数据安全不再是可选项

发布时间:2017-03-16

本文以数据安全厂家的角度,对《中华人民共和国网络安全法》(简称《网安法》)中与数据安全相关的部分进行解读。


一、《中华人民共和国国家安全法》

(2015年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过)

第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。

解读:

1)《中华人民共和国国家安全法》是我国国家安全方面的重要立法。本条明确了国家对数据的安全可控的要求和决心。

2)本条是《网络安全法》的立法依据,也指明了《网络安全法》 的立法目标。

3)本条特别指出关键基础设施和重要领域信息系统,这些系统关系到国家利益和人民的根本利益。在后续的《网络安全法》中,进一步明确了这些系统的范围。

4)2016年发生的多起大学生被骗致死事件就是一起重要领域信息系统信息泄露导致的悲惨事件的典型例子。

二、《中华人民共和国网络安全法》

1)《中华人民共和国网络安全法》(简称《网安法》)于2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,于2017年6月正式施行。

2)进入新世纪后我国信息技术高速发展,使得一些关系国家命脉、国计民生的关键领域和重要行业,构建起纵联全国、横跨国际的行业信息网络基础设施,这些关键领域和重要行业信息化、智能化、网络化程度日益提高,对网络的依赖性持续增强,一旦遭到攻击破坏,不仅可能导致大规模的财产损失、人员伤亡,甚至可能威胁国家安全。

3)《网安法》明确将这些重要网络和信息系统统称为关键信息基础设施,将其纳入国家重点保护范围,对其运行安全进行详细规定。这是我国首次在法律高度提出关键信息基础设施概念,并对关键信息基础设施保护提出具体要求,是我国在关键信息基础设施保护方面取得的重大进步。

第一章 总 则

第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。

解读:

网络空间是人类继陆、海、空、天之后的全新空间。网络安全影响的时空范围将会更加广阔。全面保障国家、社会公民等在网络空间的最大利益,是制定本法的目的。

第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

解读:

本条规定了本法律的适用范围:在中华人民共和国境内的网络建设者、运营者和其他参与人员。比如:电信运营商、电子政务平台、各部委网络平台、各事业单位网络、各云计算运营商、各网络电商等等,都是本法律的适用范围。

第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

解读:

本条明确规定网络或者网络服务提供商应当维护网络数据的完整性、保密性和可用性。其中:

数据的完整性是指数据不遭受非法的篡改;

数据的保密性是指数据不遭受偷窥和窃取;

数据的可用性是指数据不遭受非法的破坏,不会丧失服务能力。

第二章 网络安全支持与促进

第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

解读:

网络数据安全保护技术受到国际鼓励。数据安全产业将更加受到重视。

第三章 网络运行安全

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

解读:

1)本条明确网络安全等级保护制度(也就是我们常说的“等保” )是信息安全建设的基本要求;

2)明确数据安全的内容:保护网络数据不被泄露或者被窃取、篡改。

3)在以前的等保中,数据安全常常是可选项,而且常常是不被选择的项目。通过本法本条,我们可以认为数据安全不再是“可选项”,而是必选项。这将极大的改变等保的实施内容。

4)当前的网络攻击、网络侵入很多是以窃取数据为目的的,需要采取防止数据窃取的技术措施(对应数据库防火墙产品,该产品能阻止SQL注入等攻击)。

对网络安全事件的日志留存时间不少于六个月。这对数据访问记录(数据库审计、应用审计等产品)的日志留存时间做出了明确要求,要高于6个月。

5)要对数据根据敏感性进行分级和分类,从而对数据进行细粒度的访问控制(对应数据库防火墙、数据脱敏等产品)。

6)明确要求对重要数据进行备份和加密(对应于数据备份和数据库加密产品)。

第二十七条 任何个人和组织不得从事非法入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事入侵网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持,广告推广、支付结算等帮助。

解读:

网络世界中数据是核心。作为专业的数据安全厂商,对于“数据”两字可谓十分敏感。我们致力于从评估、监控、入侵防护、数据加密、数据脱敏等多种方式来保护数据安全,防止数据被窃取、被篡改、以及被破坏。

第三十一条   国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

解读:

1)明确指出重要领域数据遭受泄漏的严重性;

2)指出关键信息基础设施所涵盖的范围包括但不限于:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等等重要行业和领域。

3)明确对于关键基础设施来说,除了实施等保以外,还需要额外重点的防护。当然,在防止数据泄露等数据安全方面,尤其需要收到额外的重视。

第三十七条  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

解读:

本条明确要求重要数据应当存储于境内。比如国内的云运营商,涉及到敏感数据的存储不能出境存储,而国外的云运营商,同样不能将国内的敏感数据存到国外去。

第四章 网络信息安全

第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

解读:

1)网络运营者,是指网络以及服务的提供者。比如:电信运营商、电子政务平台、各部委网络平台、各事业单位网络、各云计算运营商、各网络电商等等,这些运营者都不同程度的收集了用户的信息,都属于本法本条所指的网络运营者。

2)本条要求上述网络运营者保护所收集到的用户信息。这种保护应该是技术手段和管理手段结合的。

3)本章的大部分内容,都为明确对个人信息的保护。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

解读:

1)本条要求,对他人提供所收集到的个人信息,必须是“经过处理的无法识别且不能复原的”。在技术上,这即是指要求对敏感数据进行脱敏处理。

2)本条明确要求网络运营者采取技术措施防止数据的泄露、毁损、丢失。以云运营商为例,需要采取“数据访问审计、数据细粒度访问控制、敏感数据加密、敏感数据脱敏”等技术手段,防止内部技术人员泄露、毁损、丢失平台所搜集到的敏感数据。同时,应当为租户提供相关技术手段,使租户能够自主进行其自有的敏感数据的保护。而对于行业云(如政务云、警务云等),其中的个人数据安全更应该参照此条进行保护。而保护的手段,则需要在数据的源头,实施数据库安全加固方案,部署包括“数据库审计”、“数据库防火墙”、“数据库加密”、“数据库脱敏”等功能模块。

3)本条要求发生数据安全事件时,网络运营者应该主动上报并采取补救措施。但是现实情况是很多数据泄露泄露事件和数据篡改事件发生过很久以后,网络运营者才知道。所以在主动发现数据安全事件方面,还需要更多的技术投入。而且在补救方面,如何找到攻击路径,也是一大难题。合格的数据库审计产品能够在一定程度上主动发现数据安全事件,并能在数据安全事件溯源方面提供帮助。

第四十四条  任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

解读:

1)本条对非法窃取和出售个人信息的行为进行约束。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

解读:

1)对于拒不实施等保,或者没有对数据访问做审计且审计日志留存不到6个月,或者没有采取网络入侵防范措施,或者没有对敏感数据进行分类标识、没有对重要数据进行备份、加密等措施者,符合本条。对运营者处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。且运营者应改正。

第六章 法律责任

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

解读:

1)对于拒不实施等保,或者没有对数据访问做审计且审计日志留存不到6个月,或者没有采取网络入侵防范措施,或者没有对敏感数据进行分类标识、没有对重要数据进行备份、加密等措施者,符合本条。对运营者处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。且运营者应改正。

第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

解读:

对于攻击网络窃取敏感数据的行为(黑客或者内部人员售卖数据),适用本条。情节严重的最高可被罚款100万元,十五日拘留,且终身不得从事网络安全行业。

第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

解读:

非法收集用户信息,未对收集的信息采取技术措施和其他必要措施、非法向他人出售个人信息等行为,向他人提供个人信息没有进行脱敏等处理等行为,适用本条。最高处罚金额是100万元。

第六十六条   关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

解读:

对于违反规定,将敏感数据存储于国外的,适用本条。

第七十六条 本法下列用语的含义:

(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。

(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

解读:

1)第二款,进一步明确了本法所指的网络安全中,数据安全的重要性。

2)第五款,明确了个人信息的内容。

第七十七条  存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。

第七十八条  军事网络的安全保护,由中央军事委员会另行规定。

上一条:政务数据上云端,中安威士来护航 下一条:网络安全大检查已开始,中安威士四大招助您轻松过关!