您当前位置:首页 > 新闻频道 > 技术动态 > 正文
特大型城市网络信息安全监管研究(安全)

 特大型城市网络信息安全监管研究(安全)

                                  韩欣毅

                     (上海市公安局网安总队,上海200025)

摘要:随着互联网和信息技术的迅速发展,各种借助网络技术的违法犯罪现象层出不穷,违法信息、钓鱼网站等各种网站信息安全问题严重影响了我国互联网的健康发展,信息网络的安全可靠成为保障经济发展、社会稳定和人民生活安宁的重要因素。由于我国互联网发展起步较晚,监管体系还不够全面和完善,尽管工信部、公安部等政府部门从人力、物力、技术和法律法规的支持上都加大了投入,但和西方国家的发展步伐相比,我国的网络信息安全监管工作仍“心有余而力不足”。为更快地适应目前网上斗争的需要,进一步提升上海市互联网信息安全防范能力,提高网络信息安全水平,需要加强对网络信息安全的监管力度。文章从上海市的网络信息安全监管工作入手,阐述网络信息安全监管工作的定义、特征和意义,并结合实际工作寻找网络信息安全监管工作中存在的问题,选取合适的网站信息安全评估因素建立评估模型,对上海市一定数量的网站进行安全评估分析,并以分析结果验证了工作对策的有效性。

关键词:特大型城市;网络信息安全;监管;上海市

中图分类号:TP309  文章编号:1671-1122( 2016) 06-0074-07

0引言

    20世纪90年代后期互联网进入我国以来,互联网的基础设施建设、技术水平发展之迅速,使得互联网在我们的生活中发挥着越来越不可替代的作用。网站数量的不断增长,互联网应用的不断丰富,带给我们的是越来越便捷、越来越精彩的生活体验。然而,如同任何事物一样,互联网也同样具有它的两面性,网络安全威胁、钓鱼网站泛滥,网站安全漏洞、个人信息泄露等一系列网络信息安全问题接踵而至。由于我国在网络信息安全方面法律法规制定滞后,多部门监管体系不完善,导致许多网站未能落实相关安全管理制度及技术防范措施。本文以上海市公安机关对互联网站的信息安全监管工作为例,探究目前特大型城市的网络信息安全监管模式,提出有针对性的应对措施。

1网络信息安全监管概况

1.1网站信息安全监管工作的内容

    1)督促、指导网站建立安全组织机构,落实安全管理人员。

    督促、指导网站建立安全组织机构,负责指挥、组织、协调本单位的计算机信息系统安全保护工作,并向公安机关网安部门备案。安全组织机构应设立两名以上专职安全员,安全员和计算机安全相关重要岗位的人员应参加公安机关组织的安全培训,持证上岗。

    2)督促、指导网站到公安机关网安部门进行备案

    督促、指导网站自网络开通之日起30日内到所在地公安机关网安部门依法办理备案手续,并按照公安机关的规定按时提交出租网站服务的用户的变更情况,协助公安机关开展出租网站服务用户的备案工作。

    3)督促、指导网站建立健全安全保护管理制度。

    4)督促、指导网站落实安全保护技术措施。

1.2网站信息安全监管工作的主要方法

    1)全面掌握网站的基本情况。搜集掌握信息的方法包括:(1)本行政区划互联网运营单位( ISPIDC)报送;(2)备案;(3)日常管理和监控工作中发现;(4)上级有关部门和各地网安部门通报;(5)技术措施检测。所掌握网站的备案率应该达到90%以上。

  2)加强安全检查和指导。要求各网站落实安全保护管理制度和安全保护技术措施,重点检查安全审计技术措施和关键字过滤措施的落实情况,以及用户登录、退出、文件传输等日志记录留存情况(60天以上)。落实安全保护技术措施的网站必须达到95%以上。

  3)重点监管具有交互式栏目的网站。对开设交互式栏目的网站进行重点监管,督促、检查,指导其落实信息安全保护管理制度,特别是落实信息发布、审查、巡查机制,同时建立重点单位数据库,加强管理。具有交互式栏目的网站的备案率应该达到100%

    4)建立日常应急联络机制。要求各网站确定工作联系人和联系电话,落实7x24小时值班制度,在公安机关提出处置有害信息的要求后,必须能及时备份、删除。

2网站信息安全问题

2.1公安机关监管中发现的问题

2.1.1互联网信息服务准入门槛过低

    按照我国法律法规规定,我国对开办网站实行经营许可和非经营备案制度。但目前在我国办理经营性许可的网站数量不到网站总数的2%,大量非经营性网站只登记开办者基本信息,缺乏必要的安全准入条件;大量中小型网站注册信息不准确、基本的安全管理制度缺失。有的网站为了提高点击量,放任、纵容淫秽色情、赌博诈骗等违法信息传播、扩散,有的甚至与不法分子相互勾结,为不法分子实施犯罪活动提供方便。

2.1.2互联网服务单位信息安全管理责任、义务不明确

    近年来,公安机关依法查处了近万家违法网站,其中80%以上违法网站的注册信息是虚假的,公安机关难以找到网站开办人,无法追究网站开办人的法律责任,无法对不法分子起到惩戒、警示作用,导致违法网站屡关屡开、违法信息屡删不尽,严重败坏社会风气,危害公共安全,侵害人民群众的合法权益。

    目前我国相关法律法规主要从行业管理的角度规定了开办互联网信息服务的条件和行政审批制度,但对互联网信息服务、接入服务单位应具备的安全责任、义务,如公共信息巡查发现、违法信息屏蔽过滤和接入网站合法资质查验等,没有规定或规定过于理论,操作性不强。目前网上违法有害信息的发现实际上是由政府、社会和网民共同完成,互联网服务单位能够主动发现、及时报告的很少。一些互联网服务提供者还出于经济利益考虑,放任、纵容违法信息的传播、扩散,这种企业赢利、政府和社会买单的情况导致网上违法信息层出不穷、屡禁不止。

2.1.3互联网服务单位上网日志信息留存问题

    现有的法律法规规定日志信息留存时间仅为60天,远不能满足执法机关落地调查和打击违法犯罪的需要,有的服务商甚至不留存日志信息。对网民注册登记和上网日志信息,现有的查询规定手续繁琐,时效陛差,经常贻误办案时机。

2.1.4互联网管理部门责权不一致

    以留存日志信息为例,其主要目的是为执法部门打击网络违法犯罪行为服务。但现行的互联网信息服务管理办法规定,日志信息监管由电信管理机构负责,检查和处罚部门为电信管理机构,导致一些互联网服务单位常常以未经电信管理机构同意为由拒绝向执法机关提供数据,使网络犯罪线索查证工作陷入中断。

    公安机关承担着在互联网上维护国家安全、社会稳定,防范和打击犯罪的重要任务。但目前的法律法规给公安机关的授权不足,与公安机关所承担的职责不相效预防、遏制和打击网络违法犯罪,应该将公安机关的互联网安全监管职责贯穿于互联网服务企业的事前审核、事中监管和事后查处等多个环节。

2.2监管与发展的问题

    有人说加强网络信息安全监管是在让网民“禁言”,此言差矣。笔者认为,从公安机关的角度来看,在打击网络中别有用心者不良企图的同时,也应当保护单纯善良人群的同情心理。无数事实已表明,畅所欲言的言论自由往往最终只得到被利用、被蒙蔽甚至被欺骗的苦涩果实,与言论者的初衷早已背道相驰。不受制约的自由到头来会违背公众利益,一味地放水养鱼最终结果是竭泽而渔。现实社会如此,网络社会亦如此。没有自律就没有自由,没有适度的监管也就没有长远的发展。

3网络信息安全监管对策

3.1进一步落实网络信息安全防范

3.1.1加强网站软硬件系统及管理制度的安全防范

    在物理层安全方面,要加强对通信线路、物理设备、机房的安全管理;在系统层安全方面,要加强对操作系统的安全管理和防范,尽可能地排除操作系统本身的缺陷带来的不安全因素,包括身份认证、访问控制、系统漏洞、安全配置、病毒威胁等;在网络层安全方面,要加强网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入安全、域名系统安全、路由系统安全、入侵检测手段、网络设施防病毒等。

    在企业内部管理制度方面,要制定严格的管理规范,包括:成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制;组长落实小组人员岗位工作职责;配备一定数量的计算机安全员,须持证上岗;制定网络安全事故处置措施;制定计算机机房安全保护管理制度;制定用户登记制度和操作权限管理制度;制定网络安全漏洞检测和系统升级管理制度;制定交互式栏目24小时巡查制度;制定电子公告系统用户登记制度;制定信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度;制定违法案件报告和协助查处制度;制定备案制度等。

    在网站安全保护技术措施方面,要求:具有保存3个月以上系统网络运行日志和用户使用日志功能,内容包括IP地址分配及使用情况、交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应l P地址、交互式栏目的信息等;具备安全审计及预警措施,网络攻击防范、追踪措施,计算机病毒防治措施,身份登记和识别确认措施;交互式栏目具有关键字过滤技术措施;开设短信息服务的具有短信群发限制、过滤和删除等技术措施;开设邮件服务的,具有垃圾邮件清理功能等。

3.1.2加强互联网行业从业人员教育培训

    根据公安部、人事部于1999年联合下发的《关于开展计算机安全员培训工作的通知》相关要求,凡从事计算机信息网络国际联网的互联单位和接入单位的有关人员均需参加由公安、人事部门联合组织的统一教育培训与考核,考核通过后,由公安、人事部门认定其计算机安全员培训合格,并在合格证明材料上加盖省、自治区、直辖市计算机安全员培训考试专用章,方可继续从事互联网行业相关信息安全工作。

    上海市公安局于2003年积极会同市人力资源与社会保障局,成立了上海市信息网络安全专业技术人员继续教育工作办公室,具体负责本市信息网络安全管理、信息网络安全技术、互联网信息内容安全管理以及互联网上网服务营业场所安全管理方面的相关信息网络安全员的教育培训工作。截至2012年底,共培训信息网络安全员6561人次,为提高本市信息安全防范水平打下了良好基础。

    近年来,上海市公安机关还结合本市互联网发展实际情况,加大了对提供公共上网服务的场所工作人员的教育培训力度,切实提高了本市互联网行业从业人员的岗位业务水平和职业道德素质;同时还制定并下发了《上海市信息网络安全员管理办法》,进一步规范了本市信息网络安全员的教育培训、在岗履职、失职惩处及表彰奖励等工作,推动了本市信息网络安全专业技术人员继续教育工作的持续深入。

3_2进一步加强政府职能部门监管

3.2.1加强公安机关网安部门的依法监管

    1)加强互联网基础数据采集和基础数据库的建设。

    20094月,公安部在全国范围内开展了互联网基础数据采集和基础数据库的建设工作。截止目前,基础数据库中共有IP地址段分配及互联网服务单位备案信息200多万条。其中,IP址段分配信息173943条,固定IP地址分配使用信息5008条;互联网接入服务、互联网数据中心、虚拟空间租赁服务单位备案信息8966条,网站备案信息1593818条,互联网上网服务场所备案信息134168条,重点联网使用单位备案信息54497条。同时,采集重点ICP用户注册信息2.9亿条,宽带上网账号信息4.1亿条,网安部门对网民的现实化管理能力进一步增强。

    同时,根据公安机关长期侦查办案经验,目前工信部推行的网站ICP备案过程中,网站开办者信息往往存在错误或虚假的情况,导致许多涉网违法犯罪案件查证线索的中断。通过推进互联网基础数据采集和基础数据库系统的建设,可同步落实对网站的实名备案要求,有效提高网站开办者身份信息真实性和准确度,为提高网站信息安全提供政策支撑。

    2)加大对互联网违法犯罪行为的查处力度。

    2012年,结合公安部深化打击、整治网络违法犯罪专项行动,上海市公安局网安部门对283家出现过违法信息的网站处以警告并责令限期改正的行政处罚、4家处以罚款的行政处罚、19家处以停机整顿的行政处罚,关闭214家违法网站,并通报市通信管理局纳入黑名单管理。组织全市网站自行清理违法信息10万余条,自行关闭违法栏目2375个,自行关闭网站1191家,发现并上报违法线索35492条,极大地净化了本市互联网环境。随着互联网的飞速发展,公安机关应继续不断加强对互联网接入服务商、互联网信息服务商等互联网企业的监管力度,依法开展行政处罚和违法犯罪打击工作,加强网络社会管理工作,保障是网络依法规范有序运行。

3.2.2完善其他政府部门的监管

    国家各级网络信息安全监管部门应加强信息互通与协作,根据各自网络信息安全监管职责分工,加强对网站信息安全的监督与管理。互联网信息内容主管部门应结合时事热点,加强对互联网内容意识形态的监管;电信主管部门应加强互联网行业发展、行业准入、行业规范的监管;公安部门应加强对互联网违法犯罪案事件的查处与打击。同时相关部门应建立良好的沟通协作机制,在网站信息安全领域建立统一的信息共享平台,将不同部门对网站的监管结果向其他监管职能部门开放,以达到数据共享的目的,在节约监管成本的同时,提高监管效率。

3.3加强社会化合作

3.3.1建设网络社会征信网

    互联网在社会经济发展中发挥着积极作用的同时,由于其具有匿名隐身、即时通信、无界传播、无限扩张等特点,也成为不法分子传播淫秽色情信息、散布网络谣言、恶意侮辱诽谤他人的温床。如何增强网民的自律意识,从根本上规范网民的网上行为,已成为政府部门开展虚拟社会管理工作的重要内容之一。2009年,上海市公安局网安部门创造性地在互联网上建立网络社会征信体系,促进了网络社会诚信建设。2010年,由公安机关主导、行业协会出面一上海市在国内首创了“网络社会征信网”(网址wwwzx110org,以下简称征信网)。征信网探索将现实社会的信用管理模式引入虚拟社会,通过“以网制网”的方式,建立一套与现实征信体系融会贯通的网络征信体系,从根本上规范网上行为。经过两年多的努力,征信网在“建设制约型、引导型、服务型网络诚信门户网站”方面取得了明显成效,获得了媒体和社会各界的普遍好评。

3.3.2上海市信息网络安全管理协会

    上海市信息网络安全管理协会于20105月经市公安局和市民政局批准成立,主管部门是上海市公安局。它是一个由从事网络信息服务、数据服务和安全服务的管理机构、科研单位、研发厂商、服务厂商以及计算机网络用户、信息网络安全爱好者等组成的非营利性社会团体。协会成立的目的是为了团结和组织社会各界关心支持信息网络安全建设的力量,全面推动我市计算机信息网络安全技术的普及、应用和发展,提升广大计算机用户单位和个人的安全意识及安全技能,增强计算机信息网络用户的安全防范能力,维护上海网络信息产业的绿色生态环境建设,逐步建立完善全市计算机信息网络安全保障机制,确保社会经济、文化各方面的稳定和谐发展。

    协会目前担负着构建上海市信息安全联动机制、信息安全领域的产品测评、安全信息发布、安全体系评估、等级保护制度具体实施和相关安全人员培训、协助政府进行行业管理等工作,是一个在政府部门、企业单位、个人用户等之间起着桥梁和起纽带作用的权威组织。目前协会成员近150家,不仅涵盖了政府部门、科研机构、宣传媒体等智库机构,同时不少国内的ICPISPIDC厂商、信息安全厂商及通信运营商也已加入其中。协会既是一个专家学者交流的论坛,又是一个厂商与客户沟通互动的平台,还是一个提供公信力保障的评价机构,更是本市在信息安全管理领域层级最高、组织结构最为紧密、行业涵盖最广及公信力最强的社会组织。

    通过发挥协会的桥梁作用,一方面使得网安部门的监管要求能够更好地得到实施与落实,另一方面也能使互联网企业的需求能够更好地向政府监管部门反映,同时也能够通过行业规范和行业自律,进一步提高本市网站信息安全工作水平。

3.4健全法律法规、加强行业自律

3.4.1健全互联网行业法律法规建设

    20121228日,第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》,该决定旨在为互联网时代的个人信息保护装上“法律的盾牌”,以法律形式保护公民个人及法人信息安全,确立网络身份管理制度,明确网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段,重点解决了我国网络信息安全立法滞后的问题。

    “网络社会没有法治,现实社会就没法儿治”。我们都知道法律不是万能的,我们也知道不能奢望法律能够解决网络社会中的一切问题,但我们还必须要清醒地看到没有法律是万万不行的。没有法律,基本的网络社会公共秩序就根本无从谈起。所以网络信息安全的监管前提必定是‘有法可依”,然后才是‘有法必依”,“执法必严”和“违法必究。

3.4.2完善互联网行业自律规范

    加强网络信息安全监管,不能只靠政府职能部门,互联网行业还应依靠行业力量,开展自律,制定行业内部的规范和标准。20131月,笔者在工作中就参与了上海市信息网络安全管理协会会同市信息服务业行业协会、市互联网协会、市信息安全行业协会以及市网络文化协会,共同起草了本市互联网行业企业加强信息安全自律的《倡议书》。

3.5对网站信息安全开展评估

3.5.1对网站开办者身份可信度开展评估

    1)开办者身份可信度评估简介。

    2012年,上海公安网安部门针对目前钓鱼网站泛滥,网站开办者信息不真实等问题,依托网络社会征信网平台,会同相关企业探索研究并开展了网站开办者身份可信度评估服务。网站身份可信度认证是面向广大网民提供的一款评估网站身份是否可信的检测服务。当网民访问陌生网站或有疑问的网站时,可使用网站身份可信度认证提供的服务进行检测。这能有效防止钓鱼、网络犯罪、恶意欺诈等不良网站对网民的危害。网站身份可信度认证服务通过建立网站身份信誉评估模型,在网站主体身份、资质、监管处罚、网民举报、用户评价等信息基础上对网站进行认证。

    该评估产品可通过征信网进行访问,网址为pinggu.zx110org。网民只需通过输入想要访问的网站网址,即可直观地看到该网站的相关详细信息,包括网站的ICP备案信息、网站服务器信息、工商备案信息、公安机关的备案信息、开办者身份的验证信息、网民举报信息等。同时征信网还会返回一个网站的访问意见给网民,为网民辨别假冒虚假的钓鱼网站、保护自身信息安全起到了良好的作用。图1和图2分别为征信网和一个仿冒工商银行的网站( 1cbccom)的评估结果截图。

 特大型城市网络信息安全监管研究(安全)7625.png特大型城市网络信息安全监管研究(安全)7626.png

 2)评估体系介绍。

  网站开办者身份可信度评估是基于网站的客观信息和人工审核综合评估的,其中客观数据项的权重占80%。主要评估因素见表1

特大型城市网络信息安全监管研究(安全)7700.png 

  通常评估结果较低的网站是基于以下原因:

  1)网站未备案;

  2)服务器位于境外;

  3)网民举报经征信网确认为不良网站;

  4)网站备案身份为个人。

  根据以上评估指标,评级结果从05星不等,同时给出相应的访问建议,具体见表2

特大型城市网络信息安全监管研究(安全)7826.png 

3.5.2以上海市为例进行评估测试

    1)具体情况及测试结果

    选取上海本市网站、近期Alexa流量排名前500名的网站进行网站开办者身份可信度评估测试。这500个网站的所属分类基本涵盖了目前互联网的各大主要应用领域,具体见表3

特大型城市网络信息安全监管研究(安全)7950.png特大型城市网络信息安全监管研究(安全)7951.png 

  经测试,评估结果在3星及以上(认为可放心访问)的总计为405家,占81%,整体符合预期;评估结果为三星以下共95家网站中,有53家(占56%)网站是因为其备案所有者为个人而扣分,另外有一部分网站属于跨国企业的中国站点,因其服务器位于境外而被扣分,其中评估结果小于2星的4家网站皆为服务器位于境外的个人备案网站。评估结果分布图如图3所示。

特大型城市网络信息安全监管研究(安全)8124.png  

2)评估分析

  本次测试样本为上海流量前500名的网站,整体内容及运营质量较高。从评估统计结果看,评估准确性整体良好,整体平均评估分数为3.61分,基本符合预期结果。其中被评估的4家政府类网站全部达到5分标准,属于身份可信任网站,符合政府部门开办网站主题可信的事实。在所有评估的网站类型中,导航类网站平均评估分数最低,仅为3.15分,反映出目前类似信息发布类平台及信息导航类平台网站开办的不规范,相关开办主体信息不准确或未及时变更,导致一旦发生信息安全事故时难以在第一时间联系到网站开办人,给事件的处置带来安全隐患。

    从评宿的结果来看,各类型网站开办主体身份可信度评估得分情况,与公安机关网安部门在网络信息案事件查处过程中所掌握的情况基本一致,说明该评估模型的建立得到了工作实践的映证,评估结果可以提供给广大网民进行网站访问前的安全参考。

4结束语

    随着互联网技术的不断发展,网络安全方面的隐患和威胁问题也越来越突出,我国由党和国家最高领导人担任网络安全和信息化领导小组负责人以及在政府工作报告中写入维护网络安全的内容,表明我国已将网络安全提到前所未有的高度。尽管数据证明我国已是“网络大国”,但还算不上“网络强国”,特别是网络安全方面,已成为我国的“短板”,与发达国家相比差距很大。加强国家网络安全工作的重中之重就在于对互联网服务企业的依法、有效监管,只有通过法律法规监管、行业规范自律等多种方式共同加强监督管理,才能更有效地尽快改善我国信息安全监管工作的被动局面。

关键字:

招商信息月点击排行

About Us - 关于我们 - 服务列表 - 付费指导 - 媒体合作 - 广告服务 - 版权声明 - 联系我们 - 网站地图 - 常见问题 - 友情链接
Copyright©2014安装信息网 www.zgazxxw.com. All rights reserved.
服务热线:0371-61311617 邮箱:zgazxxw@126.com 豫ICP备18030500号-4
未经过本站允许,请勿将本站内容传播或复制
安全联盟认证