查看原文
其他

黄道丽:以WannaCry勒索攻击事件为例分析《网络安全法》有效性度量

2017-05-25 黄道丽 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


【E安全特约稿】
本文作者黄道丽,公安部第三研究所网络安全法律研究中心主任。本文原标题《网络安全法施行的有效性度量——以WannaCry勒索软件攻击事件为例》。

编者按本文以WannaCry勒索软件的应对及后续处理为出发点,围绕如何打击勒索软件、如何惩治攻击行为、如何处罚以及相关罪名和认定标准等问题对6月1日即将正式实施的《网络安全法》进行具体分析和解读。

图:公安部第三研究所网络安全法律研究中心主任 黄道丽

在我国网络空间基本法《网络安全法》即将施行之际,缘于国际漏洞和入侵软件武器化,直接利用Windows系统漏洞的WannaCry勒索软件大肆攻击包括中国在内的全球150多个国家,包括我国在内的多个行业和政府部门“受到了感染,造成了一定影响”,涉及的网络系统暴露出了不容忽视的安全风险和隐患。

总体来看,《网络安全法》从支持促进、运行安全、信息安全和事件应对四个维度立体化、全方位促进网络安全保护工作。WannaCry勒索软件事件中涉及到的安全漏洞管控、产品提供者安全保障、网络运营者安全保护、监测预警与应急处置、危害网络安全的行为惩治等问题的应对与解决效果,将成为《网络安全法》及其配套制度施行的有效性度量。

首先安全漏洞作为网络空间系统构建的必然结果和客观存在,在特定时间和技术条件下不能完全排除,是引发全球网络安全威胁和风险的核心要素。基于国际社会漏洞治理规则碎片化的现状,产生源头缺乏法律规制和虚拟市场货币监管失控是导致执法打击勒索软件困难的两大根本原因。各国在打击勒索软件具有相似的认同和诉求,开展国际合作成为凝聚多方力量共同应对的重要举措。

《网络安全法》第7条已提出了境内外国际合作机制的初步构想,践行构想更需通过中美打击网络犯罪及相关事项高级别联合对话等双边或多边途径解决。

其次勒索软件攻击与其他危害网络安全的行为具有相似性,但勒索软件突出强调对数据、系统、网络的非法控制和对可用性的危害,使其有别于其他以破坏或获取数据为特征的计算机病毒,也有别于传统意义上的“敲诈勒索”罪。从惩治攻击行为角度,《网络安全法》第27条衔接《刑法修正案(九)》已设置了行政处罚、相关罪名和认定标准,第75条规定了对攻击关键信息基础设施的境外机构、组织和个人的制裁。

再次,《网络安全法》第22条规定了产品提供者对自身产品漏洞风险的告知、补救和报告的责任,产品提供者必须严格遵从,否则承担法律责任;《网络安全法》第21条、25条规定了网络运营者防范攻击与侵入、安全监测、重要数据备份和应急处置等保护义务,尤其对实践中按照现行有效的信息安全等级保护管理办法已进行了定级保护的信息系统,更应强化落实,否则承担相应的法律责任。

最后,本次攻击事件暴露出具有网络安全服务机构特性的安全厂商、教育和科研计算机网等机构在网络安全事件的监测、预警、通报、处置等方面的混乱与失调,《网络安全法》建立的信息共享机制、统一监测预警平台急需整合并制度化。

25
E安全要闻简讯

官网:

2017年5月

01最新安全报告:DDoS攻击次数减少但是规模更大
02加密货币已进入高烧阶段,替代币风头已盖过比特币
03漏洞预警:Samba远程代码执行漏洞(CVE-2017-7494)
04最新“永恒之石”勒索病毒处置方案
05 换个角度看看,为什么钓鱼攻击总能成功?
06微软1亿美元收购以色列网络安全创业公司Hexadite
07企业和家庭用户小心了!Linksys路由器多个型号出现安全漏洞
08 微软发布工具与资源:助企业轻松遵循欧盟GDPR新规
09 视频:1秒破解三星S8虹膜识别 官方回应正在调查
10 国家标准《信息安全技术 大数据安全管理指南》征求意见稿全文
11黑客攻击卡塔尔通讯社旗下网站与推特 伪造国家元首讲话
12生物黑客将电子罗盘植入体内用来感知方向
13
第七届CNCERT网络安全应急服务支撑单位完整名单
14
 5.23人工智能——江湖上传说又起
15以WannaCry勒索攻击事件为例分析《网络安全法》有效性度量
16
早在WannaCry之前 至少存在3个组织利用永恒之蓝发起攻击
17
 电子支付与机器时代的结合,未来大量女性职员面临失业电子支付与机器时代的结合,未来大量女性职员面临失业-E安全


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存