銀行存款一夜消失、股票市值一夜蒸發、詐騙電話精準襲擊……關系到千家萬戶的網絡安全,怎樣強調其重要性都不過分。
上篇:“怎樣強調網絡安全的重要性,都不過分”
9月25日,全國人大常委會網絡安全法執法檢查組抵達黑龍江哈爾濱。
“銀行存款一夜消失、股票市值一夜蒸發、詐騙電話精準襲擊……關系到千家萬戶的網絡安全,怎樣強調其重要性都不過分。”有執法檢查組成員這樣向《法制日報》記者闡述網絡安全的重要性。
深知責任重大的檢查組成員,每個晚上都要聚在一起確認第二天的工作細節。
9月25日晚飯過后,檢查組成員在一起確定第二天的行程安排。此時,一些檢查組成員剛剛得知,第二天要分成兩個組同步進行檢查:一組按照既定行程檢查,另一組臨時抽查部分政府部門和企業。
“我們明天去哪里抽查?”有檢查組成員詢問。
“既然是不打招呼的臨時抽查,怎么能透露呢?”有檢查組成員笑著說,“其實,我也不知道去哪兒,據說是明天出發時再定。”
臨時抽查、召開座談會、檢查時隨機提問工作人員……為檢查網絡安全法、全國人大常委會關于加強網絡信息保護的決定的貫徹實施情況,9月25日至29日,全國人大常委會執法檢查組在黑龍江開展執法檢查。
建設網絡安全態勢感知平臺
只需要在電腦上進行簡單的幾步操作,就能攻破某單位的網站,還可以對網站上的內容作出修改——在黑龍江省網絡空間研究中心的網絡攻防實驗室,工作人員向執法檢查組演示了網絡攻擊。
這種輕而易舉就能攻破政府網站的行為,讓檢查組成員感到一些驚訝和擔心。
黑龍江省互聯網信息辦公室主任李耀東在向檢查組匯報時說,黑龍江省網信辦建設了具有監測、預警、分析和處置功能的網絡安全態勢感知平臺,可對全省網絡攻擊、僵尸網絡、病毒木馬、終端安全等進行安全狀況及趨勢的態勢感知。“目前,已實現對全省2581個黨政機關、事業單位、國有企業等網站和系統的全天候監測以及對2.8萬余臺網絡設備、安全設備、攝像頭等進行定期普查。”
與此同時,相關政府部門與企業也在提升自己的防護能力。
國網黑龍江省電力有限公司負責人介紹,在電力監控系統方面,公司建成電力監控系統專網,嚴格執行“安全分區、網絡專用、橫向隔離、縱向認證”,將電力監控系統按照安全等級劃分為生產控制大區與管理信息大區,大區之間加裝電力專用安全設備,實現橫向網絡隔離。“除了建成電力監控系統專網,還嚴把建設、接入、運維、監督四道關,從根本上防范由于受到網絡攻擊、電網被遠程控制造成大面積停電事件的風險。”
“有關單位和企業必須時刻繃緊網絡安全這根弦,事實上,即使是隔離的內網,也不是絕對安全的,例如,通過硬盤攻破網絡的事件就曾多次發生。此外,還要注意加強各部門之間的溝通,有些問題如果發現是普遍性的問題,就要通知所有相關單位加以重視或者整改。”全國人大常委會委員、全國人大財經委副主任委員彭森指出。
網下清查與網上清查相結合
不久前,哈爾濱市公安交警支隊接到一名車主的報警電話,稱其車輛被套牌,存在多條違法記錄。交警支隊調取違法圖片發現,多數違法為懸掛該車牌的白色寶馬轎車,通過細致分析,發現白色寶馬轎車的車牌尾號存在異常,涉嫌違法使用變號貼。
“我們運用先進的大數據技術,通過緝查布控系統將過車數據與車輛登記數據庫進行數據比對,對套牌的嫌疑車輛進行軌跡追蹤、布控查處,實現了緝查布控系統的快速響應,海量數據瞬間關聯。”哈爾濱市公安交警支隊指揮中心科技科民警朱大琪介紹。
通過數據比對,交警支隊確定了該白色寶馬轎車的實際號牌,并通過分析該車的通行軌跡,確定其經;顒臃秶,隨后將該車成功查獲,對駕駛員處以罰款5000元、駕駛證記12分、拘留15天的處罰。
同樣將網下清查與網上清查相結合的,還有新聞出版廣電部門的“掃黃打非”行動。
黑龍江省新聞出版廣電局局長趙洪生在向檢查組匯報時稱,重拳打擊淫穢色情文化垃圾直播平臺、傳播網絡淫穢色情文學作品、傳播淫穢色情信息的非法彈窗,嚴厲打擊微領域傳播淫穢色情信息、新聞客戶端傳播庸俗、低俗、媚俗內容等行為,查處了一起被全國“掃黃打非”辦掛牌督辦的傳播淫穢色情作品案件。
檢查組了解到,2016年9月至今,黑龍江省反詐騙犯罪中心日均攔截境外詐騙電話4000余次,快速凍結涉案銀行賬戶1.2萬個,緊急止付、凍結涉案資金6900萬元。受理電信網絡詐騙案件1982起,協助抓獲犯罪嫌疑人320名。組織開展“打擊整治黑客攻擊破壞和網絡侵犯公民個人信息違法犯罪”專項工作,破獲“非法控制計算機信息系統”“侵犯公民個人信息”等各類案件128起,抓獲犯罪嫌疑人280余名。
提升打擊電信網絡詐騙能力
“我們也是你們三大電信運營商的用戶,經常接到很多詐騙信息和電話,其中還有不少是偽裝成你們運營商的號碼,這方面你們采取了哪些治理措施?”全國人大常委會委員謝旭人提出的問題,引起了檢查組成員的共鳴。
對此,三大電信運營商的相關負責人分別作出了回應。
黑龍江省移動公司負責人向檢查組列出了幾個數據:依托全國統建的垃圾短信集中管控平臺,公司對垃圾短信集中治理,月均攔截垃圾短信149萬余條,月均垃圾短彩信投訴量同比下降29個百分點。
“我們利用集團公司防欺詐系統的防欺詐公益服務,通過人工外呼方式,成功攔截受騙客戶900余件,反饋公安部門疑似重度受騙用戶300件,挽回客戶損失近5萬余元。”黑龍江省聯通公司負責人說。
黑龍江省電信公司同樣有所行動,該公司負責人稱,通過加強基礎管理工作,加強重點業務和源頭管控,從嚴處置被舉報號碼,提升打擊電信網絡詐騙的能力。
“垃圾短信、詐騙電話的泛濫,不只對用戶的信息安全造成威脅,也對公司的信譽有著負面影響。對于這些行為,不僅要通過技術手段進行被動的防范,還要主動配合公安機關嚴厲打擊。”謝旭人建議。
黑龍江省移動公司負責人表示,公司積極配合公安機關打擊偽基站違法犯罪活動,截至目前,共配合執法機關偵破“偽基站”案件164例,繳獲設備163套,抓獲犯罪嫌疑人210名。
“網絡太廣泛,僅靠政府的力量顯然不足以應對其中的問題,企業應當負起主體責任,按照法律的規定承擔起相應的責任。”全國人大常委會委員、全國人大財經委委員呂薇說。
建立倒查機制追責信息泄露
公民個人信息保護制度的落實情況,是檢查組最為關心的問題。
中國聯通佳木斯分公司設備維護中心經理張馳說,公司對于用戶信息的保障,從技術與制度兩方面著手:一方面,采取技術手段,提高網絡安全性;另一方面,嚴格執行機房出入登記審核制度等多項措施,嚴格把握重要數據收集、存儲、使用、銷毀四個環節,嚴防泄密。
當然,涉及用戶個人信息保護的部門與企業,遠不止電信運營商。
“現在都使用智能電表,通過手機、電腦就能交費,如何做到用戶信息保護?”彭森提出了這樣的問題。
“為了保護用電客戶隱私,公司開展脫離敏感信息工作,優化用電提醒模式,取消紙質用電提醒通知單,以短信、微信、手機客戶端等形式進行用電提醒。對敏感信息的各類訪問和操作行為進行審計,對審計不符合要求的內容提示告警信息,納入安全監督管理。”國網佳木斯供電公司負責人說。
“我們平時在網上購買火車票,如何保證用戶的姓名、身份證號等信息的安全?”全國人大代表、貴州大學大數據與信息工程學院院長謝泉詢問。
哈爾濱鐵路局負責人介紹,對客票發售與預定、貨運制票、電子商務等系統中涉及的公民個人電子信息,重點采取落實內控管理機制、強化技術保護措施等實施有效保護。“例如,通過健全運行監控體系,對重要信息系統實行全天候監控,對公民個人電子信息的訪問和操作進行審計,對異常訪問操作及時預警。”
2016年1月至2017年8月,黑龍江省法院共受理侵犯公民個人信息犯罪案件11件,審結生效9件,判處罪犯13名——黑龍江省高級人民法院副院長王樹江在匯報時提到的數據,引起了謝旭人的注意。
“在個人信息保護方面,可建立倒查機制進行追責。在公安機關辦案過程中,經常能夠發現一些犯罪嫌疑人手里有很多身份證,現在電話卡實行的是用戶實名制,如果出現利用他人身份證辦理電話卡的犯罪現象,可以對運營商進行倒查,找到具體的部門和個人,從源頭上對這種現象進行治理。”謝旭人建議。
“事實上,網絡安全‘一法一決定’宣傳教育工作的貫徹落實,對于個人信息保護有很大影響。建議地方緊密結合實際情況,針對不同的人群,進行分類指導和精準普法,提升公民的法律意識和法治素養。”全國人大內司委委員劉莉指出。
制定網絡安全人才培養戰略
“人員編制如何落實?待遇怎么樣?這方面的人才是否能夠留得?”在檢查期間,全國人大代表高廣生的注意力多次放在了人才隊伍建設上。
黑龍江省副省長胡亞楓在向檢查組匯報時坦言,在“一法一決定”貫徹實施中,急需解決“網絡安全人才力量不足”的問題。
“黑龍江現有網絡安全人員、執法人員的數量、能力和手段,與當前網絡安全的嚴峻形勢不相適應,專業型人才、復合型人才、領軍型人才明顯短缺,影響我省網絡安全建設發展。”胡亞楓說。
劉莉認為,信息化的快速發展,使得政府對網絡安全人才的需求更加迫切,建議從國家層面制定網絡安全人才培養戰略,地方層面出臺相應的規定予以配合,通過對網絡安全人才進行適度傾斜,建立相應的激勵機制,從而緩解人才匱乏的問題。
“建議加強部門之間的協調,解決當前人才不足、力量分散的問題?梢约辛α繕嫿ńy一的網絡平臺,在各部門之間形成信息共享,同時還有明確分工,例如,網信辦發現違法信息,除了采取刪除措施,還可以移交給公安機關進行執法。”呂薇說。
謝泉建議,要用智慧城市、大數據的思維模式來維護網絡安全,這樣可以實現信息共享與資源共享,避免因為重復建設而帶來的資源浪費,從而解決當前各部門“各自為政”、人才緊缺的局面。
下篇:進一步發揮法治對網絡的引領作用
“以前為了落實用戶實名制,我們也曾按照公司規定對不實名的用戶停機,但用戶都會質疑我們的做法,而我們的解釋也常常不被認可,F在,有了網絡安全法,這些用戶也很信服我們的舉措,用戶實名制的落實工作開展得更加順利。”中國聯通佳木斯分公司設備維護中心經理張馳對全國人大常委會網絡安全法執法檢查組說。
張馳的感受,是網絡安全法、全國人大常委會關于加強網絡信息保護的決定(簡稱“一法一決定”)在貫徹實施中的一個縮影。
讓宣傳教育有的放矢
“網絡安全法自今年6月1日起實施至今尚不足4個月,因此,要把這次執法檢查作為一次法律宣傳和實施再動員的過程,作為提高全社會網絡安全意識的過程,作為督促有關方面切實解決問題的過程。”全國人大常委會委員、全國人大財經委副主任委員彭森在兩次座談會的開場白中,都著重強調了“一法一決定”的宣傳教育情況。
選準教育對象,是確保宣傳教育工作取得實效的關鍵因素。
“面向各單位主管領導和黨員干部開展網絡安全專項教育,提升網絡安全風險意識和責任意識。面向網絡安全管理人員、執法人員開展網絡安全知識培訓,促進了解網絡安全工作相關規定和專業知識,增強依法履職盡責的意識和能力。面向社會網民、高校學生傳授普及網絡安全法規,提高防范風險、增強維權能力。”黑龍江省副省長胡亞楓介紹,黑龍江省選擇了三方面重點,并根據不同情況有的放矢。
對于宣傳教育工作的效果而言,宣傳方式的使用至關重要。
黑龍江省互聯網信息辦公室主任李耀東在匯報時說,黑龍江省已連續三年開展網絡安全宣傳周活動,其間,共舉辦了20余場次宣傳培訓講座,吸引觀展人員4萬余人次,發送普及知識和普法短信5000余萬條,發放《網絡安全知識手冊》35萬余冊,媒體報道2000余篇,點擊量逾150萬,播放公益宣傳片累計5萬分鐘,形成全方位立體式宣傳網。
要想確保宣傳教育工作真正落到實處,相應的測試環節必不可少。
告知辦卡需知、客戶手持身份證照相、系統自動核實是否本人、簽字確認……在中國移動通信集團黑龍江有限公司依蘭分公司,公司總經理李林松現場演示了電話卡的辦理流程,“公司對每個崗位的人員都有網絡安全法方面的培訓,必須熟練掌握,既確保用戶實名制的落實,又保證公民個人信息不被泄露。”
制定配套法規規章
法律的生命力在于實施。黑龍江加速推進了“一法一決定”的配套法規規章制度建設,推動了“一法一決定”更好地得到貫徹實施。
胡亞楓在向檢查組匯報時說,黑龍江省統籌規劃網絡安全制度體系,編制了《網絡安全事件應急預案》等,嚴格規范風險評估、監測預警等工作流程,為及時準確應對網絡突發事件提供行動指南。
“省委網信辦與人民銀行哈爾濱中心支行、省金融辦等單位共同制定出臺《金融行業網絡和信息安全協調工作管理辦法》,聯合省教育廳制定推進普通高校網絡安全工作意見,全面加強金融業、教育業網絡安全協調聯動工作。”李耀東介紹。
胡亞楓介紹,各部門還結合自身特點,制定了相應的配套規范,例如,黑龍江省委網信辦制定了《全省網絡安全和信息化信息報送制度》等制度措施,省工信委制定了《工業企業網絡安全工作人員培訓制度管理辦法》等制度,省教育廳、省公安廳、省通信管理局還編制了相應的配套規范,為“一法一決定”的落實起到了輔助支撐作用。
強化關鍵信息基礎設施保護
關鍵信息基礎設施的安全,直接關系到國家安全和社會穩定。
自2015年起,黑龍江連續三年在全省開展關鍵信息基礎設施網絡安全檢查工作,檢查范圍包括全省黨政機關、人民團體及其直屬單位、有關企事業單位以及重點行業和重點領域,通過自查抽查、攻防演練等方式,對各單位網絡安全管理情況、技術防護情況等9部分內容進行檢查。
“今年全省已檢查單位600余家,信息系統和網站2300余個,治理和關停黨政機關、事業單位網站294個。全省采集信息基礎設施情況2000余個,基本摸清了關鍵信息基礎設施底數和防護情況。”胡亞楓向檢查組匯報了檢查的結果。
2016年以來,黑龍江對省內72個網絡單元進行符合性評測和風險評估,發現1656個漏洞,向省內158家單位發送網絡安全事件函,通知其修復網站存在漏洞。
“此外,還通過滲透性測試方式對重點對象進行攻防演練,150家單位中99家存在網絡安全漏洞,56家存在嚴重漏洞,已對上述單位及時下達整改通知書,確保關鍵信息基礎設施網絡安全。”胡亞楓說。
與此同時,黑龍江省還通過執法檢查的方式,做好單位定級備案,落實網絡安全等級保護制度。
檢查組了解到,黑龍江1634個重點單位在各級公安機關進行網絡安全等級保護定級備案,納入了網絡安全監管范圍,其中三級信息系統392個,二級系統912個,390個信息系統完成了安全整改工作。
治理網絡違法有害信息
治理網絡違法有害信息,維護網絡空間良好生態情況,是執法檢查組檢查的重點。
佳木斯市公安局網絡安全保衛支隊支隊長趙萬國向執法檢查組介紹,在偵破的“2016·6·12”特大網絡販槍案中,嫌疑人通過4個微信號、2個QQ號,與4名上線、18名下線,在遍及全國24個省、3個直轄市共308個地市進行網絡交易。此案共收繳槍支32支及大量零部件、子彈,抓獲犯罪嫌疑人5名,搗毀一個制造買賣鉛彈的窩點,收繳一套制造鉛彈的設備。
除了重點打擊,日常監控也尤為重要。
哈爾濱市網信辦在哈爾濱新聞網、藍網·哈爾濱網絡廣播電視和商業網站冰城網等新聞網站首頁,設置了舉報鏈接,接受廣大網民舉報,2014年7月以來,累計接到各類舉報165條,均已上報省網信辦或移交有關部門處置。市公安局網安支隊24小時巡查網絡違法有害信息,最大限度做好網絡監控工作。
清理有害信息12萬余條,關閉微博、微信、論壇、貼吧等賬號1800多個,關停網站214個,刪除有害跟帖3800余條,約談14人……自今年凈化網上輿論環境專項治理工作開展以來,黑龍江交出了這樣一份答卷。
在治理網絡違法有害信息同時,黑龍江還積極建設正面陣地。
李耀東在向檢查組匯報時說,黑龍江已建立起以668個主要媒體移動端參與的傳播矩陣,策劃開展傳播、評論、轉發工作,例如,黑龍江省十二次黨代會期間重大新聞整體閱讀量達3000萬人次,“直擊東北經濟——黑龍江行”活動閱讀量達678萬次。
加強公民個人信息保護
“用戶經常會接到詐騙電話和短信,你們怎么解決這個問題?”
“偽基站的問題為什么屢禁不止?”
“嚴格落實用戶實名制的同時,如何確保用戶個人信息不被泄露?”
……
檢查期間,檢查組成員對于個人信息保護的有關問題非常關注。
黑龍江省移動公司負責人在回答檢查組成員的問題時說,黑龍江移動在收集、存儲、使用、轉移、刪除等環節,都已建立起嚴密的安全管理機制。“例如,在使用環節,對涉及敏感信息操作的業務場景,納入金庫模式管控,對于客戶界面顯示、開發測試等場景,采取模糊化或標簽化處理機制。”
黑龍江聯通公司每年對照管理制度和實施要求,結合年度重點推進內容,開展專項檢查工作,細化“用戶信息保護”檢查標準,覆蓋了從用戶信息保護相關制度及責任落實、系統權限、操作日志、安全審計、宣傳培訓、投訴處理、合作伙伴管理、內網終端安全防護等各方面內容,且檢查結果與各責任單位績效考核相掛鉤。
“事實上,網絡安全的相關部門一直在做詐騙電話攔截工作。我們平時接到陌生號碼的電話,接通時對方沒有聲音,那就是相關部門對詐騙電話的攔截。”陪同檢查的工信部閆宏強說。
推動企業建立信息安全管理體系
檢查組指出,我國在網絡安全和網絡信息保護工作中還有不少薄弱環節,“一法一決定”貫徹實施還存在不少障礙和問題,集中反映在網絡安全意識有待增強、配套法律法規有待完善、管理部門權責劃分需進一步界定和協調、網絡安全基礎性工作仍需夯實、數據安全存在隱患等幾個方面。對這些法律實施中的突出問題,要予以高度重視,積極采取措施加以解決。
檢查組的提醒,與黑龍江省在貫徹“一法一決定”時遇到的問題實現了重合。
胡亞楓在向檢查組匯報時坦言,黑龍江在推進網絡安全和網絡信息保護方面還有薄弱環節,“一法一決定”還存在一些急需解決的問題,如網絡安全意識仍然薄弱、網絡安全基礎仍需夯實鞏固、網絡信息安全管理體制仍然不順暢、網絡安全人才力量不足等。
“部分企業工控信息安全防范措施不健全,沒有安全管理制度。企業向部門提供用戶通信信息、網絡設施建設等網絡基礎數據,存在信息泄露風險。”胡亞楓稱,針對網絡安全基礎方面存在的問題,將重點推動企業建立信息安全管理體系,完善安全管理制度,實現工控信息安全事件上報機制和安全績效考核規范化,同時,制定網絡數據報送規則,明確報送內容、歸口管理部門、信息報送流程及頻次等,堵住風險漏洞。
對于一些薄弱環節,胡亞楓在向檢查組匯報時表態,將繼續加大網絡安全和網絡信息保護力度,加強網絡立法、網絡執法、全網守法,堅持依法管網、依法辦網、依法上網,充分發揮法治對引領和規范網絡行為的主導性作用,讓互聯網在法治軌道上健康運行、網絡空間法治化建設扎實推進。(記者蒲曉磊)
記者手記:讓“看不見摸不著”的網絡安全能夠被感知到
檢查之前,我一直有個疑問:對于“看不見摸不著”而又關系到千家萬戶的網絡安全,應該怎樣檢查?
隨著檢查的深入,這個疑問逐漸被解開。
有執法檢查組成員在接受采訪時說,此次執法檢查,除了以往常用的召開座談會等“常規動作”外,還有兩個亮點值得關注:
隨機抽查。在哈爾濱檢查期間,檢查組在不打招呼的前提下,隨機對黑龍江省交通運輸廳和黑龍江省移動公司進行了檢查。一名檢查組成員事后告訴我:“地方只是知道有隨機抽查,但不知道去哪里,還是有一點緊張的。”事實上,保密的對象不只是地方,除了負責組織抽查工作的兩名檢查組成員,其他檢查組成員也不知道。
遠程檢測。此次檢查,不僅檢查組成員里有多名網絡安全方面的專家,還在抽查時當場連線北京的網絡安全監管部門,由該部門遠程進行網絡安全檢測,當場查找問題。
“網絡安全事關國家安全,事關經濟社會發展和人民群眾切身利益。貫徹實施好‘一法一決定’,有助于維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益。”有檢查組成員指出,要通過執法檢查,讓“看不見摸不著”的網絡安全,能夠真切地被人民群眾感知到。