今天,具有里程碑意义的《中国人民共和国网络安全法》正式生效。从2014年中央网络安全和信息化小组成立之初就开始研究和制定网络安全和信息化发展战略,2015年7月网络安全法草案一审稿出台,2016年7月网络安全法草案二审稿出台,同年11月网络安全法草案三审稿完成并由十二届全国人大常委会第二十四次会议表决通过。安全大法的出台为我国信息化建设提供宏观规划和重大方针指向,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
网络安全法适用除军事网络的安全保护相关单位和人以外的所有单位和个人,包括网络运营者、主管单位、信息安全厂商、硬件厂商、集成商等。基本涵盖了所有从事IT类的单位、用户、主管单位和个人。如果从合法合规的角度来分类,整个网络大全可以分为网络安全、数据安全、管理安全三个维度,随着信息化的建设的发展,越来越多的单位和个人注重网络安全、管理安全,而对数据安全的重要性、防护措施并不是很清晰,因此我们主要结合网络安全法在数据安全方面的合法合规的政策来进行解读
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
第三款:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
解读:应采取监控和审计类的技术或产品,对访问网络行为、数据操作行为进行持续监控和审计,可溯源、可控制,做到记录事件;值得注意的是明确规定了日志的存储期限不低于6个月,对存储时间做了规范性要求。
第四款:采取数据分类、重要数据备份和加密等措施
解读:对收集和存储、使用的个人隐私信息或重要敏感信息,进行发现、分类和监控,建立相应的方案防止数据被窃取、拖库、重要信息非法入侵窃取。要采用相应防护措施实现系统重要敏感数据和重要业务数据,同时做好备份工作,重要信息要有备份,同时备份的数据要有相应的保护措施,数据防护安全措施必须做到位。
第二十四条:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
解读:个人信息实名制要求,核心是实名制;在电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求,而为了不影响用户的个人隐私,实名制也是一把双刃剑。对于网络运营者来说,一旦收集的个人信息发生大批量的泄漏,将产生无法预期的数据安全风险。因此,网络安全法个人信息实名制对网络运营者提出了要求,事实上,目前有部分个人用户信息泄露的方式就通过网络运营者管理不善造成的,安全法强化了个人信息保护。
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第二十二条第三款:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
解读:四十一条和二十二强调网络运营者收集使用个人信息的原则和目的,条款规定了个人信息保护的知情同意和特定目的原则。强调必须在用户知晓并同意收集目的和使用范围后,才能收集个人信息,保证了用户的知情权。企业要按此要求规范获取个人信息的途径和方式方法。
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
解读:本条款也被业内称作“大数据条款”,强调网络运营者要保护用户个人信息,很多网络运营者的用户注册信息成千上万,如何确保这些信息不被窃取、泄露、而现在个人信息的泄露的方式可以由内部人员造成、也可以是由业务漏洞造成的泄露,因此数据安全防护产品是一种手段。
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正
解读:本条款核心是法律明确赋予公民个人具有删除权和更正权,如果发现网络运营者不当使用个人信息,有权要求删除,有错误的有权要求其改正。
第四十四条:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息
解读:核心是不得非法获取、非法出售和提供个人信息,这一要求是毋庸置疑的。
这里说到非法出售和提供,数据泄露的方式有很多种。有内部用户为了个人利益兜售用户信息,而如果没有相应的记录过程,这种数据获取方式往往是被看做是一种“合法操作”,对于一些越权访问数据信息又得不到权限控制。对外部人员,更多的数据泄露方式往往是业务层面的一些漏洞被利用,因此应该有相应的数据防护产品来防范该类事情的发生。
☞通过对网络安全法的整体分析,实际上可以从三个安全框架建设单位和个人的网络,分为网络层安全、数据层安全、规则制度建设安全。
网络层安全:针对网络层安全除了部署传统网络防火墙等外,应部署运维审计产品、做到设备访问权限控制、合法合规、可记录、可追溯、可审计等,推荐帕拉迪运维审计产品,产品成熟度和市场认可度高。
数据层安全:基于个人信息保护及数据安全保护,需要审计及记录,对敏感数据、高危数据操作进行行为判断、事中阻断。并且重要数据需要有容灾备份,推荐汉领科技数据审计、数据库防火墙、NGDAP、NGWAF等。
规章制度建设安全:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任,网络运营者应当制定网络安全事件应急预案,定期对从业人员进行网络安全教育、技术培训和技能考核。
Copyright ©2001-2021 北京创盛思博科技有限公司 京ICP备10218927号-1
