在金融����、能源��、制造���、商業(yè)零售等經(jīng)濟活動(dòng)中會(huì )產(chǎn)生大量的數據和信息�����。對這些數據和信息進(jìn)行綜合分析���,能夠了解國家的經(jīng)濟活動(dòng)狀態(tài)�����、特征�、發(fā)展變化等情況����。這些數據和信息是企業(yè)競爭力和國家生產(chǎn)力發(fā)展的核心要素�����,直接關(guān)系著(zhù)國家經(jīng)濟安全和國家安全�。隨著(zhù)經(jīng)濟活動(dòng)對信息網(wǎng)絡(luò )依賴(lài)性增強���,利用信息技術(shù)實(shí)施經(jīng)濟竊密活動(dòng)日益增多�����,經(jīng)濟數據和信息的保密性�����、完整性和可用性面臨挑戰��。我國應如何保障網(wǎng)絡(luò )空間的經(jīng)濟信息安全呢�����?
�����。ㄒ唬┬畔⒓夹g(shù)強國可通過(guò)研發(fā)針對性網(wǎng)絡(luò )間諜工具�、實(shí)施針對性網(wǎng)絡(luò )攻擊等���,竊取我國經(jīng)濟信息
近年來(lái)�����,全球出現了“火焰”和“高斯”等病毒�����,這些病毒被認為是美國等研發(fā)的針對性網(wǎng)絡(luò )間諜工具��,能夠將被感染系統中的相關(guān)數據發(fā)給病毒操控者����。盡管目前這些病毒主要針對中東國家����,但表明美國等信息技術(shù)強國已經(jīng)具備了研發(fā)針對性網(wǎng)絡(luò )間諜工具�����、竊取他國敏感數據和信息的能力�,給我國經(jīng)濟信息安全帶來(lái)潛在威脅����。
�。ǘ﹪鈴S(chǎng)商利用產(chǎn)品和設備預留后門(mén)���、遠程維護等機會(huì )�����,竊取我國經(jīng)濟信息
國外產(chǎn)品和設備在我國有較廣泛的應用���,國外產(chǎn)品和設備可能設置有后門(mén)�,可被利用進(jìn)行“系統監控�、信息調閱”等操作��,控制信息系統或竊取相關(guān)信息�����。
����。ㄈ┛鐕驹谔峁┬畔⒓夹g(shù)服務(wù)過(guò)程中����,可能竊取大量經(jīng)濟信息并非法利用
我國金融�����、電信�����、交通等領(lǐng)域的大型企業(yè)很多都采用跨國公司提供的信息技術(shù)咨詢(xún)���、信息系統集成���、數據處理和運營(yíng)等服務(wù)�����?鐕驹谔峁┓⻊(wù)過(guò)程中不僅會(huì )掌握我國客戶(hù)的大量信息����,還可能利用該機會(huì )竊取敏感經(jīng)濟信息���。此外�,隨著(zhù)云計算等快速發(fā)展����,國內客戶(hù)在使用云計算服務(wù)過(guò)程中�����,會(huì )將大量數據存儲到
“云”端����,這些數據可能被存儲到海外并被非法利用����。
�����。ㄋ模┩赓Y企業(yè)通過(guò)對業(yè)務(wù)積累的商業(yè)數據進(jìn)行分析等���,獲取我國大量的經(jīng)濟信息
目前外資企業(yè)已經(jīng)滲透到我國多個(gè)行業(yè)和領(lǐng)域�����。外資企業(yè)通過(guò)主動(dòng)收集等手段�����,積累了大量的商業(yè)數據����;一些企業(yè)將商業(yè)數據傳至國外����,嚴重危害我國經(jīng)濟信息安全����。
����。ㄎ澹┚W(wǎng)絡(luò )犯罪團伙或個(gè)人利用病毒植入等手段����,竊取金融���、大型商務(wù)網(wǎng)站等的客戶(hù)信息和商業(yè)數據
當前針對我國金融��、大型商務(wù)網(wǎng)站的網(wǎng)絡(luò )犯罪行為日益猖獗�,犯罪分子利用技術(shù)漏洞����、病毒植入�����、網(wǎng)絡(luò )釣魚(yú)等手段���,竊取網(wǎng)站客戶(hù)信息和商業(yè)數據�。例如�,2012年以來(lái)京東商城��、當當網(wǎng)等大型商務(wù)網(wǎng)站被入侵����,致使用戶(hù)賬戶(hù)余額被盜刷����。近年來(lái)���,黑客技術(shù)手段不斷更新����,網(wǎng)絡(luò )犯罪行為呈現智能化趨勢�����,金融�、大型商務(wù)等領(lǐng)域客戶(hù)資料和商業(yè)數據面臨的威脅更加嚴峻���。
��。ㄒ唬┏雠_經(jīng)濟信息安全相關(guān)立法
隨著(zhù)經(jīng)濟安全問(wèn)題越來(lái)越突出�,美國在國家安全的框架下開(kāi)展經(jīng)濟安全系列立法��,除在能源����、金融����、貿易�、制造等領(lǐng)域制定相關(guān)法律保護該領(lǐng)域經(jīng)濟安全外�����,還出臺了專(zhuān)門(mén)針對經(jīng)濟間諜的法律����。
1996年的《經(jīng)濟間諜法》對商業(yè)秘密進(jìn)行了廣泛界定����,將任何有形無(wú)形的�����、非公開(kāi)的��、為擁有者合理保護的信息都認定為商業(yè)秘密�����,并對兩類(lèi)違法行為進(jìn)行制裁:一是外國政府��、機構�����、企業(yè)刺探美國產(chǎn)業(yè)商業(yè)秘密的經(jīng)濟間諜罪����;二是一般企業(yè)因競爭因素所導致的竊取商業(yè)秘密罪���。該法將商業(yè)秘密的保護提升到國家經(jīng)濟安全的高度�,不僅將竊取或未經(jīng)適當授權取得等行為界定為犯罪�,還將任何意圖實(shí)施上述行為的也界定為犯罪���,而且該法效力可及于國外�����。通過(guò)系列立法�,美國構建了較完善的經(jīng)濟安全(含經(jīng)濟信息安全)法律保障體系�,能夠更全面地保護美國的經(jīng)濟利益��。
����。ǘ嫿ㄏ到y化的組織機構體系
美國構建了一個(gè)龐大的組織機構體系保障經(jīng)濟安全——設立了以總統為中心���,副總統����、國防部長(cháng)�、國務(wù)卿�、中央情報局局長(cháng)和總統安全事務(wù)助理等人組成常務(wù)委員會(huì )的國家安全委員會(huì )�,總統掌握著(zhù)經(jīng)濟安全的決策權和協(xié)調權���。財政部����、商務(wù)部����、農業(yè)部����、能源部等各部門(mén)執行具體的經(jīng)濟信息安全職能����。美國還建立了跨部門(mén)的協(xié)調機構�����。系列化的組織機構為經(jīng)濟安全(含經(jīng)濟信息安全)提供了組織保障����。
��。ㄈ┲笇髽I(yè)加強數據和信息保護
美國政府指導企業(yè)加強數據和信息保護����,并推廣數據和信息保護最佳實(shí)踐�,包括:制定信息戰略���;實(shí)施內部威脅和意識計劃����,對信息技術(shù)應用可能給數據和信息帶來(lái)的威脅進(jìn)行偵測�����,進(jìn)行內部安全意識培訓�����,對外提供信息前對信息接受者進(jìn)行背景調查�,與員工和商業(yè)伙伴簽訂保密協(xié)議等���;對數據和信息進(jìn)行有效管理���,對企業(yè)所擁有信息進(jìn)行分類(lèi)��,明確哪些信息需要保護及保護期限����,選擇適合的控制措施��;對網(wǎng)絡(luò )進(jìn)行實(shí)時(shí)監控���,保存登錄服務(wù)器并進(jìn)行文檔操作的所有記錄���,安裝必要的軟件工具等�。
��。ㄒ唬┩ㄟ^(guò)立法和標準等手段����,規范經(jīng)濟信息的收集����、處理和利用等行為
《全國人民代表大會(huì )常務(wù)委員會(huì )關(guān)于加強網(wǎng)絡(luò )信息保護的決定》主要對公民個(gè)人信息進(jìn)行保護��,對經(jīng)濟信息保護沒(méi)有涉及�����。建議借鑒美國等國的經(jīng)驗�,在國家安全的大框架下�,盡快研究制定經(jīng)濟數據和信息保護的法律制度�,明確經(jīng)濟數據和信息的范圍�,規范數據和信息的收集�、處理和利用等行為�,明確經(jīng)濟信息主體的信息保護責任�����,明確對經(jīng)濟間諜�����、利用網(wǎng)絡(luò )竊取經(jīng)濟數據和信息的處罰措施�。同時(shí)����,要研究制定經(jīng)濟信息和數據保護相關(guān)標準規范���,從信息的收集���、處理和利用環(huán)節提出明確具體的要求�。
�。ǘ┙⒔(jīng)濟信息安全保護的跨部門(mén)協(xié)調機構�����,形成系統性組織機構�����,保障經(jīng)濟安全
在國家信息安全協(xié)調小組框架下����,建立經(jīng)濟信息安全保護協(xié)調機構�����,負責經(jīng)濟信息安全戰略政策的制定���,協(xié)調國務(wù)院相關(guān)部門(mén)的經(jīng)濟信息安全保護工作���。充分發(fā)揮工業(yè)和信息化部���、國家發(fā)改委�、財政部���、商務(wù)部���、科技部�、農業(yè)部等部委在保障經(jīng)濟信息安全工作中的作用�。加大國家安全部等部門(mén)對外國經(jīng)濟間諜活動(dòng)的監督防范���。
�。ㄈ⿲窠(jīng)濟關(guān)鍵行業(yè)和領(lǐng)域的經(jīng)濟信息采取多種措施予以重點(diǎn)保護
對金融���、資源�、能源�、制造�����、高科技�、商業(yè)零售����、軍工等國民經(jīng)濟關(guān)鍵行業(yè)和領(lǐng)域的企業(yè)明確提出經(jīng)濟信息保護要求�����,要求其在加強信息化建設的同時(shí)對重要敏感信息保護予以充分重視����。要求上述領(lǐng)域企業(yè)建設信息安全監控基礎設施���,對信息系統的實(shí)時(shí)運行進(jìn)行監控����,同時(shí)要求其強化各項技術(shù)保護措施����,并落實(shí)重要信息系統風(fēng)險評估����、信息系統等級保護等制度��。要求企業(yè)在采用國外技術(shù)��、產(chǎn)品和服務(wù)過(guò)程中�,對產(chǎn)品的安全性����、服務(wù)機構的資質(zhì)和信用進(jìn)行嚴格審查�����,明確商業(yè)伙伴的保密等義務(wù)���。
�。ㄋ模⿲窠(jīng)濟關(guān)鍵行業(yè)���、領(lǐng)域應用的關(guān)鍵產(chǎn)品和設備實(shí)施信息安全審查
以重要領(lǐng)域工業(yè)控制系統���、關(guān)鍵信息技術(shù)產(chǎn)品和設備為切入點(diǎn)��,實(shí)施系統和產(chǎn)品設備的信息安全審查���。在總結經(jīng)驗����、完善審查程序的基礎上�,逐步將安全審查范圍拓展到經(jīng)濟領(lǐng)域應用的所有關(guān)鍵產(chǎn)品和設備�����。以安全審查為契機�����,支持國產(chǎn)關(guān)鍵產(chǎn)品和設備的研發(fā)�����,推廣國產(chǎn)關(guān)鍵產(chǎn)品和設備���,鼓勵各領(lǐng)域應用國產(chǎn)產(chǎn)品和設備�,逐步實(shí)現經(jīng)濟領(lǐng)域應用的關(guān)鍵產(chǎn)品和設備的國產(chǎn)化替代�����。