6月1日《网络安全法》正式实施,阿里云河南授权服务中心带你解读重点条文
发布时间:2017-06-01 14:38
6月1日起,《中华人民共和国网络安全法》将正式实施。在此之后,网络安全再也不是儿戏,大到企业、国家,小到个人,都需要依法从事网络行为。
正如两周前发生的安全事件,黑客针对Windows系统漏洞发布的“永恒之蓝”勒索病毒,波及100多个国家,数万组织和个人。
此外,云计算的出现、大数据的使用以及移动设备的使用,让如今的网络安全挑战出现新变化。值此安全法出台之际,阿里云河南服务中心带您解读其中的重点条文。
总体感觉:安全法不但对各种网络行为,明确了规范和法律责任,同时还是对我们如何建设网络安全提供了指引。从条文中,可以看到 iso27001 信息安全管理体系标准的影子。
安全法的各种规范和要求,其实已经长期存在于各行业的行业标准和主管部门对社会网络行为的指引中,没有太大的意外。
但是这次是以法律的形式颁发,且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线,这让笔者不禁为大家抹了一脸冷汗,因为太多的点需要注意了,有些条理可能直接关系到企业的生死了。接下来笔者挑出一些条文,让客户重点关注。
一、 网络运行基本安全要求
涉及行业: 事业单位、国企、传媒、金融、电商、游戏、社交媒体......
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;作规程,确定网络安全负责人,落实网络安全保护责任;
条款解读
本条款提到的网络安全等级保护制度是公安部运营多年的信息系统安全等级保护制度,网络安全法的出台也加强了对等保执行力度的要求,不做等保就属于违法行为了。
1. 安全管理:网络运营者需在企业内部明确网络安全的责任,并通过完善的规章制度、操作流程为网络安全提供制度保障;
2. 技术层面:网络运营者应采取各种事前预防、事中响应、事后跟进的技术手段,应对网络攻击,降低网络安全的风险。值得注意的是,网络日志的保存期限已明确要求不低于六个月;
3. 数据安全方面:网络运营者需对重要数据进行备份、加密,以此来保障数据的可用性、保密性。
如何根据自身实际情况建立有效的安全管理体系、如何在技术层面选择合理的技术解决方案、如何加强自身的数据保护能力,都将成为网络运营者所重点关注的问题。
应对策略:
基于本方案将形成从主机层、网络层、应用层的整体防入侵措施。网络层具备抵御大流量的DDoS攻击、CC攻击的能力,避免因网络攻击导致出现业务中断或不可访问的情况。并实现安全监测和安全分析,实时发现网络入侵行为。
基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免您的网站资产数据泄露,保障网站的安全与可用性。
由轻量级Agent和云端组成,集检测、修复、防御为一体,为您提供网站后门查杀、通用Web软件0day漏洞修复、安全基线巡检、主机访问控制等功能,保障服务器安全。
大数据安全分析平台,能对您云上所有资产进行安全告警,并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件
云盾DDoS高防IP是针对互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
处罚:
拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。
二、应急预案与响应要求
涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社交媒体
《网络安全法》第二十五条规定:
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
解读:
本条款的提出也是完善安全技术体系非常重要的一环,而响应能力的建设是当前网络运营者普遍存在的弱点。
整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范,或者说有规范但在出现网络安全事件的时候,发现应急预案根本没办法起到作用。
在公共云或者可运营的政务云上,有着完整的安全运营体系,当发生大规模网络安全事件时,安全运营团队会第一时间处理相关问题。或者使用云盾管家服务,针对网络运营者的业务制定应急预案和定期演练。
应对策略:
基于阿里云多年安全最佳实践经验为云上用户建立应急预案并及时处置网络安全问题,保障用户业务安全。能够在您的系统遭受黑客攻击时提供快速、专业的应急处理,包括入侵行为排查、病毒木马查杀、入侵原因分析、入侵影响评估,帮助客户正确应对黑客攻击,降低攻击带来的安全损失。
阿里云应急响应服务能够在您的系统遭受黑客攻击时提供快速、专业的应急处理,包括入侵行为排查、病毒木马查杀、入侵原因分析、入侵影响评估等;能够帮助客户正确应对黑客攻击,降低攻击带来的安全损失。
处罚:
拒不执行本条款要求或因此导致危害网络安全后果的网络运营者,处一万以上十万以下罚款,对于直接负责的主管人员处以5000元以上5万元以下罚款。
三、政务安全治理
涉及行业: 政府机构 事业单位 公共服务职能部门
《网络安全法》第三十四条规定:
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
1. 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
定期对从业人员进行网络安全教育、技术培训和技能考核;
对重要系统和数据库进行容灾备份;
制定网络安全事件应急预案,并定期进行演练;
法律、行政法规规定的其他义务。
解读:
关键基础设施的安全隐患具有很大的破坏性和杀伤力,《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。阿里云可为关键基础设施提供通过中央网信办审查的政务云服务。
应对策略:
阿里政务云为政务行业量身定制、安全合规的政务专属云资源服务平台,提供较公共云更高等级安全防护,认证成为政务云用户免费提供WAF、安骑士、态势感知、DDOS10G防护等7项高等级安全服务。
为政务行业量身定制、安全合规的政务专属云资源服务平台,提供与公共云完全物理隔离的专属高规格物理集群、高等级安全防护,符合国家标准 GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》增强级安全要求,可以承载非涉密的敏感信息和重要政务业务。政府各级党政机关、事业单位可按需购买、按量付费,符合国家政策对于政务信息化集约建设要求,真正实现政务大数据治理和公共服务的在线化、智能化和集约化。
处罚:
不履行本法相关条款的网络安全保护义务的,拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
四、个人信息保护
涉及行业: 事业单位 通信 传媒 金融 医疗 电商 游戏 社交媒体
《网络安全法》第四十一、四十二、四十三条规定:
第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读
从这三条条款中可以看出,《网络安全法》聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任。严厉打击出售贩卖个人信息的行为,对保护公众个人信息安全将起到积极作用。
除严防个人信息泄露,《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
应对策略
阿里云提供了从数据传输安全、数据存储加密到数据使用安全等,三位一体的个人信息防护态势。网站页面中出现个人隐私敏感数据的检测识别,并进一步给出预警和屏蔽敏感信息等防护措施,避免网站经营数据泄露。
基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免您的网站资产数据泄露,保障网站的安全与可用性。
在云上签发Symantec、CFCA、GeoTrust证书,实现网站HTTPS化,使网站可信,防劫持、防篡改、防监听。并对云上证书进行统一生命周期管理,简化证书部署,一键分发到云上产品。
通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私和机密。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
处罚
违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
五、等保测评
涉及行业: 政府j机构 事业单位 传媒 金融 公共服务职能部门
《网络安全法》第三十八条规定:
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门
解读
明确了关键基础设施单位,需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等级保护测评至少从技术上可以满足这个要求,等级保护测评就是对单位重要信息系统做的一个安全检测评估。
应对策略
阿里云帮助关键基础设施运营商,提供全面的等级测评服务,快速通过公安部要求的《信息系统安全等级保护》测评。由阿里云的合作伙伴-各省市等保测中心为您提供专业服务。
帮助云上、云下企业(特别是金融、政府、网约车行业)快速通过公安部要求的《信息系统安全等级保护》测评。由阿里云的合作伙伴-各省市等保测中心为您提供专业服务。
处罚
不履行本条款的网络安全保护义务,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
六、“双活”架构
第三十三条规定了关键信息网络需要考虑业务持续问题,防止单点故障的解决方案必须采用。
解读
两地三中心到分布式多活的异地多活技术将受到更广泛行业的需求。同时这也是对设备厂商的稳定性、使用年限、成熟度都提出更高的要求。
应对策略
成熟的容灾建设两地三中心解决方案:适用于业务的高可用性要求,要求业务在主站不可用时,有备用站点可以启用
1.推荐使用DTS,将云上的数据库同步至异地的RDS或者自建DB,实现异地的结构数据备份
2.通过oss的跨区域复制功能,将存在在oss的图片等非结构化数据,同步至其他region,实现异地的非结构化数据备份。
七、淘汰国外产品
第三十五条规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。这条笔者理解,在最终采购决策上,法律会做出解释,但设备国产化或者会有优先权。
解读
建议客户在关键信息基础设施领域,尤其是可能影响到国家安全的问题上,尽早淘汰国外产品,既然写入了法律规定就不是建议或指引了。在第六十五条对违反的单位和负责人将处以重罚,并可责令停止使用。
应对策略
如果您现在正在使用WAS云、微软云和一些国外的小型厂商的CDN、安全等产品,需要尽快迁回国内的公有云上。
后记:
目前,阿里巴巴集团下几乎所有的业态,背后都是由云计算、大数据的技术来支持。例如,天猫、淘宝、菜鸟物流、蚂蚁金服......都是完全部署在阿里的分布式飞天系统之上。
阿里云在2009年正式对外提供商用,是全球领先的云计算及人工智能科技公司,为200多个国家和地区的企业、开发者和政府机构提供服务。截至2016年第三季度,阿里云客户超过230万,付费用户达76.5万。阿里云致力于以在线公共服务的方式,提供安全、可靠的计算和数据处理能力,让计算和人工智能成为普惠科技。
阿里云服务着制造、金融、政务、交通、医疗、电信、能源等众多领域的领军企业,包括中国联通、12306、中石化、中石油、飞利浦、华大基因等大型企业客户,以及微博、知乎、锤子科技等明星互联网公司。在天猫双11全球狂欢节、12306春运购票等极富挑战的应用场景中,阿里云保持着良好的运行纪录 。
2014年,阿里云曾帮助用户抵御全球互联网史上最大的DDoS攻击,峰值流量达到每秒453.8Gb 。在Sort Benchmark 2016 排序竞赛 CloudSort项目中,阿里云以1.44$/TB的排序花费打破了AWS保持的4.51$/TB纪录 。在Sort Benchmark 2015,阿里云利用自研的分布式计算平台ODPS,377秒完成100TB数据排序,刷新了Apache Spark 1406秒的世界纪录 。
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。
2017年1月,阿里巴巴成为奥运会“云服务”及“电子商务平台服务”的官方合作伙伴,阿里云将为奥运会提供云计算和人工智能技术 。
阿里云河南服务中心,全面负责阿里云河南地区相关业务,为河南地区的企政大客户提供专业的阿里云产品和整体项目解决方案,为阿里云客户授权区域内的会员提供专业的本地化服务。快速上云,轻松运维。
