《网络安全法》技术支撑现状分析

2019-12-09 02:08滕达朱娜斐王思雨何泾沙

网络空间安全 2019年5期

滕达朱娜斐王思雨何泾沙

摘要：《中华人民共和国网络安全法》（简称《网络安全法》）的颁布与实施，在网络空间安全领域引起了广泛的关注与讨论。这部法律的意义在于不仅填补了我国司法空白，还为网络信息安全从业人员和技术领域提出了技术方面的要求。因此，现有网络安全技术对《网络安全法》要求的满足程度及支撑作用，是网络安全从业人员在进行技术部署时需要考虑的重要方面，也是这部法律得以真正实施的关键所在。现有的研究主要集中在司法领域讨论这部法律的意义和缺陷，而缺少在技术实现领域对这部法律的技术支撑和分析，导致可能没有使用相关技术真正实现法律的要求。为了从技术实现角度更好地理解法律的要求，文章从现有网络安全技术角度出发，对《网络安全法》的具体实现细节进行解析，讨论现有技术对其的支撑现况，找出技术领域目前还应进一步完善和研究的内容。

关键词：网络安全法;信息安全技术;国家标准;法律实现

中图分类号：TP309 文献标识码：A

Analysis of current technology support to the Cybersecurity Law

Teng Da1， Zhu Nafei1，2， Wang Siyu1， He Jingsha1，2

（1. Faculty of Information Technology， Beijing University of Technology， Beijing 100124;

2. Beijing Engineering Research Center for IoT Software and Systems， Beijing 100124）

Abstract： The promulgation and implementation of the Cybersecurity Law of the People's Republic of China has aroused wide concern and discussion. The significance of this law is not only to fill the judicial gap， but also to put forward technical constraints for network information security practitioners and fields. How the existing network security technology supports the requirements of the "Cybersecurity Law of the People's Republic of China" is an important aspect that security practitioners need to consider when implementing the technology deployment， and is also the key to the implementation of this law. However， existing researches mainly discuss the significance and defects of this law in the field of justice， and lack of comparison and analysis of this law in the field of technology implementation， which leads to the possibility that it cannot be strictly used to achieve the binding effect of technology. In order to better realize the requirements of the law in the field of technology， we analyze the specific implementation details of the law from the perspective of existing network security technology， and discuss the technical support status. We identify the parts of the technical field that should be further improved and studied at present.

Key words： cybersecurity law; information security technology; national standards; legal implementation

1 引言

互聯网与人们的联系日益紧密，小到娱乐、购物、社交、出行，大到政治、国防、经济，网络已渗入了人类社会的方方面面。目前，网络信息安全成为人们不得不考虑和重视的新课题，各国都积极地在网络安全立法方面做出了部署。我国颁布的《网络安全法》正式生效，这部法律如何约束和监管网络行为？现有的网络安全技术又是否能实现和满足法律的要求？这关系到这部法律在实践中的有效性和可用性，对法律的实施和未来网络安全法律体系的构建具有重要的意义。

2背景

2.1 网络安全现状

随着大数据时代的到来，体量庞大而内容繁复的数据，给网络与信息安全带来了前所未有的挑战[1]。近年来，全球范围内网络安全事件越来越多，发生频率也越来越高，给社会造成的经济损失越来越大。2017年5月，WannaCry勒索病毒的爆发，使得100多个国家和地区超过10万台电脑遭到了攻击，造成的经济损失达80亿美元，影响到了全球范围内的金融、能源、医疗等行业。中国部分Windows操作系统用户遭受感染。校园网首当其冲，以致大量科研数据丢失;在工业界，部分大型企业的应用系统和数据库文件被锁定，无法正常使用。在社会层面，恶意攻击波及范围广，危害性大;在个体层面，信息泄露侵犯了个人的隐私权。2018年2月，陆续有用户发现个人的B站（中国知名的视频弹幕网站“哔哩哔哩”，简称B站）账号密码，未经授权就可登录快视频APP（360公司旗下的一款视频应用软件），疑似B站用户的注册信息被窃取。2018年3月，苹果公司的技术人员因与客户发生口角，擅自访问了用户的Icloud，导致用户个人信息泄露。同年3月底，剑桥分析公司被指非法获取逾5000万Facebook用户数据。对此，Facebook公司表示将采取补救措施，限制开发者的数据访问权限。

《网络安全法》是我国第一部规范网络空间安全方面的基础性法律。从立法到实施，充分体现了我国对网络信息安全以及个人信息安全的重视程度。近年来，互联网产业的发展，使得各行各业逐渐形成了相对成熟的网络安全技术与机制。随着《网络安全法》的颁布实施，这部基础性法律如何落地生根引起了社会的广泛关注。相关行业的参与者，要对《网络安全法》的具体要求进行技术上的解析，进而在对系统进行更新和研发时，寻求满足要求的方案进行实施。现有的技术与机制如何发挥其对法律的支撑作用，是社会所关心的话题。

在对现有网络安全技术与法律要求进行对应时发现。一方面，现有的网络安全技术还存在短板，对于部分法律要求并不能很好地用技术手段进行约束。例如，在保障用户的知情权、拒绝权、遗忘权、更正权方面，现有的技术实现手段对用户权益的保证远远不够。另一方面，法律规定与现有的技术实现之间还存在空隙，部分由于法律条文的解析范围较宽，对技术的要求还不太明确。

对于网络环境的安全和个人信息安全来说，在技术支持上和法律法规方面未来都还有很大的发展空间。用技术来支撑法律实施，用法律来引导技术发展，《网络安全法》将是未来中国网络安全体系的开端，在不远的未来将会有更加全面与完善的法律加入进来。

参考文献

[1] 齐爱民. 论大数据时代数据安全法律综合保护的完善—以《网络安全法》为视角[J]. 东北师大学报（哲学）， 2017（4）：108-114.

[2] 洪延青. 评《网络安全法》对数据安全保护之得与失[J]. 信息安全与通信保密， 2017（1）：66-73.

[3] 鲁传颖. 从全球网络安全的角度看《网络安全法》之意义[J]. 中国防伪报道， 2016（12）：43-43.

[4] H. D. Paul， P. Vagelis. The new General Data Protection Regulation： Still a sound system for the protection of individuals？[J]. Computer Law & Security Review， 2016：S0267364916300346.

[5] 丁道勤. "上天入地"，还是"度权量利"—《网络安全法》（草案）述评[J]. 中国矿业大学学报（社会科学版）， 2016， 18（3）：34-41.

[6] 黄道丽. 从《网络安全法（草案二次审议稿）》看安全漏洞的法律规制[J]. 中国信息安全， 2016（7）：57-58.

[7] 潘柱廷. 《网络安全法》三观之总体博弈观[J]. 中国信息安全， 2017（6）：83-87.

[8] 徐亚文，高一飞. 试析人权语境下的公民网络信息安全保护—以我国《网络安全法》颁布为背景[J]. 广州大学学报（社会科学版）， 2017， 16（5）：26-33.

[9] 许长帅. 《网络安全法》的适用：网络运营者及其主管部门的确定[J]. 通信管理与技术， 2017（5）：19-23.

[10] 黄道丽，原浩. 《网络安全法》行政执法的若干问题分析[J]. 中国信息安全， 2017（9）：32-36.

[11] 尹丽波. 网络安全法将促进国家关键信息基础设施保护新局面[J]. 中国信息安全， 2015（8）：110-112.

[12] 刘山泉. 德国关键信息基础设施保护制度及其对我国《网络安全法》的启示[J]. 信息安全与通信保密， 2015（9）：86-90.

[13] 葛芳菲. 论网络安全技术[J]. 决策与信息旬刊， 2012（2）：77-78.

[14] 王于丁，杨家海，徐聪，等. 云计算访问控制技术研究综述[J]. 软件学报， 2015， 26（5）：1129-1150.

[15] 周长春，田晓丽，张宁，等. 云计算中身份认证技术研究[J]. 计算机科学， 2016， 43（s1）.339-341+369.

[16] 肖亮，李强达，刘金亮，等. 云存储安全技术研究进展综述[J]. 数据采集与处理， 2016， 31（3）：464-472.

[17] ZH. Guo， P. Zhu， Z. Xu. Research of information security technology application in enterprises[C]// International Conference on Computer Research & Development. 2011.

[18] CY. Wang， Z. Zhang， XH. Song. Research on the Information Security Technology of University Campus Network[M]// Advances in Computer Science and Information Engineering. 2012.

[19] QL. Sun. Information under the Network Environment Using Computer Information Security Technology[C]. International Conference on Intelligent Transportation. IEEE， 2016.

[20] FX. Zhang， WM. Zhang. The application and study of information security technology based on general software platform[C]. International Conference on Electrical & Control Engineering. 2011.

[21] YJ. Peng， ZL. Zou， Xi. Guo， et al. Research on Architecture and Key Technology of Information Security Emergency Response[C]. International Conference on Information Engineering & Computer Science. IEEE， 2009.

[22] 劉品新，张艺贞. 《网络安全法》立法的三原则[J]. 中国信息安全， 2014（9）：66-68.

[23] 闵婉. 《网络安全法》中的个人信息保护规则评析[J]. 法制博览， 2018（2）：69-70.

[24] 十三届全国人大常委会立法规划[EB/OL]. http：//www.npc.gov.cn/npc/xinwen/201809/10/content_2061041.htm

作者简介：

滕达，（1995-），女，汉族，河北沧州人，北京工业大学，硕士;主要研究方向和关注领域：隐私保护、访问控制，信息安全。

朱娜斐，（1981-），女，汉族，河南平顶山人，北京工业大学，博士，北京工业大学，讲师;主要研究方向和关注领域：网络安全、隐私保护、访问控制。

王思雨（1994-），女，汉族，北京人，北京工业大学，硕士;主要研究方向和关注领域：信息安全、访问控制、隐私保护。

何泾沙，（1961-），男，汉族，陕西咸阳人，美国马里兰大学，博士，北京工业大学，教授;主要研究方向和关注领域：网络安全、隐私保护、电子取证、区块链技术。

最新出版国家标准

中国质量与标准导报(2021年2期)2021-06-29

19项造纸领域国家标准2月1 日起实施

造纸信息(2021年3期)2021-04-19