欧阳凌云
摘要:《网络安全法》正式实施以后,企业要跟随国家的政策做些管理上的改变。该文就《网络安全法》对企业在网络建设、内部管理、采购安全产品等方面的指导意义进行了阐述,对网络安全现状进行了分析,给出了企业在网络安全上要做哪些提高和改进的几点建议,力求帮助企业做好内部管理。
关键词:企业网络安全;网络安全法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)31-0035-02
《中华人民共和国网络安全法》(以下简称《网络安全法》)于2016年11月7日的十二届人大常委会第二十四次会议上表决通过,并从2017年6月1日起施行。
《网络安全法》因其对我国网络安全领域的影响、特别是经营互联网相关业务的企业,引起了大家的高度關注。《网络安全法》从维护网络主权和战略规划、保障网络产品和服务安全、保障网络运行安全、保障网络数据安全、保障网络信息安全、监测预警与应急处置、网络安全监督管理体制等方面制定法规,为开展网络安全工作提供法律保障。《网络安全法》不仅仅规范了企业的行为,设定了应当遵守的规则,还明确了违法要承担相应的责任。通过制度的设计对企业进行约束和保护。对于我们网络的安全、信息安全、公民个人的财产安全都会得到很好的保障。
针对《网络安全法》,企业都应做好哪些事?
1 网络安全的现状
在中国,网络已走入千家万户,网民数量世界第一,我国已成为网络大国。互联网已经深度介入民众生活的方方面面。
如今企业中,虽然已经做了一些网络安全防护工作,部署了安全防火墙、Web应用监控防护系统、杀毒软件、上网监控管理等安全软件和设备,开展了信息安全保护工作,测评认证工作等,已经具备了基本的安全防护能力。但是,如今的网络安全威胁和攻击手段层出不穷,电信诈骗、垃圾短信,欺诈网站日益更新;病毒、木马、都在飞速发展。
据腾讯安全发布《2017年上半年互联网安全报告》,2017年5月12日,“WannaCry”(想哭)比特币勒索病毒在全球范围内爆发,本次事件波及150多个国家和地区、10多万的组织机构和超过30万的网民受到影响,损失总计高达500多亿人民币,包括医院,教育机构,政府部门都无一例外遭受了攻击。
据《2017上半年上海地区互联网安全报告》2017年上半年骚扰电话总数为636.9万次,诈骗电话标记总数达114.2万,每6个骚扰电话中就有1个是诈骗电话。
据《2017上半年上海地区互联网安全报告》:风险WIFI热点数量超1900万。
《报告》中还显示,2017年上半年腾讯电脑管家拦截上海地区电脑端木马病毒总计超4600万次,平均每月拦截770万次,共发现用户电脑中木马病毒946万次。腾讯电脑管家根据捕获的上海地区病毒样本分析,广告类是上海地区第一大木马种类,占病毒总体数量的四分之一,病毒类、流氓软件类病毒木马紧随其后。
通过对网络安全现状的分析和风险评估,企业网络安全防护体系并不完善,主要存在以下几个方面的问题和安全隐患:
1.1 企业员工的安全意识薄弱,个人习惯导致不安全因素
在公用的网络中用户身份认证信息简单;日常办公中无意识的泄露敏感话题;利用移动设备进行娱乐,为恶意软件创造攻击条件;对数据的重视度不够。
1.2 移动终端安全问题更加突出
从《2017年中国手机安全生态报告》的诸多数据中可得知:越来越多的手机暴露在各种恶意软件、系统漏洞的威胁之中,无数恶意软件、电信诈骗不断挑战用户的安全意识,而各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕。
1.3 企业缺乏流程化、规范化的网络安全管理
企业没有完善的网络安全管理制度,责任不清,管理意义不明。
1.4 企业网络安全工作停滞不前
攻击手段不断丰富增强,但企业网络安全工作没有再跟进,再加深。落后的防范手段可能根本起不到作用。
1.5 没有有效的网络安全应急机制
网络安全事件发生时,没有快速反应机制,没有辅助的应急决策,灾难备份和恢复手段有限,容灾体系不完善,导致灾难效应被放大,危害和影响面前手足无措。
2 企业如何响应《网络安全法》
为进一步加强网络信息安全,保障网络使用安全,消除不良网络安全行为和防止泄密事件发生,企业要以安全法为纲,结合自身的特点,采取有力措施,积极开展切合企业实际的网络安全日常管理工作。
2.1 企业员工要提高安全意识,保护个人合法权益
企业员工需依据国家的法律法规及企业制定的相关管理规范对自身自我约束,定期参与信息安全培训等,提升自我信息安全意识。理解、支持互联网治理工作,了解自我救济的途径、方式和措施以及投诉举报途径、方式等,在不侵害他人合法权益的同时,努力防止自己的权益被他人侵害。企业员工对个人计算机、移动终端设备按要求安装、配置、管理防病毒软件。
2.2 提高认识,加强网络安全宣传
企业如无相关经验,可以寻求专业网络安全机构组织进行安全培训,安全教育、技能考核等,逐步建立出一整套网络安全和业务风控体系和服务,覆盖内容安全、业务安全、移动安全、网络安全等多个方面。
2.3 加强对信息系统环境、网络终端、数据备份、系统配置等各个方面的管理,对工作人员进行约束和激励
对企业网络终端,及时修复系统漏洞、查杀病毒、可以通过防火墙等网络安全防护设备预防降低网络攻击、侵入等安全风险,采用设置访问控制列表、划分虚拟子网、虚拟专用网等手段,合理规划企业网络布局和权限;利用高效的网络管理软件管理全网,保障网络安全、稳定运行、维护网络数据的完整性、保密性、可用性。企业应对网络资产进行分类,网络资产管理包括数据、信息,以及存储、加工、传输数据与信息的设备等,做好等级保护工作,落实网络安全等级保护制度。以制度化、流程化、规范化扎实推动内控管理工作。对工作人员工作责任,要做到赏罚分明,贬恶褒绩,赏劝罚惩。
2.4 落实责任追究制度,变措施为行动
企业要设置专门安全管理部门和安全管理负责人,细化责任角色,明确责任人;加强领导,层层落实工作责任。企业要建立健全的管理制度,要明确规定相关人员的安全职责、工作内容和工作流程等。将工作责任分解落实到各部门和具体岗位上,明确了每个部门和岗位的内控职责。
2.5 做好应急预案工作,采用多种数据保护措施
應急预案工作其主要由系统应急预案、数据灾备系统等等部分组成。在故障发生时能及时、有效的控灾恢复。此外,预案中还要制定明确的责任制度,将责任划分到个人。增加数据防卫能力,可通过加密产品或技术,对敏感数据进行数据加密,动态数据屏蔽,在查询结果集里隐藏指定栏位的敏感数据等,重视数据的保护。网络事件做监控,做日志,留存相关日志的时间要符合国家规定。
2.6 加强信息安全产品采购管理及提高自身产品的安全
企业采购网络产品时要关注网络产品、服务提供商资质,检查产品是否符合法规,要有持续的安全维护;企业如有条件,可进行第三方的信息安全评估。第三方评估可以给运营者带来不同的观察问题的视角,能够有效帮助运营者发现可改进之处。
3 具体规定仍待细化
《网络安全法》虽然从不同的角度做了规定,但不少具体规定还要落实、细化,还有一些配套措施需要完善。
《网络安全法》第二十四条 明确了实名制的范围,而非所有的网络行为都需要实名制。虽然,对“网络实名制”做出明确法律规定,网站的主体责任问题目前仍未落实。网络上的门户网站、论坛、贴吧等,纷纷推出手机认证。但这也带来2个问题。一是手机网络运营商运作问题,例如,移动手机号,在被移动回收3个月后会被重复利用,加上“忘记密码”可以手机找回,也就说是你的注册信息,通过手机号又被别人“回收利用”了;二是网站、论坛、贴吧等没有“注销”行为,只要注册了,用户信息“永远”存在。
《网络安全法》第二十一条 国家实行“网络安全等级保护制度”,并要求网络运营者按照这一制度的要求履行其网络运行安全保护义务。这是我国法律首次提出“网络安全等级保护制度”这一概念。但《网络安全法》并未说明该制度将如何实施以及“网络安全等级”具体又将如何划分和确定的。我国已通过相关法规确立了两项涉及网络安全的等级保护制度,分别是“计算机信息系统信息安全等级保护”和“通信网络单元安全分级防护”, “网络安全等级保护制度”可能会存在着交叉或重叠。
4 结束语
《网络安全法》服务于国家网络安全战略,助力网络空间治理,护航“互联网+”。为各方参与互联网上的行为提供非常重要的准则,对网络产品和服务的安全义务有了明确的规定,给企业的安全建设提供了一定的指导作用,《网络安全法》中鼓励企业参与技术创新、人才培养与标准的制定,是凝聚各方安全共识,各司其职、各尽其责的社会基础。《网络安全法》的实施,把安全建设融合入企业文化,对于推进国家治理体系和治理能力现代化,具有十分重大而深远的现实意义和历史意义。
参考文献:
[1] 2017年上半年互联网安全报告.
[2] 2017年中国手机安全生态报告.
[3] 2017上半年上海地区互联网安全报告.
[4] 蒋科(合伙人) 杨楠(律师) 《网络安全法》来了!——企业应该知道的五件事 博文.