史上最全:网络安全法解析、公安部安全检查应对指南

本文包含

一、网络安全法将带来的国内网络安全环境的改变。
二、法律解析,不同领域应该如何应对。
三、东软NetEye如何帮助你应对执法检查。
四、附录:网络安全法全文。

篇幅较长,按需阅读

众所周知,《中华人民共和国网络安全法》(以下简称网络安全法)2016年11月7日发布,今年6月1日正式施行。值得关注的是,公安部已在今年年初全面开始准备部署以网络安全法为基础的全国网络安全大检查。据悉,重点检查保卫目标为党政机关、重要行业、国有企事业单位、大型信息技术和互联网企业,以及国家关键信息基础设施等。无论你是否在此行列,网络安全法施行带来的信息安全革命都是无法躲过的,在此,东软NetEye将为你详细解读如何应对网络安全法带来的新要求。

一、网络安全法将带来的国内网络安全环境的改变

网络安全法主要明确的是信息化建设中基础设施安全和个人信息安全这两个重点的防护规定。从自发重视网络安全转变到法律强制执行后,网络安全领域的市场空间无疑将迎来快速增长。

宏观层面
➤依据:为国家采用手段处理网络安全风险和威胁提供法理依据。使网络违法犯罪活动的惩治、维护网络空间安全和秩序等切实工作都做到了有法可依。

➤战略:国家网络安全战略是国家网络安全的顶层设计和战略框架,为明确保障网络安全的基本要求和主要目标,网络安全法提出了重点领域的网络安全政策、工作任务和措施,明确了保障网络安全的基本要求和主要目标,表明国家网络安全战略正全面升级。

➤统筹规划、体系建设:立法后,国家课题投入将逐年增强,以促进网络安全技术和产业的发展。高校、企业、研究机构将参与网络安全国家标准、行业标准的制定。立法后 CISP和CISSP等网络安全认证会受到更多的重视,白盒测试和渗透测试等安全服务的市场需求也会加大。(东软NetEye系中国信息安全测评中心授权的注册信息安全专业人员(CISP)培训机构。)

➤权责:本法明确了网络安全的监管责任:中央网信办网络安全协调局负责统筹协调,工信部网络安全管理局负责网络安全相关管理工作,公安部十一局(网络安全保障局)负责安全保障工作。任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

➤合作:法律中对网络安全领域开展交流合作的总体规定,表明了我国在网络安全领域开放合作的立场,技术创新融合和网络安全相关标准会得到更多的重视。

➤行业规范:网络相关行业组织将按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展,各行业安全规范将有法可依。

➤人才:立法后,网络安全教育和相关培训市场将会迅猛增长。

微观层面
➤限制网络运营者:网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
 
➤未成年:国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,未成年的网络环境将更加安全和健康。
 
➤安全能力:立法后,网络运营商、电子政务网站需要具有防病毒,入侵检测和防御,日志存储,数据备份和加密的能力、升级能力。安全厂商的设备需要经过安全认证才能销售,未来将出台“网络关键设备和网络安全专用产品目录”。预计将来实名认证将促使大数据分析的结果更加准确。网络安全认证、测评和安全测试等安服市场份额将增加,国家将大力支持在网络运营商之间、本行业的信息共享能力。
 
➤关键信息基础设施:立法后,关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。可以预见的是,关键信息基础设施会逐渐用国产设备来替换国外设备,预计国家将会出台“向境外提供关键信息基础设施重要数据的安全评估办法”,网络安全服务市场会增加大量的需求。
 
➤大数据:立法后,个人信息与用户信息泄露问题将上升到法律层面,对于不同类型的数据泄露定责提出相应法律依据和要求,同时提出了网络运营者应承担的义务和责任。
 
➤监测预警与应急处置:立法后,明确了在国家层面建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急响应机制,制定网络安全事件应急预案并定期演练。这为建立统一的网络安全风险通告机制、情报共享机制、事件分析和处理机制提供了立法保证,为深化网络安全防护体系,实现全面的网络安全态势感知提供了法律基石。


 

二、网络安全法解析,不同领域应该如何应对

总的来说,网络安全法建立了关键信息基础设施安全保护制度,明确了网络产品和服务提供者、网络运营者的安全义务,确立了关键信息基础设施重要数据跨境传输的规则,明确了网络空间主权的原则。那么针对网络运营者和关键信息基础设施的建设等领域,都应该如何应对该法律的约束?

网络运营者

网络运营者,针对安全法中提出的要求,需要重点注意【入侵防范】、【数据保护】、【日志存储】、【管理制度】等安全部署。网络运营者应及时采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;同时,采取数据分类、重要数据备份和加密等措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
网络运营者应开始构建网络安全事件应急预案,特别是当系统漏洞、计算机病毒、网络攻击和入侵等安全风险爆发时,如果快速高效应对。


关键信息基础设施

关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。根据网络安全法的要求,以上领域需要在网络安全等级保护制度的基础上,实行重点保护。

关键信息基础设施的安全部署也有需要注意的重点,包括【培训】、【灾备】、【应急】、【制度建设】等。定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;制定网络安全事件应急预案,并定期进行演练等。当然,以上安全部署可以借助网络安全供应商的力量。

如果做不到法律的约束,就要承担相应的法律责任。在网络安全法中,也将责任明确如下:

⚑网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

⚑关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

 

三、东软NetEye如何帮助你应对执法检查

东软NetEye的网络安全业务覆盖社保、医疗、工商、财税、电信、能源、金融、政府、交通、教育、环保等20余个行业。重点客户包括:50余家部委级、300余家省级政府客户、50余家省级电信客户、20余家核心金融客户、30余家核心企业客户。20多年的行业经验,使其在对国家政策的把握上非常准确。

自2004年起至今,东软NetEye连续14年蝉联CNCERT/CC(国家互联网应急中心)国家级网络安全应急服务支撑单位。长期以来,东软曾参与信息安全风险评估系列国家标准,公安部、电信、电力等行业标准规范制定工作;系国家云安全标准起草组成员单位、智慧城市安全标准工作组成员。多次协助国家有关部门对电信、税务等行业开展了全国性的信息安全大检查;长期配合政府部门进行漏洞挖掘、标准研究、重大安全事件追查处理等技术支持工作;多次配合公安机关追踪调查多项重大计算机案件, 承担着国家重大信息安全事件的技术响应支持工作,如:2002年中国首例跨省现场抓获DDoS攻击者案件、2008年奥运、2009年国庆庆典、2010年世博会、亚运会、15年九三阅兵、16年奥运会、G20、神舟飞船质量检测、以及近年在国家两会期间,为多个国家部委、金融、电力、交通等基础行业客户提供信息安全保障技术服务。

那么落实到具体需求,东软NetEye可以为你做什么?让我们来看看不同的法律条款,东软NetEye可以提供给你什么样的解决方案。

 












四、网络安全法全文

http://www.miit.gov.cn/n1146295/n1146557/n1146614/c5345009/content.html