《网络安全法》于2017年6月1日正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。该法的发布也标志着国家网络安全等级保护工作正式进入2.0时代,现在不做等保就是违法了。
网络安全法明确等级保护工作重点
本章节内容将网络安全法中与等级保护有关的条款进行解读分析,从网络安全法角度梳理出我们等级保护工作的重点和核心。
《网络安全法》第二十一条说明如下:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
解读:本条规定的是网络运营者的义务。条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度(即等级保护1.0)有非常大的关联,也说明国家会修订和出台相关“网络安全等级保护”的相关配套制度(即等级保护2.0),目前等级保护2.0标准体系的修订工作已基本完成,近期即将出台。
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
解读:一般第一主要责任人是单位一把手,厅长、局长、院长、校长等领导,第二主要责任人是单位具体分管信息化、分管网络安全的领导,副厅长、副局长、副院长、副校长或总工等。
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
解读:一般来说防火墙、IDS、IPS、防病毒网关、杀毒软件和防DDOS攻击系统等属于这类技术措施。
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
解读:网络审计、行为审计、运维审计、日志管理分析、安全管理平台和态势感知平台等都属于这类技术措施。
(四)采取数据分类、重要数据备份和加密等措施;
解读:数据安全越来越重要,等保方案需要充分考虑数据备份、数据传输和数据存储安全等内容。
(五)法律、行政法规规定的其他义务。
通过以上解读,了解了网络安全法明确等级保护工作的重点,接下来再聊聊网络安全法如何明确等级保护工作的核心。
网络安全法明确等级保护工作核心
1.关键信息基础设施的定义
第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
解读:等级保护工作的核心是关键信息基础设施,本条首先定义了什么是关键信息基础设施。国家互联网信息办公室已于2017年7月发布《关键信息基础设施安全保护条例(征求意见稿)》,参照网络安全法和关键信息基础设施安全保护条例等法律法规要求,关键信息基础设施的认定可参照下表:
2.关键信息基础设施的安全保护义务
第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。
解读:本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。
第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。
3.敏感信息保存
第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估。
解读:本条是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。这里有两个关键词,一个是“重要数据”,什么是重要数据,相关的常见提法还有“业务数据”、“运营数据”“、服务数据”、“个人数据”、“企业数据”、“国家数据”,专家认为,重要数据是从影响因子的权重来区分数据,是一种新的数据分类方式,而不是从用途和归属的角度去分类。另一个关键词是“安全评估”,这个安全评估的方式是将来要出台的配置制度。相关问题也并不清晰,例如评估对象的问题,是对要流向境外的数据进行评估?还是对业务的模式进行评估?还有谁来评估的问题,是主管单位来评估,还是运营者自己进行评估? 本条说明了将来会出台“向境外提供关键信息基础设施重要数据的安全评估办法”。
第六十六条 运营者违反规定的,没收违法所得,罚款5-50万元,吊销执照,直接责任人罚款1-10万元。
4.风险检测评估
第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。
解读:本条主要是关于对关键信息基础设施年度检测评估的问题。这里提到了网络安全服务机构,就是我们常说的提供风险评估等各类安全服务的机构,这些机构以后又多了一项业务了。
第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。
等保2.0的标准体系和工作流程
等级保护2.0标准体系
等级保护2.0系列标准(框架图如图1所示)已形成标准送审稿,近期将颁布出台。等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
图1 网络安全等级保护系列标准框架图
等级保护2.0工作流程如图2所示。
图2 等级保护2.0工作流程图
来源:e安在线
