李云亚,陈大文,李盛民
(江苏金盾检测技术有限公司,江苏 南京 210013)
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。
系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)(以下简称《定级指南》)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出,关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在3级及以上。所以,作为关键信息基础设施,其安全保护等级不得低于3级。
网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体以及对相应客体的侵害程度,准确定级[1]。网络运营者在初步确定网络安全保护等级后,应当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
在确定网络安全保护等级后,网络运营者在开展建设整改工作时,首先应当确保已完全履行了网络安全法第二十一条所规定的全部安全保护义务。网络安全法第二十一条具体内容如下。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。
(四)采取数据分类、重要数据备份和加密等措施。
(五)法律、行政法规规定的其他义务。
第一条是安全管理方面的要求,虽说安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序。否则,安全技术只能趋于僵化和失败[2]。所以强调网络运营者必须要有针对性地建立自己的网络安全管理体系,且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人,落实网络运营者第一责任人的责任。
第二条是安全技术防范方面的要求,强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有防病毒软件和防毒墙,防病毒软件主要防范服务器操作系统层面的恶意病毒,防毒墙一般以硬件形式部署网络边界处,对来自外部网络的恶意代码在网络层进行检测阻拦,将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施,较为常见的有防火墙设备,用于实现网络或安全域边界的隔离保护;另外除普通防火墙外,还有Web应用防火墙,用于实现对来自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测(IDS)、入侵防御(IPS)等设备,IDS设备主要用于对入侵行为的检测报警不具备阻拦功能,IPS可对入侵行为进行阻拦,但对业务系统可用性要求较高的单位,一般都选用IDS,因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求,至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。
第三条是安全监测和审计方面的要求,强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录,另外近几年逐渐出现大数据日志分析平台,主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面,还提出按照规定留存相关的网络日志不少于6个月,即相关的网络日志存储周期要大于6个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施,另外还要具备相关日志的备份措施,保障相关日志存储周期大于6个月。
第四条是数据保护方面的要求,网络运营者须根据数据的重要性对数据进行分类实施保护,重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复,另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。
第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务,如行业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。
除网络安全法第二十一条规定的内容外,网络运营者还应当按照网络安全法第二十五条规定的要求,建立网络安全事件应急预案,应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外,网络运营者应定期组织应急演练,确保应急预案制度的有效执行。
第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规定的义务外,还应当履行网络安全法第三十四条规定网络运营者须履行的安全保护义务。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务。
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
(二)定期对从业人员进行网络安全教育、技术培训和技能考核。
(三)对重要系统和数据库进行容灾备份。
(四)制定网络安全事件应急预案,并定期进行演练。
(五)法律、行政法规规定的其他义务。
(1)网络运营者需设立专门的网络安全管理部门以及安全管理负责人,来负责制定本单位网络安全保护策略,并落实执行各项网络安全工作;另外对安全管理负责人和关键岗位人员进行背景审查,以确定其从事安全管理负责人和关键岗位的可靠性。(2)网络运营者须定期对从业人员进行相关培训和考核,以提高从业人员的网络安全意识和网络安全技能,从而更好地保障网络系统的安全稳定运行。(3)网络运营者须提供对重要系统和数据库系统的容灾备份措施,确保在发生安全事件时,备份系统能够替代主系统正常运行。(4)网络运营者须针对系统内可能发生的安全事件建立应急预案,并定期组织演练工作,以提高应急人员处理应急事件的能力,确保在发生安全事件时能够快速有效地处理[3]。(5)除以上规定义务外,法律、行政法规规定的其他义务,如行业网络安全方面的相关技术要求等。
一般信息系统网络运营者在满足网络安全第二十一条和第二十五条要求的基础上,关键信息基础设施网络运营者在满足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别按照各自所定的安全保护级别,参照《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)和《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070—2010)等标准,再进一步开展建设整改工作。
信息系统在完成建设整改上线运行后,为保障信息系统长期的安全稳定运行,网络运营者必须要不断地对信息系统开展检测、整改工作。网络安全法第三十八条中提出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险,每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门”。另外,在《信息安全等级保护管理办法》公通字〔2007〕43号第十四条中同样也提出“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评”。
由于关键信息基础设施的安全保护等级均在3级及以上,所以网络运营者针对关键信息基础设施,应当每年均委托具备公安部门认可的测评机构,开展等级测评工作[4],并将测评结果和整改措施报送给负责关键信息基础设施安全保护工作的部门。
网络安全法正式实施,等级保护上升为法律要求。网络运营者若拒不履行或履行不当,可能会导致单位和个人承担相应的法律责任。为避免产生相应的法律后果,保障信息系统的安全稳定运行,网络运营者应当积极开展落实网络安全等级保护工作。为适应当前安全形势,迎合信息技术的快速发展,目前部分网络安全等级保护相关标准制度,国家相关部门正在进一步改编修订中,网络运营者应当积极主动关注网络安全等级保护制度最新变化,及时根据相关要求调整安全策略,确保信息系统的各项安全保障措施满足最新安全形势需要。