在金融����、能源、制造�����、商業(yè)零售等經(jīng)濟活動中會產(chǎn)生大量的數(shù)據(jù)和信息。對這些數(shù)據(jù)和信息進行綜合分析����,能夠了解國家的經(jīng)濟活動狀態(tài)����、特征、發(fā)展變化等情況��。這些數(shù)據(jù)和信息是企業(yè)競爭力和國家生產(chǎn)力發(fā)展的核心要素,直接關系著國家經(jīng)濟安全和國家安全。隨著經(jīng)濟活動對信息網(wǎng)絡依賴性增強�,利用信息技術實施經(jīng)濟竊密活動日益增多��,經(jīng)濟數(shù)據(jù)和信息的保密性����、完整性和可用性面臨挑戰(zhàn)�����。我國應如何保障網(wǎng)絡空間的經(jīng)濟信息安全呢�?
���。ㄒ唬┬畔⒓夹g強國可通過研發(fā)針對性網(wǎng)絡間諜工具���、實施針對性網(wǎng)絡攻擊等,竊取我國經(jīng)濟信息
近年來���,全球出現(xiàn)了“火焰”和“高斯”等病毒����,這些病毒被認為是美國等研發(fā)的針對性網(wǎng)絡間諜工具,能夠將被感染系統(tǒng)中的相關數(shù)據(jù)發(fā)給病毒操控者�����。盡管目前這些病毒主要針對中東國家,但表明美國等信息技術強國已經(jīng)具備了研發(fā)針對性網(wǎng)絡間諜工具�����、竊取他國敏感數(shù)據(jù)和信息的能力��,給我國經(jīng)濟信息安全帶來潛在威脅��。
�����。ǘ﹪鈴S商利用產(chǎn)品和設備預留后門�、遠程維護等機會���,竊取我國經(jīng)濟信息
國外產(chǎn)品和設備在我國有較廣泛的應用,國外產(chǎn)品和設備可能設置有后門���,可被利用進行“系統(tǒng)監(jiān)控�、信息調閱”等操作���,控制信息系統(tǒng)或竊取相關信息�。
���。ㄈ┛鐕驹谔峁┬畔⒓夹g服務過程中���,可能竊取大量經(jīng)濟信息并非法利用
我國金融、電信�、交通等領域的大型企業(yè)很多都采用跨國公司提供的信息技術咨詢�、信息系統(tǒng)集成�����、數(shù)據(jù)處理和運營等服務���?鐕驹谔峁┓⻊者^程中不僅會掌握我國客戶的大量信息����,還可能利用該機會竊取敏感經(jīng)濟信息�。此外�,隨著云計算等快速發(fā)展,國內客戶在使用云計算服務過程中���,會將大量數(shù)據(jù)存儲到
“云”端,這些數(shù)據(jù)可能被存儲到海外并被非法利用����。
���。ㄋ模┩赓Y企業(yè)通過對業(yè)務積累的商業(yè)數(shù)據(jù)進行分析等��,獲取我國大量的經(jīng)濟信息
目前外資企業(yè)已經(jīng)滲透到我國多個行業(yè)和領域�。外資企業(yè)通過主動收集等手段��,積累了大量的商業(yè)數(shù)據(jù)���;一些企業(yè)將商業(yè)數(shù)據(jù)傳至國外�,嚴重危害我國經(jīng)濟信息安全。
�。ㄎ澹┚W(wǎng)絡犯罪團伙或個人利用病毒植入等手段��,竊取金融���、大型商務網(wǎng)站等的客戶信息和商業(yè)數(shù)據(jù)
當前針對我國金融、大型商務網(wǎng)站的網(wǎng)絡犯罪行為日益猖獗����,犯罪分子利用技術漏洞�、病毒植入、網(wǎng)絡釣魚等手段��,竊取網(wǎng)站客戶信息和商業(yè)數(shù)據(jù)�。例如,2012年以來京東商城��、當當網(wǎng)等大型商務網(wǎng)站被入侵�����,致使用戶賬戶余額被盜刷。近年來���,黑客技術手段不斷更新����,網(wǎng)絡犯罪行為呈現(xiàn)智能化趨勢����,金融、大型商務等領域客戶資料和商業(yè)數(shù)據(jù)面臨的威脅更加嚴峻�����。
��。ㄒ唬┏雠_經(jīng)濟信息安全相關立法
隨著經(jīng)濟安全問題越來越突出�����,美國在國家安全的框架下開展經(jīng)濟安全系列立法����,除在能源�����、金融�����、貿(mào)易�����、制造等領域制定相關法律保護該領域經(jīng)濟安全外�����,還出臺了專門針對經(jīng)濟間諜的法律����。
1996年的《經(jīng)濟間諜法》對商業(yè)秘密進行了廣泛界定���,將任何有形無形的、非公開的��、為擁有者合理保護的信息都認定為商業(yè)秘密���,并對兩類違法行為進行制裁:一是外國政府���、機構�����、企業(yè)刺探美國產(chǎn)業(yè)商業(yè)秘密的經(jīng)濟間諜罪���;二是一般企業(yè)因競爭因素所導致的竊取商業(yè)秘密罪。該法將商業(yè)秘密的保護提升到國家經(jīng)濟安全的高度�����,不僅將竊取或未經(jīng)適當授權取得等行為界定為犯罪�����,還將任何意圖實施上述行為的也界定為犯罪�,而且該法效力可及于國外。通過系列立法�����,美國構建了較完善的經(jīng)濟安全(含經(jīng)濟信息安全)法律保障體系����,能夠更全面地保護美國的經(jīng)濟利益����。
����。ǘ嫿ㄏ到y(tǒng)化的組織機構體系
美國構建了一個龐大的組織機構體系保障經(jīng)濟安全——設立了以總統(tǒng)為中心,副總統(tǒng)�、國防部長、國務卿�、中央情報局局長和總統(tǒng)安全事務助理等人組成常務委員會的國家安全委員會,總統(tǒng)掌握著經(jīng)濟安全的決策權和協(xié)調權�����。財政部�����、商務部�����、農(nóng)業(yè)部��、能源部等各部門執(zhí)行具體的經(jīng)濟信息安全職能����。美國還建立了跨部門的協(xié)調機構。系列化的組織機構為經(jīng)濟安全(含經(jīng)濟信息安全)提供了組織保障���。
��。ㄈ┲笇髽I(yè)加強數(shù)據(jù)和信息保護
美國政府指導企業(yè)加強數(shù)據(jù)和信息保護�,并推廣數(shù)據(jù)和信息保護最佳實踐����,包括:制定信息戰(zhàn)略;實施內部威脅和意識計劃���,對信息技術應用可能給數(shù)據(jù)和信息帶來的威脅進行偵測���,進行內部安全意識培訓,對外提供信息前對信息接受者進行背景調查�,與員工和商業(yè)伙伴簽訂保密協(xié)議等;對數(shù)據(jù)和信息進行有效管理��,對企業(yè)所擁有信息進行分類����,明確哪些信息需要保護及保護期限����,選擇適合的控制措施�;對網(wǎng)絡進行實時監(jiān)控,保存登錄服務器并進行文檔操作的所有記錄�,安裝必要的軟件工具等。
�。ㄒ唬┩ㄟ^立法和標準等手段,規(guī)范經(jīng)濟信息的收集��、處理和利用等行為
《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》主要對公民個人信息進行保護����,對經(jīng)濟信息保護沒有涉及。建議借鑒美國等國的經(jīng)驗�����,在國家安全的大框架下�,盡快研究制定經(jīng)濟數(shù)據(jù)和信息保護的法律制度,明確經(jīng)濟數(shù)據(jù)和信息的范圍����,規(guī)范數(shù)據(jù)和信息的收集��、處理和利用等行為,明確經(jīng)濟信息主體的信息保護責任�����,明確對經(jīng)濟間諜�����、利用網(wǎng)絡竊取經(jīng)濟數(shù)據(jù)和信息的處罰措施�。同時,要研究制定經(jīng)濟信息和數(shù)據(jù)保護相關標準規(guī)范���,從信息的收集���、處理和利用環(huán)節(jié)提出明確具體的要求。
��。ǘ┙⒔(jīng)濟信息安全保護的跨部門協(xié)調機構����,形成系統(tǒng)性組織機構,保障經(jīng)濟安全
在國家信息安全協(xié)調小組框架下,建立經(jīng)濟信息安全保護協(xié)調機構��,負責經(jīng)濟信息安全戰(zhàn)略政策的制定�����,協(xié)調國務院相關部門的經(jīng)濟信息安全保護工作�。充分發(fā)揮工業(yè)和信息化部、國家發(fā)改委�����、財政部����、商務部、科技部���、農(nóng)業(yè)部等部委在保障經(jīng)濟信息安全工作中的作用�����。加大國家安全部等部門對外國經(jīng)濟間諜活動的監(jiān)督防范���。
��。ㄈ⿲窠(jīng)濟關鍵行業(yè)和領域的經(jīng)濟信息采取多種措施予以重點保護
對金融�����、資源���、能源���、制造�����、高科技�����、商業(yè)零售�����、軍工等國民經(jīng)濟關鍵行業(yè)和領域的企業(yè)明確提出經(jīng)濟信息保護要求����,要求其在加強信息化建設的同時對重要敏感信息保護予以充分重視。要求上述領域企業(yè)建設信息安全監(jiān)控基礎設施�,對信息系統(tǒng)的實時運行進行監(jiān)控,同時要求其強化各項技術保護措施���,并落實重要信息系統(tǒng)風險評估��、信息系統(tǒng)等級保護等制度�����。要求企業(yè)在采用國外技術�、產(chǎn)品和服務過程中����,對產(chǎn)品的安全性、服務機構的資質和信用進行嚴格審查�����,明確商業(yè)伙伴的保密等義務�。
(四)對國民經(jīng)濟關鍵行業(yè)�����、領域應用的關鍵產(chǎn)品和設備實施信息安全審查
以重要領域工業(yè)控制系統(tǒng)、關鍵信息技術產(chǎn)品和設備為切入點�,實施系統(tǒng)和產(chǎn)品設備的信息安全審查。在總結經(jīng)驗���、完善審查程序的基礎上�����,逐步將安全審查范圍拓展到經(jīng)濟領域應用的所有關鍵產(chǎn)品和設備���。以安全審查為契機�,支持國產(chǎn)關鍵產(chǎn)品和設備的研發(fā),推廣國產(chǎn)關鍵產(chǎn)品和設備��,鼓勵各領域應用國產(chǎn)產(chǎn)品和設備���,逐步實現(xiàn)經(jīng)濟領域應用的關鍵產(chǎn)品和設備的國產(chǎn)化替代����。