《網絡安全法》于2017年6月1日正式施行,這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要里程碑,是依法治網、化解網絡風險的法律重器,是讓互聯網在法治軌道上健康運行的重要保障。該法的發布也標志著國家網絡安全等級保護工作正式進入2.0時代,現在不做等保就是違法了。
網絡安全法明確等級保護工作重點
本章節內容將網絡安全法中與等級保護有關的條款進行解讀分析,從網絡安全法角度梳理出我們等級保護工作的重點和核心。
《網絡安全法》第二十一條說明如下:
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
解讀:本條規定的是網絡運營者的義務。條款提到的網絡安全等級保護制度與公安部運營多年的信息系統安全等級保護制度(即等級保護1.0)有非常大的關聯,也說明國家會修訂和出臺相關“網絡安全等級保護”的相關配套制度(即等級保護2.0),目前等級保護2.0標準體系的修訂工作已基本完成,近期即將出臺。
(一) 制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
解讀:一般第一主要責任人是單位一把手,廳長、局長、院長、校長等領導,第二主要責任人是單位具體分管信息化、分管網絡安全的領導,副廳長、副局長、副院長、副校長或總工等。
(二) 采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
解讀:一般來說防火墻、IDS、IPS、防病毒網關、殺毒軟件和防DDOS攻擊系統等屬于這類技術措施。
(三) 采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
解讀:網絡審計、行為審計、運維審計、日志管理分析、安全管理平臺和態勢感知平臺等都屬于這類技術措施。
(四) 采取數據分類、重要數據備份和加密等措施;
解讀:數據安全越來越重要,等保方案需要充分考慮數據備份、數據傳輸和數據存儲安全等內容。
(五)法律、行政法規規定的其他義務。
通過以上解讀,了解了網絡安全法明確等級保護工作的重點,接下來再聊聊網絡安全法如何明確等級保護工作的核心。
網絡安全法明確等級保護工作核心
1.關鍵信息基礎設施的定義
第三十一條 國家公共通信和信息服務、能源、交通、 水利、金融、公共服務、電子政務等重要行業和領域,以及一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
解讀:等級保護工作的核心是關鍵信息基礎設施,本條首先定義了什么是關鍵信息基礎設施。國家互聯網信息辦公室已于2017年7月發布《關鍵信息基礎設施安全保護條例(征求意見稿)》,參照網絡安全法和關鍵信息基礎設施安全保護條例等法律法規要求,關鍵信息基礎設施的認定可參照下表:
2.關鍵信息基礎設施的安全保護義務
第三十四條 運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等。
解讀:本條款說明關鍵信息基礎設施的保護要求高于網絡安全等級保護制度的一般要求,從制度、培訓、災備、應急等方面提出了進一步要求。
第五十九條 運營者拒不改正或導致危害網絡安全的,罰款10-100萬元,直接責任人罰款1-10萬元。
3.敏感信息保存
第三十七條 境內收集產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應進行安全評估。
解讀:本條是外企和有海外業務的國內企業很關注的一條。主要是關于數據境內存儲和境外數據流動的問題。核心是數據安全。這里有兩個關鍵詞,一個是“重要數據”,什么是重要數據,相關的常見提法還有“業務數據”、“運營數據”“、服務數據”、“個人數據”、“企業數據”、“國家數據”,專家認為,重要數據是從影響因子的權重來區分數據,是一種新的數據分類方式,而不是從用途和歸屬的角度去分類。另一個關鍵詞是“安全評估”,這個安全評估的方式是將來要出臺的配置制度。相關問題也并不清晰,例如評估對象的問題,是對要流向境外的數據進行評估?還是對業務的模式進行評估?還有誰來評估的問題,是主管單位來評估,還是運營者自己進行評估? 本條說明了將來會出臺“向境外提供關鍵信息基礎設施重要數據的安全評估辦法”。
第六十六條 運營者違反規定的,沒收違法所得,罰款5-50萬元,吊銷執照,直接責任人罰款1-10萬元。
4.風險檢測評估
第三十八條 運營者每年至少組織一次安全風險檢測評估,并評估情況和改進措施報相關部門。
解讀:本條主要是關于對關鍵信息基礎設施年度檢測評估的問題。這里提到了網絡安全服務機構,就是我們常說的提供風險評估等各類安全服務的機構,這些機構以后又多了一項業務了。
第五十九條 運營者拒不改正或導致危害網絡安全的,罰款10-100萬元,直接責任人罰款1-10萬元。
等保2.0的標準體系和工作流程
等級保護2.0標準體系
等級保護2.0系列標準(框架圖如圖1所示)已形成標準送審稿,近期將頒布出臺。等級保護2.0為1+N模式,1為通用要求,適用各個行業和各個領域,N指具體的一個領域內的擴展要求,目前N為5,分別是云計算、移動互聯、物聯網、工業控制、大數據。未來隨著技術的發展,N會不斷擴展。
圖1 網絡安全等級保護系列標準框架圖
等級保護2.0工作流程如圖2所示。
等級保護2.0正在積極推動過程中,并且影響著越來越多的行業,但讓人擔憂的是——等保人才的短缺致使各安全廠商、集成商、服務商的安全團隊無法“擴軍”,人才儲備量遠遠跟不上各行業開展等保工作的增長量。業內人士一致認為,有職業技能、專業素養的等保人才是等保2.0落實和推動的必備基礎和重要保障。
