從2017年6月1日起��,我國首部《網(wǎng)絡(luò)安全法》正式實施了?����!毒W(wǎng)絡(luò)安全法》的頒布與實施���,不但從國家層面統(tǒng)一了對網(wǎng)絡(luò)安全的認識���,也使我國網(wǎng)絡(luò)安全工作有了基礎(chǔ)性法律框架。
根據(jù)國家相關(guān)立法要求����,法律規(guī)定明確要求有關(guān)國家機關(guān)對專門事項作出配套的具體規(guī)定的,有關(guān)國家機關(guān)應(yīng)當(dāng)自法律施行之日起一年內(nèi)作出規(guī)定����。目前有關(guān)部門正在按照《網(wǎng)絡(luò)安全法》的要求���,抓緊制定相關(guān)配套規(guī)定����,在未來一年內(nèi)將會陸續(xù)頒布實施��。
毫不夸張的說,從2017年開始國內(nèi)所有企業(yè)���、機構(gòu)����,尤其是與重要信息系統(tǒng)��、重要公共服務(wù)��、重要基礎(chǔ)設(shè)施有關(guān)的單位��,所面臨網(wǎng)絡(luò)安全壓力將會越來越大�。未雨綢繆方能從容應(yīng)對,建議相關(guān)企業(yè)��、機構(gòu)等抓緊做好法律實施的準(zhǔn)備工作���,自覺用法律規(guī)范網(wǎng)絡(luò)行為��。
下面筆者就針對《網(wǎng)絡(luò)安全法》實施后���,相關(guān)企業(yè)、機構(gòu)需要盡快提上日程的重點工作進行逐一分析��。
一、等級保護制度是根本��,網(wǎng)絡(luò)安全等級保護需要從1.0升級到2.0
《網(wǎng)絡(luò)安全法》第21條明確規(guī)定了“國家實行網(wǎng)絡(luò)安全等級保護制度�,要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求,履行安全保護義務(wù)”���;第31條規(guī)定“對于國家關(guān)鍵信息基礎(chǔ)設(shè)施����,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上�,實行重點保護”。
等級保護制度已經(jīng)上升為法律���,并在法律層面確立了其在網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)�、核心地位�。由此可見,網(wǎng)絡(luò)安全等級保護制度依然是我國安全工作的根本制度���,網(wǎng)絡(luò)安全等級保護從1.0到2.0需要升級那些內(nèi)容呢?
首先�����,等級保護2.0需要對保護對象進行擴展。等級保護2.0對保護對象進行擴展�,不再只將信息系統(tǒng)作為保護對象,大型互聯(lián)網(wǎng)企業(yè)�、基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)�、網(wǎng)站、大數(shù)據(jù)中心���、云計算平臺����、物聯(lián)網(wǎng)系統(tǒng)�、移動互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)��、公眾服務(wù)平臺等均作為等級保護對象�����。
其次�����,等級保護2.0需要對保護內(nèi)容進行完善���。等級保護2.0將在定級�、備案、建設(shè)整改�、等級測評和監(jiān)督檢查五個規(guī)定動作的基礎(chǔ)上,對等級保護的內(nèi)涵進行豐富和完善���。風(fēng)險評估����、安全監(jiān)測�、通報預(yù)警、案事件調(diào)查�����、數(shù)據(jù)防護�����、災(zāi)難備份���、應(yīng)急處置、自主可控�、供應(yīng)鏈安全�、效果評價�、綜治考核等這些與網(wǎng)絡(luò)安全密切相關(guān)的措施都將全部納入等級保護制度并加以實施。
最后�����,等級保護2.0需要對安全體系進行升級���。等級保護2.0將建立更為完善的等級保護政策體系�、標(biāo)準(zhǔn)體系����、測評體系、技術(shù)體系����、服務(wù)體系、關(guān)鍵技術(shù)研究體系�、教育訓(xùn)練體系等內(nèi)容。并圍繞等級保護這個核心�����,構(gòu)建起安全監(jiān)測、通報預(yù)警��、快速處置�����、態(tài)勢感知����、安全防范、精確打擊等為一體的國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi)體系����。
二、監(jiān)管檢查壓力持續(xù)增大�����,加快進行安全內(nèi)控�、合規(guī)體系建設(shè)
目前,作為我國網(wǎng)絡(luò)安全“基本法”的《網(wǎng)絡(luò)安全法》已經(jīng)開始實施��,繼網(wǎng)絡(luò)強國戰(zhàn)略被納入“十三五”規(guī)劃建議后�����,《刑法修正案(九)》中也增加了對網(wǎng)絡(luò)安全的諸多規(guī)定。
同時���,作為網(wǎng)絡(luò)安全工作的依據(jù)和制度,我國有關(guān)網(wǎng)絡(luò)安全立法的步伐還要加快����,《互聯(lián)網(wǎng)安全法》、《商用密碼管理條例》�、《未成年人網(wǎng)絡(luò)保護條例》、《個人信息保護法》等多項法律��、法規(guī)正在起草或修訂�。
在網(wǎng)絡(luò)安全檢查方面,我國已經(jīng)在2006年開始執(zhí)行網(wǎng)絡(luò)安全風(fēng)險評估制度�����,2008年開始逐步在政府部門建立起了網(wǎng)絡(luò)安全檢查制度���,《網(wǎng)絡(luò)安全法》則正式建立了整個關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全檢查制度����。
從上面分析可以看出����,未來所有企業(yè)����、機構(gòu)的安全合規(guī)壓力會進一步加大�����。作為各單位的網(wǎng)絡(luò)安全負責(zé)人�����,應(yīng)提前著手開始準(zhǔn)備組織自身的安全內(nèi)控����、合規(guī)體系建設(shè),以應(yīng)對未來嚴(yán)峻的網(wǎng)絡(luò)安全監(jiān)管形勢����。
三、個人信息保護是重中之重���,敏感信息保護體系建設(shè)迫在眉睫
當(dāng)前廣大民眾深受垃圾信息���、詐騙信息�、個人信息泄露的困擾�����,公民個人信息的泄露����、收集�����、轉(zhuǎn)賣����,已經(jīng)形成了完整的黑色產(chǎn)業(yè)鏈。
在《網(wǎng)絡(luò)安全法》中對數(shù)據(jù)安全和個人隱私保護進行了明確的說明�����,以法律條文的形式規(guī)定了網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者���、運營者的責(zé)任�,并且嚴(yán)厲打擊出售販賣個人信息的行為����。關(guān)于數(shù)據(jù)安全與個人隱私相關(guān)的《個人信息保護法》專項法律在不久的將來也會頒布����,以填補我國在此領(lǐng)域的法律空白�����。
隨著數(shù)據(jù)安全與個人隱私保護的法律的健全����,當(dāng)敏感信息泄露時責(zé)任單位所面臨的除了自身名譽、客戶���、資金的損失外�,還可能面對數(shù)據(jù)泄露后所負的刑事責(zé)任和賠償責(zé)任���。與之相對應(yīng)的是�����,現(xiàn)在大多數(shù)單位在數(shù)據(jù)安全與個人隱私保護方面的防護措施都不是很到位����,敏感數(shù)據(jù)泄露的途徑和潛在風(fēng)險非常的多。為能夠適應(yīng)形勢的發(fā)展�����,考慮自身的切身利益��,在此方面應(yīng)該盡早做如下應(yīng)對:
1)全面���、系統(tǒng)地評估自身的敏感信息泄露途徑與風(fēng)險場景���,并以此為基礎(chǔ)建立具有針對性的安全策略�����。
2)綜合運用技術(shù)產(chǎn)品與管理流程制度措施���,全方面地進行數(shù)據(jù)安全與個人隱私保護建設(shè)�,不斷的封堵敏感信息泄露途徑�����。
3)加大數(shù)據(jù)安全與個人隱私保護宣傳教育�,不斷提升全體人員敏感信息保護意識����,促進敏感信息保護文化建設(shè)���。
四����、關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)重點保障���,新興安全威脅需要重點防御
《網(wǎng)絡(luò)安全法》中明確規(guī)定“可能嚴(yán)重危害國家安全��、國計民生���、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)上安全等級保護制度的基礎(chǔ)上��,實施重點保護”�,關(guān)鍵信息基礎(chǔ)設(shè)施是我國網(wǎng)絡(luò)安全保護的重點。
保障基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全必然要實施具體的控制措施��,在《網(wǎng)絡(luò)安全法》多處條文都對具體的網(wǎng)絡(luò)安全控制措施提出了明確要求���。在這些條文中�����,不但對安全管理制度規(guī)范���、防范計算機病毒與網(wǎng)絡(luò)攻擊入侵���、數(shù)據(jù)備份與加密、安全機構(gòu)��、關(guān)鍵崗位人員��、系統(tǒng)容災(zāi)���、應(yīng)急管理等等方面都提出了要求,對于網(wǎng)絡(luò)日志的存儲更是制定了需要至少保存六個月的詳細規(guī)范���。
在傳統(tǒng)安全防護的基礎(chǔ)上�����,網(wǎng)絡(luò)安全將從被動防護轉(zhuǎn)向積極防御進行轉(zhuǎn)變�,增強網(wǎng)絡(luò)安全防御能力和震懾能力將是重中之重��。那么,加強關(guān)鍵信息基礎(chǔ)設(shè)施積極防御能力建設(shè)��,需要從哪些方面著手呢����?
首先,加大網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)與引進��,建設(shè)能夠具備網(wǎng)絡(luò)安全對抗能力的隊伍���。
其次��,在做好傳統(tǒng)安全防護的基礎(chǔ)上�����,逐步加強在持續(xù)安全威脅防御����、安全態(tài)勢感知等高級防御領(lǐng)域的能力建設(shè)���。
最后����,全面分析自身業(yè)務(wù)與數(shù)據(jù)的安全需求,全面開展安全產(chǎn)品技術(shù)與安全治理管理的融合工作����,建立立體的網(wǎng)絡(luò)安全防御體系。
五����、自主可控是核心競爭力,自主知識產(chǎn)權(quán)網(wǎng)絡(luò)產(chǎn)品應(yīng)大力推廣
我國網(wǎng)絡(luò)安全技術(shù)距發(fā)達國家有一定差距����,核心技術(shù)受制于人已經(jīng)成為我國網(wǎng)絡(luò)安全的軟肋。想要提升我國的網(wǎng)絡(luò)安全保障能力�,只能依靠強大的科技實力和自主創(chuàng)新能力?��!毒W(wǎng)絡(luò)安全法》頒布實施后�����,將會重點構(gòu)建國家網(wǎng)絡(luò)空間安全技術(shù)體系,加快核心領(lǐng)域擁有自主知識產(chǎn)權(quán)的技術(shù)與產(chǎn)品的研發(fā)����,并進一步推進自主知識產(chǎn)權(quán)安全產(chǎn)品應(yīng)用推廣���。
出于整體網(wǎng)絡(luò)安全戰(zhàn)略考慮,將來網(wǎng)絡(luò)安全產(chǎn)品采購將開始呈現(xiàn)國產(chǎn)化趨勢�,核心設(shè)備、系統(tǒng)將會逐步進行安全自主可控產(chǎn)品替換����。在此種情況下,各單位在進行安全自主可控建設(shè)的過程中���,將不得不提早考慮相應(yīng)的風(fēng)險應(yīng)對措施��,比如:
1)使用具有自主知識產(chǎn)權(quán)的國產(chǎn)產(chǎn)品����,以免將來部署完再進行替換所造成的資源浪費��。
2)進行網(wǎng)絡(luò)產(chǎn)品安全性評估與審查����,盡量在國家、行業(yè)出臺的合格供應(yīng)商庫中選取�����。
3)對現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品進行國產(chǎn)化產(chǎn)品替換,應(yīng)評估采用充分措施應(yīng)對替換過程中的安全風(fēng)險和產(chǎn)品兼容性問題�。
總結(jié)
《網(wǎng)絡(luò)安全法》的公布和施行,不僅從法律上保障了廣大人民群眾在網(wǎng)絡(luò)空間的利益�����,有效維護了國家網(wǎng)絡(luò)空間主權(quán)和安全��,而且還有利于信息技術(shù)的應(yīng)用���,有利于發(fā)揮互聯(lián)網(wǎng)的巨大潛力�。
同時���,網(wǎng)絡(luò)安全能力已經(jīng)成為企業(yè)���、機構(gòu)最重要的核心競爭力之一,做好網(wǎng)絡(luò)安全并將其價值發(fā)揮最大�,企業(yè)、機構(gòu)才能在殘酷的競爭中脫穎而出�����、揚帆遠航��!