程智华律师团队律师
专办疑难民商事纠纷、涉企刑事辩护及合规、企业股权投融资、房地产与建筑工程等诉讼、非诉法律业务
18171391268
咨询时间:09:00-21:59 服务地区

网络安全范式与数据安全

作者:程智华律师团队律师时间:2021年01月26日分类:律师随笔浏览:221次举报


20世纪90年代中期,计算机和信息系统网络化发展迅速,人类社会信息化进入了2.0网络化阶段。在这一阶段,金融、交通、电信等基础设施运营日益依靠网络信息系统。然而网络信息系统及其数据可能遭受攻击和破坏,从而引发了网络安全问题。

对于网络安全风险而言,只关注信息自身安全的传统信息安全范式已经不足以应对,随之出现了以网络信息系统安全为中心的网络安全范式。20世纪90年代后期以来,美国出台了一系列关于“关键基础设施”“网络安全”的政策和立法。欧盟从2001年开始制定专门立法以确保“网络和信息安全(NIS)”,其是指“网络或信息系统在一定的可信度下抵御突发事件、非法或恶意行为的能力,这些行为会危害该系统存储或传输的数据的可用性、真实性、完整性和保密性,危害依靠该网络或系统提供或获得的有关服务”。2016年7月,欧盟通过的《促进欧盟共同高水平网络与信息系统安全的措施之指令》(下称“网络与信息系统安全指令”)也基本沿用了这一定义。我国《网络安全法》规定:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。由此可以看出,网络安全就是要确保网络信息系统及其数据的安全。

对于网络信息系统中的数据而言,传统信息自身安全的“完整性、保密性、可用性”三要素仍然适用,“网络数据安全”就是网络空间的狭义信息安全。在网络空间,网络信息安全除了网络数据自身安全之外,也包括网络数据所承载信息的内容安全,仍然适用前述信息内容安全的“正当性”要素。网络信息安全就是网络环境下的广义信息安全。但对于“网络信息系统”而言,传统信息安全三要素不足以适应其安全性要求。有学者将网络空间安全分为设备层安全、系统层安全、数据层安全、应用层安全。本文将设备层安全和系统层安全统称为网络系统安全。对于网络系统安全,虽然保密性和完整性要求仍然适用,但从目前立法来看,更加强调“稳定可靠运行”和“持续提供服务”。

笔者认为可以将这些安全要求概括为“可靠性”和“坚韧性”。可靠性(Reliability)是指“预期行为和结果保持一致的特性”,强调特定系统、产品或元件在一定条件下执行指定功能的能力或可能性,是传统信息安全“可用性”要素中“可靠使用”内涵在网络环境下的凸显。可靠性要素要求确保构成系统的硬件和软件的供应链安全。坚韧性(Resilience)是指“在面对影响网络正常运行的多样挑战时,该网络提供或者维持一种可接受水平的服务的能力”。这就要求网络系统足以应对黑客攻击、洪水、火灾等意外事件,即使被攻击也能及时恢复正常运行。“坚韧性”这个要素很少见于传统信息安全领域,一般只用于网络系统安全,尤其是关键信息基础设施保护领域。

综上,网络安全包括网络信息安全与网络系统安全,前者的基本要素是保密性、完整性、可用性和正当性;后者的基本要素是保密性、完整性、可靠性和坚韧性。鉴于传统信息安全范式立法对数据和信息系统有了一定的保护,网络安全范式立法从世界范围来看,无论是美国的“关键基础设施”,欧盟的“基本服务运营者”,还是我国的“关键信息基础设施”,核心都是保护事关国家安全、公共安全的关键信息基础设施安全。

文章摘自网络,如有侵权,请联系删除

程智华律师团队 已认证
  • 18171391268
  • 湖北尊而光律师事务所
咨询律师
  • 入驻华律

    5年

  • 用户采纳

    50次 (优于97.08%的律师)

  • 用户点赞

    63次 (优于98.38%的律师)

  • 平台积分

    107579分 (优于99.67%的律师)

  • 响应时间

    一天内

  • 投稿文章

    2875篇 (优于96.67%的律师)

版权所有:程智华律师团队律师IP属地:湖北
技术支持:华律网蜀ICP备11014096号-1 个人网站总访问量:1262562 昨日访问量:1837

华律网提示:本页面内容信息由律师本人发布并对信息的真实性及合法性负责,如您对信息真实性及合法性有质疑,请向华律网投诉入口反馈, 有害信息举报