\r 今年3月份全国两会上,十二届全国人大大会发言人傅莹说:“今年将开展《网络安全法》执法检查,重点关注个人信息保护。” \r
\r
\r 不仅从法律层面严肃了网络安全的重要性,且法律条文清晰标示了禁止准入、行政处分和判罚、刑事判罚等一系列的红线。 \r
\r
\r 这是护身符还是紧箍咒?端看企业如何解读和执行《网络安全法》了。 \r
\r
\r 我们建议,企业客户在条件允许的情况下,应尽量谨慎,提高企业安全等级,减少触网概率,降低触法风险。 \r
\r
\r 溯源 \r
\r
\r 2013年下半年,《网络安全法》立法提上日程; \r
\r
\r 2014年,形成《网络安全法》草案; \r
\r
\r 2015年初,形成征求意见稿,并于同年6月一审; \r
\r
\r 2016年11月7日,十二届全国人大常务会议通过《中华人民共和国网络安全法》; \r
\r
\r 2017年6月1日,《网络安全法》正式实施。 \r
\r
\r 解读 \r
\r
\r 作为我国第一部网络安全的基本立法,《网络安全法》共有七章79条,有六方面突出亮点: \r
\r
\r 1. \r网络安全法明确了网络空间主权的原则。 \r
\r
\r 2. \r明确了网络产品和服务提供者的安全义务。 \r
\r
\r 3. \r明确了网络运营者的安全义务。 \r
\r
\r 4. \r进一步完善了个人信息保护守则。 \r
\r
\r 5. \r建立了关键信息基础设施安全保护制度。 \r
\r
\r 6. \r确立了关键信息基础设施重要数据跨境传输的规则。 \r
\r
\r 目前,网络安全法的具体细则还没有完全出来。今天,我们先和大家一起来解读下《网络安全法》中,与企业信息安全息息相关的部分。 \r
\r
\r 第二十一条,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 \r
\r
\r 第三十八条,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 \r
\r
\r 21条和38条,明确要求有关键信息基础设施的运营者,应当履行网络安全等级保护制度,每年至少进行一次检测评估,国家网信部门则会对检测评估结果进行抽查。由此我们可以看出,网络安全法与信息系统安全等级保护工作的关系十分紧密。 \r
\r
\r 众所周知,信息系统安全等级保护制度已实施多年。《网络安全法》虽还未明确网络安全等级保护制度的评估标准,但从技术上来说,这两者是相融相通的。因此,等级保护测评就是对单位重要信息系统做的一个安全检测评估,过了等保测评就能够满足第21条和38条的要求。 \r
\r
\r 建议 \r
\r
\r 等保条例中,已对于主机安全、应用安全、数据安全提出了明确的技术要求,同时明确提出应该具有人员安全管理、运维安全管理制度。现在,我们从等保条例的要求入手,来分析下企业从哪些方面着手,能更好地满足《网络安全法》的要求。 \r
\r
\r 安全首先是对“人”的管理,体现在以下两点: \r
\r
\r 1. 集中的用户身份管理,建立基于生命周期的统一身份视图,明确出具有特权权限的用户:人”即用户,用户包括自然人身份,也包括可虚拟自然人,例如移动设备、API、第三方应用等等; \r
\r
\r 构建起权威的统一身份数据中心,为每一类型的用户贴上能够标识其身份的属性标签,建立全局统一的身份ID策略,同时也允许多种身份标识存在,例如自然人可以是IDCard、手机号、邮箱等IT身份ID,也可以是生物特征(指纹、虹膜、人脸)等。为虚拟自然人制定序列化ID策略,颁发可代表其唯一身份的安全key,例如API、硬件设备、第三方应用。 \r
\r
\r \r
\r
\r
\r
\r
\r 2. 集中的用户身份统一认证与访问鉴权 \r
\r
\r 基于统一的身份数据中心基础之上,构建全局统一身份认证中心,提供多样化认证服务,支持灵活的安全多因素认证策略配置,可对外提供标准的认证SDK、Restful API服务;依据人员角色设定访问权限,实现权限角色化管理。 \r
\r
\r
\r
\r
\r
\r
\r
\r
\r 安全还需要能够做到事后及时追溯违规事件,主要体现在以下两点: \r
\r
\r 1. 集中的安全事件与日志存储 \r
\r
\r 网络安全法中明确规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,某些行业对于日志的存储时间要求更长。日志信息分散在各类不同的设备及应用系统中,不便于管理和查看分析,这就意味着我们需要一个统一的日志管理与分析平台,首先确保所有的日志能够集中存储,针对大数据量的日志采用大数据HDFS存储技术进行存储,有利于日志集中管理和分析。 \r
\r
\r
\r
\r
\r
\r
\r
\r
\r 2. 安全审计与事件分析,进行风险缓解 \r
\r
\r 基于集中的日志存储,对用户操作、访问行为进行分析,对违规操作行为及事故进行溯源和预警;可输出全方位的审计报表,确保所有信息事件可追溯。 \r
\r
\r
\r
\r