RECOMMENDATION - 国家互联网应急中心.DOCVIP

APEC计算机安全策略 2001年10月21日，APEC会议的与会领导人发表了他们的《反恐宣言》以谴责恐怖袭击，并且认为应当在全方位加强全面打击恐怖主义的合作。作为此宣言的一部分，与会领导人要求APEC成员采取加强保护包括电子通信在内的基础设施的。2002年5月20日，APEC成员国通信和信息部长发表了《上海宣言》，并在其中提出了一份《信息和通信基础设施安全声明》以及《行动计划》。此声明由各成员国签署，以共同打击滥用信息的犯罪，并要求TEL优先推动APEC在信息和通信基础设施保护方面的工作。《行动计划》 要求TEL扩展促进相关专家组合作的电子安全活动。 全球计算机和信息网络已经使得APEC成员国中的都可以进入国际互联网并参与电子商务、在线交易、电子政府和其它电子活动。这种发展以及其对每个成员潜在影响已经成员间更快、更有效地协调计算机犯罪和基础设施保护。 下列六个领域的问题和活动可以作为APEC在计算机犯罪和重要基础设施保护方面行动的基础，并作为领导人和部长会议目标的基础。这项工作将要求参与成员进行重要的合作和协调，以确保信息网络和交易的安全性，并通过市场驱动的电子安全需求解决方案增强对信息基础设施和计算机网络的信心。 立法发展 如果一个加入网络的成员系统没有得到足够的防护，所有进行相互联系的成员的基础设施就容易遭到攻击。因此，每个计算机犯罪重要基础设施的法律框架。特别地，计算机安全依赖于每个拥有（1）可网络攻击定罪的实体法，（2）确保执法部门有足够权调查和起诉科技犯罪的程序法，以及 （3）允许与其它打击计算机相关犯罪的国际组织进行合作的法律和政策 在2001年11月，30个国家，包括多个APEC，签署了《欧洲议会计算机犯罪》。 这是第一个以解决日益蔓延的计算机网络犯罪活动为目的的多边指导草案。本次大会设立了成员国组织在考虑建立全面的法律框架时，实体法、程序法和国际合作法的最低标准。 行动内容成员组织应该尽快地采用全面的实体上的、程序上的以及相互协法律和政策，且关注此领域其它国际组织的工作，尤其是《欧洲议会计算机犯罪协定》。 APEC应该推动成员组织建立全面的实体上的、程序上的以及相互协法律和政策，且关注此领域其它国际组织的工作，尤其是《欧洲议会计算机犯罪协定》。 成员应当报告其在实体上的、程序上的以及相互协助法律上的状况，并将其作为《成员国执行联合国55／63决议打击滥用信息技术犯罪十项措施的报告》的一部分。 信息共享成功打击计算机犯罪和保护信息基础设施有赖于成员拥有能评估威胁和攻击并按要求发布警告和补救措施的系统。通过确定和共享可引起广泛危害的威胁信息，每个成员国的网络都可以得到更好的保护。 许多APEC成员国已经私人、公共机构或两者能力。例如，许多成员已经了计算机小组（CERTs”）。其它成员则拥有工业信息共享系统以允许公司通过特定机构（例如电信、紧急、银行业）分享威胁信息；还有些成员拥有可以协助评估威胁的政府部门。另外，还有些行动是专门针对特定威胁，例如病毒释放和其它恶意代码。 此外，计算机犯罪制定和管理机构需要设立打击计算机犯罪的立法并与其它成员交换信息以提供彼此间的协助。此类机构的发展将尚未加入由八国集团倡导并管理的高科技犯罪24/7联系点网络的成员世界范围内的行动。24/7网络要求参与国设立一个计算机犯罪处理机构并指定一个每天24小时、每周7天提供联系的网络，以为电子证据的紧急案件提供信息和／或按请求提供协助。 行动内容 协助成员经济体设立交换威胁和攻击评估信息（例如CERTs）的机构；在设立此类机构时制定分享信息和技术的计划；让公共和私人机构加入进来；并考虑建立适用于所有成员建立类似机构的模型。 协助成员可以加入高科技犯罪24/7联系点网络的机构。如果成员国已经拥有类似机构但不是24/7网络成员，APEC应当鼓励并推动其加入的努力。 安全和技术指导 设立安全和技术指导对于协助政府和公司打击计算机犯罪和保护重要基础设施是必需的。在适当的时候，经过协调，应当鼓励和公开这些努力信息。 行动内容： 确定IT安全标准和最佳措施。 检查与、PKI和电子交易相关的法律和政策性问题，并考虑其它国际组织的工作。 建立信息安全的商业案例，以协助公司的网络安全努力并解释设立可靠网络安全措施的经济原因。 公共知情权 网络、、运营或用户，都必须对网络的威胁和攻击，并有责任利用他们的职能和角色保护此网络。与计算机安全和计算机道德相关的成员组织、行业和用户应该把重点放在 （1） 安全性的最佳措施；（2）使用信息网络的利益和责任；以及（3）滥用网络而造成的潜在负面影响。 行动内容： 审视并采纳其它多边组织开发的可提高地区关于计算机安全的公共知情权的项目。例如OECD信息系统和网络安全指导：建立安全的文化，以协助成员组织、行业和用户