本文原刊登于綠盟科技內(nèi)刊,是綠盟科技資深安全從業(yè)者為其客戶挑出的一些需要重點(diǎn)關(guān)注的條文,加上綠盟科技的法務(wù)經(jīng)理的通俗解讀,內(nèi)容很中肯,可讀性和實(shí)用性很高。雷鋒網(wǎng)經(jīng)授權(quán)發(fā)布。
2016年11月7日我國(guó)第一部網(wǎng)絡(luò)安全法頒布。筆者作為安全行業(yè)的從業(yè)人員,認(rèn)真閱讀了相關(guān)條文??傮w感覺(jué):
安全法不但對(duì)各種網(wǎng)絡(luò)行為,明確了規(guī)范和法律責(zé)任,同時(shí)還是對(duì)我們?nèi)绾谓ㄔO(shè)網(wǎng)絡(luò)安全提供了指引。從條文中,可以看到 iso27001 信息安全管理體系標(biāo)準(zhǔn)的影子。
安全法的各種規(guī)范和要求,其實(shí)已經(jīng)長(zhǎng)期存在于各行業(yè)的行業(yè)標(biāo)準(zhǔn)和主管部門對(duì)社會(huì)網(wǎng)絡(luò)行為的指引中,沒(méi)有太大的意外。
但是這次是以法律的形式頒發(fā),且法律條文清晰標(biāo)示出禁止準(zhǔn)入、行政處分和判罰、刑事判罰等一系列的紅線,這讓筆者不禁為大家抹了一臉冷汗,因?yàn)樘嗟狞c(diǎn)需要注意了。接下來(lái)筆者挑出一些條文,讓客戶重點(diǎn)關(guān)注。
一、范圍要看清 底線不能越安全法把用戶網(wǎng)絡(luò)重要性分成2個(gè)層次定位:關(guān)鍵信息基礎(chǔ)設(shè)施和非關(guān)鍵基礎(chǔ)設(shè)施。
在第三十一條明確規(guī)定:”國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”
“關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定”。第一句話明確了什么是關(guān)鍵信息基礎(chǔ)設(shè)施,第二句明確了安全保護(hù)辦法規(guī)范誰(shuí)制定。有的網(wǎng)絡(luò)服務(wù)提供商比如域名解析這類看起來(lái)不屬于重點(diǎn)行業(yè)范疇,但是一但出問(wèn)題會(huì)引起大面積網(wǎng)絡(luò)無(wú)法響應(yīng),并造成公共利益受損。這種業(yè)務(wù)也會(huì)被主管部門納入到重點(diǎn)管理的范疇。
所以建議客戶在條件允許下盡量謹(jǐn)慎一些,把安全等級(jí)提高。
管理歸屬網(wǎng)信部門 不配合就處罰第八條明確規(guī)定了網(wǎng)信部門是負(fù)責(zé)統(tǒng)籌和監(jiān)督網(wǎng)絡(luò)安全工作的機(jī)構(gòu)。電信主管部門、公安部門和其他機(jī)關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。
第四十九條明確規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者必須對(duì)網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查予以配合。如果不配合將按六十九條處以個(gè)人和單位罰款。注意這只是說(shuō)不積極配合,如果不作為、抵制和違反規(guī)定那后果會(huì)更嚴(yán)重。
一句話,主管部門的檢查必須積極配合。
各單位要有編制 責(zé)任落實(shí)到人從第二十一、三十四條對(duì)非關(guān)鍵和關(guān)鍵信息基礎(chǔ)設(shè)置單位明確了要有網(wǎng)絡(luò)安全負(fù)責(zé)人、要有網(wǎng)絡(luò)安全管理機(jī)構(gòu)、要有定期技能培訓(xùn)和考核。簡(jiǎn)單而言就是要有編制,培訓(xùn)投入和明確誰(shuí)背責(zé)任。
特別需要關(guān)注一點(diǎn),本法對(duì)招聘安全技術(shù)人員的資格也提出的要求。在第六十三條規(guī)定違反第二十七條(也就是從事過(guò)非法網(wǎng)絡(luò)攻擊行為)受到治安管理處罰的人員,五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作;受到刑事處罰的人員,終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。
這個(gè)規(guī)定將對(duì)已招收或者試圖招收有非法前科黑客的單位敲響了警鐘。
二、產(chǎn)品技術(shù)要達(dá)標(biāo) 紅線不能踩本法更多的是從安全建設(shè)要達(dá)到的效果提出要求,并沒(méi)有列出如何安全建設(shè)標(biāo)準(zhǔn)才能實(shí)現(xiàn)這一目標(biāo)(實(shí)際上也不方便寫(xiě)出來(lái))。不過(guò)我們從規(guī)定里面還是看到了一些比較具體的安全技術(shù)建設(shè)要求:第十條中提到依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。也就是說(shuō)關(guān)于在安全產(chǎn)品上必須滿足國(guó)家標(biāo)準(zhǔn)的要去選購(gòu)(也就是要關(guān)注國(guó)家頒發(fā)標(biāo)準(zhǔn)認(rèn)證產(chǎn)品)。這里提到標(biāo)準(zhǔn)相信不少用戶會(huì)遇到不同標(biāo)準(zhǔn)有時(shí)候會(huì)出現(xiàn)沖突、不一致等現(xiàn)象。
在第十五條中明確了:國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé),組織制定并適時(shí)修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運(yùn)行安全的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。
第二十三條:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。
意思就說(shuō)以后關(guān)鍵信息系統(tǒng)的產(chǎn)品采購(gòu)需要在網(wǎng)信部門牽頭發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中選取。
非關(guān)鍵信息系統(tǒng)產(chǎn)品采購(gòu)需要符合國(guó)家資格的機(jī)構(gòu)安全認(rèn)證合格或安全檢測(cè)符合要求。比如說(shuō)像目前的公安部頒發(fā)的安全產(chǎn)品銷售許可證是最基本的產(chǎn)品認(rèn)證要求。
第二十一條中明確指出用戶網(wǎng)絡(luò)需要采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
這里需要關(guān)注的是必須保留網(wǎng)絡(luò)日志不少于六個(gè)月,對(duì)不同數(shù)據(jù)的重要性需要加密和備份。對(duì)于這個(gè)要求,一些客戶單位執(zhí)行的并不是很到位。
第三十三條規(guī)定了關(guān)鍵信息網(wǎng)絡(luò)需要考慮業(yè)務(wù)持續(xù)問(wèn)題,防止單點(diǎn)故障的解決方案必須采用。
兩地三中心到分布式多活的異地多活技術(shù)將受到更廣泛行業(yè)的需求。同時(shí)這也是對(duì)設(shè)備廠商的穩(wěn)定性、使用年限、成熟度都提出更高的要求。
第三十五條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。這條筆者理解,在最終采購(gòu)決策上,法律會(huì)做出解釋,但設(shè)備國(guó)產(chǎn)化或者會(huì)有優(yōu)先權(quán)。
建議客戶在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域,尤其是可能影響到國(guó)家安全的問(wèn)題上,盡早淘汰國(guó)外產(chǎn)品,既然寫(xiě)入了法律規(guī)定就不是建議或指引了。在第六十五條對(duì)違反的單位和負(fù)責(zé)人將處以重罰,并可責(zé)令停止使用。
第二十五和第三十四條要求網(wǎng)絡(luò)運(yùn)營(yíng)者需要制定安全事件應(yīng)急預(yù)案(點(diǎn)贊)。建議用戶與安全運(yùn)維專業(yè)團(tuán)隊(duì)保持緊密聯(lián)系以確保應(yīng)急預(yù)案的完善和到位。
第二十四條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù),辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù),或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)。
這里要重點(diǎn)關(guān)注對(duì)于一些ICP提供用戶信息發(fā)布、即時(shí)通訊等服務(wù)時(shí)候需要有足夠的技術(shù)手段來(lái)保證用戶真實(shí)身份。這里需要著重注意,目前技術(shù)和業(yè)務(wù)模式尚不能很好的解決這個(gè)問(wèn)題,即便是在新用戶注冊(cè)的時(shí)候采用手機(jī)認(rèn)證,也存在不少的漏洞。
第三十八條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
這里規(guī)定了安全評(píng)估的必須性。
三、個(gè)人信息使用要明示 高壓線不能碰本法用不少篇幅的條文來(lái)規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供商對(duì)用戶信息資料的收集和使用。
第二十二條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及公民個(gè)人信息的,應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于公民個(gè)人信息保護(hù)的規(guī)定。
第四十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開(kāi)收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)公開(kāi)其收集、使用規(guī)則。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。
第四十二條 網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息;網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
第四十三條 個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取措施予以刪除或者更正。
第四十四條 任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。
第四十五條 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員,必須對(duì)在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密,不得泄露、出售或者非法向他人提供。
筆者了解到眾多ICP服務(wù)商在提供服務(wù)的時(shí)候并沒(méi)有讓用戶明確同意就收集客戶的信息,同時(shí)還存在與其他機(jī)構(gòu)交換數(shù)據(jù)的情況。同時(shí)因?yàn)榘踩ㄔO(shè)不到位導(dǎo)致黑客入侵,用戶資料大量外泄。為了避免您觸及法律紅線,請(qǐng)及時(shí)咨詢專業(yè)法律人士。
第六十四條中規(guī)定對(duì)違反單位主管、責(zé)任人、單位重罰并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。