本篇文章3769字,读完约9分钟
两个月后,《中华人民共和国网络安全法》将正式实施。《网络安全法》首先对网络进行了重新定义,它是指由计算机或其他信息终端及相关设备组成的系统,按照一定的规则和程序收集、存储、传输、交换和处理信息。网络安全是指采取必要措施,防止网络上的攻击、入侵、干扰、破坏、非法使用和事故,使网络处于稳定可靠的运行状态。
从宏观上看,这意味着网络安全已经成为国家安全的重要组成部分,就像土地和经济安全一样;从小的角度来看,这意味着网络运营商(网络所有者、管理者和网络服务提供商)需要承担执行网络安全的责任。说到法律,我们常说有法可依。《网络安全法》的实施,意味着网络运营商如果不注意安全,甚至发生影响较大的事故,将受到法律的制裁。
为什么强调惩罚这个词?近二十年来,随着中国信息技术和互联网的发展,以个人信息披露为例,大规模的个人隐私数据披露所造成的经济损失和社会影响越来越大,但往往这样的事情已经发生和过去,责任方似乎无动于衷。网络安全法的出台就是对这种事情说不。一旦发生安全事故,相关责任主体不再高高挂起,而是会受到法律的制裁,从而减少甚至避免安全事故的发生。
因此,无论是信息技术服务提供商还是在网络上运营的企事业单位,都有必要加强安全管理和防范,发现系统中的隐患和不足,以满足国家法律法规的要求。更重要的是,提高信息系统的安全水平是用户和社会的责任。特别是对于市场企业来说,注重安全性也是增强市场竞争力的关键。
需要强调的是,《网络安全法》不仅是事后的惩罚,而且把防范安全风险提到了至关重要的位置。如何在法律层面规范安全防范?分级保护制度是一个重要指标。《网络安全法》第21条明确规定,国家实行网络安全等级保护制度。网络经营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保护网络不受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被盗、篡改。
在谈论这个话题之前,企业应该如何满足网络安全法和平等保险的要求?让我们用实际案例来说明它对我们周围一些熟悉的行业的影响。
网络安全法和平等保险对产业的影响
就在几天前,3月16日下午,各省市公安部门组织听取和观看了2017年全国网络安全信息通报和公安机关网络安全执法检查视频会议。
据了解,此次执法检查已于今年3月至9月在全国范围内开展,为期6个月,重点是党政机关、重要行业、国有企事业单位、大型信息科技和互联网企业,并将进行自查。自评、技术测试、现场检查、跟踪监督、综合测试相结合,全面梳理国家重点信息基础设施,发现和查处并督促整改网络安全中的重大漏洞、风险和突出问题,加大行政执法力度
在这里,除了对涉及国家安全和社会民生的国家重点基础设施和行业进行重点检查外,在安全法和平等保险的框架下,也有一些新兴行业无一例外。随着一些新兴互联网服务的兴起和日益普及,相关监管部门开始意识到在业务监管过程中需要加强对网络安全的监管。其中,三个最典型的行业是网上贷款、网上租车和现场直播,它们在各自的行业监管要求中强调等级保护的要求。
一是以网上贷款行业为例,2016年8月17日,中国银行业监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室联合制定发布了《信息中介机构同业拆借业务活动管理暂行办法》。第18条规定:同业拆借信息中介机构应当按照国家有关网络安全的规定和国家信息安全等级保护体系的要求,进行信息系统分级、备案和等级测试。2017年3月,北京市监管部门对北京市多个网上借贷平台进行了检查,并下发了《对同业拆借中信息中介机构进行事实认定和整改的要求》,其中之一就是未进行信息系统分级备案和等级测试。
放眼网络汽车行业,2016年7月,交通运输部制定了《出租车管理服务网上预约管理暂行办法》,定于11月1日正式实施。该文件要求依法建立网络汽车平台。落实网络安全管理体系和安全防护技术措施的证明材料;11月3日,交通运输部会同其他五部委下发了《关于网上预约出租车经营者网上服务能力认证工作流程的通知》,要求申请从事网上汽车业务的,应向企业注册地相应的出租车管理部门提交网上服务能力材料。安全的具体内容包括:网络和信息系统安全等级保护等级报告、专家评审意见、备案证明和评估报告。
在直播行业,2016年11月4日,国家互联网信息办公室发布了《互联网直播服务管理条例》,该条例将从现在开始实施。第七条要求互联网直播服务提供者履行主要职责,配备与服务规模相适应的专业人员,完善信息审计、信息安全管理、值班检查、应急响应和技术支持等制度。
这里我们只列出这三个行业所代表的新兴互联网服务。事实上,同等保险的适用范围涵盖了中国的所有计算机系统。换句话说,没有哪个行业可以逃避责任和监管。那么,应该进行等级保护吗?面对这个问题,答案无疑是肯定的。企事业单位要做的是从制度分级、制度备案、保险评估、建设整改等一系列工作。
然而,大量新兴互联网行业从业人员对等级保护的要求非常陌生。大多数中小平台也处于业务快速发展的过程中,安全建设相对滞后,难以满足等级保护的要求。这个时候我该怎么办?也许有人想出了一个主意,因为新兴产业或中小型平台大多是新兴的信息服务,比如云。那就把保险也给云服务提供商吧!事实上,即使采用了云技术,这种责任也不能推卸。
根据负责人负责、运营商负责、用户负责的原则,根据gb/t31167-2014《信息安全技术云计算服务安全管理指南》中的责任分担模式,只要该业务应用系统不是由云服务提供商直接提供,云端用户就需要对该应用系统以及该系统和数据的安全负责。阿里巴巴云构建的平等保障合规生态可以为云租户实施国家网络安全等级保护体系提供一站式服务。
云中的平等保险评估
以中国最大的云服务提供商阿里巴巴云为例。2016年10月14日,阿里巴巴云宣布完成公安部组织的等级保护标准和云计算等级保护新标准试点示范工作,成为中国首家通过国家权威评估的云计算服务提供商。其中,公共云平台、电子政务云平台、大数据平台等五大系统通过了三级记录和等级保护评估,金融云平台通过了四级记录和等级保护评估。
然而,尽管阿里巴巴云通过了评级保护评估,但这并不意味着云上的租户系统符合同等保护的要求。云租户端的级别保护对象也应作为单独的分级对象进行分级。在最新的gb/t31167-2014《信息安全技术云计算服务安全管理指南》和gb/t22239.2《网络安全等级保护基本要求第二部分:云计算安全扩展要求》中,明确了不同服务模式下云服务提供商和云租户的安全管理责任主体。本文最后以iaas模型为例进行了说明。
那么,如果企业在云上部署系统,如何快速完成系统在云上的合规性?在这方面,阿里巴巴云的做法值得称道。为了快速满足平等保险合规的要求,阿里巴巴云与阿里巴巴云的安全咨询合作机构、当地评估机构和监管机构合作,建立了平等保险合规生态系统,提供一站式、全流程的平等保险合规解决方案。在平等保险合规生态系统中,阿里巴巴云提供云安全产品和服务,咨询供应商提供全程技术支持和咨询服务,评估机构提供评估服务,公安机关负责备案、审计、监督和检查。
阿里巴巴云和其他保险合规生态计划
阿里巴巴云建立平等保险合规生态的目的是希望帮助用户快速找到与平等保险相关的各种机构,并快速开展项目实施。在实施平等保险的各个阶段,咨询厂商和阿里巴巴云协助运营单位完成相关工作,最终接受评估机构的评估并接受公安机关的监督。
因此,即使实施平等保险评估不是一项简单的工作,许多新兴行业也面临着经验不足的问题。但是,对于云用户来说,这项工作得到了阿里巴巴云等云服务提供商的支持,所有同等的保险合规工作不难完成。困难在于,在现行《网络安全法》和同等安全框架下,企业应改变以往安全边缘化的思维,重视安全,规避风险。
iaas模式下云服务提供商和云租户的责任划分
水平
安全要求
安全组件
责任主体
物理和环境安全
物理位置选择
数据中心和物理设施
云服务提供商
网络和通信安全
网络结构、访问控制、远程访问、入侵防御、安全审计
物理网络和辅助设备、虚拟网络管理平台
云服务提供商
云租户虚拟网络安全域
云租户
设备和计算安全
身份验证、访问控制、安全审计、入侵防御、恶意代码防御、资源控制、镜像和快照保护
物理网络及辅助设备、虚拟网络管理平台、物理主机及辅助设备、虚拟机管理平台、映像等。
云服务提供商
云租户虚拟网络设备、虚拟安全设备、虚拟机等。
云租户
应用和数据安全
安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份和恢复
云管理平台(包括运营和维护),
镜子、快照等
云服务提供商
云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等。
云租户
安全管理机构和人员
授权和批准
授权和批准流程、文件等。
云服务提供商
系统安全建设管理
安全方案设计、测试和验收、云服务提供商选择以及供应链管理
云计算平台界面、安全措施、供应链管理流程、安全事件和重要变更信息
云服务提供商
云服务提供商选择和管理流程
云租户
系统安全运行和维护管理
监控和审计管理
监控和审计管理的相关流程、策略和数据
云服务提供商、云租户
点击查看阿里巴巴云级保护安全合规计划:http://click.aliyun/m/11851/
标题:《网络安全法》和云等保框架下 企业如何为安全掌舵?
地址:http://www.tehoop.net/tpyxw/9059.html