标签归档:网络安全

ENISA《欧盟的网络安全技能发展情况》报告:执行摘要

翻译:DeepL

来源:https://www.enisa.europa.eu/publications/the-status-of-cyber-security-education-in-the-european-union

执行摘要

网络安全技能短缺(The cybersecurity skills shortage)是指劳动力市场上缺乏合格的网络安全专业人员,这对经济发展和国家安全都是一个问题,特别是在全球经济快速数字化的情况下。它对构成现代社会核心的数据、信息技术系统和网络构成了高度的威胁。这种短缺可以进一步分析为两个同时存在的问题:一个是量的问题,一个是质的问题。量性问题是指网络安全专业人才供不应求,不能满足就业市场的要求,而质性问题则是指专业技能不足以满足市场的需求。本报告主要探讨了网络安全教育体系的现状,以及无法吸引更多的学生学习网络安全专业,无法培养出具有正确的网络安全知识和技能的毕业生。报告认为,通过重新设计教育和培训途径,确定学生毕业后和进入劳动力市场后应具备的知识和技能,可以改善目前网络安全教育中的许多问题。本分析介绍了澳大利亚、法国、英国和美国四个国家——如何利用认证来重新思考网络安全学位。这些认证计划的建立有不同的目的。其主要目的包括:让更多的毕业生拥有可随时被产业界部署的技能,帮助雇主了解学生在学术生涯中培养出来的技能和知识,以及帮助人们选择学位选项。学位认证的最终影响是通过推广网络安全教育、研究和宣传,减少网络安全教育的影响。目前,这四个国家的国家主管部门已经对387个网络安全学位进行了认证。虽然流程和标准不同,但认证有一些共同点:

  • 有具体的重点和足够的学分专门用于网络安全课程和活动。
  • 结构化的课程,可能包括实践/培训部分或特定类型的考试和活动,如网络安全竞赛;
  • 高素质的师资队伍,其中可能包括来自产业界的讲师;
  • 更广泛的多学科/跨学科重点;
  • 外部外联活动以及与国家网络安全生态系统其他部分的合作;
  • 关于学位教育和就业结果的信息。

在此背景下,欧洲网络安全协会创建了网络安全高等教育数据库,这是一份欧洲经济区国家和瑞士的网络安全学位互动清单。该数据库旨在成为所有欧洲公民通过高等教育学位提升网络安全知识和技能的主要参考点。通过检查数据库,公民应该能够在网络安全教育和培训方面做出更多的决定,选择最适合自己需要的学位。在确定信息工作者和雇主可能认为最有用的是什么的时候,数据库从科学文献(本报告第3节)和国家主管部门在评定学位时使用的标准(第4节)两方面进行了大量的借鉴。本报告提出了三个主要考虑因素。

  • 网络安全学位认证(如第4节所示)可有助于制定全面的网络安全劳动力发展战略。这可能是重要的第一步,主要是因为它明确了教育系统应该灌输哪些知识和技能,从而明确了学生毕业后在组织中申请工作时,雇主可以期待什么。未来的研究对于确定认证对学生和雇主的主要好处,以及认证是否能有效地提供更多的技能型劳动力是至关重要的。
  • 然而,确定正确的知识和技能意味着什么只是一个更广泛的问题的一部分,其他几个因素使这个问题变得更加复杂。尽管认证可能是朝着正确的方向迈出了一步,但不能认为它是解决人才短缺问题的唯一办法。网络安全认证既是一个质的问题,也是一个量的问题,应该相应地解决这个问题。通过认证学位来提高网络安全专业毕业生的质量,当然可以让潜在的求职者更有就业能力,但如果专业人才的管道不够充裕,无法保证职位空缺,那是不够的。未来的研究应该确定哪些政策能够激励看起来很大一部分学生进入更有利于网络安全职业的学术和学习途径。
  • 最后,尽管本报告的重点在于此,但政策应超越仅针对国家教育和培训系统的举措。如果能将处理劳动力市场需求方面产生的问题的措施纳入其中,政策将大有裨益。目前,有大量证据表明,劳动力市场需求方的问题,如雇主不愿意对网络安全人力资本进行投资,以及高层次的入职要求等,都对网络安全技能短缺产生了影响。正因为如此,如果能找到缓解从教育系统向劳动力市场过渡的解决方案,从而鼓励雇主成为发展国家网络安全人才队伍的系统参与者,将特别有希望。

鉴于这些考虑,本报告建议进一步调查以下内容。

  • 网络安全学位认证对网络安全技能短缺的影响。对已经建立的国家认证的实施情况和结果进行严格和系统的分析,可以为其他国家可能的最佳实践提供启示。
  • 采用和推广ENISA的网络安全高等教育数据库。只有当数据库包括欧盟大多数网络安全学位时,该数据库才会成为公民和雇主的有用工具。如果能做到这一点,它还将有助于进一步分析欧盟网络安全教育的变化状况。
  • 欧盟网络安全技能短缺的性质和特点。本报告汇总了现有的数据,对欧盟的网络安全技能短缺有了更深入的了解,但同时也指出了缺乏细化的基本信息。由于在设计缓解短缺的政策之前,应该先对其进行充分的了解,因此在知识上仍有太多的空白需要填补。
  • 政策干预是最有效的是增加专业人才的渠道。要确保从量和质两个方面解决人才短缺问题,缓解战略中应包括确保有效增加专业人才梯队的措施。已经制定的一些政策,可以提高人们对网络安全职业的兴趣,但还需要更多地了解这些方案在多大程度上取得了成功,以及是否可以扩大这些方案的规模,以满足日益增长的劳动力市场需求。

网络安全高等教育数据库:https://www.enisa.europa.eu/topics/cybersecurity-education/education-map

网络安全等级保护行政诉讼第一案(疑似):徐望仁诉耒阳市公安局公安行政处罚案

  • 案件名称:徐望仁诉耒阳市公安局公安行政处罚案
  • 审理法院:衡阳铁路运输法院
  • 案号:(2019)湘8602行初118号
  • 裁判日期:2019.09.26
  • 原告:徐望仁
  • 被告:耒阳市公安局
  • 被诉行政处罚:警告
  • 相关法条:《中华人民共和国网络安全法》第二十一条第三项
  • 裁判结果:维持

直播视频:http://tingshen.court.gov.cn/live/8105887(只能听到原告的声音,两被告收音不佳)。根据仅能听清的原告的陈述,原告关注重点并不在于是否履行网络等级保护的义务,而在于两被告对原告打击报复。

简而言之,这是我能检索到的因为未履行等级保护义务的第一起行政诉讼,但庭审并未就此展开充分的辩论,也没有对证据进行深入质证,因此参考价值有限。

一、案件事实

2019年4月3日,被告一(耒阳市公安局)对耒阳市城市论坛网站进行网络安全执法检查,发现该网站的日志只保存了2019年1-4月四个月。耒阳市公安局通过立案调查,查明耒阳城市论坛网站系以资慧兰名义注册,实际运营者为原告。

2019年4月25日,被告一对原告作出耒公(网)责通字【2019】第0267号《责令予以改正通知书》,责令徐望仁立即予以改正。同日,被告一根据《网络安全法》第五十九条第一款的规定,作出0401号处罚决定,对原告处予警告的行政处罚。原告不服该行政处罚决定,于2019年5月20日向被告二耒阳市人民政府提出行政复议申请,被告二当日予以受理。

二、法律依据

《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

《公安机关互联网安全监督检查规定》(被告检查时未予以援引)

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

三、证据与认定

原告证据:

被告一证据:

被告二证据:略(关于行政复议)

四、法院观点

根据本案证据,耒阳城市论坛网站的实际运营者为原告,被告一2019年4月3日对该网站进行执法检查时,该网站只保存了2019年1-4月的日志。被告一通过开展现场检查、调查取证、询问查证,认定原告存在上述违法事实。被告一对原告作出行政处罚决定前,告知原告其作出行政处罚的事实、理由、依据及原告享有的陈述和申辩权。在作出行政处罚决定后,及时向原告进行宣告、送达,符合法定程序。

应对DDoS攻击的法律武器

若干年前读大学时候我接触的第一门专业课是“网络基础课”,还记得第一节课时老师就以ping命令为切入点介绍DDoS攻击,当时还专门告诉我们要念成“D-D-O-S”,而非“D-DOS”。时至今日,DDoS攻击依然是网络系统所面临的主要威胁之一。

简而言之,DDoS是Distributed Denial of Service的缩写,即分布式拒绝服务。简单来说是向服务器同时发布大量请求,让服务器无法及时响应正常的访问请求,以至于服务瘫痪。防御DDoS攻击当然需要技术手段,比如扩容、建立防火墙、设置CDN……但法律对于应对DDoS攻击同样重要。

继续阅读

法律合规视角下的等级保护条例

一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。 继续阅读