CNNIC最新调查表明,今年上半年,遇到病毒或者木马袭击的网民数增加了735万,达到2.17亿,有过账号或密码被盗经历的网民数达到1.21亿,半年增加2107万,有8%的网民在网上遇到过消费欺诈。分析指出,商务应用的迅速发展滋生了网上交易中诈骗、犯罪等问题。作为互联网企业来说,如何在快速发展的同时,营造健康的互联网信息安全环境,这成了全社会关注的焦点问题。
净化网络环境是一项长期工作,网上违法和不良信息传播随时可能反弹。面对这种形势,不能总依靠突击式的集中治理去遏制,必须建立长效机制。互联网信息安全环境的营造不仅仅是行业主管部门的职责,互联网企业作为网络空间的主要构成要素,加强自身信息安全管理,落实信息安全管理责任,也是建立互联网长效治理机制以及净化网络环境的有效途径。
企业是信息安全的关键点
互联网企业作为网络空间的节点,对于本网站发布传播的信息内容负有安全管理责任。这里定义的信息安全并不是通常意义上的防病毒、防木马、防网络攻击等网络安全的概念,而是指信息内容安全,即在网络媒体属性不断强化的趋势下,互联网上信息内容绿色健康,符合网络道德,符合社会公序良俗,为整个网络空间营造积极、诚信、健康的信息环境,推动互联网可持续发展。特别是随着互联网对经济社会的影响日益加大,网络已经成为日常生产和生活的新平台。这个平台的稳健与否和构成平台的每一个互联网企业行为息息相关。互联网企业在为网络用户提供便捷服务的同时,更要树立起信息安全责任意识,自觉抵制网上的虚假和不良信息,为整个互联网的持续发展营造诚信、绿色的环境。
互联网企业作为网络空间的重要节点,其行为影响不仅限于企业内部,而将会传播到全网范围内。在经济学的概念里,这种对市场上其他主体带来影响,但又不需负担成本或从中获取收益的情况称为“外部性”。由于外部性的存在,整个市场效率水平达不到最优。具体而言,存在“正外部性”(产生积极影响)的情况下,由于实施影响的企业并没有从中获得相应补偿,因此从整个社会看,这种正外部性活动不足,总体水平需进一步提高;存在“负外部性”(产生负面影响)的情况下,由于实施影响的企业并没有承担相应成本,因此从整个社会看,这种负面活动水平太高,需要进一步抑制。就互联网企业而言,作为网络空间上的信息节点,其行为外部性特点更加突出。如果网站放任信息发布流出,而不需要承担由此引发的线上线下后果,其结果必然是网上信息良莠不齐,加剧网上信任危机,使得网络空间难以维持。这就要求企业履行在信息安全管理责任,自觉参与网络治理,将外部性内部化。
从治理手段的可行性方面看,互联网企业强化信息安全管理责任是净化网络环境的有效途径。从网络空间的构成看,互联网环境的治理既可以从信息网络上着手,也可以在信息节点(互联网企业)层面上采取措施。与通过改造信息网络强化对互联网技术监管相比,互联网企业加强自我管理,突出自身责任管理有以下优势:一方面,网络是信息传输的通道,随着网络数据流量的不断翻番,信息网络传输能力也必须随着增长,这就要求与之相配套的技术措施要不断升级,导致压力不断加大;另一方面,互联网企业作为信息源,本身就是推动新技术新应用不断丰富的主体,对于新技术新应用的功能和影响最为了解,最能提出有效应对方案。这要求互联网企业在追求自身盈利的同时,必须对其业务可能产生的外部影响高度重视,并从企业制度建设和技术管理手段措施予以配套,主动防止违法不良信息流出。#p#
从互联网的发展趋势看,互联网企业落实信息安全管理责任是推动形成健康商业模式的重要保障。与我国巨大的互联网市场潜力相比,我国互联网企业商业模式还远未成熟。这固然有网络技术、网络架构和我国网民消费特点方面的原因,但也与我国网上诚信缺失、虚假信息泛滥、“娱乐至死”备受追捧等现象密切相关。面对上述问题,互联网企业应当严格约束自身行为,积极履行管理责任,避免负面影响在网上扩散传播,通过塑造互联网企业的良好社会形象,以点带面,共同营造互联网发展的诚信环境。
建立机制化的保障手段
面对全社会进一步加强互联网环境治理的迫切要求,互联网企业作为网络空间的重要信息节点,不仅要从观念上强化信息安全管理的重要性,还要在日常运营中建立配套的信息安全管理体系,确保将信息安全管理责任得以落实。
建立面向客户规模(网络流量)的信息安全管理责任体系。与工业企业或传统服务企业相比,互联网企业的一个显著特点是企业网上影响与其注册资本规模等实体因素并无直接关系。几个人组成小作坊式的互联网网站完全有可能吸引百万甚至千万的点击量,形成巨大的网络流量,网络影响惊人。由于网络空间的媒体性以及与现实生活日益紧密的融合度,这就要求互联网企业一旦拥有了一定规模的用户群体,就必须建立相应的信息安全管理责任体系,具体包括信息安全管理团队、信息安全管理制度、技术保障手段以及相应的资金投入等,而不是要等企业自身一定要发展成业内大型公司才考虑相关问题,否则,面对社会各界压力和未来互联网发展趋势,那些只顾发展不顾安全的互联网企业迟早会被淘汰出局。
建立以信息安全评估制度为核心的业务安全运营管理体系。对于互联网企业而言,应对本企业提供的新业务可能带来的信息安全风险最为有效的手段是提前做好安全评估。针对新业务的内容和特点,例如:是娱乐类还是媒体类、是自我运营还是提供平台服务等,提出信息安全评估具体方案,明确评估主体、评估对象和评估流程。根据互联网业务非线性增长的规律,应当区分不同发展阶段(可按业务用户规模进行划分),持续对业务信息安全状况开展评估,实时掌握业务动态,确保业务发展可管可控。
建设信息安全风险发现和处置的技术保障手段。互联网上时时刻刻都流动着海量的信息,一个大型网站一天的公开信息更新条数也在十亿级别。在这种情况下,仅凭借人工力量去审核网站信息内容,难以应对海量信息带来的压力。这就要求互联网企业必须结合自身业务特点,研发先进的技术保障手段,利用技术手段自动监测自身网站资源和网站信息的实时状态,从而能够做到对信息安全问题的早发现和早处置。
建立企业间的信息分享机制。由于网络空间的开放性,各类信息可以在互联网上自有流动,特别是随着各类跨平台、跨终端、跨网络新技术新应用的不断涌现,更是加快了信息在不同网站间的扩散速度。一个企业面对的信息安全问题,也可能是许多互联网企业共同碰到的问题。这就要求互联网企业间应当建立信息共享和交流机制,从而实现对信息安全问题做到一点发现、全网应对。