張新躍:落實《網絡安全法》要求,做好關鍵信息基礎設施安全保護
責編:mhshi |2017-06-15 15:28:55
2017年6月1號,國家《網絡安全法》正式實施。對于涉及到關鍵基礎設施的企業,都是一種挑戰。本文是對《網絡安全法》要點進行解讀、關鍵信息基礎設施認定與保護、總結和展望。
2017年的6月1號,《網絡安全法》正式實施。從2013年下半年就開始,2014年形成征求意見稿。一審是在2015年的6月份,改動意見比較大。最主要的變化是加入了對關鍵信息技術設計和信息保護的明確定義,在安全設施、安全產業方面有更詳細的描述,提升到國家網絡安全戰略的高度。2016年10月31日進行三審,對信息技術設施的定義描述得更準確,針對一些新型的網絡詐騙、網絡犯罪、個人信息泄露的懲罰措施規定得更加具體。《網絡安全法》出臺以后,業界對條文的反響不一。
《網絡安全法》勾勒了國家網絡安全頂層設計的框架和藍圖。盡管內容和相關條文不是很細,現在正在制定相關條例。突出了關鍵信息基礎設施保護的要求。強調了公民隱私和個人信息保護。強化了安全監測預警和應急處置機制。明確了各責任主體法律責任和義務。
《網絡安全法》發布的核心作用就是三個方面:是落實國家總體安全觀的重要舉措;是維護網絡安全的客觀需要;是維護國家廣大人民群眾切身利益的需要。明確規定了行政主管部門、網絡和系統運營單位、行業和社會團體、個人的職責和義務。
《網絡安全法》明確了網絡安全空間的主權原則。從安全運營來講,明確了網絡產品和服務提供者的安全義務,明確了網絡運營者的安全義務,建立了關鍵信息基礎設施安全保護制度。進一步完善了個人信息保護規則。確立了各有關主管部門、網絡運營者、使用人的義務和責任。
進一步明確了各主體的安全責任,主要包括網信部門、行業主管部門、網絡運營單位、公民個體。我們國家的網絡安全事件、網絡安全行為是由什么人、什么部門、該做什么樣的事。
突出了關鍵信息基礎設施保護的要求。《網絡安全法》的第三章通篇都在講關鍵信息基礎設施。這一條也強調了等級保護。等級保護是基礎,關鍵信息基礎設施保護是在等保之上。我們國家最核心的信息資產是以時間樣的規則、手段進行保護。
產品和服務的合規性更加明確,《網絡安全法》有五條跟產品和服務相關的:產品不得設置惡意程序、后門;發現存在安全缺陷、漏洞等風險時,應當立即采取補救措施;具有收集用戶信息功能的,應當向用戶明示;關鍵設備和網絡安全產品應當按照國家標準進行強制性檢測;網信部門推動安全認證和安全檢測結果互認,避免重復認證、檢測。
關鍵信息基礎設施產品和服務的合規要求更高。關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家安全審查。關鍵基礎設施里最常用、最核心的部分,大家都在使用的操作系統、中間件、數據庫類的產品,可能會影響到國家安全的,應該由網信部門組織安全審查;關鍵信息基礎設施的運營者在境內運營中收集和產品的個人信息和重要數據應當在境內存儲。確需向境外提供的,應當按照有關部門制定的辦法進行安全評估。
統籌協調推動安全保障能力提升。檢測評估成常態,關鍵信息基礎設施的運營者每年至少一次檢測評估自查國家網信部門應當統籌協調有關部門進行抽查檢測,提出改進措施;應急協調有機制,定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應急網絡安全事件的水平和協同配合能力;能力建設是目標,促進有關部門、運營者、研究機構、網絡安全服務機構等之間的信息共享。
強調了公民隱私和個人信息保護,主要包括六個方面:采集許可。網絡產品、服務具有收集用戶信息功能的,應向用戶明示并取得同意;保護義務,網絡運營者應采取技術措施,確保個人信息的安全,防止信息泄露、損毀和丟失;舉報通道,網絡運營者應當建立網絡信息安全投訴、舉報制度,公布舉報方式,對違規個人信息處理的行為進行舉報素;行為約束,任何個人和組織應當對其使用網絡行為負責,不得設立用于實施詐騙、傳授犯罪方法,不得利用網絡發布涉及實施詐騙;境內存儲,關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲;執法限權,網絡安全監督管理職責的部門及人員,必須知悉個人信息、隱私等嚴格保密,不得向他人提供。網信部門和有關部門在履行網絡安全保護職責中獲取的信息,只能用于維護網絡安全的需要,不得用于其他用途。
《網絡安全法》強化了安全監測預警和應急處置機制。信息通報制度上升為法律,建立國家層面網絡安全監測預警和信息通報制度。支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作,提高網絡運營者的安全保障能力。網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制,制定應急預案,并定期組織演練。
進一步明確了安全事件處置的原則和要求。規定了國家有關部門和網絡運營單位的職責。
明確了各責任主體法律責任和義務。網絡運營單位的合規要求,主要包括個人信息的收集和利用、健全用戶信息保護制度、網絡運營者對用戶非法信息傳播的監管、落實網絡實名制等等方面的要求。
下面重點介紹一下關鍵信息基礎設施的認定與保護。
關于關鍵信息基礎設施的認定。這里列出的幾個標準是正在做的,網絡安全框架、網絡安全保護要求、安全控制要求、安全保障指標體系、安全檢查評估指南。大家可以關注一下相關標準的制定進展。
關鍵信息基礎設施不是新詞,隨著互聯網的發展,很多業務系統都在互聯網上操作,承載著越來越重要的信息,很多平臺也納入了關鍵信息基礎設施的范疇。
我們國家對于相關關鍵基礎設施的認定指南正在做,我引用的是去年網信辦發布的3號文件《做好關鍵基礎設施檢查的通知》。第一類是指重要的黨政機關網站和重要新聞信息網站。第二類是平臺類,因為互聯網的快速發展,很多系統都會面向公眾,包括即時通信、網上購物、網絡支付、搜索引擎、公共郵箱、地圖、音視頻等網站,承載的信息、數據越來越重要,成為老百姓日常生活必不可少的部分。一旦出現問題,肯定會影響整個國家的安全穩定。第三類是傳統的關鍵基礎設施,電力、交通、金融、通信、市政、電子政務、能源控制、大型數據中心、各類云平臺。
關鍵基礎設施的識別和認定,各行業主管部門正在做自己的認定。目前這是一個總體的要求,各個行業還會做比較細分的要求,承載的對象和內容也會有區別。比如,平臺類的,對于注冊用戶、活躍用戶、訪問量等等角度進行了要求。
關鍵信息基礎設施十三個重要領域,包括:黨政機關和重要新聞網站、具有全國影響的重要互聯網平臺、能源(電力、石油化工、煤炭)、金融(銀行、證券期貨、保險)、交通(鐵路、民航、公路、水運)、水利、醫療衛生、環境保護、工業制造(原材料、裝備、消費品、電子制造等)、電子政務辦公和生產系統、廣播電視、電信與互聯網(運營商、互聯網服務提供商、電信增值業務商等)、市政(城市供水、熱、氣、軌道交通、污水處理等)。
進行了關鍵基礎設施的認定,才能做好關鍵基礎設施的保護。關于關鍵基礎設施保護要求的相關標準正在制定。大家都在講關鍵基礎設施到底要保護什么、要求是什么。在做要求的時候,更多的是講一些原則,不會涉及到很細的內容。現在的要求很多,都等保,有風險評估,各行各業都有自己的要求。
做好安全合規,建立保護基線。安全基線實際上就是各行各業正在執行的各種安全要求。要找準定位,對號入座,先去做合規。要梳理定義安全保護對象安全要求,構建基本的安全能力基線。
明確保障重點,建立縱深防御。安全能力基線基礎上重點保護(核心數據、核心資產,可管、可控、可信),實現多層次的防御體系(監測、防護、審計),風險統一管控及時響應。
優化風險管理,推動持續評估。這一點跟《網絡安全法》的精神是匹配的。全方位安全態勢感知、監控、預警,進行閉環的安全風險管理,量化安全能力評估。
加強協同保護,形成保護合力。當我發現問題的時候,可能不是我擅長的,我需要安全公司幫我分析樣本。一體化的風險識別、防護和應急響應,實現資源共享和聯動防御,安全威脅與情報共享,進行快速的威脅響應。
做好安全合規,建立保護基線。要清楚的知道你的基線在哪里。行業有等保的要求,如果是關鍵基礎設施,這是基本的要求,是需要大家共同遵守的要求。在此基礎上,是不是合規了。你的威脅分析,是對數據敏感,還是業務聯系很重要。梳理完以后,才能找到你關注的重點是什么。
建立了保護基線,管理肯定是逐級,自上而下的。技術上更多的是自下而上,各種安全手段,是否能成體系。
明確保障重點,建立縱深防御。縱深防御也不是個新詞,過去叫塔防。你要清楚地知道保護對象是什么。CNNIC的關鍵就是不能有時延,我們的設計本身是多維度的,在幾大出入節點會購買運營商的服務。從運營商側到節點側、設備側和應用本身是層層設防,這樣才能應對比較重大的攻擊行為。
優化風險管理,推動持續評估。《網絡安全法》規定了每年進行一次風險評估。很多人有一個誤區,做了是不是就安全了?大家發現,做了也未必安全。因為安全是動態的事情,你的能力必須定期的優化和評估。
加強協同保護,形成保護合力。每一個甲方單位都有很多的設備。當遇到重大安全事件的時候,是否足夠應付。前段時間的勒索軟件病毒,類似這樣的重大事件,單靠一家是否能處置?答案是否定的。針對一些大規模的有備而來的攻擊,這個時候恰恰是需要協同,恰恰是需要共同發力的。
這里講的協同分為兩個部分,內部協同和外部協同。內部協同是指現有安全子系統能發揮多大的作用。外部協同是指加強與監管機構、運營企業、安全服務商交換情報,進行聯合防御。通過這樣的機制,可以在有限的時間內快速地處理威脅,整體提升關鍵基礎設施的保障水平和保障能力。
《網絡安全法》給產業發展帶來了新的機遇。大家可能覺得《網絡安全法》給網絡企業帶來很大的負擔,實際上它對行業從業人員是一個政策紅利。通過《網絡安全法》的深層次推進,能夠極大的促進國家網絡安全保障水平的提高、產業的進步。
