雷鋒網按:本文原刊登于綠盟科技内刊,是綠盟科技資深安全從業者為其客戶挑出的一些需要重點關注的條文,加上綠盟科技的法務經理的通俗解讀,内容很中肯,可讀性和實用性很高。雷鋒網(公衆号:雷鋒網)經授權釋出。
2016年11月7日我國第一部網絡安全法頒布。筆者作為安全行業的從業人員,認真閱讀了相關條文。總體感覺:
安全法不但對各種網絡行為,明确了規範和法律責任,同時還是對我們如何建設網絡安全提供了指引。從條文中,可以看到 iso27001 資訊安全管理體系标準的影子。
安全法的各種規範和要求,其實已經長期存在于各行業的行業标準和主管部門對社會網絡行為的指引中,沒有太大的意外。
但是這次是以法律的形式頒發,且法律條文清晰标示出禁止準入、行政處分和判罰、刑事判罰等一系列的紅線,這讓筆者不禁為大家抹了一臉冷汗,因為太多的點需要注意了。接下來筆者挑出一些條文,讓客戶重點關注。
安全法把使用者網絡重要性分成2個層次定位:關鍵資訊基礎設施和非關鍵基礎設施。
在第三十一條明确規定:”國家對公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。”
“關鍵資訊基礎設施的具體範圍和安全保護辦法由國務院制定”。第一句話明确了什麼是關鍵資訊基礎設施,第二句明确了安全保護辦法規範誰制定。有的網絡服務提供商比如域名解析這類看起來不屬于重點行業範疇,但是一但出問題會引起大面積網絡無法響應,并造成公共利益受損。這種業務也會被主管部門納入到重點管理的範疇。
是以建議客戶在條件允許下盡量謹慎一些,把安全等級提高。
第八條明确規定了網信部門是負責統籌和監督網絡安全工作的機構。電信主管部門、公安部門和其他機關部門在各自職責範圍内負責網絡安全保護和監督管理工作。
第四十九條明确規定網絡營運者必須對網信部門和有關部門依法實施的監督檢查予以配合。如果不配合将按六十九條處以個人和機關罰款。注意這隻是說不積極配合,如果不作為、抵制和違反規定那後果會更嚴重。
一句話,主管部門的檢查必須積極配合。
從第二十一、三十四條對非關鍵和關鍵資訊基礎設定機關明确了要有網絡安全負責人、要有網絡安全管理機構、要有定期技能教育訓練和考核。簡單而言就是要有編制,教育訓練投入和明确誰背責任。
特别需要關注一點,本法對招聘安全技術人員的資格也提出的要求。在第六十三條規定違反第二十七條(也就是從事過非法網絡攻擊行為)受到治安管理處罰的人員,五年内不得從事網絡安全管理和網絡營運關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡營運關鍵崗位的工作。
這個規定将對已招收或者試圖招收有非法前科黑客的機關敲響了警鐘。
本法更多的是從安全建設要達到的效果提出要求,并沒有列出如何安全建設标準才能實作這一目标(實際上也不友善寫出來)。不過我們從規定裡面還是看到了一些比較具體的安全技術建設要求:第十條中提到依照法律、行政法規的規定和國家标準的強制性要求。也就是說關于在安全産品上必須滿足國家标準的要去選購(也就是要關注國家頒發标準認證産品)。這裡提到标準相信不少使用者會遇到不同标準有時候會出現沖突、不一緻等現象。
在第十五條中明确了:國務院标準化行政主管部門和國務院其他有關部門根據各自的職責,組織制定并适時修訂有關網絡安全管理以及網絡産品、服務和運作安全的國家标準、行業标準。
第二十三條:網絡關鍵裝置和網絡安全專用産品應當按照相關國家标準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵裝置和網絡安全專用産品目錄,并推動安全認證和安全檢測結果互認,避免重複認證、檢測。
意思就說以後關鍵資訊系統的産品采購需要在網信部門牽頭釋出的《網絡關鍵裝置和網絡安全專用産品目錄》中選取。
非關鍵資訊系統産品采購需要符合國家資格的機構安全認證合格或安全檢測符合要求。比如說像目前的公安部頒發的安全産品銷售許可證是最基本的産品認證要求。
第二十一條中明确指出使用者網絡需要采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;采取監測、記錄網絡運作狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;采取資料分類、重要資料備份和加密等措施;
這裡需要關注的是必須保留網絡日志不少于六個月,對不同資料的重要性需要加密和備份。對于這個要求,一些客戶機關執行的并不是很到位。
第三十三條規定了關鍵資訊網絡需要考慮業務持續問題,防止單點故障的解決方案必須采用。
兩地三中心到分布式多活的異地多活技術将受到更廣泛行業的需求。同時這也是對裝置廠商的穩定性、使用年限、成熟度都提出更高的要求。
第三十五條規定關鍵資訊基礎設施的營運者采購網絡産品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。這條筆者了解,在最終采購決策上,法律會做出解釋,但裝置國産化或者會有優先權。
建議客戶在關鍵資訊基礎設施領域,尤其是可能影響到國家安全的問題上,盡早淘汰國外産品,既然寫入了法律規定就不是建議或指引了。在第六十五條對違反的機關和負責人将處以重罰,并可責令停止使用。
第二十五和第三十四條要求網絡營運者需要制定安全事件應急預案(點贊)。建議使用者與安全運維專業團隊保持緊密聯系以確定應急預案的完善和到位。
第二十四條規定網絡營運者為使用者辦理網絡接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為使用者提供資訊釋出、即時通訊等服務,在與使用者簽訂協定或者确認提供服務時,應當要求使用者提供真實身份資訊。使用者不提供真實身份資訊的,網絡營運者不得為其提供相關服務。
這裡要重點關注對于一些icp提供使用者資訊釋出、即時通訊等服務時候需要有足夠的技術手段來保證使用者真實身份。這裡需要着重注意,目前技術和業務模式尚不能很好的解決這個問題,即便是在新使用者注冊的時候采用手機認證,也存在不少的漏洞。
第三十八條規定關鍵資訊基礎設施的營運者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并将檢測評估情況和改進措施報送相關負責關鍵資訊基礎設施安全保護工作的部門。
這裡規定了安全評估的必須性。
本法用不少篇幅的條文來規定網絡産品、服務提供商對使用者資訊資料的收集和使用。
第二十二條 網絡産品、服務具有收集使用者資訊功能的,其提供者應當向使用者明示并取得同意;涉及公民個人資訊的,應當遵守本法和有關法律、行政法規關于公民個人資訊保護的規定。
第四十一條 網絡營運者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用資訊的目的、方式和範圍,并經被收集者同意。網絡營運者收集、使用個人資訊,應當公開其收集、使用規則。網絡營運者應當依照法律、行政法規的規定和與使用者的約定,處理其儲存的個人資訊。
第四十二條 網絡營運者不得洩露、篡改、毀損其收集的個人資訊;未經被收集者同意,不得向他人提供個人資訊;網絡營運者應當采取技術措施和其他必要措施,確定其收集的個人資訊安全,防止資訊洩露、毀損、丢失。在發生或者可能發生個人資訊洩露、毀損、丢失的情況時,應當立即采取補救措施,按照規定及時告知使用者并向有關主管部門報告。
第四十三條 個人發現網絡營運者違反法律、行政法規的規定或者雙方的約定收集、使用其個人資訊的,有權要求網絡營運者删除其個人資訊;發現網絡營運者收集、存儲的其個人資訊有錯誤的,有權要求網絡營運者予以更正。網絡營運者應當采取措施予以删除或者更正。
第四十四條 任何個人群組織不得竊取或者以其他非法方式擷取個人資訊,不得非法出售或者非法向他人提供個人資訊。
第四十五條 依法負有網絡安全監督管理職責的部門及其從業人員,必須對在履行職責中知悉的個人資訊、隐私和商業秘密嚴格保密,不得洩露、出售或者非法向他人提供。
筆者了解到衆多icp服務商在提供服務的時候并沒有讓使用者明确同意就收集客戶的資訊,同時還存在與其他機構交換資料的情況。同時因為安全建設不到位導緻黑客入侵,使用者資料大量外洩。為了避免您觸及法律紅線,請及時咨詢專業法律人士。
第六十四條中規定對違反機關主管、責任人、機關重罰并可責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。