網絡信息安全應急機制論文

導語：網絡信息安全應急機制論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

網絡技術的高速發展，使物理世界中涉及政治、軍事、經濟、文化、外交、安全關系和利益的全球化、多級化世界格局，全面映射到開放的網絡空間，由此形成的非傳統安全進一步加劇了網絡化社會的風險。然而，如何正確處理在網絡空間緊急狀態下安全與發展、政府與社會之間的關系，確定我國網絡信息安全應急機制的價值目標，建立網絡信息安全應急機制的法律保障體系，這些都是值得我們關注的問題。

1網絡信息安全應急機制的理論基礎

1.1憲政基礎憲政是以良憲為基礎，民主為基石，法治為載體，人權實現為宗旨的一種政治理念、政治形態和政治過程，憲法至上是憲政最重要的標志，也是法治文明的核心和首要要求[1]。政府要在緊急狀態應急中發揮積極作用，必須具有憲政上的法律基礎。我國《憲法》第67條第20項規定了全國人大常委會行使決定全國或個別省、自治區、直轄市進入緊急狀態的權力；第80條規定了國家主席根據全國人大及其全國人大常委會的決定，有宣布進入緊急狀態的權力。這充分說明了緊急狀態下政府權力來源必須有法律依據。

在網絡信息安全應急方面，政府是應急的組織者和指揮者。對于涉及國家安全或經濟發展的網絡信息安全緊急事件，必須由政府統一協調指揮，控制事態的進一步惡化，盡快恢復網絡的正常運行和正常的社會生活秩序。首先，政府有控制一般網絡信息安全事件演變為緊急或者危機事件的職責。在早期的計算機發展過程中，“應急”是單位保障計算機連續運營的重要舉措。即使到現在，應急保障也是應用單位的工作重點。但是，在網絡成為國家信息基礎設施之后，網絡信息安全應急已經成為國家整體安全戰略的重要組成部分。互聯互通中網絡的一般性局部事件都可以快速演變為全局性的重大事件，使國家和社會處于危機狀態，政府對此負有快速應對的職責。其次，政府有能力控制緊急事件和盡快恢復正常的社會生活秩序。網絡緊急狀態的惡性發展，威脅著社會公共利益和國家安全。而采取的特殊對抗措施，必然要求儲備關鍵技術設備和人、財、物的事前準備。只有政府才能有這樣的實力，同時，政府掌握著大量的網絡安全信息，可在關鍵時刻啟動“可生存網絡”，保障國家基礎設施的連續運營。

1.2社會連帶責任思想社會連帶責任思想定位于社會存在為統一整體，認為人們在社會中存在相互作用、相互依存的社會連帶關系，表明了人們在社會中共同生活、共同生產的一種模式，這種模式更多的關注了人在社會中的合作與責任[2]。主張社會各方參與網絡信息安全應急活動，正是強調了應急保障中的這種合作、責任思想。

首先，網絡空間強化了社會成員之間的聯系、合作和責任。這是一種新型的網絡信息安全“文化觀”。這種“文化觀”認為，在各國政府和企業越來越來依賴于超越國界的計算機網絡時代，有必要在全球倡導和建立起一種“信息安全文化”，參與者應當履行網絡安全責任，提升網絡安全意識，及時對危害網絡信息安全的緊急事件作出反應，不定期地評估網絡和信息系統的安全風險。

其次，網絡安全威脅要求政府與社會成員之間合作。面對當前復雜多變的網絡信息安全形勢，政府應對緊急狀態需要有社會各方的積極參與。提倡社會力量參與網絡應急保障工作，是政府網絡信息安全應急管理的新思路。以指揮命令為特征的狹隘行政觀念，將被執政為民的現代行政理念所代替。按照社會連帶責任思想中的“合作”精神，沒有社會力量的參與配合，政府將難以在應急響應、檢測預警中起主導作用，無法履行其對網絡社會危機管理的職責。

美國《網絡空間安全國家戰略》指出，保護廣泛分布的網絡空間資源需要許多美國人的共同努力，僅僅依靠聯邦政府無法充分保護美國的網絡安全，應鼓勵所有的美國人保護好自己的網絡空間。聯邦政府歡迎公共和私人機構在提高網絡安全意識、人員培訓、激勵勞動力，改善技術、確定脆弱性并提高恢復能力、交換信息、計劃恢復運行等方面開展合作。

1.3權利平衡理念從公法和私法的關系看，公法之設乃是為了實現私法的目的。網絡信息安全應急立法必須考慮到政府緊急權力對公民、單位私權益保護的積極方面，又要防止應急部門在行使行政緊急權力時侵犯公民的私權利。解決沖突，尋求平衡，始終是對“法治文明”的積極追求。盡快恢復網絡秩序，穩定社會則是應對緊急狀態的最高目的。

為了保障公民的權利不因緊急狀態的發生而被政府隨意剝奪，許多國家憲法和國際人權文件都規定，即使是在緊急狀態時期，一些最基本的人權，如生命權、語言權、宗教信仰權等也不得被限制，更不得被剝奪，這些規定都是防止政府隨意濫用行政緊急權，而使公民失去不應當失去的權利[3]。如1976年1月3日生效的《公民及政治權利國際公約》、1953年9月3日生效的《歐洲人權公約》以及1969年11月22日在哥斯達黎加圣約翰城制定的《美洲人權公約》都規定在緊急狀態下不得剝奪公民的某些基本權利。這些基本權利包括：生命權、人道待遇權、不受奴役的自由、不受有追溯力的法律的約束等。《美國人權公約》還規定不得中止保障公民家庭的權利、姓名的權利、國籍的權利和參加政府的權利。1976年國際法協會組織小組委員會專門研究在緊急狀態下如何處理維護國家生存和保護公民權利的關系，經過6年的研究，起草了《國際法協會緊急狀態下人權準則巴黎最低標準》，為各國制定和調整緊急狀態的法律提出了指導性的原則，通過規定實施緊急狀態和行使緊急權力的基本條件和應遵循的基本原則以及各種監督措施，以防止政府濫用緊急權力，最低限度地保障公民的權利。

2網絡信息安全應急機制的價值目標

所謂價值目標是指為了實現某種目的或達到某種社會效果而進行的價值取舍和價值選擇。它既反映了法律的根本目的，也是解釋、執行和研究法律的出發點和根本歸宿。在每一個歷史時期，“人們都使各種價值準則適應當時的法學任務，并使它符合一定時間和地點的社會理想”。[4]網絡信息安全應急機制的價值目標包括兩個方面：一是實現網絡安全、提高網絡緊急事件處理效率、促進國民經濟發展；二是確立以實現網絡安全為最高價值目標的價值層次配置。

2.1安全價值安全價值是網絡信息安全應急機制的最高價值目標，也是信息安全保障的主要內容。隨著網絡信息技術的不斷發展，關鍵基礎設施越來越依賴于復雜的網絡空間，網絡空間是這些基礎設施的神經系統，是一個國家的控制系統。一旦網絡空間突發緊急事件，將威脅國家的整體安全，其后果不堪設想。信息技術革命帶來的經濟發展潛力也部分地被網絡安全風險所淹沒，網絡空間的脆弱性使得商事交易面臨著嚴重的危險。有資料顯示，金融業在災難停機2天內所受損失為日營業額的50%，如果兩個星期內無法恢復信息系統，75%的公司業務會被中止，43%的公司將再也無法開業[5]。

安全價值反映了人們應對網絡安全緊急狀態的積極態度，是人們在長期社會實踐中的經驗總結。首先，在認識到網絡脆弱性之后，人們不是拒絕、放棄網絡技術給人類所帶來的文明，而是積極地通過適當途徑對網絡技術中的風險加以認識和積極防御，并以此實現社會的“跨越式”發展。其次，在國民經濟和人類社會對網絡空間高度依賴之后，應對網絡緊急狀態就成為人類生存的基本需求。第三，網絡的國際化進一步加劇了網絡緊急狀態的突發性、復雜性和隱蔽性。網絡恐怖活動、敵對勢力集團的信息戰威脅等等，使人類社會面臨前所未有過的安全威脅，應急因而成為信息安全保障體系的重要組成部分。

2.2經濟價值網絡信息安全應急機制的本質在于對網絡緊急事件的快速響應，有效處理網絡緊急事件，將事件造成的危害降到最低，同時保護人民的合法權益。必須指出的是，這里的效率價值主要是處理緊急事件的時間效率而非金錢效率，因為在網絡空間，因系統遭受攻擊等緊急事件造成的重要信息丟失是難以用金錢來衡量的。

網絡信息安全應急的效率價值首先表現在對緊急事件的快速響應方面。快速應對緊急事件必須建立有效的應急管理機構，保證政令暢通。其次，效率價值要求應急管理機構必須建立完善的預警檢測、通報機制，分析安全信息，告警信息和制訂預警預案，做到有備無患。同時，建立應急技術儲備的法律保障機制。應急本質是一種信息對抗，對抗就是控制緊急狀態的惡性發展，對抗就是防御網絡緊急事件的信息技術。因此，必須有先進的應急技術來提高緊急事件的預防和處理能力。第三，效率價值要求賦予應急響應組織行政緊急權力，以控制損失，盡快恢復網絡秩序。以盡快恢復秩序為目的對私權益進行的要干預是必要的。

2.3發展價值發展價值是應對網絡安全緊急狀態的約束價值，是人們應對緊急狀態這種非常態規則的限制思想，是正確認識發展與安全、效率之間關系的理性抉擇。首先，根據心理學理論，企業長期處于應急狀態，必然會影響發展，所以應急立法應當以“盡快結束緊急狀態”為其基本原則，設計制度、建立機制。其次，對應急過程中的行政緊急權力進行必要的限制，以防止行政緊急權力的濫用對重要領域企業的發展造成不利的影響。同時，建立合理的緊急狀態啟動程序和終止程序，這對于企業健康快速發展也至關重要。第三，對政府在緊急狀態下的征用、斷開、責令停產停業等措施對公司、企業造成的經濟損失，在緊急狀態結束后應該給予相應的賠償，以增加企業對政府的信任度，促進企業經濟發展。

網絡信息安全應急機制的價值目標是一個由安全價值、經濟價值和發展價值構成的有機體系。安全價值是核心，是首要目標，位于第一層次。網絡信息安全應急機制中安全價值的地位類似于法律制度中位階最高的法律價值，它指導和貫穿整個網絡信息安全應急的過程。在目標體系中，經濟價值是第二價值目標，位于第二層次；發展價值是第三價值目標，位于第三層次。經濟目標和發展目標必須服從于安全目標的要求，只能在保障安全的基礎上考慮應急的效率性和國民經濟的發展。

3網絡信息安全應急機制的法律保障

從網絡信息安全應急機制的理論基礎出發，為實現網絡信息安全應急機制的安全價值目標，筆者認為，法律應從以下幾方面進行界定：

3.1建立適合我國國情的網絡信息安全應急管理體系應急管理體系是網絡信息安全應急保障的重要內容。應急管理體系是否合理直接關系到法律實施的效果。根據國務院27號文的總體精神，文章認為，我國網絡信息安全應急管理體系應為一元化的兩層結構。所謂一元化，是指國家應當建立應急協調機構，統一負責網絡信息安全應急管理工作。所謂兩層結構是指應當發揮行業和地方政府的優勢，加強應急管理。

a.國家應急協調機構及其職責。國家應急協調機構是我國網絡信息安全緊急狀態應急的最高決策機構[6]。在美國，主要由國土安全部負責開發國家網絡空間安全響應系統，對網絡攻擊進行分析，告警、處理國家級重要事故，促進政府系統和私人部門基礎設施的持續運行。在我國，國家應急協調機構為信息產業部互聯網應急處理協調辦公室。國家應急協調機構應當履行以下主要職責：協調制定和貫徹國家信息安全應急法律法規政策；協調國家應急響應基礎設施建設；協調國家緊急狀態下應急技術的攻關和開發；授權、終止國家和區域性的緊急狀態命令。

b.行業應急管理部門及其職責。行業應急管理部門是指根據國家法律和行政規章授予的職權，建立行業內網絡應急管理的部門，如軍隊可以分兵種建立信息安全應急管理體系，國務院可以按照行政職權的不同分別建立網絡安全應急管理體系，中共中央和政協系統也可以建立各自應急管理體系。行業應急管理部門依法對管轄的國家關鍵基礎設施的緊急狀態進行管理。

行業應急管理部門的主要職責應當包括：貫徹落實國家關于網絡信息安全應急的政策和法律；實施行業應急響應基礎設施的規劃、建設；在行業內部建立應急預警和檢測體系，建立預警網絡平臺，加強與其他行業之間的合作；對行業內重要部門有關危害網絡安全的警告；組織協調行業應急響應工作。

c.地方政府應急管理部門及其職責。地方政府應急管理部門負責其轄區內的網絡信息安全應急管理工作。在美國，新墨西哥關鍵基礎設施保護委員會(NMCIAC)就是一個私人－公共部門的合作機構，它的建立最初是為了商業團體、工業、教育機構、聯邦調查局(FBI)、新墨西哥州政府和其他聯邦、州和地方機構之間的信息交換，以確保對新墨西哥關鍵基礎設施的保護。NMCIAC致力于研究威脅、脆弱性和對策，還針對基礎設施攻擊、非法系統入侵以及可能影響NMCIAC成員組織和普通民眾的那些因素所采取的各種響應進行研究。

3.2建立準確、快速的預警檢測機制建立一套快速有效的網絡信息安全應急預警、檢測和通報機制，成為實際處理突發事件成功的關鍵。網絡信息安全應急的目的就是要預防網絡安全緊急事件的發生，或者是將緊急事件的危害降到最低。建立常設的預警機構，及時準確地收集掌握各種情報信息，把握事件發生的規律和動態，才能對事件的性質、范圍、嚴重程度做出準確的判斷，最終才能打贏應急這場仗。

美國《網絡空間安全國家戰略》指出，在網絡信息安全應急響應檢測預警機制的建設上，將網絡告警與信息網從聯邦政府網絡檢測中心擴展到聯邦政府的網絡運行中心和私人部門的信息共享與分析中心，為政府部門和產業界提供了一個共享網絡告警信息的專用、安全通信網絡，以支持國土安全部在網絡空間危機管理中的協調。這種建立統一平臺、共享網絡告警信息的做法對我國有著非常重要的借鑒價值。

筆者認為，一個完善的預警檢測應包括以下幾個方面的內容：a.建立一個全國性的能夠對重大基礎設施攻擊發出預警的國家中心，各個部門還應該建立事前收集掌握各種緊急狀態信息的檢測判定和應急響應的日常機構。同時，建立自己的網絡監測平臺，連入CNCERT/CC的監測平臺，實現信息共享。b.各級政府、行業應急部門及其社會性的應急部門要制定預防網絡安全緊急事件的應急預案，針對不同的計算機信息系統，按照事件發生后的影響程度（時間長短、業務范圍、地域范圍等因素）制定不同的預案。要對應急預案進行測試和演練，不演練和改進，所有好的預案都等于零。c.建立統一的網絡安全緊急事件預防控制體系，及時準確地收集掌握各種深層次、前瞻性的情報信息，及時把握事件發生的規律和動態。d.對預警、檢測規定法律責任。

3.3明確應急過程中的行政緊急權力的限制和法律救濟機制為了應對緊急狀態，臨時剝奪某些公民、單位的私權益，是各國應急法的普遍實踐。行政緊急權力是一種必要的權利，但又是一種最為危險的權利，這些權利一旦濫用，社會就會出現新的混亂。關閉網絡、封堵部分網絡路由，征用關鍵通信設施、監控電子通信等等應急措施可能將引發行政緊急權力與私權益之間的沖突，稍有不慎就可能影響國家命運和人民的根本利益，必須將其納入法制的軌道。

a.嚴格界定緊急狀態的定義及其分級。為了防止政府隨意宣布進入緊急狀態，隨意啟動行政緊急權力，同時也為了防止政府在緊急狀態下的消極不作為，有必要通過法律界定緊急狀態的定義。一般認為，網絡信息安全緊急狀態是指由于自然災害、計算機系統本身故障、組織內部和外部人員違規（違法）操作、計算機病毒或蠕蟲及網絡惡意攻擊等因素引起的，對計算機信息系統的正常運行造成嚴重影響的危機狀態[7]。同時，根據緊急狀態涉及范圍的大小、影響程度的嚴重與否，對緊急狀態的啟動進行分級管理。

b.明確宣布進入緊急狀態的主體。緊急狀態是否形成危險以及危險的程度，不同人會有不同的認識和判斷，為了減少緊急狀態確認的隨意性，增加宣告的權威性和認同感，緊急狀態的宣布主體必須是法定的權威機關。

c.對行使行政緊急權力的具體程序進行嚴格的規定，不但要規定啟動行政緊急權的程序，而且還要規定撤銷緊急狀態的程序，以及發生與公民隱私權沖突情況下的處理程序。同時要確保對緊急事實和危險程度判斷的準確性，建立制約機制以防止權利的濫用。

d.建立首席信息安全官(CIO)制度，確保對私權益的尊重和保護。

e.確定私權保護的最低標準。政府活動的底線就是尊重和保護基本人權，即使是在緊急狀態情況下，也不得隨意克減基本人權，否則就很容易放縱國家權利機關濫用行政緊急權利。

f.明確規定應急主管機關在緊急狀態下的職責和義務，防止瀆職和失職現象。為防止在關鍵時刻出現瀆職和失職情況，法律必須明確規定應急主管機關的具體職責，為瀆職和失職設定明確的法律后果，并建立有效的責任監督和追究機制。

在隱私權的保護方面，美國信息系統保護國家計劃V1.O要求，國家計劃中所有的提議要與現有的隱私期望完全一致，要求每年召開一次關于計算機安全、公民自由和公民權利的公－私討論會，以確保國家計劃的執行者始終關注公民的自由。政府檢查公民計算機或電子通信的任何舉動必須與現有法律如《電子通信隱私法案》相一致。

在緊急狀態得到控制后，應急計劃的啟動者應當終止緊急狀態的命令，恢復正常的社會秩序。結束緊急狀態意味著被暫時剝奪的私權益將得到恢復。網絡緊急狀態終止后，國家基礎設施運營部門應當向國家應急協調機構、行業和地方應急管理機構提交詳細的應急響應報告，行業和地方應急管理部門應當向國家應急協調機構提交應急管理工作的總結報告。對政府在緊急狀態下的征用、責令停產停業等措施對公司、企業或個人財產造成損失，在緊急狀態結束后應該給予相應的賠償，對補償的標準要予以明確的規定。要明確規定受害人獲得行政救濟和司法救濟的途徑。

法律救濟始終是各部門法律不可欠缺的重要環節。沒有救濟規定的法律是不完整的法律。如法國《緊急狀態法》就規定，凡依法受到緊急處置措施羈束的人，可以要求撤銷該措施。韓國《戒嚴法》也規定，從宣布“非常戒嚴”時起，戒嚴司令官掌管戒嚴區域內的一切行政和司法事務，在“非常戒嚴”地區，戒嚴司令官在不得已時，可在“非常地區”破壞或燒毀國民財產，但必須在事后對造成的損失進行適當的賠償。

3.4建立應急技術儲備的法律保障網絡信息安全應急需要裝備先進技術，這已是不爭的事實。應急本質是一種信息對抗。控制緊急狀態的惡性發展，對抗就是防御網絡恐怖突發事件的信息技術，因此，應急不能僅依靠管理，必須具有先進的應急技術。但是依賴進口，將無法擺脫應急受制于人的被動局面，國家必須化大力氣，扭轉被動局面，關鍵應急技術的自主研究是我們掌握網絡信息安全主動權的根本出路。美國信息系統保護國家計劃V1.O規定，在技術的研究、開發和人員的培訓方面，由科技政策辦公室(OSTP)來領導，并與各機構和私營部門合作來進行技術開發。

建立應急技術儲備的法律保障首先要明確國家對關鍵應急技術研究的責任，以及應急響應的經費保障問題；其次，要明確調動民間資本展開應急技術研究的范圍，以及國家、社會采購、征用的條件；第三，要明確應急技術市場化的管制方式和控制環節；第四，對必要引進的國外應急產品和服務的范圍和控制力度要有明確的法律規定；第五，國家要進行財政預算，對應急技術開發支持；第六，要在一定的限度內加強國際間的應急技術交流與合作。

【參考文獻】

1商繼政，傅華.“憲政概念辨析”.四川大學學報（哲學社會科學版），2003;(6)

2鄭尚元.社會法的存在與社會法理論探索.法律科學（西北政法學院學報），2003;(3)

3江必新.緊急狀態與行政法治.中國法學，2004;(2)

4龐德.通過法律的社會控制.北京：商務印書館.1984

5陳天晴.災難備份與應急響應建設.中國人民銀行.2004

6馬民虎.互聯網安全法.西安交通大學出版社，2003