网络基础设施保护和运行安全

造成全球性影响的勒索病毒侵袭事件，凸显了网络基础设施保护与运行安全的重要性。最直观的理解，这些信息基础设施一旦被侵入，人们将无法正常使用网络，甚至无法进入网络，这就使公共服务、重要活动受到严重影响。勒索病毒传播者的目的在于敲诈，这就滋生了网络安全犯罪。

我国国家领导人高度重视网络安全问题，习近平总书记提出了总体国家安全观，其中网络安全占有非常重要的位置。2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过了《网络安全法》，该法已于2017年6月1日起施行。《网络安全法》作了全面的规定，例如，对网络产品、服务，要求其符合相关国家标准的强制性要求，并且明令网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

《网络安全法》对网络安全事件的应急处置也作出了规定，要求网络运营者制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《网络安全法》还规定了网络安全认证、检测、风险评估，要求向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

此外，规定国家建立网络安全监测预警和信息通报制度；网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取报告信息、风险评估、预警等相应措施，并可要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。(www.xing528.com)

网络安全问题来源于网络的“基因”。美国国防部先进项目研究局在发明互联网之时，为了使其提升受到核打击时的生存能力，采用了分布式的网络结构。这个结构的特点就是多中心和充分的互联互通，失去任何一部分都无损整个系统的运作。这也就导致互联网具有“易攻难守”的特质。

网络安全问题也是一个全球性问题，因为互联网全球范围的互联互通，使得基于民族国家的边界失去了意义，管辖权的排他性无法发挥作用。即使是网络的发明国和网络强国美国，也不断遭受严重的网络安全问题的侵扰。影响最大的，是2014年至2015年间爆发的美国人事管理局（OPM）数据泄露事件。美国人事管理局管理着联邦政府雇员的信息，其服务器被攻破而使大约400万名联邦政府雇员的个人信息被窃取，其中包含大量敏感信息，例如，社会保障号码、出生年月、居住地址、教育经历、家庭成员和个人财务信息等。美国人事管理局局长因此次事件而引咎辞职。^[3]美国还发生过第二大医疗保险公司Anthem被入侵医疗信息泄露事件，超过8000万个人信息被窃取，涉及保险客户和员工，具体包括姓名、出生日期、客户ID、社会保险码、地址、电话号码、邮件地址等。美国国税局系统也曾被黑客攻破，超过10万名纳税人的网上资料被泄露。^[4]

网络关键基础设施的运行安全，无法由市场机制有效调节。无论是政府、还是私主体，投入到网络安全方面的预算都严重不足，因为这方面的投入无法得到立竿见影的回报，缺乏市场的激励机制。尽管网络安全事件的后果很严重，但是由于其偶发性，市场主体乃至政府机构往往都缺乏风险意识或存有侥幸心理。

网络关键基础设施的运行安全，也无法通过政府的事后监管措施取得成效。一旦发生了网络安全事件，后果就已经发生。事后的惩罚往往于事无补。事后的行政处罚乃至刑罚，也不一定能够起到吓阻作用。因此事后查处的概率并不高。事先、事中的全过程网络安全监管是确保安全的关键。为此，国家需要支持网络技术发展，加强网络技术安全监管。同时，在网络安全问题上需要有清醒的认识，免受网络超级强国的监控，关键要靠自己，需要在技术和制度上迎头赶上。^[5]