还有两个月时间,《中华人民共和国网络安全法》就要正式实施。《网络安全法》首先对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,而“网络安全(Cyber Security)”,是指“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。
从宏观的层面来讲,这意味着网络安全同国土、经济安全等一样成为国家安全的一个重要组成部分;从小的方面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)需要担负起履行网络安全的责任。谈到法律,我们常说到一个词,“有法可依”,《网络安全法》的实施意味着那些涉及到网络的运营主体如果对安全不重视甚至出现影响较大的事故,将会受到法律的处罚。
为什么强调“处罚”这个词?因为随着过去二十年中国信息技术及互联网的发展,就以个人信息泄露举例,大规模的个人隐私数据泄露导致的经济损失和社会影响越来越大,但往往这样的事情发生了就过去了,责任方似乎不痛不痒。《网络安全法》的落地就是对这样的事情说“不”,安全事故一旦发生,相关责任主体不再是“事不关己高高挂起”,而是要受到法律的惩治,进而降低甚至避免安全事故的发生。
所以,无论对于信息技术服务商还是网络运营的企事业单位来说,需要加强安全管理与防范,发现系统内部存在的安全隐患和不足,从而满足国家法律法规的要求。更重要的是,通过提高信息系统的安全防护水平是对用户、社会的一种责任,尤其对于市场企业来说,重视安全也是增强市场竞争力的关键。
有必要强调的是,《网络安全法》不只是对“事后”的处罚,更是将预防安全风险提高到至关重要的地位。在法律层面如何规范安全预防?等级保护制度就是其重要的衡量指标。《网络安全法》第二十一条明确规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。
企业该如何满足《网络安全法》和等保要求,在谈这个话题前,我们再来用现实案例说明它对我们身边一些熟悉的行业带来的影响。
《网络安全法》和等保对行业影响
就在前几日,3月16日下午,各省市公安部门组织收听收看全国2017年网络安全信息通报暨公安机关网络安全执法检查工作电视电话会议。
据了解,此次执法检查自今年3月至9月在全国各地开展,为期6个月,以党政机关、重要行业、国有企事业单位、大型信息技术和互联网企业为重点保卫目标,将采取自查自评、技术检测、现场检查、跟踪督办、复合检测相结合的方式,全面梳理摸排国家关键信息基础设施,检测排查并督促整改网络安全重大漏洞隐患、风险和突出问题,加大行政执法力度,保障各地网络安全。
此处除了针对国家关键基础设施、涉及国家安全与社会民生行业的重点检查,还包括针对一些新兴行业在安全法和等保框架下同样没有例外。随着一些新兴互联网业务的兴起并越来越普及,相关的监管部门开始意识到需要在业务监管过程中加强网络安全的监管。其中最为典型的是网贷、网约车和直播三大行业,在各自的行业监管要求中都特别强调了等级保护的要求。
首先以网贷行业为例,2016年8月17日,中国银监会、工业和信息化部、公安部、国家互联网信息办公室联合制定并发布了《网络借贷信息中介机构业务活动管理暂行办法》。其中第十八条规定:“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试”。2017年3月,网传北京监管部门对北京多家网贷平台进行了检查,并下发《网络借贷信息中介机构事实认定及整改要求》,其中一条就是“未开展信息系统定级备案和等级测试”。
再来看网约车行业,2016年7月,交通运输部制定了《网络预约出租汽车经营服务管理暂行办法》,并定于11月1日正式执行,文件中要求网约车平台提供“依法建立并落实网络安全管理制度和安全保护技术措施的证明材料”; 11月3日,交通运输部联合其他5个部委出台了《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》,要求申请从事网约车经营的,应向企业注册地相应出租汽车行政主管部门提交线上服务能力材料,其中安全方面的具体内容包括:“网络与信息系统安全等级保护定级报告、专家评审意见、备案证明及测评报告”。
同样在直播行业,2016年11月4日,国家互联网信息办公室发布《互联网直播服务管理规定》,即日起执行。其中第七条要求“互联网直播服务提供者应当落实主体责任,配备与服务规模相适应的专业人员,健全信息审核、信息安全管理、值班巡查、应急处置、技术保障等制度”。
在此只是列举这三大行业为代表的互联网新兴业务,其实等保的适用范围包括境内的所有计算机系统,换句话说没有哪个行业能逃避责任和监管。所以,等级保护该做吗?面对这个问题,答案无疑是肯定的。企事业单位要做得是从系统定级、系统备案、等保测评、建设整改等开展一系列工作。
但是广大新兴互联网行业从业者对等级保护要求是非常陌生的,大多数中小平台也处于业务高速发展的过程中,安全建设相对较为滞后,也难以满足等级保护的要求。这时候该怎么办?也许又有人出了“点子”,因为新兴的行业或中小平台大多也是采用的新兴信息服务,比如云。“那等保同样交给云服务商吧!”实则不然,即使采用了云,这个责任也不可能甩出去。
根据等保“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,依据GB/T31167-2014《信息安全技术 云计算服务安全管理指南》中的责任分担模型,只要这个业务应用系统不是由云服务商直接提供的,云上用户都需要对这个应用系统负责,对这个系统和数据的安全负责。阿里云构建的“等保合规生态”可以为云上租户落实国家网络安全等级保护制度提供一站式服务。
云端的等保测评
以中国最大云服务商阿里云为例,2016年10月14日,阿里云宣布完成公安部组织的等级保护标准和云计算等级保护新标准试点示范工作,成为全国首家通过国家级权威测评的云计算服务商。其中公共云平台、电子政务云平台、大数据平台等五大系统通过等级保护三级备案、测评,金融云平台通过等级保护四级的备案、测评。
不过,虽然阿里云通过了等级保护测评,并不代表云上租户的系统满足等保的要求。云租户侧的等级保护对象也应作为单独的定级对象定级,在最新GB/T31167-2014《信息安全技术 云计算服务安全管理指南》和GB/T22239.2《网络安全等级保护基本要求 第二部分:云计算安全扩展要求》中明确了不同服务模式下云服务方和云租户的安全管理责任主体,文末可参考以IaaS模式为例,云服务方与云租户的责任划分。
那么,企业如果将系统部署在云上,如何才能快速完成云上系统的等保合规?在此方面,阿里云的做法值得称赞,为了解决阿里云上系统能够快速满足等保合规的需求,阿里云通过建立“等保合规生态”,联合阿里云的安全咨询合作机构、各地测评机构和监管部门,提供一站式、全流程的等保合规解决方案。在“等保合规生态”中,阿里云提供云安全产品和服务,咨询厂商提供全流程技术支撑和咨询服务,测评机构提供测评服务,公安机关负责备案审核和监督检查。
阿里云“等保合规生态”方案
阿里云建立等保合规生态的目的,可以希望帮助用户迅速找到等保相关的各方机构,并快速进行项目实施。在等保实施每个阶段,由咨询厂商、阿里云协助运营单位完成相关工作,最后接受测评机构的测评,同时接受公安机关的监管。
所以,即使实施等保测评并不是一件简单的工作,对于很多新兴行业也面临经验不足,但是如果是云的用户,这项工作在例如阿里云等云服务商的支持下,所有的等保合规工作并不难于去完成。难的是,在如今《网络安全法》和等保框架下,企业要转变过去对安全边缘化的思路,从而重视安全并规避风险。
附IaaS模式下云服务方与云租户的责任划分
层面 | 安全要求 | 安全组件 | 责任主体 |
物理和环境安全 | 物理位置选择 | 数据中心及物理设施 | 云服务方 |
网络和通信安全 | 网络结构、访问控制、远程访问、入侵防范、安全审计 | 物理网络及附属设备、虚拟网络管理平台 | 云服务方 |
云租户虚拟网络安全域 | 云租户 | ||
设备和计算安全 | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 | 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等 | 云服务方 |
云租户虚拟网络设备、虚拟安全设备、虚拟机等 | 云租户 | ||
应用和数据安全 | 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 | 云管理平台(含运维和运营)、镜像、快照等 | 云服务方 |
云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等 | 云租户 | ||
安全管理机构和人员 | 授权和审批 | 授权和审批流程、文档等 | 云服务方 |
系统安全建设管理 | 安全方案设计、测试验收、云服务商选择、供应链管理 | 云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息 | 云服务方 |
云服务商选择及管理流程 | 云租户 | ||
系统安全运维管理 | 监控和审计管理 | 监控和审计管理的相关流程、策略和数据 | 云服务方、云租户 |