En 400-6655-581
5
返回列表
> 資源中心 > 文章>榮譽(yù)&資訊> 【觀點(diǎn)】《網(wǎng)絡(luò)安全法》實(shí)施在即,企業(yè)的“護(hù)身符“?”緊箍咒“?

【觀點(diǎn)】《網(wǎng)絡(luò)安全法》實(shí)施在即,企業(yè)的“護(hù)身符“?”緊箍咒“?

文章

2019-05-10瀏覽次數(shù):107

\r 今年3月份全國(guó)兩會(huì)上,十二屆全國(guó)人大大會(huì)發(fā)言人傅瑩說(shuō):“今年將開(kāi)展《網(wǎng)絡(luò)安全法》執(zhí)法檢查,重點(diǎn)關(guān)注個(gè)人信息保護(hù)。” \r

\r

\r 不僅從法律層面嚴(yán)肅了網(wǎng)絡(luò)安全的重要性,且法律條文清晰標(biāo)示了禁止準(zhǔn)入、行政處分和判罰、刑事判罰等一系列的紅線。 \r

\r

\r 這是護(hù)身符還是緊箍咒?端看企業(yè)如何解讀和執(zhí)行《網(wǎng)絡(luò)安全法》了。 \r

\r

\r 我們建議,企業(yè)客戶在條件允許的情況下,應(yīng)盡量謹(jǐn)慎,提高企業(yè)安全等級(jí),減少觸網(wǎng)概率,降低觸法風(fēng)險(xiǎn)。 \r

\r

\r 溯源 \r

\r

\r 2013年下半年,《網(wǎng)絡(luò)安全法》立法提上日程; \r

\r

\r 2014年,形成《網(wǎng)絡(luò)安全法》草案; \r

\r

\r 2015年初,形成征求意見(jiàn)稿,并于同年6月一審; \r

\r

\r 2016年117日,十二屆全國(guó)人大常務(wù)會(huì)議通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》; \r

\r

\r 2017年61日,《網(wǎng)絡(luò)安全法》正式實(shí)施。 \r

\r

\r 解讀 \r

\r

\r 作為我國(guó)第一部網(wǎng)絡(luò)安全的基本立法,《網(wǎng)絡(luò)安全法》共有七章79條,有六方面突出亮點(diǎn): \r

\r

\r 1.      \r網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)空間主權(quán)的原則。 \r

\r

\r 2.      \r明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)。 \r

\r

\r 3.      \r明確了網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)。 \r

\r

\r 4.      \r進(jìn)一步完善了個(gè)人信息保護(hù)守則。 \r

\r

\r 5.      \r建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度。 \r

\r

\r 6.      \r確立了關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸?shù)囊?guī)則。 \r

\r

\r 目前,網(wǎng)絡(luò)安全法的具體細(xì)則還沒(méi)有完全出來(lái)。今天,我們先和大家一起來(lái)解讀下《網(wǎng)絡(luò)安全法》中,與企業(yè)信息安全息息相關(guān)的部分。 \r

\r

\r 第二十一條,國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。 \r

\r

\r 第三十八條,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。 \r

\r

\r 21條和38條,明確要求有關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,應(yīng)當(dāng)履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,每年至少進(jìn)行一次檢測(cè)評(píng)估,國(guó)家網(wǎng)信部門則會(huì)對(duì)檢測(cè)評(píng)估結(jié)果進(jìn)行抽查。由此我們可以看出,網(wǎng)絡(luò)安全法與信息系統(tǒng)安全等級(jí)保護(hù)工作的關(guān)系十分緊密。 \r

\r

\r 眾所周知,信息系統(tǒng)安全等級(jí)保護(hù)制度已實(shí)施多年?!毒W(wǎng)絡(luò)安全法》雖還未明確網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的評(píng)估標(biāo)準(zhǔn),但從技術(shù)上來(lái)說(shuō),這兩者是相融相通的。因此,等級(jí)保護(hù)測(cè)評(píng)就是對(duì)單位重要信息系統(tǒng)做的一個(gè)安全檢測(cè)評(píng)估,過(guò)了等保測(cè)評(píng)就能夠滿足第21條和38條的要求。 \r

\r

\r 建議 \r

\r

\r 等保條例中,已對(duì)于主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全提出了明確的技術(shù)要求,同時(shí)明確提出應(yīng)該具有人員安全管理、運(yùn)維安全管理制度?,F(xiàn)在,我們從等保條例的要求入手,來(lái)分析下企業(yè)從哪些方面著手,能更好地滿足《網(wǎng)絡(luò)安全法》的要求。 \r

\r

\r 安全首先是對(duì)“人”的管理,體現(xiàn)在以下兩點(diǎn): \r

\r

\r 1. 集中的用戶身份管理,建立基于生命周期的統(tǒng)一身份視圖,明確出具有特權(quán)權(quán)限的用戶:人”即用戶,用戶包括自然人身份,也包括可虛擬自然人,例如移動(dòng)設(shè)備、API、第三方應(yīng)用等等; \r

\r

\r 構(gòu)建起權(quán)威的統(tǒng)一身份數(shù)據(jù)中心,為每一類型的用戶貼上能夠標(biāo)識(shí)其身份的屬性標(biāo)簽,建立全局統(tǒng)一的身份ID策略,同時(shí)也允許多種身份標(biāo)識(shí)存在,例如自然人可以是IDCard、手機(jī)號(hào)、郵箱等IT身份ID,也可以是生物特征(指紋、虹膜、人臉)等。為虛擬自然人制定序列化ID策略,頒發(fā)可代表其唯一身份的安全key,例如API、硬件設(shè)備、第三方應(yīng)用。 \r

\r

\r \r

\r

\r
\r

\r

\r 2. 集中的用戶身份統(tǒng)一認(rèn)證與訪問(wèn)鑒權(quán) \r

\r

\r 基于統(tǒng)一的身份數(shù)據(jù)中心基礎(chǔ)之上,構(gòu)建全局統(tǒng)一身份認(rèn)證中心,提供多樣化認(rèn)證服務(wù),支持靈活的安全多因素認(rèn)證策略配置,可對(duì)外提供標(biāo)準(zhǔn)的認(rèn)證SDK、Restful API服務(wù);依據(jù)人員角色設(shè)定訪問(wèn)權(quán)限,實(shí)現(xiàn)權(quán)限角色化管理。 \r

\r

\r \r

\r

\r
\r

\r

\r
\r

\r

\r 安全還需要能夠做到事后及時(shí)追溯違規(guī)事件,主要體現(xiàn)在以下兩點(diǎn): \r

\r

\r 1. 集中的安全事件與日志存儲(chǔ) \r

\r

\r 網(wǎng)絡(luò)安全法中明確規(guī)定“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”,某些行業(yè)對(duì)于日志的存儲(chǔ)時(shí)間要求更長(zhǎng)。日志信息分散在各類不同的設(shè)備及應(yīng)用系統(tǒng)中,不便于管理和查看分析,這就意味著我們需要一個(gè)統(tǒng)一的日志管理與分析平臺(tái),首先確保所有的日志能夠集中存儲(chǔ),針對(duì)大數(shù)據(jù)量的日志采用大數(shù)據(jù)HDFS存儲(chǔ)技術(shù)進(jìn)行存儲(chǔ),有利于日志集中管理和分析。 \r

\r

\r \r

\r

\r
\r

\r

\r
\r

\r

\r 2. 安全審計(jì)與事件分析,進(jìn)行風(fēng)險(xiǎn)緩解 \r

\r

\r 基于集中的日志存儲(chǔ),對(duì)用戶操作、訪問(wèn)行為進(jìn)行分析,對(duì)違規(guī)操作行為及事故進(jìn)行溯源和預(yù)警;可輸出全方位的審計(jì)報(bào)表,確保所有信息事件可追溯。 \r

\r

\r \r

\r

\r
\r