| 编者按:
当互联网成为我们生活不可分割一部分的时候,其潜在的网络安全威胁也开始全方位渗透,监管迫在眉睫。那么,于今年6月1日起正式施行的《中华人民共和国网络安全法》,作为我国的网络安全基本法,传递出哪些重要信息呢?
随着信息化发展和“互联网+”时代的到来,网络安全威胁开始不断向经济社会的各个层面渗透,网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题,个人隐私保护、网络攻击、黑色产业链、网络犯罪、网络谣言等极大的阻碍了互联网、大数据、云计算等新兴科技领域的健康发展。大家耳熟能详的案例仿佛就发生在昨天:国内高校学生的个人信息泄露,导致即将步入大学的女学生徐玉玉失去生命;美国总统候选人希拉里的邮件泄露,直接影响到了美国大选的进程与结果;雅虎两次账户信息泄露,涉及高达15亿的个人账户等等。
纵观过去一段时间,网络攻击事件有主要四个态势:一是分布式拒绝服务 (DDoS)规模和数量的激增,主要原因是DDoS工具的自动化和服务化,任何人都能够以非常小的成本发动攻击,造成被攻击者的服务瘫痪;二是勒索软件暴增,2016年堪称勒索软件元年,通过劫持服务器、智能手机、智能终端、敏感文件等方式勒索美元、比特币的事件层出不穷,截至2016年第三季度,共检测出380多万个恶意样本,2016全年勒索软件的非法收入预计超过10亿美元。最近著名的WannaCry和Petya病毒更是在全球范围内大爆发,造成了不可估量的损失;三是商业邮件欺诈攻击(BCE),据统计,2013年10月至2016年5月间,美国和其他79个国家共发生22143起企业邮件诈骗案件,被骗总金额高达31亿美元;四是网络攻击技术日趋多样,黑客攻击已经做到产业化、服务化和普及化,黑客钻政策、法律、法规的空子,游离余监管之外,大肆发展黑色产业链。
基于此,网络安全的立法迫在眉睫。2016年11月7日,十二届全国人大常委会高票通过了《中华人民共和国网络安全法》,今年6月1日开始正式实施。这部盼望已久的网络安全基本法,传递出哪些重要信号呢?
一、等级保护制度越来越重要。
现如今,诸如门户网站等直接暴露在互联网上的网站主要是公司和单位宣传、办事的窗口,内部系统种类繁多,而且多半涉及公民的隐私、敏感信息,或者涉及金融、财务等重要业务。而这些网站和系统往往缺乏基础安全防护,容易导致网站和系统被黑客针对性攻击、恶意入侵,导致系统被篡改或造成数据泄露。在公安部的主导下,多年以来开展的信息安全等级保护测评工作已经取得显著成效,开展等级保护测评、安全建设整改的系统越来越多,网络安全整体情况有了一定提升。随着《网络安全法》的出台,明确了国家实行网络安全等级保护制度。也就是说,各个单位和公司在信息系统建设过程和系统运维过程中,必须考虑系统的重要程度和保护等级,并选择相关的安全保护措施。
二、关键信息基础设施实行重点保护
现阶段,关键基础设施、重点行业信息系统、国家社会层面的重大活动、政府机构的敏感信息,都属于高级持续性威胁攻击(APT)的主要目标。《网络安全法》中明确重要行业和领域,以及可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。这就意味着对于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在等级保护的基础上需要进行更进一步的关注和重点防护,进行关键信息基础设施重点保护。
三、网络产品、安全产品和服务规范化,符合国家标准
现阶段,网络产品、安全产品和网络相关的服务,存在一些不符合国家标准的情况,存在一定的安全隐患。《网络安全法》中明确网络产品、服务应当符合相关国家标准的强制性要求。网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求。在信息化建设过程中,在网络产品采购,尤其是网络关键设备、网络安全专用产品等的采购,必须特别关注相关销售产品是否符合国家标准,是否具有销售许可,是否由具备资格的机构安全认证合格或者安全检测符合要求;所选择的网络服务、安全服务必须有相应的符合国家标准的资质。
四、网信部门统筹协调安全监测预警和信息通报、应急处置等工作
以前,公安部、密码局、银监会、卫计委、互联网应急中心等对各行业的网络安全保障工作基本上处于各自为政,缺乏必要的互相沟通。随着《网络安全法》的出台,明确了国家网信部门负责统筹协调网络安全工作和相关监督管理工作,明确了网信部门与其他相关网络监管部门的职责分工。在网信部门统筹协调下,公安部、密码局、银监会、卫计委、互联网应急中心等各个监管部门通力合作,保障网络安全。同时,《网络安全法》明确国家建立网络安全监测预警和信息通报制度,国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制。
五、关注网络信息安全
《网络安全法》第四章“网络信息安全”着重阐述了个人信息保护的基本原则和要求,相当于一部小型的个人信息保护法,明确网络运营者建立健全用户信息保护制度,对网络信息安全、个人信息保护的内容进行了规范。
网络安全正在全面泛化,与业务安全、物理安全、人身安全、意识形态安全、国家安全结合,成为整个人类社会都无法忽视的关键问题之一。习近平主席指出:“网络安全为人民、网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线”。《网络安全法》的出台可谓恰逢其时、众望所归,恰到好处地弥补了我国在网络安全法律法规层面的不足,建立了网络安全防御的架构、体系、实施、监管等总体布局,使得网络安全有法可依。《网络安全法》以维护网络空间主权和国家安全、社会公共利益以及保护公民、法人和其他组织的合法权益为出发点,以网络安全战略、网络安全标准体系为顶层设计,以网络产品和服务的强制性要求、网络安全等级保护制度、关键信息基础设施重点保护、网络安全检测预警和信息通报制度为四个基本点,反映了中央对国家网络安全工作的总体布局,标志着中国在网络强国建设过程中迈出了坚实的一步!
徐绍飞,硕士,助理工程师,就职于上海计算机软件技术开发中心(上海市计算机软件评测重点实验室),主要从事信息安全、等级保护测评等工作。