還有兩個月時間,《中華人民共和國網(wǎng)絡(luò)安全法》就要正式實施?!毒W(wǎng)絡(luò)安全法》首先對“網(wǎng)絡(luò)(Cyber)”進(jìn)行了重新定義,是指“由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)”,而“網(wǎng)絡(luò)安全(Cyber Security)”,是指“通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力”。
從宏觀的層面來講,這意味著網(wǎng)絡(luò)安全同國土、經(jīng)濟(jì)安全等一樣成為國家安全的一個重要組成部分;從小的方面來講,意味著網(wǎng)絡(luò)運(yùn)營者(指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者)需要擔(dān)負(fù)起履行網(wǎng)絡(luò)安全的責(zé)任。談到法律,我們常說到一個詞,“有法可依”,《網(wǎng)絡(luò)安全法》的實施意味著那些涉及到網(wǎng)絡(luò)的運(yùn)營主體如果對安全不重視甚至出現(xiàn)影響較大的事故,將會受到法律的處罰。
為什么強(qiáng)調(diào)“處罰”這個詞?因為隨著過去二十年中國信息技術(shù)及互聯(lián)網(wǎng)的發(fā)展,就以個人信息泄露舉例,大規(guī)模的個人隱私數(shù)據(jù)泄露導(dǎo)致的經(jīng)濟(jì)損失和社會影響越來越大,但往往這樣的事情發(fā)生了就過去了,責(zé)任方似乎不痛不癢。《網(wǎng)絡(luò)安全法》的落地就是對這樣的事情說“不”,安全事故一旦發(fā)生,相關(guān)責(zé)任主體不再是“事不關(guān)己高高掛起”,而是要受到法律的懲治,進(jìn)而降低甚至避免安全事故的發(fā)生。
所以,無論對于信息技術(shù)服務(wù)商還是網(wǎng)絡(luò)運(yùn)營的企事業(yè)單位來說,需要加強(qiáng)安全管理與防范,發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的安全隱患和不足,從而滿足國家法律法規(guī)的要求。更重要的是,通過提高信息系統(tǒng)的安全防護(hù)水平是對用戶、社會的一種責(zé)任,尤其對于市場企業(yè)來說,重視安全也是增強(qiáng)市場競爭力的關(guān)鍵。
有必要強(qiáng)調(diào)的是,《網(wǎng)絡(luò)安全法》不只是對“事后”的處罰,更是將預(yù)防安全風(fēng)險提高到至關(guān)重要的地位。在法律層面如何規(guī)范安全預(yù)防?等級保護(hù)制度就是其重要的衡量指標(biāo)?!毒W(wǎng)絡(luò)安全法》第二十一條明確規(guī)定,“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。
企業(yè)該如何滿足《網(wǎng)絡(luò)安全法》和等保要求,在談這個話題前,我們再來用現(xiàn)實案例說明它對我們身邊一些熟悉的行業(yè)帶來的影響。
《網(wǎng)絡(luò)安全法》和等保對行業(yè)影響
就在前幾日,3月16日下午,各省市公安部門組織收聽收看全國2017年網(wǎng)絡(luò)安全信息通報暨公安機(jī)關(guān)網(wǎng)絡(luò)安全執(zhí)法檢查工作電視電話會議。
據(jù)了解,此次執(zhí)法檢查自今年3月至9月在全國各地開展,為期6個月,以黨政機(jī)關(guān)、重要行業(yè)、國有企事業(yè)單位、大型信息技術(shù)和互聯(lián)網(wǎng)企業(yè)為重點保衛(wèi)目標(biāo),將采取自查自評、技術(shù)檢測、現(xiàn)場檢查、跟蹤督辦、復(fù)合檢測相結(jié)合的方式,全面梳理摸排國家關(guān)鍵信息基礎(chǔ)設(shè)施,檢測排查并督促整改網(wǎng)絡(luò)安全重大漏洞隱患、風(fēng)險和突出問題,加大行政執(zhí)法力度,保障各地網(wǎng)絡(luò)安全。
此處除了針對國家關(guān)鍵基礎(chǔ)設(shè)施、涉及國家安全與社會民生行業(yè)的重點檢查,還包括針對一些新興行業(yè)在安全法和等??蚣芟峦瑯記]有例外。隨著一些新興互聯(lián)網(wǎng)業(yè)務(wù)的興起并越來越普及,相關(guān)的監(jiān)管部門開始意識到需要在業(yè)務(wù)監(jiān)管過程中加強(qiáng)網(wǎng)絡(luò)安全的監(jiān)管。其中最為典型的是網(wǎng)貸、網(wǎng)約車和直播三大行業(yè),在各自的行業(yè)監(jiān)管要求中都特別強(qiáng)調(diào)了等級保護(hù)的要求。
首先以網(wǎng)貸行業(yè)為例,2016年8月17日,中國銀監(jiān)會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合制定并發(fā)布了《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動管理暫行辦法》。其中第十八條規(guī)定:“網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護(hù)制度的要求,開展信息系統(tǒng)定級備案和等級測試”。2017年3月,網(wǎng)傳北京監(jiān)管部門對北京多家網(wǎng)貸平臺進(jìn)行了檢查,并下發(fā)《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)事實認(rèn)定及整改要求》,其中一條就是“未開展信息系統(tǒng)定級備案和等級測試”。
再來看網(wǎng)約車行業(yè),2016年7月,交通運(yùn)輸部制定了《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》,并定于11月1日正式執(zhí)行,文件中要求網(wǎng)約車平臺提供“依法建立并落實網(wǎng)絡(luò)安全管理制度和安全保護(hù)技術(shù)措施的證明材料”; 11月3日,交通運(yùn)輸部聯(lián)合其他5個部委出臺了《關(guān)于網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營者申請線上服務(wù)能力認(rèn)定工作流程的通知》,要求申請從事網(wǎng)約車經(jīng)營的,應(yīng)向企業(yè)注冊地相應(yīng)出租汽車行政主管部門提交線上服務(wù)能力材料,其中安全方面的具體內(nèi)容包括:“網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護(hù)定級報告、專家評審意見、備案證明及測評報告”。
同樣在直播行業(yè),2016年11月4日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《互聯(lián)網(wǎng)直播服務(wù)管理規(guī)定》,即日起執(zhí)行。其中第七條要求“互聯(lián)網(wǎng)直播服務(wù)提供者應(yīng)當(dāng)落實主體責(zé)任,配備與服務(wù)規(guī)模相適應(yīng)的專業(yè)人員,健全信息審核、信息安全管理、值班巡查、應(yīng)急處置、技術(shù)保障等制度”。
在此只是列舉這三大行業(yè)為代表的互聯(lián)網(wǎng)新興業(yè)務(wù),其實等保的適用范圍包括境內(nèi)的所有計算機(jī)系統(tǒng),換句話說沒有哪個行業(yè)能逃避責(zé)任和監(jiān)管。所以,等級保護(hù)該做嗎?面對這個問題,答案無疑是肯定的。企事業(yè)單位要做得是從系統(tǒng)定級、系統(tǒng)備案、等保測評、建設(shè)整改等開展一系列工作。
但是廣大新興互聯(lián)網(wǎng)行業(yè)從業(yè)者對等級保護(hù)要求是非常陌生的,大多數(shù)中小平臺也處于業(yè)務(wù)高速發(fā)展的過程中,安全建設(shè)相對較為滯后,也難以滿足等級保護(hù)的要求。這時候該怎么辦?也許又有人出了“點子”,因為新興的行業(yè)或中小平臺大多也是采用的新興信息服務(wù),比如云?!澳堑缺M瑯咏唤o云服務(wù)商吧!”實則不然,即使采用了云,這個責(zé)任也不可能甩出去。
根據(jù)等?!罢l主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,依據(jù)GB/T31167-2014《信息安全技術(shù) 云計算服務(wù)安全管理指南》中的責(zé)任分擔(dān)模型,只要這個業(yè)務(wù)應(yīng)用系統(tǒng)不是由云服務(wù)商直接提供的,云上用戶都需要對這個應(yīng)用系統(tǒng)負(fù)責(zé),對這個系統(tǒng)和數(shù)據(jù)的安全負(fù)責(zé)。阿里云構(gòu)建的“等保合規(guī)生態(tài)”可以為云上租戶落實國家網(wǎng)絡(luò)安全等級保護(hù)制度提供一站式服務(wù)。
云端的等保測評
以中國最大云服務(wù)商阿里云為例,2016年10月14日,阿里云宣布完成公安部組織的等級保護(hù)標(biāo)準(zhǔn)和云計算等級保護(hù)新標(biāo)準(zhǔn)試點示范工作,成為全國首家通過國家級權(quán)威測評的云計算服務(wù)商。其中公共云平臺、電子政務(wù)云平臺、大數(shù)據(jù)平臺等五大系統(tǒng)通過等級保護(hù)三級備案、測評,金融云平臺通過等級保護(hù)四級的備案、測評。
不過,雖然阿里云通過了等級保護(hù)測評,并不代表云上租戶的系統(tǒng)滿足等保的要求。云租戶側(cè)的等級保護(hù)對象也應(yīng)作為單獨(dú)的定級對象定級,在最新GB/T31167-2014《信息安全技術(shù) 云計算服務(wù)安全管理指南》和GB/T22239.2《網(wǎng)絡(luò)安全等級保護(hù)基本要求 第二部分:云計算安全擴(kuò)展要求》中明確了不同服務(wù)模式下云服務(wù)方和云租戶的安全管理責(zé)任主體,文末可參考以IaaS模式為例,云服務(wù)方與云租戶的責(zé)任劃分。
那么,企業(yè)如果將系統(tǒng)部署在云上,如何才能快速完成云上系統(tǒng)的等保合規(guī)?在此方面,阿里云的做法值得稱贊,為了解決阿里云上系統(tǒng)能夠快速滿足等保合規(guī)的需求,阿里云通過建立“等保合規(guī)生態(tài)”,聯(lián)合阿里云的安全咨詢合作機(jī)構(gòu)、各地測評機(jī)構(gòu)和監(jiān)管部門,提供一站式、全流程的等保合規(guī)解決方案。在“等保合規(guī)生態(tài)”中,阿里云提供云安全產(chǎn)品和服務(wù),咨詢廠商提供全流程技術(shù)支撐和咨詢服務(wù),測評機(jī)構(gòu)提供測評服務(wù),公安機(jī)關(guān)負(fù)責(zé)備案審核和監(jiān)督檢查。
阿里云“等保合規(guī)生態(tài)”方案
阿里云建立等保合規(guī)生態(tài)的目的,可以希望幫助用戶迅速找到等保相關(guān)的各方機(jī)構(gòu),并快速進(jìn)行項目實施。在等保實施每個階段,由咨詢廠商、阿里云協(xié)助運(yùn)營單位完成相關(guān)工作,最后接受測評機(jī)構(gòu)的測評,同時接受公安機(jī)關(guān)的監(jiān)管。
所以,即使實施等保測評并不是一件簡單的工作,對于很多新興行業(yè)也面臨經(jīng)驗不足,但是如果是云的用戶,這項工作在例如阿里云等云服務(wù)商的支持下,所有的等保合規(guī)工作并不難于去完成。難的是,在如今《網(wǎng)絡(luò)安全法》和等??蚣芟?,企業(yè)要轉(zhuǎn)變過去對安全邊緣化的思路,從而重視安全并規(guī)避風(fēng)險。
附IaaS模式下云服務(wù)方與云租戶的責(zé)任劃分
層面 |
安全要求 |
安全組件 |
責(zé)任主體 |
物理和環(huán)境安全 |
物理位置選擇 |
數(shù)據(jù)中心及物理設(shè)施 |
云服務(wù)方 |
網(wǎng)絡(luò)和通信安全 |
網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠(yuǎn)程訪問、入侵防范、安全審計 |
物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺 |
云服務(wù)方 |
云租戶虛擬網(wǎng)絡(luò)安全域 |
云租戶 |
||
設(shè)備和計算安全 |
身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù) |
物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺、鏡像等 |
云服務(wù)方 |
云租戶虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機(jī)等 |
云租戶 |
||
應(yīng)用和數(shù)據(jù)安全 |
安全審計、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù) |
云管理平臺(含運(yùn)維和運(yùn)營)、 鏡像、快照等 |
云服務(wù)方 |
云租戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云租戶應(yīng)用系統(tǒng)配置、云租戶業(yè)務(wù)相關(guān)數(shù)據(jù)等 |
云租戶 |
||
安全管理機(jī)構(gòu)和人員 |
授權(quán)和審批 |
授權(quán)和審批流程、文檔等 |
云服務(wù)方 |
系統(tǒng)安全建設(shè)管理 |
安全方案設(shè)計、測試驗收、云服務(wù)商選擇、供應(yīng)鏈管理 |
云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息 |
云服務(wù)方 |
云服務(wù)商選擇及管理流程 |
云租戶 |
||
系統(tǒng)安全運(yùn)維管理 |
監(jiān)控和審計管理 |
監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù) |
云服務(wù)方、云租戶 |
點擊查看阿里云等級保護(hù)安全合規(guī)方案:http://click.aliyun.com/m/11851/