2017年6月1号,国家《网络安全法》正式实施。对于涉及到关键基础设施的企业,都是一种挑战。本文是对《网络安全法》要点进行解读、关键信息基础设施认定与保护、总结和展望。
2017年的6月1号,《网络安全法》正式实施。从2013年下半年就开始,2014年形成征求意见稿。一审是在2015年的6月份,改动意见比较大。最主要的变化是加入了对关键信息技术设计和信息保护的明确定义,在安全设施、安全产业方面有更详细的描述,提升到国家网络安全战略的高度。2016年10月31日进行三审,对信息技术设施的定义描述得更准确,针对一些新型的网络诈骗、网络犯罪、个人信息泄露的惩罚措施规定得更加具体。《网络安全法》出台以后,业界对条文的反响不一。
《网络安全法》勾勒了国家网络安全顶层设计的框架和蓝图。尽管内容和相关条文不是很细,现在正在制定相关条例。突出了关键信息基础设施保护的要求。强调了公民隐私和个人信息保护。强化了安全监测预警和应急处置机制。明确了各责任主体法律责任和义务。
《网络安全法》发布的核心作用就是三个方面:是落实国家总体安全观的重要举措;是维护网络安全的客观需要;是维护国家广大人民群众切身利益的需要。明确规定了行政主管部门、网络和系统运营单位、行业和社会团体、个人的职责和义务。
《网络安全法》明确了网络安全空间的主权原则。从安全运营来讲,明确了网络产品和服务提供者的安全义务,明确了网络运营者的安全义务,建立了关键信息基础设施安全保护制度。进一步完善了个人信息保护规则。确立了各有关主管部门、网络运营者、使用人的义务和责任。
进一步明确了各主体的安全责任,主要包括网信部门、行业主管部门、网络运营单位、公民个体。我们国家的网络安全事件、网络安全行为是由什么人、什么部门、该做什么样的事。
突出了关键信息基础设施保护的要求。《网络安全法》的第三章通篇都在讲关键信息基础设施。这一条也强调了等级保护。等级保护是基础,关键信息基础设施保护是在等保之上。我们国家最核心的信息资产是以时间样的规则、手段进行保护。
产品和服务的合规性更加明确,《网络安全法》有五条跟产品和服务相关的:产品不得设置恶意程序、后门;发现存在安全缺陷、漏洞等风险时,应当立即采取补救措施;具有收集用户信息功能的,应当向用户明示;关键设备和网络安全产品应当按照国家标准进行强制性检测;网信部门推动安全认证和安全检测结果互认,避免重复认证、检测。
关键信息基础设施产品和服务的合规要求更高。关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。关键基础设施里最常用、最核心的部分,大家都在使用的操作系统、中间件、数据库类的产品,可能会影响到国家安全的,应该由网信部门组织安全审查;关键信息基础设施的运营者在境内运营中收集和产品的个人信息和重要数据应当在境内存储。确需向境外提供的,应当按照有关部门制定的办法进行安全评估。
统筹协调推动安全保障能力提升。检测评估成常态,关键信息基础设施的运营者每年至少一次检测评估自查国家网信部门应当统筹协调有关部门进行抽查检测,提出改进措施;应急协调有机制,定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应急网络安全事件的水平和协同配合能力;能力建设是目标,促进有关部门、运营者、研究机构、网络安全服务机构等之间的信息共享。
强调了公民隐私和个人信息保护,主要包括六个方面:采集许可。网络产品、服务具有收集用户信息功能的,应向用户明示并取得同意;保护义务,网络运营者应采取技术措施,确保个人信息的安全,防止信息泄露、损毁和丢失;举报通道,网络运营者应当建立网络信息安全投诉、举报制度,公布举报方式,对违规个人信息处理的行为进行举报素;行为约束,任何个人和组织应当对其使用网络行为负责,不得设立用于实施诈骗、传授犯罪方法,不得利用网络发布涉及实施诈骗;境内存储,关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储;执法限权,网络安全监督管理职责的部门及人员,必须知悉个人信息、隐私等严格保密,不得向他人提供。网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
《网络安全法》强化了安全监测预警和应急处置机制。信息通报制度上升为法律,建立国家层面网络安全监测预警和信息通报制度。支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定应急预案,并定期组织演练。
进一步明确了安全事件处置的原则和要求。规定了国家有关部门和网络运营单位的职责。
明确了各责任主体法律责任和义务。网络运营单位的合规要求,主要包括个人信息的收集和利用、健全用户信息保护制度、网络运营者对用户非法信息传播的监管、落实网络实名制等等方面的要求。
下面重点介绍一下关键信息基础设施的认定与保护。
关于关键信息基础设施的认定。这里列出的几个标准是正在做的,网络安全框架、网络安全保护要求、安全控制要求、安全保障指标体系、安全检查评估指南。大家可以关注一下相关标准的制定进展。
关键信息基础设施不是新词,随着互联网的发展,很多业务系统都在互联网上操作,承载着越来越重要的信息,很多平台也纳入了关键信息基础设施的范畴。
我们国家对于相关关键基础设施的认定指南正在做,我引用的是去年网信办发布的3号文件《做好关键基础设施检查的通知》。第一类是指重要的党政机关网站和重要新闻信息网站。第二类是平台类,因为互联网的快速发展,很多系统都会面向公众,包括即时通信、网上购物、网络支付、搜索引擎、公共邮箱、地图、音视频等网站,承载的信息、数据越来越重要,成为老百姓日常生活必不可少的部分。一旦出现问题,肯定会影响整个国家的安全稳定。第三类是传统的关键基础设施,电力、交通、金融、通信、市政、电子政务、能源控制、大型数据中心、各类云平台。
关键基础设施的识别和认定,各行业主管部门正在做自己的认定。目前这是一个总体的要求,各个行业还会做比较细分的要求,承载的对象和内容也会有区别。比如,平台类的,对于注册用户、活跃用户、访问量等等角度进行了要求。
关键信息基础设施十三个重要领域,包括:党政机关和重要新闻网站、具有全国影响的重要互联网平台、能源(电力、石油化工、煤炭)、金融(银行、证券期货、保险)、交通(铁路、民航、公路、水运)、水利、医疗卫生、环境保护、工业制造(原材料、装备、消费品、电子制造等)、电子政务办公和生产系统、广播电视、电信与互联网(运营商、互联网服务提供商、电信增值业务商等)、市政(城市供水、热、气、轨道交通、污水处理等)。
进行了关键基础设施的认定,才能做好关键基础设施的保护。关于关键基础设施保护要求的相关标准正在制定。大家都在讲关键基础设施到底要保护什么、要求是什么。在做要求的时候,更多的是讲一些原则,不会涉及到很细的内容。现在的要求很多,都等保,有风险评估,各行各业都有自己的要求。
做好安全合规,建立保护基线。安全基线实际上就是各行各业正在执行的各种安全要求。要找准定位,对号入座,先去做合规。要梳理定义安全保护对象安全要求,构建基本的安全能力基线。
明确保障重点,建立纵深防御。安全能力基线基础上重点保护(核心数据、核心资产,可管、可控、可信),实现多层次的防御体系(监测、防护、审计),风险统一管控及时响应。
优化风险管理,推动持续评估。这一点跟《网络安全法》的精神是匹配的。全方位安全态势感知、监控、预警,进行闭环的安全风险管理,量化安全能力评估。
加强协同保护,形成保护合力。当我发现问题的时候,可能不是我擅长的,我需要安全公司帮我分析样本。一体化的风险识别、防护和应急响应,实现资源共享和联动防御,安全威胁与情报共享,进行快速的威胁响应。
做好安全合规,建立保护基线。要清楚的知道你的基线在哪里。行业有等保的要求,如果是关键基础设施,这是基本的要求,是需要大家共同遵守的要求。在此基础上,是不是合规了。你的威胁分析,是对数据敏感,还是业务联系很重要。梳理完以后,才能找到你关注的重点是什么。
建立了保护基线,管理肯定是逐级,自上而下的。技术上更多的是自下而上,各种安全手段,是否能成体系。
明确保障重点,建立纵深防御。纵深防御也不是个新词,过去叫塔防。你要清楚地知道保护对象是什么。CNNIC的关键就是不能有时延,我们的设计本身是多维度的,在几大出入节点会购买运营商的服务。从运营商侧到节点侧、设备侧和应用本身是层层设防,这样才能应对比较重大的攻击行为。
优化风险管理,推动持续评估。《网络安全法》规定了每年进行一次风险评估。很多人有一个误区,做了是不是就安全了?大家发现,做了也未必安全。因为安全是动态的事情,你的能力必须定期的优化和评估。
加强协同保护,形成保护合力。每一个甲方单位都有很多的设备。当遇到重大安全事件的时候,是否足够应付。前段时间的勒索软件病毒,类似这样的重大事件,单靠一家是否能处置?答案是否定的。针对一些大规模的有备而来的攻击,这个时候恰恰是需要协同,恰恰是需要共同发力的。
这里讲的协同分为两个部分,内部协同和外部协同。内部协同是指现有安全子系统能发挥多大的作用。外部协同是指加强与监管机构、运营企业、安全服务商交换情报,进行联合防御。通过这样的机制,可以在有限的时间内快速地处理威胁,整体提升关键基础设施的保障水平和保障能力。
《网络安全法》给产业发展带来了新的机遇。大家可能觉得《网络安全法》给网络企业带来很大的负担,实际上它对行业从业人员是一个政策红利。通过《网络安全法》的深层次推进,能够极大的促进国家网络安全保障水平的提高、产业的进步。