【觀點】《網(wǎng)絡(luò)安全法》實施在即，企業(yè)的“護身符“？”緊箍咒“？

\r 今年3月份全國兩會上，十二屆全國人大大會發(fā)言人傅瑩說：“今年將開展《網(wǎng)絡(luò)安全法》執(zhí)法檢查，重點關(guān)注個人信息保護。” \r

\r

\r 不僅從法律層面嚴(yán)肅了網(wǎng)絡(luò)安全的重要性，且法律條文清晰標(biāo)示了禁止準(zhǔn)入、行政處分和判罰、刑事判罰等一系列的紅線。 \r

\r

\r 這是護身符還是緊箍咒？端看企業(yè)如何解讀和執(zhí)行《網(wǎng)絡(luò)安全法》了。 \r

\r

\r 我們建議，企業(yè)客戶在條件允許的情況下，應(yīng)盡量謹(jǐn)慎，提高企業(yè)安全等級，減少觸網(wǎng)概率，降低觸法風(fēng)險。 \r

\r

\r 溯源 \r

\r

\r 2013年下半年，《網(wǎng)絡(luò)安全法》立法提上日程； \r

\r

\r 2014年，形成《網(wǎng)絡(luò)安全法》草案； \r

\r

\r 2015年初，形成征求意見稿，并于同年6月一審； \r

\r

\r 2016年11月7日，十二屆全國人大常務(wù)會議通過《中華人民共和國網(wǎng)絡(luò)安全法》； \r

\r

\r 2017年6月1日，《網(wǎng)絡(luò)安全法》正式實施。 \r

\r

\r 解讀 \r

\r

\r 作為我國第一部網(wǎng)絡(luò)安全的基本立法，《網(wǎng)絡(luò)安全法》共有七章79條，有六方面突出亮點： \r

\r

\r 1.      \r網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)空間主權(quán)的原則。 \r

\r

\r 2.      \r明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)。 \r

\r

\r 3.      \r明確了網(wǎng)絡(luò)運營者的安全義務(wù)。 \r

\r

\r 4.      \r進一步完善了個人信息保護守則。 \r

\r

\r 5.      \r建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度。 \r

\r

\r 6.      \r確立了關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸?shù)囊?guī)則。 \r

\r

\r 目前，網(wǎng)絡(luò)安全法的具體細則還沒有完全出來。今天，我們先和大家一起來解讀下《網(wǎng)絡(luò)安全法》中，與企業(yè)信息安全息息相關(guān)的部分。 \r

\r

\r 第二十一條，國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。 \r

\r

\r 第三十八條，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。 \r

\r

\r 21條和38條，明確要求有關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，應(yīng)當(dāng)履行網(wǎng)絡(luò)安全等級保護制度，每年至少進行一次檢測評估，國家網(wǎng)信部門則會對檢測評估結(jié)果進行抽查。由此我們可以看出，網(wǎng)絡(luò)安全法與信息系統(tǒng)安全等級保護工作的關(guān)系十分緊密。 \r

\r

\r 眾所周知，信息系統(tǒng)安全等級保護制度已實施多年。《網(wǎng)絡(luò)安全法》雖還未明確網(wǎng)絡(luò)安全等級保護制度的評估標(biāo)準(zhǔn)，但從技術(shù)上來說，這兩者是相融相通的。因此，等級保護測評就是對單位重要信息系統(tǒng)做的一個安全檢測評估，過了等保測評就能夠滿足第21條和38條的要求。 \r

\r

\r 建議 \r

\r

\r 等保條例中，已對于主機安全、應(yīng)用安全、數(shù)據(jù)安全提出了明確的技術(shù)要求，同時明確提出應(yīng)該具有人員安全管理、運維安全管理制度?，F(xiàn)在，我們從等保條例的要求入手，來分析下企業(yè)從哪些方面著手，能更好地滿足《網(wǎng)絡(luò)安全法》的要求。 \r

\r

\r 安全首先是對“人”的管理，體現(xiàn)在以下兩點： \r

\r

\r 1. 集中的用戶身份管理，建立基于生命周期的統(tǒng)一身份視圖，明確出具有特權(quán)權(quán)限的用戶：人”即用戶，用戶包括自然人身份，也包括可虛擬自然人，例如移動設(shè)備、API、第三方應(yīng)用等等； \r

\r

\r 構(gòu)建起權(quán)威的統(tǒng)一身份數(shù)據(jù)中心，為每一類型的用戶貼上能夠標(biāo)識其身份的屬性標(biāo)簽，建立全局統(tǒng)一的身份ID策略，同時也允許多種身份標(biāo)識存在，例如自然人可以是IDCard、手機號、郵箱等IT身份ID，也可以是生物特征（指紋、虹膜、人臉）等。為虛擬自然人制定序列化ID策略，頒發(fā)可代表其唯一身份的安全key，例如API、硬件設(shè)備、第三方應(yīng)用。 \r

\r

\r \r

\r

\r
\r

\r

\r 2. 集中的用戶身份統(tǒng)一認(rèn)證與訪問鑒權(quán) \r

\r

\r 基于統(tǒng)一的身份數(shù)據(jù)中心基礎(chǔ)之上，構(gòu)建全局統(tǒng)一身份認(rèn)證中心，提供多樣化認(rèn)證服務(wù)，支持靈活的安全多因素認(rèn)證策略配置，可對外提供標(biāo)準(zhǔn)的認(rèn)證SDK、Restful API服務(wù)；依據(jù)人員角色設(shè)定訪問權(quán)限，實現(xiàn)權(quán)限角色化管理。 \r

\r

\r

\r
\r

\r

\r
\r

\r

\r 安全還需要能夠做到事后及時追溯違規(guī)事件，主要體現(xiàn)在以下兩點： \r

\r

\r 1. 集中的安全事件與日志存儲 \r

\r

\r 網(wǎng)絡(luò)安全法中明確規(guī)定“采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”，某些行業(yè)對于日志的存儲時間要求更長。日志信息分散在各類不同的設(shè)備及應(yīng)用系統(tǒng)中，不便于管理和查看分析，這就意味著我們需要一個統(tǒng)一的日志管理與分析平臺，首先確保所有的日志能夠集中存儲，針對大數(shù)據(jù)量的日志采用大數(shù)據(jù)HDFS存儲技術(shù)進行存儲，有利于日志集中管理和分析。 \r

\r

\r

\r
\r

\r

\r
\r

\r

\r 2. 安全審計與事件分析，進行風(fēng)險緩解 \r

\r

\r 基于集中的日志存儲，對用戶操作、訪問行為進行分析，對違規(guī)操作行為及事故進行溯源和預(yù)警；可輸出全方位的審計報表，確保所有信息事件可追溯。 \r

\r

\r

\r
\r