F网事焦点
eature
网络安全法尚需全面贯彻落实
——全国人大关于检查《网络安全法》实施情况的报告摘编
本刊编辑部
对选取的20个重要信息系统进行漏洞扫描和模拟攻
击,并就所检测系统的网络安全情况出具专业检测报
告。委托中国青年报社社会调查中心就“一法一决定”
中与公众关系密切的10个方面的问题,在全国31个
省(区、市)进行了民意调查,出具了调查报告。二
是专家参与。检查组先后从国家信息技术安全研究中
心等单位聘请21名网络安全专家和长期从事网络安全
C
I
T
S
E
C
工作的专业技术人员参加检查,为检查组提供技术支
持,增强检查的针对性和实效性。三是随机抽查。6
个检查小组共对13个单位进行了随机抽查。远程检测
的120个重要信息系统也均由执法检查组随机选取,
在运营单位不知情的情况下完成检测。
执法检查包括五个重点:一是开展法律宣传教育
2017年12月24日,全国人大常委会副委员长王
“一部新制定的法律实施不满3个月即启动执法检查,
这在全国人大常委会监督工作中尚属首次。”这里所
说的新制定的法律即是6月1日正式实施的网络安全
法。王胜俊在会上就执法检查的情况做了报告。
2017年8月至10月,包括王晨、沈跃跃、张平、
万鄂湘、陈竺和王胜俊共六位人大常委会副委员长参
加了这次执法检查。检查组赴内蒙古、黑龙江、福建、
先后召开30余次座谈会,实地考察了部分网络安全指
挥平台和关键信息基础设施运营单位。另外,还委托
12个省市自治区的人大常委会对本行政区域“一法一
决定”实施情况进行检查。
这次执法检查在方式方法上作了一些创新:一是
请第三方专业机构参与。委托中国信息安全测评中心
的情况;二是制定配套法规规章的情况;三是强化关
情况;四是治理网络违法违规信息,维护网络空间良
好生态的情况;五是落实公民个人信息保护制度,查
处侵犯公民个人信息及相关违法犯罪的情况。
胜俊在十二届全国人大常委会第三十一次会议上表示,
键信息基础设施保护及落实网络安全等级保护制度的
一、检查发现的困难和问题
1.网络安全意识亟待增强
许多关键信息基础设施运营单位对网络安全的重要
轻防护”,缺乏主动防御意识,不愿在安全防护方面进
行必要投入。不少地方政府和部门领导干部不能从国家
安全的高度认识网络安全,“说起来重要,干起来次要,
忙起来不要”。社会公众网络安全意识总体不强。
2.网络安全基础建设总体薄弱
一是网络安全态势感知平台建设滞后。不少省份
河南、广东、重庆等6省市自治区,听取当地政府汇报,
性认识不到位,在信息化方面“重建设、轻安全;重使用、
56/2018.07
尚未启动网络安全态势感知平台建设,不能实现对重
要信息系统网络安全风险的全天候实时、动态监测。
二是容灾备份体系建设总体滞后。不少关系国计民生
的关键信息基础设施运营单位没有按照法律规定对重
要数据进行异地容灾备份,有些省份的多数重要信息
系统未按法律要求进行异地容灾备份。三是重要工业
控制企业的设备和控制系统国产化程度有待提高。一
些重要工控企业对外国技术依赖严重,生产控制系统、
配套的网络及安全设备甚至设备的配置和管理权限由
外方人员操控。四是应急预案流于形式。存在针对网
络攻击、信息泄露等网络空间安全事件的内容较少,
缺乏可操作性,长期未修订等问题。许多单位未真正
举行过应急演练。
3.网络安全风险和隐患突出
根据中国信息安全测评中心对随机选取的120个
关键信息基础设施(60个门户网站和60个业务系统)
进行的远程渗透测试和漏洞扫描报告显示,本次远程
测试的120个关键信息基础设施中,共存在30个安全
漏洞,包括高危漏洞13个,严重威胁了系统及服务器
安全,也存在严重的用户信息泄露风险。远程检测还
发现,多个市政府门户网站存在页面被篡改风险。执
法检查组现场抽查时发现,许多单位没有依照法律规
定留存网络日志,有的单位从未对重要信息系统进行
风险评估。有的单位对内网系统未部署任何安全防护
设施,长期不进行漏洞扫描,存在重大网络安全隐患。
4.用户个人信息保护工作形势严峻
中国青年报社社会调查中心的报告显示,“一法
一决定”关于用户个人信息保护的多项制度落实得并
不理想,受访者普遍认为,法律关于网络服务提供者
和其他企业事业单位收集、使用公民个人电子信息相
关的规定执行得不好,企业存在过度收集用户信息现
象,执法部门保护用户信息的成效一般。检查发现,
有的互联网公司和公共服务部门存储了大量公民个人
信息,但安防技术严重滞后,内控制度不完善或不落实,
容易被不法分子或者“内鬼”窃取和盗用。
5.网络安全执法体制有待进一步理顺
网络安全监管“九龙治水”现象仍然存在,权责
网事焦点
Feature
不清、各自为战、执法推诿、效率低下等问题尚未有
效解决,法律赋予网信部门的统筹协调职能履行不够
顺畅。一些地方网络信息安全多头管理问题比较突出。
如果不能合理定位,准确厘清部门之间的职责,等级
保护制度和关键信息基础设施保护制度落实过程中也
会产生执法不协调问题。
6.网络安全法配套法规有待完善
不少单位反映,作为网络安全管理方面的基础性
法律,网络安全法不少内容还只是原则性规定,真正“落
地”还有赖于配套制度的完善。比如,数据脱敏标准、
企业间数据共享规则等,仍然需要有关法规规章予以
明确;网络安全法仅明确了关键信息基础设施运营者
数据出境需进行评估,但其他网络运营者掌握的重要
数据出境是否进行安全评估,尚待进一步明确。关键
信息基础设施保护制度是网络安全法一项重要制度,
但目前认识尚不一致,需要配套法规予以明确。
7.网络安全人才短缺
从检查的情况看,不管是经济发达地区还是相对落
后地区,网络安全技术人才都比较匮乏,现有的网络运
营单位技术人才多侧重于系统使用、操作维护,对网络
安全风险的监控、应急处置和综合防护能力不足,难以
适应保障网络安全的需要。有的关键信息基础设施核心
业务系统虽然安装了防护系统,但由于缺乏高水平的安
全技术人才,从而使网络安全防护产品难以有效发挥作
用。不少政府门户网站没有专门的网络安全技术人才,
网站管理人员没有接受过系统的网络安全技能培训。
二、建议
1.进一步提高对网络安全重要性的认识