全国人大常委会:一些重要工控企业对外国技术依赖严重
作者:王峰   更新时间:2017-12-25 21:31:39  来源:民族复兴网  责任编辑:石头

e6153836c9038c86bef9a57107338805.jpg

  来源:21世纪经济报道 21财经APP

        建议加强互联网刑事立法,研究制定网络违法犯罪防治法,推动网络违法犯罪行政处罚与刑事处罚的有效衔接。
        全国人大常委会执法检查组于2017年8月至10月对《关于加强网络信息保护的决定》(2012年12月通过)和《网络安全法》的实施情况进行了检查。

        12月24日,全国人大常委会副委员长王胜俊向全国人大常委会作关于检查网络安全法、全国人大常委会关于加强网络信息保护的决定实施情况的报告。 

       网络安全法是今年6月1日开始施行的。一部新制定的法律实施不满3个月即启动执法检查,这在全国人大常委会监督工作中尚属首次。

        这次执法检查在方式方法上作了一些新的尝试:

        比如,9月上旬至10月中旬,检查组在实地检查的6个省(区、市)各选取20个重要信息系统,委托中国信息安全测评中心进行漏洞扫描和模拟攻击,并就所检测系统的网络安全情况出具专业检测报告。

  再比如,检查组还委托中国青年报社社会调查中心就“一法一决定”中与公众关系密切的10个方面的问题在全国31个省(区、市)进行了民意调查,出具了调查报告。共有10370人参与这次调查。

  检查发现,各地贯彻实施“一法一决定”取得了一些成效:

  比如,2015年以来,国家互联网信息办公室等部门依法约谈违法违规网站2200余家,取消违法违规网站许可或备案、关停违法网站13000多家,有关网站按照用户服务协议关闭违法违规账号近1000万个。

  比如,全面落实网络接入(网站备案和域名/IP地址)、固定电话、移动电话实名制办理要求,凡用户不提供真实信息的,运营者不再为其提供相关服务。五年来,组织电信企业对3亿多未实名的老用户进行补登记,对拒不补登记的1000余万用户依法暂停提供服务。

  再比如,近两年,共侦破侵犯个人信息犯罪相关案件3700余起,抓获犯罪嫌疑人11000余名。2014年至2017年9月,全国法院共审理利用网络侵犯公民个人信息犯罪案件1529件,取得了较好的法律效果和社会效果。

  从检查情况看,各地在贯彻实施“一法一决定”、维护网络安全方面还存在一些困难和问题。

  比如,网络安全基础建设总体薄弱。

  一是网络安全态势感知平台建设滞后。网络安全风险具有很强的隐蔽性,感知安全态势是做好网络安全最基本最基础的工作。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。但不少省份尚未启动网络安全态势感知平台建设,不能实现对重要信息系统网络安全风险的全天候实时、动态监测。

  二是容灾备份体系建设总体滞后。不少关系国计民生的关键信息基础设施运营单位没有按照法律规定对重要数据进行异地容灾备份,而仅仅采取了一些简单的数据备份措施,有的甚至尚未进行过容灾备份,不能有效应对重大网络安全风险。在有些省份,多数重要信息系统未按法律要求进行异地容灾备份。

  三是重要工业控制企业的设备和控制系统国产化程度有待提高一些重要工控企业对外国技术依赖严重,不仅生产控制系统由国外公司建设,配套的网络及安全设备也采用国外产品,网络及安全设备的配置由外方人员操控,企业内部人员甚至不掌握安全设备配置和管理权限。在有的省份,重要工控企业的生产控制系统国产化率不足20%。

  四是应急预案流于形式。有的网络安全应急预案侧重于设备设施障碍的排除,针对网络攻击、信息泄露等网络空间安全事件的内容较少;有的应急预案缺乏可操作性;有的应急预案长期未修订,已不能应对当下的网络安全事件;许多单位由于应急演练相关条件不足,未真正举行过应急演练;不少地方和行业用于解决网络安全问题的经费不足,发现了问题后,往往因经费缺乏不能及时解决。

  比如,网络安全风险和隐患突出

  为了解网络运行情况,执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施(60个门户网站和60个业务系统)进行了远程渗透测试和漏洞扫描。该中心出具的报告显示,本次远程测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个,其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞,严重威胁了系统及服务器安全,也存在严重的用户信息泄露风险。

  远程检测还发现,多个设区的市政府门户网站存在页面被篡改风险。执法检查组现场抽查时发现,许多单位没有依照法律规定留存网络日志,这可能导致发生网络安全事件时无法及时进行追溯和处置;有的单位从未对重要信息系统进行风险评估,对可能面临的网络安全态势缺乏认知。

  检查还发现,在许多单位,内网和专网安全建设没有引起足够重视,有的单位对内网系统未部署任何安全防护设施,长期不进行漏洞扫描,存在重大网络安全隐患。随着各地区各领域信息化建设的推进,各行业各领域数据化、在线化、远程化趋势更加明显,对网络安全提出了更高要求。

  比如,用户个人信息保护工作形势严峻

  “万人调查报告”显示,“一法一决定”关于用户个人信息保护的多项制度落实得并不理想:有49. 6%的受访者曾遇到过度收集用户信息现象,其中18. 3%的受访者经常遇到过度采集用户信息现象;有61. 2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”。

  检查发现,有的互联网公司和公共服务部门存储了大量公民个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用。一些单位内控制度不完善或不落实,少数“内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露。

  再比如,网络安全法配套法规有待完善。

  不少单位反映,作为网络安全管理方面的基础性法律,网络安全法不少内容还只是原则性规定,真正“落地”还有赖于配套制度的完善。比如,网络安全法虽然对数据安全和利用作了规定,但现实中数据运用比较复杂,数据脱敏标准、企业间数据共享规则等,仍然需要有关法规规章予以明确;网络安全法仅明确了关键信息基础设施运营者数据出境需进行评估,但其他网络运营者掌握的重要数据出境是否进行安全评估,尚待进一步明确。

  针对存在的问题和不足,检查组有针对性地提出了建议。

  比如,加快完善网络安全法配套法规规章。

  要加快《关键信息基础设施安全保护条例》《网络安全等级保护条例》的立法进程。

  网信、工信、公安等部门要尽快制定配套规章或者文件,细化法律中个人信息和重要数据出境安全评估、网络数据管理、网络安全监测预警和信息通报、网络安全审查、网络安全认证和安全检测结果互认等制度。

  根据防范和打击网络违法犯罪的需要,加强互联网刑事立法,研究制定网络违法犯罪防治法,推动网络违法犯罪行政处罚与刑事处罚的有效衔接。

  比如,着力提升网络安全防护能力。加快网络安全态势感知平台建设;依法组织开展风险评估;定期组织应急演练;认真落实法律要求,加快关键信息基础设施数据的容灾备份建设,并定期开展灾备效果验证,提升信息系统的抗灾、减灾和恢复能力;加强网络安全保密保障体系建设,提升网络安全保密装备能力,推进网络安全保密技术保障基础设施建设;大力推进国产化替代工程。加大技术研发力度,逐步提高重要工业企业信息控制系统的国产化率,提升关键信息基础设施和网络安全设备的自主可控能力。

  比如,进一步加大用户个人信息保护力度。要加快个人信息保护法立法进程;加强安全防护;认真研究用户实名制的范围和方式;加大监督检查力度;进一步加大打击力度;完善投诉受理机制。
Baidu
map