十二届全国人大常委会第二十四次会议11月7日上午经表决,通过了《中华人民共和国网络安全法》(以下简称:网络安全法),该法将于2017年6月1日起正式施行。在此之前,我国先后制定了不少的网络相关条例和规定,而网络安全法的表决通过,施行之后则将成为我国首部系统的统筹全局的网络安全法律法规,无疑引起了行业和民众的广泛关注。
网络安全法于10月31日通过三审稿,在三审之前,该法对网络运营者应当遵守的安全义务和规定做出明确要求,以及个人信息的安全保护、关键信息基础设施的安全保护等等方面做出明确规定;三审之后,增加了关键信息基础设施范围的界定,以及对网络诈骗网络违法犯罪活动的相关规定,并强调了网络安全人才培养及保护未成年人上网安全等方面内容,可以说新法所含内容具有了极高的全面性。
众所周知,在接入互联网的22年后的今天,我国已经成长为网民规模全球第一的互联网大国,但是我国的网络安全整体水平却并不与上述“第一”所持平,先前有安全厂商曾对影响全球的重大安全漏洞“心脏出血”作过跟踪调研,中国在这一重大安全漏洞爆发后3天的修复率仅为18%,在全球八位列102位,相信这一“尴尬”有望于在网络安全法正式实施之后得到根本改观。
网络安全法获行业认可
重大漏洞全球102位修复率,侧面反映了我国整体的网络安全水平,公布这一排名的正是知道创宇COO兼CTO杨冀龙,“国家越来越重视网络安全,特别是最近两年,经历了网信办的成立,现在又推出了网络安全法,我国网络安全的整体水平相比过去有了质的提高,如果现在再做类似的统计,我想我一定不会像当初那样尴尬”,在网络安全法表决通过当天,杨冀龙接受笔者采访时如此表示。
杨冀龙指出,今天表决通过的网络安全法,是我们从国家层面对网络安全的一次成功的系统规划。“网络安全法规定涵盖广泛,对主管部门的网络安全工作职责作了要求,对网络服务商关于安全保障方面也提出了具体的要求,同时还有漏洞预警方面的规定,确实如杨合庆副主任所讲,这个法律非常全面,针对性很高。”
杨冀龙还表示,网络安全法三审后所做的修改让人觉得眼前一亮,又增加了一些重大问题的界定,行业内关注的工业控制系统,在新法中具体体现于“关键信息基础设施的运行安全”一节,就得到了更加明确的界定,有助于更加具体的开展网络安全建设工作。同时三审后还新增了人民群众非常关注的网络电信诈骗的惩治规定,并且这部法律也不仅仅立足于硬性的惩治条款,还包含了网络安全人才培养、保护未成年人上网安全等内容。
“网络安全法即是一个总的纲领法,也是对现有分布于其它法律规定有关于计算机、网络技术法规的补充,比如说《刑法》上规定的一般都是量刑较重的刑事处罚,而对于不构成犯罪的部分,这部网络安全法就做了相应的处罚措施,现实当中这点也显的非常有必要。”杨冀龙补充说。
网络安全法的现实意义
网络安全法第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行多项安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中五项安全保护义务中有一条明确说明需“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”。
同时,第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
对于网络运营者不履行上述二十一条、二十五条规定的网络安全保护义务,将由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责人的主管人员处五千元以上五万元以下罚款。
可以看得出来,网络安全法相关规定与之前法律规定不同的就是这种整体安全态势提高上的补充处罚,国家制定这部网络安全法的目的就是要把我国的网络安全水平整体都提高上去,不按照国家要求履行安全义务的,将受到相应处罚。
这对于那些缺乏安全意识的管理者们,尤其需要注意,比如《刑法》规定的“致使违法信息大量传播的”、“致使用户信息泄露,造成严重后果的”,以前只有出现问题才会受到处罚,而等明天6月1日网络安全法施行之后,没有安全防护措施的,在安全事件比如漏洞爆发时,没有紧急处理的,都将被处罚。
信息安全产业的春天
“这确实让安全产业为之一振,安全厂商在做安全业务时很是被动,一些网络运营者往往抱着侥幸心理来看待安全,认为自己不会那么倒霉被黑客盯上,甚至抛开了业务安全性这个硬性需求。而网络安全法施行后将会带来很大的改观,因为安全已成为了国家硬性标准。”知道创宇云安全高级顾问王利伟如此表示。
“从业务贴合度上讲,即将实施的网络安全法中的要求是知道创宇始终在做的,比如网络的安全防护,知道创宇云安全防御平台,现在服务于全国89万网站,安全能力被广泛认可;基于关键信息基础设施的运行安全方面,我们的网络空间雷达系统可提供资源测绘和漏洞侦测,知道创宇前不久获得了‘2016年北京市关键信息基础设施网络安全检查工作技术支撑单位’称号,也是上级部门对知道创宇在这一方面能力的高度认可;安全事件预警方面知道创宇也建立了常态的漏洞预警机制,可及时发现影响安全的最新漏洞,对系统做到第一时间修复,而且所有的这些能力,都是行业顶尖水准的。”
另外,王利伟认为新法可能会对现有的已经被固定的商业模式产生影响,谁能在这一次新的浪潮中做足准备,才能够真正的在明年6月份迎接“春天”,同时互联网技术发展日新月异,安全形势也同步伴随,只有技术根基扎实才能够做到万事俱备,只欠“春”风。
本文转自d1net(转载)