编者按:加拿大是世界上最早建成国家光纤网的国家,其电子政务建设多年处于全球领先地位。互联网的高度普及和服务的飞速发展使得加拿大拥有世界上高水平的互联网基础设施。互联网所引发的安全问题也使得加拿大成为世界上最早倡导保护互联网安全的国家之一。加拿大不但在国家战略和法律层面强调网络安全保护,更倡导政府部门之间的合作和互联网行业的自律,其在互联网治理方面呈现出预防为主综合治理的特点。
一、加强网络安全建设的理念
加拿大非常注重网络安全保卫能力的建设。在2004年,加拿大就制定了自己的国家安全政策 ,为加拿大应对目前和未来的威胁勾画了战略框架。在这个安全政策的指导下,加拿大成立了综合威胁评估中心(ITAC)。之后,加拿大又出台了网络安全战略(2010),它是加拿大政府与各省、地区和私营部门实施网络安全策略来保护加拿大数字基础设施的承诺,反映了加拿大在网络安全、隐私等方面价值观。该战略的目的是通过不断改进法律政策、加强公私合作和国际合作来改善对不断演进的网络安全威胁的侦察和反应能力。根据该战略的预算,未来五年加拿大将分配1.08亿加元来部署网络威胁减轻计划。其中的350万将用来建设一座全天候政府信息保护中心来抵御各种类型的网络攻击。同时,加拿大还积极推动对外合作。2012年,加拿大和美国宣布启动公共安全和国土安全部之间的网络安全行动计划(此计划是 “周边安全和经济竞争力超越边境行动计划”的关键性步骤)。并且,两国都将每年十月定为个人免受网络安全威胁月。加拿大已经开始部署网络安全的各个环节,这充分说明了互联网已经成为其“最大的国家资产”。
二、完善的网络安全法律监管体系
领先的电子政务建设
政府在产业发展中起着指引和协调的作用,政府掌握着大量的个人和企业数据,电子政务的发展是保护个人隐私信息、商业信息以及政府自身的敏感信息的重要途径。加拿大的目标是建设“服务型”社会,其在电子政务建设中处于全球领先地位。在1999 年3 月, 加拿大就通过了《统一电子商务法》,规定政府可以根据情况, 选择使用电子文件。这个规定提升了政府办公效率,促进了加拿大电子政务发展。1983年生效的《信息访问法案》为政府机构控制下的信息设定了访问权。该法体现了三个原则:政府信息应向公众提供;有权查阅的例外应有具体的限制;政府信息公开的决定应由独立于政府的他方审查。这样,对于政府控制的个人信息在访问权限和审查程序上都有了都做了法律上有力的保障。
为了保证安全的政府网络系统,加拿大还设立了首席信息官负责电子政务的建设,倡导政府网络免受恶意用户的破坏性的攻击。从2000年开始,加拿大政府着手实施了“政府在线”等电子政务工程,以便让民众更加便利和快捷地享受政府服务。
着重保护关键基础设施
由于国家关键基础设施部门之间是高度连接、相互依赖的,其更容易成为网络攻击的目标。为了保护关键基础设施的安全,加拿大制定了《关键基础设施国家战略和行动计划》。该战略的目标是建设一个更安全、稳定和弹性的基础设施环境。
根据目前关键基础设施信息系统的状况,加拿大推出了《应急管理法案》。其目的是促进各部门对威胁的反应能力,并强化各部门协作和信息共享。该法案是加拿大政府加强关键基础设施应急管理中的重要一步。另外,加拿大还通过立法规定了相关职能部门在应急管理中的职权。《公共安全和应急防范部法案》明确了加拿大公共安全部的权力、责任和职能。该法案不但要求公共安全部门要积极履行安全保卫职能,还要求共享应急信息。除此之外,加拿大政府还发布了《应急管理法案下的信息共享和保护》和《识别和标注加拿大政府保密的关键基础设施共享信息》,这两个指南是《应急管理法》中要求的信息共享的具体实施细则。
加拿大认为对于关键基础设施的保护最主要的责任在于所有者和使用者。为了规避风险,加拿大还定期对关键部门的网络风险进行评估。2012年3月加拿大发布了针对其安全情报服务的报告《加拿大网络安全对关键基础设施威胁的评估》,评价了加拿大四个主要部门(能源设施、交通、金融、信息通信技术)中关键基础设施所面临的网络安全威胁环境。
打击网络犯罪保护个人信息安全
加拿大高水平的网络普及度带来了高频度的网络犯罪,因此加拿大很早就开始打击网络犯罪保护个人信息安全的实践。1985年加拿大就通过了刑法修正案,将滥用计算机获取政府信息的行为规定为犯罪,这样严格的规定就防止了政府信息和个人信息被犯罪分子非法利用。加拿大《隐私法》的目的是为了保障个人信息安全。它适用于联邦政府收集、保留、使用和披露个人信息,从而保障公民(包括加拿大非永久居民)的个人信息权力。2000年加拿大制定了《个人信息保护和电子文档法》对于个人数据收集者提出了几项要求,如:报告收集到的个人数据、向审查方提供报告、在安全的环境中保护数据以及只允许授权访问等。“规范信息操作准则”是联邦政府关于电子流程中涉及个人隐私信息的规定,其包含的10项准则非常详细地规范了网络公司在使用个人信息时合法性和充分保护个人信息的原则。除此之外,加拿大的法律还区分了“电子签名”和“安全电子签名”。《安全的数字签名条例》认为安全可靠的电子签名是一种以特殊的方式创建的数字签名和认证。《加拿大证据法》规定了电子文件的完整性和有效性以及附加电子签名和认证机构的证据效力。对于电子签名相关术语的定义有效打击了侵犯个人隐私信息的未经授权的访问行为,明确了电子证据在诉讼中的效力问题。
加拿大是垃圾邮件来源最主要国家之一,相对于其他发达国家,加拿大的反垃圾邮件立法起步比较晚。加拿大于2013年初推出的《反垃圾邮件》新法案,将对违法企业和个人进行多项处罚。新的立法对于个人信息起到了加强保护的作用,但是由于立法过于严厉而遭到了各方的质疑。
三、网络安全风险应对协调机制
加拿大的网络监管体系体现了其战略中要求的合作原则,政府机构和其他各利益相关方在网络威胁的预防和打击上各司其职。
专门的互联网安全事件应对机构
加拿大通讯安全院和加拿大网络事故响应中心是专门的网络事件处理机构。加拿大通讯安全院是加拿大政府的国家密码研究机构。它负责跟踪国外信号情报,保护加拿大政府电子信息和通信网络。加拿大网络事故响应中心是专门预防、减少网络威胁事件的机构。中心作为加拿大非政府系统的计算机安全事件响应工作组,是加拿大的国家网络协调中心,其职责是预防、缓解安全事故,并在网络安全事件后及时响应并恢复网络。
打击网络犯罪的专门机构
加拿大皇家骑警技术犯罪调查部是专门的网络犯罪调查机构。该部门既是计算机取证、调查和培训的政策中心,也是网络犯罪的国家联系中心。皇家骑警的计算机犯罪预防中心、以及其他有关国家安全领域的联邦政府部门负责预防和打击计算机犯罪工作中。
安全情报负责部门
加拿大安全情报服务(CSIS)局是最重要的情报部门,它主要负责收集和分配情报信息给相应的政策制定者。安全情报服务部的工作目的是调查和报告加拿大的安全威胁。自“9.11”事件之后,不断增长的国内外恐怖威胁催生了加拿大的专门性反恐部门:综合威胁评估中心。该中心召集来自加拿大安全情报方面的各路人员。他们的职责也包括是为政府提供网络安全情报便其开展反恐行动。
除了政府机构,加拿大的网络威胁的预防和处理还强调行业的自律作用,通过设立行业规范,培养市场自治能力,增强政府监管的效率。
四、加拿大网络安全监管的特点
加拿大的网络安全理念非常先进,它非常重视政府的安全服务能力的提升,坚持以人为本的电子政务战略,强调个人信息的最有效保护。做到了全面有效预防网络安全事件,及时处理损害后果的高效安全治理模式。
加拿大认为对于网络威胁要采取综各治理手段。由于部门、地域、管辖权之间的相互交错,对于网络威胁的应对、损害结果的补救、需要私有和公有部门的合作和各利益相关方的合作。
(来源:中国信息安全)
| 相关专题 |
| · 聚焦中国网络空间战略 |
