从《国家安全法》明确提出维护网络空间安全,到《网络安全法》明确规定相关主体的法律责任,再到《国家网络空间安全战略》明确指出网络安全的战略任务,在实现建设网络强国的道路上,我们迈出了坚实的步伐。网络空间正在深刻影响人类社会历史发展的进程,网络安全形势也日益严峻,全力保障网络安全是建设网络强国的核心任务。人是网络安全保障体系的重要一环,提升人们网络安全意识至关重要。《网络安全法》明确要求采取措施增强全社会网络安全意识,《国家网络空间安全战略》进一步明确增强全社会网络安全意识的举措。增强全社会网络安全意识,应特别重视风险意识、全局意识、责任意识的提升。
一、增强风险意识是提升网络安全保障能力的当务之急
“没有意识到风险是最大的风险。”当前,很多网络安全保障从业人员的风险意识还很薄弱,表现为不清楚威胁在哪里,不了解基本的风险常识,不知道如何应对常见风险。导致的结果是“一念之差就把敌人引进家门,一项误操作就进入别人设下的圈套,出了大事还在火上浇油”。国家标准GB/T20984-2007《信息安全技术 信息安全风险评估规范》将信息安全风险定义为:“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。”
在网络空间的国际竞争方兴未艾、网络渗透和网络恐怖不断加剧、网络攻击和网络犯罪日益严重的复杂形势下,我们面临的外部威胁也在不断增加。2015年12月14日,俄罗斯《生意人报》报道称普华永道会计师事务的报告显示遭受网络攻击的增幅高达517%,一次攻击给企业造成的经济损失平均约为260万美元。信息系统自身的脆弱性是难以避免的,尤其是管理体系的脆弱性。在所有信息安全事件中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄密造成的。世界头号黑客凯文·米特尼克(KevinMitnick)曾提到:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话,信息就有可能被无意泄露。”增强网络安全保障人员的风险意识已经迫在眉睫。
增强风险意识的关键在于定期对信息系统进行风险评估,对关键信息基础设施尤其要重视,让从业人员清楚知道风险在哪里,出了问题又该如何应对。《网络安全法》规定,网络运营者应当制定网络安全事件应急预案,及时处置安全风险;关键信息基础设施运营者每年至少开展一次风险评估。国家互联网应急中心(CNCERT)发布的《2015年我国互联网网络安全态势综述》显示,由于开展互联网网络安全威胁治理行动,我国被篡改政府网站月均下降了44%。通过全天候全方位感知网络安全态势,让网络安全保障人员知道风险在哪里,什么时候会发生,发生后怎么办。具有很强的网络安全风险意识,保障网络安全就有了最坚实的基石。
二、增强全局意识是统筹网络安全与信息化发展的关键
“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络空间为我们提供了信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带。同时,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益也面临着严峻风险与挑战,必须统一谋划、统一部署、统一推进、统一实施网络安全和信息化工作,深刻认识到两者是一体之两翼、驱动之双轮。
以智慧城市建设为例,在大力发展的同时,一定要加强网络安全管理工作。目前,我国有超过500个城市在进行智慧城市试点,计划投资超万亿。新型智慧城市建设是落实国家新型城镇化发展战略、提升人民群众幸福感和满意度、促进城市发展方式转型升级的系统工程。有人指出,未来的智慧城市可能会比现如今的智能手机和电脑更容易受到黑客侵袭。环球网2016年12月14日题为《看黑客是如何“攻陷”欧洲智慧城市的》的报道称,欧洲兴盛的黑客文化让创客和黑客每天都在摸索攻击智慧城市的各种应用系统。智慧城市网络安全不容忽视。正因如此,2016年11月22日,国家发展改革委、中央网信办、国家标准委发布的《新型智慧城市评价指标(2016年)》将“网络安全”列为一级指标,权重占8%。
国家十分重视网络安全和信息化的统筹协调发展。2014年2月27日,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;2016年1月1日起施行的《反恐怖主义法》首次将“网信部门”写入法律;将于2017年6月1日起施行的《网络安全法》明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”。在地方层面,网络安全和信息化领导小组也相继成立,由“一把手”担任组长;相应的网信部门随之成立,自上而下的“网信系统”业已成形。我们也发现,在地方层面,尤其是地市级和县级层面,由于网信部门的工作人员主要从现有部门借调,对网络安全工作本身不熟悉,对从区域层面整体推进网络安全和信息化发展还缺乏深刻认识,对从信息系统全生命周期保障网络安全还缺少专业知识,因此,增强相关人员的全局意识至为关键。
三、增强责任意识是落实网络安全战略任务的基本保障
“踏石留印、抓铁有痕。”维护网络空间安全、实施网络安全战略的关键在于落实,《网络安全法》不仅明确规定了网信部门和有关部门履行网络安全保护职责,而且清晰规定了网络运营者、关键信息基础设施运营者以及个人的网络安全保护义务。增强相关主体的网络安全责任意识、依法依规推进网络安全保障工作,是落实网络安全战略任务的基本保障。
除国家网信部门外,国务院电信主管部门、公安部门和其他有关机关也必须在各自职责范围内负责网络安全保护和监督管理工作;县级以上地方人民政府有关部门应切实履行网络安全保护和监督职责。国务院和省(自治区、直辖市)人民政府应扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务;各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作;大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
网络运营者应当采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施运营者应当在网络安全等级保护制度的基础上,进一步加强保护措施,包括设置专门安全管理机构和安全管理负责人,对该负责人和关键岗位的人员进行安全背景审查,对重要系统和数据库进行容灾备份,制定网络安全事件应急预案并定期进行演练等方面。另外,还应明确规定任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德。
“安全是相对的,不安全是绝对的。”保障网络安全永远在路上。正如《国家网络空间安全战略》所指出的,“网络空间机遇和挑战并存,机遇大于挑战”,只要全社会具有高度的网络安全意识,能够认清风险、谋划全局、坚守责任,相信在网络安全保障这场“持久战”中,我们一定能够取得一个又一个胜利。