时间进入20世纪尾声,中国社会清醒地意识到信息化和信息安全必将在新世纪产生深远影响。信息化工作在国家战略中的地位理应得到进一步提升,国家信息化工作领导小组在这一背景下产生。与此同时,某些计算机程序仅用2位数字代表年份,在世纪交替之际会出现故障,甚至引发灾难性后果,因此,计算机2000年问题(俗称“千年虫”)被世界各国视作迫在眉睫的威胁,必须在国家层面调动资源加以应对,防患于未然。
1999年12月23日,国务院办公厅发出《关于成立国家信息化工作领导小组的通知》(国办发〔1999〕103号),宣布成立国家信息化工作领导小组,由时任国务院副总理吴邦国任组长 [26] 。领导小组的主要职责包括:组织协调国家计算机网络与信息安全管理方面的重大问题;组织协调跨部门、跨行业的重大信息技术开发和信息化工程的有关问题;组织协调解决计算机2000年问题,负责组织拟定并在必要时组织实施计算机2000年问题应急方案;承办国务院交办的其他事项。领导小组不单设办事机构,具体工作由信息产业部承担,涉及四个工作机构:①计算机网络与信息安全管理工作办公室(简称国信安办),设在已经成立的国家计算机网络与信息安全管理中心,同时撤销计算机网络与信息安全管理部际协调小组;②国家信息化推进工作办公室,设在信息产业部信息化推进司,同时撤销国家信息化办公室;③计算机2000年问题应急工作办公室,设在信息产业部电子信息产品管理司,完成任务后自行撤销;④国家信息化专家咨询组,负责就我国信息化工作中的重大问题向领导小组提出建议。根据通知规定,以上工作办公室和专家咨询组均不再另行增加编制。按照政府机构改革的要求,各省不再另设跨部门的信息化工作协调领导机构。
随着网络空间的扩张,国家秘密的载体由纸介质为主发展到声、光、电、磁等多种形式,国际互联网已成为主要的泄密途径,网络间谍是国家秘密的首要威胁。为应对这一挑战,将涉密信息同国际互联网进行隔离是国际通用做法。1999年12月27日,国家保密局发布《计算机信息系统国际联网保密管理规定》(国保发〔1999〕10号,以下简称《联网保密规定》),自2000年1月1日开始施行。《联网保密规定》旨在加强计算机信息系统国际联网的保密管理(下文简称“联网保密”),确保国家秘密的安全。《联网保密规定》实质上确立了一条基本的保密工作准则,可概括为“上网不涉密,涉密不上网”。
中国共产党自初创时期起就高度重视保密工作,并将其写入入党誓词。在革命战争年代,保密被看作党的生命线。直到今天,保守国家秘密依然是事关国家安全和利益的大事要务。1988年4月,国务院设立国家保密局,为国务院部委归口管理的国家局,是主管全国保密工作的职能部门。1988年9月5日通过的《中华人民共和国保守国家秘密法》将这一传统工作进行了法制化规范。然而,该版《保密法》诞生于前互联网时代,直到2010年重新修订时才加入网络信息安全相关内容。因此,《联网保密规定》对当时的《保密法》起到了及时的补充作用。
《联网保密规定》第四条提出了控制源头、归口管理、分级负责、突出重点、有利发展的五点原则。《联网保密规定》第五条规定了主管责任:“国家保密工作部门”主管全国联网保密工作,“县级以上地方各级保密工作部门”主管本行政区域内联网保密工作,中央国家机关在其职权范围内主管或指导本系统联网保密工作。《联网保密规定》第六条指出:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。第八条指出,凡向国际联网的站点提供或发布信息,必须经过保密审查批准,有关单位应建立健全上网信息保密审批领导责任制。《联网保密规定》还对保密培训和保密监督等内容提出了要求。
自1995年起,传统的新闻传媒和文化传播机构纷纷建立网站,新兴的互联网内容服务也如雨后春笋般涌现。1995年1月12日,教育部主办的《神州学人》杂志通过CERNET发行《神州学人周刊》电子版,成为我国首家走上互联网的传统媒体。1995年8月,电子布告栏系统(BBS)站点“水木清华”开通。中央人民广播电台、中央电视台、人民日报、新华社分别于1996年10月、1996年12月、1997年1月、1997年11月开通网站。网易、搜狐、新浪、中华网、百度分别在1997年5月、1998年2月、1998年12月、1999年5月、2000年1月创立。互联网内容服务的兴起给网民带来了极大的价值,但另一方面,谣言、网暴、色情等有害信息的传播力和危害性也被放大。为此,国务院有关部门在21世纪初出台了一系列法规规章,对相关问题实施监管。
● 2000年9月25日,国务院第291号和292号令分别发布《中华人民共和国电信条例》和《互联网信息服务管理办法》(以下简称《电信条例》和《信管办法》),即日施行。《电信条例》所称电信业务分为基础电信业务和增值电信业务,涵盖了电话、寻呼、卫星通信和互联网数据传送等形态。《电信条例》规定对电信业务经营按照电信业务分类实行许可制度,对于不在分类目录的新型电信业务实行备案制度。《信管办法》所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动,分为经营性和非经营性两类,分别实行许可制度和备案制度。《电信条例》要求国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理,旨在规范电信市场秩序,维护电信用户和电信业务经营者的合法权益,保障电信网络和信息的安全,促进电信业的健康发展。这是我国针对电信业的第一部综合性法规,标志着中国电信业的发展步入法制化轨道。《电信条例》第五章题为《电信安全》,其中第57条涉及内容合规性,第58条禁止了若干类危害电信网络安全和信息安全的行为,第59条禁止了几类扰乱电信市场秩序的行为,第60条要求电信业务经营者建立健全内部安全保障制度,第61条要求“电信网络的设计、建设和运行”应做到同国家安全和网络安全“同步规划,同步建设,同步运行”。《信管办法》旨在规范互联网信息服务活动,促进互联网信息服务健康有序发展,是多部后续规章的制定依据。《信管办法》第14条规定“服务提供者的记录备份应当保存60日”,第15条列举了不得涉及的有害内容的类别,第16条规定了内容提供者对有害内容的报告义务,第17条规定服务提供者的某些涉外活动应“事先经国务院信息产业主管部门审查同意”,第18条规定了国务院信息产业主管部门和省级电信管理机构的监督管理义务。
● 2000年11月6日,信息产业部第3号令发布《互联网电子公告服务管理规定》。该规定根据《信管办法》制定,旨在加强对电子公告服务的管理。所称电子公告服务,是指在互联网上以电子布告牌(BBS)、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。这一规章文件在2014年9月23日被工信部第28号令废止,以响应国务院取消和下放行政审批项目的有关要求。
● 2000年11月7日,国务院新闻办公室、信息产业部发布《互联网站从事登载新闻业务管理暂行规定》,旨在建立互联网新闻业务审批机制,明确禁止若干类有害信息的新闻传播,维护互联网新闻的真实性、准确性、合法性。2000年12月12日,人民网、新华网、中国网、央视国际网、国际在线网、中国日报网、中青网等获得国务院新闻办公室批准进行登载新闻业务,率先成为获得登载新闻许可的重点新闻网站。
● 2002年6月27日,新闻出版总署、信息产业部第17号令发布《互联网出版管理暂行规定》(以下简称《出版暂行规定》)。这一规章根据《出版管理条例》和《信管办法》制定,旨在加强对互联网出版活动的管理,保障互联网出版机构的合法权益,于2002年8月1日起实施。《出版暂行规定》指出,新闻出版总署负责监督管理全国互联网出版工作,省级新闻出版行政部门负责本行政区域内互联网出版的日常管理工作,包括申请审核和违规处罚。所称互联网出版,是指互联网信息服务提供者将自己创作或他人创作的作品经过选择和编辑加工,登载在互联网上或者通过互联网发送到用户端,供公众浏览、阅读、使用或者下载的在线传播行为。所称作品主要包括:(一)已正式出版的图书、报纸、期刊、音像制品、电子出版物等出版物内容或者在其他媒体上公开发表的作品;(二)经过编辑加工的文学、艺术和自然科学、社会科学、工程技术等方面的作品。《出版暂行规定》要求,从事互联网出版活动,必须经过新闻出版行政部门批准,再持批准文件到省级电信管理机构办理相关手续。
● 2003年5月10日,文化部第27号令发布《互联网文化管理暂行规定》(以下简称《文管规定》),自2003年7月1日起施行。《文管规定》根据《信管办法》制定,旨在加强对互联网文化的管理,保障互联网文化单位的合法权益,促进我国互联网文化健康、有序地发展。《文管规定》所称互联网文化产品是指通过互联网生产、传播和流通的文化产品,包括音像制品、游戏产品、演出剧(节)目、艺术品、动画等其他文化产品;所称互联网文化活动是指提供互联网文化产品及其服务的活动,分为经营性和非经营性两类,分别实行许可制度和备案制度;所称互联网文化单位,是指经文化行政部门和电信管理机构批准,从事互联网文化活动的互联网信息服务提供者,实行审查制度。《文管规定》的重要内容是:明确文化部承担互联网文化的政策制定、制度执行和内容监管的责任,规定了省级文化行政部门的责任;规定了许可制度和备案制度的运作方式;规定了若干内容禁区。2004年7月1日,文化部令第32号发布对《文管规定》进行修改的决定。这次修改更新了对互联网文化产品和互联网文化活动的定义,体现出最新互联网业态;对经营性互联网文化单位的申请进行调整,增强了对资金实力和业务发展能力的要求;简化了非经营性文化单位的申请流程,由审批改为事后备案。
2000年8月4日,国家信息化工作领导小组计算机网络与信息安全管理工作办公室召开了关于建立国家计算机网络应急处理体系的工作会议,会上提出了成立CNCERT/CC的建议 [27] 。2001年8月初,“红色代码”病毒开始在中国境内大规模蔓延。这一事件进一步催化了国家互联网安全应急体系的建立。同月,CNCERT正式成立。刚刚组建的CNCERT在信息产业部领导下,积极召集和协调各个运营商、网络安全研究机构和安全厂商,联合处理了红色代码蠕虫事件。2001年10月,信息产业部提出建立国家计算机紧急响应体系,并且要求各互联网运营单位成立紧急响应组织,能够加强合作、统一协调、互相配合。到2002年,中国的骨干互联网运营商都成立了应急响应组织,整个国家公共互联网安全事件应急处理体系初步形成,CNCERT成为中国计算机网络应急处理体系中的牵头单位 [28] 。
2000年年底,我国网络安全立法行动迈出了重要一步。2000年12月28日,《全国人民代表大会常务委员会关于维护互联网安全的决定》获得通过。这是我国最高立法机构首次针对互联网安全制定的立法文件,明确指出了网络空间中应予追究民事和刑事责任的若干行为。2009年8月27日,《全国人民代表大会常务委员会关于修改部分法律的决定》获得通过,将该文件引用“治安管理处罚条例”之处修改为“治安管理处罚法”。
2001年4月1日,在中美南海撞机事件中,我军飞行员王伟不幸牺牲。事件引发中美网民舆论冲突。自4月4日以来,PoizonBOx、Prophet、罪恶世界、MIH等臭名昭著的美国黑客组织利用网络串联,悍然对大量中国网站发起攻击 [29] 。他们声称这是一次对中国的“网络战争”。国信安办负责人在接受新华社专访时说,进入4月中旬以来,针对中国网络的攻击事件频繁发生。这位负责人提醒国内运营者要注意防范黑客攻击,并建议将攻击事件上报CNCERT [30] 。到4月末,中国大量网站已遭到严重损失。在这种情况下,一批“红客”组织决定于4月30日起对美国网站展开“反击”。他们攻陷了一批美国政府网站,在首页处张贴烈士照片,留下反霸权主义标语。5月9日,三大“红客”组织突然发表联合声明,宣布停止对美国网站的攻击。有当事者事后回忆道,许多“红客”一边攻击外部网络,一边还要协助国内遭受袭击的网站修复漏洞,所以最终两边其实都没有得到所谓的“胜利”。事后,中国互联网协会表态,倡导良性网络行为。何德全院士公开表示不支持黑客大战,并寄语中国的黑客们,把力量和聪明才智用在自己国家的信息化发展和信息安全积极防御的体系建设上。
2001年的“中美黑客大战”是中国黑客的高光时刻,吸引了众多青年走上安全攻防学习道路。事件的后果也引起了从业者的反思,最终导致了中国黑客团体的分化。一些人放弃了这类激情行为,转而投身正在成型的网络安全产业,促进了安全产业的成长;也有团体走上了娱乐化、炒作化、商业化道路,以“红客”为名吸引学员和捐款;更有甚者,尝试利用漏洞技术牟取非法利益,黑色产业链开始形成。网络空间中,安全产业和黑产展开了长期的搏杀。
2001年4月26日,国信安办发布《国家信息化工作领导小组、计算机网络与信息安全管理工作办公室关于选择我国计算机网络安全服务试点单位的公告》,面向社会选择我国计算机网络安全服务试点单位,试点单位将参与建设若干项计算机网络安全服务示范工程。公告称,国信安办根据国家赋予的“组织全国主网络安全保障体系,协调各行业的计算机网络安全应急工作”和“组织和协调计算机网络信息安全技术标准和网络安全等级标准的制订工作”的职责,决定组织建设我国计算机网络安全保障和应急处理体系,并酝酿制定我国计算机网络安全服务的行业规范 [31] 。
2001年5月25日,中国互联网协会(ISC)正式成立。ISC是在信息产业部的指导下,经民政部批准,由国内从事互联网行业的网络运营商、服务提供商、设备制造商、系统集成商以及科研、教育机构等70多家互联网从业单位共同发起成立的非营利性社会组织。ISC的基本任务是:(一)团结互联网行业相关企业、事业单位和社会组织及个人,向政府主管部门反映会员和业界的诉求,维护会员合法权益,向会员宣传国家相关政策、法律、法规。(二)制定并实施互联网行业自律规范和公约,规范会员行为,协调会员关系,调解会员纠纷,促进会员间沟通与协作,发挥行业自律作用,维护国家网络与信息安全,保护公民的信息安全,维护行业整体利益和用户合法权益。(三)开展互联网行业发展状况、新技术应用以及其他影响行业发展的重大问题研究,发布统计数据和调研报告,向政府有关部门提出政策建议,为业界提供相关信息服务。(四)开展互联网发展与管理相关的研讨、论坛、年会等活动,促进互联网行业交流与合作,发挥互联网对我国经济、文化、社会以及生态文明建设的积极作用。(五)经政府有关部门授权,参与制定互联网有关的国家标准和行业标准,组织制定协会团体标准,指导会员单位自主制定实施企业标准,开展标准符合性推动活动,积极参与国际标准化活动。(六)经政府有关部门批准,开展互联网行业资质及职业资格审核、评价评估及评比表彰等工作。(七)开展国际交流与合作,经政府有关部门批准,参与全球互联网政策、规范和标准制定等国际事务,完善全球互联网治理体系,维护网络空间秩序。(八)开展互联网公益活动,开展互联网行业信用体系建设、社会责任建设等工作,引导会员单位增强社会责任,维护行业良好风尚。(九)开展法规、管理、技术、人才等专业培训,提高会员单位管理及服务能力,提高从业人员业务素质。(十)开展网络文化活动,引导网民文明上网。根据授权受理网上不良信息及不良行为的投诉和举报,协助相关部门开展不良信息处置工作,净化网络环境。(十一)承担会员单位或政府有关部门委托的其他符合本会宗旨的工作。
2001年8月23日,中共中央、国务院决定重新组建国家信息化领导小组,以进一步加强对推进我国信息化建设和维护国家信息安全工作的领导,时任中央政治局常委、国务院总理朱镕基任组长。国家信息化领导小组负责审议国家信息化的发展战略、宏观规划、有关规章、草案和重大的决策,综合协调信息化和信息安全工作。与1999年12月成立的国家信息化工作领导小组相比,名称略有变化。新组建的领导小组规格更高,组长由国务院总理担任,副组长包括两位政治局常委和两位政治局委员,体现出了更强有力的协调领导能力。国务院信息化办公室(简称国信办)和国家信息化专家咨询委员会也相继成立,分别作为领导小组下设的办事机构和咨询机构,形成“一体、两个支撑机构”的格局 [16] 。
2001年秋季,武汉大学设置的国内第一个信息安全本科专业正式开始招生,这是我国网络安全人才培养事业的里程碑。
2002年3月26日,中国互联网协会在北京发布《中国互联网行业自律公约》,旨在建立我国互联网行业自律机制,规范行业从业者行为,依法促进和保障互联网行业健康发展。公约称,互联网行业自律的基本原则是爱国、守法、公平、诚信。《公约》倡议全行业从业者加入本公约,从维护国家和全行业整体利益的高度出发,积极推进行业自律,创造良好的行业发展环境。中国互联网协会作为本公约的执行机构,负责组织实施本公约。
2002年4月15日,全国信息安全标准化技术委员会(简称信安标委或TC260)在北京正式成立。TC260是在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化技术工作,主要包括安全技术、安全机制、安全服务、安全管理、安全评估等领域。
2002年8月5日,中国共产党中央委员会办公厅(简称中办)、中华人民共和国国务院办公厅(简称国办)通知转发《国家信息化领导小组关于我国电子政务建设指导意见》(中办发〔2002〕17号) [32] 。该文件指出国家电子政务有“各自为政”“重复建设”“安全存在隐患”等问题,要求“建设和整合统一的电子政务网络”,并建立信息安全保障体系。我国电子政务网络由政务内网和政务外网构成,政务内网主要是副省级以上政务部门的办公网,与副省级以下办公网物理隔离。政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需要在内网上运行的业务,与政务内网物理隔离,与互联网逻辑隔离。
2003年1月25日,某骨干网向CNCERT/CC举报网络流量不正常。经研究发现,这是一次世界范围的“SQL杀手蠕虫”攻击。该蠕虫的蔓延导致韩国网络基本处于瘫痪状态,我国有两万多台数据库服务器受到影响,其中我国某骨干网的国际出入口基本瘫痪。CNCERT/CC立即和运营商的应急组织进行分析,根据该蠕虫在网络上传播和攻击的数据特点,找到在网络上隔离蠕虫传播的有效方式并迅速推广到各互联网单位,使得事件在较短时间内得到了遏制 [33] 。
2003年3月,国务院换届后成立了新一届国家信息化领导小组,时任中央政治局常委、国务院总理温家宝任组长。为了应对日益严峻的网络与信息安全形势,同年在国家信息化领导小组之下成立了国家网络与信息安全协调小组,组长由中央政治局常委、国务院副总理担任 [16] 。
2003年9月7日,中办、国办联合发出通知(中办发〔2003〕27号),要求各地结合实际对《国家信息化领导小组关于加强信息安全保障工作的意见》认真贯彻落实 [34] 。该文件是我国对网络安全工作做出的顶层设计,明确了加强网络安全工作的总体要求和主要原则,提出坚持“积极防御、综合防范”的方针,针对进一步提高信息安全保障工作的能力和水平提出了一系列任务,具有划时代的意义,被业内称作“27号文” [35] 。27号文指出,我国信息安全保障工作取得了明显成效,但存在一些亟待解决的问题,包括防护水平不高,应急处理能力不强;管理和技术人才缺乏,产业缺乏核心竞争力;法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱。27号文要求实行信息安全等级保护;加强以密码技术为基础的信息保护和网络信任体系建设;建设和完善信息安全监控体系,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播;进一步完善国家信息安全应急处理协调机制,建立健全指挥调度机制和信息安全通报制度,加强信息安全事件的应急处置工作;加强信息安全技术研究开发,推进信息安全产业发展;加快信息安全人才培养,增强全民信息安全意识;保证信息安全资金;加强对信息安全保障工作的领导,建立健全信息安全管理责任制,按照“谁主管谁负责、谁运营谁负责”的要求,由各主管部门和运营单位负责各重要信息系统的安全建设和管理。27号文阐明了实行信息安全等级保护的必要性:“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点”,要求“重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,预示着等保政策体系即将形成。
2003年8月11日,冲击波病毒(Worm.Blaster)从境外传入我国。它利用微软网络接口RPC漏洞进行传播,在短短几天内就影响到全国绝大部分地区的用户。该病毒感染速度极快,成为历史上影响力最大的计算机病毒之一。国家有关部门采取有效措施控制住了病毒的传播。
2004年9月6日,两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》(法释〔2004〕11号)开始施行,明确将“制作、复制、出版、贩卖、传播淫秽物品牟利罪”和“传播淫秽物品罪”的法律适用拓展到了网络空间,使其适应了网络通信日渐普及的时代。司法解释属于法律体系的一部分,用于指导案件审理,具有较强的针对性和实用性。“解释”“规定”“规则”“批复”“决定”为司法解释的五种形式。2010年2月4日,两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》(法释〔2010〕3号)开始施行,对前期司法解释进行补充及取代。
2004年9月15日,公安部、国家保密局、国家密码管理委员会办公室和国务院信息办联合通知印发《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号,以下简称《等保实施意见》) [36] 。《等保实施意见》是一个指导相关部门贯彻落实《计算机保护条例》和27号文、实施信息安全等级保护工作的纲领性文件,主要内容包括信息安全等级保护制度的基本原则,等级保护工作的基本内容、工作要求和实施计划,以及各部门的工作职责分工等。根据《等保实施意见》,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。《等保实施意见》提出了一个不同于GB 17859的等级划分方式,这一方式又被后来的《信息安全等级保护管理办法》替代。
2004年10月18日,国家认监委等八部门联合发布《关于建立国家信息安全产品认证认可体系的通知》(国认证联〔2004〕57号) [37] ,被行业称作“57号文”。57号文针对建立统一的、适应我国经济和社会发展需要的国家信息安全产品认证认可体系提出了多个工作目标:通过建立集中统一、严格规范、科学高效的认证认可体系,彻底解决由于多重行政许可和评价活动导致的重复检测和一个产品多张证书的问题;解决实验室低水平重复建设及部分产品检测水平低下的问题;解决评价标准不一致及覆盖面不够的问题;解决企业负担过重的问题。57号文提出了认证认可体系建设的政事分开的原则:国家建立专门的认证机构,与检测机构分离;由政府部门执行的发证工作应过渡到由认证机构去实施;对信息安全产品的监督执法工作必须与认证活动分离,认证机构与相关执法机关不宜存在任何行政隶属和经济利益关系。根据57号文提出的组织建设方案,国家成立由国务院有关部门(公安部、安全部、信息产业部、保密局、国密办、国信办、认监委等)、生产方、用户方、研究开发以及标准等方面的代表共同组成国家信息安全产品认证管理委员会,简称认证管理委员会,秘书处设在国家认监委;在体系建立的初期阶段只设立一个认证机构,由认证机构依据国家发布的认证基本规范、认证规则,开展认证活动,提供认证服务;具备相关资质的检查机构、检测实验室为认证活动提供检查、检测服务。
2005年4月1日,《电子签名法》在我国正式施行,旨在规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益。电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,而数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。该法规定,民事活动中的合同或者其他文书,除某些类型外,当事人可以约定使用电子签名、数据电文,不得因此而否定其法律效力。该法的施行标志着我国的信息化立法迈出重要步伐,将对我国的电子政务、电子商务等信息化建设有非常积极的促进和保障作用。该法在2015年修改,对电子认证服务机构增加了法人资格要求,取消了工商登记流程;在2019年删除了对“土地、房屋等不动产权益转让”这类不涉及电子签名的业务的相关规定。信息产业部第35号令发布的《电子认证服务管理办法》(以下简称《电认办法》),配合《电子签名法》同日实施,为我国电子认证服务业的发展奠定了监管基础。2009年3月31日,工信部第1号令发布工信部《电认办法》,废止信息产业部《电认办法》,明确工信部对电子认证服务机构的监管职责。2015年4月29日,工信部第29号令对《电认办法》进行了细节修订。
2005年2月8日,信息产业部发布《非经营性互联网信息服务备案管理办法》。根据此办法,信息产业部会同中宣部、国务院新闻办公室、教育部、公安部等13个部门,联合开展全国互联网站集中备案工作。备案工作将建立ICP备案信息、IP地址使用信息、域名信息三个基础数据库,为加强互联网管理奠定基础。
2005年5月,国家信息化领导小组印发《国家信息安全战略报告》(国信〔2005〕2号)。这是我国首部真正意义上的信息安全战略。27号文侧重于工作部署,但战略性不突出,对信息内容安全的关注也不够,《国家信息安全战略报告》则弥补了这一缺憾,在更高层面确定了国家信息安全的战略布局和长远规划。但这份文件的知悉范围有限,加之受后来的机构变化等因素影响,文件对实际工作的指导作用并没有27号文显著 [35] 。
2006年1月17日,公安部、国家保密局、国密局、国务院信息化工作办公室通知印发《信息安全等级保护管理办法(试行)》(公通字〔2006〕7号),自3月1日起施行。2007年6月22日,上述四部门通知印发《信息安全等级保护管理办法》(公通字〔2007〕43号,以下简称《等保办法》),即日施行,2006年试行版同时废止。《等保办法》详细规定了信息安全等级保护的具体事项,标志着等保制度拥有了具体设计。《等保办法》明确了公安机关、国家保密工作部门、国家密码管理部门的监管责任,明确了国务院信息化工作办公室及地方信息化领导小组办事机构的协调责任,规定了信息系统主管部门对本行业、本部门或者本地区等保工作的督导、检查、指导角色,规定了系统运营、使用单位(以下简称“单位”)履行等保的义务和责任。《等保办法》属于规范性文件,不具备法律效力,约束力仅限政府内部,仍需要后续立法支撑等保制度的有力落实 [38] 。
《等保办法》第二章提出“自主定级、自主保护”原则,并修改了《等保实施意见》中的信息系统等级划分方案,见表2-1。第三章提出了五个等保规定动作:定级、备案、建设整改、等级测评、监督检查。单位应自主定级,由主管部门审批;对拟定为四级以上系统,单位或主管部门应当请国家信息安全保护等级专家评审委员会评审;等级确定后,单位开展系统安全建设或者改建工作,制定并落实安全管理制度;系统建设完成后,定期开展自查和等级测评,并整改问题;二级以上系统应到公安机关备案;公安机关应当对三、四级系统单位等保工作情况进行检查,频率同测评。《等保办法》第四章规定涉密系统分级保护管理(“分保”)工作,第五章规定密码管理工作。
表2-1 等保定级依据及监管要求
随着《等保实施意见》和《等保办法》的颁布,等保制度在中国日渐落地生根,取得一个又一个进展。
● 2006年5月左右,国家信息化领导小组发布《关于推进国家电子政务网络建设的意见》(中办发〔2006〕18号),部署保障国家电子政务网络和信息安全的工作:政务内网和政务外网的建设要按照等保有关要求分别采取相应保护措施;要通过建立统一的密码和密钥管理体系、网络信任体系和安全管理体系,分级、分层、分域保障信息安全;涉及国家秘密的信息系统建设和管理,要严格按照党和国家的有关保密规定执行 [39] 。
● 2007年7月16日,发布《等保办法》的四部委又发出《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) [40] 。根据通知要求,四部委定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。定级范围涵盖了电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;铁路、银行、海关、税务、民航、电力、证券等行业的重要信息系统;地市级以上党政机关的重要网站和办公信息系统;涉密信息系统。
● 2007年10月26日,公安部通知印发《信息安全等级保护备案实施细则》(公信安〔2007〕1360号),对二级以上非涉密系统的等保备案工作流程加以规范,并划定了国家、省、市级公安机关的备案受理范围 [41] 。
● 2007年11月27日,国密局通知印发《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11号),自次年元旦正式施行,旨在规范等保工作中商用密码的使用 [42] 。该《办法》规定,单位应按照《商用密码产品目录》选用商用密码产品;等保二级以上系统应备案商密产品;国、省级密码管理机构对等保三级以上系统使用商用密码的情况进行检查,三级系统两年一检,四、五级一年一检;检查工作可结合商用密码测评工作进行;商用密码测评工作由国密局指定的测评机构承担。
● 2009年10月27日,公安部向中央国家机关各部门印发《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号),指导各部门在等保定级工作基础上,开展已定级信息系统(不包括涉密信息系统)安全建设整改工作 [43] 。文件要求,自2009年起,要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结,于每年年底前报同级公安机关网安部门。备案单位每半年要填写《信息安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。
● 2009年10月29日,国密局印发《信息安全等级保护商用密码管理办法实施意见》,配合《信息安全等级保护商用密码管理办法》实施,重点对等保三级以上商用密码管理制度做进一步细化 [42] 。《信息安全等级保护商用密码技术实施要求》作为其附件发布,明确了一至四级系统使用商用密码实施等保的基本要求和应用要求,前者涉及商用密码应用系统的功能、密钥管理、密码配用、密码实现和密码保护,后者涉及对相应等级物理安全、网络安全、主机安全、应用安全和数据安全的实现。
● 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号),提出等级保护工作的阶段性目标 [44] 。
● 2010年12月,公安部和国资委下发了《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字〔2010〕70号),要求中央企业贯彻执行等保制度 [45] 。
● 2012年7月6日,国家发改委等五部门联合发布《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技〔2012〕1986号),明确规定“国家电子政务工程建设项目在验收前,应委托具备资质的测评机构,分别对涉及和不涉及国家秘密项目开展分级或等级测评和风险评估,对符合要求的,方可申请项目竣工验收” [46] 。
2006年3月19日,中办、国办印发《2006—2020年国家信息化发展战略》(中办发〔2006〕11号),将建设国家信息安全保障体系作为战略重点之一,要求全面加强国家信息安全保障体系建设、大力增强国家信息安全保障能力 [47] 。其中,国家信息安全保障体系建设的基本内容包括:坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展;坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置;建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统;加强密码技术的开发利用;建设网络信任体系;加强信息安全风险评估工作;建设和完善信息安全监控体系,提高对网络安全事件的应对和防范能力,防止有害信息传播;高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案;从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
2006年10月26日,ISC成立“反恶意软件协调工作组”。工作组下设三个专项工作组:政策与自律规范研究组负责组织对恶意软件相关问题的调查研究,组织互联网服务提供商制定《抵制恶意软件自律公约》及其实施机制;技术研究组负责组织成员单位研究恶意软件的定义、标准、特征、分类,对恶意软件举报信息进行初审,开发恶意软件查杀工具,组织对查杀软件的测评和鉴定;举报工作组负责设立恶意软件举报热线和举报受理机构,制定受理信息的处理流程,研究举报信息的发布机制。
2007年2月15日,文化部等14部委联合下发《关于进一步加强网吧及网络游戏管理工作的通知》,首次对网络游戏中的虚拟货币交易进行规范。
2007年3月24日,国密局第8号公告发布《商用密码产品使用管理规定》,旨在规范商用密码产品使用行为,自5月1日起施行。所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。该规章要求,中国公民、组织应当使用国密局准予销售的商用密码产品,到商用密码产品销售许可单位实名购买,不得使用自行研制的或境外生产的密码产品。
2007年4月5日,国务院第492号令发布《中华人民共和国政府信息公开条例》,旨在“保障公民、法人和其他组织依法获取政府信息,提高政府工作的透明度,促进依法行政,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用”。条例自2008年5月1日起施行。条例第14条规定,“行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是,经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息,可以予以公开”。
2008年3月15日,十一届全国人大一次会议通过《国务院机构改革方案》。这次改革探索实行职能有机统一的大部门体制。当时,工业行业管理由国家发展和改革委员会、国防科学技术工业委员会、信息产业部分别负责,管理分散。为了加强整体规划和统筹协调,有必要对相关职责进行整合。这次改革组建了工业和信息化部(简称工信部),将国家发展和改革委员会的工业行业管理有关职责、国防科学技术工业委员会核电管理以外的职责、信息产业部和国务院信息化工作办公室的职责,整合划入工信部,同时不再保留国防科学技术工业委员会、信息产业部、国务院信息化工作办公室。工信部的主要职责是,“拟订并组织实施工业行业规划、产业政策和标准,监测工业行业日常运行,推动重大技术装备发展和自主创新,管理通信业,指导推进信息化建设,协调维护国家信息安全等”。在后续的一些法律、政策文件中,工信部和省级通信管理局(简称“通管局”)统称“电信主管部门”。我国电信行业实行部省双重管理体制,工信部对各省、自治区、直辖市设立的通管局进行垂直管理。
截至2008年6月30日,我国网民总人数达到2.53亿人,首次跃居世界第一。同年7月22日,以1218.8万个CN域名注册量首次成为全球第一大国家顶级域名。
2008年7月,根据国务院大部制改革的总体部署,国务院信息化工作办公室的工作职责划归新组建的工信部,具体工作由信息化推进司负责。国家信息化领导小组的具体工作由工信部承担。工信部成为我国互联网的行业主管部门 [16] 。
2008年8月6日,国家发改委、公安部和国家保密局下发文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号) [48] ,规定国家电子政务项目应开展信息安全风险评估工作。
2009年1月5日,国务院新闻办公室、工信部、公安部、文化部、工商总局、广电总局、新闻总署七部委在北京召开电视电话会议,部署在全国开展整治互联网低俗之风专项行动。
2009年2月28日,《刑法修正案(七)》获审议通过,即日施行。修正案完善了互联网普及时代的刑事责任类型,在刑法第二百八十五条增加两款,设置了若干网络犯罪类型,包括“非法获取计算机信息系统数据”“非法控制计算机信息系统”“提供侵入、非法控制计算机信息系统程序、工具”;增设“第二百五十三条之一”内容,设置“侵犯公民个人信息罪”,将国家机关和电信、金融等行业工作人员侵害公民个人信息行为入刑。自该修正案施行至2014年年初,两高为正确审理信息网络相关刑事案件,先后三次出台司法解释。
● 2011年9月1日,两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)开始施行,对“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据”“非法控制计算机信息系统罪”“提供侵入、非法控制计算机信息系统程序、工具罪”“破坏计算机信息系统罪”等罪名的法律适用问题提供司法解释,以依法惩治危害计算机信息系统安全的犯罪活动。
● 2013年9月9日,两高公布《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(法释〔2013〕21号),对利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等罪名的认定进行明确。此前,刑法对诽谤罪、寻衅滋事罪、敲诈勒索罪、非法经营罪已有规定。信息网络的公共性、匿名性、便捷性特点使得网络空间成为上述犯罪的新平台,具有严重的社会危害性,人民群众十分痛恨,两高适时出台司法解释,具有重要的现实意义。
● 2013年9月29日,最高法公布《关于审理编造、故意传播虚假恐怖信息刑事案件适用法律若干问题的解释》(法释〔2013〕24号),明确规定编造、故意传播虚假恐怖信息的六种情形应认定为“严重扰乱社会秩序”,当追究刑事责任。
2009年6月26日,文化部、商务部联合下发《关于网络游戏虚拟货币交易管理工作》的通知,规定同一企业不能同时经营虚拟货币的发行与交易,并且虚拟货币不得用于购买实物。
2009年11月16日,全国扫黄打非办下发了《关于严厉打击手机网站制作、传播淫秽色情信息活动的紧急通知》,要求各相关部门就手机网站制作、传播淫秽色情等有害信息活动进行专项治理 [49] 。12月8日,中央对外宣传办公室、全国扫黄打非办、工信部、公安部、文化部、国资委、工商总局、国家广播电视总局、新闻出版总署九部委召开电视电话会议,决定从2009年12月到2010年5月底,部署在全国范围内联合开展深入整治互联网和手机媒体淫秽色情及低俗信息专项行动 [50] 。
2010年1月21日,工信部第11号令发布《通信网络安全防护管理办法》,自3月1日起施行。该《办法》根据《电信条例》制定,适用于电信业务经营者和域名服务提供者(统称“通信网络运行单位”)管理和运行的公用通信网和互联网(统称“通信网络”)的网络安全防护工作(以下简称“网络防护”),建立了通信网络的分级、备案、安全风险评估等制度,首次将域名机构纳入通信网络安全管理。根据该《办法》,网络防护工作坚持积极防御、综合防范、分级保护的原则;工信部和省级通管局(统称“电信管理机构”)分别负责全国和本地网络防护工作的指导、协调和检查;通信网络运行单位对本单位通信网络安全负责,对已投入运行的通信网络进行单元划分,将单元按遭破坏后的危害程度由低到高划分为一~五级,按照相应级别要求进行符合性测评和安全风险评估;电信管理机构应当组织专家对分级情况进行评审,对网络防护工作进行检查。通信网络的分级保护制度非常类似于公安部门主导的等保制度,但管理对象为通信网络单元。
2010年4月29日,《中华人民共和国保守国家秘密法》获十一届全国人大第十四次会议修订通过,自2010年10月1日起施行。该版《保密法》诞生于互联网应用如火如荼的时代,充分考虑了信息系统和计算机网络的泄密风险,对现代通信和计算机网络条件下存储、处理和传输国家秘密的制度进行了补充完善,将“上网不涉密、涉密不上网”的实践准则以法律形式正式体现。该法的另一重点是解决定密过度、解密不足的顽疾,寻求信息公开与信息安全目标之间的平衡,明确要求“确保国家秘密安全,又便利信息资源合理利用”,设定了保密期限的上限,撤销县级机关单位的定密权。
2010年6月3日,文化部第49号令发布《网络游戏管理暂行办法》,同年8月1日施行。这是我国第一部针对网络游戏进行管理的部门规章,根据《全国人民代表大会常务委员会关于维护互联网安全的决定》和《信管办法》制定,旨在加强网络游戏管理,规范网络游戏经营秩序,维护网络游戏行业的健康发展。2019年7月10日,文旅部第2号令根据《文化和旅游部职能配置、内设机构和人员编制规定》废止了《网游管理办法》。
2011年1月8日,国务院第588号令公布《国务院关于废止和修改部分行政法规的决定》,将行政法规中引用的“治安管理处罚条例”修改为“治安管理处罚法”,包括《计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》《互联网上网服务营业场所管理条例》等。《治安管理处罚法》于2005年8月28日通过,2006年3月1日实施,2012年10月26日做过修正。
2011年2月17日,文化部第51号令发布《互联网文化管理暂行规定》修订版,自同年4月1日起施行。该版在制定依据中增加了《全国人民代表大会常务委员会关于维护互联网安全的决定》。为反映互联网应用的最新业态,该版《文管规定》对互联网文化产品的范围进行了修改:“音乐娱乐、游戏、演出剧(节)目、表演、艺术品、动漫等”,包括专门为互联网而产生的或者复制到互联网上传播的文化产品。另一处主要修改在于简化了互联网文化单位的设立流程:经营性互联网文化单位不再需要报文化部审批,只需省级文化行政部门审核批准,但申请从事网络游戏经营活动的应当具备不低于1000万元的注册资金;不再提及针对文化单位的审查制度,“审查”一词仅用于对进口文化产品的内容审查。
新华社2011年5月4日电称,国办就设立国家互联网信息办公室(简称“国家网信办”)发出通知:国家网信办不另设新的机构,在国务院新闻办公室加挂牌子,主要职责包括“落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,负责网络新闻业务及其他相关业务的审批和日常监管,指导有关部门做好网络游戏、网络视听、网络出版等网络文化领域业务布局规划,协调有关部门做好网络文化阵地建设的规划和实施工作,负责重点新闻网站的规划建设,组织、协调网上宣传工作,依法查处违法违规网站,指导有关部门督促电信运营企业、接入服务企业、域名注册管理和服务机构等做好域名注册、互联网地址分配、网站登记备案、接入等互联网基础管理工作,在职责范围内指导各地互联网有关部门开展工作”[新华社2011] [51] 。
2011年12月8日,工信部宣布印发《信息安全产业“十二五”发展规划》。这一规划在总结“十一五”信息安全产业发展现状、分析面临形势的基础上,规划明确了“十二五”的发展思路和目标,确定了发展重点和重大工程,提出了相关政策措施。规划的发布实施,促进了我国信息安全产业持续健康发展 [52] 。
2011年12月16日,《北京市微博客发展管理若干规定》出台,规定任何组织或者个人注册微博客账号,应当使用真实身份信息。随后广州、深圳、上海、天津等地也采取相同措施。多项事件表明,微博已成为我国重要舆论平台。中国互联网络信息中心(CNNIC)数据显示,2011年我国微博客用户已达2.5亿,较上一年增长296.0% [53] 。
2011年12月21日,开发者技术社区CSDN中有600万用户的数据库信息被黑客公开,随后天涯网证实部分用户数据库泄露。用户信息泄露事件,引发了网民对网络和信息安全的高度关注 [53] 。
2012年5月5日,国家发改委印发《“十二五”国家政务信息化工程建设规划》(发改高技〔2012〕1202号),提出到“十二五”末期,要“基本建成国家网络与信息安全基础设施,网络与信息安全保障作用明显增强” [54] 。
2012年6月28日,国务院发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号),文件被行业称作“23号文”。23号文指出了我国信息化建设和信息安全保障仍存在一些亟待解决的问题,包括信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强,移动互联网等技术应用给信息安全带来严峻挑战。文件提出了“国家信息安全保障体系基本形成”的目标:重要信息系统和基础信息网络安全防护能力明显增强,信息化装备的安全可控水平明显提高,信息安全等级保护等基础性工作明显加强。文件提出了八项意见,与信息安全相关的措施包括:健全安全防护和管理,保障重点领域信息安全;加快能力建设,提升网络与信息安全保障水平;完善政策措施 [55] 。23号文继承了27号文,对2012年之后一段时期的重要工作提出了要求 [35] 。
2012年11月8日至14日,中共十八大胜利召开。党的十八大和随后召开的党的十八届一中全会选举产生的以习近平同志为总书记的新一届中央领导集体,是一个实践经验丰富、勇于改革创新、深得人民群众信任和拥护的领导集体 [56] 。网络安全治理作为党和国家事业的重要组成部分,即将迎来重大升级。
2013年2月26日至28日,十八届二中全会召开,审议了《国务院机构改革和职能转变方案》。方案于3月14日获十二届全国人大一次会议表决通过,要求国务院深化机构改革和职能转变,重点围绕转变职能和理顺职责关系,稳步推进大部门制改革 [57] 。其中,新闻出版总署、广电总局职责整合,组建国家新闻出版广电总局,加挂国家版权局牌子。3月21日,国务院发布《关于部委管理的国家局设置的通知》(国发〔2013〕15号),规定“国家档案局与中央档案馆、国家保密局与中央保密委员会办公室、国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中共中央直属机关的下属机构序列” [58] [国务院2013]。
2013年11月9日至12日,中共十八届三中全会在京召开。11月12日,十八届三中全会通过了《中共中央关于全面深化改革若干重大问题的决定》 [59] 。针对健全公共安全体系这一目标,《决定》提出“坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全”。《决定》还提出“设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全”。习近平总书记在对《决定》的说明中表示,“从实践看,面对互联网技术和应用飞速发展,现行管理体制存在明显弊端,主要是多头管理、职能交叉、权责不一、效率不高。同时,随着互联网媒体属性越来越强,网上媒体管理和产业管理远远跟不上形势发展变化”。
党的十八大以来,我国加速建立个人信息保护体系,保护力度逐渐增强。2013年,中国的互联网产业已得到了长足发展,移动互联网方兴未艾,新兴的网络服务正在深刻变革社会生活面貌。与此同时,公民个人隐私问题也因网络空间乱象陷入了前所未有的风险,加强网络信息保护立法势在必行。2012年12月28日,《全国人民代表大会常务委员会关于加强网络信息保护的决定》获得通过并即日施行,主要内容是对个人电子信息保护做出规定,标志着立法机关开始向危害个人信息安全的行为“亮剑”。此外,这份文件的第五至八条还涉及网络服务信息内容合规、用户实名入网、商业性信息发送限制问题。2013年2月1日,我国首个个人信息保护国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828)开始实施,标志着我国个人信息保护标准体系开始建立。2013年7月16日,工信部第24号令发布《电信和互联网用户个人信息保护规定》,自9月1日施行。这是国内第一部针对个人信息保护的部门规章,明确了电信业务经营者、互联网信息服务提供者对个人信息的收集和使用应遵循“合法、正当、必要”原则,并对相关信息的安全保障措施提出要求。
2013年,我国在网络外交事务上取得了诸多积极进展。6月7日至8日,国家主席习近平与时任美国总统奥巴马在美国加利福尼亚州安纳伯格庄园举行会晤,其中就网络安全问题进行了交流。习近平表示,中国政府是网络安全的坚定维护者,也对网络安全持有重大关切;通过一种真诚的合作,消除猜疑,反而可以使中美在信息安全领域、网络安全领域的合作成为今后加强中美关系的一个亮点,因为这是我们共同的需求和关切,中国也是网络安全方面的受害者,我们也希望切实解决这个问题。奥巴马说,网络安全有其局限性,对社会有广泛影响,大量数据和通信通过网络空间传播,如何确保网络安全事关重大 [60] 。6月14日,外交部发言人华春莹在记者会上宣布,“外交部近日已设立网络事务办公室,负责协调开展有关网络事务的外交活动,我们将与有关各方继续就网络安全问题开展建设性的对话与合作”。7月8日,中美战略安全对话框架下设立的网络安全工作组第一次会议在华盛顿举行,双方就网络工作组机制建设、两国网络关系、网络空间国际规则、双边对话合作措施以及其他共同关心的问题进行交流。
2013年,我国就打击网络黑产和网络犯罪多次重拳出击。此时,以网络诈骗、信息窃取、流量攻击、网络钓鱼为代表的黑客活动呈快速增长趋势,并形成地下产业链,严重危害互联网用户和企业的切身利益。
● 2013年6月18日,公安部召开电视电话会议,部署全国公安机关从今年6月至12月开展为期半年的集中打击整治网络违法犯罪专项行动。公安部要求各地全面梳理排查网络诈骗、黑客攻击破坏、侵害公民个人信息、涉枪涉爆等不法活动线索,以及管理混乱、不法活动突出的网络平台。行动集中打掉一批为网络不法活动“输血供电”的网络服务商、代理商、销售商、广告商、黑客程序制作者/维护者以及提供“洗钱”服务的利益链条;同时依法查处不法活动突出的网络服务平台,整治安全管理责任不落实、屡出问题的接入服务商、信息服务商。
● 2013年6月25日,在公安部指导下,阿里巴巴、腾讯、百度、新浪、盛大、网易、亚马逊中国等21家互联网企业,成立了“互联网反欺诈委员会”,以推进全网联合,打击网络诈骗,共建交易安全生态圈。
● 2013年7月30日,工信部印发《防范治理黑客地下产业链专项行动方案》(工信部保函〔2013〕333号),通知于8月至12月开展防范治理黑客地下产业链专项行动。专项行动的主要任务包括加强威胁监测,强化联动处置;切断利益链条,深挖控制源头;落实防护措施,健全应急机制;开展用户教育,提高安全意识;拓展国际合作,完善协作机制。各项任务的牵头单位包括CNCERT、CNNIC、ISC、通管局、基础电信企业等。
从上述案例看,公安部和工信部在黑产治理活动中呈双头出击之势。若能集多部门之合力,必将显著扩大胜果,建立更强有力的顶层协调机制势在必行。
2014年是中国接入国际互联网20周年。据CNNIC统计,截至2013年年底,中国网民规模突破6.18亿,手机用户超过12亿,手机网民已达5亿,国内域名总数1844万个,网站近400万家。此时的中国已是名副其实的“网络大国”,但距离网络强国目标仍有较大差距,必须加速奔跑。
本时期,伴随着网络安全领域的生长发育,网络安全技术机构大量诞生。
● 2000年8月,国信安办和公安部网络安全监察局对AVPTCC(病毒防治产品检验中心)进行考察,随后决定在AVPTCC的基础上建立国家计算机病毒应急处理中心(CVERC)。CVERC于2001年获批成立,主要任务是充分调动国内防病毒力量,对计算机病毒疫情进行快速发现、反应和处置 [21] 。
● 2001年10月,国家信息安全工程技术研究中心(NISEC)由科技部批复成立,是从事信息安全工程技术研究的公益二类事业单位,受科技部领导。按照科技部属地化管理要求,NISEC在上海注册成立了“上海信息安全工程技术研究中心”。NISEC以密码技术研究为核心,以密码技术应用为主线,以关键密码设备研发为重点,开展信息安全技术工程化研究工作。
● 2002年3月,中国电子科技集团有限公司(CETC)在原信息产业部直属46家电子类科研院所及26户企业基础上组建。2017年12月,CETC完成公司制改制,更名为中国电子科技集团有限公司。CETC是中央直接管理的国有骨干企业,是我国“军工电子主力军、网信事业国家队、国家战略科技力量”,拥有电子信息领域相对完备的科技创新体系,在电子装备、网信体系、产业基础、网络安全等领域占据技术主导地位,肩负着支撑科技自立自强、推进国防现代化、加快数字经济发展、服务社会民生的重要职责。
● 国家保密局涉密信息系统安全保密测评中心是于2002年6月获批成立的信息安全保密测评机构。保密测评中心受国家保密局领导,挂靠在国家保密技术研究所,主要工作领域为:对涉密信息系统进行安全保密测评;对包括防火墙、入侵检测、漏洞扫描系统在内的二十余类安全保密产品进行检测;制定国家保密标准;研究和开发用于涉密信息系统测评和产品检测的专用工具和技术;建立遍及全国的系统测评分中心体系,并对各个系统测评分中心进行管理和培训 [61] 。
● 2003年7月28日,公安部信息安全等级保护评估中心(CSPEC)依托公安部第三研究所成立。评估中心是专业技术支撑机构,主要任务是依据国家信息安全等级保护制度的相关政策、标准和规范,为深入贯彻实施信息安全等级保护制度提供专业技术支撑;对国家关键信息基础设施和重要信息系统的安全保护状况进行权威测评;为全国信息安全测评服务体系的建设提供技术指导、支持和管理 [62] 。
● 2005年,国家信息技术安全研究中心(NITSC)遵照中央领导重要批示组建。NITSC目前为中央网信办所属的国家事业单位,履行科研技术攻关与网络安全保障双重职能,主要开展网络安全核心技术研究、国家网络安全保障及网络安全技术服务等业务。
● 2006年6月20日,中央机构编制委员会办公室批准成立中国信息安全认证中心(ISCCC,简称认证中心或中认)。2018年,ISCCC正式更名为中国网络安全审查技术与认证中心(CCRC)。CCRC为市监总局直属正局级事业单位,接受中央网信办业务指导,依据国家有关强制性产品认证、信息安全管理的法律法规,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作;同时设有国家信息安全产品质量监督检验中心(北京)。目前,CCRC是国内唯一获得中国合格评定国家认可委员会(CNAS)认可的信息安全服务资质认证机构;第一家获得CNAS认可的信息安全管理体系(ISMS)认证机构;第一家获得CNAS认可的信息技术服务管理体系(ITSMS)认证机构;唯一在CNAS备案的数据中心服务能力成熟度认证机构。
● 2007年3月25日,中国密码学会(CACR)在北京成立。中国密码学会是国家一级学会,由国内从事密码学术研究的知名专家、学者和部分大专院校、科研院所从事密码学研究的人员自愿发起,经民政部批准,依法登记成立。学会是全国性、学术性非营利法人社会团体,由中国科协主管,挂靠国密局。学会的宗旨是,团结全国密码学术研究工作者,促进密码学术研究以及密码学术人才成长。学会成立后大力推动开展学术性密码基础理论、应用理论研究,开展多种形式的国内外密码学术交流活动,出版、发行密码学术刊物,举办相关培训班,促进密码技术的应用和发展。
与此同时,国内网络安全市场进一步壮大,众多网络安全厂商得以创立。2000年4月25日,北京中联绿盟公司成立,并于7月启用域名nsfocus.com,于8月吸收原上海绿盟公司资产。2000年5月31日,任子行网络技术股份有限公司成立,主营业务包括网络审计与监管。2000年12月25日,深信服公司注册成立,目前专注于企业级网络安全、云计算、IT基础设施与物联网的产品和服务供应。2001年4月,哈尔滨安天信息技术有限公司成立,目前已发展为拥有众多产品线的大型网络安全供应商。2002年2月,长安通信清算有限公司由信息产业部机关第一服务局、CNCERT共同出资创立,并于2012年成为CNCERT全资子公司,更名为长安通信科技有限责任公司(CHANCT)。此后,CHANCT在网络信息安全领域对CNCERT、中央网信办及其他部门提供技术支撑。2005年9月,北京奇虎科技有限公司成立,是一家主营安全相关业务的互联网公司。2007年,安恒信息公司成立于浙江杭州,专注于云安全、大数据安全、物联网安全、智慧城市安全、工业控制系统安全及工业互联网安全。2008年8月7日,恒安嘉新在北京注册成立,当前主营业务是为政企客户提供网络信息安全、数据分析、智能业务应用解决方案和运营运维服务。