网络安全能力成熟度模型:D2-网络文化与社会(二)

2019-09-23 73185人围观 ,发现 8 个不明物体 安全报告

从本维度开始,从国家层面来探讨网络文化和社会的安全能力建设,并从战略和政策的高度来逐步执行。本章节为网络文化和社会维度的第二部分,如何建立民众对互联网的信任与信心。

PS:报告中淡紫色方框是对本段内容重点的提示、面临挑战和补充,淡蓝色方框是现行的一些最佳实践(政策、活动等)、橘黄色方框是要政府要着重关注的点、末尾灰绿色方框是本节报告所参考的资料。由于一些敏感词会背屏蔽,有些词会用错别字代替,各位请自行意会。

系列文章

网络安全能力成熟度模型:D2-网络文化与社会(一)

正文

Dimension II : Cyber Culture and Society

D 2.2 – Trust and confidence on the Internet

概述

该要素考虑到一般民众对(国家保障)他们以安全和私人方式使用互联网的能力的信任和信心。它侧重于对政府电子服务、私营和公共部门电子商务的信任和信心,但也包括在这两类之外的更广泛地互联网使用。

电子商务是指利用计算机网络,主要是互联网,来销售或购买商品和服务。交易可以在政府、公司、家庭、个人或任何其他公共或私人组织之间进行。政府电子服务是指在网上提供政府信息,如国家层面的战略和政策文件,以及在网上提供政府服务,如网上税务服务和电子通信方式。它是电子政务的一个子集,这是扩展的ICT系统的实现,旨在改善提供公共服务、行政机构和政府部门管理以及进行信息整合研究和方案制定的能力。电子政府可分为三大类:政府对公民(G2C)、政府对企业(G2B)和政府对政府(G2G)。政府电子服务一般指前两个范畴。

在一个有效的经济体系中,有效的电子商务和政府电子服务平台都是可采用的手段。在使用ICT系统时,政府服务的提供更为有效,因为信息系统比传统的传播、整理和分析大量信息的方法更为有效。这可以在降低政府成本的同时提供更高的服务标准和更大的透明度、问责制和公开性。与较为传统的交易形式相比,电子商务还有许多优势。例如,它可以促进更大的市场准入和市场覆盖面,它可以降低运营和交易成本,可以提高市场效率,创造以前不存在的新机会。

信任对这些在线服务的有效运作至关重要。政府电子服务和私人电子商务都依赖消费者和企业向它们提供敏感信息,而作为回报,消费者和企业相信,这些信息将以尊重其隐私的安全方式被使用和存储。在实践中,信任和信心意味着能够识别真实的电子商务和政府电子服务,并在不丢失或公平利用个人或敏感信息的前提下使用这些服务。个人或敏感信息的滥用或丢失会在经济和运营效果两方面对个人、组织和政府造成损害,如果他们不相信自己的信息和活动是保密并且安全的,人们和企业可能不太愿意使用在线服务。信任是这些服务运作的先决条件,因此,在使用互联网方面建立信任和信心对于实现信通技术的全部利益至关重要。表2.2提供了提高国家在这一领域的能力建设步骤。

表2.2 加强对互联网的信任和信心的步骤(D2.2)

能力建设步骤

任命人员和治理架构,负责监督政府电子服务的实施情况

对政府电子服务的信任和信心是这些服务的存在的一个明显的先决条件。电子政府策略文件应为一国电子政务的发展提供整体方向,但首先须有一名任务负责人(i)研究如何设计和推行该策略;(ii)管理实施过程。该项任务的负责人应是一个组织或机构,根据电子政务的整体策略,负责策划、推行、运作、评估政府的资讯和ICT服务,以及电子服务。这包括资源分配、系统开发、培训、服务提供,以及制定管理电子政务系统的实施和运作的规则、政策和条例。

制定包括政府电子服务在内的电子政务战略计划

然而,若没有在政府行政、管理和运作中广泛地推行和整合ICT,政府便无法提供电子服务。提供政府电子服务通常是广泛的电子政务策略的一个组成部分,该策略也包括发展ICT基础设施、专业知识、内部信息管理、政策合规性及安全等范畴。制定包括政府电子服务在内的电子政务策略,是发展这些电子服务的第一步。

该策略应概述整个政府电子政务的未来愿景,并为实现这一愿景制定路线图。它应界定电子政务的整体方向、各部门的整体处理需求、制定时间表,对可能分散的部门ICT系统实施统一的、安全的开发和整合。这个愿景和路线图应该是非技术性的,使每个政府部门的管理人员能够在不需要专业ICT知识的情况下,制定一个清晰的、综合的ICT策略。

推出并持续改进政府电子服务;在设计和运行时嵌入具备安全措施的应用程序,以增加公众对这些服务的信任

政府推行电子服务可分为四个方面:治理、基础建设、政策及扩展服务。第一个目标是治理,旨在确保对政府ICT系统的实施和管理进行充分监督。这一实施应包括ICT基础设施、政策和推广。为提供政府电子服务,政府应设立ICT系统,以支援电子平台、符合电子政务安全使用的法律架构和规例,以及与终端用户的互动,以鼓励和促使大家使用这些平台,并为系统改善提供意见。这些能力的范围,框架和交互将取决于特定环境下的资源和目标级别。

某些活动对电子政务策略的实施格外重要。这里并未提供完整列表,但在本节末尾会提供针对这些问题更深入讨论的额外参考材料。以下突出说明了若干重要内容和建议:

对政府电子政务系统准备情况进行评估

对市民对电子政府系统的接受程度进行评估

使用指标和索引来帮助检查准备、设定目标和跟踪进度的情况

使用完善的ICT系统开发实践

参与开发技术与管理ICT专业知识,确保ICT系统的有效实施

参与协调整个周期中的所有利益相关方,包括终端用户和员工

目标是建立一个学习型组织,让员工能够分享从经验中获得的知识

在推行电子政务策略的过程中,应把重点放在安全上

针对这最后一点,电子政务的安全防护水平是影响市民对政府电子服务的信心和接受度的关键因素。如上所述,利用ICT提供政府服务有许多好处,但也会带来额外的风险,例如更容易受到网络攻击、欺诈和信息泄漏。实施网络安全政策,保护个人和敏感信息的隐私安全,包括数字身份、数字签名、电子支付方式和数据保护法。此外,应采取缓解措施,预防、检测和抑制不必要的网络活动,限制网络攻击造成的损害,能够从网络攻击中恢复,提高全体员工对网络攻击风险及对网络安全重要性的认识。所有策略性规划文件及电子政务系统的推行,都要考虑网络安全的相关措施。

定期发表有关政府电子服务活动的报告,包括披露可能出现的违规情况,以增加公众的信任

不同的群体对政府电子服务的接受程度可能因教育程度、ICT技术水平、ICT基建设施程度及文化偏好等因素而有所不同。定期提供有关政府电子服务的报告,可提高市民对现有服务种类及使用方法的认识。这些内容还可以为数据保护和网络安全威胁防范提供保证,而且可以以电子和纸质形式出版。

除此之外,还可以发布临时的针对网络事件安全漏洞的信息。公开发布网络安全事件信息目的包括:它允许可能受到影响的个体采取充分预防措施,协助其他可能受到类似的攻击组织来改善他们的防御,它鼓励数据保护工作的国际互惠合作,它鼓励一种透明的文化,而这种文化又催生更深程次的信任关系。然而,公共和私人机构都存在一些严重的不利因素,阻碍了网络安全漏洞信息的公布。特别是,组织可能面临直接的财务损失、声誉损害和信任危机。在本报告第四维度和要素5.7的小节中,更详细地讨论了在披露漏洞和安全违规方面的良好实践和能力构建。

收集员工和用户对电子服务的反馈,并对在线内容进行相应的审核管理

重要的是让各级政府职员参与到电子政务策略的制订和推行中,因为以参与为导向的策略鼓励知识共享和持续的跨部门沟通。(例如,一线员工通常与客户有密切的接触,因此对客户的需求和他们自己的用户界面的偏好拥有很有价值的观点。)员工应定期参与评估,并对现有的电子服务平台和管理方法提出改善建议。这应是重复性过程的一部分,在更广泛的评估和改进过程中进行定期咨询。

同样,吸引终端用户(即公民和企业)十分重要,以便能更好地了解和解决他们在功能性、可访问性、安全性和透明度等方面的需求和偏好。提供电子服务的最终目的是改善终端用户与政府交互时的体验。与用户接触有助于理清问题和改进问题的经验方法,包括:

(i)所提供的信息的类别;

(ii)所提供的信息量;

(iii)所提供资料的格式(如文字、图像、影像、应用、网站等);

(iv)与政府通信的平台;

(v)不同电子服务间的整合完整性与一致性级别。

当然,其中的一些信息对政府来说已经很明显了,但是与终端用户的通信可以为划分优先级提供更可靠的信息,并将资源分配给用户最关心的领域。

通过发展基础设施促进电子商务的发展

电子商务有三个先决条件:互联网接入、电子支付系统和运输系统(包括物理和虚拟)。每个领域都有一系列的选择,这些选择反过来会影响电子商务的范围。例如,互联网接入通常由宽带和移动3G或4G技术提供。某些形式的电子商务可以有效地利用移动技术。还有很多不同的支付系统,包括基于帐户的支付系统(creditcard、借几卡、PayPal等)、电子货币系统(例如数字加密货币)或其他依赖离线方法的系统(信用购买系统、银行付款单、货到付款等)。特别是,对线下支付方式的依赖限制了电子商务的潜在增长力。最后,商品和服务可以通过多种方式交付,包括数字交付(电子书、音乐、计算机软件等)、物理交付(邮资或快递网络)、买方提货(通常在当地商店)和买方服务使用(如机场航班、租车服务等)。缓慢的网速度可能会限制数字传输(如数据密集型电视或电影流媒体)的可能性,而糟糕的物流基础建设仍然是全球多数经济体电子商务所面临的一个关键问题。

在这些领域中,可以采取多种不同的措施来刺激电子商务的发展。例如,通过提高对基础设施的投入以改善互联网的速度、分布和接入;通过发展国有化的基础设施来改善运输网络。作为补充,私营机构可以发展,例如私营快递服务和联合运输网络,以及提供便捷的电子支付平台。

对电子商务服务的提供进行管理,并鼓励私营机构在设计和运行这些服务时考虑安全因素

法律框架并不会被作为电子商务的先决条件,但它被作为可持续增长的必要条件。需要一个完整的法律框架,以确保对安全电子交易的信任和信心,这将有益于商务和消费者对其的接受程度。有关ICT的文档表明,其对生产率具有明显的积极影响,而且是国际贸易增长的动力。然而,增长的条件之一是,在技能和组织调整方面的额外投资。由于数字技术,电子商务服务能够跨越地理距离或政策体制等阻碍。一项对韩国以线上平台为基础的公司进行的商品和服务交易调查发现,电子商务降低了交易成本,并扩大了在线公司的市场。

“法律框架”一词在这里是广义的,包括一系列规范行为的措施,如公共法、私法协定、标准、行为准则和非强制的自律措施。在电子商务中,通常应用于四个主要领域:电子交易、消费者保护、隐私和数据保护以及网络犯罪。

电子交易法主要将电子支付和传统支付方式同等看待(功能对等),确保交易不局限于特定的技术(技术中立),并确保跨境的兼容性。由于法官和执法人员对电子交易缺少经验和理解,往往在发展中国家并未实施电子交易法律法规。这可能会产生不确定性和不安全感,由于缺乏对系统的信任,这将阻碍电子商务平台的推广。关于发展一个国家的网络安全能力和了解执法机构和起诉服务的方法和途径的进一步信息可参考本报告第四维度部分。

消费者保护法旨在保护消费者免受欺诈、误导和不公平的在线商业行为的侵害,并使消费者在成为此类活动的受害者时能够采取某些行动。消费者保护法不仅鼓励消费者使用电商服务,而且明确了企业的法律责任,帮助企业建立自我监管机制。同样,数据保护法也为消费者提供了保障,为企业提供了清晰的思路,鼓励并要求企业采用国际最佳实践和安全措施,以降低网络安全风险。最后,网络犯罪是一个广泛的领域,包括网络欺诈,销售如汽车、免费试用、门票等假冒产品,以及入侵银行账户等行为。消费者保护法涵盖了其中的一些内容,但仍需要额外的法规,以使执法机构和法官能够有效地追查和起诉网络犯罪活动的发起者。本报告第四维度对网络犯罪以及应对网络犯罪的工具和方法进行了更详细的讨论。

定期评估市民对网上服务(包括电子政务及电子商贸服务)的信任和了解程度

信任是企业和消费者克服障碍和成功运用电子政府和电子商贸的增长潜力的指导性原则。在商业、学术、社会和政府利益相关者间建立信任基础至关重要,这有助于减轻一系列关键的隐私风险和安全风险。

定期评估市民对网上服务及互联网的信任程度,有助于了解社会各层用户使用政府电子服务的发展趋势。政府研究部门和学术研究机构是负责这方面调研或相关人员参与的讨论工作的合适人选。

设计信息项目及信心保证计划,以提高市民对使用网上服务的信心;评估这些方案的效果,并据此审查其设计和相应资源分配

信息和信心保证计划可以考虑建立一种安全意识文化,特别是提高普通用户的意识。同样,行业参与者也可能通过公私伙伴关系发起培训计划,以提高公众对在线产品和服务的信任和信心。关于如何设计和使用这些计划和建议的进一步资料参见本报告第三维度。

信心保证计划也可能用于消费者保证,标准化的协议同样适用于在线产品。这些措施可采取以下讨论的“网络必需品计划”等措施。

促进安全的互联网使用,例如将隐私保护作为默认设置

政府决策者应竟可能让一般公民更有效地管理线上个人资料,同时能更有效地识别上网风险,例如不安全或虚假的电子交易平台。这可以通过教育和提高认识或是立法和管理相结合来实现。关于这两类计划的详细信息分别在本报告的第三维度和第四维度中介绍。

此外,可以通过立法和监管,鼓励开发加强隐私访问的线上服务方法,例如以安全方式验证身份、数字证书系统和默认的隐私设置。有关这些的进一步详情见第D2.3节“用户对网上个人信息保护的认识”。

其他参考资料

觉得有用请自取。介于受众问题,后续考虑从第三维度开始在专栏中更新,不再综合区发布。

*本文作者:宇宸默安,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 8 条评论

取消
Loading...
宇宸默安

看头像就知道,超凶的。╮(╯▽╰)╭

31 文章数 74 评论数 0 关注者

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php