网络安全制度建设是技术防范的基础

进入网络信息社会后，网络安全问题一直伴随着电信网、互联网的发展。2006年世界电信日主题“让全球网络更安全”，说明网络安全问题进一步成为全世界关注的焦点。目前，关于网络安全问题人们从技术层面上探讨的较多，而从制度层面设置上探讨得较少。但从实践来看，制度层面的安全建设是技术方面安全建设的基础。因此，本文着重从制度安排的角度来探讨如何通过制度屏障的设置，为电信网和互联网安全提供制度保障问题。

一、网络安全制度建设的必要性

1、制度建设是网络安全建设的根基

无论是电信网还是互联网，都植根于一定的制度环境之中。制度环境是一系列基本的经济、政治、社会及法律规则的集合，它是制定生产、交换以及分配规则的基础。在这些规则中，支配经济活动、产权和合约权利的基本法则和政策构成了经济制度环境。在一定的制度环境下，存在着一系列的制度安排。制度安排可以理解为游戏规则，不同的游戏规则导致人们不同的激励反应和不同的权衡取舍。

社会主义市场经济的建立为调整人们之间的关系构建了最广泛的制度环境，它作为经济活动的外生变量是人们无法选定的既成事实，但对于具体的制度安排，人们可以随着生产力的发展而不断做出相应的调整。电信网和互联网作为代表信息社会最先进的生产力组成部分，已逐渐渗透到社会的各个领域，在未来的军事对抗和经济竞争中，因网络的崩溃而造成全部或局部的失败，已成为时刻面临的威胁。这在客观上要求建立与之相适应的生产关系，也就是能促进网络安全有效运行的一系列制度安排。

网络安全可分为电信网络的安全可靠性、互联网的安全可靠性和信息安全三个层次。具体包括网络服务的可用性(Availability)、网络信息的保密性(Confi－dentiality)和网络信息的完整性(Integrality)。技术保障、管理保障和法律保障是网络安全运营的三项重要措施。只有从制度安排上保障网络的安全性即网络的可用性，才能在技术层面和管理层面上保障网络信息的保密性和完整性，才能使杀毒软件、防火墙、加密技术、身份验证、存取控制、数据完整性、安全协议等发挥其最大的效力。

2、网络的外部性客观上要求必须进行制度建设

网络产业具有很强的外部性特征。从经济学角度看，通过市场机制自身对经济活动外部性的克服主要是通过三个方面进行的。一是组织一个足够大的经济实体，即一体化经济组织来将外部成本或收益内部化；二是通过界定并保护产权而使市场交易达到帕累托最优；三是以社会制裁的道德力量规范负的外部性及其行为。

首先，电信网和互联网等网络产业不同于制造业，其面临的外部性不可能通过一体化效应来使外部成本或外部收益内部化。网络的正的外部性与负的外部性都主要通过麦特卡尔夫定律(Metcalfe’s Law)表现出来。麦特卡尔夫定律表明：网络价值同网络用户数量的平方成正比(即N个联结能创造N2的效益)。随着网络用户的增加，无论是技术知识等正面信息还是网络病毒及扰乱社会政治经济秩序等负面信息都呈几何级数扩散，其扩散范围之广、速度之快、对经济社会发展影响之深刻都是前所未有的。网络自身对国界、民族及地域的超越，使通过一体化来解决外部性问题成本极大。

其次，通过界定和清晰产权，不能解决电信网及互联网等网络产业的外部性问题。科斯定理(Coase’sLaw)对外部性的解决是建立在产权明确界定并受到法律有效保护这一基础之上的。而电信网和互联网作为一种公共资源，使每个人都可以自主地在网络上和获取信息，这种对公共资源均等使用的权力，使市场机制无法在这一领域充分发挥作用，而必须通过政府的制度建设克服人们对公共资源的滥用。

最后，以道德力量来建立电信网及互联网的安全体系几乎是不可能的。网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。网络空间秩序企图通过伦理道德、个人自律和对共同利益的维护和驱动来实现，几乎像现实世界没有国防、司法制度就可以保障一个国家的安全和社会的稳定一样不可想象。因此，只有通过制度建设，才能真正建立起对电信网及互联网安全有效运行的保护屏障。

3、信息安全要求政府必须建立网络空间秩序 从网络信息安全的角度看，绝对的网络自由是不存在的。那种认为网络空间创造了一种比以往任何文明所创造的世界更友善、更公正的新文明，从而使任何人可以在任何时间、地点自由发表自己的意见和主张，实践证明是不可能的。电信网和互联网不仅是重要的通信媒体，而且是各种信息特别是知识和娱乐信息的宝库，它既给人类社会的发展带来了巨大的福利，同时也向人们打开了一个潘多拉的盒子，而中立的技术无法对危害网络信息安全的行为进行根本性的抑制。因此，靠网络参与主体的自律和技术手段是不可能代替法律等制度安排来实现对网络参与者有效的规制的。基于信息安全的考虑，政府对电信网和互联网进行管制也就成为国家立法的重要内容。

二、我国网络安全在制度建设上存在的主要问题

网络安全的本质在于促进和维持社会发展与经济繁荣。因此，围绕着网络安全问题，各国都进行了一系列的制度建设，从而使技术层面和管理层面的安全设置更好地发挥其安全保障作用。

目前除了网络黑客的攻击和其他的网络犯罪危及我国的网络安全外，最大的风险是我国网络自身缺乏一整套完整严密的制度安排，从而使网络自身缺少一层制度屏障，降低了网络自身的免疫力。这种制度缺失主要体现在以下几个方面：

1、网络安全缺少最基本的法律保护层

电信网络作为国家信息化的基础设施，在保障网络与信息安全上担负着重要的责任。随着互联网的普及、IP业务的发展，电信网、互联网和有线电视网逐渐走向融合，如何保障电信网络信息服务的安全，将电信网络建成真正安全、可靠的网络，是网络信息社会亟待解决的重要问题之一。

市场经济的典型特征是政府通过一系列制度安排来规范市场主体的经济行为。电信法是网络安全最基本的保护层，也是网络安全技术得以发挥作用的制度安排。而在电信市场，我国政企合一的电信管理体制使电信法至今仍处于难产状态。早在1956年我国就组织起草过电信法，几上几下之后，最终未能修成正果。上世纪90年代中期，政府再一次启动电信法的起草工作，千呼万唤的电信法到2000年也只是出台了《电信管理条例》。2001年又开始了新一轮电信法的起草工作。电信法是保障网络安全的最基本的制度安排，法律制度的缺失使政府无法公平公正地调整利益冲突各方的关系。有数据显示从1998年开始，上报到信息产业部的互联互通恶性案件达540起，至少影响到l亿人次的用户使用，造成10亿元的直接损失和20亿

元的间接损失①。在全国范围内，由于恶性竞争而砍电缆、锯铁塔等破坏通信设施的恶性事件屡禁不止，严重影响了网络安全与畅通。除了物理性破坏之外，更多的情况则是在通信软件上做手脚或者恶意修改信令，对竞争对手经营的电信业务进行各种形式的限呼、拦截，造成了网间接通率偏低甚至完全中断。1999年，兰州市电信公司采用恶性竞争手段使本市27万手机用户打不通固定电话。目前，阻碍互联互通的情况已经从几年前的直接挥大刀砍电缆、互联中继不足、整个省不通IP卡等现象，转化为落地拦截、掉线、噪音等更为隐蔽的技术手段，甚至出现了主导运营商不再对一个局向或者一个号段全部进行干扰拦截的方式，而是针对个别用户特别是高端用户直接进行拦截干扰，手段更为有效和隐蔽。对于这些影响网络安全的无序竞争，来自体系内的监管力量发挥的作用一直相当有限。出台电信法的呼声越来越高。随着我国在WTO中电信承诺表的兑现，国外电信运营商及外资的进入，会使竞争更加激烈。允许竞争但却缺乏竞争规则，会使无序的恶性竞争愈演愈烈，这一切都使网络随时面临着瘫痪的可能。因此，没有法律制度的网络运行是网络最大的安全隐患。

2、制度摩擦使网络存在安全隐患

如果一国的制度安排有利于基于网络交易的电子商务市场容量最大化，有利于网络安全运营及经济效率的提高，那么就可以说该国具有高的制度资本。不利于网络市场交易的制度，则使交易的成本变高，这种成本通常被称为“制度成本”。当然，制度成本不仅仅指在网络市场交易发生过程中实际要支付的成本，也包括由于制度障碍而根本无法进行或选择放弃的市场交易所带来的机会成本，这种机会成本包括“本来可深化的市场”因制度障碍而只能半途而废的情况，以及市场勉强得到发展的情况。根据国际惯例，广播和电视网络都属于电信。有史以来，欧洲多数国家和日本的广播电视业都归口国家邮电部直接管理，美国则由联邦通信委员会统一归口管理，国际电信联盟(ITU)也设有广播电视分支机构。世界公认的电信定义就是“利用有线、无线，电磁和光的设备，发射、传输、接收任何语音、图像、数据、符号、信号”。但是由于我国某些历史原因，广播电视属于意识形态重要宣传机构，不能划归信息产业部，使网络电视(IPTV)之类的新业务难以发展，并使不同网络之间由于管理归口问题而纷争不断，人为阻断网络运行的情况时有发生。

3、制度资本投入不足导致网络安全运行成本较高

网络互联互通是一道世界难题，各国电信引入多家竞争机制以后，原来由一家公司完成一次通信服务现在改为多家来共同完成。网络的全程全网性使运营商之间形成既竞争又合作的关系。因此，各国都通过电信法等一系列制度安排及相应的管制机构来协调各运营商之间的行为和利益关系。在我国，竞争规则等一系列制度安排的缺失，导致网络安全运营成本较高。目前，RSA信息安全公司了一项新的指数来反映网络的不安全程度，即“互联网不安全指数”(Inter－net Insecurity Index)。计数方法从1到10，显示每年的互联网不安全程度。例如互联网不安全指数从2002年的5上升到2003年6.5，说明网络安全运行状况越来越令人担忧。这一指数是从网络安全受到威胁的间接角度来衡量网络安全的，笔者认为若直接从安全角度来衡量网络安全，则网络安全指数(S)最大化主要取决于以下变量的投入及其组合关系：网络安全的制度资本(I)、技术强度(T)、管制水平(R)、资本投入量(K)和人力资本状况㈣，并与以上各变量投入呈正相关关系。其函数关系式可写成：

S=(I，T，R，K，L)

在技术强度、资本投入和人力资本既定的条件下，网络安全指数大小主要取决于制度资本的投入和管制水平的高低。与互联网相关的法律制度的健全是保障网络安全的最基本的制度资本。而制度资本投入滞后于网络的快速扩展和纵深延伸，致使我国网络安全运行成本相对较高。制度资本的投入应建立最有利于促进市场交易发生、尽量使交易成本最低、保证网络安全运营的一系列法律规章制度。当一国的制度机制不利于市场交易时，人们相当一部分技术投入、资本投入和人力资本投入等都是为了对冲制度成本而没有形成社会经济效益。例如，联通公司与移动公司用户互发短信的结算争议，电信公司出售“手机休息站”设备拦截移动手机业务量，全国手机与固定电话互通结算问题，用户驻地网纠纷，全国电话卡出售与结算矛盾等问题此起彼伏、接连不断。制度成本过高致使我国为获得同样的网络安全要投入更多的技术和人力物力财力。

三、完善我国网络安全制度建设的建议

公用电信网是国家信息网的基础，其安全方面的某一弱点可能把其他部分都置于风险之中。网络遭到重大破坏，除了对社会和国家经济造成重大损失外，还可能使国家安全受到威胁，因此，各国都非常重视加强对公用电信网的安全管理。

1、尽快完善以电信法为核心的一系列制度建设

国际上，特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题，经过30多年的发展，在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。自1973年世界上第一部保护计算机安全法问世以来，各国与有关国际组织相继制定了一系列的网络安全法规。我国已经颁布的网络法规主要有：《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。与网络安全相关的一系列制度建设是保障网络安全运营的第一道防护屏障，也是最基本的制度保障。而电信法又是保障网络安全运营的基础中的基础。在我国由于电信法至今仍未出台，也就无法从法律制度的角度来规范电信网、互联网等网络参与者的行为。电信法的难产，暴露了我国新旧体制转轨中制度建设的滞后性，使我国电信网和互联网处于不设防的状态，从而对网络安全运营构成致命威胁。并使微观经济主体要损耗掉比市场制度健全的国家更多的人力物力和财力，才能对冲阻碍市场交易的制度成本。因此，尽快完善以电信法为核心的一系列制度建设，是市场经济制度的必然要求，也是在国际互联网中布设保证国内网络安全的一道安全防线。

2、建立不同层级的网络安全保护制度

制定“国家网络安全计划”，建立有效的国家信息安全管理体系。例如，美国已将信息安全战略纳入国家安全的整体战略之中；美国的空间战略以强化部门协调和强化政府协调的互动合作而适应网络社会的需求和特点，其网络空间战略是一个全社会共同参与、实施的战略。我国要充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制定的计划

要能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护。网络安全的制度安排和保护是分为不同层级的。要重点保护以电信网为代表的基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。信息安全领域中，密级分类、等级保护就是把信息资产分为不同等级，根据信息资产不同的重要等级，采取不同的制度安排及相应的技术措施进行防护。这样就可以在投入有限的情况下，确保网络及信息的安全性。

3、各种制度安排要随着网络的发展而不断深化

一个好的制度安排必须具有激励机制，推动生产力的快速发展，而不是阻碍生产力的发展与科学技术的进步。网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。一旦一国缺乏自主创新的网络安全策略和手段，国家的信息就有可能完全被葬送。例如，为适应电信飞速发展的要求，美国电信法几次修改，欧洲大部分国家也都是立法在先改革在后。因为一个成熟的社会，在涉及国计民生和千家万户的越来越重要的网络领域，没有完善的法律制度约束是不可能稳步发展的。我国电信领域出现的许多问题都与制度安排有关。由于没有完善的制度环境，企业明显违规，政府束手无策。即使已有了较完善的制度安排，各种制度安排也还要随着网络的发展而不断深化。正如制度经济学家道格拉斯・诺思所言：“制度安排的发展才是主要的改善生产效率和要素市场的历史原因”②。从长远来看，在电信网和国际互联网中，决定一国网络安全运营的最基本的要素是其制度资本，即制度机制是否更有利于网络社会的网络安全。

总之，关于网络安全问题，需要政府和各部门从上到下充分重视，并从国家政策、法律规范、技术保障和公众意识等方面来设置防线。必须在社会主义市场经济体制框架内进行各种制度安排，即建立游戏规则，才能不断降低阻碍市场交易的制度成本。这种制度资本投资的增加，将会在既定的管制水平、资本投入量和人力资本条件下，挖掘出网络安全技术的最大潜力，建立安全指数较高的网络世界。

注释：

①赵平：“河南互联互通问题铁幕调查，要如何保卫钱袋”，《中国经营报》2004年3月19日。

②道格拉斯・诺思(Douglass North)：《制度变迁与经济增长》，引自盛洪主编：《现代制度经济学(上卷)》，第290页，北京大学出版社2003年版。

参考文献：

①盛洪主编：《现代制度经济学(上卷)》，北京大学出版社2003年版。

②李　娜：“世界各国有关互联网信息安全的立法和管制”，《世界电信》2002年第6期。

③吴瑞坚：“我国互联网信息政府管制制度探析”，《探求》2004年第3期。

④唐大森、张宇润：“政府对电子商务和网络经济的法律激励和管制”，《科技与法律季刊》2001年第2期。

⑤陈志武：“为什么中国人出卖的是‘硬苦力’?”http：//fi－nance.省略 2004年09月15日16:47《新财富》。