當前位置：安全 → 行業動態 → 正文

《網絡安全法》和云等保框架下，企業如何為安全掌舵？

責任編輯：editor007 |來源：企業網D1Net 2017-04-10 21:52:59 本文摘自：中國IDC圈

還有兩個月時間，《中華人民共和國網絡安全法》就要正式實施。《網絡安全法》首先對“網絡（Cyber）”進行了重新定義，是指“由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統”，而“網絡安全（Cyber Security）”，是指“通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力”。

從宏觀的層面來講，這意味著網絡安全同國土、經濟安全等一樣成為國家安全的一個重要組成部分；從小的方面來講，意味著網絡運營者（指網絡的所有者、管理者和網絡服務提供者）需要擔負起履行網絡安全的責任。談到法律，我們常說到一個詞，“有法可依”，《網絡安全法》的實施意味著那些涉及到網絡的運營主體如果對安全不重視甚至出現影響較大的事故，將會受到法律的處罰。

為什么強調“處罰”這個詞？因為隨著過去二十年中國信息技術及互聯網的發展，就以個人信息泄露舉例，大規模的個人隱私數據泄露導致的經濟損失和社會影響越來越大，但往往這樣的事情發生了就過去了，責任方似乎不痛不癢。《網絡安全法》的落地就是對這樣的事情說“不”，安全事故一旦發生，相關責任主體不再是“事不關己高高掛起”，而是要受到法律的懲治，進而降低甚至避免安全事故的發生。

信息安全

所以，無論對于信息技術服務商還是網絡運營的企事業單位來說，需要加強安全管理與防范，發現系統內部存在的安全隱患和不足，從而滿足國家法律法規的要求。更重要的是，通過提高信息系統的安全防護水平是對用戶、社會的一種責任，尤其對于市場企業來說，重視安全也是增強市場競爭力的關鍵。

有必要強調的是，《網絡安全法》不只是對“事后”的處罰，更是將預防安全風險提高到至關重要的地位。在法律層面如何規范安全預防？等級保護制度就是其重要的衡量指標。《網絡安全法》第二十一條明確規定，“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改”。

企業該如何滿足《網絡安全法》和等保要求，在談這個話題前，我們再來用現實案例說明它對我們身邊一些熟悉的行業帶來的影響。

《網絡安全法》和等保對行業影響

就在前幾日，3月16日下午，各省市公安部門組織收聽收看全國2017年網絡安全信息通報暨公安機關網絡安全執法檢查工作電視電話會議。

據了解，此次執法檢查自今年3月至9月在全國各地開展，為期6個月，以黨政機關、重要行業、國有企事業單位、大型信息技術和互聯網企業為重點保衛目標，將采取自查自評、技術檢測、現場檢查、跟蹤督辦、復合檢測相結合的方式，全面梳理摸排國家關鍵信息基礎設施，檢測排查并督促整改網絡安全重大漏洞隱患、風險和突出問題，加大行政執法力度，保障各地網絡安全。

此處除了針對國家關鍵基礎設施、涉及國家安全與社會民生行業的重點檢查，還包括針對一些新興行業在安全法和等保框架下同樣沒有例外。隨著一些新興互聯網業務的興起并越來越普及，相關的監管部門開始意識到需要在業務監管過程中加強網絡安全的監管。其中最為典型的是網貸、網約車和直播三大行業，在各自的行業監管要求中都特別強調了等級保護的要求。

首先以網貸行業為例，2016年8月17日，中國銀監會、工業和信息化部、公安部、國家互聯網信息辦公室聯合制定并發布了《網絡借貸信息中介機構業務活動管理暫行辦法》。其中第十八條規定：“網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試”。2017年3月，網傳北京監管部門對北京多家網貸平臺進行了檢查，并下發《網絡借貸信息中介機構事實認定及整改要求》，其中一條就是“未開展信息系統定級備案和等級測試”。

再來看網約車行業，2016年7月，交通運輸部制定了《網絡預約出租汽車經營服務管理暫行辦法》，并定于11月1日正式執行，文件中要求網約車平臺提供“依法建立并落實網絡安全管理制度和安全保護技術措施的證明材料”； 11月3日，交通運輸部聯合其他5個部委出臺了《關于網絡預約出租汽車經營者申請線上服務能力認定工作流程的通知》，要求申請從事網約車經營的，應向企業注冊地相應出租汽車行政主管部門提交線上服務能力材料，其中安全方面的具體內容包括：“網絡與信息系統安全等級保護定級報告、專家評審意見、備案證明及測評報告”。

同樣在直播行業，2016年11月4日，國家互聯網信息辦公室發布《互聯網直播服務管理規定》，即日起執行。其中第七條要求“互聯網直播服務提供者應當落實主體責任，配備與服務規模相適應的專業人員，健全信息審核、信息安全管理、值班巡查、應急處置、技術保障等制度”。

在此只是列舉這三大行業為代表的互聯網新興業務，其實等保的適用范圍包括境內的所有計算機系統，換句話說沒有哪個行業能逃避責任和監管。所以，等級保護該做嗎？面對這個問題，答案無疑是肯定的。企事業單位要做得是從系統定級、系統備案、等保測評、建設整改等開展一系列工作。

但是廣大新興互聯網行業從業者對等級保護要求是非常陌生的，大多數中小平臺也處于業務高速發展的過程中，安全建設相對較為滯后，也難以滿足等級保護的要求。這時候該怎么辦？也許又有人出了“點子”，因為新興的行業或中小平臺大多也是采用的新興信息服務，比如云。“那等保同樣交給云服務商吧！”實則不然，即使采用了云，這個責任也不可能甩出去。

根據等保“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，依據GB/T31167-2014《信息安全技術云計算服務安全管理指南》中的責任分擔模型，只要這個業務應用系統不是由云服務商直接提供的，云上用戶都需要對這個應用系統負責，對這個系統和數據的安全負責。阿里云構建的“等保合規生態”可以為云上租戶落實國家網絡安全等級保護制度提供一站式服務。

云端的等保測評

以中國最大云服務商阿里云為例，2016年10月14日，阿里云宣布完成公安部組織的等級保護標準和云計算等級保護新標準試點示范工作，成為全國首家通過國家級權威測評的云計算服務商。其中公共云平臺、電子政務云平臺、大數據平臺等五大系統通過等級保護三級備案、測評，金融云平臺通過等級保護四級的備案、測評。

不過，雖然阿里云通過了等級保護測評，并不代表云上租戶的系統滿足等保的要求。云租戶側的等級保護對象也應作為單獨的定級對象定級，在最新GB/T31167-2014《信息安全技術云計算服務安全管理指南》和GB/T22239.2《網絡安全等級保護基本要求第二部分：云計算安全擴展要求》中明確了不同服務模式下云服務方和云租戶的安全管理責任主體，文末可參考以IaaS模式為例，云服務方與云租戶的責任劃分。

那么，企業如果將系統部署在云上，如何才能快速完成云上系統的等保合規？在此方面，阿里云的做法值得稱贊，為了解決阿里云上系統能夠快速滿足等保合規的需求，阿里云通過建立“等保合規生態”，聯合阿里云的安全咨詢合作機構、各地測評機構和監管部門，提供一站式、全流程的等保合規解決方案。在“等保合規生態”中，阿里云提供云安全產品和服務，咨詢廠商提供全流程技術支撐和咨詢服務，測評機構提供測評服務，公安機關負責備案審核和監督檢查。

信息安全1