6月1日,《網絡安全法》正式實施以後,各個行業的網絡安全有了基礎要求,而監管部門的執法力度也依據法條要求呈加強趨勢。
對網約車、P2P金融等行業來說,“網絡安全等保要求”成為了開展業務的先決條件;
而對于踏在個人資訊保護、内容安全、漏洞管理等“網絡安全雷區”内的行業,例如大資料、直播平台、内容平台,有可能面臨暫停業務活動、嚴重的違法行為将導緻停業整頓或吊銷執照,直接負責的主管人員和其他直接責任人員也有可能受到處罰。
近兩月,大資料行業清洗,微信公衆号關閉事件,就是《網安法》影響所及。
那麼,企業和機構現在應該在哪方面加強投入,做好企業安全管理,才能滿足《網安法》的要求呢?
這篇文章會把《網安法》的網絡營運者五大核心義務,轉化成五條實用建議:告訴企業安全管理者如何從現在開始,做好企業安全的每一個環節。
1、加強個人資訊和重要資料的保護
網絡營運者應當采取技術措施和其他必要措施確定收集的個人資訊安全,防止資訊洩漏、毀損、丢失;做好資料分類、重要資料備份和加密;監測記錄網絡運作狀态、網絡安全事件,并留存相關網絡日志不少于六個月。
應對建議:企業做好個人資訊保護的第一步,是對現有資料進行風險評估與加密。在使用者端,全鍊路加密可以在傳輸、終端、存儲三道環節;在阿裡雲上,我們會對雲端基礎設施進行加密,等于給企業的防盜門加上了一道鎖。
經過加密,即使資料洩漏,攻擊者也無法看到明文的資料。 第二步則需要做好安全應急與漏洞管理,打破“實體隔離就安全”的迷信;最後還要做好内控和審計,實作對安全的态勢感覺。
2、嚴格執行網絡實名制
網絡營運者為使用者辦理網絡接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為使用者提供資訊釋出、即時通訊等服務,在與使用者簽訂協定或提供服務時,應當要求使用者提供真實身份資訊,否則不得提供服務。
應對建議:網絡實名制增加了企業收集、保護使用者個人資訊的成本,也是對實名校驗、人臉識别和虛假資訊防控等能力的考驗。如果依賴人工去處理和校驗資料,資源投入和效果産出會不成正比;在阿裡雲,我們基于大資料風控模型和生物特征來對使用者資訊真實性做識别,也在将實人認證功能子產品化,輸出給雲上企業,降低人工稽核成本。
3、落實網絡安全等級保護制度
所有網絡營運者都必須按照網絡安全等級保護制度的要求,履行安全保護義務
應對建議:企業應該對等保做全面、長期的規劃與投入,将等保當作一次全面更新安全能力的機會,對産品采購、内部管理與流程進行優化。然而,等保的每一步流程:系統定級、完善系統安全防護保障、備案、登記測評、建設整改、監督檢查等一系列事項,時間和資源消耗都非常大。
阿裡雲目前的解法是構築雲上等保生态,提供一站式等保咨詢、安全防護服務、本地化測評服務,集生态力量共同有效實作等保安全要求,提升等保測評備案效率,提升企業安全保障、節省企業人員和時間上的投入;并且,阿裡雲公共雲平台本身的等保三級合規優勢,對企業的整體測評分數也會有所提升。
4、加強應急響應與監測預警
制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;安全事件發生時,立即啟動應急預案,采取補救措施,并向有關主管部門報告。
應對建議:許多企業的安全負責人并沒有做專業安全預案的經驗,或者并不重視日常的演練和教育訓練,現有的安全産品部署分散,管理滞後;這也是為什麼以WannaCry為首的勒索病毒,能夠輕易地打破線下機房的壁壘。
建議企業從教育訓練、預案、演練、應急、響應、修複等多方面入手,建立切實可行的應急預案。在人員投入不足的情況下,則建議選擇專業的安全服務團隊來“搭把手”,能在漏洞的提前預警、事件的響應和修複上,提供專業的協助。
5、防止違法資訊傳播擴散
發現使用者釋出和傳輸違法資訊時,應當立即停止傳輸或消除,防止資訊擴散,儲存有關記錄,并向主管部門報告。
應對建議:網絡營運者需要提高對于自身平台上圖檔、文字、視訊内容的識别能力。在基本的圖檔鑒黃、反垃圾、OCR算法、文本識别等基礎上,還需要具備違規視訊、語音鑒别、敏感任務識别、文本語義分析和風險判斷等功能,確定内容安全,降低違規風險。
以上五條建議,對于每一個不同的行業來說,會有不一樣的側重點。我們以直播、網際網路金融和電商的具體場景,來談談各個行業的企業安全最重要緊急的任務是什麼。
以監管管轄力度較強的直播行業來說,由于使用者可以實時對公衆直播,是以直播者實名認證以及防範視訊出現違規内容是從業者最需要關注的事情。
而對于網際網路金融行業來說,随着銀監會等監管機構下發《網絡借貸資訊中介機構業務活動管理暫行辦法》等進一步的要求,并且規定了通過的等保的期限。因而等保合規會是網際網路金融行業的重中之重。
最後,電商行業。因其儲存着消費者重要個人資訊,例如身份證号、銀行卡号、手機号等,那麼首先應當加強的是對個人資訊的保護:包括入侵防禦、内控審計和加密。
總的來說,《網絡安全法》的實施,對網絡營運者的基本要求,就是把以往滞後、分散的安全管理模式,轉變成循序漸進,全面預防。企業以往更多地在思考如何補救安全,而現在,我們更應該思考的是如何去降低風險,和安全事件發生的機率。
讓《網絡安全法》,成為企業安全更好的開始。
<a href="https://mp.weixin.qq.com/s/KmrN6k-vC02jmxBu--pGUA">原文連結</a>