在:內部監督缺失,各級黨委(黨組)履行網絡安全的主體責任,其主要負責人是網絡安全的第一責任人,對網絡安全等級保護制度的實施應履行監督責任,但少數網絡運營者的主要負責人對于此項工作的不履行或者不到位情況沒有及時督促整改到位;行業主管部門監督缺失,各個行業主管部門對本行業內、本系統內的網絡安全工作負有主管責任,促使行業內各個單位實施網絡安全等級保護制度,但宜昌市部分行業主管部門沒有履行主管責任,對行業內網絡安全等級保護制度的實施沒有采取有效措施;外部監督缺失,各級公安機關網絡安全保衛部門應通過執法手段來督促轄區內各網絡運營者落實網絡安全等級保護制度,但全市的網絡安全執法工作只停留在檢查上,各級公安機關網絡安全保衛部門沒有對不實施網絡安全等級保護制度的違法行為實施查處,導致制度落實的外部監督力度缺失。
三、網絡安全等級保護制度的實施對策
魏德士認為,法律實施的目標旨在實現實然效力和應然效力、道德效力的統一。他提出法的效力應分為三種:一是實然效力(“現實”效力),如果法律規范得到真正的遵守,那么法就存在;二是應然效力(“法律”效力),法律規范本身應當有效,因為它是由國家制定并實施的;三是道德效力(認可效力或確信效力或接受),它是指人們遵守法律的道德基礎,如果法律規范是出于法律確信而被人們自愿遵守,那么它就具有道德效力。魏德士提出,努力實現這三種法的效力統一才是法律實施的理想目標[5]。實施不足導致的直接后果就是法律被弱化。具體到網絡安全等級保護制度的實施不足,就會使該制度的成文規則遭到實施主體的冷處理或者有意規避,致使制度的法律規則被擱置,失去法律意義。如何確保網絡安全等級保護制度得到有效實施、達到價值目標?筆者認為應從規則完善、主體守法、強化監督、行政處罰入手,并對信息系統實行集約化管理,使實施資源得到優化配置,節約實施成本,達到實施效果最大化。(一)完善網絡安全等級保護制度的配套規定。《網絡安全法》規定的網絡安全等級保護制度沒有配套的相關規則,在實務中,還是執行2007年《信息安全等級保護管理辦法》的規定,難以及時覆蓋一些新出現的社會領域。而且《網絡安全法》關于該制度的規定具有一定的抽象性,未規定新形勢下的定級備案、等級測評、建設整改、監督檢查等具體環節,給實務操作帶來影響。缺少配套規則且抽象的成文規則往往存在實施不足的問題。這就迫切需要國家及時出臺配套網絡安全等級保護條例和關鍵信息基礎設施保護條例等相關規定,對如何開展定級備案、等級測評、建設整改、監督檢查等環節進行具體規定。(二)實施主體自覺遵守網絡安全等級保護制度的規定。隨著“互聯網+”、信息化、大數據的不斷發展,網絡已經成為國家各行各業、社會生產生活環境的重要構成,在帶來許多機遇的同時,也面臨著網絡攻擊、病毒入侵、系統癱瘓、信息泄露等新的挑戰,因此網絡安全等級保護工作任務也將越來越艱巨。在網絡安全等級保護實施過程中,具體負責網絡安全的信息科長很想推動該制度的實施,但在向單位領導匯報時就被擱置,因為領導沒有意識到這項工作的重要性,沒能引起領導的重視;也有些網絡運營者的領導對該制度的落實也只停留在口頭上。這說明有些網絡安全等級保護制度的實施主體不愿意遵守國家法律法規的規定。法律實施在形式角度上,是需要實施主體的遵守或落實法律規范;在實質角度上,首先是實施主體內心接受、愿意遵守法律規范,再轉化成其具體落實行為。主體是法律實施的核心。實施的核心問題是解決人們依法而為的動力機制問題[6]。筆者認為,應該加強網絡安全等級保護制度的宣貫,特別是向各網絡運營者的領導宣貫此項工作的重要性,讓領導重視網絡安全等級保護制度,并明白網絡安全的主體責任。使實施主體意志與法律意志保持一致,這樣才能確保各級領導和具體負責人從內心接受、愿意遵守,到行為上自覺落實網絡安全等級保護制度。(三)加強對網絡安全等級保護制度實施的監督。法律是公民集體意志的體現,具有某種程度的共識基礎。因此,法律應全方位、持續性地得到實施。法律實施肯定要反對選擇性執行,這就需要全面持續穩定開展監督活動。對網絡安全等級保護制度的實施應實行多元化監督機制:一是內部監督,各網絡運營者的主要領導要肩負起網絡安全的主體責任,把網絡安全等級保護制度的落實情況抓在手上,隨時進行督辦,確保制度的實施;二是行業主管監督,各行業主管部門要肩負網絡安全的主管責任,督促本行業、本領域的網絡運營者遵守法律規定,落實網絡安全等級保護制度;三是機構監督,各級網絡安全與信息化工作領導機構要充分發揮領導協調作用,督促本轄區的網絡運營者落實網絡安全等級保護制度。監督手段也要多元化的:一是威懾效應,對不實行網絡安全等級保護制度的網絡運營者在一定范圍內進行通報,公示于眾,以此來增強其守法,并對其他網絡運營者起到威懾作用;二是輻射效應,在一定范圍內集中精力推行網絡安全等級保護制度,確實解決信息系統安全問題,通過這種正面影響來輻射到周邊區域或同行,帶動其他網絡運營者實施網絡安全等級保護制度;三是上級通知與法律兼容,在我國現有體制下,上級主管部門的通知能夠對法律實施起到很大的促進作用,有的網絡運營者經常會問“上級有沒有通知要求”,因此主管部門根據法律要求下發通知,要求本區域、本行業的網絡運營者實施網絡安全等級保護制度,與法律規定同時發力。(四)對不履行網絡安全等級保護制度的違法。行為實施行政處罰意大利法學家韋基奧曾提出,“哪里沒有強制,哪里就沒有法律”,從邏輯上來說法律和強制力是兩個具有必然聯系的概念[7]18。法律能夠得到正常運行不是簡單地靠人們的自律與大眾的說教,在要求人們自覺遵守法律規范的同時,還必須以強制力作為法律實施的重要保障。在網絡安全等級保護制度的法律實施過程中,必須要有國家強制力來保障,各級公安機關網絡安全保衛部門應當加大執法檢查力度,對不履行網絡安全等級保護制度的違法行為依法進行行政處罰,通過行政強制手段來促使網絡安全等級保護制度的實施。(五)對信息系統實行集約化管理。實施主體要達到合乎法律的行為標準往往也要承擔一定的成本,而法律實施應遵從效益實施原則,即在實施過程中必須選擇乃至創造成本更小、收益更大的實施途徑、做法和方式,合理配置各項實施資源以最大程度提高收益,使法律實施凈收益趨于最大化[6]。該原則目的在于降低實施主體的成本、提升實施主體的收益,要求努力建立和維系激勵相容的法律實施機制,從而形成科學有效的實施動力。網絡安全等級保護工作涉及網絡安全、應用安全、數據安全、系統建設、系統運維等多方面,如果其中的某方面或幾方面達不到標準要求,就是信息系統的安全隱患。而宜昌市有的網絡運營者信息科長對本單位信息系統的安全狀況很是擔憂,要么系統建設不合格、要么運維跟不上去、要么安全管理力量配備不夠等問題,但又要對存在安全隱患的信息系統進行堅守,所以感覺到安全壓力大、責任大。全市很多網絡運營者都建有自己的機房,但符合等級保護要求的不多,這樣分散管理明顯存在弊端。因此,建議構建集約化管理機制,即對全市的信息系統分塊實行集約化管理,由各地政府設立網絡安全管理中心,并成立專門的運維管理團隊,負責對機房內的信息系統進行維護管理。除具有安全保護能力外各網絡運營者將信息系統托管到該處進行集中安全管理。托管行為不改變各網絡運營者的主體責任,只是在安全管理上實行集約化管理,由專門團隊對信息系統的安全管理活動進行統一規劃、統一設計、統一管理、統一實施,避免分散管理,節約管理成本,提高網絡安全管理能力。同時構建專項資金保障機制,解決信息系統等級測評和建設整改中的資金費用問題。為了使網絡安全等級保護制度得到很好的實施,各地政府對等級測評和建設整改工作進行統籌安排,每年設立專項網絡安全資金,明確一個部門負責專項資金的管理,對由財政經費保障的信息系統按等級來統一確定等級測評資金標準,統一聘請有資質的等級測評機構、統一建設整改工作的實施把關、統一進行資金結算。這樣就解決了由財政經費保障信息系統的等級測評和建設整改工作的資金來源、價格不統一等問題。
本文以網絡安全等級保護制度的法律實施為主題進行研究,闡明該制度的法律要求及意義,并以湖北省宜昌市為視野指出了該制度的法律實施效果,指出法律實施不足是網絡安全工作的最大隱患。為了確實將網絡安全等級保護制度貫徹實施到位,不僅要及時出臺配套規定、加強法律宣傳、加大監督和執法力度,還要結合地方實際情況創新法律實施理念,構建信息系統集約化管理機制和專項資金保障,節約實施成本,實行法律效果和社會效果的統一。
作者:李新發 楊立凡 單位:1.三峽大學 2.市人民檢察院
- 上一篇:計算機網絡安全防護技術芻議
- 下一篇:移動網絡綜合資源管理系統分析