认识《网络安全法》
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律。
《网络安全法》 是我国在网络安全管理方面的基本法。
基本概念
网络指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
基本原则
第一,网络空间主权原则。《网络安全法》第1条“立法目的”,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。
习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。
第2条明确规定《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第二,网络安全与信息化发展并重原则。习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。
《网络安全法》第3条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
第三,共同治理原则。网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。
《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
网络运行基本安全要求
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;
5. 法律、行政法规规定的其他义务。
本条款提到的网络安全等级保护制度是公安部运营多年的信息系统安全等级保护制度,网络安全法的出台也加强了对等保执行力度的要求,不做等保就属于违法行为了。
1. 安全管理:网络运营者需在企业内部明确网络安全的责任,并通过完善的规章制度、操作流程为网络安全提供制度保障;
2. 技术层面:网络运营者应采取各种事前预防、事中响应、事后跟进的技术手段,应对网络攻击,降低网络安全的风险。值得注意的是,网络日志的保存期限已明确要求不低于六个月;
3. 数据安全方面:网络运营者需对重要数据进行备份、加密,以此来保障数据的可用性、保密性。
如何根据自身实际情况建立有效的安全管理体系、如何在技术层面选择合理的技术解决方案、如何加强自身的数据保护能力,都将成为网络运营者所重点关注的问题。
应急预案与响应要求
《网络安全法》第二十五条规定:
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
本条款的提出也是完善安全技术体系非常重要的一环,而响应能力的建设是当前网络运营者普遍存在的弱点。
整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范,或者说有规范但在出现网络安全事件的时候,发现应急预案根本没办法起到作用。
在公共云或者可运营的政务云上,有着完整的安全运营体系,当发生大规模网络安全事件时,安全运营团队会第一时间处理相关问题。或者使用云盾管家服务,针对网络运营者的业务制定应急预案和定期演练。
政务安全治理
《网络安全法》第三十四条规定:
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
1. 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
2. 定期对从业人员进行网络安全教育、技术培训和技能考核;
3. 对重要系统和数据库进行容灾备份;
4. 制定网络安全事件应急预案,并定期进行演练;
5. 法律、行政法规规定的其他义务。
关键基础设施的安全隐患具有很大的破坏性和杀伤力,《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。
个人信息保护
《网络安全法》第四十一、四十二、四十三条规定:
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
从这三条条款中可以看出,《网络安全法》聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为,对保护公众个人信息安全将起到积极作用。
除严防个人信息泄露,《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
等保测评
《网络安全法》第三十八条规定:
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
明确了关键基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等级保护测评至少从技术上可以满足这个要求,等级保护测评就是对单位重要信息系统做的一个安全检测评估。
最近更新于 2022-05-22, 由 猿小六 于 2022-05-17 发布, 已阅 1337 次。