《網絡安全法》背景
2017年6月1日起《中華人民共和國網絡安全法》(下文簡稱《網絡安全法》)正式實施,從宏觀的層面來講,這意味著網絡安全同國土安全、經濟安全等一樣成為國家安全的一個重要組成部分;從微觀層面來講,意味著網絡運營者(指網絡的所有者、管理者和網絡服務提供者)必須擔負起履行網絡安全的責任。
《網絡安全法》是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,并對“網絡(Cyber)”進行了重新定義,是指“由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統”,其涵義外延更大。既然作為基本法,與之前看到的各部門規章有著本質區別,它明確提出不履行相應的責任與義務,都將會受到法律的處罰。處罰也從不同角度進行了細化和明確,特別是會對主管人員或直接負責人員進行處罰,構成犯罪的會依法追究刑事責任。
網絡安全管理趨勢
近幾年,我國網絡安全形勢發生了非常大的變化,我國是名副其實的網絡大國,網民人數全球第一,網絡創新活躍,越來越多的業務都在互聯網化,網絡已融入經濟社會生活的各個方面。但同時,我國也是網絡安全事件的重災區,網絡攻擊活動日漸頻繁,個人信息泄露事件頻發。因此《網絡安全法》的出臺,對于我們每個網絡服務的提供者、網民都有非常積極的幫助。接下來我們重點對《網絡安全法》的重點章節和相關條款進行剖析。
1.《網絡安全法》“不止于此”。網絡安全法是我國在網絡安全管理方面的基本法,后續還有一系列細則,需根據企業自身所在行業整體實施,整體來看國家對于網絡安全的管理會加大力度。
2. 信息安全向網絡安全轉變。很多企業往往只關注的信息安全或者說內容的安全性,缺乏對于網絡安全的關注,雖說二者有一定的交集,但在范圍、管理模式、技術手段上有著較大差異。
3. 強調個人信息及隱私的保護。《網絡安全法》實施后,將規范個人信息的收集和使用,讓企業的關注點應從單純的“數據安全”延展至影響范圍更廣的“個人隱私保護”。
4. 違法處罰更加嚴格。對于網絡運營者拒不履行安全的責任,明確處罰措施,包括暫停業務活動、嚴重的違法行為將導致停業整頓或吊銷執照、處罰金額最高可至100萬元、對于直接負責人進行罰款等。
《網絡安全法》解讀與應對
網絡運行基本安全要求
涉及行業: 事業單位 國企 傳媒 金融 電商 游戲 社交網站 ……
《網絡安全法》第二十一條規定:
國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
1. 制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
2. 采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
3. 采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
4. 采取數據分類、重要數據備份和加密等措施;
5. 法律、行政法規規定的其他義務。
條款解讀:
本條款提到的網絡安全等級保護制度是公安部運營多年的信息系統安全等級保護制度,網絡安全法的出臺也加強了對等保執行力度的要求,不做等保就屬于違法行為了。
1. 安全管理:網絡運營者需在企業內部明確網絡安全的責任,并通過完善的規章制度、操作流程為網絡安全提供制度保障;
2. 技術層面:網絡運營者應采取各種事前預防、事中響應、事后跟進的技術手段,應對網絡攻擊,降低網絡安全的風險。值得注意的是,網絡日志的保存期限已明確要求不低于六個月;
3. 數據安全方面:網絡運營者需對重要數據進行備份、加密,以此來保障數據的可用性、保密性。
如何根據自身實際情況建立有效的安全管理體系、如何在技術層面選擇合理的技術解決方案、如何加強自身的數據保護能力,都將成為網絡運營者所重點關注的問題。
應對策略:基于本方案將形成從主機層、網絡層、應用層的整體防入侵措施。網絡層具備抵御大流量的DDoS攻擊、CC攻擊的能力,避免因網絡攻擊導致出現業務中斷或不可訪問的情況。并實現安全監測和安全分析,實時發現網絡入侵行為。
處罰:拒不執行本條款要求或因此導致危害網絡安全后果的網絡運營者,處一萬以上十萬以下罰款,對于直接負責的主管人員處以5000元以上5萬元以下罰款。
應急預案與響應要求
涉及行業: 事業單位 國企 傳媒 金融 電商 游戲 社交網站 ……
《網絡安全法》第二十五條規定:
網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
解讀:
本條款的提出也是完善安全技術體系非常重要的一環,而響應能力的建設是當前網絡運營者普遍存在的弱點。
整體缺乏事件危害評估、應急預案、處置措施、上報流程等一系列的規范,或者說有規范但在出現網絡安全事件的時候,發現應急預案根本沒辦法起到作用。
在公共云或者可運營的政務云上,有著完整的安全運營體系,當發生大規模網絡安全事件時,安全運營團隊會第一時間處理相關問題。或者使用云盾管家服務,針對網絡運營者的業務制定應急預案和定期演練。
應對策略:基于阿里云多年安全最佳實踐經驗為云上用戶建立應急預案并及時處置網絡安全問題,保障用戶業務安全。能夠在您的系統遭受黑客攻擊時提供快速、專業的應急處理,包括入侵行為排查、病毒木馬查殺、入侵原因分析、入侵影響評估,幫助客戶正確應對黑客攻擊,降低攻擊帶來的安全損失。
處罰:拒不執行本條款要求或因此導致危害網絡安全后果的網絡運營者,處一萬以上十萬以下罰款,對于直接負責的主管人員處以5000元以上5萬元以下罰款。
政務安全治理
涉及行業: 政府機構 事業單位 公共服務職能部門 ……
《網絡安全法》第三十四條規定:
除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
1. 設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;
2. 定期對從業人員進行網絡安全教育、技術培訓和技能考核;
3. 對重要系統和數據庫進行容災備份;
4. 制定網絡安全事件應急預案,并定期進行演練;
5. 法律、行政法規規定的其他義務。
解讀:
關鍵基礎設施的安全隱患具有很大的破壞性和殺傷力,《網絡安全法》在關鍵信息基礎設施的運行安全、建立網絡安全監測預警與應急處置制度等方面都作出了明確規定。
應對策略:阿里政務云為政務行業量身定制、安全合規的政務專屬云資源服務平臺,提供較公共云更高等級安全防護,認證成為政務云用戶免費提供WAF、安騎士、態勢感知、DDOS10G防護等7項高等級安全服務。
處罰:不履行本法相關條款的網絡安全保護義務的,拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
個人信息保護
涉及行業: 事業單位 通信 傳媒 金融 醫療 電商 游戲 ……
《網絡安全法》第四十一、四十二、四十三條規定:
第四十一條:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
第四十二條:網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
第四十三條:個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
解讀:
從這三條條款中可以看出,《網絡安全法》聚焦個人信息泄露,明確網絡產品服務提供者、運營者的責任。嚴厲打擊出售販賣個人信息的行為,對保護公眾個人信息安全將起到積極作用。
除嚴防個人信息泄露,《網絡安全法》針對層出不窮的新型網絡詐騙犯罪還規定:任何個人和組織不得設立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網絡發布與實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。
應對策略:阿里云提供了從數據傳輸安全、數據存儲加密到數據使用安全等,三位一體的個人信息防護態勢。網站頁面中出現個人隱私敏感數據的檢測識別,并進一步給出預警和屏蔽敏感信息等防護措施,避免網站經營數據泄露。
處罰:違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
等保測評
涉及行業: 政府j機構 事業單位 傳媒 金融 公共服務職能部門 ……
《網絡安全法》第三十八條規定:
關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門
解讀:
明確了關鍵基礎設施單位,需要每年對其網絡的安全性和可能存在的風險至少進行一次檢測評估,等級保護測評至少從技術上可以滿足這個要求,等級保護測評就是對單位重要信息系統做的一個安全檢測評估。
應對策略:阿里云幫助關鍵基礎設施運營商,提供全面的等級測評服務,快速通過公安部要求的《信息系統安全等級保護》測評。由阿里云的合作伙伴-各省市等保測中心為您提供專業服務。
處罰:不履行本條款的網絡安全保護義務,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。