2017年6月1日,不僅僅是一年一度的兒童節,還是《中華人民共和國網絡安全法》正式生效的日子。從6月1日起,我國網絡安全工作有了基礎性的法律框架,針對網絡亦有了更多法律約束,中國信息安全行業進入新的時代。
《網絡安全法》實施 中國信息安全行業進入新時代
隨著互聯網技術及其應用的發展,以大數據為代表的數據密集型技術將成為新時代技術變革的基礎。但與此同時,數據的進一步集中和數據量的增加,使得安全防護面臨巨大挑戰。近日,記者參加2017中國國際大數據產業博覽會期間,許多與會專家開口必談勒索病毒、維基解密、斯諾登等網絡安全事件。大數據正以席卷的姿態深刻改變人們的生產和生活,然而,信息安全還沒有得到完全有效的解決,這成為大數據時代發展的一個重要瓶頸,也備受到各方關注。
我國互聯網從一條網速僅64Kbps的網線,到如今開展5G技術試驗,實現了高達70Gbps的數據速率,并參與到5G國際標準的制訂中——也就是最近20年的事情。
互聯網高速發展的同時,網絡安全的威脅也愈發突出。普華永道2016年一項調查顯示,2014~2016年期間,我國內地和香港公司探測到的網絡攻擊數量平均增長了969%。在接受調查的440家中國公司中,每家公司日均遭受攻擊超過7次,相比之下,全球平均水平近兩年來卻出現3%的下滑。
現在,隨著《中華人民共和國網絡安全法》在6月1日正式實施,針對網絡亦有了更多法律約束。《網絡安全法》共有七章七十九條,內容十分豐富,具有六大突出亮點,一是明確了網絡空間主權的原則;二是明確了網絡產品和服務提供者的安全義務;三是明確了網絡運營者的安全義務;四是進一步完善了個人信息保護規則;五是建立了關鍵信息基礎設施安全保護制度;六是確立了關鍵信息基礎設施重要數據跨境傳輸的規則。
強調關鍵信息基礎設施安全
《網絡安全法》第1條“立法目的”開宗明義,明確規定要維護我國網絡空間主權。
記者注意到,《網絡安全法》第三章用了一半的篇幅強調要保障關鍵信息基礎設施的運行安全。其中,“第三十一條”可謂《網絡安全法》一大亮點,要求建立關鍵信息基礎設施安全保護制度,重點強調關鍵信息基礎設施安全和網絡詐騙的懲治。關鍵信息基礎設施作為金融、能源、電力、通信、交通等領域運行的神經中樞,與國計民生息息相關,是網絡安全的重中之重。近年來,各國因關鍵信息基礎設施被攻擊而遭受重大損失的事件層出不窮。
在業內人士看來,當信息化建設從政治、軍事逐漸滲透至民生、經濟、工業、公共服務等領域,并擔當重要基礎設施角色,國家意識到,如果這些領域面臨嚴重網絡安全隱患,后果同樣不堪設想。
在2017中國國際大數據產業博覽會上,中國石油化工集團信息管理部主任李德芳提到,“過去系統分散,安全問題不突出,現在,系統越來越多,越來越集中,越來越龐大,并且黑客攻擊也越來越厲害。所以,我們的安全體系,從過去的簡單防護到網絡防護到系統防護,現在應該走向體系型的防護。”
以數據為中心的安全
《網絡安全法》對數據安全和數據保護也給予了關注。第二十一條對數據安全作出明確說明:網絡運營者應當按照網絡安全等級保護制度的要求,防止網絡數據泄露或者被竊取、篡改。采取數據分類、重要數據備份和加密等措施。
成都安美勤信息技術股份有限公司安全專家對《每日經濟新聞》記者分析稱,《網絡安全法》第一次對責任主體進行了規定,而且以往網絡安全強調以技術為重,“但實際運行中,我們發現管理層面更重要,很多人對網絡安全意識認識依然不夠。”
這一次,《網絡安全法》將責任主體點明落實到了公安、企業、個人等各層面主體身上。網絡安全專家表示,《網絡安全法》看重的,不是某個數據的安全、某個系統的安全,而是整個組織的安全。主體需要負起責任,“比如平臺上信息泄露,作為運營者,也許昨天你的不作為,沒有任何關系。但從今天起,你不作為就將承擔責任。”
以單位為主體負責的安全,不僅僅能夠抵抗外部的攻擊,事實上,數據安全威脅更多時候還來自內部,這個比例往往高于來自外部的有意攻擊。內部的威脅,不僅僅是竊取,還有濫用和誤用。
阿里巴巴集團技術副總裁杜躍進也有類似觀點,他在數博會上提出,現在需要轉變網絡安全的核心思想,變為“以數據為中心的安全”。杜躍進解釋,數據是在各個系統之間流動的,以數據為中心的安全,伴隨數據的生命周期進行安全保護,涉及到每一個環節,“系統安全不等于數據就安全,系統不安全也不等于數據不安全。”