网络安全责任体系篇1
关键词:高校;网络安全建设;思考
1引言
网络安全,指的是计算机网络系统的安全,不仅包括网络系统正常运行的硬件、软件环境安全,也包括网络传输的资源、数据等信息安全[1]。网络安全不仅关系到我们每一个公民,更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地,在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势,如何保障高校网络安全建设的稳步推进,已经成为重中之重。
2网络安全建设存在的问题
高校网络安全建设存在一些问题,主要有以下几点。(1)网络安全专业人员不足目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机,但与之配套的网络安全管理员却严重不足,甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训,安全责任意识单薄,专业素养不够高,网络安全专业人员及其技能都存在严重不足。(2)师生网络安全意识不强高校网络的使用主体为本校师生,群体庞大,且大部分高校未开展系统、全面、全覆盖的网络安全主题教育,导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识,使得计算机很容易被入侵而造成数据及资源丢失[3]。一些学生在面对复杂的网络环境时,由于猎奇心理及感情用事,可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。(3)网络安全防护体系不完善截止到目前,很多高校尚未认识到加强网络安全管理的重要性,缺乏一套完善的网络安全防护体系。领导重视不够,未形成专门的网络安全领导小组;资金投入不足,无法购买各类网络安全防护设备;管理制度不完善,无应急预案等;技术防护手段不足,缺少各类必须的技术防护手段;网络安全人员不足,未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。
3加强高校网络安全建设的对策
3.1网络安全防护体系
高校网络安全建设应以人员组织为基础,以管理制度为依据,以技术防护为手段,三管齐下,切实保障好高校的网络及信息安全。
3.1.1人员组织体系自上而下,建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作,研究制定网络安全发展规划,决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作,负责网络安全及运行保障项目的建设、改造、升级、维护等方面,负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。
3.1.2管理规范体系规范化是制度化的最高形式,是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础,是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。(1)网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则,明确网络安全工作责任主体,各部门应有专人专岗负责网络安全具体工作,细化网络安全各关键岗位安全管理责任,签订安全责任书,建立安全责任体系,形成网络安全工作长效机制。(2)网络安全管理规范建立健全网络安全管理制度,明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范,使所有的网络安全活动都有规范可依,有制度约束。(3)应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍,强化技能训练,强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境,提高应急处置能力。(4)网络安全通报制度定期开展安全检查,全面、细致地排查安全隐患,并定期对检查结果进行通报,督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段,通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标,督促相关部门做好网络安全责任落实。
3.1.3技术防护体系网络安全及运行保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析,主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成完整的安全风险报告,帮助安全人员查漏补缺,防范风险于未然[4]。保护层次是对网络运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。
3.2网络安全宣传教育
维护高校网络安全是全校师生共同的责任,维护网络安全不仅需要学校的防护体系,更需要广大师生的共同参与,网络安全这道防线才能筑得牢固。因此,在制定完善的网络安全防护体系的基础上,更要通过定期的安全培训、知识讲座和学术交流,使全校师生不断增强网络安全意识,掌握网络安全知识,并有效提升各类网络安全事件的风险防范能力,进一步营造一个安全、健康、文明、和谐的网络环境。
网络安全责任体系篇2
校党政主要领导和分管安全保卫工作的校领导高度重视网络与信息安全工作,经常在各种会议上强调做好校园网络与信息安全工作对维护学校安全稳定的极端重要性,对安全保卫部门上报的有关网络动态信息认真阅读和研判,并及时作出重要处理批示,在学校每次召开的有关维护校园稳定的工作会议上都要对加强校园网的安全管理与监控工作进行专门部署。
学校还制定下发了《关于开展“平安校园”创建活动的实施意见》,其中指出“要坚持正确的舆论导向,防止信息传媒的管理失控,要健全网络管理机构,落实管理措施,强化网上监控”,为做好校园网络与信息的安全管理工作明确了目标和方法。
二、各职能部门分工明确、互相配合是做好校园网络安全管理工作的重要条件
在维护校园网络安全方面,学校有关职能部门根据自身的工作性质有着明确的分工。如校宣传部门主要负责全校网络安全教育,网络信息动态的监查、跟踪和掌握并进行相关处置;校网络主管部门主要负责加强整个校园网络技术方面的安全防范、保障、封堵和指导,采用合理的技术手段对网络运行安全进行有效的监查,为查处网络不良、有害信息及案事件提供技术支持;保卫部门主要负责对网络不良、有害信息及案事件进行查处,并根据自身工作性质对网络信息进行监查。各职能部门既各司其职又密切配合、协作形成合力,为做好校园网络安全工作提供了重要的基础条件,使工作更为顺利、效率更为提高、成效更为明显。
三、建全各项管理规章制度是做好校园网络安全管理工作的重要基础
学校根据国家网络与信息安全管理的有关法律法规,并结合学校的实际情况,制定了校园网络安全管理条例与规定,并根据上级有关规定、形势发展和学校具体实际情况,不断予以修订完善。各责任单位则根据学校有关规定和本单位的实际情况,制定网络与信息安全管理方面的各项具体规章制度,如日常安全管理制度、信息审核制度、安全检查制度、网管员工作职责等。由此校园网络与信息安全管理工作做到有章可依,有章可循,不断制度化、规范化。
四、建立和完善有效的管理机制是做好校园网络与信息安全管理工作的保障
(一)实行分级管理、逐级负责制
学校成立网络与信息安全领导小组,由主要领导担任双组长、分管领导担任副组长。领导小组定期不定期地对校园网络安全情况进行分析研判,研究制定涉及网络安全方面重大问题的对策、措施,并对一段时期内的网络与信息安全工作作出部署。领导小组下设办公室,主要负责全校网络与信息安全工作的管理和协调。各学院、部门、单位应当相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任网管员,负责本级网络与信息安全工作。
(二)实行安全责任制
学校与各学院、部门、单位签订网络与信息安全责任书,各责任单位要将网络与信息安全管理责任层层落实到所属各部门和人员。其中,各责任单位的网管员,具体负责本单位日常的网络与信息安全工作,网络与信息系统的主管单位承担系统的安全管理和监督责任,运行维护单位和个人承担系统的技术安全保障责任,使用单位和个人承担系统操作与信息内容的直接安全责任。坚持“谁主管、谁负责,谁运行、谁负责”的原则,切实落实网络安全工作责任制。
(三)实行一票否决制
校园网络与信息安全工作实行一票否决制。对在网络与信息安全方面存在重大隐患和问题而不认真及时进行整改,或发生重大网络与信息安全事件的相关单位和责任人,实行一票否决制,取消当年评先评优及个人晋职晋级的资格。
(四)实行责任追究制
对网络与信息安全责任不落实、日常安全管理措施不落实、安全教育不到位等,导致网络与信息重大安全事故或事件的,学校将根据网络与信息安全责任书的有关规定,追究相关单位和责任人的责任,并予以全校通报批评。对触犯法律的,则移交司法机关依法处理。
(五)实行值班备勤制
各责任单位要指定专人进行日常网络与信息安全保障工作,确保24小时通讯联系保持畅通。在重要、敏感时期,重大节假日期间,安排值班人员,一旦发生问题快速反应,及时处置。
五、强化网络安全形势的预测研判是做好校园网络安全管理工作的重要环节
学校各职能部门密切关注国内外发生的重大事件及学校出台的重大举措,结合当下校园网络的具体实际并根据网络本身的特点,对一段时期内校园网络的安全形势进行分析研判并上报学校,为领导科学决策提供依据。特别是在每年重要敏感时间节点时,对校园网络安全形势进行预测研判并提出有关防范措施上报学校,使网络安全防范工作更趋主动和有的放矢,例如,在北京奥运会、上海世博会、G20峰会等时期,均及时对校园网络可能出现的舆情、动态预作研判,将防范工作做在前面。
六、切实加强宣传教育活动是做好校园网络安全管理工作的重要内容
学校重视加强网络与信息安全宣传教育,每年新生入学时,发放新生人手一册《大学生安全知识读本》,其中包括网络与信息安全和保密等方面的内容及有关警示案例,供学生阅读学习,加强对学生文明上网、安全用网的宣传教育工作。平时,学校还将国家关于网络安全管理方面的法律法规和学校有关的规章制度编印成宣传小册子,分发到各学院、各部门负责人及网络管理员,并将网络安全方面的内容编入创建“平安校园”宣传教育手册,分发给全校师生员工,以此全面提高大家的遵纪守法的自觉性和安全防范意识。
通过上述具体实践和做法,我校初步创建了一个文明、有序、安全的校园网络与信息环境,从而为确保学校的政治稳定提供了坚实的保障。
(作者单位:浙江大学)
网络安全责任体系篇3
关键词:基本原则;网络空间主权原则;适度安全原则;公共治理原则
一、网络安全法基本原则的概念和功能
(一)网络安全法基本原则的概念
法律原则与法律规则、概念共同构成了法律规范的基本要素[1]。法律原则是指可以作为规则的基础或本源的综合性、稳定性原理和准则。法律原则不预先设定任何确定的、具体的事实状态,没有规定具体的权利和义务,更没有规定确定的法律后果。但是,它是指导和协调着全部社会关系的法律调整机制[2]。法的基本原则贯穿法律规范的始终,是其他规则的来源和依据,具有不可动摇的根本地位,对于立法、执法和司法具有指导和规范作用。网络安全法的基本原则是指导和规范网络安全法的立法、执法活动、规范网络安全法律关系以及相关争议处理的基础性规范。它贯穿于网络安全法的始终。
(二)网络安全法基本原则的功能
根据法理学对于法律原则的概念和功能的总结,网络安全法的基本原则在网络安全法制领域的功能可以概括为:第一,网络安全法基本原则是网络安全法的“基础性规范”,网络安全法的具体规则和原则以网络安全法基本原则为指导、反映和体现网络安全法的基本原则,而不能与之相抵触。立法者在制定网络安全法律法规的过程中受到网络安全法基本原则的指导和约束,网络安全法律、网络安全法规和规章都要体现和贯彻网络安全法的基本原则。第二,网络安全法基本原则是一种普遍性规范,它对网络安全法律关系进行整体宏观调整、规范。执法者和司法者在适用网络安全法具体规范调整特定法律关系时,必须受网络安全法基本原则的指导和约束。网络安全法的基本原则也为网络活动的参与者提供了一定的行为准则,理解网络安全法的基本原则对于他们理解和遵守网络安全法律规范具有指引作用。第三,网络安全法基本原则在特定条件下可以起到补充作用,在一定情形下也直接规范与网络安全有关的活动以及相关争议的处理。一般来说,网络安全法基本原则并不直接调整和规范网络安全法律关系。但是在相应问题缺少具体规则、或者法律给执法机关或争议处理机关留下较广泛的裁量空间时,就需要接受网络安全法基本原则的拘束,即根据网络安全法基本原则做出相应行为和裁决相应争议。
二、网络安全法基本原则的确定
网络安全法的基本原则的确定应当建立在对于网络安全法产生的时代背景以及其所调整的社会关系的基础之上。笔者认为,以下四个方面因素是确定网络安全法基本原则必须考量的因素。第一,网络安全法承担着维护国家主权的重要任务。网络安全是关系国家安全和发展,关系到人民群众切身利益的重大问题。网络安全法是以总体国家安全观为指导思想制定的,维护国家网络环境安全是网络安全法的重要任务。网络空间主权已经成为我国处理网络事务的根本指针和制度基石,也是网络安全立法、司法和执法必须遵循的原则。网络安全法应当以网络空间主权原则为核心和首要原则,网络空间主权原则的确立对于相关领域的国内事务、国际事务处理均具有重要意义。第二,网络安全法是以“问题为导向”的法律规范,其内容具有一定的综合性和复杂性。网络安全法并不是一部独立的部门法,这部立法主要针对网络安全领域中存在的突出问题,规范了各方面参与主体的权利义务,以及国家有关部门的职责,是相关领域的民商事活动、行政活动等的法律依据。因此,问题的多元性决定了网络安全法律规范的多元性,网络安全法律规范涵盖了相关领域的民事、行政和刑事法律规范。因此,网络安全法基本原则的确定需要结合不同领域的社会关系调整方式的不同,合理的界定国家治理与社会自治的关系。第三,网络安全法需要处理好信息技术发展与网络安全之间的关系。网络安全的实现需要以信息技术为基石,信息技术的发展是网络安全的技术保障,也是整个国民经济发展的重要支撑。为了维护网络安全而构建的网络安全审查制度、信息共享制度等制度无疑会增加相关行业的运行成本,过于严苛的网络安全保障制度设置会阻碍信息的自由流通,甚至会窒息互联网行业的发展空间。因此,合理界定监管权力的范围、平衡网络安全与信息技术发展的关系是网络安全法的重要任务[3]。
三、网络安全法基本原则的内容
在全面考察网络安全法产生的历史背景以及其所调整的社会关系的特殊性的基础上本文认为以下三个基本原则应当作为网络安全法的基本原则,即———网络空间主权原则、适度安全原则和公共治理原则。
(一)网络空间主权原则
学者将网络空间提炼为“网络设施、网络主体和网络行为”三要素[4],并在此基础之上借鉴主权的概念将网络空间主权界定为国家在其领域内对网络设施、网络主体和网络行为所拥有的最高权力、对外的独立权和自卫权[5-6]。综合学界现有的研究成果,我们将网络空间主权原则界定为:国家对一国网络基础设施、网络主体和网络活动管辖具有最高的管辖权,有权通过行政、经济、法律手段维护网络秩序,确保国家利益不受侵犯;有权参与国际网络空间治理活动,在遭遇他国政府或公民网络攻击时有权行使自卫权。网络空间已经成为继陆地、海洋、天空、太空之后的“第五大空间”。理论上网络空间可以自由进入和开发,但并不能就此认定网络空间属于“全球公域”,不受任何主权国家的管制。网络空间是受主权国家管辖的空间。这是因为:第一,组成网络空间的物理设备设施是在主权国家管辖之下的。第二,网络空间中的信息自由不是因为它是一个全球公域,而是因为各国免除或放松了信息出入境管制。但是网络空间不是完全的虚拟空间,而是现实世界的一部分,传统法律自然而然地延伸适用于网络空间;国家主权也自然而然地延伸适用于网络空间。第三,网络空间具有社会性。全球已有超过30亿的网民参与其中,人们在网络空间中交流互动,形成了一个真正的社区或社会,构成现实社会的一部分。在这样一个有海量国民参与的社会空间中,网络主体在网络空间中享有权利的同时也应履行相应的义务,承担相应的法律责任。第四,网络的互联互通性或无国界性意味着各国政府、组织和社会公众要加强合作,共同治理网络空间;意味着各国对打击其领域上的网络犯罪等违法行为负有一定的国际义务和责任[7]。网络空间主权原则对于国家以及所有网络活动的参与者都具有极强的现实意义。第一,国家应当制定法律法规、采取相应措施对于国内信息网络实施管理。在网络安全问题凸显的今天,国家承担保护国内信息网络安全的义务,应当积极履行职责,针对个人网络安全、关键信息基础设施的安全等建立有针对性的保护机制,维护国内信息网络安全秩序。第二,国家在处理涉外网络安全问题时坚持网络主权原则,依法对于来自于境外的网络安全风险和威胁采取措施,进行监测、防御和处置,保障国家关键信息基础设施免受攻击、侵入、干扰和破坏。国家在处理国内网络安全问题时,本着网络空间主权原则,对境内的网络活动参与者、网络系统与数据行使最高管理权。第三,网络服务提供者、关键信息基础设施的运营者以及网络用户均受网络空间主权原则的约束,应尊重国家主权,保守国家秘密,在从事可能涉及国家安全和利益的各项活动中自觉接受国家安全机关、保密机关以及国家网信机关的监督和管理。
(二)适度安全原则
所谓“适度安全原则”是指,网络安全法需要平衡网络安全与信息自由之间的冲突,将对网络安全的保护控制在适度的范围之内,不能为了绝对的网络安全而对于信息网络的使用者与运营者加诸过于严格的安全保护义务以至于扼杀了信息网络的互联互通和信息技术的发展。全国人大常委会在对于《网络安全法(草案)》的说明中明确了“坚持安全与发展并重”的原则。一方面,如果过分强调个人的表达自由、通信自由以及互联网行业的技术创新、价值创造的需要而片面降低对于网络安全的要求,那么不受约束的网上谣言、诽谤、盗版传播甚至犯罪活动最终会瓦解公众对于互联网的信任、打压文学艺术以及科技创新,将信息网络引向歧途。另一方面,如果过于强调网络安全,要求网络服务提供商或者中间平台等承担过于严格的网络安全保障义务,那么中间平台无疑会动辄得咎,疲于应付,生存下去都会成为问题,更何谈发展和创新[8]。网络服务提供商的安全保障义务过重会直接限制整个国家信息化发展的进程。因此,网络安全的保护不可避免地会引起对于网络使用的限制,但是这一限制应当是“有限度”的,要平衡网络安全与信息自由之间的冲突,将对于网络安全的保护控制在适当范围之内。适度安全原则主要体现在对于网络服务提供者的侵权责任认定上。早在上个世纪末,美国、德国和欧盟的相关立法就系统地规定了互联网服务提供商中间平台的责任豁免制度。欧美对于互联网服务提供商责任豁免的法律规定,对其他国家的互联网立法产生了广泛的影响,逐步成为各国普遍采用的一项基本法律制度[7]。适度安全原则在《网络安全法》《侵权责任法》等立法中均由体现。《网络安全法》第三条明确规定了“国家坚持网络安全与信息化发展并重”,这是适度安全原则的重要体现。《侵权责任法》在网络服务提供者的侵权责任认定问题上吸收了国际通行的“避风港规则”和“红旗规则”。《侵权责任法》第三十六条第二、三款的规定也被称之为“通知与移除规则”(noticeandtakedown),“通知与移除规则”的确立为网络服务提供者建立了一个“避风港”,使其免受来自指控他人侵权之人、网络服务对象的两头夹击,有利于维护网络技术服务提供者的合理自由[9]。但无疑这种“自由”必须是有限度的,否则它将摧毁信息自由本身。适度安全原则的确立要求立法者在立法过程中必须正视网络安全与发展间的矛盾,找到二者间的切合点。《电子商务法》立法过程中对于电商平台责任的争议以相应条款的五次修改体现了适度安全原则对于相关立法活动的影响。《电子商务法》一审稿规定了电商平台对于平台内经营者侵犯知识产权行为的注意义务。对于这一条款普遍意见认为:仅规范“明知”的情形过于宽松,不利于电商平台履行注意义务。为此,二审稿强化了电商平台的注意义务,除了其明知侵权行为的情形之外,另外规定了在其“应当知道”平台经营者存在侵犯知识产权的情形的情况下未采取必要措施时与侵权行为人承担连带责任。对于二审稿的这一规定,很多代表认为:电商平台不但应该对于侵犯知识产权的行为负责,还应该与消费者权益保护法的规定衔接细化其对于消费者权益的保护责任。针对上述意见,三审稿提出了“双连带责任”的规范模式,增加了电子商务平台经营者对于关系消费者生命健康的商品或者服务的经营者的审核义务和相应的连带责任。三审稿公布之后,电商平台等纷纷对于第二层次的连带责任提出了反对意见,认为这一规定给平台经营者施加了过于严苛的注意义务,不利于电子商务行业的发展,提出应当将第二层次的“连带责任”减弱为“补充责任”。四审稿吸收了这一意见,降低了平台经营者的注意义务,草案一旦获得通过平台经营无疑将获得更大的自由,却打破了电商与消费者权利相平衡的状态,减弱了对消费者权利的保护。最终在平衡消费者权益保护与电商发展两方面的利益之后,表决稿将“补充责任”修改为“相应责任”[10]。虽然最终的立法结果并未彻底解决争议,但是,这一立法过程无疑是体现了适度安全原则指引下对于安全与自由二者的权衡。
(三)公共治理原则
公共治理是指由开放的公共管理与广泛的公众参与这两种基本元素综合而成的治理模式[11]。公共治理原则包含三方面的内容:第一,包括政府、企业、公民在内的多元治理主体;第二,治理工具上既包括强制性的法律,也包括非强制性的软法及二者的混合;第三,治理结构不再是垂直的“命令-服从”,而是网络状的、平行的协商模式[12]。在网络安全领域,多元的治理主体、灵活的治理手段以及协商、合作的治理模式对于网络安全的保障具有重要意义。这是由于:第一,网络安全的保障是一个具有极强的技术性的问题,网络安全的保障程度与相关领域的技术研发、技术创新和应用密切相关。而掌握最新、最优网络安全保障技术的往往是相关领域的企业或者科研机构研发出来的。因此,网络安全的保障有赖于国家与这些企业、研发机构及高等院校之间的合作,通过鼓励、推动和运用新技术而不断提升网络安全保障的水平。第二,网络用户与从事网络信息有关活动的组织往往是与网络安全问题距离最近的主体,相比而言,政府从知情到响应往往需要较长的时间并支付更高的成本。因此,尽可能的调动广大网民、网络服务提供者等社会主体参与到网络安全的公共治理之中,能够更加及时、高效、便捷地应对网络安全问题。特别是网络服务的提供者,往往通过其掌握的行业规律、常见争议及安全问题等事先制定网络规约、建立安全问题举报制度、信用评价制度等等制度,已经在网络安全的保障上发挥了重要的作用,将这些多元的治理机制吸纳到网络安全的保障与规制中来,符合效率性的要求。第三,相比行业组织、信息网络的运营者与网络服务的提供者等主体而言,政府机关的人员配备及专业能力都相对较弱。只有吸收多元主体、综合运用国家法律与行业规则、兼顾国家规制与行业自律的多元治理模式方能够胜任网络安全保障工作[12]。作为网络安全法基本原则的公共治理原则体现在网络安全法律规范的多个层次。首先,公共治理原则要求国家、个人、网络运营者、网络服务提供者、行业组织、科研机构、高等院校等多元主体共同参与到网络安全的治理活动中来。我国《网络安全法》第六条规定了国家倡导通过全社会共同参与促进网络安全的良好环境的形成。其次,公共治理原则要求在网络安全的保障上坚持国家规制与行业自律并重,重视行业组织在网络安全保障上的重要作用,借助行业自律的高效性、专业性提升整个国家网络安全保障的水平。我国《网络安全法》在强调国家的监管责任的同时,亦重视行业自律对于维护网络安全的重要作用。《网络安全法》第十五条、第二十九条的相关规定就是这一原则的重要体现。再次,公共治理原则要求对于网络安全的保障要采取强制性管理与柔性合作并举的治理手段,不能片面强调强制性规则的重要性而忽略了柔性的行业与部门合作、协商、信息共享等手段的重要性。例如《网络安全法》第三十九条的规定就强调了国家有关部门与关键信息基础设施的运营者等间的网络安全信息共享与安全保障合作。这些都是公共治理原则的体现。当然,除了网络空间主权原则、适度安全原则、公共治理原则之外,在网络安全法的各个领域还需要遵循相应部门法的基本原则。例如,在处理平等主体之间的网络安全纠纷时,应坚持民法上的平等原则;在处理网络安全的行政监管问题时,应坚持行政法上的合法行政原则、比例原则和正当程序原则等原则;在追究涉及网络安全的刑事犯罪的过程中,应当遵循刑法的罪刑法定原则、罪责刑相适应原则等原则。
网络安全责任体系篇4
【关键词】气象信息;网络安全;系统建设;故障分析
一、高度重视信息网络安全工作
快速发展和信息技术的广泛应用给我国社会各行各业都带来了翻天覆地的变化,同时也加快了气象事业的现代化发展步伐.当前,气象业务的发展已经形成了以计算机系统为主的信息网络业务,在信息化网络模式下,气象信息可以及时高速地被传递到社会生活的各个角落,人们可以随时随地了解到气象信息。为进一步加强全局信息网络系统安全管理工作,旗县气象局应该成立信息网络系统安全工作领导小组,做到分工明确,责任具体到人。安全工作领导小组,组长,副组长,成员有。分工与各自的职责如下:局长为气象局计算机网络与信息系统安全工作第一责任人,全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。对存在问题的线路进行限期整改,并做好防鼠、防火安全工作。加强设备的管理维护,及时更换和维护存在问题的计算机设备。加强对全局工作人员的网络信息安全教育,在以后的工作中,继续加强计算机安全意识教育和防范技能训练,定期对工作人员进行培训,注重人防与技防结合,确实做好我局网络与信息安全工作。主要领导亲自督促,进一步做好计算机网络与信息安全管理工作的日常事务,相关负责人要认真做好计算机网络与信息安全管理的日常协调工作。
二、实时了解计算机和网络安全情况
旗县气象局一般情况下所有计算机均配备了防病毒软件,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。有利于保障信息系统安全。凡上传网站的信息,须经有关领导审查后方可上传;二是开展经常性安全检查,勤开机、勤杀毒、适时对操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、定期对端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,确保了我局信息的安全。在日常管理过程中养成良好习惯。切实抓好内网、外网、网站和应用软件“五层管理”,确保“计算机不上网,上网计算机不”,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;二是加强网络安全管理,对我局计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、ip管理、互联网行为管理等;三是加强计算机应用安全管理,包括网站、邮件系统、资源库管理、软件管理等。定期组织全局工作人员学习有关网络知识,提高计算机使用水平,确保网络信息安全。
三、认真对待计算机信息管理
近年来,各地旗县气象局都在不同程度加强了管理工作,强化组织领导,重视宣传教育,形成常规的日常监督检查细则,重点加大对计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、文件单独存放,严禁携带存在内容的移动介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。严格区分内网和外网,对计算机实行了与国际互联网及其他公共信息网物理隔离,落实保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保了我局网络信息安全。为进一步加强旗县气象局的网络信息安全工作,应该对部分需要计算机设备进行了升级,为主要计算机配备了UpS,每台终端机都安装了防病毒软件,硬件的运行环境符合要求;防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故;今年已更换了已经老化的一对光纤收发器,目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转基本正常。对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。强化信息安全教育、提高工作人员计算机技能。同时利用远程教育、科普宣传等开展网络安全知识宣传,增强党员干部网络信息安全意识。在设备维护方面,对出现问题的设备及时进行维护和更换,对外来维护人员,要求有相关人员陪同,并对其身份进行核实,规范设备的维护和管理。在管理过程中发现了一些管理方面存在的薄弱环节。
四、制定网络信息安全责任管理制度
信息与技术保障中心为气象局网络日常管理机构,对信息网站的建立和信息具有管理权。中心负责全局网络的规划、建设、应用开发、运行维护与用户管理。网络信息安全管理实施工作责任制和责任追究制。气象局成立网络信息安全领导小组,各级单位主要负责人为本单位的网络信息安全责任人,负责本单位内网络的信息安全管理工作。实行信息责任追究制度,所报送的一切信息必须是符合中华人民共和国法规,真实有效的。凡因虚假、反动、色情等内容而引起的一切后果均由报送者承担,如属个人因素影响信息工作,将追究责任。各单位应设立网络信息安全管理员,负责相应的网络安全和信息安全工作。网络管理员应定期更换管理员密码,及时注销无效用户;及时发现并处理网络安全问题。不允许单位以外人员单独接触计算机网络系统资源。各用户要加强安全保密意识,注意个人iD及密码的保密,不得与他人共用系统的账号。各单位应结合保密要求,制订计算机安全保密管理的具体措施,坚持“谁主管、谁主办、谁负责”的原则,各单位属于业务工作范围的信息,在前必须由本单位主管领导审核,签署同意意见并存档备案,然后由各单位信息管理员
网络安全责任体系篇5
关键词网络食品平台义务
基金项目:教育部人文社会科学规划基金项目“食品安全的行政、社会监督协调保障机制研究”(编号:15YJa820021)阶段性研究成果;无锡市法学会法学研究课题“网络购物中网络交易平台提供者的法律责任研究”(编号:wFH2016B09)阶段性研究成果。
作者简介:任丹红、潘云华,江南大学法学院副教授。
中图分类号:D920.4文献标识码:aDoi:10.19387/j.cnki.1009-0592.2017.04.039
互联网技术的迅猛发展,日益渗透到人们生活的方方面面。人们赖于生存的食品的交易方式也发生了重大的变化,“线上交易”的方式更多的为人们特别是年轻人所接受。艾瑞咨询“2015年中国外卖020行业发展报告”显示,2014年使用网络外卖的受访者中,55.1%的用户使用过第三方外卖平台叫过外卖,而在校学生的使用率高达76.8%①。线上交易食品的方式通过网络交易平台节约了交易成本,提高了交易效率,给人们的生活带来了更多的方便。但由于网络交易的虚拟性,隐蔽性,给食品安全带来了更大的隐患,给食品安全的监管带来更大的挑战。如实践中常有通过网络食品交易平台销售过期食品,假冒伪劣食品等情况。所以,食品交易平台的加入,在促进了食品交易繁荣发展的同时,也带来了食品安全的系列问题,增加了食品消费者的交易风险,也使消费者要求出卖方承担责任的问题更加复杂化。
“民以食为天,食以安为先”。安全的食品是人类健康生活的基础。食品安全一直党和政府关注的一件大事。互联网食品交易也不能例外。为了保护人民群众的人身权利,保障网络食品交易的安全进行,维护交易双方特别是食品消费者的合法权益,明确网络食品平台提供者的法律地位,确定网络交易平台提供者的义务及应承担的侵权责任,很有必要。
一、网络食品交易平台的定义及其法律地位
电子商务协会于2005年出台的《网络交易平台服务规范》中指出网络交易平台是指为各类网络交易提供网络空间以及技术和交易服务的计算机系统,例如,天猫、京东等线上交易平台。
而网络交易平台提供者就是从事网络交易平台运营和为网络交易主体提供交易服务的法人。国家工商行政管理总局2014年出台的《网络交易管理办法》的规定中,也对网络交易平台的概念作出了明确规定。结合食品交易的具体内容,食品网络交易平台是指在食品网络交易活动中为交易双方或多方提供网页空间,虚拟经营场所、交易规则,交易撮合,信息等服务,供食品交易双方或者多方独立开展交易活动的信息网络系统。
在网络食品交易行为中,网络交易平台提供者的法律地位的确定直接关系到平台提供者的法律责任的确定。学界对网络食品交易平台的地位问题尚未有专门的研究,2016年3月15日国家食品药品监督管理总局通过的《网络食品安全违法行为查处办法》也只是规定了网络交易平台的相关义务,也没有明确规定其法律地位。但根据对其上位概念,网络交易平台的法律地位的研究,网络食品交易平台提供者的法律地位大致也有三种不同的意见:
卖方说、柜台出租方说和居间人说。②卖方说认为,网络食品交易平台提供者直接参与到交易中,其法律地位相当于“销售者”或“出卖方”,一旦出卖的食品侵害了消费者的权益,就应当承担相应得法律责任。但这一观点认为所有的食品网络交易平台都实际参与到具体的食品交易中去,与现实不符。柜台出租者说认为,网络食品交易平台提供者是一种具备符合我国《消费者权益保护法》规定的为柜台承租人提供营业场所、物业管理服务、安全维护及保障等服务的出租者。对于商家的入驻,要审核其相关的主体身份信息。但这一观点也存在问题,即有的网站并不按期向销售者或者服务者收取一定的费用作为租金,而是免费使用平台,如淘宝网,其对所有用户开放,不论是消费者或服务者,只要在其平台上免费注册后,就能使用其网络平台进行交易,所以不能将网络交易平台提供者单纯认定为柜台出租者。居间人说认为:食品网络交易平台提供者在为买卖双方提供交易平台的过程中,担当了中间人的角色,实际上是产生了中介的效果。这一观点也有不足的地方。食品网络交易平台提供者将网络交易平台对用户免费开放,不是通过获取居间报酬的方式获得利益的。
所以,对于食品网络交易平台提供者的法律地位应当综合各种因素,进行周密考虑。当平台提供者参与具体交易时,其法律地位相当于出卖人,当平台提供者不参与交易,仅提供技术支持,交易场所时,其地位相当于“柜台出租者”,只不过,有的可能免费。同时,有的平台提供者既自行经营商品,又提供技术支持,交易场所时,则同时具有两种地位。食品安全关系到人民的生命健康权利,应在《食品安全法》及相关细则中明确网络食品交易平台的特殊地位及责任。对入网食品经营者设置更严格的准入条件、承担一定的本应由行政机关履行的监督审查方面的职能等等。
二、我国法律关于网络食品交易平台提供者的侵权责任的规定及网络食品平台提供者应承担的义务
(一)现行法律的相关规定
由于网絡食品交易比传统的食品交易更容易带来食品安全的隐患,网络食品安全已经成为全世界的一个监管难题。而网络食品的安全直接关系到人们的身体健康,人身权利,社会各界已越来越认识了食品安全的重要性,国家也已经出台了一些对网络食品交易的相关法律规定。
2013年最高人民法院颁布的《审理食品药品纠纷案件适用法律若干问题的规定》第9条就明确规定了网络交易食品、药品,平台提供者必须提供生产者或者销售者的真实名称、地址与有效联系方式的义务,否则,要承担不利的法律后果。《消费者权益保护法》44条也规定了网络交易平台提供者有提供销售者或者服务者的真实名称、地址和有效联系方式的责任,否则,商品对消费者造成损害的,平台提供者要承担赔偿的责任。
新修改的《食品安全法》第六十二条,更是明确了网络食品交易平台应当对入网食品经营者进行实名登记的义务,明确了平台提供者对食品安全的管理责任,应通过对网络食品经营者的审核、审查,来保障消费者的合法权益。同时,明确了网络食品交易第三方平台提供者对入网食品经营者有违反法律规定的监管措施,应当及时制止并立即报告所在地县级人民政府食品药品监督管理部门。第131条明确规定了网络食品交易平台未对经营者实名登记,审查许可证、未履行报告、停止提供服务等义务的法律责任,包括行政责任和民事赔偿责任。
2016年7月15日国家食品药品监督管理总局颁布了专门的《网络食品安全违法行为查处办法》。我国成为世界上第一个专门制定这一办法的国家。明确规定了网络食品交易第三方平台的建立和公开食品生产经营者审查登记、食品安全自查等制度的义务及违反义务应受到的行政处罚。
(二)网络食品平台提供者的义务
从以上列举的我国现行的法律规定来看,网络食品平台提供者应当履行法律、法规和规章规定的食品安全的义务和自己承诺的约定的义务。否则,要承担相应的法律责任。而法定义务的确定,则遵循了公平正义的原则,充分考虑了网络交易的特点,兼顾了社会公共利益和个人利益的平衡。
1.网络食品交易平台提供者的法定义务:
(1)登记入网经营者的信息和进行必要的形式审查的义务。在食品实体交易中,作为食品经营者,无论是企业还是个人,都必须领取并悬挂营业执照和经营许可证以公示自己真实的交易身份。网络食品交易也如此,入网食品经营者也应具备相关证件并向网络平台报告,提交姓名和地址等真实的身份信息。新《食品安全法》第62条第1款赋予了网络食品交易第三方平台提供者的“交易准监管”的权利和义务。即其需要对入网食品经营者进行实名登记,必要时需审查许可证,承担一定的食品安全的监管责任。③由于食品安全关系到人们的人身权利的特殊安全问题,法律把本应承担监管责任的行政机关的权利和责任赋予了网络食品交易第三方平台,目的是为了保障网络食品交易的食品象实体交易一样符合质量的要求,保护消费者的人身和财产权益。当然,由于第三方交易平台毕竟不同于行政管理机关,只能尽到一定的形式审查的义务,根据《消费者权益保护法》第四十四条的规定,对加入平台的食品企业的真实名称、地址和有效联系方式进行实名登记并以为消费者容易识别的一定方式的予以公示并及时更新。同时,审核经营者的食品生产、经营许可证等相关证件是否合法有效即可。如果没有登记相关信息,没有对经营者的相关证件进行必要的检查,当经营者销售的食品损害消费者权益时,则交易平台方必须承担连带责任。
(2)管理入网者的经营活动并对其违法行为的报告和制止义务。网络食品交易平台要保障网络食品交易数据和资料的可靠性、安全性,完整记录保存交易信息。对于通过平台提供食品或者服务的经营者及其的食品和服务信息建立检查监控制度,发现有假冒伪劣等违反法律、法规等行为的,应当向所在地工商行政管理部门报告并及时采取措施制止,必要时可以停止对其提供网络交易平台的服务。结合《食品安全法》的相关规定,对于食品经营者的一般违法问题,必须及时制止;对经营者违法情况严重的,网络平台要停止服务。当然,怎样的情況算违法严重,还需《食品安全法》配套的司法解释来认定。
(3)保障平台经营者经营的食品安全及对平台用户信息的保密义务。平台提供者通过对卖家用户信息的审查,卖家食品的信息的审查,如要求卖家提供食品合格证明、销售许可证等与质量、产地等相关的证明,保障销售食品的安全,同时,发现危险及时排查,避免不必要的损失的发生。基于对隐私权、商誉权的法律保护,对于平台用户的各种非公开的信息,不得擅自对外公开、泄漏或者提供给他人使用,否则,就要承担与过错相应得责任。
(4)协助消费者维权并对消费者的损害负有条件的先行赔付的责任。虽然在民事诉讼中,“谁主张,谁举证”。但消费者在一定程度上是信赖交易平台的信息才与销售者发生交易。所以,当消费者通过交易平台购买的食品权益受到损害的,维权时必须要得到交易平台的协助。④如提供入网食品经营者的真实名称、地址和有效联系方式,提供入网食品经营者的食品网页展示信息等,不能提供的,应当先承担赔偿给消费者的责任。目的在于保证网络食品交易的消费者合法权益受损但又求偿不能时能够得到及时的救济。
2.网络食品交易平台提供者的约定义务:
约定义务一方面产生于基于合同关系为消费者和经营者提供安全、便利的网络服务平台服务的义务。平台提供者要采用一定的技术标准和管理方法维护食品网络交易平台的正常运行,保证双方的网上交易能够顺利完成。另一方面产生于网络平台为了宣传,更好地吸引消费者消费而单方作出的对消费者有利的承诺。如先行赔付、退换货等条款以及打折、赠送等优惠性条款。一旦作出,必须遵守。⑤如专门从事餐饮服务,占据外卖市场大额份额的“饿了么”网站,为吸引新客户加入,在平台上推出“满减”、“新客户优惠”等优惠补贴的措施。若经营者不能满足持有优惠的消费者的优惠,平台提供者需要为此承担相应的违约责任,这是基于平台提供者单方承诺产生的义务。
三、现行法律规定的食品网络平台提供者的侵权责任制度的缺陷
随着网络技术的不断发展,食品网络交易的广泛使用,实践中也出现了更多的问题,对网络服务平台的责任也提出了更严格的要求,立法和司法实践中要求食品网络服务提供者在合理限度内承担实质审查义务的想法越来越明显,现行法律的规定也更加反映出存在的缺陷和需要完善的地方。
(一)相关立法的规定系统性不强,立法水平不高,立法层次较低
在网络交易平台的责任的管理方面,存在多部门管理,法律规制冲突的现象。有的规定是司法解释,有的是行政法规。除《食品安全法》属于人大常委会制定的基本法,其他的相关规定立法层次比较低,《食品安全法》与网络食品交易相关的条文也只有几条,缺乏专门的规范食品网络交易甚至是网络交易的基本法,忽视了网络服务消费者的特殊的法律保护,多部门规定出现许多规制冲突的现象,承担责任的监管机关不明确,存在重复处罚的可能,在许多规范中,出现工商行政管理部门和食品药品监督部门多头管理、重复处罚的现象。
(二)《侵权责任法》对网络交易平台提供者侵权责任的规定
太简单,笼统,缺乏具体的操作性通知规则是网络服务提供者的一个免责事由,食品网络交易也不例外。如果被侵权人没有通知食品网络服务提供者,其往往成为网络服务提供者不承担侵权责任的理由。但法律对通知规则的具体应用,通知的内容及递交的材料及形式等没有详细阐述,实践中没法操作。
(三)对食品网络交易平台的审查职能规定不明确,附条件的不真正连带责任的规定,使食品交易平台承担的责任过轻
《食品安全法》关于网络食品交易平台承担的责任是附条件的不真正连带责任。即能提供经营者详细地址的,则不承担责任。这一规定,没有体现“食品”和普通商品的区别,没有做到“责权利”相统一,对消费者不公平。食品网络交易中,网络交易平台不仅仅给交易双方提供交易的场所,而且实际承担了广告者,质量保证人等多种角色,消费者往往是相信平台的推荐的,平台设置的信誉评价等,才去购买,才去消费。所以,不真正连带责任显然太轻。
四、完善我国网络食品交易平台提供者的侵权责任的建议
(一)制定互联网交易基本法,健全网络立法体系
在我国,无一部统一而成熟的互联网交易基本法,互联网交易的法律规定散见在不同的法律、法规中。这样的规定已经越来越不能适应飞速发展的网络交易的发展状况。随着不断发展状大的互联网交易,制定一部统一的互联网交易的基本法律已非常必要。明确网络交易平台提供者地位,交易平台提供者的权利和义务。同时,特别重视互联网食品、药品交易,明确“食品”与一般商品交易的区别,在平台的建立,企业的入驻等门槛条件方面,制定比一般商品交易更严格的标准、更苛刻的条件。对食品交易平台提供者,课以更重的注意责任和义务,对违法者给予更严厉的处罚。为网络食品交易建立良好的法治环境,更好的保护网络食品交易消费者的合法权益。
(二)明确网络食品交易平台的连带责任赔偿制度
食品网络交易平台是以盈利为目的的综合性商业机构。不仅仅是提供交易的服务平台,而且还提供广告服务,居间服务。大量的收取佣金允许食品经营者入驻交易平台,如天猫和聚划算。有的网络交易平台对入驻商家提供信用评价服务,以吸引更多消费者入驻。如阿里巴巴对会员提供信用等级评估服务,淘宝网对经营者进行心、钻、皇冠等级的评价。这些措施直接关系到消费者对店家的选择,使食品交易平台间接地成为了经营者经营产品的质量保证人。《新食品安全法》要求网络食品第三方交易平台对经营者负有一定的审查的责任的规定等更使消费者有理由相信入驻的商家经过了平台的审核,具备一定的信誉和资质。信誉评价更是直接影响消费者对购买商品的选择,使食品网络交易平台不仅提供了交易的媒介,而且承担了质量保证人的角色。如按现行规定承担不真正连带责任,只是在平台提供者不能提供经营者的真实信息等情形下才承担责任,对消费者不公平。⑥食品交易平台为销售者提供的广告、居间的服务,有的已经收取了费用。为消费者推荐的各种食品,也让消费者产生信任。所以若消費者购买这一食品,食用后造成了损害,应当可以认为是信赖利益的损失。平台提供者虽然没有主观的故意,但客观上与经营者构成了共同的侵权行为,因此,应与经营者一起对消费者承担连带责任。这样的规定更符合权利义务一致的原则,更符合法律的公平正义的理念。所以,应明确规定食品交易平台承担真正的连带责任赔偿制度。
(三)设立网络食品交易平台收取入驻商户的保证金制度
食品网络交易平台的隐蔽性,跨区域性、交易的便利性等特征使这一形式的交易比实体交易更迅速,商家获利也更多,平台提供者的目的也更容易达到。但一旦造成损害,给消费者带来的损失更大,维权也更困难。因此,很有必要设立平台对入驻商户收取保证金制度。⑦“天猫淘宝的相关服务协议中就有相关保证金条款的规定,若平台经营者违反法律法规政策的规定或者违反了对消费者作出的承诺,并因此造成消费者利益受到损失时,平台有权直接使用商家交付的保证金对消费者进行赔偿。人身权利的保护是最基本的权利的保护,是其他权利保护的基础,更有必要设立保证金制度,可以使消费者人身权益受到损害时迅速使用保证金救治,迅速获得赔偿。
网络安全责任体系篇6
一、高度重视,精心部署
由局领导班子召开部署会。会议强调,网络安全至关重要,要把网络安全建设列入到安全议事日程,加大网络安全宣传教育,提高网络安全意识,注重网络安全建设,配齐相关网络安全设备,提升统计网络安全防御能力,营造安全、可靠高效的网络环境,确保各项统计业务工作顺利开展。
二、加强领导,落实责任
按照《中华人民共和国网络安全法》相关规定,成立网络安全管理领导机构,明确责任,夯实责任。制定相关网络安全有关规章制度,对网络设备、网络安全管理、网络维护责任等各方面都做详细规定,进一步规范我局网络安全管理工作,明确网络安全责任,强化网络安全工作,定期组织全局工作人员学习有关网络知识,提高网络安全意识,确保网络安全。
三、加强网络边界管理
细化防火墙安全策略,关闭不必要的应用、服务和端口,利用杀毒软件和安全客户端进行极端及病毒查杀,强化ip地址与U盘使用管理,开展计算机弱口令自查工作,继续完善网络信息安全技术防护设施,配备必要的安全防御和监测准入制度,从根本上降低安全风险定期对服务器操作系统进行漏洞扫描和隐患排查,建立针对性的主动防护体系
四、全面开展信息系统等级保护工作,完成所有在线系统的定级、备案工作
积极创造条件开展后续定级测评、整改工作。加强应急管理,修订应急预案,组建以技术人员为骨干、重要系统管理员参加的应急支援技术队伍,加强部门间协作,做好应急演练,将安全事件的影响降到最低。
五、加强技术学习,提高安全意识
认真开展网络信息(数据)安全教育学习活动、组织学习计算机及网络安全保密法律和相关保密规定、法规、操作方法。明确系统严禁与外网链接,严禁在非网络上传输信息,严禁使用非专业的移动存储介质在系统上拷贝文件。要求所有的网络接入终端及时更新补丁,定期查杀木马病毒,确保无安全漏洞、无木马病毒感染。
六、加强软硬件建设,防患于未然
做到软、硬件建设结合,硬件上下功夫,件上重管理,在做好局网络安全日常管理的同时,定期检查网络节点,定时进行漏洞扫描,落实网络安全区域边界的访问措施和策略。同时,加强纵横向沟通,在敏感时期和日常维护中对上积极做好网络与网络信息安全情况汇报,对下经常性开展网络监测指导,对危害计算机存在的因素做到早提醒、早防范、早部署形成网络信息安全的良好工作环境。
网络安全责任体系篇7
我校按照公安部门和上级主管部门要求,切实加强校园网络信息安全,维护校园网络运行稳定,为迎接建党100周年,创造良好稳定的社会和网络环境。近期在学校领导的带领下,对我校校园网络进行了网络信息安全自查,现将校园网络信息安全自查工作情况报告如下:
自成立学校网络安全小组以来,我校严格按照上级部门要求,积极完善各项安全制度,加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,全面落实信息系统安全防范工作。重点抓好“三大安全”排查工作:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、密码管理、ip管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等,不断规范网络安全管理,形成了良好的安全保密环境。
一、网络安全责任制落实情况
我们小学高度重视学校网络安全工作,成立了网络安全工作领导小组,明确了网络安全的主管领导、具体负责人和工作人员的分工和责任,并指定各处室熟悉计算机的工作人员为信息安全员,一旦发生网站安全事件(事故),将按照安全责任制进行追责。
学校中心机房为了安全,在硬件和软件方面都做了些技术工作,学校现有计算机100多台,学校建有多媒体教室、微机室等,并接入校园网,有本地教学资源库、校园网站等应用系统。学校结合实际应用需求,每年均有教育信息化建设经费投入,保障校园网络持续发展,为教育教学提供服务。
二、日常网络与信息安全管理。
1、为保证我校校园网信息安全,充分发挥网络在教学科研和管理中的作用,制定日常网络与信息安全管理制度。
2、启用了防火墙设备,对互联网有害信息进行过滤、封堵,长期对防火墙进行检查维护。
3、校园网网络信息安全管理在学校网络信息工作领导小组的领导下进行。网络信息安全管理的范围包括信息的审查;信息的日常巡查;网络攻击的监测、预防;网络计算机病毒的预防和清除;有害信息的清理、记录、备份以及上报等。
3、所有校园网的信息,须按照我校《校园网信息管理办法》的规定进行审查核准。
4、网络中心以及校内各站点必须有专人负责信息安全工作,要对所有网上信息进行日常巡查和维护。
5、保证在局域网内每一台计算机都安装了杀毒软件,并对计算机的使用者进行网络安全培训。保证使用者可以独立的对计算机进行杀毒并升级病毒库。如使用者遇到不能解决的问题,及时联系网络管理员。网络管理员应及时解决。
6、要随时监测来自网络的各种攻击行为,制定有效的控制和预防手段,对容易造成严重后果的攻击行为,要及时报告国家公安系统和教育主管部门进行处理。
7、所有接入校园网的主机必须安装有效的病毒防范和清除软件,并做到及时升级。所有经过网络传输的文件必须预先进行查杀病毒处理。
三、网站安全管理制度以及技术防护措施落实情况
网站服务器位于电脑室中心机房。机房进出人员管理按照制度执行,有详细记录,登陆有密码验证。机房日常监控按照制度执行,并有监控记录。我们制定了网站内容管理制度和网站内容流程,并严格按照流程执行。
校园网络安全工作管理由专人负责服务器的日常维护工作,定期检查,发现问题能及时解决,闲杂人员一般不允许进入学校的中心机房。
网站技术防护措施主要靠机房的统一管理维护,部署了防火墙,对外屏蔽了不必要的服务和端口,部署了入侵检测(防护)设备、抗拒绝服务攻击设备和web应用防火墙,定期对网站文件进行检测,并采取网页防篡改措施。2018年、2019年和2020年都争取费用对网站进行安全等级评测。
四、网络安全应急工作情况
为做好网络安全,网管给校园电脑统一分配ip地址。建立校园网管理、应用、维护等技术文档和日志。杜绝有害信息在校园网上散布,及时发现、举报有害信息入侵等网络信息安全事件。及时升级学校网络中心及终端计算机的各类系统安全补丁。及时做好各类应用系统的信息安全、数据备份工作。加强网络信息保密工作,严格贯彻落实涉密信息不上网,上网信息不涉密的有关信息保密工作要求。学校未发生重大网络信息安全责任事故。
当遇到重要网络与信息安全事件或严重网络与信息安全事件,由网络信息安全工作领导小组牵头,成立应急响应小组,组长由信息安全工作领导组长担任。应急响应小组应及时向信息安全工作领导小组汇报事件处理进展情况。
应急响应小组快速调动相关资源,协调本单位和公安、教育主管等相关单位的信息安全专家,防止事件处理的任何环节出现延迟,以最快速度确定故障点,及时排除故障,保证系统正常运行。
五、网络安全教育培训情况
1、积极利用教育网上的资源库开展教学,促进教育教学质量不断提高。对网络中的aRp欺骗进行定期维护查杀,对教师使用的微信、QQ等平台软件进行部分限制,以确保网络正常。充分利用内部办公网络、全员大会和学校信息员培训等形式,加强对计算机信息网络安全的宣传和教育工作,提高防范意识和应急处置能力。加强对网络与信息安全等方面专业技能的培训,指定专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为行政管理干部的培训内容,增强应急处置工作中的组织能力。2020年我们在师生中开展网络安全主题教育,各班级还组织开展了信息素养教育等“六个一”活动,提高了师生的网络安全意识。
2.演练建立应急预案定期演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
3.责任与奖惩。认真贯彻落实预案的各项要求与任务,建立监督检查制度。不定期进行检查,对各项制度、计划、方案、人员等进行实地督察,对未有效落实预案各项规定的进行通报批评,责令限期改正。
六、自查存在的问题
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
1、对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
2、加强设备维护,及时更换和维护好故障设备。
3、自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
七、下一步整改计划
根据自查过程中发现的不足,同时结合农村学校实际,将着重对以下几个方面进行整改:
一是加强教职工信息安全教育培训工作,增强网络与信息安全防范和保密意识,进一步提高教职工信息安全工作技术水平。
二是要创新完善网络与信息安全工作机制,进一步规范办公秩序,提高网络与信息工作安全性。
网络安全责任体系篇8
[关键词]网络安全事故;救助;机制
学校网络安全事故属学校安全范畴,不是通常所指的网络技术安全事故,而是特指学生因不当使用网络而导致的危及自身或他人的身心、财产,危及社会的现象。学校网络安全事故分为两类:一类为危及自身的网络安全事故,主要包括由于各种不当上网行为引发的逃课、离家出走、突发疾病、自杀,甚至成为诈骗、强奸、故意伤害、杀人、拐卖等刑事犯罪受害者的事故;一类为危及他人及社会的网络安全事故,主要包括由于各种不当上网行为引发的各种违法或犯罪,如因“网资”不足而引发的抢劫、抢夺和盗窃等违法犯罪,因网上黄色淫秽内容及网恋引发的性犯罪,因网上暴力内容潜移默化的影响而引发的绑架、杀人等暴力型犯罪等。
近年来,由学生不当上网引发的学校网络安全事故呈不断上升之势,给自身、家庭、学校、社会造成极大影响与危害。科学合理的学校网络安全预警与干预机制的建立,能有效地使学校网络安全事故的发生率降到最低,但并不意味着事故可以完全杜绝。如何对已发生的学校网络安全事故进行准确分析判断,采取恰当措施对事故主体进行救护与援助,成为学校安全研究的又一重要课题。
一、学校网络安全事故救助机制的内涵和外延
学校网络安全事故救助机制是指学校网络安全事故救助涉及的诸如救助主体、对象、机构与人员、救助手段、程序等要素,以及各要素之间相互影响、相互制约而形成的有效联系、有机运行的系统总和。www.133229.com
学校网络安全事故救助机制的内涵主要是:首先,学校网络安全事故救助机制是在对事故进行准确分析判断的基础上进行的救护和援助活动的运行系统。对事故的成因进行系统分析,对其发生、发展及造成的危害进行测度,是成功救助的保障。其次,学校网络安全事故救助机制是事后的救护和援助机制。没有事故的发生,就谈不上救助。再次,救助的目的是最大限度地减少伤害和损失,最大限度地维护救助对象的合法权益。最后,救助机制是各要素间相互联系、相互影响和制约的有机运行系统,缺少任何一个要素,系统都无法正常运行。
根据救助级别划分,学校网络安全事故救助机制可以分为:政府、教育行政部门、学校三级救助机制,其中政府和教育行政部门救助机制又可划分为镇、县、市、省、国家五级机制。根据救助的时间划分,学校网络安全事故救助机制可以分为:长期救助机制和短期救助机制。其中短期救助机制是针对临时突发事故的救助机制,即应急机制。应急机制与干预机制的区别在于:一是目的不同。干预机制的目的是防止网络安全事故的发生;应急机制的目的是尽量减少已发生的网络安全事故带来的危害。二是适用的阶段不同。干预机制适用于事前,即网络安全事故发生前,是发出网络安全预警后的排警;应急机制则是事后的,是网络安全事故发生后的紧急救助。
二、学校网络安全事故救助机制建立的必要性
学校网络安全事故救助机制是预警与干预失败后的补救机制,是最大限度降低事故危害的保障。
(一)预警和干预并不能完全避免事故发生的特性决定了救助是必要的。学校建立了网络安全预警与干预机制,并不意味着网络安全事故将完全杜绝。预警与干预是对未来的预测以及在此基础上的防范和调控,而预警的主客观条件因素都是不断变化的,预警机制运行中的任何差错、干预措施不当或客观外界不可预料的因素都可能使网络安全事故的警示与干预失败。没有做到防患于未然,进行及时有效的救助,治患于已然便成为必然的补救选择。
(二)学校网络安全事故的危害性决定了救助是必要的。学校网络安全事故一旦发生,轻则危及学生自身的身心和财产,重则危及他人财产和生命、危及社会。因而,采取及时有效的救护和援助措施进行补救是十分必要的。只有这样,才能及时控制事态的进一步发展,将事故造成的影响和危害控制在最小范围,最大限度减少事故主体的伤害和损失,最大限度地维护主体的合法权益。
三、学校网络安全事故救助机制建立的可能性
(一)客观需要的存在。有需要就有可能,目前学校网络安全事故的发生每年呈上升趋势。事故发生后,不仅事故主体要受到事故带来的危害影响,学校、家长、社会等各方面也不同程度地受到影响,都希望并需要得到来自各方的救护和帮助,使事故对自身的影响降到最低。
(二)法律和政策的保障。现阶段,国家有关部门对学校安全问题极其重视,在学生安全救助方面已相继出台了一些相关办法和措施,如《中华人民共和国未成年人保护法》《中华人民共和国教育部学生伤害事故处理办法》等法律法规,为救助提供了最基础的法律依据。同时国家正加快网络管理立法,逐步采取各种措施加强网络管理,在法律和政策方面为学校网络安全事故救助机制的建立提供保障。
(三)以人为本的观念基础。当今时代以人为本的观念正深入人心,这为学校网络安全事故救助打下了良好的观念基础。学校网络安全事故救助是在以人为本的前提下进行的救助,目的是要保护事故主体一人的合法权益,降低事故对人的各方面的损害。在以人为本观念的影响下,参与救助的各方行动能够更加协调一致,利于整个机制的有效运行。
四、学校网络安全事故救助机制的构成
学校网络安全事故救助机制的构成是指学校网络安全事故救助机制包含的必不可少的有机组成要素,包括以下内容:
(一)救助主体。学校网络安全事故的救助主体是指享有网络安全事故救助权利,承担救助义务的有关组织或个人。学校网络安全事故救助的主体是多元一体的,这是因为:首先,《未成年人保护法》第五条第二款规定:“保护未成年人,是国家机关、武装力量、政党、社会团体、企业事业组织、未成年监护人和其他成年公民的重要责任。”第三款规定:“对侵犯未成年人合法权益的行为,任何组织和个人都有权进行劝阻、制止、或者向有关部门提出检举或控告。”可见,从法律角度看,学校网络安全事故救助主体是多元的。其次,由于影响学生网络安全事故的因素涉及学校、家庭、社会、个体自身等多方面,决定救助不是单方面的学校行动就能完全解决问题的。因此,学校网络安全事故的救助主体是多元一体的,即学校、家庭、社会、个体自身共同参与救助。
(二)救助机构及人员。学校网络安全事故的救助主体是多元一体的,学校、家庭、社会、个体自身都有责任和义务共同参与救助,但救助是一个系统的行为过程,需要一个常设的组织机构来具体组织和协调救助行动。学校网络安全事故的救助机构是根据救助机制的不同级别来设置的,可分为部级救助机构、省市县救助机构、学校救助机构。不同级别的救助机构都是由相应的教育主管部门领导,由相关部门、机构和人员组成的救助组织。学校级救助机构是在学校所属教育主管部门的领导下,由学校内主管领导、工作人员、教师及外聘法律、心理等相关专家组成。需要指出的是,学校网络安全事故救助机构的功能是组织和协调救助行动,一些具体的救助行动,如对当事人的生命救助,就需要医疗机构具体实施,对当事人的司法救助则需要司法机关具体参与,而学校网络安全事故救助机构在这些具体救助中是起协调和配合作用的。
(三)救助对象。学校网络安全事故的当事人有两类:一类是学校学生,一类是校外人员。事故的责任方有可能是学校学生,也有可能是校外人员,事故的受害方同样如此。生命属于每个人只有一次,珍惜生命、尊重人权、安全第一是以人为本的原则。因此,从人道主义出发,学校网络安全事故救助不仅要对事故的受害方进行救助,当责任方处于生命威胁时,还要对其进行救助;不仅要对学校学生进行救助,还要对校外人员进行救助,特别是在现场紧急情况下,不管是否属于校内学生,只要处于危险状态,都必须进行救助。
(四)救助形式。学校网络安全事故的救助形式是指学校网络安全事故救助主体对救助对象进行救助所采取的方式和途径。根据不同的划分标准,学校网络安全事故救助有不同的形式。根据救助主体划分,学校网络安全事故救助包括学校救助、家庭救助、社会救助和自我救助等;根据救助手段划分,学校网络安全事故救助包括经济救助、医疗救助、法律救助、心理救助、人道救助等;根据救助程序划分,学校网络安全事故救助包括现场救助和后续救助。学校网络安全事故救助形式是多样的,影响网络安全事故的因素是复杂的,事故发生后的具体情况是不同的,因而这些救助形式在事故的具体救助中常常要相互结合使用,才能达到有效的救助。
五、学校网络安全事故救助机制的运行
学校网络安全事故救助机制的运行是一个动态过程,其运行包括以下几个环节(图1):
(一)现场救助阶段。学校网络安全事故的现场救助是指救助主体第一时间在事故发生地对事故主体进行的紧急救助,其目的是尽量控制事态恶化,把事故造成的危害与影响降到最低。一般来说,学校网络安全事故的发生地点多在校外,无论是哪种情况,救助机构都应在得知事故发生后作出迅速反应,立即启动应急预案,在第一时间赶赴现场;同时根据实际情况需要,迅速通知医院进行急救、及时报警、尽快联系家长等,必要时请求社区相关部门给予支持和帮助。如因客观原因未在第一时间得知事故发生,赶赴现场后也应积极配合他人已经开始的自发救助,并将所掌握的事故主体的情况主动向警方汇报,并采取妥善方法安抚受害学生及家长。
(二)后续救助阶段。学校网络安全事故救助的后续救助是指在对事故进行现场救助后,为进一步消除事故的后续影响而进行的相关救助。经过现场救助,将学校网络安全事故的影响和危害控制在一定范围内后,还要采取各种措施消除其后续影响。对于事故造成的损失,责任方根据法律规定,按照责任的比例和受损程度向受害方支付一定数额的赔偿金;对于责任问题、赔偿问题发生争议或纠纷调解无效,可以采取法律手段进行解决,对于涉及违法、犯罪的事故,还将追究责任人的相关法律责任,以维护受害方的合法权益;网络安全事故对学生的心理危害也是极大的,无论是责任学生还是受害学生,在网络心理方面都存在不同程度的问题,特别是受害学生,常常处于事故造成的心理阴影之下,影响正常的学习生活,实施必要的心理辅导和疏通是非常必要的;对于仅仅危害自身且危害程度不大的事故,加强对责任人的教育和心理疏导也是必不可少的。
网络安全责任体系篇9
为确保我区教育信息化健康发展,使之更好地为教育教学服务,以教育信息化带动教育现代化,努力把校园网站建设成广大师生充分使用的学习平台、资源平台、信息平台和办公平台,形成“网络通道-应用平台-信息化队伍-资源建设”协调发展的教育信息化发展新格局。根据国家计算机信息网络有关规定和省、市教育行政部门及公安部门关于加强互联网络管理的若干文件精神,结合我区教育系统实际,现就加强我区教育网站建设与教育网络管理提出如下意见,请各校认真贯彻执行。
一、统一思想,充分认识网站建设与网络管理的重要意义
1.教育信息化的发展要求我们必须建好学校的网络系统和网站。建设好教育网,办好教育教学网站,实现教育教学资源的共享,为教师、学生提供丰富的网络资源,是现代教育体系重要的组成部分。
2.实现教育现代化必须依赖于教育信息化这一制高点。实施现代远程教育已成为推进城乡教育均衡发展的重要手段,开展网络教研也将成为信息时代教育发展的第一生产力,熟识网上办公更成为提高工作效率、优化工作管理的必要支撑。
3.办好教育网站有利于促进依法执教,提高公共服务水平,保障公众知情权、参与权和监督权,对加强教育行政部门、学校自身建设和推进教育管理体制改革,提高各级各类学校教学科研水平,推进学校基层民主政治建设具有重要意义。
二、加大投入,促进网络和网站建设
1.加快网络建设步伐。各校要根据教育教学需要,加大经费投入,完善学校的网络工程。对学校网络设备要定期进行保养,对损坏设备及时进行维修,并及时更新老旧网络设备。局教仪站要统筹规划建设学校教育网络,加强与电信运营商协调合作,积极为薄弱学校提供必要的网络存储空间。
2.加强网络管理员队伍建设。各校在选聘网管员时要严格把关,选择业务素质强、政治素质高、责任感强的教师担任,还未落实网管员的学校必须积极主动选聘,同时要根据网管员的实际情况考虑其工作量或给予适当的津贴。局教仪站要做好各校网管员的登记注册和管理工作,定期开展计算机专业技术和网络职业道德等教育培训活动,切实提高队伍的整体素质。
3.加强网络信息宣传员队伍建设。信息宣传员是网站运行的灵魂。各校要按照专兼职相结合的原则,建立一支覆盖面广、思想理论水平过硬、政治责任感强的学校网络宣传员队伍。要充分发挥好网络宣传员队伍的作用,切实加大正面宣传力度,丰富信息内容,及时掌握宣传动态,重视交互性较强栏目的正面引导。同时,要进一步利用网络优势,加强对区域教育改革发展的重大事件、重要工作、活动以及重要文件政策、制度、措施的公开宣传报道,特别是社会和教师关心、关注的热点问题,要公开工作动态和办事程序,使广大教师和家长及时了解信息,加深对政策的理解和支持。局办公室要加强对网络信息宣传员的培训和管理工作,并制定《网络信息宣传员考核评估办法》。
4.加强网络管理制度建设。建立并严格实施网络与信息安全管理的各项制度,是网络与信息安全工作的一项核心内容。各校必须建立网络与信息安全管理的各项制度,内容应包括:(1)学校网络管理和信息安全工作条例;(2)网络系统的维护制度和应急措施;(3)网络案件和事故上报制度;(4)网络管理员工作职责;(5)信息审核登记制度等。同时,各校要认真督促检查相关制度的落实情况,定期研究解决本校校园网管理中存在的问题,建立网络与信息安全工作的长效机制。
5.加强网站的开发应用建设。网站建设是网络应用的重要窗口和平台。各校要切实加强本校的教育网站建设与管理,配置专人负责网站内容的更新与维护,积极开发网站应用的新模式、新板块,为社会、学校、教师、学生提供更加丰富有效的服务。教育局各职能科室要带头建设好自己的网页,及时对网站内容进行更新,共同把*教科网建成师生喜爱、社会欢迎的网站,在省、市、区考核评估中继续保持前列的位置。
三、重视网络安全,加强网络与网站管理
1.学校网络必须统一接入区教科网。为维护教育网络的整体性,保证教育政令畅通和资源共享,加快教育电子政务和办公自动化建设,全区各级各类学校必须通过区教育城域网中心统一接入互联网。任何学校不得另设光纤直接接入互联网,不得安装无线网络,更不得接入其他网络,如确有必要,须经局网管领导小组办公室审批同意。此外,学校的网络设备及节点不允许提供给非教育教学部门使用。对现阶段所有可以直接上网的学校计算机必须采取必要的技术防护措施,否则不能直接接入互联网。
2.构建网络安全系统。各校应增强对做好教育网络与信息安全工作重要性、必要性的认识,把此项工作作为学校管理的重要内容,切实抓紧抓好。首先,要加强对教师网络管理和信息安全的教育,使广大教育工作者明确网络管理的法律、法规、政策,增强法律意识、责任意识、道德意识,规范自身上网行为,开展文明健康上网;其次,要加强对网络管理员和网络信息宣传员的严格教育和管理,进一步落实工作责任,加强岗位考核,认真检查督促;再次,要加强对青少年学生使用互联网的教育引导,积极开展网络思想教育工作,通过丰富多彩的活动载体,定期开展学生“绿色上网”活动,提高学生识别有害信息的能力,教育引导他们正确上网、健康上网;最后,要坚持安全技术防范措施和教育信息化建设同步实施的原则,采取入侵检测、网络隔离、信息加密、访问控制等必要的技术措施,加强校园网各个环节特别是互联网接入的安全性,将攻击和入侵造成的威胁限制在最小范围内,特别要有效预防和减少计算机犯罪、黑客攻击和病毒侵入。对未安装杀毒软件的计算机一律不得接入校园网和教育网。要切实加强对有害信息、有害电子邮件、有害短消息等危害信息的过滤与封堵,警惕有害信息的传播和数据的非法篡改,一旦发现,要立即采取有效措施,终止与外部网络的连接,在保留有关记录后,及时予以删除,并报告上级主管部门。
3.建立完备的网络监管记录。网络的监管事关网络的安全,也是应对网络故障、排除网络安全隐患及处理突发事件的重要保障。教育局网络管理中心(教仪站)要在2009年前建立起全区教育网的监控、日志及备案系统,各校也要逐步建立起对应的网络安全记录系统。
4.加强校园网的内部管理。要进一步完善教育网站备案手续,各校校园网作为区教育城域网的子网,应完成互联网备案手续;要严格划分内网、外网的不同职能,做到内外有别;要加强对校园网服务器的安全防范,各校服务器必须由专人负责保管,按规范安装后不得无故更改内部配置信息,对服务器损坏造成信息记录丢失的,应以书面形式报局网管中心(教仪站)并说明理由;要加强对各类上网帐号(如ftp、办公平台等)的管理,各校经校园网上网的教师和学生,必须设立相对固定的专用上网帐号,严禁反复更改,提倡教师或学生以实名制注册帐号,各类帐号由学校网管员统一登记保管并报校网络管理领导小组备查。为节约教育经费,提高资源的使用效益,教育局网管中心将有针对性地对部分网络资源(电影网、游戏网、部分论坛等)的访问进行限制,各校应结合学校实际进行适当的屏蔽。
5.完善对学校网站信息内容的监管。各校要强化信息安全和保密意识,不允许对文件及相关内容在网上直接转载,对真实性不能确定的内容不作转载,对拟在教科网、校园网上的敏感内容,必须经局或校网络管理领导小组负责人审核同意;要提高知识产权保护意识,对转载内容应注明出处和作者,严禁各校设立没有防范措施和专人管理的BBS、聊天室等交互性栏目;要主动关注本地有影响网站的教育栏目和教育论坛等,对不负责任、不符事实、混淆视听及造谣中伤、恶意诽谤等影响我区教育及学校形象等言论,要及时交涉纠偏。对相关网站不负责任、放任自流及学校交涉无果等,各校应将情况及时上报局网络管理领导小组,局网管中心(教仪站)将对相关网站及时屏蔽或限制访问,并向区公安局网监大队报告。对于严重违反法律法规的言论行为,各校应及时运用法律和科技手段调查追究,坚决打击,直至移交司法处理。
6.创设文明健康上网的良好氛围。各校要结合实际,充分利用现有的计算机网络资源,开展校园“红色”或“绿色”网站建设,学校的计算机教室在有专人管理的情况下,应在课余时间向学生开放。严禁将学校内部的网络和终端出租或转让给他人经营和管理。要加强对教师和学生网络责任感、道德感教育,用正确、积极、健康的思想文化占领网络阵地,抵制消极、丑恶、反动信息的传播,开辟网络思想政治工作的新途径和新阵地。
四、加强领导,强化教育网络管理与网站建设工作责任制
1.加强组织领导。为加强对全区教育系统教育网络和信息安全的管理,科学规划区域教育网络及信息化发展,及时处理各类突发事件,区教育局成立网络管理工作领导小组,具体名单如下:
*
各校要按照“谁主办、谁负责”和“属地管理”的原则,成立由校长任组长,分管副校长、相应处室负责人和网管员为组员的校园网管理工作领导小组,切实加强对本单位校园网和信息安全的管理。
网络安全责任体系篇10
1网络信息安全应急机制的理论基础
1.1基础是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。
在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。
1.2社会连带责任思想社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。
首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。
其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。
美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。
1.3权利平衡理念从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。
为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。
2网络信息安全应急机制的价值目标
所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。
2.1安全价值安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。
安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。
2.2经济价值网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。
网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。
2.3发展价值发展价值是应对网络安全紧急状态的约束价值,是人们应对紧急状态这种非常态规则的限制思想,是正确认识发展与安全、效率之间关系的理性抉择。首先,根据心理学理论,企业长期处于应急状态,必然会影响发展,所以应急立法应当以“尽快结束紧急状态”为其基本原则,设计制度、建立机制。其次,对应急过程中的行政紧急权力进行必要的限制,以防止行政紧急权力的滥用对重要领域企业的发展造成不利的影响。同时,建立合理的紧急状态启动程序和终止程序,这对于企业健康快速发展也至关重要。第三,对政府在紧急状态下的征用、断开、责令停产停业等措施对公司、企业造成的经济损失,在紧急状态结束后应该给予相应的赔偿,以增加企业对政府的信任度,促进企业经济发展。
网络信息安全应急机制的价值目标是一个由安全价值、经济价值和发展价值构成的有机体系。安全价值是核心,是首要目标,位于第一层次。网络信息安全应急机制中安全价值的地位类似于法律制度中位阶最高的法律价值,它指导和贯穿整个网络信息安全应急的过程。在目标体系中,经济价值是第二价值目标,位于第二层次;发展价值是第三价值目标,位于第三层次。经济目标和发展目标必须服从于安全目标的要求,只能在保障安全的基础上考虑应急的效率性和国民经济的发展。
3网络信息安全应急机制的法律保障
从网络信息安全应急机制的理论基础出发,为实现网络信息安全应急机制的安全价值目标,笔者认为,法律应从以下几方面进行界定:
3.1建立适合我国国情的网络信息安全应急管理体系应急管理体系是网络信息安全应急保障的重要内容。应急管理体系是否合理直接关系到法律实施的效果。根据国务院27号文的总体精神,文章认为,我国网络信息安全应急管理体系应为一元化的两层结构。所谓一元化,是指国家应当建立应急协调机构,统一负责网络信息安全应急管理工作。所谓两层结构是指应当发挥行业和地方政府的优势,加强应急管理。
a.国家应急协调机构及其职责。国家应急协调机构是我国网络信息安全紧急状态应急的最高决策机构[6]。在美国,主要由国土安全部负责开发国家网络空间安全响应系统,对网络攻击进行分析,告警、处理部级重要事故,促进政府系统和私人部门基础设施的持续运行。在我国,国家应急协调机构为信息产业部互联网应急处理协调办公室。国家应急协调机构应当履行以下主要职责:协调制定和贯彻国家信息安全应急法律法规政策;协调国家应急响应基础设施建设;协调国家紧急状态下应急技术的攻关和开发;授权、终止国家和区域性的紧急状态命令。
b.行业应急管理部门及其职责。行业应急管理部门是指根据国家法律和行政规章授予的职权,建立行业内网络应急管理的部门,如军队可以分兵种建立信息安全应急管理体系,国务院可以按照行政职权的不同分别建立网络安全应急管理体系,中共中央和政协系统也可以建立各自应急管理体系。行业应急管理部门依法对管辖的国家关键基础设施的紧急状态进行管理。
行业应急管理部门的主要职责应当包括:贯彻落实国家关于网络信息安全应急的政策和法律;实施行业应急响应基础设施的规划、建设;在行业内部建立应急预警和检测体系,建立预警网络平台,加强与其他行业之间的合作;对行业内重要部门有关危害网络安全的警告;组织协调行业应急响应工作。
c.地方政府应急管理部门及其职责。地方政府应急管理部门负责其辖区内的网络信息安全应急管理工作。在美国,新墨西哥关键基础设施保护委员会(nmCiaC)就是一个私人-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(FBi)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥关键基础设施的保护。nmCiaC致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响nmCiaC成员组织和普通民众的那些因素所采取的各种响应进行研究。
3.2建立准确、快速的预警检测机制建立一套快速有效的网络信息安全应急预警、检测和通报机制,成为实际处理突发事件成功的关键。网络信息安全应急的目的就是要预防网络安全紧急事件的发生,或者是将紧急事件的危害降到最低。建立常设的预警机构,及时准确地收集掌握各种情报信息,把握事件发生的规律和动态,才能对事件的性质、范围、严重程度做出准确的判断,最终才能打赢应急这场仗。
美国《网络空间安全国家战略》指出,在网络信息安全应急响应检测预警机制的建设上,将网络告警与信息网从联邦政府网络检测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供了一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调。这种建立统一平台、共享网络告警信息的做法对我国有着非常重要的借鉴价值。
笔者认为,一个完善的预警检测应包括以下几个方面的内容:a.建立一个全国性的能够对重大基础设施攻击发出预警的国家中心,各个部门还应该建立事前收集掌握各种紧急状态信息的检测判定和应急响应的日常机构。同时,建立自己的网络监测平台,连入CnCeRt/CC的监测平台,实现信息共享。b.各级政府、行业应急部门及其社会性的应急部门要制定预防网络安全紧急事件的应急预案,针对不同的计算机信息系统,按照事件发生后的影响程度(时间长短、业务范围、地域范围等因素)制定不同的预案。要对应急预案进行测试和演练,不演练和改进,所有好的预案都等于零。c.建立统一的网络安全紧急事件预防控制体系,及时准确地收集掌握各种深层次、前瞻性的情报信息,及时把握事件发生的规律和动态。d.对预警、检测规定法律责任。
3.3明确应急过程中的行政紧急权力的限制和法律救济机制为了应对紧急状态,临时剥夺某些公民、单位的私权益,是各国应急法的普遍实践。行政紧急权力是一种必要的权利,但又是一种最为危险的权利,这些权利一旦滥用,社会就会出现新的混乱。关闭网络、封堵部分网络路由,征用关键通信设施、监控电子通信等等应急措施可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法制的轨道。
a.严格界定紧急状态的定义及其分级。为了防止政府随意宣布进入紧急状态,随意启动行政紧急权力,同时也为了防止政府在紧急状态下的消极不作为,有必要通过法律界定紧急状态的定义。一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态[7]。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。
b.明确宣布进入紧急状态的主体。紧急状态是否形成危险以及危险的程度,不同人会有不同的认识和判断,为了减少紧急状态确认的随意性,增加宣告的权威性和认同感,紧急状态的宣布主体必须是法定的权威机关。
c.对行使行政紧急权力的具体程序进行严格的规定,不但要规定启动行政紧急权的程序,而且还要规定撤销紧急状态的程序,以及发生与公民隐私权冲突情况下的处理程序。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。
d.建立首席信息安全官(Cio)制度,确保对私权益的尊重和保护。
e.确定私权保护的最低标准。政府活动的底线就是尊重和保护基本人权,即使是在紧急状态情况下,也不得随意克减基本人权,否则就很容易放纵国家权利机关滥用行政紧急权利。
f.明确规定应急主管机关在紧急状态下的职责和义务,防止渎职和失职现象。为防止在关键时刻出现渎职和失职情况,法律必须明确规定应急主管机关的具体职责,为渎职和失职设定明确的法律后果,并建立有效的责任监督和追究机制。
在隐私权的保护方面,美国信息系统保护国家计划V1.o要求,国家计划中所有的提议要与现有的隐私期望完全一致,要求每年召开一次关于计算机安全、公民自由和公民权利的公-私讨论会,以确保国家计划的执行者始终关注公民的自由。政府检查公民计算机或电子通信的任何举动必须与现有法律如《电子通信隐私法案》相一致。
在紧急状态得到控制后,应急计划的启动者应当终止紧急状态的命令,恢复正常的社会秩序。结束紧急状态意味着被暂时剥夺的私权益将得到恢复。网络紧急状态终止后,国家基础设施运营部门应当向国家应急协调机构、行业和地方应急管理机构提交详细的应急响应报告,行业和地方应急管理部门应当向国家应急协调机构提交应急管理工作的总结报告。对政府在紧急状态下的征用、责令停产停业等措施对公司、企业或个人财产造成损失,在紧急状态结束后应该给予相应的赔偿,对补偿的标准要予以明确的规定。要明确规定受害人获得行政救济和司法救济的途径。
法律救济始终是各部门法律不可欠缺的重要环节。没有救济规定的法律是不完整的法律。如法国《紧急状态法》就规定,凡依法受到紧急处置措施羁束的人,可以要求撤销该措施。韩国《法》也规定,从宣布“非常”时起,司令官掌管区域内的一切行政和司法事务,在“非常”地区,司令官在不得已时,可在“非常地区”破坏或烧毁国民财产,但必须在事后对造成的损失进行适当的赔偿。
3.4建立应急技术储备的法律保障网络信息安全应急需要装备先进技术,这已是不争的事实。应急本质是一种信息对抗。控制紧急状态的恶性发展,对抗就是防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。但是依赖进口,将无法摆脱应急受制于人的被动局面,国家必须化大力气,扭转被动局面,关键应急技术的自主研究是我们掌握网络信息安全主动权的根本出路。美国信息系统保护国家计划V1.o规定,在技术的研究、开发和人员的培训方面,由科技政策办公室(oStp)来领导,并与各机构和私营部门合作来进行技术开发。
建立应急技术储备的法律保障首先要明确国家对关键应急技术研究的责任,以及应急响应的经费保障问题;其次,要明确调动民间资本展开应急技术研究的范围,以及国家、社会采购、征用的条件;第三,要明确应急技术市场化的管制方式和控制环节;第四,对必要引进的国外应急产品和服务的范围和控制力度要有明确的法律规定;第五,国家要进行财政预算,对应急技术开发支持;第六,要在一定的限度内加强国际间的应急技术交流与合作。
【参考文献】
1商继政,傅华.“概念辨析”.四川大学学报(哲学社会科学版),2003;(6)
2郑尚元.社会法的存在与社会法理论探索.法律科学(西北政法学院学报),2003;(3)
3江必新.紧急状态与行政法治.中国法学,2004;(2)
4庞德.通过法律的社会控制.北京:商务印书馆.1984