特大型城市網絡信息安全監管研究（安全）

                                  韓欣毅

                     (上海市公安局網安總隊，上海200025)

摘要：隨著互聯網和信息技術的迅速發展，各種借助網絡技術的違法犯罪現象層出不窮，違法信息、釣魚網站等各種網站信息安全問題嚴重影響了我國互聯網的健康發展，信息網絡的安全可靠成為保障經濟發展、社會穩定和人民生活安寧的重要因素。由于我國互聯網發展起步較晚，監管體系還不夠全面和完善，盡管工信部、公安部等政府部門從人力、物力、技術和法律法規的支持上都加大了投入，但和西方國家的發展步伐相比，我國的網絡信息安全監管工作仍“心有余而力不足”。為更快地適應目前網上斗爭的需要，進一步提升上海市互聯網信息安全防范能力，提高網絡信息安全水平，需要加強對網絡信息安全的監管力度。文章從上海市的網絡信息安全監管工作入手，闡述網絡信息安全監管工作的定義、特征和意義，并結合實際工作尋找網絡信息安全監管工作中存在的問題，選取合適的網站信息安全評估因素建立評估模型，對上海市一定數量的網站進行安全評估分析，并以分析結果驗證了工作對策的有效性。

關鍵詞：特大型城市；網絡信息安全；監管；上海市

中圖分類號：TP309  文章編號：1671-1122( 2016) 06-0074-07

0引言

    自20世紀90年代后期互聯網進入我國以來，互聯網的基礎設施建設、技術水平發展之迅速，使得互聯網在我們的生活中發揮著越來越不可替代的作用。網站數量的不斷增長，互聯網應用的不斷豐富，帶給我們的是越來越便捷、越來越精彩的生活體驗。然而，如同任何事物一樣，互聯網也同樣具有它的兩面性，網絡安全威脅、釣魚網站泛濫，網站安全漏洞、個人信息泄露等一系列網絡信息安全問題接踵而至。由于我國在網絡信息安全方面法律法規制定滯后，多部門監管體系不完善，導致許多網站未能落實相關安全管理制度及技術防范措施。本文以上海市公安機關對互聯網站的信息安全監管工作為例，探究目前特大型城市的網絡信息安全監管模式，提出有針對性的應對措施。

1網絡信息安全監管概況

1.1網站信息安全監管工作的內容

    1)督促、指導網站建立安全組織機構，落實安全管理人員。

    督促、指導網站建立安全組織機構，負責指揮、組織、協調本單位的計算機信息系統安全保護工作，并向公安機關網安部門備案。安全組織機構應設立兩名以上專職安全員，安全員和計算機安全相關重要崗位的人員應參加公安機關組織的安全培訓，持證上崗。

    2)督促、指導網站到公安機關網安部門進行備案

    督促、指導網站自網絡開通之日起30日內到所在地公安機關網安部門依法辦理備案手續，并按照公安機關的規定按時提交出租網站服務的用戶的變更情況，協助公安機關開展出租網站服務用戶的備案工作。

    3)督促、指導網站建立健全安全保護管理制度。

    4)督促、指導網站落實安全保護技術措施。

1.2網站信息安全監管工作的主要方法

    1)全面掌握網站的基本情況。搜集掌握信息的方法包括：(1)本行政區劃互聯網運營單位( ISP、IDC)報送；(2)備案；(3)日常管理和監控工作中發現；(4)上級有關部門和各地網安部門通報；(5)技術措施檢測。所掌握網站的備案率應該達到90%以上。

  2)加強安全檢查和指導。要求各網站落實安全保護管理制度和安全保護技術措施，重點檢查安全審計技術措施和關鍵字過濾措施的落實情況，以及用戶登錄、退出、文件傳輸等日志記錄留存情況（60天以上）。落實安全保護技術措施的網站必須達到95%以上。

  3)重點監管具有交互式欄目的網站。對開設交互式欄目的網站進行重點監管，督促、檢查，指導其落實信息安全保護管理制度，特別是落實信息發布、審查、巡查機制，同時建立重點單位數據庫，加強管理。具有交互式欄目的網站的備案率應該達到100%。

    4)建立日常應急聯絡機制。要求各網站確定工作聯系人和聯系電話，落實7x24小時值班制度，在公安機關提出處置有害信息的要求后，必須能及時備份、刪除。

2網站信息安全問題

2.1公安機關監管中發現的問題

2.1.1互聯網信息服務準入門檻過低

    按照我國法律法規規定，我國對開辦網站實行經營許可和非經營備案制度。但目前在我國辦理經營性許可的網站數量不到網站總數的2%，大量非經營性網站只登記開辦者基本信息，缺乏必要的安全準入條件；大量中小型網站注冊信息不準確、基本的安全管理制度缺失。有的網站為了提高點擊量，放任、縱容淫穢色情、賭博詐騙等違法信息傳播、擴散，有的甚至與不法分子相互勾結，為不法分子實施犯罪活動提供方便。

2.1.2互聯網服務單位信息安全管理責任、義務不明確

    近年來，公安機關依法查處了近萬家違法網站，其中80%以上違法網站的注冊信息是虛假的，公安機關難以找到網站開辦人，無法追究網站開辦人的法律責任，無法對不法分子起到懲戒、警示作用，導致違法網站屢關屢開、違法信息屢刪不盡，嚴重敗壞社會風氣，危害公共安全，侵害人民群眾的合法權益。

    目前我國相關法律法規主要從行業管理的角度規定了開辦互聯網信息服務的條件和行政審批制度，但對互聯網信息服務、接入服務單位應具備的安全責任、義務，如公共信息巡查發現、違法信息屏蔽過濾和接入網站合法資質查驗等，沒有規定或規定過于理論，操作性不強。目前網上違法有害信息的發現實際上是由政府、社會和網民共同完成，互聯網服務單位能夠主動發現、及時報告的很少。一些互聯網服務提供者還出于經濟利益考慮，放任、縱容違法信息的傳播、擴散，這種企業贏利、政府和社會買單的情況導致網上違法信息層出不窮、屢禁不止。

2.1.3互聯網服務單位上網日志信息留存問題

    現有的法律法規規定日志信息留存時間僅為60天，遠不能滿足執法機關落地調查和打擊違法犯罪的需要，有的服務商甚至不留存日志信息。對網民注冊登記和上網日志信息，現有的查詢規定手續繁瑣，時效陛差，經常貽誤辦案時機。

2.1.4互聯網管理部門責權不一致

    以留存日志信息為例，其主要目的是為執法部門打擊網絡違法犯罪行為服務。但現行的互聯網信息服務管理辦法規定，日志信息監管由電信管理機構負責，檢查和處罰部門為電信管理機構，導致一些互聯網服務單位常常以未經電信管理機構同意為由拒絕向執法機關提供數據，使網絡犯罪線索查證工作陷入中斷。

    公安機關承擔著在互聯網上維護國家安全、社會穩定，防范和打擊犯罪的重要任務。但目前的法律法規給公安機關的授權不足，與公安機關所承擔的職責不相效預防、遏制和打擊網絡違法犯罪，應該將公安機關的互聯網安全監管職責貫穿于互聯網服務企業的事前審核、事中監管和事后查處等多個環節。

2.2監管與發展的問題

    有人說加強網絡信息安全監管是在讓網民“禁言”，此言差矣。筆者認為，從公安機關的角度來看，在打擊網絡中別有用心者不良企圖的同時，也應當保護單純善良人群的同情心理。無數事實已表明，暢所欲言的言論自由往往最終只得到被利用、被蒙蔽甚至被欺騙的苦澀果實，與言論者的初衷早已背道相馳。不受制約的自由到頭來會違背公眾利益，一味地放水養魚最終結果是竭澤而漁?，F實社會如此，網絡社會亦如此。沒有自律就沒有自由，沒有適度的監管也就沒有長遠的發展。

3網絡信息安全監管對策

3.1進一步落實網絡信息安全防范

3.1.1加強網站軟硬件系統及管理制度的安全防范

    在物理層安全方面，要加強對通信線路、物理設備、機房的安全管理；在系統層安全方面，要加強對操作系統的安全管理和防范，盡可能地排除操作系統本身的缺陷帶來的不安全因素，包括身份認證、訪問控制、系統漏洞、安全配置、病毒威脅等；在網絡層安全方面，要加強網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入安全、域名系統安全、路由系統安全、入侵檢測手段、網絡設施防病毒等。

    在企業內部管理制度方面，要制定嚴格的管理規范，包括：成立網絡安全小組，確立安全小組負責人（單位領導任組長），確立組長負責制；組長落實小組人員崗位工作職責；配備一定數量的計算機安全員，須持證上崗；制定網絡安全事故處置措施；制定計算機機房安全保護管理制度；制定用戶登記制度和操作權限管理制度；制定網絡安全漏洞檢測和系統升級管理制度；制定交互式欄目24小時巡查制度；制定電子公告系統用戶登記制度；制定信息發布審核、登記、保存、清除和備份制度，信息群發服務管理制度；制定違法案件報告和協助查處制度；制定備案制度等。

    在網站安全保護技術措施方面，要求：具有保存3個月以上系統網絡運行日志和用戶使用日志功能，內容包括IP地址分配及使用情況、交互式信息發布者、主頁維護者、郵箱使用者和撥號用戶上網的起止時間和對應l P地址、交互式欄目的信息等；具備安全審計及預警措施，網絡攻擊防范、追蹤措施，計算機病毒防治措施，身份登記和識別確認措施；交互式欄目具有關鍵字過濾技術措施；開設短信息服務的具有短信群發限制、過濾和刪除等技術措施；開設郵件服務的，具有垃圾郵件清理功能等。

3.1.2加強互聯網行業從業人員教育培訓

    根據公安部、人事部于1999年聯合下發的《關于開展計算機安全員培訓工作的通知》相關要求，凡從事計算機信息網絡國際聯網的互聯單位和接入單位的有關人員均需參加由公安、人事部門聯合組織的統一教育培訓與考核，考核通過后，由公安、人事部門認定其計算機安全員培訓合格，并在合格證明材料上加蓋省、自治區、直轄市計算機安全員培訓考試專用章，方可繼續從事互聯網行業相關信息安全工作。

    上海市公安局于2003年積極會同市人力資源與社會保障局，成立了上海市信息網絡安全專業技術人員繼續教育工作辦公室，具體負責本市信息網絡安全管理、信息網絡安全技術、互聯網信息內容安全管理以及互聯網上網服務營業場所安全管理方面的相關信息網絡安全員的教育培訓工作。截至2012年底，共培訓信息網絡安全員6561人次，為提高本市信息安全防范水平打下了良好基礎。

    近年來，上海市公安機關還結合本市互聯網發展實際情況，加大了對提供公共上網服務的場所工作人員的教育培訓力度，切實提高了本市互聯網行業從業人員的崗位業務水平和職業道德素質；同時還制定并下發了《上海市信息網絡安全員管理辦法》，進一步規范了本市信息網絡安全員的教育培訓、在崗履職、失職懲處及表彰獎勵等工作，推動了本市信息網絡安全專業技術人員繼續教育工作的持續深入。

3_2進一步加強政府職能部門監管

3.2.1加強公安機關網安部門的依法監管

    1)加強互聯網基礎數據采集和基礎數據庫的建設。

    2009年4月，公安部在全國范圍內開展了互聯網基礎數據采集和基礎數據庫的建設工作。截止目前，基礎數據庫中共有IP地址段分配及互聯網服務單位備案信息200多萬條。其中，IP址段分配信息173943條，固定IP地址分配使用信息5008條；互聯網接入服務、互聯網數據中心、虛擬空間租賃服務單位備案信息8966條，網站備案信息1593818條，互聯網上網服務場所備案信息134168條，重點聯網使用單位備案信息54497條。同時，采集重點ICP用戶注冊信息2.9億條，寬帶上網賬號信息4.1億條，網安部門對網民的現實化管理能力進一步增強。

    同時，根據公安機關長期偵查辦案經驗，目前工信部推行的網站ICP備案過程中，網站開辦者信息往往存在錯誤或虛假的情況，導致許多涉網違法犯罪案件查證線索的中斷。通過推進互聯網基礎數據采集和基礎數據庫系統的建設，可同步落實對網站的實名備案要求，有效提高網站開辦者身份信息真實性和準確度，為提高網站信息安全提供政策支撐。

    2)加大對互聯網違法犯罪行為的查處力度。

    2012年，結合公安部深化打擊、整治網絡違法犯罪專項行動，上海市公安局網安部門對283家出現過違法信息的網站處以警告并責令限期改正的行政處罰、4家處以罰款的行政處罰、19家處以停機整頓的行政處罰，關閉214家違法網站，并通報市通信管理局納入黑名單管理。組織全市網站自行清理違法信息10萬余條，自行關閉違法欄目2375個，自行關閉網站1191家，發現并上報違法線索35492條，極大地凈化了本市互聯網環境。隨著互聯網的飛速發展，公安機關應繼續不斷加強對互聯網接入服務商、互聯網信息服務商等互聯網企業的監管力度，依法開展行政處罰和違法犯罪打擊工作，加強網絡社會管理工作，保障是網絡依法規范有序運行。

3.2.2完善其他政府部門的監管

    國家各級網絡信息安全監管部門應加強信息互通與協作，根據各自網絡信息安全監管職責分工，加強對網站信息安全的監督與管理?；ヂ摼W信息內容主管部門應結合時事熱點，加強對互聯網內容意識形態的監管；電信主管部門應加強互聯網行業發展、行業準入、行業規范的監管；公安部門應加強對互聯網違法犯罪案事件的查處與打擊。同時相關部門應建立良好的溝通協作機制，在網站信息安全領域建立統一的信息共享平臺，將不同部門對網站的監管結果向其他監管職能部門開放，以達到數據共享的目的，在節約監管成本的同時，提高監管效率。

3.3加強社會化合作

3.3.1建設網絡社會征信網

    互聯網在社會經濟發展中發揮著積極作用的同時，由于其具有匿名隱身、即時通信、無界傳播、無限擴張等特點，也成為不法分子傳播淫穢色情信息、散布網絡謠言、惡意侮辱誹謗他人的溫床。如何增強網民的自律意識，從根本上規范網民的網上行為，已成為政府部門開展虛擬社會管理工作的重要內容之一。2009年，上海市公安局網安部門創造性地在互聯網上建立網絡社會征信體系，促進了網絡社會誠信建設。2010年，由公安機關主導、行業協會出面一上海市在國內首創了“網絡社會征信網”（網址www．zx110．org，以下簡稱征信網）。征信網探索將現實社會的信用管理模式引入虛擬社會，通過“以網制網”的方式，建立一套與現實征信體系融會貫通的網絡征信體系，從根本上規范網上行為。經過兩年多的努力，征信網在“建設制約型、引導型、服務型網絡誠信門戶網站”方面取得了明顯成效，獲得了媒體和社會各界的普遍好評。

3.3.2上海市信息網絡安全管理協會

    上海市信息網絡安全管理協會于2010年5月經市公安局和市民政局批準成立，主管部門是上海市公安局。它是一個由從事網絡信息服務、數據服務和安全服務的管理機構、科研單位、研發廠商、服務廠商以及計算機網絡用戶、信息網絡安全愛好者等組成的非營利性社會團體。協會成立的目的是為了團結和組織社會各界關心支持信息網絡安全建設的力量，全面推動我市計算機信息網絡安全技術的普及、應用和發展，提升廣大計算機用戶單位和個人的安全意識及安全技能，增強計算機信息網絡用戶的安全防范能力，維護上海網絡信息產業的綠色生態環境建設，逐步建立完善全市計算機信息網絡安全保障機制，確保社會經濟、文化各方面的穩定和諧發展。

    協會目前擔負著構建上海市信息安全聯動機制、信息安全領域的產品測評、安全信息發布、安全體系評估、等級保護制度具體實施和相關安全人員培訓、協助政府進行行業管理等工作，是一個在政府部門、企業單位、個人用戶等之間起著橋梁和起紐帶作用的權威組織。目前協會成員近150家，不僅涵蓋了政府部門、科研機構、宣傳媒體等智庫機構，同時不少國內的ICP、ISP、IDC廠商、信息安全廠商及通信運營商也已加入其中。協會既是一個專家學者交流的論壇，又是一個廠商與客戶溝通互動的平臺，還是一個提供公信力保障的評價機構，更是本市在信息安全管理領域層級最高、組織結構最為緊密、行業涵蓋最廣及公信力最強的社會組織。

    通過發揮協會的橋梁作用，一方面使得網安部門的監管要求能夠更好地得到實施與落實，另一方面也能使互聯網企業的需求能夠更好地向政府監管部門反映，同時也能夠通過行業規范和行業自律，進一步提高本市網站信息安全工作水平。

3.4健全法律法規、加強行業自律

3.4.1健全互聯網行業法律法規建設

    2012年12月28日，第十一屆全國人民代表大會常務委員會第三十次會議通過了《關于加強網絡信息保護的決定》，該決定旨在為互聯網時代的個人信息保護裝上“法律的盾牌”，以法律形式保護公民個人及法人信息安全，確立網絡身份管理制度，明確網絡服務提供者的義務和責任，并賦予政府主管部門必要的監管手段，重點解決了我國網絡信息安全立法滯后的問題。

    “網絡社會沒有法治，現實社會就沒法兒治”。我們都知道法律不是萬能的，我們也知道不能奢望法律能夠解決網絡社會中的一切問題，但我們還必須要清醒地看到沒有法律是萬萬不行的。沒有法律，基本的網絡社會公共秩序就根本無從談起。所以網絡信息安全的監管前提必定是‘有法可依”，然后才是‘有法必依”，“執法必嚴”和“違法必究。

3.4.2完善互聯網行業自律規范

    加強網絡信息安全監管，不能只靠政府職能部門，互聯網行業還應依靠行業力量，開展自律，制定行業內部的規范和標準。2013年1月，筆者在工作中就參與了上海市信息網絡安全管理協會會同市信息服務業行業協會、市互聯網協會、市信息安全行業協會以及市網絡文化協會，共同起草了本市互聯網行業企業加強信息安全自律的《倡議書》。

3.5對網站信息安全開展評估

3.5.1對網站開辦者身份可信度開展評估

    1)開辦者身份可信度評估簡介。

    2012年，上海公安網安部門針對目前釣魚網站泛濫，網站開辦者信息不真實等問題，依托網絡社會征信網平臺，會同相關企業探索研究并開展了網站開辦者身份可信度評估服務。網站身份可信度認證是面向廣大網民提供的一款評估網站身份是否可信的檢測服務。當網民訪問陌生網站或有疑問的網站時，可使用網站身份可信度認證提供的服務進行檢測。這能有效防止釣魚、網絡犯罪、惡意欺詐等不良網站對網民的危害。網站身份可信度認證服務通過建立網站身份信譽評估模型，在網站主體身份、資質、監管處罰、網民舉報、用戶評價等信息基礎上對網站進行認證。

    該評估產品可通過征信網進行訪問，網址為pinggu.zx110．org。網民只需通過輸入想要訪問的網站網址，即可直觀地看到該網站的相關詳細信息，包括網站的ICP備案信息、網站服務器信息、工商備案信息、公安機關的備案信息、開辦者身份的驗證信息、網民舉報信息等。同時征信網還會返回一個網站的訪問意見給網民，為網民辨別假冒虛假的釣魚網站、保護自身信息安全起到了良好的作用。圖1和圖2分別為征信網和一個仿冒工商銀行的網站( 1cbc．com)的評估結果截圖。

 2)評估體系介紹。

  網站開辦者身份可信度評估是基于網站的客觀信息和人工審核綜合評估的，其中客觀數據項的權重占80%。主要評估因素見表1。

  通常評估結果較低的網站是基于以下原因：

  1)網站未備案；

  2)服務器位于境外；

  3)網民舉報經征信網確認為不良網站；

  4)網站備案身份為個人。

  根據以上評估指標，評級結果從0到5星不等，同時給出相應的訪問建議，具體見表2。

3.5.2以上海市為例進行評估測試

    1)具體情況及測試結果

    選取上海本市網站、近期Alexa流量排名前500名的網站進行網站開辦者身份可信度評估測試。這500個網站的所屬分類基本涵蓋了目前互聯網的各大主要應用領域，具體見表3。

  經測試，評估結果在3星及以上（認為可放心訪問）的總計為405家，占81%，整體符合預期；評估結果為三星以下共95家網站中，有53家（占56%）網站是因為其備案所有者為個人而扣分，另外有一部分網站屬于跨國企業的中國站點，因其服務器位于境外而被扣分，其中評估結果小于2星的4家網站皆為服務器位于境外的個人備案網站。評估結果分布圖如圖3所示。

2)評估分析

  本次測試樣本為上海流量前500名的網站，整體內容及運營質量較高。從評估統計結果看，評估準確性整體良好，整體平均評估分數為3.61分，基本符合預期結果。其中被評估的4家政府類網站全部達到5分標準，屬于身份可信任網站，符合政府部門開辦網站主題可信的事實。在所有評估的網站類型中，導航類網站平均評估分數最低，僅為3.15分，反映出目前類似信息發布類平臺及信息導航類平臺網站開辦的不規范，相關開辦主體信息不準確或未及時變更，導致一旦發生信息安全事故時難以在第一時間聯系到網站開辦人，給事件的處置帶來安全隱患。

    從評宿的結果來看，各類型網站開辦主體身份可信度評估得分情況，與公安機關網安部門在網絡信息案事件查處過程中所掌握的情況基本一致，說明該評估模型的建立得到了工作實踐的映證，評估結果可以提供給廣大網民進行網站訪問前的安全參考。

4結束語

    隨著互聯網技術的不斷發展，網絡安全方面的隱患和威脅問題也越來越突出，我國由黨和國家最高領導人擔任網絡安全和信息化領導小組負責人以及在政府工作報告中寫入維護網絡安全的內容，表明我國已將網絡安全提到前所未有的高度。盡管數據證明我國已是“網絡大國”，但還算不上“網絡強國”，特別是網絡安全方面，已成為我國的“短板”，與發達國家相比差距很大。加強國家網絡安全工作的重中之重就在于對互聯網服務企業的依法、有效監管，只有通過法律法規監管、行業規范自律等多種方式共同加強監督管理，才能更有效地盡快改善我國信息安全監管工作的被動局面。