本文原刊登于綠盟科技內刊，是綠盟科技資深安全從業者為其客戶挑出的一些需要重點關注的條文，加上綠盟科技的法務經理的通俗解讀，內容很中肯，可讀性和實用性很高。雷鋒網經授權發布。

2016年11月7日我國第一部網絡安全法頒布。筆者作為安全行業的從業人員，認真閱讀了相關條文。總體感覺：

安全法不但對各種網絡行為，明確了規范和法律責任，同時還是對我們如何建設網絡安全提供了指引。從條文中，可以看到 iso27001 信息安全管理體系標準的影子。

安全法的各種規范和要求，其實已經長期存在于各行業的行業標準和主管部門對社會網絡行為的指引中，沒有太大的意外。

但是這次是以法律的形式頒發，且法律條文清晰標示出禁止準入、行政處分和判罰、刑事判罰等一系列的紅線，這讓筆者不禁為大家抹了一臉冷汗，因為太多的點需要注意了。接下來筆者挑出一些條文，讓客戶重點關注。

安全法把用戶網絡重要性分成2個層次定位：關鍵信息基礎設施和非關鍵基礎設施。

在第三十一條明確規定：”國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

“關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定”。第一句話明確了什么是關鍵信息基礎設施，第二句明確了安全保護辦法規范誰制定。有的網絡服務提供商比如域名解析這類看起來不屬于重點行業范疇，但是一但出問題會引起大面積網絡無法響應，并造成公共利益受損。這種業務也會被主管部門納入到重點管理的范疇。

所以建議客戶在條件允許下盡量謹慎一些，把安全等級提高。

第八條明確規定了網信部門是負責統籌和監督網絡安全工作的機構。電信主管部門、公安部門和其他機關部門在各自職責范圍內負責網絡安全保護和監督管理工作。

第四十九條明確規定網絡運營者必須對網信部門和有關部門依法實施的監督檢查予以配合。如果不配合將按六十九條處以個人和單位罰款。注意這只是說不積極配合，如果不作為、抵制和違反規定那后果會更嚴重。

一句話，主管部門的檢查必須積極配合。

從第二十一、三十四條對非關鍵和關鍵信息基礎設置單位明確了要有網絡安全負責人、要有網絡安全管理機構、要有定期技能培訓和考核。簡單而言就是要有編制，培訓投入和明確誰背責任。

特別需要關注一點，本法對招聘安全技術人員的資格也提出的要求。在第六十三條規定違反第二十七條（也就是從事過非法網絡攻擊行為）受到治安管理處罰的人員，五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。

這個規定將對已招收或者試圖招收有非法前科黑客的單位敲響了警鐘。

本法更多的是從安全建設要達到的效果提出要求，并沒有列出如何安全建設標準才能實現這一目標（實際上也不方便寫出來）。不過我們從規定里面還是看到了一些比較具體的安全技術建設要求：第十條中提到依照法律、行政法規的規定和國家標準的強制性要求。也就是說關于在安全產品上必須滿足國家標準的要去選購（也就是要關注國家頒發標準認證產品）。這里提到標準相信不少用戶會遇到不同標準有時候會出現沖突、不一致等現象。

在第十五條中明確了：國務院標準化行政主管部門和國務院其他有關部門根據各自的職責，組織制定并適時修訂有關網絡安全管理以及網絡產品、服務和運行安全的國家標準、行業標準。

第二十三條：網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。

意思就說以后關鍵信息系統的產品采購需要在網信部門牽頭發布的《網絡關鍵設備和網絡安全專用產品目錄》中選取。

非關鍵信息系統產品采購需要符合國家資格的機構安全認證合格或安全檢測符合要求。比如說像目前的公安部頒發的安全產品銷售許可證是最基本的產品認證要求。

第二十一條中明確指出用戶網絡需要采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；采取數據分類、重要數據備份和加密等措施；

這里需要關注的是必須保留網絡日志不少于六個月，對不同數據的重要性需要加密和備份。對于這個要求，一些客戶單位執行的并不是很到位。

第三十三條規定了關鍵信息網絡需要考慮業務持續問題，防止單點故障的解決方案必須采用。

兩地三中心到分布式多活的異地多活技術將受到更廣泛行業的需求。同時這也是對設備廠商的穩定性、使用年限、成熟度都提出更高的要求。

第三十五條規定關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。這條筆者理解，在最終采購決策上，法律會做出解釋，但設備國產化或者會有優先權。

建議客戶在關鍵信息基礎設施領域，尤其是可能影響到國家安全的問題上，盡早淘汰國外產品，既然寫入了法律規定就不是建議或指引了。在第六十五條對違反的單位和負責人將處以重罰，并可責令停止使用。

第二十五和第三十四條要求網絡運營者需要制定安全事件應急預案（點贊）。建議用戶與安全運維專業團隊保持緊密聯系以確保應急預案的完善和到位。

第二十四條規定網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

這里要重點關注對于一些ICP提供用戶信息發布、即時通訊等服務時候需要有足夠的技術手段來保證用戶真實身份。這里需要著重注意，目前技術和業務模式尚不能很好的解決這個問題，即便是在新用戶注冊的時候采用手機認證，也存在不少的漏洞。

第三十八條規定關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

這里規定了安全評估的必須性。

本法用不少篇幅的條文來規定網絡產品、服務提供商對用戶信息資料的收集和使用。

第二十二條 網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及公民個人信息的，應當遵守本法和有關法律、行政法規關于公民個人信息保護的規定。

第四十一條 網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者收集、使用個人信息，應當公開其收集、使用規則。網絡運營者應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息；網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

第四十三條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十五條 依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。

筆者了解到眾多ICP服務商在提供服務的時候并沒有讓用戶明確同意就收集客戶的信息，同時還存在與其他機構交換數據的情況。同時因為安全建設不到位導致黑客入侵，用戶資料大量外泄。為了避免您觸及法律紅線，請及時咨詢專業法律人士。

第六十四條中規定對違反單位主管、責任人、單位重罰并可責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。