《網絡安全法》技術支撐現狀分析

滕達 朱娜斐 王思雨 何涇沙

摘? ?要：《中華人民共和國網絡安全法》（簡稱《網絡安全法》）的頒布與實施，在網絡空間安全領域引起了廣泛的關注與討論。這部法律的意義在于不僅填補了我國司法空白，還為網絡信息安全從業人員和技術領域提出了技術方面的要求。因此，現有網絡安全技術對《網絡安全法》要求的滿足程度及支撐作用，是網絡安全從業人員在進行技術部署時需要考慮的重要方面，也是這部法律得以真正實施的關鍵所在?，F有的研究主要集中在司法領域討論這部法律的意義和缺陷，而缺少在技術實現領域對這部法律的技術支撐和分析，導致可能沒有使用相關技術真正實現法律的要求。為了從技術實現角度更好地理解法律的要求，文章從現有網絡安全技術角度出發，對《網絡安全法》的具體實現細節進行解析，討論現有技術對其的支撐現況，找出技術領域目前還應進一步完善和研究的內容。

關鍵詞：網絡安全法;信息安全技術;國家標準;法律實現

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

Analysis of current technology support to the Cybersecurity Law

Teng Da1， Zhu Nafei1，2， Wang Siyu1， He Jingsha1，2

（1. Faculty of Information Technology， Beijing University of Technology， Beijing 100124;

2. Beijing Engineering Research Center for IoT Software and Systems， Beijing 100124）

Abstract： The promulgation and implementation of the Cybersecurity Law of the People's Republic of China has aroused wide concern and discussion. The significance of this law is not only to fill the judicial gap， but also to put forward technical constraints for network information security practitioners and fields. How the existing network security technology supports the requirements of the "Cybersecurity Law of the People's Republic of China" is an important aspect that security practitioners need to consider when implementing the technology deployment， and is also the key to the implementation of this law. However， existing researches mainly discuss the significance and defects of this law in the field of justice， and lack of comparison and analysis of this law in the field of technology implementation， which leads to the possibility that it cannot be strictly used to achieve the binding effect of technology. In order to better realize the requirements of the law in the field of technology， we analyze the specific implementation details of the law from the perspective of existing network security technology， and discuss the technical support status. We identify the parts of the technical field that should be further improved and studied at present.

Key words： cybersecurity law; information security technology; national standards; legal implementation

1 引言

互聯網與人們的聯系日益緊密，小到娛樂、購物、社交、出行，大到政治、國防、經濟，網絡已滲入了人類社會的方方面面。目前，網絡信息安全成為人們不得不考慮和重視的新課題，各國都積極地在網絡安全立法方面做出了部署。我國頒布的《網絡安全法》正式生效，這部法律如何約束和監管網絡行為？現有的網絡安全技術又是否能實現和滿足法律的要求？這關系到這部法律在實踐中的有效性和可用性，對法律的實施和未來網絡安全法律體系的構建具有重要的意義。

2背景

2.1 網絡安全現狀

隨著大數據時代的到來，體量龐大而內容繁復的數據，給網絡與信息安全帶來了前所未有的挑戰[1]。近年來，全球范圍內網絡安全事件越來越多，發生頻率也越來越高，給社會造成的經濟損失越來越大。2017年5月，WannaCry勒索病毒的爆發，使得100多個國家和地區超過10萬臺電腦遭到了攻擊，造成的經濟損失達80億美元，影響到了全球范圍內的金融、能源、醫療等行業。中國部分Windows操作系統用戶遭受感染。校園網首當其沖，以致大量科研數據丟失;在工業界，部分大型企業的應用系統和數據庫文件被鎖定，無法正常使用。在社會層面，惡意攻擊波及范圍廣，危害性大;在個體層面，信息泄露侵犯了個人的隱私權。2018年2月，陸續有用戶發現個人的B站（中國知名的視頻彈幕網站“嗶哩嗶哩”，簡稱B站）賬號密碼，未經授權就可登錄快視頻APP（360公司旗下的一款視頻應用軟件），疑似B站用戶的注冊信息被竊取。2018年3月，蘋果公司的技術人員因與客戶發生口角，擅自訪問了用戶的Icloud，導致用戶個人信息泄露。同年3月底，劍橋分析公司被指非法獲取逾5000萬Facebook用戶數據。對此，Facebook公司表示將采取補救措施，限制開發者的數據訪問權限。

《網絡安全法》是我國第一部規范網絡空間安全方面的基礎性法律。從立法到實施，充分體現了我國對網絡信息安全以及個人信息安全的重視程度。近年來，互聯網產業的發展，使得各行各業逐漸形成了相對成熟的網絡安全技術與機制。隨著《網絡安全法》的頒布實施，這部基礎性法律如何落地生根引起了社會的廣泛關注。相關行業的參與者，要對《網絡安全法》的具體要求進行技術上的解析，進而在對系統進行更新和研發時，尋求滿足要求的方案進行實施?，F有的技術與機制如何發揮其對法律的支撐作用，是社會所關心的話題。

在對現有網絡安全技術與法律要求進行對應時發現。一方面，現有的網絡安全技術還存在短板，對于部分法律要求并不能很好地用技術手段進行約束。例如，在保障用戶的知情權、拒絕權、遺忘權、更正權方面，現有的技術實現手段對用戶權益的保證遠遠不夠。另一方面，法律規定與現有的技術實現之間還存在空隙，部分由于法律條文的解析范圍較寬，對技術的要求還不太明確。

對于網絡環境的安全和個人信息安全來說，在技術支持上和法律法規方面未來都還有很大的發展空間。用技術來支撐法律實施，用法律來引導技術發展，《網絡安全法》將是未來中國網絡安全體系的開端，在不遠的未來將會有更加全面與完善的法律加入進來。

參考文獻

[1] 齊愛民. 論大數據時代數據安全法律綜合保護的完善—以《網絡安全法》為視角[J]. 東北師大學報（哲學）， 2017（4）：108-114.

[2] 洪延青. 評《網絡安全法》對數據安全保護之得與失[J]. 信息安全與通信保密， 2017（1）：66-73.

[3] 魯傳穎. 從全球網絡安全的角度看《網絡安全法》之意義[J]. 中國防偽報道， 2016（12）：43-43.

[4] H. D. Paul， P. Vagelis. The new General Data Protection Regulation： Still a sound system for the protection of individuals？[J]. Computer Law & Security Review， 2016：S0267364916300346.

[5] 丁道勤. "上天入地"，還是"度權量利"—《網絡安全法》（草案）述評[J]. 中國礦業大學學報（社會科學版）， 2016， 18（3）：34-41.

[6] 黃道麗. 從《網絡安全法（草案二次審議稿）》看安全漏洞的法律規制[J]. 中國信息安全， 2016（7）：57-58.

[7] 潘柱廷. 《網絡安全法》三觀之總體博弈觀[J]. 中國信息安全， 2017（6）：83-87.

[8] 徐亞文， 高一飛. 試析人權語境下的公民網絡信息安全保護—以我國《網絡安全法》頒布為背景[J]. 廣州大學學報（社會科學版）， 2017， 16（5）：26-33.

[9] 許長帥. 《網絡安全法》的適用： 網絡運營者及其主管部門的確定[J]. 通信管理與技術， 2017（5）：19-23.

[10] 黃道麗， 原浩. 《網絡安全法》行政執法的若干問題分析[J]. 中國信息安全， 2017（9）：32-36.

[11] 尹麗波. 網絡安全法將促進國家關鍵信息基礎設施保護新局面[J]. 中國信息安全， 2015（8）：110-112.

[12] 劉山泉. 德國關鍵信息基礎設施保護制度及其對我國《網絡安全法》的啟示[J]. 信息安全與通信保密， 2015（9）：86-90.

[13] 葛芳菲. 論網絡安全技術[J]. 決策與信息旬刊， 2012（2）：77-78.

[14] 王于丁， 楊家海， 徐聰， 等. 云計算訪問控制技術研究綜述[J]. 軟件學報， 2015， 26（5）：1129-1150.

[15] 周長春， 田曉麗， 張寧， 等. 云計算中身份認證技術研究[J]. 計算機科學， 2016， 43（s1）.339-341+369.

[16] 肖亮， 李強達， 劉金亮， 等. 云存儲安全技術研究進展綜述[J]. 數據采集與處理， 2016， 31（3）：464-472.

[17] ZH. Guo， P. Zhu， Z. Xu. Research of information security technology application in enterprises[C]// International Conference on Computer Research & Development. 2011.

[18] CY. Wang， Z. Zhang， XH. Song. Research on the Information Security Technology of University Campus Network[M]// Advances in Computer Science and Information Engineering. 2012.

[19] QL. Sun. Information under the Network Environment Using Computer Information Security Technology[C]. International Conference on Intelligent Transportation. IEEE， 2016.

[20] FX. Zhang， WM. Zhang. The application and study of information security technology based on general software platform[C]. International Conference on Electrical & Control Engineering. 2011.

[21] YJ. Peng， ZL. Zou， Xi. Guo， et al. Research on Architecture and Key Technology of Information Security Emergency Response[C]. International Conference on Information Engineering & Computer Science. IEEE， 2009.

[22] 劉品新， 張藝貞. 《網絡安全法》立法的三原則[J]. 中國信息安全， 2014（9）：66-68.

[23] 閔婉. 《網絡安全法》中的個人信息保護規則評析[J]. 法制博覽， 2018（2）：69-70.

[24] 十三屆全國人大常委會立法規劃[EB/OL]. http：//www.npc.gov.cn/npc/xinwen/201809/10/content_2061041.htm

作者簡介：

滕達，（1995-），女，漢族，河北滄州人，北京工業大學，碩士;主要研究方向和關注領域：隱私保護、訪問控制，信息安全。

朱娜斐，（1981-），女，漢族，河南平頂山人，北京工業大學，博士，北京工業大學，講師;主要研究方向和關注領域：網絡安全、隱私保護、訪問控制。

王思雨（1994-），女，漢族，北京人，北京工業大學，碩士;主要研究方向和關注領域：信息安全、訪問控制、隱私保護。

何涇沙，（1961-），男，漢族，陜西咸陽人，美國馬里蘭大學，博士，北京工業大學，教授;主要研究方向和關注領域：網絡安全、隱私保護、電子取證、區塊鏈技術。