请输入关键字
top
专题 | 《网络安全法》施行三周年 企业以实践谈感悟(三)
2020.07.08

[原载:《中国信息安全》][原文链接]

作为我国的网络安全领域的立法顶层设计,《网络安全法》的颁布实施,是网络安全领域依法治国的重要体现,对保障我国网络安全、推进网信工作有着重大意义。在各级主管部门和执法部门的积极推动、认真落实下,《网络安全法》施行三年以来,取得了非常显著的效果。我刊邀约了网络安全行业代表企业,从企业实践角度,一起学法、懂法、守法、用法。

强化数据安全 落实《网络安全法》——志翔科技

作为网络安全行业的创业厂商,我们切身体会到网络安全法在规范产业、协调生态上的积极作用:各行各业日益重视安全,安全行业不断创新,不仅促进了网络安全产业的发展,也给社会各个层面带来了积极的影响,共同来维护网络空间的清朗。从国家政策法规角度来看,《网络安全法》的发布和实施,促进了后续多部网络安全政策、法规、标准和规范的出台落地,为我国细化和完善网络安全法律法规体系提供了充足的法律依据。

从企业角度来看,《网络安全法》的实施,让安全开始成为企业的刚需,企业必须把安全机制放到与业务发展同等重要的位置来考虑,在法律合规的要求下,企业必须考虑企业其平台所承载的用户信息、数据、业务等方面的安全,同步规划和构建有效的安全机制,担负起应有的责任和义务。从安全行业角度来看,过去我国网络安全支出在信息化建设中占比严重不足,《网络安全法》的实施明确了网络安全和信息化发展并重的原则,激励了网络安全市场的快速增长,拉动和催生了新兴的安全细分领域,创新安全创业企业不断涌现,让行业呈现高速、良性发展的趋势。

最后,《网络安全法》推动了全社会安全意识的提升,企业也更加重视平台用户数据的规范使用和安全保护。但随着新技术、新业态的发展,新型安全威胁不断涌现,《网络安全法》以及配套的法律法规仍需与时俱进和逐步完善,不仅要跟上新技术和新应用的发展变化,还要贴近行业的特点和实际需求,让各行业的安全规范标准都有法可依,

在落实《网络安全法》的举措上,作为大数据安全公司,志翔科技一方面帮助用户保护其重要和敏感数据,防止数据因外部攻击、内部恶意窃取或者误操作等造成泄露,避免企业业务受到影响,或造成用户信息泄露等社会性事件带来的追责与处罚。另一方面,针对国家网络安全等级保护制度的要求,志翔科技为企业提供合规业务,帮助企业的流程机制等符合政策法规的安全合规要求,实现业务合规、安全不降级,做到高效工作、轻松运维,专注于业务的发展创新。

以《网络安全法》为指引 建设主动安全防护体系——新华三集团

《网络安全法》是新形势下中国互联网治理理念、治理经验的全面总结和提炼,是我国第一部全面规范网络空间安全管理的基础性法律。《网络安全法》的实施标志着网络安全产业步入全新发展阶段,一方面明确了在保障网络安全方面,政府、企业和个体三者的职责、权限、权利和义务,对互联网参与各方都会起到规范和指引的作用;另一方面有效指导了ICT企业及相关的参与方,对网络安全领域的发展战略、发展规划和内部规范体系的建设,是互联网在法治轨道上健康运行的重要保障。

从《网络安全法》第五条可以看出,国家对网络安全风险和威胁坚持积极主动防御原则,在日常工作中实时监控网络安全态势,对网络信息进行分析处理,评估潜在的安全威胁并加以预防,以期将网络安全危机清除在初始阶段。明确了我国需要建设“战略清晰”的网络安全保障体系,执行积极主动防御的技术路线。

针对网络安全趋势和用户需求的变化,紫光旗下新华三集团在2017年提出和倡导主动安全理念。在《网络安全法》的指导下,基于自身技术创新和生态合作,新华三集团打造了全栈、智能的主动安全防护体系,目标是帮助政府、企业等用户实现从事后补救到提前预警,从局部分割到全面防护,从被动安全到主动安全的转变,构筑主动、智能、全面的安全防护体系,践行国家提出的“积极防御、综合防范”的信息安全战略目标,为各行业数字化转型提供稳固的安全保障。

同时,《网络安全法》将网络安全等级保护制度上升到法律法规层面,要求网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。新华三集团参与了《云计算安全等级保护标准与测评要求》以及《政务云等级保护基本要求及实施指南》等相关标准制定,拥有对应标准的系列安全产品和服务,具备等级保护建设一体化交付能力。未来新华三集团将积极响应“网络强国”号召,在《网络安全法》的指引下,以AI为引擎、业务为中心、合规为先导、数据为驱动、体验为目标,积极助力我国数字经济发展。

积极践行《网络安全法》普法意识教育——山石网科

《网络安全法》的发布使中国的网络执法有了真正意义上的法律依据,它与国家先后出台的《保守国家秘密法》、《国家安全法》等一起,构成了整个国家安全法律制度体系,是国家安全法律制度体系中的重要一环。在此之前,所有的网络犯罪量刑和处罚都无法可依,或者要借鉴其他的法律法规。有了《网络安全法》后,无论执法者还是网络运营者、网络服务者,都有了法律依据。

《网络安全法》是一个框架属性的法律。《网络安全法》有8大类明确的制度、13大类隐形的制度,每一条都可能扩充为一部法律,成为它的下位法或者成为一个管理条例,最低也可能是一个办法。比如第4章第2节里提到了个人信息保护,国家现在已经着手在制定《个人信息保护法》。因此,《网络安全法》需要在它的框架内进行扩充,将配套的法律法规结合在一起,完善里面每一条相对应的具体法律法规。

山石网科积极帮助用户理解《网络安全法》,实现法律合规。首先,免费为用户提供普法教育,帮助用户满足法律法规要求。山石网科从2016年迄今,在教育、医疗、政府等行业做过50场以上针对法律法规和国家配套政策的分享,仅在疫情期间就进行过5场线上分享。其次,提升用户的全员安全意识,减少内部人员的非法行为。近几年,我们不但给企业的IT运维人员做安全意识培训,也给企业的管理者、甚至操作工做安全意识培训。当前超过90%的网络安全事件都是内部人员造成的,不管是内部人员的误操作还是恶意行为,究其原因都是企业管理者和普通员工安全意识不足。例如今年的微盟删库事件就是内部人员的恶意行为,我们也亲身经历过保洁人员在机房里擦机柜时按到了电源开关,造成某市的社保系统瘫痪了28小时。

最后,结合国家政策、个人信息保护等,用通俗易懂的方式进行普法教育。通俗易懂的普法教育,也是网络安全的普适性教育,因为涉及听众自身的利益,如个人信息保护和隐私保护,往往会取得非常好的效果。