《网络安全法》和云等保框架下,企业如何为安全掌舵?

简介:

还有两个月时间,《中华人民共和国网络安全法》就要正式实施。《网络安全法》首先对“网络(Cyber)”进行了重新定义,是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,而“网络安全(Cyber Security)”,是指“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。

从宏观的层面来讲,这意味着网络安全同国土、经济安全等一样成为国家安全的一个重要组成部分;从小的方面来讲,意味着网络运营者(指网络的所有者、管理者和网络服务提供者)需要担负起履行网络安全的责任。谈到法律,我们常说到一个词,“有法可依”,《网络安全法》的实施意味着那些涉及到网络的运营主体如果对安全不重视甚至出现影响较大的事故,将会受到法律的处罚。

为什么强调“处罚”这个词?因为随着过去二十年中国信息技术及互联网的发展,就以个人信息泄露举例,大规模的个人隐私数据泄露导致的经济损失和社会影响越来越大,但往往这样的事情发生了就过去了,责任方似乎不痛不痒。《网络安全法》的落地就是对这样的事情说“不”,安全事故一旦发生,相关责任主体不再是“事不关己高高挂起”,而是要受到法律的惩治,进而降低甚至避免安全事故的发生。

2017-04-10-44cddeac96-80e8-4402-af7e-d8b

所以,无论对于信息技术服务商还是网络运营的企事业单位来说,需要加强安全管理与防范,发现系统内部存在的安全隐患和不足,从而满足国家法律法规的要求。更重要的是,通过提高信息系统的安全防护水平是对用户、社会的一种责任,尤其对于市场企业来说,重视安全也是增强市场竞争力的关键。

有必要强调的是,《网络安全法》不只是对“事后”的处罚,更是将预防安全风险提高到至关重要的地位。在法律层面如何规范安全预防?等级保护制度就是其重要的衡量指标。《网络安全法》第二十一条明确规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。

企业该如何满足《网络安全法》和等保要求,在谈这个话题前,我们再来用现实案例说明它对我们身边一些熟悉的行业带来的影响。

《网络安全法》和等保对行业影响

就在前几日,3月16日下午,各省市公安部门组织收听收看全国2017年网络安全信息通报暨公安机关网络安全执法检查工作电视电话会议。

据了解,此次执法检查自今年3月至9月在全国各地开展,为期6个月,以党政机关、重要行业、国有企事业单位、大型信息技术和互联网企业为重点保卫目标,将采取自查自评、技术检测、现场检查、跟踪督办、复合检测相结合的方式,全面梳理摸排国家关键信息基础设施,检测排查并督促整改网络安全重大漏洞隐患、风险和突出问题,加大行政执法力度,保障各地网络安全。

此处除了针对国家关键基础设施、涉及国家安全与社会民生行业的重点检查,还包括针对一些新兴行业在安全法和等保框架下同样没有例外。随着一些新兴互联网业务的兴起并越来越普及,相关的监管部门开始意识到需要在业务监管过程中加强网络安全的监管。其中最为典型的是网贷、网约车和直播三大行业,在各自的行业监管要求中都特别强调了等级保护的要求。

首先以网贷行业为例,2016年8月17日,中国银监会、工业和信息化部、公安部、国家互联网信息办公室联合制定并发布了《网络借贷信息中介机构业务活动管理暂行办法》。其中第十八条规定:“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试”。2017年3月,网传北京监管部门对北京多家网贷平台进行了检查,并下发《网络借贷信息中介机构事实认定及整改要求》,其中一条就是“未开展信息系统定级备案和等级测试”。

再来看网约车行业,2016年7月,交通运输部制定了《网络预约出租汽车经营服务管理暂行办法》,并定于11月1日正式执行,文件中要求网约车平台提供“依法建立并落实网络安全管理制度和安全保护技术措施的证明材料”; 11月3日,交通运输部联合其他5个部委出台了《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》,要求申请从事网约车经营的,应向企业注册地相应出租汽车行政主管部门提交线上服务能力材料,其中安全方面的具体内容包括:“网络与信息系统安全等级保护定级报告、专家评审意见、备案证明及测评报告”。

同样在直播行业,2016年11月4日,国家互联网信息办公室发布《互联网直播服务管理规定》,即日起执行。其中第七条要求“互联网直播服务提供者应当落实主体责任,配备与服务规模相适应的专业人员,健全信息审核、信息安全管理、值班巡查、应急处置、技术保障等制度”。

在此只是列举这三大行业为代表的互联网新兴业务,其实等保的适用范围包括境内的所有计算机系统,换句话说没有哪个行业能逃避责任和监管。所以,等级保护该做吗?面对这个问题,答案无疑是肯定的。企事业单位要做得是从系统定级、系统备案、等保测评、建设整改等开展一系列工作。

但是广大新兴互联网行业从业者对等级保护要求是非常陌生的,大多数中小平台也处于业务高速发展的过程中,安全建设相对较为滞后,也难以满足等级保护的要求。这时候该怎么办?也许又有人出了“点子”,因为新兴的行业或中小平台大多也是采用的新兴信息服务,比如云。“那等保同样交给云服务商吧!”实则不然,即使采用了云,这个责任也不可能甩出去。

根据等保“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,依据GB/T31167-2014《信息安全技术 云计算服务安全管理指南》中的责任分担模型,只要这个业务应用系统不是由云服务商直接提供的,云上用户都需要对这个应用系统负责,对这个系统和数据的安全负责。阿里云构建的“等保合规生态”可以为云上租户落实国家网络安全等级保护制度提供一站式服务。

云端的等保测评

以中国最大云服务商阿里云为例,2016年10月14日,阿里云宣布完成公安部组织的等级保护标准和云计算等级保护新标准试点示范工作,成为全国首家通过国家级权威测评的云计算服务商。其中公共云平台、电子政务云平台、大数据平台等五大系统通过等级保护三级备案、测评,金融云平台通过等级保护四级的备案、测评。

不过,虽然阿里云通过了等级保护测评,并不代表云上租户的系统满足等保的要求。云租户侧的等级保护对象也应作为单独的定级对象定级,在最新GB/T31167-2014《信息安全技术 云计算服务安全管理指南》和GB/T22239.2《网络安全等级保护基本要求 第二部分:云计算安全扩展要求》中明确了不同服务模式下云服务方和云租户的安全管理责任主体,文末可参考以IaaS模式为例,云服务方与云租户的责任划分。

那么,企业如果将系统部署在云上,如何才能快速完成云上系统的等保合规?在此方面,阿里云的做法值得称赞,为了解决阿里云上系统能够快速满足等保合规的需求,阿里云通过建立“等保合规生态”,联合阿里云的安全咨询合作机构、各地测评机构和监管部门,提供一站式、全流程的等保合规解决方案。在“等保合规生态”中,阿里云提供云安全产品和服务,咨询厂商提供全流程技术支撑和咨询服务,测评机构提供测评服务,公安机关负责备案审核和监督检查。

2017-04-10-49348d5cdf-bdb5-4605-a417-cee

阿里云“等保合规生态”方案

阿里云建立等保合规生态的目的,可以希望帮助用户迅速找到等保相关的各方机构,并快速进行项目实施。在等保实施每个阶段,由咨询厂商、阿里云协助运营单位完成相关工作,最后接受测评机构的测评,同时接受公安机关的监管。

所以,即使实施等保测评并不是一件简单的工作,对于很多新兴行业也面临经验不足,但是如果是云的用户,这项工作在例如阿里云等云服务商的支持下,所有的等保合规工作并不难于去完成。难的是,在如今《网络安全法》和等保框架下,企业要转变过去对安全边缘化的思路,从而重视安全并规避风险。



本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。

目录
相关文章
|
29天前
|
云安全 机器学习/深度学习 安全
云端防御战线:云计算安全与网络防护策略
【2月更文挑战第30天】 在数字转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着云服务应用的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中面临的安全挑战,并剖析如何通过一系列先进的技术手段和策略来加强数据保护,确保信息资产的安全。我们将讨论包括加密技术、身份认证、入侵检测系统、安全事件管理等在内的多种安全措施,并分析这些措施如何协同工作以形成一个多层次的防御体系。
|
1月前
|
安全 网络协议 Unix
网络安全产品之认识安全隔离网闸
随着互联网的发展,网络攻击和病毒传播的方式越来越复杂,对网络安全的要求也越来越高。传统的防火墙设备在面对一些高级的网络攻击时,往往难以做到全面的防护,因此需要一种更加有效的网络安全设备来提高网络的安全性。此外,随着信息技术的不断发展,各个行业对信息系统的依赖程度也越来越高,一旦信息系统遭受攻击或入侵,可能会导致数据泄露、系统瘫痪等严重后果。因此,对于一些高安全级别的网络环境,如政府、军队、公安、银行等,需要一种更加可靠的安全设备来保证网络的安全性。在这样的背景下,安全隔离网闸作为一种新型的网络安全设备应运而生。本文让我们一起来认识安全隔离网闸。
36 0
|
28天前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境下的网络安全与防护策略
【2月更文挑战第31天】 在信息技术迅猛发展的当代,云计算以其高效、灵活和成本优化的特点成为企业数字化转型的重要支撑。然而,随着云服务的广泛应用,数据的安全与隐私保护问题也日益凸显。本文将深入探讨在复杂多变的云计算环境中,如何通过创新技术和策略加强网络安全防护,确保信息安全。我们将分析当前云计算服务中存在的安全威胁,探讨加密技术、身份认证、访问控制以及入侵检测等关键技术的应用,并提出一个多层次、综合性的安全防护框架,以助力企业在享受云计算便利的同时,有效防范安全风险。
|
28天前
|
存储 安全 网络安全
云计算与网络安全:构建数字化安全堡垒
在当今数字化时代,云计算技术的快速发展为企业提供了更便捷高效的信息化解决方案,然而,随之而来的网络安全隐患也备受关注。本文将探讨云计算与网络安全的紧密关系,分析云服务、网络安全、信息安全等技术领域的发展现状,以及如何通过有效的策略和技术手段构建数字化安全堡垒,确保信息安全与数据隐私。
12 1
|
2天前
|
运维 安全 Cloud Native
安全访问服务边缘(SASE):网络新时代的安全与连接解决方案
SASE(安全访问服务边缘)是一种云基安全模型,结合了网络功能和安全策略,由Gartner在2019年提出。它强调身份驱动的私有网络、云原生架构和全面边缘支持,旨在解决传统WAN和安全方案的局限性,如高延迟和分散管理。SASE通过降低IT成本、提升安全响应和网络性能,应对数据分散、风险控制和访问速度等问题,适用于移动办公、多分支办公等场景。随着网络安全挑战的增加,SASE将在企业的数字化转型中扮演关键角色。
|
4天前
|
SQL 安全 Java
Java安全编程:防范网络攻击与漏洞
【4月更文挑战第15天】本文强调了Java安全编程的重要性,包括提高系统安全性、降低维护成本和提升用户体验。针对网络攻击和漏洞,提出了防范措施:使用PreparedStatement防SQL注入,过滤和转义用户输入抵御XSS攻击,添加令牌对抗CSRF,限制文件上传类型和大小以防止恶意文件,避免原生序列化并确保数据完整性。及时更新和修复漏洞是关键。程序员应遵循安全编程规范,保障系统安全。
|
存储 设计模式 网络协议
Netty网络框架(一)
Netty网络框架
30 1
|
29天前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境中的网络安全与信息保护策略
【2月更文挑战第30天】 在数字化浪潮推动下,云计算以其弹性、可扩展和按需付费的特性成为企业IT架构的核心。然而,随之而来的是日益复杂的安全威胁,它们不断试探和突破云环境的边界防御。本文深入探讨了云计算服务模型中的固有安全挑战,并提出了综合性的网络安全防护措施和信息保护策略。通过对加密技术、身份认证机制、入侵检测系统以及合规性监管等关键技术的详细分析,我们构建了一个多层次、全方位的安全框架,旨在为云计算环境提供坚固的安全保障。
|
30天前
|
安全 网络安全 云计算
构筑安全防线:云计算环境中的网络安全与信息保护策略
【2月更文挑战第29天】 在数字化转型的浪潮中,云计算已成为企业IT架构的核心组成部分。然而,随着云服务的广泛应用,数据安全和隐私保护的挑战亦日益凸显。本文旨在探讨云计算环境下网络安全与信息保护的重要性、面临的风险以及应对策略。通过对现有安全技术的剖析与最佳实践的梳理,文章提出了一系列针对性的安全强化措施,以助力企业在享受云计算带来的便利的同时,确保其数据资产的安全性和完整性。