银行存款一夜消失、股票市值一夜蒸发、诈骗电话精准袭击……关系到千家万户的网络安全,怎样强调其重要性都不过分。
上篇:“怎样强调网络安全的重要性,都不过分”
9月25日,全国人大常委会网络安全法执法检查组抵达黑龙江哈尔滨。
“银行存款一夜消失、股票市值一夜蒸发、诈骗电话精准袭击……关系到千家万户的网络安全,怎样强调其重要性都不过分。”有执法检查组成员这样向《法制日报》记者阐述网络安全的重要性。
深知责任重大的检查组成员,每个晚上都要聚在一起确认第二天的工作细节。
9月25日晚饭过后,检查组成员在一起确定第二天的行程安排。此时,一些检查组成员刚刚得知,第二天要分成两个组同步进行检查:一组按照既定行程检查,另一组临时抽查部分政府部门和企业。
“我们明天去哪里抽查啊?”有检查组成员询问。
“既然是不打招呼的临时抽查,怎么能透露呢?”有检查组成员笑着说,“其实,我也不知道去哪儿,据说是明天出发时再定。”
临时抽查、召开座谈会、检查时随机提问工作人员……为检查网络安全法、全国人大常委会关于加强网络信息保护的决定的贯彻实施情况,9月25日至29日,全国人大常委会执法检查组在黑龙江开展执法检查。
建设网络安全态势感知平台
只需要在电脑上进行简单的几步操作,就能攻破某单位的网站,还可以对网站上的内容作出修改——在黑龙江省网络空间研究中心的网络攻防实验室,工作人员向执法检查组演示了网络攻击。
这种轻而易举就能攻破政府网站的行为,让检查组成员感到一些惊讶和担心。
黑龙江省互联网信息办公室主任李耀东在向检查组汇报时说,黑龙江省网信办建设了具有监测、预警、分析和处置功能的网络安全态势感知平台,可对全省网络攻击、僵尸网络、病毒木马、终端安全等进行安全状况及趋势的态势感知。“目前,已实现对全省2581个党政机关、事业单位、国有企业等网站和系统的全天候监测以及对2.8万余台网络设备、安全设备、摄像头等进行定期普查。”
与此同时,相关政府部门与企业也在提升自己的防护能力。
国网黑龙江省电力有限公司负责人介绍,在电力监控系统方面,公司建成电力监控系统专网,严格执行“安全分区、网络专用、横向隔离、纵向认证”,将电力监控系统按照安全等级划分为生产控制大区与管理信息大区,大区之间加装电力专用安全设备,实现横向网络隔离。“除了建成电力监控系统专网,还严把建设、接入、运维、监督四道关,从根本上防范由于受到网络攻击、电网被远程控制造成大面积停电事件的风险。”
“有关单位和企业必须时刻绷紧网络安全这根弦,事实上,即使是隔离的内网,也不是绝对安全的,例如,通过硬盘攻破网络的事件就曾多次发生。此外,还要注意加强各部门之间的沟通,有些问题如果发现是普遍性的问题,就要通知所有相关单位加以重视或者整改。”全国人大常委会委员、全国人大财经委副主任委员彭森指出。
网下清查与网上清查相结合
不久前,哈尔滨市公安交警支队接到一名车主的报警电话,称其车辆被套牌,存在多条违法记录。交警支队调取违法图片发现,多数违法为悬挂该车牌的白色宝马轿车,通过细致分析,发现白色宝马轿车的车牌尾号存在异常,涉嫌违法使用变号贴。
“我们运用先进的大数据技术,通过缉查布控系统将过车数据与车辆登记数据库进行数据比对,对套牌的嫌疑车辆进行轨迹追踪、布控查处,实现了缉查布控系统的快速响应,海量数据瞬间关联。”哈尔滨市公安交警支队指挥中心科技科民警朱大琪介绍。
通过数据比对,交警支队确定了该白色宝马轿车的实际号牌,并通过分析该车的通行轨迹,确定其经常活动范围,随后将该车成功查获,对驾驶员处以罚款5000元、驾驶证记12分、拘留15天的处罚。
同样将网下清查与网上清查相结合的,还有新闻出版广电部门的“扫黄打非”行动。
黑龙江省新闻出版广电局局长赵洪生在向检查组汇报时称,重拳打击淫秽色情文化垃圾直播平台、传播网络淫秽色情文学作品、传播淫秽色情信息的非法弹窗,严厉打击微领域传播淫秽色情信息、新闻客户端传播庸俗、低俗、媚俗内容等行为,查处了一起被全国“扫黄打非”办挂牌督办的传播淫秽色情作品案件。
检查组了解到,2016年9月至今,黑龙江省反诈骗犯罪中心日均拦截境外诈骗电话4000余次,快速冻结涉案银行账户1.2万个,紧急止付、冻结涉案资金6900万元。受理电信网络诈骗案件1982起,协助抓获犯罪嫌疑人320名。组织开展“打击整治黑客攻击破坏和网络侵犯公民个人信息违法犯罪”专项工作,破获“非法控制计算机信息系统”“侵犯公民个人信息”等各类案件128起,抓获犯罪嫌疑人280余名。
提升打击电信网络诈骗能力
“我们也是你们三大电信运营商的用户,经常接到很多诈骗信息和电话,其中还有不少是伪装成你们运营商的号码,这方面你们采取了哪些治理措施?”全国人大常委会委员谢旭人提出的问题,引起了检查组成员的共鸣。
对此,三大电信运营商的相关负责人分别作出了回应。
黑龙江省移动公司负责人向检查组列出了几个数据:依托全国统建的垃圾短信集中管控平台,公司对垃圾短信集中治理,月均拦截垃圾短信149万余条,月均垃圾短彩信投诉量同比下降29个百分点。
“我们利用集团公司防欺诈系统的防欺诈公益服务,通过人工外呼方式,成功拦截受骗客户900余件,反馈公安部门疑似重度受骗用户300件,挽回客户损失近5万余元。”黑龙江省联通公司负责人说。
黑龙江省电信公司同样有所行动,该公司负责人称,通过加强基础管理工作,加强重点业务和源头管控,从严处置被举报号码,提升打击电信网络诈骗的能力。
“垃圾短信、诈骗电话的泛滥,不只对用户的信息安全造成威胁,也对公司的信誉有着负面影响。对于这些行为,不仅要通过技术手段进行被动的防范,还要主动配合公安机关严厉打击。”谢旭人建议。
黑龙江省移动公司负责人表示,公司积极配合公安机关打击伪基站违法犯罪活动,截至目前,共配合执法机关侦破“伪基站”案件164例,缴获设备163套,抓获犯罪嫌疑人210名。
“网络太广泛,仅靠政府的力量显然不足以应对其中的问题,企业应当负起主体责任,按照法律的规定承担起相应的责任。”全国人大常委会委员、全国人大财经委委员吕薇说。
建立倒查机制追责信息泄露
公民个人信息保护制度的落实情况,是检查组最为关心的问题。
中国联通佳木斯分公司设备维护中心经理张驰说,公司对于用户信息的保障,从技术与制度两方面着手:一方面,采取技术手段,提高网络安全性;另一方面,严格执行机房出入登记审核制度等多项措施,严格把握重要数据收集、存储、使用、销毁四个环节,严防泄密。
当然,涉及用户个人信息保护的部门与企业,远不止电信运营商。
“现在都使用智能电表,通过手机、电脑就能交费,如何做到用户信息保护?”彭森提出了这样的问题。
“为了保护用电客户隐私,公司开展脱离敏感信息工作,优化用电提醒模式,取消纸质用电提醒通知单,以短信、微信、手机客户端等形式进行用电提醒。对敏感信息的各类访问和操作行为进行审计,对审计不符合要求的内容提示告警信息,纳入安全监督管理。”国网佳木斯供电公司负责人说。
“我们平时在网上购买火车票,如何保证用户的姓名、身份证号等信息的安全?”全国人大代表、贵州大学大数据与信息工程学院院长谢泉询问。
哈尔滨铁路局负责人介绍,对客票发售与预定、货运制票、电子商务等系统中涉及的公民个人电子信息,重点采取落实内控管理机制、强化技术保护措施等实施有效保护。“例如,通过健全运行监控体系,对重要信息系统实行全天候监控,对公民个人电子信息的访问和操作进行审计,对异常访问操作及时预警。”
2016年1月至2017年8月,黑龙江省法院共受理侵犯公民个人信息犯罪案件11件,审结生效9件,判处罪犯13名——黑龙江省高级人民法院副院长王树江在汇报时提到的数据,引起了谢旭人的注意。
“在个人信息保护方面,可建立倒查机制进行追责。在公安机关办案过程中,经常能够发现一些犯罪嫌疑人手里有很多身份证,现在电话卡实行的是用户实名制,如果出现利用他人身份证办理电话卡的犯罪现象,可以对运营商进行倒查,找到具体的部门和个人,从源头上对这种现象进行治理。”谢旭人建议。
“事实上,网络安全‘一法一决定’宣传教育工作的贯彻落实,对于个人信息保护有很大影响。建议地方紧密结合实际情况,针对不同的人群,进行分类指导和精准普法,提升公民的法律意识和法治素养。”全国人大内司委委员刘莉指出。
制定网络安全人才培养战略
“人员编制如何落实?待遇怎么样?这方面的人才是否能够留得住?”在检查期间,全国人大代表高广生的注意力多次放在了人才队伍建设上。
黑龙江省副省长胡亚枫在向检查组汇报时坦言,在“一法一决定”贯彻实施中,急需解决“网络安全人才力量不足”的问题。
“黑龙江现有网络安全人员、执法人员的数量、能力和手段,与当前网络安全的严峻形势不相适应,专业型人才、复合型人才、领军型人才明显短缺,影响我省网络安全建设发展。”胡亚枫说。
刘莉认为,信息化的快速发展,使得政府对网络安全人才的需求更加迫切,建议从国家层面制定网络安全人才培养战略,地方层面出台相应的规定予以配合,通过对网络安全人才进行适度倾斜,建立相应的激励机制,从而缓解人才匮乏的问题。
“建议加强部门之间的协调,解决当前人才不足、力量分散的问题。可以集中力量构建统一的网络平台,在各部门之间形成信息共享,同时还有明确分工,例如,网信办发现违法信息,除了采取删除措施,还可以移交给公安机关进行执法。”吕薇说。
谢泉建议,要用智慧城市、大数据的思维模式来维护网络安全,这样可以实现信息共享与资源共享,避免因为重复建设而带来的资源浪费,从而解决当前各部门“各自为政”、人才紧缺的局面。
下篇:进一步发挥法治对网络的引领作用
“以前为了落实用户实名制,我们也曾按照公司规定对不实名的用户停机,但用户都会质疑我们的做法,而我们的解释也常常不被认可。现在,有了网络安全法,这些用户也很信服我们的举措,用户实名制的落实工作开展得更加顺利。”中国联通佳木斯分公司设备维护中心经理张驰对全国人大常委会网络安全法执法检查组说。
张驰的感受,是网络安全法、全国人大常委会关于加强网络信息保护的决定(简称“一法一决定”)在贯彻实施中的一个缩影。
让宣传教育有的放矢
“网络安全法自今年6月1日起实施至今尚不足4个月,因此,要把这次执法检查作为一次法律宣传和实施再动员的过程,作为提高全社会网络安全意识的过程,作为督促有关方面切实解决问题的过程。”全国人大常委会委员、全国人大财经委副主任委员彭森在两次座谈会的开场白中,都着重强调了“一法一决定”的宣传教育情况。
选准教育对象,是确保宣传教育工作取得实效的关键因素。
“面向各单位主管领导和党员干部开展网络安全专项教育,提升网络安全风险意识和责任意识。面向网络安全管理人员、执法人员开展网络安全知识培训,促进了解网络安全工作相关规定和专业知识,增强依法履职尽责的意识和能力。面向社会网民、高校学生传授普及网络安全法规,提高防范风险、增强维权能力。”黑龙江省副省长胡亚枫介绍,黑龙江省选择了三方面重点,并根据不同情况有的放矢。
对于宣传教育工作的效果而言,宣传方式的使用至关重要。
黑龙江省互联网信息办公室主任李耀东在汇报时说,黑龙江省已连续三年开展网络安全宣传周活动,其间,共举办了20余场次宣传培训讲座,吸引观展人员4万余人次,发送普及知识和普法短信5000余万条,发放《网络安全知识手册》35万余册,媒体报道2000余篇,点击量逾150万,播放公益宣传片累计5万分钟,形成全方位立体式宣传网。
要想确保宣传教育工作真正落到实处,相应的测试环节必不可少。
告知办卡需知、客户手持身份证照相、系统自动核实是否本人、签字确认……在中国移动通信集团黑龙江有限公司依兰分公司,公司总经理李林松现场演示了电话卡的办理流程,“公司对每个岗位的人员都有网络安全法方面的培训,必须熟练掌握,既确保用户实名制的落实,又保证公民个人信息不被泄露。”
制定配套法规规章
法律的生命力在于实施。黑龙江加速推进了“一法一决定”的配套法规规章制度建设,推动了“一法一决定”更好地得到贯彻实施。
胡亚枫在向检查组汇报时说,黑龙江省统筹规划网络安全制度体系,编制了《网络安全事件应急预案》等,严格规范风险评估、监测预警等工作流程,为及时准确应对网络突发事件提供行动指南。
“省委网信办与人民银行哈尔滨中心支行、省金融办等单位共同制定出台《金融行业网络和信息安全协调工作管理办法》,联合省教育厅制定推进普通高校网络安全工作意见,全面加强金融业、教育业网络安全协调联动工作。”李耀东介绍。
胡亚枫介绍,各部门还结合自身特点,制定了相应的配套规范,例如,黑龙江省委网信办制定了《全省网络安全和信息化信息报送制度》等制度措施,省工信委制定了《工业企业网络安全工作人员培训制度管理办法》等制度,省教育厅、省公安厅、省通信管理局还编制了相应的配套规范,为“一法一决定”的落实起到了辅助支撑作用。
强化关键信息基础设施保护
关键信息基础设施的安全,直接关系到国家安全和社会稳定。
自2015年起,黑龙江连续三年在全省开展关键信息基础设施网络安全检查工作,检查范围包括全省党政机关、人民团体及其直属单位、有关企事业单位以及重点行业和重点领域,通过自查抽查、攻防演练等方式,对各单位网络安全管理情况、技术防护情况等9部分内容进行检查。
“今年全省已检查单位600余家,信息系统和网站2300余个,治理和关停党政机关、事业单位网站294个。全省采集信息基础设施情况2000余个,基本摸清了关键信息基础设施底数和防护情况。”胡亚枫向检查组汇报了检查的结果。
2016年以来,黑龙江对省内72个网络单元进行符合性评测和风险评估,发现1656个漏洞,向省内158家单位发送网络安全事件函,通知其修复网站存在漏洞。
“此外,还通过渗透性测试方式对重点对象进行攻防演练,150家单位中99家存在网络安全漏洞,56家存在严重漏洞,已对上述单位及时下达整改通知书,确保关键信息基础设施网络安全。”胡亚枫说。
与此同时,黑龙江省还通过执法检查的方式,做好单位定级备案,落实网络安全等级保护制度。
检查组了解到,黑龙江1634个重点单位在各级公安机关进行网络安全等级保护定级备案,纳入了网络安全监管范围,其中三级信息系统392个,二级系统912个,390个信息系统完成了安全整改工作。
治理网络违法有害信息
治理网络违法有害信息,维护网络空间良好生态情况,是执法检查组检查的重点。
佳木斯市公安局网络安全保卫支队支队长赵万国向执法检查组介绍,在侦破的“2016·6·12”特大网络贩枪案中,嫌疑人通过4个微信号、2个QQ号,与4名上线、18名下线,在遍及全国24个省、3个直辖市共308个地市进行网络交易。此案共收缴枪支32支及大量零部件、子弹,抓获犯罪嫌疑人5名,捣毁一个制造买卖铅弹的窝点,收缴一套制造铅弹的设备。
除了重点打击,日常监控也尤为重要。
哈尔滨市网信办在哈尔滨新闻网、蓝网·哈尔滨网络广播电视和商业网站冰城网等新闻网站首页,设置了举报链接,接受广大网民举报,2014年7月以来,累计接到各类举报165条,均已上报省网信办或移交有关部门处置。市公安局网安支队24小时巡查网络违法有害信息,最大限度做好网络监控工作。
清理有害信息12万余条,关闭微博、微信、论坛、贴吧等账号1800多个,关停网站214个,删除有害跟帖3800余条,约谈14人……自今年净化网上舆论环境专项治理工作开展以来,黑龙江交出了这样一份答卷。
在治理网络违法有害信息同时,黑龙江还积极建设正面阵地。
李耀东在向检查组汇报时说,黑龙江已建立起以668个主要媒体移动端参与的传播矩阵,策划开展传播、评论、转发工作,例如,黑龙江省十二次党代会期间重大新闻整体阅读量达3000万人次,“直击东北经济——黑龙江行”活动阅读量达678万次。
加强公民个人信息保护
“用户经常会接到诈骗电话和短信,你们怎么解决这个问题?”
“伪基站的问题为什么屡禁不止?”
“严格落实用户实名制的同时,如何确保用户个人信息不被泄露?”
……
检查期间,检查组成员对于个人信息保护的有关问题非常关注。
黑龙江省移动公司负责人在回答检查组成员的问题时说,黑龙江移动在收集、存储、使用、转移、删除等环节,都已建立起严密的安全管理机制。“例如,在使用环节,对涉及敏感信息操作的业务场景,纳入金库模式管控,对于客户界面显示、开发测试等场景,采取模糊化或标签化处理机制。”
黑龙江联通公司每年对照管理制度和实施要求,结合年度重点推进内容,开展专项检查工作,细化“用户信息保护”检查标准,覆盖了从用户信息保护相关制度及责任落实、系统权限、操作日志、安全审计、宣传培训、投诉处理、合作伙伴管理、内网终端安全防护等各方面内容,且检查结果与各责任单位绩效考核相挂钩。
“事实上,网络安全的相关部门一直在做诈骗电话拦截工作。我们平时接到陌生号码的电话,接通时对方没有声音,那就是相关部门对诈骗电话的拦截。”陪同检查的工信部闫宏强说。
推动企业建立信息安全管理体系
检查组指出,我国在网络安全和网络信息保护工作中还有不少薄弱环节,“一法一决定”贯彻实施还存在不少障碍和问题,集中反映在网络安全意识有待增强、配套法律法规有待完善、管理部门权责划分需进一步界定和协调、网络安全基础性工作仍需夯实、数据安全存在隐患等几个方面。对这些法律实施中的突出问题,要予以高度重视,积极采取措施加以解决。
检查组的提醒,与黑龙江省在贯彻“一法一决定”时遇到的问题实现了重合。
胡亚枫在向检查组汇报时坦言,黑龙江在推进网络安全和网络信息保护方面还有薄弱环节,“一法一决定”还存在一些急需解决的问题,如网络安全意识仍然薄弱、网络安全基础仍需夯实巩固、网络信息安全管理体制仍然不顺畅、网络安全人才力量不足等。
“部分企业工控信息安全防范措施不健全,没有安全管理制度。企业向部门提供用户通信信息、网络设施建设等网络基础数据,存在信息泄露风险。”胡亚枫称,针对网络安全基础方面存在的问题,将重点推动企业建立信息安全管理体系,完善安全管理制度,实现工控信息安全事件上报机制和安全绩效考核规范化,同时,制定网络数据报送规则,明确报送内容、归口管理部门、信息报送流程及频次等,堵住风险漏洞。
对于一些薄弱环节,胡亚枫在向检查组汇报时表态,将继续加大网络安全和网络信息保护力度,加强网络立法、网络执法、全网守法,坚持依法管网、依法办网、依法上网,充分发挥法治对引领和规范网络行为的主导性作用,让互联网在法治轨道上健康运行、网络空间法治化建设扎实推进。(记者 蒲晓磊)
记者手记:让“看不见摸不着”的网络安全能够被感知到
检查之前,我一直有个疑问:对于“看不见摸不着”而又关系到千家万户的网络安全,应该怎样检查?
随着检查的深入,这个疑问逐渐被解开。
有执法检查组成员在接受采访时说,此次执法检查,除了以往常用的召开座谈会等“常规动作”外,还有两个亮点值得关注:
随机抽查。在哈尔滨检查期间,检查组在不打招呼的前提下,随机对黑龙江省交通运输厅和黑龙江省移动公司进行了检查。一名检查组成员事后告诉我:“地方只是知道有随机抽查,但不知道去哪里,还是有一点紧张的。”事实上,保密的对象不只是地方,除了负责组织抽查工作的两名检查组成员,其他检查组成员也不知道。
远程检测。此次检查,不仅检查组成员里有多名网络安全方面的专家,还在抽查时当场连线北京的网络安全监管部门,由该部门远程进行网络安全检测,当场查找问题。
“网络安全事关国家安全,事关经济社会发展和人民群众切身利益。贯彻实施好‘一法一决定’,有助于维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。”有检查组成员指出,要通过执法检查,让“看不见摸不着”的网络安全,能够真切地被人民群众感知到。