网络安全法:企业行动思路

timg.jpg

网络安全法的制定和颁布使得网络安全有法可依,也是我国网络资源利用与管理走向成熟的重要里程碑。自该法于2016年11月7日通过以来,已经有一段时日,很多企业正在根据网络安全法的要求,积极开展研究、学习,并进行改进活动。

网络安全法赋予了企业在遭到侵害时或遭到侵害后进行举报和追责的权利,同时该法也对企业的责任与义务以提出了要求。距离网络安全法施行的日期(2017年6月1日)越来越近,面对众多的要求,企业如何更有效的理解和改进网络安全?笔者认为网络安全可以结合企业对国家和社会的责任与义务、企业自身的利益、企业的长远发展三个维度进行展开和对待:

与对国家和社会的责任与义务相结合

a. 不破坏网络自身的安全。针对网络的非法活动,将影响国家、社会和他人的利益,因此合法使用网络是最基本的行为准则。例如:不制作恶意软件;在合法的授权下,以科研为目的的作品要进行妥善管理。

b. 不利用网络进行其他非法活动。数据和信息在网络上存储、传输、传播,信息和数据本身的非法(例如:网络安全法以及其他法律法规中提及的不当内容)也受到网络安全法的约束,因此不利用网络辅助信息、数据的非法使用,也是企业应当注意的。

c. 不为非法活动提供条件,包括不提供相应的程序、工具、技术支持与支付等服务。企业针对信息安全漏洞的所用分析工具以及分析结果,应当妥善管理,避免为不法分子所用。

d. 协助有关部门对非法活动进行控制,利用企业资源对正在进行中的非法活动予以限制、中止。这需要企业具有快速变更安全策略的能力,以便于在有效控制非法活动的同时保障合法访问,软件定义的安全设备(例如:软件定义的防火墙)将有助于实现这一能力。对非法活动的控制还包括对不当信息的阻拦活动。

e. 协助有关部门对非法活动进行调查 ,包括提供技术、知识、设备、数据,这需要企业对网络安全数据具备留存、分析能力。根据网络安全法的要求,网络安全数据的留存应当在6个月以上(数据留存和分析能力同时也可能是企业防护所需要的,可用于针对入侵者的行为优化未来的防护方案)。良好的做法包括信息安全数据与日常运维数据隔离、信息安全人员职责与日常运维团队职责分离等。

 与企业的自身利益相结合

数据是企业在商业活动的关键生产要素,保护数据的机密性、完整性和可用性(CIA属性),不仅仅是在履行对国家和社会的责任和义务,也是企业竞争力的需要。网络安全的方案需要依照等级保护的要求进行制订。

网络安全法还要求关键基础设施的保护在等级保护的基础上进行强化,因此,关键基础设施的运营者应当注意网络安全法的相应要求,优化其管理和技术方案。非关键基础设施运营者也可以参照网络安全法中对关键基础设施运营者的条款,严格对自我的要求,加强网络安全防护标准。

行业客户(例如:银行业、证券业、民航业等)可以根据行业特征,在网络安全法的要求之外,制定和施行高于网络安全法要求并适合本行业特色的信息安全保护标准。

a. 信息安全评估。结合信息安全事件对业务的影响程度进行信息安全风险分析,是企业制定信息安全策略的基础。根据分析的结果安排资金、人员、进度计划,才能做到客观合理的投入,有效控制风险。信息安全评估包括管理和技术两个维度,在评估中注意范围的全面性,关键基础设施运营者还应当注意信息安全评估的频次不应少于1次/每年,并及时报送相关部门。第三方评估可以给运营者带来不同的观察问题的视角,能够有效的帮助运营者发现可改进之处。

b. 网络安全组织与人员。网络安全组织与人员是信息安全得以执行的要素,企业需要对网络安全组织进行适当的授权、为相应的岗位选拔适用人员,并落实网络安全的工作规程,以完成网络安全相应的责任。关键基础设施运营者还需要注意对网络安全人员的背景调查、考核和培训工作。

c. 网络资产分类。网络资产管理包括数据、信息,以及存储、加工、传输数据与信息的设备等。其关键之处在于数据、信息自身的管理,数据资产的分类是网络安全管理工作高难度、高工作量的活动。企业需要结合数据、信息对业务的重要程度,以及对其他组织、个人和社会、国家的影响,进行分类管理。重要的数据需要进行备份和加密处理,良好的做法是对不同的数据类型进行不同加密处理,包括可逆转或不可以逆转的方案。

d. 敏感数据保护。网络安全法中,对个人信息、用户信息、关键数据的管理给出了相应要求,对关键基础设施运营者而言,数据应存储在境内,特殊情况敏感数据需要离境需要获得批准。敏感数据的管理贯穿其生命周期,包括从采集、使用、变更到销毁。网络安全法要求运营者对注册用户采用实名制,后台实名、前台匿名是个人信息的一种良好实践。(笔者就敏感数据保护话题将另文展开)

e. 数据备份与恢复。数据备份是在数据遭受某些类型的损毁后能够恢复的有效手段,也是数据可用性的保障。企业数据备份的策略要充分考虑到数据时效、备份效率、恢复效率,以及存储的机密性要求。备份方案根据可用性要求和风险分析,可以设计本地、异地多种方案。

f. 网络安全产品、服务和供应商的管理。运营商在选择网络安全产品、服务时,需要注意产品、服务符合相应的标准和获得认证,以及对供应商的持续服务能力的评估;供应商需要注意产品、服务的周期,以及对产品、服务的缺陷管理。关键基础设施运营者需要在此基础上,注意信息安全与基础设施要在同期建设,明确供应商的责任和义务,并签署保密协议,涉及国家安全的还需要获得相关部门的批准。

g. 应急处置与应急演练。“书上得来终觉浅,绝知此事要躬行”,大量的事实证明,应急方案需要不断进行实践,才能在事件发生后进行良好的执行,因此,定期进行应急演练是非常必要的。应急处置还应当注意与相关管理部门的沟通,当网络安全事件的级别较高时,方能获得相关部门的指导和支持。

 主动、长远的信息安全发展

网络安全法中鼓励企业参与技术创新、人才培养与标准的制定。企业可以根据其对网络的依赖与参与的程度,主动进行技术创新,形成独特的网络安全保护模式,从而提高入侵的成本;制订人才长期培养计划,确保在运营中信息安全人才的技术深度、知识广度和战略高度;参与标准的编制,从而体现出企业在信息安全方面的诉求,并获得信息安全管理与技术落地的指导;进行信息安全管理与技术交流,尤其是同业的信息安全交流,树立标杆和客观的目标,严格自我要求,提升信息安全素质;主动从合法的信息安全机构接收相关信息,形成以预防为主的信息安全防御体系。

此外,网络安全法并未穷举针对网络安全的全部要求,笔者相信后续将会有更详细的法律、法规和标准进行补充,因此企业在改进的同时,还应结合其他法律、法规的要求,以及企业自身特色,高标准、多方位综合自我评测,制定和实施改进计划。

距离施行时间越来越近,期望笔者的分享对关注网络安全组织、个人有所帮助,并欢迎各位同行指正与交流。

原始链接: http://www.freebuf.com/column/132870.html
侵权请联系站方: [email protected]

相关推荐

换一批