網絡安全和信息安全及其治理研究

國家計算機網絡與信息安全管理中心青海分中心 石西華，嚴浩

隨著網絡化時代、信息化時代、數字化時代、數據化時代的到來，大數據技術帶動了互聯網的發展，我國網民數量和互聯網普及率不斷提升，支付寶、微信、網銀等支付渠道在日常生活中使用的頻率越來越高，增加了潛在的網絡安全和信息安全問題。另一方面，木馬病毒、僵尸網站、惡意APP更是通過各種方式收集人們的信息資料，給人們日常生活帶來了極大的安全風險。因此，當今時代必須做好網絡安全和信息安全治理，否則互聯網利與弊無法得到有效平衡，只有在減輕互聯網網絡信息安全風險的情況下才能盡量減少其中的負面影響。

一、國內外網絡安全和信息安全及其治理現狀分析

（一）國內外網絡安全和信息安全及其治理現狀

1.國外現狀

互聯網誕生于國外，具有開放性和包容性的特點，網絡安全和信息安全治理機構也具有同樣的特點，除了政府之外，其他社會組織或者公眾等利益主體能夠參與網絡治理，但是網絡安全和信息安全治理的主體仍然是國家和政府。由于網絡信息安全治理的網絡社會規模比較大，如果讓相關利益主體全部直接參與網絡治理反倒不利于網絡信息安全治理工作的開展。因此，國外多采用相關利益主體間接參與網絡信息安全治理的形式，即通過政府發布的文件和規范提供參考意見，這樣可以保留相關利益主體的參與主動權[1]。

2.國內現狀

國內互聯網發展起步較國外晚一些，但是國內近些年互聯網的發展速度遠快于國外，我國主要采用政府主導、多個參與主體共同參與的網絡信息安全治理制度，該模式下雖然各個非政府組織能夠參與到網絡信息安全治理中來，但是政府在網絡信息安全治理中仍然占據主導地位，因為我國網絡安全和信息安全關乎社會穩定和國家安全。非政府機構有協助政府機關打擊網絡犯罪的責任和義務，但是這些機構并沒有侵犯個人隱私的權利，因此我國必須對隱私保護方面的法律法規進行完善，不能讓非政府機構打著打擊網絡犯罪的旗號侵犯公民個人隱私[2]。

（二）網絡信息安全治理案例分析

英美等西方國家比較重視網絡安全治理工作，美國在網絡信息安全教育體系中明確了上層領導部門的網絡安全教育責任，通過財政、物質保障網絡安全教育效果，同時開設網絡安全課程、完善網絡信息安全治理法律體系，提高公民的網絡信息安全防范意識。英國在網絡信息安全組織體系中，由政府和行業相互結合，政府主導建立網絡信息安全治理框架，各個行業通過自律組織對網絡信息安全治理框架進行完善，同時各個行業的自律組織還可以在該框架中行使自身權利，共同參與網絡信息安全治理。

（三）網絡信息安全治理經驗總結

1.從戰略層面制定網絡信息安全治理策略

由英美網絡信息安全治理案例可知，從戰略層面制定網絡信息安全治理策略是非常重要的，政府不主導進行網絡信息安全治理是無法維護國家網絡主權和社會穩定的，只有從戰略層面重視起來才能讓國家管理機構、行業主導者、廣大人民群眾充分認識到網絡信息安全治理工作的重要性。

2.政府主導民眾配合，共同提高網絡信息安全防范效果

由英美網絡信息安全治理案例可知，民眾自主對網絡信息安全隱患進行治理是不現實的，網絡社會規模非常龐大，民眾不具備治理大規模網絡社會的能力，而且很多企業在網絡信息安全防范過程中還會監守自盜。因此必須由政府主導、民眾配合，才能提高網絡信息安全防范效果。

3.國家成立網絡信息安全中心，及時處理各類網絡信息安全事件

由英美網絡信息安全治理案例可知，國家不能只從戰略層面制定網絡信息安全治理策略和相關法律法規，政府必須建立國家級網絡信息安全中心，對各類網絡信息安全事件進行統一處理，這樣才能確保上層網絡信息安全治理策略能夠在民眾中起到網絡信息安全防護的效果。

二、網絡安全和信息安全存在的問題分析

（一）網絡信息安全防范教育不足

互聯網時代的網絡宣傳渠道比較多，包括微信、微博、抖音、快手等用戶日活量比較大的新媒體平臺，而傳統媒體的主要宣傳渠道包括電視、廣播、報紙等，這些渠道均可以在網絡安全和信息安全防范教育中發揮巨大作用。但是目前各類宣傳渠道中很少見到網絡信息安全防范教育的內容，導致人們普遍認為網絡安全和信息安全事件中那些受害人是由于個人原因才被騙，沒有正確認識到互聯網時代網絡安全和信息安全隱患的嚴重性。

（二）網絡信息安全治理模式單一

互聯網時代網絡安全和信息安全問題層出不窮，但是其根本原因是網絡信息安全治理模式單一，目前主要由國家有關部門專門對網絡安全和信息安全問題進行治理，而后由司法機關對網絡信息安全事件背后的人員進行審判。這種網絡信息安全治理模式本質上屬于事后治理，事后治理只能盡量挽回網絡信息安全事件中受害人的損失，而無法在事件發生之前進行避免。

（三）網絡信息收集相關標準不明確

互聯網時代，移動端APP數量隨著手機普及率的提高而增多，很多APP存在惡意收集和使用用戶信息的情況，而且這些互聯網企業還將廣大用戶的隱私信息定義為企業資源，甚至還有不法人員私下售賣廣大用戶的隱私信息，導致用戶個人信息安全根本無法得到保障。其根本原因是網絡信息收集相關標準不明確，導致網絡服務商肆意妄為，很多用戶經常反饋，剛注冊完平臺賬號，各種電話便接連不斷地打來，讓人感覺到隱私被泄露和違法利用。

（四）網絡信息安全治理效果差

互聯網時代，網絡信息安全治理效果較差與硬件基礎設施和信息存儲具有直接關系。硬件基礎設施差，很容易被不法分子直接通過木馬和漏洞盜取用戶個人信息，很多不法分子盜取企業隱私數據后向企業勒索財產，這種事情發生的概率比較高，無法完全避免。如果信息存儲存在問題，則容易被感染，愛蟲病毒、摩根大通銀行信息泄露、我國社保系統大漏洞等事件直接影響人員達上千萬，可見網絡信息安全隱患的危害之大。近年來我國電信詐騙案件頻發，電信詐騙受害人數量和財產損失逐年升高，這些因素都表明我國網絡信息安全治理效果不盡人意。

三、網絡安全和信息安全問題成因分析

（一）網絡安全信息風險防范意識不足

網絡信息安全防范教育不足的根本原因是網絡安全信息風險防范意識不強，網絡安全信息風險防范意識淡漠的原因有網絡信息安全教育缺失、網絡信息安全宣傳不到位、網絡信息環境惡化等。網絡信息安全教育是政府相關部門應盡的責任和義務，相關人員必須持續對各類群體開展網絡信息安全教育宣傳，一旦網絡安全相關知識沒有普及到位，就易遭到網絡詐騙。網絡信息安全宣傳不到位的原因還包括對當前各類宣傳途徑利用不到位，網絡信息環境惡化是網絡服務商社會責任感缺失和懲罰機制不健全導致的。

（二）網絡安全信息風險治理機構不健全

網絡信息安全治理模式單一的根本原因是網絡安全信息風險治理機構不健全，具體體現在外部和內部風險防范組織不合理、網絡服務商風險防范組織不健全、信息安全服務體系落后等方面。外部和內部風險防范組織不合理主要指的是內部管理機構冗余、外部對社會組織和互聯網企業的協調管理無序。網絡服務商風險防范組織不健全指的是互聯網企業沒有健全的網絡信息安全防護部門。信息安全服務體系落后指的是信息安全企業服務水平不高，且該行業沒有發展空間。

（三）網絡安全信息風險治理制度不規范

網絡信息收集相關標準不明確的根本原因是網絡安全信息風險治理制度不規范，具體包括政府治理制度滯后、網絡服務組織信息風險防范規章不完善、網絡信息安全行業存在監守自盜行為等。政府必須清楚，在互聯網時代網絡安全信息風險出現的速度是快于法律法規完善速度的，因此必須及時補充和完善法律法規。而且網絡服務組織很少對員工進行網絡安全信息風險防范培訓，因為這些組織自身或多或少都存在泄露網絡安全信息的行為。

（四）網絡安全信息風險治理機制不合理

網絡信息安全治理效果差的根本原因是網絡安全信息風險治理機制不合理，具體體現為網絡安全信息風險評估機制不完善、網絡安全信息風險應急響應體系和網絡安全信息風險治理平臺構建不健全，導致國家有關部門沒有對各類網絡安全信息風險作出準確評估，導致網絡安全信息風險治理處于被動局面，而且國家沒有做好對各個組織的協調工作，導致網絡安全信息風險傳播過程中存在信息孤島的情況。

四、網絡安全和信息安全治理策略

（一）通過信息安全教育提高網絡信息風險意識

網絡安全和信息安全治理有關部門可以通過加強信息安全通識教育、建立長效信息安全宣傳機制、凈化信息安全生態環境等措施提高管理機構和人民群眾的網絡信息風險意識。網絡信息安全教育可以讓各類人群了解常見的網絡信息安全風險，提高自身的風險預防能力。網絡信息安全宣傳機制可以潛移默化地讓人們掌握各類網絡信息安全事件的處理方法，這樣信息安全生態環境才能夠逐漸形成，并且讓處于該環境中的人們時刻注意網絡信息安全問題。

（二）通過完善網絡信息安全組織機構豐富治理模式

政府網絡信息安全組織機構可以通過完善相關部門組織體系、監督網絡服務商成立網絡安全治理組織體系、優化網絡安全治理體系等措施豐富網絡信息安全治理模式。國家首先應該在領導層面明確各部門在網絡信息安全組織方面的責任，然后構建各級信息安全部門的網絡信息安全組織體系，最后對網絡服務商是否按照相關要求成立對應的網絡安全治理組織體系進行監督，這樣才能逐漸對整個網絡信息安全行業進行治理，進而對行業網絡安全治理體系進行優化，政府、行業、企業多方共同努力，才能改善落后的網絡信息安全治理模式。

（三）通過完善網絡信息安全法律法規提高治理規范性

政府相關部門必須緊密結合互聯網發展情況，對其中出現的網絡信息安全問題進行總結分析，然后找出當前法律法規的漏洞，通過人民代表大會進行完善，最后監督網絡服務組織是否違背法律法規盜取用戶個人隱私，如果網絡服務組織拒不整改，必須進行嚴懲。

（四）通過優化網絡信息風險防范機制提高治理效果

政府相關部門必須通過建立網絡信息安全評估機制、完善網絡信息安全事件應急影響體系、建立多方網絡信息安全共享治理平臺等措施提高網絡信息風險治理效果。網絡信息安全評估機制可以對各類風險進行準確分類，有利于提高各級機構和工作人員的工作效果。網絡信息安全事件應急影響體系可以對各種大規模網絡信息風險進行預防和處理，防止上千萬人級別的隱私泄露事件再次發生。多方網絡信息安全共享治理平臺可以讓政府內部和社會企業乃至民眾全部參與到網絡信息風險防范中來，這樣才能避免信息孤島的出現。

五、結論

綜上所述，根據國內外網絡信息安全治理案例和經驗可知，必須從戰略層面制定網絡信息安全治理策略，政府主導、民眾配合，共同提高網絡信息安全防范效果，國家成立網絡信息安全中心，及時處理各類網絡信息安全事件，再通過信息安全教育、完善網絡信息安全組織機構、完善網絡信息安全法律法規、優化網絡信息風險防范機制等治理策略，即可達到提高網絡安全和信息安全的目的。