网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

第二，建立“预防—控治—惩治”的三位一体治理架构。在对网络攻击法律治理体系的构建过程中，应充分重视过程控制，发挥“预防—控治—惩治”三位一体的治理架构的优势：首先，预警通报和监测是网络攻击有效“预防”的逻辑起点。预警与监测指的是通过对网络攻击事件的监测，采取安全态势感知与分析手段，收集网络攻击威胁的走向和发展趋势，一旦预测到威胁，通过预警信息的共享和相关的漏洞通报机制。同时，按照网络攻击事件发生的紧急程度、发展势态和可能造成的危害程度分为一级、二级、三级和四级，分别用红色、橙色、黄色和蓝色标示。根据网络攻击事态的发展，按照规定适时调整预警级别并重新发布。有关事实证明不可能发生信息安全事件或者危险已经解除，当立即宣布解除警报，终止预警期，并解除已采取的有关措施；其次，应急处置与恢复是“控制”的核心环节。应制定应急处置预案，确定网络攻击事件响应、处置的范围、程度以及处置措施，包括信息安全事件的检测，信息安全事件应急预案的启动，以及特大、重大信息安全事件的紧急处置。上述工作结束后，应积极组织对网络攻击事件造成的损失进行评估，制定恢复重建计划；明确网络攻击的刑事法律责任是“惩治”的内涵。加大对网络攻击的刑事处罚与行政处罚力度是欧美近年来惩治网络攻击犯罪的一大趋势，值得借鉴。

第三，建立防范网络攻击的信息共享制度。对防范网络攻击的信息共享指的是政府部门、执法机关、社会组织、单位及公民个人自愿交换所掌握的网络系统漏洞、恶意入侵等网络攻击信息的法律制度。网络安全信息共享制度是欧美关键基础设施保护立法的关键环节。与政府机构相比，私营部门具有更加先进的网络安全技术，包括实时入侵检测系统和防御程序，其通常不愿与联邦政府共享信息，重要担心在于不清楚这些信息将被如何用于加强网络安全，或信息是否将与竞争者共享，甚至担心系统漏洞是敏感信息，不希望向公众竞争者披露其专有文档和信息，因为这一披露可能导致私营企业的名誉受损、竞争劣势、利润损失、股东派生诉讼和其他诉讼，以及政府机构滥用共享信息等，因此如何制定激励政策以及建立自愿与强制性网络安全信息共享制度成为欧美国家关注的焦点。我国《网络安全法》（草案）第32条明确规定“促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享”，这是我国网络安全立法的一大亮点。然而，还需通过下位法明晰和细化该项制度，并回应以下问题：第一，政府有关部门在什么时间、什么特定情况下、以什么方式、与相关机构共享什么样的信息，法律规定不明确；第二，信息网络测试评估机构对特定营运单位的分析报告，涉及营运单位、测试评测机构和政府三方面的利益如何协调；第三，共享与隐私存在着矛盾和冲突，基于国家和社会公共利益的需要，对个人数据的共享是政府社会管理的基本内容。然而随着网络攻击的泛华，国家需要公民、自然人在信息共享方面进行更广泛的协作，而这需要从法律上对保障隐私权和公权益重新整合；第四，在网络安全信息共享过程中可能出现的垄断问题、知识产权问题如何解决。

国际层面。网络的互联互通和全球性使得网络攻击成为当今世界各国共同面临的挑战。各国在应对网络安全事件时从管理到技术，从立法到行动皆有所不同，因此解决网络安全这一全球性的难题，有赖于各国共同参与、沟通合作，在对网络安全治理规则上达成有效共识。首先，积极推进政府间的网络合作进程，加强与美国、欧盟及俄罗斯的战略性对话，形成应对重大网络攻击事件的沟通与协调机制；其次，应积极推进共同制定双边及区域信息安全合作的国际法律基础，积极提出网络攻击国际治理规则的“中国方案”，包括但不限于建立统一的网络攻击认定的国际标准，推动形成抵制网络战的国际公约，并公开宣布对网络战争的反对立场，强调国家在保护关键基础设施免受恶意攻击中的责任；第三，加强应对关键基础设施网络攻击风险的国际演练。实施联合网络安全演习是网络领域最高水平的合作方式，可全方位提升网络危机事件的应对能力，通过联合网络演习可识别出我国在关键基础设施信息安全保障领域的薄弱环节，以及能够进行国际合作的内容具体。

四、结论