网络空间中如何保障经济信息安全?
赛迪报告
闫晓丽
随着经济活动对信息网络依赖性增强,利用信息技术实施经济窃密活动日益增多,经济数据和信息的保密性、完整性和可用性面临挑战。我国应如何保障网络空间的经济信息安全呢?
当前我国经济信息安全面临的主要威胁
(一)信息技术强国可通过研发针对性网络间谍工具、实施针对性网络攻击等,窃取我国经济信息。近年来全球出现了“火焰”和“高斯”等病毒,这些病毒被认为是美国等研发的针对性网络间谍工具,能够将被感染系统中的相关数据发给病毒操控者。尽管目前这些病毒主要针对中东国家,但表明美国等信息技术强国已经具备了研发针对性网络间谍工具、窃取他国敏感数据和信息的能力,给我国经济信息安全带来潜在威胁。同时,近年来针对我国的网络攻击增多,据统计2012年上半年国内有大约780万台计算机遭到了境外2.79万个IP地址的攻击,攻击成功无疑将导致政府、金融等重要信息系统中的敏感信息泄露。
(二)国外厂商利用产品和设备预留后门、远程维护等机会,窃取我国经济信息。
据有关机构测试称,微软Windows、国外通用工控芯片中均有安全漏洞,利用漏洞可以遥控发送数据,也可以远程控制系统;2010年有关部门披露,日立及其代理商通过利用预留后门、设备巡检和磁盘更换等机会,窃取我国银行敏感数据和信息;国内安全专家和企业发现,在国内金融、电信、能源等领域广泛应用的大型Linux服务器软件存在“后门”,可窃取服务器管理员账号、密码、服务器IP、端口等信息。
(三)跨国公司在提供信息技术服务过程中,可能窃取大量经济信息,并非法利用我国金融、电信、交通等领域的大型企业很多都采用跨国公司提供的信息技术咨询、信息系统集成、数据处理和运营等服务。跨国公司在提供服务过程中不仅会掌握我国客户的大量信息,还可能利用该机会窃取敏感经济信息。例如跨国公司可能会利用承担国内企业将信息系统数据库开发外包服务的机会,非法登录数据库,窃取相关经济信息。此外随着云计算等快速发展,国内客户使用云计算服务过程中,会将大量数据存储到“云”端,这些数据可能被存储到海外并被非法利用,如目前在国内企业使用的Salesforce.com公司的云计算客户关系管理软件,用户数据就被保管于海外的数据中心。
(四)外资企业通过对业务积累的商业数据进行分析等,获取我国大量的经济信息目前外资企业已经渗透到我国多个行业和领域。外资企业通过主动收集等手段,积累了大量的商业数据;一些企业将商业数据传至国外,严重危害我国经济信息安全。例如,全球最大的零售业巨头沃尔玛 (中国)将业务和核心财务数据通过光缆传到美国总部生成财务信息。这些大量涉及国计民生的基础数据和供货企业成本、利润构成信息被境外获得,可使国外清楚地判断我国经济的整体趋势和薄弱环节,对我国经济安全造成严重影响。
(五)网络犯罪团伙或个人利用病毒植入等手段,窃取金融、大型商务网站等的客户信息和商业数据。当前针对我国金融、大型商务网站的网络犯罪行为日益猖獗,犯罪分子利用技术漏洞、病毒植入、网络钓鱼等手段,窃取网站客户信息和商业数据。例如,2011年底国内最大程序员网站遭黑客入侵,600多万用户的常用邮箱和密码等信息被泄露;2012年以来京东商城、当当网等大型商务网站被入侵,致使用户账户余额被盗刷;2012年6月中国电信网络被名为SwaggSec的黑客组织攻破,900多个网络管理员的用户名和密码信息被窃取。近年来黑客技术手段不断更新,网络犯罪行为呈现智能化趋势,金融、大型商务等领域客户资料和商业数据面临的威胁更加严峻。
美国确保经济信息安全的主要做法
(一)出台经济信息安全相关立法。随着经济安全问题越来越突出,美国在国家安全的框架下开展经济安全系列立法,除在能源、金融、贸易、制造等领域制定相关法律保护该领域经济安全外,还出台了专门针对经济间谍的法律。1996年的《经济间谍法》对商业秘密进行了广泛界定,将任何有形无形的、非公开的、为拥有者合理保护的信息都认定为商业秘密,并对两类违法行为进行制裁:一是外国政府、机构、企业刺探美国产业商业秘密的经济间谍罪;二是一般企业因竞争因素所导致的窃取商业秘密罪。
(二)构建系统化的组织机构体系。美国构建了一个庞大的组织机构体系保障经济安全。美国设立了以总统为中心,副总统、国防部长、国务卿、中央情报局局长和总统安全事务助理等人组成常务委员会的国家安全委员会,总统掌握着经济安全的决策权和协调权。财政部、商务部、农业部、能源部等各部门执行具体的经济信息安全职能。美国还建立了跨部门的协调机构,如外国投资委员会、美中经济与安全审查委员会、国家经济委员会等。中央情报局和联邦调查局在防范经济间谍方面发挥着重要作用。
(三)指导企业加强数据和信息保护。
美国政府指导企业加强数据和信息保护,并推广数据和信息保护最佳实践,包括制定信息战略;实施内部威胁和意识计划,对信息技术应用可能给数据和信息带来的威胁进行侦测,进行内部安全意识培训,对外提供信息前对信息接受者进行背景调查,与员工和商业伙伴签订保密协议等;对数据和信息进行有效管理,对企业所拥有的信息进行分类,明确哪些信息需要保护及保护期限,选择适合的控制措施;对网络进行实时监控,保存登录服务器并进行文档操作的所有记录,安装必要的软件工具等。
保障我国经济信息安全的措施建议
(一)通过立法和标准等手段,规范经济信息的收集、处理和利用等行为。《全国人民代表大会常务委员会关于加强网络信息保护的决定》主要对公民个人信息进行保护,对经济信息保护没有涉及。建议借鉴美国等国的经验,在国家安全的大框架下,尽快研究制定经济数据和信息保护的法律制度,明确经济数据和信息的范围,规范数据和信息的收集、处理和利用等行为,明确经济信息主体的信息保护责任,明确对经济间谍、利用网络窃取经济数据和信息的处罚措施。同时,要研究制定经济信息和数据保护相关标准规范,从信息的收集、处理和利用环节提出明确具体的要求。
(二)建立经济信息安全保护的跨部门协调机构,形成系统性组织机构保障经济安全。在国家信息安全协调小组框架下,建立经济信息安全保护协调机构,负责经济信息安全战略政策的制定,协调国务院相关部门的经济信息安全保护工作。充分发挥工业和信息化部、国家发改委、财政部、商务部、科技部、农业部等部委在保障经济信息安全工作中的作用。加大国家安全部等部门对外国经济间谍活动的监督防范,对全球经济趋势和国家贸易情况的监视和分析,以及在意识培训等方面作用。
(三)对国民经济关键行业和领域的经济信息采取多种措施予以重点保护。对金融、资源、能源、制造、高科技、商业零售、军工等国民经济关键行业和领域的企业明确提出经济信息保护要求,要求其在加强信息化建设的同时对重要敏感信息保护予以充分重视。要求上述领域企业建设信息安全监控基础设施,对信息系统的实时运行进行监控。
(四)对国民经济关键行业和领域应用的关键产品和设备实施信息安全审查。以重要领域工业控制系统、关键信息技术产品和设备为切入点,实施系统和产品设备的信息安全审查,审查是否存在重大安全缺陷、是否嵌入恶意功能。在总结经验、完善审查程序的基础上,逐步将安全审查范围拓展到经济领域应用的所有关键产品和设备。以安全审查为契机,支持国产关键产品和设备的研发,推广国产关键产品和设备,鼓励各领域应用国产产品和设备,逐步实现经济领域应用的关键产品和设备的国产化替代。
(作者单位:工业和信息化部赛迪研究院)
闫晓丽
随着经济活动对信息网络依赖性增强,利用信息技术实施经济窃密活动日益增多,经济数据和信息的保密性、完整性和可用性面临挑战。我国应如何保障网络空间的经济信息安全呢?
当前我国经济信息安全面临的主要威胁
(一)信息技术强国可通过研发针对性网络间谍工具、实施针对性网络攻击等,窃取我国经济信息。近年来全球出现了“火焰”和“高斯”等病毒,这些病毒被认为是美国等研发的针对性网络间谍工具,能够将被感染系统中的相关数据发给病毒操控者。尽管目前这些病毒主要针对中东国家,但表明美国等信息技术强国已经具备了研发针对性网络间谍工具、窃取他国敏感数据和信息的能力,给我国经济信息安全带来潜在威胁。同时,近年来针对我国的网络攻击增多,据统计2012年上半年国内有大约780万台计算机遭到了境外2.79万个IP地址的攻击,攻击成功无疑将导致政府、金融等重要信息系统中的敏感信息泄露。
(二)国外厂商利用产品和设备预留后门、远程维护等机会,窃取我国经济信息。
据有关机构测试称,微软Windows、国外通用工控芯片中均有安全漏洞,利用漏洞可以遥控发送数据,也可以远程控制系统;2010年有关部门披露,日立及其代理商通过利用预留后门、设备巡检和磁盘更换等机会,窃取我国银行敏感数据和信息;国内安全专家和企业发现,在国内金融、电信、能源等领域广泛应用的大型Linux服务器软件存在“后门”,可窃取服务器管理员账号、密码、服务器IP、端口等信息。
(三)跨国公司在提供信息技术服务过程中,可能窃取大量经济信息,并非法利用我国金融、电信、交通等领域的大型企业很多都采用跨国公司提供的信息技术咨询、信息系统集成、数据处理和运营等服务。跨国公司在提供服务过程中不仅会掌握我国客户的大量信息,还可能利用该机会窃取敏感经济信息。例如跨国公司可能会利用承担国内企业将信息系统数据库开发外包服务的机会,非法登录数据库,窃取相关经济信息。此外随着云计算等快速发展,国内客户使用云计算服务过程中,会将大量数据存储到“云”端,这些数据可能被存储到海外并被非法利用,如目前在国内企业使用的Salesforce.com公司的云计算客户关系管理软件,用户数据就被保管于海外的数据中心。
(四)外资企业通过对业务积累的商业数据进行分析等,获取我国大量的经济信息目前外资企业已经渗透到我国多个行业和领域。外资企业通过主动收集等手段,积累了大量的商业数据;一些企业将商业数据传至国外,严重危害我国经济信息安全。例如,全球最大的零售业巨头沃尔玛 (中国)将业务和核心财务数据通过光缆传到美国总部生成财务信息。这些大量涉及国计民生的基础数据和供货企业成本、利润构成信息被境外获得,可使国外清楚地判断我国经济的整体趋势和薄弱环节,对我国经济安全造成严重影响。
(五)网络犯罪团伙或个人利用病毒植入等手段,窃取金融、大型商务网站等的客户信息和商业数据。当前针对我国金融、大型商务网站的网络犯罪行为日益猖獗,犯罪分子利用技术漏洞、病毒植入、网络钓鱼等手段,窃取网站客户信息和商业数据。例如,2011年底国内最大程序员网站遭黑客入侵,600多万用户的常用邮箱和密码等信息被泄露;2012年以来京东商城、当当网等大型商务网站被入侵,致使用户账户余额被盗刷;2012年6月中国电信网络被名为SwaggSec的黑客组织攻破,900多个网络管理员的用户名和密码信息被窃取。近年来黑客技术手段不断更新,网络犯罪行为呈现智能化趋势,金融、大型商务等领域客户资料和商业数据面临的威胁更加严峻。
美国确保经济信息安全的主要做法
(一)出台经济信息安全相关立法。随着经济安全问题越来越突出,美国在国家安全的框架下开展经济安全系列立法,除在能源、金融、贸易、制造等领域制定相关法律保护该领域经济安全外,还出台了专门针对经济间谍的法律。1996年的《经济间谍法》对商业秘密进行了广泛界定,将任何有形无形的、非公开的、为拥有者合理保护的信息都认定为商业秘密,并对两类违法行为进行制裁:一是外国政府、机构、企业刺探美国产业商业秘密的经济间谍罪;二是一般企业因竞争因素所导致的窃取商业秘密罪。
(二)构建系统化的组织机构体系。美国构建了一个庞大的组织机构体系保障经济安全。美国设立了以总统为中心,副总统、国防部长、国务卿、中央情报局局长和总统安全事务助理等人组成常务委员会的国家安全委员会,总统掌握着经济安全的决策权和协调权。财政部、商务部、农业部、能源部等各部门执行具体的经济信息安全职能。美国还建立了跨部门的协调机构,如外国投资委员会、美中经济与安全审查委员会、国家经济委员会等。中央情报局和联邦调查局在防范经济间谍方面发挥着重要作用。
(三)指导企业加强数据和信息保护。
美国政府指导企业加强数据和信息保护,并推广数据和信息保护最佳实践,包括制定信息战略;实施内部威胁和意识计划,对信息技术应用可能给数据和信息带来的威胁进行侦测,进行内部安全意识培训,对外提供信息前对信息接受者进行背景调查,与员工和商业伙伴签订保密协议等;对数据和信息进行有效管理,对企业所拥有的信息进行分类,明确哪些信息需要保护及保护期限,选择适合的控制措施;对网络进行实时监控,保存登录服务器并进行文档操作的所有记录,安装必要的软件工具等。
保障我国经济信息安全的措施建议
(一)通过立法和标准等手段,规范经济信息的收集、处理和利用等行为。《全国人民代表大会常务委员会关于加强网络信息保护的决定》主要对公民个人信息进行保护,对经济信息保护没有涉及。建议借鉴美国等国的经验,在国家安全的大框架下,尽快研究制定经济数据和信息保护的法律制度,明确经济数据和信息的范围,规范数据和信息的收集、处理和利用等行为,明确经济信息主体的信息保护责任,明确对经济间谍、利用网络窃取经济数据和信息的处罚措施。同时,要研究制定经济信息和数据保护相关标准规范,从信息的收集、处理和利用环节提出明确具体的要求。
(二)建立经济信息安全保护的跨部门协调机构,形成系统性组织机构保障经济安全。在国家信息安全协调小组框架下,建立经济信息安全保护协调机构,负责经济信息安全战略政策的制定,协调国务院相关部门的经济信息安全保护工作。充分发挥工业和信息化部、国家发改委、财政部、商务部、科技部、农业部等部委在保障经济信息安全工作中的作用。加大国家安全部等部门对外国经济间谍活动的监督防范,对全球经济趋势和国家贸易情况的监视和分析,以及在意识培训等方面作用。
(三)对国民经济关键行业和领域的经济信息采取多种措施予以重点保护。对金融、资源、能源、制造、高科技、商业零售、军工等国民经济关键行业和领域的企业明确提出经济信息保护要求,要求其在加强信息化建设的同时对重要敏感信息保护予以充分重视。要求上述领域企业建设信息安全监控基础设施,对信息系统的实时运行进行监控。
(四)对国民经济关键行业和领域应用的关键产品和设备实施信息安全审查。以重要领域工业控制系统、关键信息技术产品和设备为切入点,实施系统和产品设备的信息安全审查,审查是否存在重大安全缺陷、是否嵌入恶意功能。在总结经验、完善审查程序的基础上,逐步将安全审查范围拓展到经济领域应用的所有关键产品和设备。以安全审查为契机,支持国产关键产品和设备的研发,推广国产关键产品和设备,鼓励各领域应用国产产品和设备,逐步实现经济领域应用的关键产品和设备的国产化替代。
(作者单位:工业和信息化部赛迪研究院)
发送好友:http://www.sixwl.com/caijingyaowen/105398.html
更多信息请浏览:第六代财富网 www.sixwl.com
标签:网络空间中如何保障经济信息安全?网络空间保障经济信息安全
上一篇:深化金融改革 解决中小企业融资难
下一篇:提高城镇化质量需要五大突破
·龙光地产赴港IPO遭冷遇 投资者看淡三线城市开发商2013.06.20
·武进不锈拟上市募资4.48亿扩产2013.06.20
·守候恢复IPO后的机会2013.06.20
·新方案难解“三高”痼疾2013.06.20
·皮海洲IPO仍不具备重启条件2013.06.20
·IPO改革不乏“虚招”2013.06.20