我国信息安全“国家漏洞库”正式投入运行

中国信息安全测评中心日前宣布，我国信息安全“国家漏洞库”正式投入运行，并对外开展漏洞分析与风险评估服务。目前，西方发达国家均高度重视信息安全漏洞的管理及控制工作，纷纷投入力量建立自己的“国家漏洞库”，美国更是将信息安全漏洞管理作为几届政府信息安全战略的重要内容。欧盟也于近年投入巨资，启动了以构建国家漏洞库为核心的“信息安全盾牌计划”。那么，“国家漏洞库”最大作用是什么？其能否真正解决眼下民众关注的信息安全泄露问题？对此，本报记者采访了襄樊学院法学系系主任张樊副教授。 “国家漏洞库”不是一蹴而就，但具有重要的意义 据了解，所谓“国家漏洞库”是指通过各种渠道在整个互联网范围内，不分国界地收集漏洞数据和一些补丁措施等信息，并且将收集到的这些信息及时发布出去，让用户第一时间内了解并且解决自己信息系统存在的问题；另一方面，国家漏洞库也可以提供一些关于宏观态势的基础分析数据。正如中国信息安全测评中心主任吴世忠所说的，“‘国家漏洞库’的建设是信息安全保障工作中一项极为关键的基础性和长期性工作。当前大量的网络泄密案件和信息安全问题均与漏洞的存在息息相关。” 张樊副教授认为，“‘国家漏洞库’的建设显然具有非常重要的意义。但‘国家漏洞库’的建设首先不是一蹴而就的，因为一下子就把所有的信息漏洞全都发现并填补上是不太可能的；其次，信息安全是一个动态的体系，随着时间的推移，也将会产生新的漏洞。漏洞的发现并修补能够有效地减少信息安全泄露事件的发生，但‘漏洞库’是一个基础性的工作，是解决信息安全泄露问题的基础性工作，并不能单靠这一个举措就能解决，还必须借助法律、管理等多方面的工作来综合解决。” 信息网络安全隐患损害消费者利益，阻碍电子商务发展 信息安全问题伴随眼下互联网日新月异和网络经济规模化发展，日渐凸显和暴露出包括监管法制在内的各种社会问题，这成为消费者投诉的焦点之一。那么，问题的根本在哪里？网络交易市场和电子信息行业眼下和将来有怎样的隐忧？ 对此，张樊表示，我国目前信息安全问题日益突出的原因主要有两个方面：首先是利益的驱使。网络盗窃个人数据资料，背后有着巨大的经济利益，比如目前窃取银行卡账号及密码的案件比较猖獗，犯罪分子可以从中窃取用户银行卡上的资金。其它的个人数据资料被窃取之后一样可以变成为商品，让不法分子从中获得利益；其次，我国在信息网络安全领域的立法尚不完善，特别是网络个人数据资料的保护立法目前完全处于空白。法律的缺位是信息安全问题日益突出的一个重要因素。俗话说，“道高一尺，魔高一丈”，让用户靠技术手段来提升安全防范水平，避免信息安全事件发生是完全不可能的，必须要在法律上强化落实危害网络安全的行为的法律责任，从严打击，发挥预防及惩罚的作用。 事实上，随着我国电子商务市场的迅猛发展，信息网络安全事件的频发必然会让众多用户的经济利益受损。今年央视3．15晚会上曝光了大量的银行卡资金被盗事件，说明这一问题已经非常突出。如果不能够得到有效解决，普通消费者会对网络交易的安全性产生质疑，从而影响到其对电子商务的信心，这将会阻碍电子商务的发展。 行业自律机制的建立与立法同样关键 不受“个人信息不安全”的困扰是消费者最关心问题之一。这里除了技术问题还有法律问题，但在张樊看来，最重要的还是行业自律问题。“在这个问题上，不可避免地会涉及到一个行业自律与政府监管之间关系的问题。应该说，在个人信息保护问题上，行业自律有着非常重要的意义，特别是在互联网上。政府监管的执法成本高昂，也无法取得好的效果。”张樊说，在美国和欧盟，在立法上都对行业自律机制给予了充分的肯定。我们国家也需要借鉴，进一步发挥行业自律机制的作用，将其作为个人信息保护制度中一个不可缺少的环节，让其与政府的监管形成良性互动。如淘宝平台上的诚信问题，就应该积极借助淘宝这个平台服务商来开展行业自律，它是最直接有效的。因为淘宝作为一个平台服务商能够有效地掌握其平台上所有卖家的情况，并制定行业规则来指导其卖家行事，加强行业自律，这远比政府的行政监管要有效并成本低廉得多。 与此同时，张樊认为，从立法角度解决网络个人信息保护问题也是较为关键的，首先就是明确个人信息数据资料的范围，哪些是属于国家法律保护的；其次，规定个人信息的正当处理程序；再次，为个人信息提供保障以及行政复议、司法诉讼等救济程序；最后，要强化各种侵权行为的法律责任，搭建从民事到行政、刑事责任的法律责任体系。