接地气版《网络安全法》专业解读:这些条文务必重点关注!

  

   雷锋网按:本文原刊登于绿盟科技内刊,是绿盟科技资深安全从业者为其客户挑出的一些需要重点关注的条文,加上绿盟科技的法务经理的通俗解读,内容很中肯,可读性和实用性很高。雷锋网(公众号:雷锋网)经授权发布。

2016年11月7日我国第一部网络安全法颁布。笔者作为安全行业的从业人员,认真阅读了相关条文。总体感觉:

安全法不但对各种网络行为,明确了规范和法律责任,同时还是对我们如何建设网络安全提供了指引。从条文中,可以看到 iso27001 信息安全管理体系标准的影子。

安全法的各种规范和要求,其实已经长期存在于各行业的行业标准和主管部门对社会网络行为的指引中,没有太大的意外。

但是这次是以法律的形式颁发,且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线,这让笔者不禁为大家抹了一脸冷汗,因为太多的点需要注意了。接下来笔者挑出一些条文,让客户重点关注。

一、范围要看清 底线不能越

安全法把用户网络重要性分成2个层次定位:关键信息基础设施和非关键基础设施。

在第三十一条明确规定:”国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

“关键信息基础设施的具体范围和安全保护办法由国务院制定”。第一句话明确了什么是关键信息基础设施,第二句明确了安全保护办法规范谁制定。有的网络服务提供商比如域名解析这类看起来不属于重点行业范畴,但是一但出问题会引起大面积网络无法响应,并造成公共利益受损。这种业务也会被主管部门纳入到重点管理的范畴。

所以建议客户在条件允许下尽量谨慎一些,把安全等级提高。

管理归属网信部门 不配合就处罚

第八条明确规定了网信部门是负责统筹和监督网络安全工作的机构。电信主管部门、公安部门和其他机关部门在各自职责范围内负责网络安全保护和监督管理工作。

第四十九条明确规定网络运营者必须对网信部门和有关部门依法实施的监督检查予以配合。如果不配合将按六十九条处以个人和单位罚款。注意这只是说不积极配合,如果不作为、抵制和违反规定那后果会更严重。

一句话,主管部门的检查必须积极配合。

各单位要有编制 责任落实到人

从第二十一、三十四条对非关键和关键信息基础设置单位明确了要有网络安全负责人、要有网络安全管理机构、要有定期技能培训和考核。简单而言就是要有编制,培训投入和明确谁背责任。

特别需要关注一点,本法对招聘安全技术人员的资格也提出的要求。在第六十三条规定违反第二十七条(也就是从事过非法网络攻击行为)受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

这个规定将对已招收或者试图招收有非法前科黑客的单位敲响了警钟。

二、产品技术要达标 红线不能踩

本法更多的是从安全建设要达到的效果提出要求,并没有列出如何安全建设标准才能实现这一目标(实际上也不方便写出来)。不过我们从规定里面还是看到了一些比较具体的安全技术建设要求:第十条中提到依照法律、行政法规的规定和国家标准的强制性要求。也就是说关于在安全产品上必须满足国家标准的要去选购(也就是要关注国家颁发标准认证产品)。这里提到标准相信不少用户会遇到不同标准有时候会出现冲突、不一致等现象。

在第十五条中明确了:国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

第二十三条:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。

意思就说以后关键信息系统的产品采购需要在网信部门牵头发布的《网络关键设备和网络安全专用产品目录》中选取。

非关键信息系统产品采购需要符合国家资格的机构安全认证合格或安全检测符合要求。比如说像目前的公安部颁发的安全产品销售许可证是最基本的产品认证要求。

第二十一条中明确指出用户网络需要采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;

这里需要关注的是必须保留网络日志不少于六个月,对不同数据的重要性需要加密和备份。对于这个要求,一些客户单位执行的并不是很到位。

第三十三条规定了关键信息网络需要考虑业务持续问题,防止单点故障的解决方案必须采用。

两地三中心到分布式多活的异地多活技术将受到更广泛行业的需求。同时这也是对设备厂商的稳定性、使用年限、成熟度都提出更高的要求。

第三十五条规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。这条笔者理解,在最终采购决策上,法律会做出解释,但设备国产化或者会有优先权。

建议客户在关键信息基础设施领域,尤其是可能影响到国家安全的问题上,尽早淘汰国外产品,既然写入了法律规定就不是建议或指引了。在第六十五条对违反的单位和负责人将处以重罚,并可责令停止使用。

第二十五和第三十四条要求网络运营者需要制定安全事件应急预案(点赞)。建议用户与安全运维专业团队保持紧密联系以确保应急预案的完善和到位。

第二十四条规定网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 

这里要重点关注对于一些ICP提供用户信息发布、即时通讯等服务时候需要有足够的技术手段来保证用户真实身份。这里需要着重注意,目前技术和业务模式尚不能很好的解决这个问题,即便是在新用户注册的时候采用手机认证,也存在不少的漏洞。

第三十八条规定关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

这里规定了安全评估的必须性。

三、个人信息使用要明示 高压线不能碰

本法用不少篇幅的条文来规定网络产品、服务提供商对用户信息资料的收集和使用。

第二十二条 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及公民个人信息的,应当遵守本法和有关法律、行政法规关于公民个人信息保护的规定。

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者收集、使用个人信息,应当公开其收集、使用规则。网络运营者应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

笔者了解到众多ICP服务商在提供服务的时候并没有让用户明确同意就收集客户的信息,同时还存在与其他机构交换数据的情况。同时因为安全建设不到位导致黑客入侵,用户资料大量外泄。为了避免您触及法律红线,请及时咨询专业法律人士。

第六十四条中规定对违反单位主管、责任人、单位重罚并可责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

本文作者:谢幺

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-10-05 10:52:32

接地气版《网络安全法》专业解读:这些条文务必重点关注!的相关文章

《网络安全法》解读

<网络安全法>是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网.化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障.<网络安全法>将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障.本法在以下几个方面值得特别关注: 一.<网络安全法>确立了网络安全法的基本原则 第一,网络空间主权原则.<网络安全法>第1条"立法目的"开宗

“《网络安全法》深度解读:自主可控和开放竞争“研讨会

2017年3月31日,"<网络安全法>深度解读--自主可控和开放竞争"研讨会在北京召开,这是由中国云体系产业创新战略联盟主办的"中国网络空间和可信云安全深度研讨会"系列的第二场活动.2016年底,全国人大常委会通过了具有里程碑式的意义的<中华人民共和国网络安全法>(以下简称<网络安全法>),这是我国网络安全法治建设的一个重大战略契机.如何在坚持改革开放的前提下,汲取国际先进技术和产业经验,实现核心技术的自主可控突破,这是时代赋予我

网络安全法解读之网络数据安全与SSL证书

网络数据及其安全问题解读 网络数据是指什么? 今年6月1日正式生效实施的<中华人民共和国网络安全法>第七十六条规定:"网络数据,是指通过网络收集.存储.传输.处理和产生的各种电子数据." 对于普通用户,浏览的网页.输入的数据等线上操作,均会涉及较大数据量.对于企业,企业信息.用户信息等,也都是需要保护的重要数据.而一旦数据无法得到保护,造成信息隐私泄露,损失将难以估量. <中华人民共和国网络安全法>第三章三十七条至三十八条,第四章四十一条至四十四条,就分别对关键

中国网络安全大会上,《网络安全法》起草者是如何解读这部法律的?

本文讲的是中国网络安全大会上,<网络安全法>起草者是如何解读这部法律的?,<网络安全法>生效两周后,北京国家会议中心,正气氛热烈地举行一场安全大会. 中国网络安全大会(NSC2017),由国家相关部委指导,赛可达实验室联合国内外多家具有影响力的行业协会.机构等单位共同主办,今年已经是第五届. 早上九点,北京的天空淅淅沥沥地下着雨,但并不影响观众的热情.嘶吼编辑准点抵达现场时,会场里已经大半坐好了,再过一会,会场快要满席,主持人上台致辞,大会便开始了. NSC2017是<网络安

解读《网络安全法》 分析互联网信息泄露来龙去脉

6月1日起,<中华人民共和国网络安全法>正式施行,作为我国网络安全治理领域的基础性立法,首次在法律层面规定了个人信息保护的基本原则,明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息. 解读<网络安全法> 分析互联网信息泄露来龙去脉 84%网民遭遇信息泄露 你中奖了吗? 所谓个人信息包括两类,一类是姓名.住址等基本信息:另一类是账户.密码等交易类信息.随着互联网应用的普及和人们对互联网的依

中国第一部网络安全法,网信办领导是这么解读的

       11月7日,网络安全界发生了一件重要的事情,中国第一部网络安全法<中国网络安全法>正式诞生了.对此,网信办的"领导"怎么看? 11月9日,第二届中国互联网安全领袖峰会上,网信办网络安全协调局副局长卿昱对此进行了解读,以下为他的演讲实录: 这是网络安全领域一部根本大法,也是我们的一部基础性法律,它具有里程碑式的意义. 中国目前有7亿网民,我们的经济社会已经高度依赖于信息网络,党的十八大以来,以习近平同志为核心的党中央对网络安全工作做出了一系列重要的部署. <

网络安全法出台背景及主要内容解读

2016年11月7日,十二届全国人大常委会经表决高票通过了<中华人民共和国网络安全法>(以下简称<网络安全法>),该法将于2017年6月1日起正式施行.作为我国的网络安全基本法,<网络安全法>是网络安全领域"依法治国"的重要体现,对保障我国网络安全有着重大意义. 一.立法背景:网络安全已经成为关系国家安全和发展.关系广大人民群众切身利益的重大问题 在信息化时代,网络已经深刻地融入了经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网

《中华人民共和国网络安全法》最终版,明年6月1日施行

中华人民共和国网络安全法 (2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过) 目 录 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则 第一章 总 则 第一条 为了保障网络安全,维护网络空间主权和国家安全.社会公共利益,保护公民.法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法. 第二条 在中华人民共和国

网络安全法解读:开启我国信息网络立法进程

11月7日,十二届全国人大常委会第二十四次会议表决通过了<中华人民共和国网络安全法>.中国社会科学院法学研究所研究员.中国法学会互联网与信息法学研究会副会长周汉华今日接受正义网记者专访时表示,该部法律是国家安全立法体系的重要组成部分,开启我国信息网络立法进程. 北京师范大学副教授吴沈括同样认为,<网络安全法>的制定出台,是贯彻落实网络强国战略的重要一环,将有力地促进并服务于"互联网+"行动和网络强国战略的进一步实施.对于完善我国在网络空间的规范治理体系具有基础性