中國信息安全測評中心日前宣布，我國信息安全“國家漏洞庫”正式投入運(yùn)行，并對外開展漏洞分析與風(fēng)險評估服務(wù)。目前，西方發(fā)達(dá)國家均高度重視信息安全漏洞的管理及控制工作，紛紛投入力量建立自己的“國家漏洞庫”，美國更是將信息安全漏洞管理作為幾屆政府信息安全戰(zhàn)略的重要內(nèi)容。歐盟也于近年投入巨資，啟動了以構(gòu)建國家漏洞庫為核心的“信息安全盾牌計劃”。那么，“國家漏洞庫”最大作用是什么？其能否真正解決眼下民眾關(guān)注的信息安全泄露問題？對此，本報記者采訪了襄樊學(xué)院法學(xué)系系主任張樊副教授。

“國家漏洞庫”不是一蹴而就，但具有重要的意義

據(jù)了解，所謂“國家漏洞庫”是指通過各種渠道在整個互聯(lián)網(wǎng)范圍內(nèi)，不分國界地收集漏洞數(shù)據(jù)和一些補(bǔ)丁措施等信息，并且將收集到的這些信息及時發(fā)布出去，讓用戶第一時間內(nèi)了解并且解決自己信息系統(tǒng)存在的問題；另一方面，國家漏洞庫也可以提供一些關(guān)于宏觀態(tài)勢的基礎(chǔ)分析數(shù)據(jù)。正如中國信息安全測評中心主任吳世忠所說的，“‘國家漏洞庫’的建設(shè)是信息安全保障工作中一項極為關(guān)鍵的基礎(chǔ)性和長期性工作。當(dāng)前大量的網(wǎng)絡(luò)泄密案件和信息安全問題均與漏洞的存在息息相關(guān)。”

張樊副教授認(rèn)為，“‘國家漏洞庫’的建設(shè)顯然具有非常重要的意義。但‘國家漏洞庫’的建設(shè)首先不是一蹴而就的，因為一下子就把所有的信息漏洞全都發(fā)現(xiàn)并填補(bǔ)上是不太可能的；其次，信息安全是一個動態(tài)的體系，隨著時間的推移，也將會產(chǎn)生新的漏洞。漏洞的發(fā)現(xiàn)并修補(bǔ)能夠有效地減少信息安全泄露事件的發(fā)生，但‘漏洞庫’是一個基礎(chǔ)性的工作，是解決信息安全泄露問題的基礎(chǔ)性工作，并不能單靠這一個舉措就能解決，還必須借助法律、管理等多方面的工作來綜合解決?！?

信息網(wǎng)絡(luò)安全隱患損害消費(fèi)者利益，阻礙電子商務(wù)發(fā)展

信息安全問題伴隨眼下互聯(lián)網(wǎng)日新月異和網(wǎng)絡(luò)經(jīng)濟(jì)規(guī)?；l(fā)展，日漸凸顯和暴露出包括監(jiān)管法制在內(nèi)的各種社會問題，這成為消費(fèi)者投訴的焦點(diǎn)之一。那么，問題的根本在哪里？網(wǎng)絡(luò)交易市場和電子信息行業(yè)眼下和將來有怎樣的隱憂？

對此，張樊表示，我國目前信息安全問題日益突出的原因主要有兩個方面：首先是利益的驅(qū)使。網(wǎng)絡(luò)盜竊個人數(shù)據(jù)資料，背后有著巨大的經(jīng)濟(jì)利益，比如目前竊取銀行卡賬號及密碼的案件比較猖獗，犯罪分子可以從中竊取用戶銀行卡上的資金。其它的個人數(shù)據(jù)資料被竊取之后一樣可以變成為商品，讓不法分子從中獲得利益；其次，我國在信息網(wǎng)絡(luò)安全領(lǐng)域的立法尚不完善，特別是網(wǎng)絡(luò)個人數(shù)據(jù)資料的保護(hù)立法目前完全處于空白。法律的缺位是信息安全問題日益突出的一個重要因素。俗話說，“道高一尺，魔高一丈”，讓用戶靠技術(shù)手段來提升安全防范水平，避免信息安全事件發(fā)生是完全不可能的，必須要在法律上強(qiáng)化落實危害網(wǎng)絡(luò)安全的行為的法律責(zé)任，從嚴(yán)打擊，發(fā)揮預(yù)防及懲罰的作用。

事實上，隨著我國電子商務(wù)市場的迅猛發(fā)展，信息網(wǎng)絡(luò)安全事件的頻發(fā)必然會讓眾多用戶的經(jīng)濟(jì)利益受損。今年央視3．15晚會上曝光了大量的銀行卡資金被盜事件，說明這一問題已經(jīng)非常突出。如果不能夠得到有效解決，普通消費(fèi)者會對網(wǎng)絡(luò)交易的安全性產(chǎn)生質(zhì)疑，從而影響到其對電子商務(wù)的信心，這將會阻礙電子商務(wù)的發(fā)展。

行業(yè)自律機(jī)制的建立與立法同樣關(guān)鍵

不受“個人信息不安全”的困擾是消費(fèi)者最關(guān)心問題之一。這里除了技術(shù)問題還有法律問題，但在張樊看來，最重要的還是行業(yè)自律問題?！霸谶@個問題上，不可避免地會涉及到一個行業(yè)自律與政府監(jiān)管之間關(guān)系的問題。應(yīng)該說，在個人信息保護(hù)問題上，行業(yè)自律有著非常重要的意義，特別是在互聯(lián)網(wǎng)上。政府監(jiān)管的執(zhí)法成本高昂，也無法取得好的效果?！睆埛f，在美國和歐盟，在立法上都對行業(yè)自律機(jī)制給予了充分的肯定。我們國家也需要借鑒，進(jìn)一步發(fā)揮行業(yè)自律機(jī)制的作用，將其作為個人信息保護(hù)制度中一個不可缺少的環(huán)節(jié)，讓其與政府的監(jiān)管形成良性互動。如淘寶平臺上的誠信問題，就應(yīng)該積極借助淘寶這個平臺服務(wù)商來開展行業(yè)自律，它是最直接有效的。因為淘寶作為一個平臺服務(wù)商能夠有效地掌握其平臺上所有賣家的情況，并制定行業(yè)規(guī)則來指導(dǎo)其賣家行事，加強(qiáng)行業(yè)自律，這遠(yuǎn)比政府的行政監(jiān)管要有效并成本低廉得多。

與此同時，張樊認(rèn)為，從立法角度解決網(wǎng)絡(luò)個人信息保護(hù)問題也是較為關(guān)鍵的，首先就是明確個人信息數(shù)據(jù)資料的范圍，哪些是屬于國家法律保護(hù)的；其次，規(guī)定個人信息的正當(dāng)處理程序；再次，為個人信息提供保障以及行政復(fù)議、司法訴訟等救濟(jì)程序；最后，要強(qiáng)化各種侵權(quán)行為的法律責(zé)任，搭建從民事到行政、刑事責(zé)任的法律責(zé)任體系。

【編輯推薦】

1. iPhone與社交網(wǎng)絡(luò)的興起將為企業(yè)信息安全帶來巨大挑戰(zhàn)
2. 中國信息安全“國家漏洞庫”正式投入運(yùn)行
3. 如何簡化企業(yè)信息安全風(fēng)險評估工作