从国际上来看,大国之间的大规模的军事冲突随着现代战争费用的暴涨,某些国家实力的衰弱以及可能导致的地区和国际震荡而变得不太可能。因此大国间的对抗与冲突转向于网络攻击与对抗。随着人类社会的发展和正常运行日益依赖于互联网、物联网,从网络发起的攻击所造成的后果严重情况可堪比核战争。因此国际间的大国和发达国家纷纷积极制定、调整、升级本国的网络空间战略,同时在技术上并行提升安全保障和攻击能力。此外,随着棱镜事件的曝光以及2015年以来以国家行为主体实施的大规模网络监控和网络攻击造成了国家间严重的不信任情绪,给国际局势以及互联网安全稳定带来了不良影响。我国作为一个互联网技术相对落后的国家,有必要根据国际形势及时调整我国的国家网络空间战略,通过一系列措施提升国家在网络空间的防御能力,这些措施就包括用制定和颁发相应的法律文件来体现国家的意志,督促国内网络安全的健康发展。
从国内来看,我国国内存在着以下问题情况,一是我国信息化建设在国民经济健康发展的近20年的时间中突飞猛进,新技术和新业务不断涌现和应用,但过程中存在重建设轻安全的现象;二是我国在网络安全方面的法律法规条文存在着分散的现象,同时在监管过程中也存在多头管理和监管滞后的情况;三是我国网络安全人才建设滞后,每年从高校毕业的信息安全专业的毕业生以及社会培养的信息安全人才数量远不能满足国内信息安全人才需求;四是近几年来地下黑产规模日益扩大,社会上爆发大量的网络安全事件,给人民群众和企业带来了巨量的经济损失。以上问题反映了我国网络安全法律体系和社会经济生活快速发展与安全需求之间存在一定的滞后性和不满足性。《网络安全法》正是弥补这些滞后性与不满足性的一个关键措施。
首先,《网络安全法》是我国在十八大以来在互联网领域针对网络安全制定和颁发的一部重要的基础性法律。从法律的管辖范围看,《网络安全法》体现了我国的网络空间主权,国内的管辖权、独立权和自卫权。针对境外机构、人员的攻击破坏行为则体现了在防御、惩治和制裁方面的管辖权。
《网络安全法》共7章79条,内容条文主要涉及三个主要指导方向,一是我国国家政府和监管机构做什么,国家政策支持什么?二是关键基础设施运营者、网络运营者、产品/服务提供商、国家机关政务网络的运营者在网络安全方面应该做什么,应该怎样做;三是在非法违规后的法律追责是什么?
在这里面,
第一个指导方向主要包含以下内容:
国家承当网络安全空间战略的顶层设计:包括国家战略与网络安全标准的制定;等级保护实施以法律条文形式进行明确和强制要求;国家监管机构建立网络安全通报机制和制度;
国家承担相关的任务:包括主导实施公民与关键基础设施保护;国家推进国际间安全合作;国家在网络安全方面(预警监测、部门协调、告警发布)的建设投入;
国家对网络安全研究和发展的支持与鼓励:包括鼓励全社会共建人才培养;鼓励全社会在网络安全技术领域的研究与产业创新;鼓励社会机构间的合作与行业自律;
第二个指导方向主要包含以下内容:
关键基础设施运营商、网络运营商、国家机关网络运营者应该执行安全防护的要求:包括等级保护建设、网络安全三同步建设、部署使用相应的安全技术措施、安全产品采购与使用的要求、加强用户身份认证、安全岗位任职要求、日志留存要求、数据存放及保护的要求、公民保护的要求、履行主动安全防护的义务以及监管配合的义务。
产品/服务提供商应该执行的安全要求:包括产品的强制性安全认证、产品安全缺陷的强制性修补要求、产品售后服务的强制性要求、客户信息保密性要求。
第三个指导方向主要包含以下内容:
未执行主动安全防护义务的法律追责与处罚。追责与处罚涉及的情况包括未实施等级保护、未及时制止网络危害活动、违反数据安全存储要求等强制要求、不按要求进行安全整改等;
未执行监管配合义务的法律追责与处罚。追责与处罚涉及的情况包括未配合、拒绝和阻挠有关部门依法实施的监管活动等;
从事网络危害行为和活动的法律追责与处罚。这些犯罪危害包括提供和协助实施网络危害活动、窃取和出售个人信息、散布恶意程序与不良信息等。
作为金融企业的决策层,应当关注《网络安全法》以下八个关键方面。
① 金融行业和领域是国家重点保护对象
《网络安全法》将金融行业和金融领域定义为我国的关键基础设施。作为关键基础设施,国家将予以高度重视。在《网络安全法》中明确关键基础设施实施重点保护,其具体范围和安全保护办法由国务院制定。(详见第31条)
② 等级保护的建设实施必须实行
《网络安全法》明确关键基础设施运营商要在网络安全等级保护的基础上实施重点保护。因此,建议必须摒弃那种等级保护建设可有可无,建设能拖则拖的思想观念。认真按照要求开展等级保护建设。(详见第31条)
③ 安全建设三同步
《网络安全法》要求关键基础设施运营商必须保证业务稳定安全运行,系统建设保证安全技术措施同步规划、同步建设、同步使用。因此建议在今后的建设中应该留出一定比例的资金项目资金用于信息安全防护;此外信息安全部门/人员不仅应该全程参与项目建设,决策层还应赋予他们在项目中必要的发言权重。(详见第33条)
④ 重要数据保护
《网络安全法》要求关键基础设施运营商在运营过程中手机和产生的个人信息和重要数据必须在境内存储。需要向境外提供数据的必须按照国家相关办法进行安全评估。因此,建议各机构对自己的业务进行一次全面的梳理,确认业务数据的存储情况和使用情况,根据法律要求进行数据迁移和安全评估(详见第37条)
⑤ 安全运维要求更为严格
《网络安全法》要求关键基础设施运营商每年至少对其网络进行1次检测评估并上报监管机构;必须定期对人员进行培训和技能提升;必须制定应急预案并定期演练;必须审核安全岗位人员的背景情况。建议各机构根据自己的运维管理要求对标《网络安全法》,根据情况及时调整自有的安全运维管理机制和内容。(详见第34、38条)
⑥ 安全产品/服务采购把控
《网络安全法》要求采购的信息安全产品/服务必须符合国家安全审查要求。因此建议在今后的采购中应该重视和严格审核所采购的信息安全产品/服务的资质要求,影响国家安全的还需要通过国家网信部门会同国务院有关部门组织的国家安全审查。(详见23,35条)
⑦ 个人信息的保护
《网络安全法》有多条提到了对个人信息的保护。包括对个人信息的收集、使用、存储和保护等内容。因此建议各机构再次开展内部审核评估,确认己方在个人信息保护方面的措施是否符合要求。(详见41,42,43,44条)
⑧ 主管人员负监管连带责任
《网络安全法》第六章几乎每一条都提到了直接负责的主管人员在本机构或内部人员触犯《网络安全法》后都需要负监管连带责任并承担相应的经济处罚。
编辑:张龙飞 校稿:刘帅 王宁 审阅:徐特
点击“阅读原文”阅读绿盟科技金融事业部安全月刊。
推荐站内搜索:推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...