网络安全不再只是“网络”安全

简介:

近年来,各国网络安全领域的立法呈现集中爆发之势。由于网络安全越来越同国家安全、反恐等密切相关,因此网络安全立法的外延也在不断扩展,关键基础设施、网络人才储备、网络监控、信息共享等都被纳入其中。美国的《网络安全法案》就相当有代表性。

2015年年底,在美国国会例行通过的年度《综合财政拨款法》中,《网络安全法案》被夹在其中,一并出台。法案由《网络安全信息共享法》、《国家网络安全促进法》、《联邦网络安全人力资源评估法》等共计四章四十七节构成,是一部组合性质的法律。

——系列核心定义的范围被扩展,“网络安全”所指内容由之前单一的“信息系统安全”调整为“信息系统安全和网络数据安全”两大部分。

法案所谓“网络安全”,一是传统意义上的“信息系统安全”,二是“数据安全”,具体包括三种形态,“存储在信息系统上的”、“正处于处理过程中的”、“途经该信息系统的”,所有牵涉到这三种形态的数据,都属于这部法案最新调整的范围。

在新思路的引领之下,系列定义被重新调整。如,法案SEC.102(5)“网络安全威胁”,是指“可能对某一信息系统的安全、有效、机密和完整等属性造成负面影响的未经授权的行动,或者对存储于该信息系统的数据、正在该信息系统上处理的数据、途经该信息系统的数据造成负面影响的未经授权的行动”。

——法案对国土安全部大力授权,助其成为美国网络安全权力架构的最核心。

体现在三个方面,其一,法案授权国土安全部作为美国网络安全信息共享的枢纽,不仅是私营部门向联邦政府机构进行信息传递的枢纽,也是联邦政府各机构之间信息共享的枢纽,由此,国土安全部将一举跃升为美国网络数据最大的存储基地和中转港。其二,法案重新确认国土安全部在网络安全事故应急处置和关键基础设施安全保障两大任务中的牵头部门地位,新增其在网络安全人才教育培养中的负责部门地位。其三,法案授权新设国家网络安全和通信一体化中心,为国土安全部下设机构的权力再度加码。

——以网络安全为名,法案赋予美国网络服务提供商史无前例的网络监控权。

法案SEC.104节名为“网络安全威胁之防止、发现、分析和减轻等系列行动之授权”,其核心是授予网络提供商对网络实施监控,并采取所有必要的防御行动。

依据SEC.104(a),监控目标可以是自家网络信息系统,也可以是其他任何网络提供商的信息系统,只要获得书面同意即可。此外,对于那些被存储于、正处于处理过程中的、途经该信息系统的数据,均可实施监控。

启动监控之后,网络提供商可采取SEC.104(b)所规定的各项防御措施。值得注意的是,法案授权网络提供商可以与其他主体签订书面协议,授权其代表自己对网络实施监控和采取防御行动,即,监控行动可以被外包出去。此类规定给人的想象空间实在巨大,比如,外包的主体可以理解为市场上专业的网络安全公司,但也极有可能是国家安全局、中央情报局这样的老牌情报机构。法案这种无所控制的规定,基本可以视为2013年棱镜事件之后,美国在网络监控方面的又一次立法大扩张。

——新设信息共享制度,将私营部门和联邦政府各部门拧成一股绳。

信息共享的主线有两条,一是私营机构向联邦政府进行信息共享,二是联邦政府各部门之间的信息共享。共享的内容包括网络威胁迹象、防御措施、安全漏洞等等。共享主体上,主要由国土安全部部长、国家情报总监、国防部部长领衔,具体牵涉某一类信息到底在何种范围共享之类的法律细则将再行制定。

——网络安全人才教育和专业培养,百年树人,着眼长远。

网络安全的特殊重要性促使法案将网络安全人才单独列出来进行重点培养。法案提出“网络安全教育之国家倡议”,由国土安全部、国家标准技术研究院、联邦情报机构牵头,对网络安全和信息技术类人才进行专门培养,设定人员上岗要求,并对网络安全、相关工种进行全国统一职业编码。法案要求立即启动全国网络安全紧缺人才的申报和确认工作。

除以上之外,法案还规定了其他内容,如,要求对移动设备安全、网络医疗、网络金融等领域的安全予以前瞻性研究,进行重点关注。对2011年白宫《网络空间国际战略》发布5年以来的实施效果进行评估,并计划2016年年底之前出台新版《网络空间国际战略》。

总体上看,《网络安全法案》是美国立法机构动用国家强制力对网络空间进行规则重塑的又一部文本典范。其思想基本延续了《国土安全法案》、《爱国者法案》、《外国情报监控法案》、《美国自由法案》的立法精髓,体现了美国思维。

制度搭建方面,很多构想十分超前,力透纸背。比如,关键基础设施的安全保障计划从之前的“100%安全目标”调整为“基于风险”,将“某一”关键基础设施遭受网络攻击的情景假设调整为“多个”关键基础设施“同时”遭到极其重大网络攻击,并引发毁灭性后果的情景假设。类似此类的考虑,其实质是将立法思路整体转变为重大灾难很难回避的假设,这在全球恐怖主义袭击线上线下联动的背景之下,是有其现实意义的。

管辖范围方面,条文跨越国界,对全球网络安全进行管控。一方面,对于自然人,一旦触犯美国法律,不管你是哪国人,翻遍全球也要追捕到底。SEC.403节规定,美国法官在“确信”的情况下,可以向任何国家网络犯罪分子发布逮捕令,可以动用国际刑警组织发布红色通缉令,实施抓捕行动。另一方面,对于其他国家,美国并不致力于塑造和谐、和平、友好的对外形象,尤其是对中国、俄罗斯、巴西和印度,美国将特别关注其在国际网络空间规则制定方面的一举一动,比如这些国家提出的一些新词汇。

时间效力方面,法案有效期为10年,截至2025年年底失效,这与那些致力于法典化的国家相比,期限的确短暂,但也恰恰因此,法案的思路不以理论公正为目标,而是追求一种立竿见影的实际效果,有些制度甚至以1年或者3年为期。相比于那些反反复复斟酌词汇、希望网络安全立法条文“一部永流传”的国家,美国的出发点是角力当下。

很难想象10年之后,另一部美国网络安全法将会以何种面目出现。但变化的其实是形式,不会改变的,是美国立法机构将网络空间视为自家资产并掌控全球的惯性思维。从9·11之后的《爱国者法案》,到反恐背景下的《美国自由法案》,再到目前的《网络安全法案》,脉络其实始终清晰,美国立法不追求说服别人,只要说服自己即可。

本文转自d1net(转载)

相关文章
|
2天前
|
运维 供应链 安全
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
|
21天前
|
云安全 人工智能 安全
|
24天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
25天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
45 10
|
27天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
56 10
|
27天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
27天前
|
存储 监控 安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
本文将探讨云计算与网络安全之间的关系,以及它们在云服务、网络安全和信息安全等技术领域中的融合与挑战。我们将分析云计算的优势和风险,以及如何通过网络安全措施来保护数据和应用程序。我们还将讨论如何确保云服务的可用性和可靠性,以及如何处理网络攻击和数据泄露等问题。最后,我们将提供一些关于如何在云计算环境中实现网络安全的建议和最佳实践。
|
25天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
25天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。本文将介绍网络安全的基本概念,包括网络安全漏洞、加密技术以及如何提高个人和组织的安全意识。我们将通过一些实际案例来说明这些概念的重要性,并提供一些实用的建议来保护你的信息和数据。无论你是网络管理员还是普通用户,都可以从中获得有用的信息和技能。
25 0
|
26天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将探讨网络安全漏洞、加密技术以及提升安全意识的重要性。通过深入浅出的解释和实际案例分析,我们将揭示网络攻击的常见手段,介绍加密技术如何保护数据安全,并强调个人和企业应如何提高安全防范意识。无论你是IT专业人士还是普通网民,这篇文章都将为你提供宝贵的信息和建议,帮助你在网络世界中更安全地航行。

热门文章

最新文章