數據安全不再是可選項
本文以數據安全廠家的角度,對《中華人民共和國網絡安全法》(簡稱《網安法》)中與數據安全相關的部分進行解讀。
一、《中華人民共和國國家安全法》
(2015年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過)
第二十五條 國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控;加強網絡管理,防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為,維護國家網絡空間主權、安全和發展利益。
解讀:
1)《中華人民共和國國家安全法》是我國國家安全方面的重要立法。本條明確了國家對數據的安全可控的要求和決心。
2)本條是《網絡安全法》的立法依據,也指明了《網絡安全法》 的立法目標。
3)本條特別指出關鍵基礎設施和重要領域信息系統,這些系統關系到國家利益和人民的根本利益。在后續的《網絡安全法》中,進一步明確了這些系統的范圍。
4)2016年發生的多起大學生被騙致死事件就是一起重要領域信息系統信息泄露導致的悲慘事件的典型例子。
二、《中華人民共和國網絡安全法》
1)《中華人民共和國網絡安全法》(簡稱《網安法》)于2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過,于2017年6月正式施行。
2)進入新世紀后我國信息技術高速發展,使得一些關系國家命脈、國計民生的關鍵領域和重要行業,構建起縱聯全國、橫跨國際的行業信息網絡基礎設施,這些關鍵領域和重要行業信息化、智能化、網絡化程度日益提高,對網絡的依賴性持續增強,一旦遭到攻擊破壞,不僅可能導致大規模的財產損失、人員傷亡,甚至可能威脅國家安全。
3)《網安法》明確將這些重要網絡和信息系統統稱為關鍵信息基礎設施,將其納入國家重點保護范圍,對其運行安全進行詳細規定。這是我國首次在法律高度提出關鍵信息基礎設施概念,并對關鍵信息基礎設施保護提出具體要求,是我國在關鍵信息基礎設施保護方面取得的重大進步。
第一章 總 則
第一條 為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
解讀:
網絡空間是人類繼陸、海、空、天之后的全新空間。網絡安全影響的時空范圍將會更加廣闊。全面保障國家、社會公民等在網絡空間的最大利益,是制定本法的目的。
第二條 在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法。
解讀:
本條規定了本法律的適用范圍:在中華人民共和國境內的網絡建設者、運營者和其他參與人員。比如:電信運營商、電子政務平臺、各部委網絡平臺、各事業單位網絡、各云計算運營商、各網絡電商等等,都是本法律的適用范圍。
第十條 建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
解讀:
本條明確規定網絡或者網絡服務提供商應當維護網絡數據的完整性、保密性和可用性。其中:
數據的完整性是指數據不遭受非法的篡改;
數據的保密性是指數據不遭受偷窺和竊取;
數據的可用性是指數據不遭受非法的破壞,不會喪失服務能力。
第二章 網絡安全支持與促進
第十八條 國家鼓勵開發網絡數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展。
解讀:
網絡數據安全保護技術受到國際鼓勵。數據安全產業將更加受到重視。
第三章 網絡運行安全
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
解讀:
1)本條明確網絡安全等級保護制度(也就是我們常說的“等保” )是信息安全建設的基本要求;
2)明確數據安全的內容:保護網絡數據不被泄露或者被竊取、篡改。
3)在以前的等保中,數據安全常常是可選項,而且常常是不被選擇的項目。通過本法本條,我們可以認為數據安全不再是“可選項”,而是必選項。這將極大的改變等保的實施內容。
4)當前的網絡攻擊、網絡侵入很多是以竊取數據為目的的,需要采取防止數據竊取的技術措施(對應數據庫防火墻產品,該產品能阻止SQL注入等攻擊)。
對網絡安全事件的日志留存時間不少于六個月。這對數據訪問記錄(數據庫審計、應用審計等產品)的日志留存時間做出了明確要求,要高于6個月。
5)要對數據根據敏感性進行分級和分類,從而對數據進行細粒度的訪問控制(對應數據庫防火墻、數據脫敏等產品)。
6)明確要求對重要數據進行備份和加密(對應于數據備份和數據庫加密產品)。
第二十七條 任何個人和組織不得從事非法入侵他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于從事入侵網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持,廣告推廣、支付結算等幫助。
解讀:
網絡世界中數據是核心。作為專業的數據安全廠商,對于“數據”兩字可謂十分敏感。我們致力于從評估、監控、入侵防護、數據加密、數據脫敏等多種方式來保護數據安全,防止數據被竊取、被篡改、以及被破壞。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
解讀:
1)明確指出重要領域數據遭受泄漏的嚴重性;
2)指出關鍵信息基礎設施所涵蓋的范圍包括但不限于:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等等重要行業和領域。
3)明確對于關鍵基礎設施來說,除了實施等保以外,還需要額外重點的防護。當然,在防止數據泄露等數據安全方面,尤其需要收到額外的重視。
第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
解讀:
本條明確要求重要數據應當存儲于境內。比如國內的云運營商,涉及到敏感數據的存儲不能出境存儲,而國外的云運營商,同樣不能將國內的敏感數據存到國外去。
第四章 網絡信息安全
第四十條 網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
解讀:
1)網絡運營者,是指網絡以及服務的提供者。比如:電信運營商、電子政務平臺、各部委網絡平臺、各事業單位網絡、各云計算運營商、各網絡電商等等,這些運營者都不同程度的收集了用戶的信息,都屬于本法本條所指的網絡運營者。
2)本條要求上述網絡運營者保護所收集到的用戶信息。這種保護應該是技術手段和管理手段結合的。
3)本章的大部分內容,都為明確對個人信息的保護。
第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
解讀:
1)本條要求,對他人提供所收集到的個人信息,必須是“經過處理的無法識別且不能復原的”。在技術上,這即是指要求對敏感數據進行脫敏處理。
2)本條明確要求網絡運營者采取技術措施防止數據的泄露、毀損、丟失。以云運營商為例,需要采取“數據訪問審計、數據細粒度訪問控制、敏感數據加密、敏感數據脫敏”等技術手段,防止內部技術人員泄露、毀損、丟失平臺所搜集到的敏感數據。同時,應當為租戶提供相關技術手段,使租戶能夠自主進行其自有的敏感數據的保護。而對于行業云(如政務云、警務云等),其中的個人數據安全更應該參照此條進行保護。而保護的手段,則需要在數據的源頭,實施數據庫安全加固方案,部署包括“數據庫審計”、“數據庫防火墻”、“數據庫加密”、“數據庫脫敏”等功能模塊。
3)本條要求發生數據安全事件時,網絡運營者應該主動上報并采取補救措施。但是現實情況是很多數據泄露泄露事件和數據篡改事件發生過很久以后,網絡運營者才知道。所以在主動發現數據安全事件方面,還需要更多的技術投入。而且在補救方面,如何找到攻擊路徑,也是一大難題。合格的數據庫審計產品能夠在一定程度上主動發現數據安全事件,并能在數據安全事件溯源方面提供幫助。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
解讀:
1)本條對非法竊取和出售個人信息的行為進行約束。
第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
解讀:
1)對于拒不實施等保,或者沒有對數據訪問做審計且審計日志留存不到6個月,或者沒有采取網絡入侵防范措施,或者沒有對敏感數據進行分類標識、沒有對重要數據進行備份、加密等措施者,符合本條。對運營者處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。且運營者應改正。
第六章 法律責任
第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
解讀:
1)對于拒不實施等保,或者沒有對數據訪問做審計且審計日志留存不到6個月,或者沒有采取網絡入侵防范措施,或者沒有對敏感數據進行分類標識、沒有對重要數據進行備份、加密等措施者,符合本條。對運營者處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。且運營者應改正。
第六十三條 違反本法第二十七條規定,從事危害網絡安全的活動,或者提供專門用于從事危害網絡安全活動的程序、工具,或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款。
單位有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本法第二十七條規定,受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
解讀:
對于攻擊網絡竊取敏感數據的行為(黑客或者內部人員售賣數據),適用本條。情節嚴重的最高可被罰款100萬元,十五日拘留,且終身不得從事網絡安全行業。
第六十四條 網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
違反本法第四十四條規定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
解讀:
非法收集用戶信息,未對收集的信息采取技術措施和其他必要措施、非法向他人出售個人信息等行為,向他人提供個人信息沒有進行脫敏等處理等行為,適用本條。最高處罰金額是100萬元。
第六十六條 關鍵信息基礎設施的運營者違反本法第三十七條規定,在境外存儲網絡數據,或者向境外提供網絡數據的,由有關主管部門責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
解讀:
對于違反規定,將敏感數據存儲于國外的,適用本條。
第七十六條 本法下列用語的含義:
(一)網絡,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
(二)網絡安全,是指通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力。
(三)網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。
(四)網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。
(五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
解讀:
1)第二款,進一步明確了本法所指的網絡安全中,數據安全的重要性。
2)第五款,明確了個人信息的內容。
第七十七條 存儲、處理涉及國家秘密信息的網絡的運行安全保護,除應當遵守本法外,還應當遵守保密法律、行政法規的規定。
第七十八條 軍事網絡的安全保護,由中央軍事委員會另行規定。
解讀:
1)涉密網除了遵守本法外,還有另外的要求。
2)軍事網絡,另行規定。
總結
·《網絡安全法》是指導國內重要部門網絡信息安全的最高規定。
· 網絡安全法要求重要部門按照《等保》進行安全體系的建設,但是對數據安全做了充分的重視和強調。可以近似的認為:《網絡安全法》=《等保》 + 數據安全。
· 各行業將陸續出臺行業法規,落實《網絡安全法》。
· 中安威士作為國內數據安全領導廠家,對于如何踐行《網絡安全法》要求,提出的解決方案是:采取細粒度訪問控制、敏感數據加密,敏感數據脫敏、對數據訪問全面審計等技術手段,達到“把數據關進籠子,讓數據訪問在陽光下進行”的效果。
· 中安威士提供如下產品,協助客戶解決數據安全問題,完美滿足《網絡安全法》相關要求。
