《网络安全法》全面解读

日期:2020-11-19 浏览:5872

 《网络安全法》背景

  2017年6月1日起《中华人民共和国网络安全法》(下文简称《网络安全法》)正式实施,从宏观的层面来讲,这意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分;从微观层面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)必须担负起履行网络安全的责任。

  《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,并对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,其涵义外延更大。既然作为基本法,与之前看到的各部门规章有着本质区别,它明确提出不履行相应的责任与义务,都将会受到法律的处罚。处罚也从不同角度进行了细化和明确,特别是会对主管人员或直接负责人员进行处罚,构成犯罪的会依法追究刑事责任。

  网络安全管理趋势

  近几年,我国网络安全形势发生了非常大的变化,我国是名副其实的网络大国,网民人数全球第一,网络创新活跃,越来越多的业务都在互联网化,网络已融入经济社会生活的各个方面。但同时,我国也是网络安全事件的重灾区,网络攻击活动日渐频繁,个人信息泄露事件频发。因此《网络安全法》的出台,对于我们每个网络服务的提供者、网民都有非常积极的帮助。接下来我们重点对《网络安全法》的重点章节和相关条款进行剖析。

  1.《网络安全法》“不止于此”。网络安全法是我国在网络安全管理方面的基本法,后续还有一系列细则,需根据企业自身所在行业整体实施,整体来看国家对于网络安全的管理会加大力度。

  2. 信息安全向网络安全转变。很多企业往往只关注的信息安全或者说内容的安全性,缺乏对于网络安全的关注,虽说二者有一定的交集,但在范围、管理模式、技术手段上有着较大差异。

  3. 强调个人信息及隐私的保护。《网络安全法》实施后,将规范个人信息的收集和使用,让企业的关注点应从单纯的“数据安全”延展至影响范围更广的“个人隐私保护”。

  4. 违法处罚更加严格。对于网络运营者拒不履行安全的责任,明确处罚措施,包括暂停业务活动、严重的违法行为将导致停业整顿或吊销执照、处罚金额最高可至100万元、对于直接负责人进行罚款等。

  《网络安全法》解读与应对

  网络运行基本安全要求

  涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社交网站 ……

  《网络安全法》第二十一条规定:

  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

  1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

  2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

  3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

  4. 采取数据分类、重要数据备份和加密等措施;

  5. 法律、行政法规规定的其他义务。

  条款解读:

  本条款提到的网络安全等级保护制度是公安部运营多年的信息系统安全等级保护制度,网络安全法的出台也加强了对等保执行力度的要求,不做等保就属于违法行为了。

  1. 安全管理:网络运营者需在企业内部明确网络安全的责任,并通过完善的规章制度、操作流程为网络安全提供制度保障;

  2. 技术层面:网络运营者应采取各种事前预防、事中响应、事后跟进的技术手段,应对网络攻击,降低网络安全的风险。值得注意的是,网络日志的保存期限已明确要求不低于六个月;

  3. 数据安全方面:网络运营者需对重要数据进行备份、加密,以此来保障数据的可用性、保密性。

  如何根据自身实际情况建立有效的安全管理体系、如何在技术层面选择合理的技术解决方案、如何加强自身的数据保护能力,都将成为网络运营者所重点关注的问题。

  应对策略:基于本方案将形成从主机层、网络层、应用层的整体防入侵措施。网络层具备抵御大流量的DDoS攻击、CC攻击的能力,避免因网络攻击导致出现业务中断或不可访问的情况。并实现安全监测和安全分析,实时发现网络入侵行为。

  处罚:拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。

  应急预案与响应要求

  涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社交网站 ……

  《网络安全法》第二十五条规定:

  网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

  解读:

  本条款的提出也是完善安全技术体系非常重要的一环,而响应能力的建设是当前网络运营者普遍存在的弱点。

  整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范,或者说有规范但在出现网络安全事件的时候,发现应急预案根本没办法起到作用。

  在公共云或者可运营的政务云上,有着完整的安全运营体系,当发生大规模网络安全事件时,安全运营团队会第一时间处理相关问题。或者使用云盾管家服务,针对网络运营者的业务制定应急预案和定期演练。

  应对策略:基于阿里云多年安全最佳实践经验为云上用户建立应急预案并及时处置网络安全问题,保障用户业务安全。能够在您的系统遭受黑客攻击时提供快速、专业的应急处理,包括入侵行为排查、病毒木马查杀、入侵原因分析、入侵影响评估,帮助客户正确应对黑客攻击,降低攻击带来的安全损失。

  处罚:拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。

  政务安全治理

  涉及行业: 政府机构 事业单位 公共服务职能部门 ……

  《网络安全法》第三十四条规定:

  除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

  1. 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

  2. 定期对从业人员进行网络安全教育、技术培训和技能考核;

  3. 对重要系统和数据库进行容灾备份;

  4. 制定网络安全事件应急预案,并定期进行演练;

  5. 法律、行政法规规定的其他义务。

  解读:

  关键基础设施的安全隐患具有很大的破坏性和杀伤力,《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。

  应对策略:阿里政务云为政务行业量身定制、安全合规的政务专属云资源服务平台,提供较公共云更高等级安全防护,认证成为政务云用户免费提供WAF、安骑士、态势感知、DDOS10G防护等7项高等级安全服务。

  处罚:不履行本法相关条款的网络安全保护义务的,拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

  个人信息保护

  涉及行业: 事业单位 通信 传媒 金融 医疗 电商 游戏 ……

  《网络安全法》第四十一、四十二、四十三条规定:

  第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

  第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

  解读:

  从这三条条款中可以看出,《网络安全法》聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为,对保护公众个人信息安全将起到积极作用。

  除严防个人信息泄露,《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

  应对策略:阿里云提供了从数据传输安全、数据存储加密到数据使用安全等,三位一体的个人信息防护态势。网站页面中出现个人隐私敏感数据的检测识别,并进一步给出预警和屏蔽敏感信息等防护措施,避免网站经营数据泄露。

  处罚:违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

  等保测评

  涉及行业: 政府机构 事业单位 传媒 金融 公共服务职能部门 ……

  《网络安全法》第三十八条规定:

  关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门

  解读:

  明确了关键基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等级保护测评至少从技术上可以满足这个要求,等级保护测评就是对单位重要信息系统做的一个安全检测评估。

  应对策略:阿里云帮助关键基础设施运营商,提供全面的等级测评服务,快速通过公安部要求的《信息系统安全等级保护》测评。由阿里云的合作伙伴-各省市等保测中心为您提供专业服务。

  处罚:不履行本条款的网络安全保护义务,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。