在金融���、能源��、制造��、商業(yè)零售等經(jīng)濟(jì)活動(dòng)中會(huì)產(chǎn)生大量的數(shù)據(jù)和信息。對(duì)這些數(shù)據(jù)和信息進(jìn)行綜合分析���,能夠了解國(guó)家的經(jīng)濟(jì)活動(dòng)狀態(tài)���、特征、發(fā)展變化等情況���。這些數(shù)據(jù)和信息是企業(yè)競(jìng)爭(zhēng)力和國(guó)家生產(chǎn)力發(fā)展的核心要素���,直接關(guān)系著國(guó)家經(jīng)濟(jì)安全和國(guó)家安全���。隨著經(jīng)濟(jì)活動(dòng)對(duì)信息網(wǎng)絡(luò)依賴性增強(qiáng),利用信息技術(shù)實(shí)施經(jīng)濟(jì)竊密活動(dòng)日益增多���,經(jīng)濟(jì)數(shù)據(jù)和信息的保密性���、完整性和可用性面臨挑戰(zhàn)。我國(guó)應(yīng)如何保障網(wǎng)絡(luò)空間的經(jīng)濟(jì)信息安全呢���?
| |
當(dāng)前我國(guó)經(jīng)濟(jì)信息安全面臨的主要威脅 |
��。ㄒ唬┬畔⒓夹g(shù)強(qiáng)國(guó)可通過(guò)研發(fā)針對(duì)性網(wǎng)絡(luò)間諜工具��、實(shí)施針對(duì)性網(wǎng)絡(luò)攻擊等��,竊取我國(guó)經(jīng)濟(jì)信息
近年來(lái)���,全球出現(xiàn)了“火焰”和“高斯”等病毒,這些病毒被認(rèn)為是美國(guó)等研發(fā)的針對(duì)性網(wǎng)絡(luò)間諜工具��,能夠?qū)⒈桓腥鞠到y(tǒng)中的相關(guān)數(shù)據(jù)發(fā)給病毒操控者���。盡管目前這些病毒主要針對(duì)中東國(guó)家��,但表明美國(guó)等信息技術(shù)強(qiáng)國(guó)已經(jīng)具備了研發(fā)針對(duì)性網(wǎng)絡(luò)間諜工具���、竊取他國(guó)敏感數(shù)據(jù)和信息的能力��,給我國(guó)經(jīng)濟(jì)信息安全帶來(lái)潛在威脅��。
���。ǘ﹪(guó)外廠商利用產(chǎn)品和設(shè)備預(yù)留后門、遠(yuǎn)程維護(hù)等機(jī)會(huì)��,竊取我國(guó)經(jīng)濟(jì)信息
國(guó)外產(chǎn)品和設(shè)備在我國(guó)有較廣泛的應(yīng)用���,國(guó)外產(chǎn)品和設(shè)備可能設(shè)置有后門���,可被利用進(jìn)行“系統(tǒng)監(jiān)控���、信息調(diào)閱”等操作��,控制信息系統(tǒng)或竊取相關(guān)信息��。
��。ㄈ┛鐕(guó)公司在提供信息技術(shù)服務(wù)過(guò)程中���,可能竊取大量經(jīng)濟(jì)信息并非法利用
我國(guó)金融���、電信、交通等領(lǐng)域的大型企業(yè)很多都采用跨國(guó)公司提供的信息技術(shù)咨詢��、信息系統(tǒng)集成���、數(shù)據(jù)處理和運(yùn)營(yíng)等服務(wù)�����?鐕(guó)公司在提供服務(wù)過(guò)程中不僅會(huì)掌握我國(guó)客戶的大量信息,還可能利用該機(jī)會(huì)竊取敏感經(jīng)濟(jì)信息���。此外��,隨著云計(jì)算等快速發(fā)展���,國(guó)內(nèi)客戶在使用云計(jì)算服務(wù)過(guò)程中���,會(huì)將大量數(shù)據(jù)存儲(chǔ)到
“云”端,這些數(shù)據(jù)可能被存儲(chǔ)到海外并被非法利用��。
���。ㄋ模┩赓Y企業(yè)通過(guò)對(duì)業(yè)務(wù)積累的商業(yè)數(shù)據(jù)進(jìn)行分析等���,獲取我國(guó)大量的經(jīng)濟(jì)信息
目前外資企業(yè)已經(jīng)滲透到我國(guó)多個(gè)行業(yè)和領(lǐng)域。外資企業(yè)通過(guò)主動(dòng)收集等手段���,積累了大量的商業(yè)數(shù)據(jù)��;一些企業(yè)將商業(yè)數(shù)據(jù)傳至國(guó)外���,嚴(yán)重危害我國(guó)經(jīng)濟(jì)信息安全。
��。ㄎ澹┚W(wǎng)絡(luò)犯罪團(tuán)伙或個(gè)人利用病毒植入等手段��,竊取金融���、大型商務(wù)網(wǎng)站等的客戶信息和商業(yè)數(shù)據(jù)
當(dāng)前針對(duì)我國(guó)金融��、大型商務(wù)網(wǎng)站的網(wǎng)絡(luò)犯罪行為日益猖獗��,犯罪分子利用技術(shù)漏洞���、病毒植入、網(wǎng)絡(luò)釣魚(yú)等手段��,竊取網(wǎng)站客戶信息和商業(yè)數(shù)據(jù)���。例如��,2012年以來(lái)京東商城���、當(dāng)當(dāng)網(wǎng)等大型商務(wù)網(wǎng)站被入侵,致使用戶賬戶余額被盜刷���。近年來(lái)���,黑客技術(shù)手段不斷更新,網(wǎng)絡(luò)犯罪行為呈現(xiàn)智能化趨勢(shì)��,金融、大型商務(wù)等領(lǐng)域客戶資料和商業(yè)數(shù)據(jù)面臨的威脅更加嚴(yán)峻��。
| |
美國(guó)確保經(jīng)濟(jì)信息安全的主要做法 |
���。ㄒ唬┏雠_(tái)經(jīng)濟(jì)信息安全相關(guān)立法
隨著經(jīng)濟(jì)安全問(wèn)題越來(lái)越突出��,美國(guó)在國(guó)家安全的框架下開(kāi)展經(jīng)濟(jì)安全系列立法��,除在能源��、金融���、貿(mào)易、制造等領(lǐng)域制定相關(guān)法律保護(hù)該領(lǐng)域經(jīng)濟(jì)安全外���,還出臺(tái)了專門針對(duì)經(jīng)濟(jì)間諜的法律���。
1996年的《經(jīng)濟(jì)間諜法》對(duì)商業(yè)秘密進(jìn)行了廣泛界定,將任何有形無(wú)形的��、非公開(kāi)的���、為擁有者合理保護(hù)的信息都認(rèn)定為商業(yè)秘密��,并對(duì)兩類違法行為進(jìn)行制裁:一是外國(guó)政府���、機(jī)構(gòu)、企業(yè)刺探美國(guó)產(chǎn)業(yè)商業(yè)秘密的經(jīng)濟(jì)間諜罪���;二是一般企業(yè)因競(jìng)爭(zhēng)因素所導(dǎo)致的竊取商業(yè)秘密罪���。該法將商業(yè)秘密的保護(hù)提升到國(guó)家經(jīng)濟(jì)安全的高度,不僅將竊取或未經(jīng)適當(dāng)授權(quán)取得等行為界定為犯罪��,還將任何意圖實(shí)施上述行為的也界定為犯罪��,而且該法效力可及于國(guó)外��。通過(guò)系列立法��,美國(guó)構(gòu)建了較完善的經(jīng)濟(jì)安全(含經(jīng)濟(jì)信息安全)法律保障體系��,能夠更全面地保護(hù)美國(guó)的經(jīng)濟(jì)利益���。
��。ǘ(gòu)建系統(tǒng)化的組織機(jī)構(gòu)體系
美國(guó)構(gòu)建了一個(gè)龐大的組織機(jī)構(gòu)體系保障經(jīng)濟(jì)安全——設(shè)立了以總統(tǒng)為中心���,副總統(tǒng)��、國(guó)防部長(zhǎng)��、國(guó)務(wù)卿��、中央情報(bào)局局長(zhǎng)和總統(tǒng)安全事務(wù)助理等人組成常務(wù)委員會(huì)的國(guó)家安全委員會(huì)���,總統(tǒng)掌握著經(jīng)濟(jì)安全的決策權(quán)和協(xié)調(diào)權(quán)。財(cái)政部��、商務(wù)部��、農(nóng)業(yè)部���、能源部等各部門執(zhí)行具體的經(jīng)濟(jì)信息安全職能���。美國(guó)還建立了跨部門的協(xié)調(diào)機(jī)構(gòu)。系列化的組織機(jī)構(gòu)為經(jīng)濟(jì)安全(含經(jīng)濟(jì)信息安全)提供了組織保障���。
���。ㄈ┲笇(dǎo)企業(yè)加強(qiáng)數(shù)據(jù)和信息保護(hù)
美國(guó)政府指導(dǎo)企業(yè)加強(qiáng)數(shù)據(jù)和信息保護(hù)���,并推廣數(shù)據(jù)和信息保護(hù)最佳實(shí)踐,包括:制定信息戰(zhàn)略��;實(shí)施內(nèi)部威脅和意識(shí)計(jì)劃���,對(duì)信息技術(shù)應(yīng)用可能給數(shù)據(jù)和信息帶來(lái)的威脅進(jìn)行偵測(cè),進(jìn)行內(nèi)部安全意識(shí)培訓(xùn)���,對(duì)外提供信息前對(duì)信息接受者進(jìn)行背景調(diào)查���,與員工和商業(yè)伙伴簽訂保密協(xié)議等;對(duì)數(shù)據(jù)和信息進(jìn)行有效管理��,對(duì)企業(yè)所擁有信息進(jìn)行分類��,明確哪些信息需要保護(hù)及保護(hù)期限��,選擇適合的控制措施���;對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控���,保存登錄服務(wù)器并進(jìn)行文檔操作的所有記錄��,安裝必要的軟件工具等���。
| |
保障我國(guó)經(jīng)濟(jì)信息安全的措施建議 |
(一)通過(guò)立法和標(biāo)準(zhǔn)等手段���,規(guī)范經(jīng)濟(jì)信息的收集��、處理和利用等行為
《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》主要對(duì)公民個(gè)人信息進(jìn)行保護(hù)���,對(duì)經(jīng)濟(jì)信息保護(hù)沒(méi)有涉及。建議借鑒美國(guó)等國(guó)的經(jīng)驗(yàn)���,在國(guó)家安全的大框架下���,盡快研究制定經(jīng)濟(jì)數(shù)據(jù)和信息保護(hù)的法律制度,明確經(jīng)濟(jì)數(shù)據(jù)和信息的范圍��,規(guī)范數(shù)據(jù)和信息的收集���、處理和利用等行為��,明確經(jīng)濟(jì)信息主體的信息保護(hù)責(zé)任��,明確對(duì)經(jīng)濟(jì)間諜��、利用網(wǎng)絡(luò)竊取經(jīng)濟(jì)數(shù)據(jù)和信息的處罰措施��。同時(shí)���,要研究制定經(jīng)濟(jì)信息和數(shù)據(jù)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范��,從信息的收集���、處理和利用環(huán)節(jié)提出明確具體的要求��。
��。ǘ┙⒔(jīng)濟(jì)信息安全保護(hù)的跨部門協(xié)調(diào)機(jī)構(gòu)���,形成系統(tǒng)性組織機(jī)構(gòu)���,保障經(jīng)濟(jì)安全
在國(guó)家信息安全協(xié)調(diào)小組框架下,建立經(jīng)濟(jì)信息安全保護(hù)協(xié)調(diào)機(jī)構(gòu)��,負(fù)責(zé)經(jīng)濟(jì)信息安全戰(zhàn)略政策的制定��,協(xié)調(diào)國(guó)務(wù)院相關(guān)部門的經(jīng)濟(jì)信息安全保護(hù)工作。充分發(fā)揮工業(yè)和信息化部��、國(guó)家發(fā)改委���、財(cái)政部��、商務(wù)部��、科技部���、農(nóng)業(yè)部等部委在保障經(jīng)濟(jì)信息安全工作中的作用。加大國(guó)家安全部等部門對(duì)外國(guó)經(jīng)濟(jì)間諜活動(dòng)的監(jiān)督防范��。
���。ㄈ⿲(duì)國(guó)民經(jīng)濟(jì)關(guān)鍵行業(yè)和領(lǐng)域的經(jīng)濟(jì)信息采取多種措施予以重點(diǎn)保護(hù)
對(duì)金融��、資源��、能源���、制造、高科技、商業(yè)零售��、軍工等國(guó)民經(jīng)濟(jì)關(guān)鍵行業(yè)和領(lǐng)域的企業(yè)明確提出經(jīng)濟(jì)信息保護(hù)要求��,要求其在加強(qiáng)信息化建設(shè)的同時(shí)對(duì)重要敏感信息保護(hù)予以充分重視��。要求上述領(lǐng)域企業(yè)建設(shè)信息安全監(jiān)控基礎(chǔ)設(shè)施���,對(duì)信息系統(tǒng)的實(shí)時(shí)運(yùn)行進(jìn)行監(jiān)控��,同時(shí)要求其強(qiáng)化各項(xiàng)技術(shù)保護(hù)措施��,并落實(shí)重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估���、信息系統(tǒng)等級(jí)保護(hù)等制度。要求企業(yè)在采用國(guó)外技術(shù)���、產(chǎn)品和服務(wù)過(guò)程中,對(duì)產(chǎn)品的安全性��、服務(wù)機(jī)構(gòu)的資質(zhì)和信用進(jìn)行嚴(yán)格審查��,明確商業(yè)伙伴的保密等義務(wù)��。
(四)對(duì)國(guó)民經(jīng)濟(jì)關(guān)鍵行業(yè)��、領(lǐng)域應(yīng)用的關(guān)鍵產(chǎn)品和設(shè)備實(shí)施信息安全審查
以重要領(lǐng)域工業(yè)控制系統(tǒng)��、關(guān)鍵信息技術(shù)產(chǎn)品和設(shè)備為切入點(diǎn)���,實(shí)施系統(tǒng)和產(chǎn)品設(shè)備的信息安全審查���。在總結(jié)經(jīng)驗(yàn)、完善審查程序的基礎(chǔ)上���,逐步將安全審查范圍拓展到經(jīng)濟(jì)領(lǐng)域應(yīng)用的所有關(guān)鍵產(chǎn)品和設(shè)備���。以安全審查為契機(jī),支持國(guó)產(chǎn)關(guān)鍵產(chǎn)品和設(shè)備的研發(fā)��,推廣國(guó)產(chǎn)關(guān)鍵產(chǎn)品和設(shè)備��,鼓勵(lì)各領(lǐng)域應(yīng)用國(guó)產(chǎn)產(chǎn)品和設(shè)備���,逐步實(shí)現(xiàn)經(jīng)濟(jì)領(lǐng)域應(yīng)用的關(guān)鍵產(chǎn)品和設(shè)備的國(guó)產(chǎn)化替代��。