編者按:加拿大是世界上最早建成國家光纖網的國家,其電子政務建設多年處於全球領先地位。互聯網的高度普及和服務的飛速發展使得加拿大擁有世界上高水平的互聯網基礎設施。互聯網所引發的安全問題也使得加拿大成為世界上最早倡導保護互聯網安全的國家之一。加拿大不但在國家戰略和法律層面強調網絡安全保護,更倡導政府部門之間的合作和互聯網行業的自律,其在互聯網治理方面呈現出預防為主綜合治理的特點。
一、加強網絡安全建設的理念
加拿大非常注重網絡安全保衛能力的建設。在2004年,加拿大就制定了自己的國家安全政策 ,為加拿大應對目前和未來的威脅勾畫了戰略框架。在這個安全政策的指導下,加拿大成立了綜合威脅評估中心(ITAC)。之后,加拿大又出台了網絡安全戰略(2010),它是加拿大政府與各省、地區和私營部門實施網絡安全策略來保護加拿大數字基礎設施的承諾,反映了加拿大在網絡安全、隱私等方面價值觀。該戰略的目的是通過不斷改進法律政策、加強公私合作和國際合作來改善對不斷演進的網絡安全威脅的偵察和反應能力。根據該戰略的預算,未來五年加拿大將分配1.08億加元來部署網絡威脅減輕計劃。其中的350萬將用來建設一座全天候政府信息保護中心來抵御各種類型的網絡攻擊。同時,加拿大還積極推動對外合作。2012年,加拿大和美國宣布啟動公共安全和國土安全部之間的網絡安全行動計劃(此計劃是 “周邊安全和經濟競爭力超越邊境行動計劃”的關鍵性步驟)。並且,兩國都將每年十月定為個人免受網絡安全威脅月。加拿大已經開始部署網絡安全的各個環節,這充分說明了互聯網已經成為其“最大的國家資產”。
二、完善的網絡安全法律監管體系
領先的電子政務建設
政府在產業發展中起著指引和協調的作用,政府掌握著大量的個人和企業數據,電子政務的發展是保護個人隱私信息、商業信息以及政府自身的敏感信息的重要途徑。加拿大的目標是建設“服務型”社會,其在電子政務建設中處於全球領先地位。在1999 年3 月, 加拿大就通過了《統一電子商務法》,規定政府可以根據情況, 選擇使用電子文件。這個規定提升了政府辦公效率,促進了加拿大電子政務發展。1983年生效的《信息訪問法案》為政府機構控制下的信息設定了訪問權。該法體現了三個原則:政府信息應向公眾提供﹔有權查閱的例外應有具體的限制﹔政府信息公開的決定應由獨立於政府的他方審查。這樣,對於政府控制的個人信息在訪問權限和審查程序上都有了都做了法律上有力的保障。
為了保証安全的政府網絡系統,加拿大還設立了首席信息官負責電子政務的建設,倡導政府網絡免受惡意用戶的破壞性的攻擊。從2000年開始,加拿大政府著手實施了“政府在線”等電子政務工程,以便讓民眾更加便利和快捷地享受政府服務。
著重保護關鍵基礎設施
由於國家關鍵基礎設施部門之間是高度連接、相互依賴的,其更容易成為網絡攻擊的目標。為了保護關鍵基礎設施的安全,加拿大制定了《關鍵基礎設施國家戰略和行動計劃》。該戰略的目標是建設一個更安全、穩定和彈性的基礎設施環境。
根據目前關鍵基礎設施信息系統的狀況,加拿大推出了《應急管理法案》。其目的是促進各部門對威脅的反應能力,並強化各部門協作和信息共享。該法案是加拿大政府加強關鍵基礎設施應急管理中的重要一步。另外,加拿大還通過立法規定了相關職能部門在應急管理中的職權。《公共安全和應急防范部法案》明確了加拿大公共安全部的權力、責任和職能。該法案不但要求公共安全部門要積極履行安全保衛職能,還要求共享應急信息。除此之外,加拿大政府還發布了《應急管理法案下的信息共享和保護》和《識別和標注加拿大政府保密的關鍵基礎設施共享信息》,這兩個指南是《應急管理法》中要求的信息共享的具體實施細則。
加拿大認為對於關鍵基礎設施的保護最主要的責任在於所有者和使用者。為了規避風險,加拿大還定期對關鍵部門的網絡風險進行評估。2012年3月加拿大發布了針對其安全情報服務的報告《加拿大網絡安全對關鍵基礎設施威脅的評估》,評價了加拿大四個主要部門(能源設施、交通、金融、信息通信技術)中關鍵基礎設施所面臨的網絡安全威脅環境。
打擊網絡犯罪保護個人信息安全
加拿大高水平的網絡普及度帶來了高頻度的網絡犯罪,因此加拿大很早就開始打擊網絡犯罪保護個人信息安全的實踐。1985年加拿大就通過了刑法修正案,將濫用計算機獲取政府信息的行為規定為犯罪,這樣嚴格的規定就防止了政府信息和個人信息被犯罪分子非法利用。加拿大《隱私法》的目的是為了保障個人信息安全。它適用於聯邦政府收集、保留、使用和披露個人信息,從而保障公民(包括加拿大非永久居民)的個人信息權力。2000年加拿大制定了《個人信息保護和電子文檔法》對於個人數據收集者提出了幾項要求,如:報告收集到的個人數據、向審查方提供報告、在安全的環境中保護數據以及隻允許授權訪問等。“規范信息操作准則”是聯邦政府關於電子流程中涉及個人隱私信息的規定,其包含的10項准則非常詳細地規范了網絡公司在使用個人信息時合法性和充分保護個人信息的原則。除此之外,加拿大的法律還區分了“電子簽名”和“安全電子簽名”。《安全的數字簽名條例》認為安全可靠的電子簽名是一種以特殊的方式創建的數字簽名和認証。《加拿大証據法》規定了電子文件的完整性和有效性以及附加電子簽名和認証機構的証據效力。對於電子簽名相關術語的定義有效打擊了侵犯個人隱私信息的未經授權的訪問行為,明確了電子証據在訴訟中的效力問題。
加拿大是垃圾郵件來源最主要國家之一,相對於其他發達國家,加拿大的反垃圾郵件立法起步比較晚。加拿大於2013年初推出的《反垃圾郵件》新法案,將對違法企業和個人進行多項處罰。新的立法對於個人信息起到了加強保護的作用,但是由於立法過於嚴厲而遭到了各方的質疑。
三、網絡安全風險應對協調機制
加拿大的網絡監管體系體現了其戰略中要求的合作原則,政府機構和其他各利益相關方在網絡威脅的預防和打擊上各司其職。
專門的互聯網安全事件應對機構
加拿大通訊安全院和加拿大網絡事故響應中心是專門的網絡事件處理機構。加拿大通訊安全院是加拿大政府的國家密碼研究機構。它負責跟蹤國外信號情報,保護加拿大政府電子信息和通信網絡。加拿大網絡事故響應中心是專門預防、減少網絡威脅事件的機構。中心作為加拿大非政府系統的計算機安全事件響應工作組,是加拿大的國家網絡協調中心,其職責是預防、緩解安全事故,並在網絡安全事件后及時響應並恢復網絡。
打擊網絡犯罪的專門機構
加拿大皇家騎警技術犯罪調查部是專門的網絡犯罪調查機構。該部門既是計算機取証、調查和培訓的政策中心,也是網絡犯罪的國家聯系中心。皇家騎警的計算機犯罪預防中心、以及其他有關國家安全領域的聯邦政府部門負責預防和打擊計算機犯罪工作中。
安全情報負責部門
加拿大安全情報服務(CSIS)局是最重要的情報部門,它主要負責收集和分配情報信息給相應的政策制定者。安全情報服務部的工作目的是調查和報告加拿大的安全威脅。自“9.11”事件之后,不斷增長的國內外恐怖威脅催生了加拿大的專門性反恐部門:綜合威脅評估中心。該中心召集來自加拿大安全情報方面的各路人員。他們的職責也包括是為政府提供網絡安全情報便其開展反恐行動。
除了政府機構,加拿大的網絡威脅的預防和處理還強調行業的自律作用,通過設立行業規范,培養市場自治能力,增強政府監管的效率。
四、加拿大網絡安全監管的特點
加拿大的網絡安全理念非常先進,它非常重視政府的安全服務能力的提升,堅持以人為本的電子政務戰略,強調個人信息的最有效保護。做到了全面有效預防網絡安全事件,及時處理損害后果的高效安全治理模式。
加拿大認為對於網絡威脅要採取綜各治理手段。由於部門、地域、管轄權之間的相互交錯,對於網絡威脅的應對、損害結果的補救、需要私有和公有部門的合作和各利益相關方的合作。
(來源:中國信息安全)
| 相關專題 |
| · 聚焦中國網絡空間戰略 |
