綠盟科技解讀《網絡安全法》 考驗安全廠商真本領
- 時間:2017-06-07
- 來源:賽迪網
6月1日,《中華人民共和國網絡安全法》(下文簡稱《網絡安全法》)正式實施。作為我國第一部關于網絡安全的綜合性法律,對于企業、個人和機構的身份和行為都作出了新的法律概念和規定,他們將對在中國境內建設、運營、維護和使用網絡產生深遠的影響。
為了讓更多企業和個人關注、理解這部具有歷史意義和現實意義的法律,賽迪網安全頻道記者走訪多家企業和機構。他們不僅僅是安全專家,也是《網絡安全法》中最直接體現權利和義務的“主角”。借此機會,分享他們對本部法律重要細則的深刻理解,也為規范行業行為敲響警鐘。
國產安全廠商,北京神州綠盟信息安全科技股份有限公司(以下簡稱綠盟科技)在接受賽迪網采訪時表示,《網絡安全法》的亮點在于明確了國家網絡安全監管架構、網絡運營者的責任義務、個人數據保護、等級保護和關鍵信息基礎設施保障的關系、違法行為的法律責任和罰則等內容,為網絡運營者有效履行安全保障責任,監管機構有效履行監管職責、執法機關對違法行為進行處罰提供了明確的法律依據。
綠盟:安全廠商屬于“網絡運營者”范疇
我們看到在《網絡安全法》相關條款中多次出現了“網絡運營者”這個名詞,那么網絡安全廠商是否也是“網絡運營者”?
綠盟科技專家告訴賽迪網記者,《網絡安全法》中很重要的一部分組成內容是明確闡述網絡運營者的責任和義務。《網絡安全法》在第七章第七十六條中明確解釋了,網絡運營者是指網絡的所有者、管理者和網絡服務提供者。根據以上定義,所有通過網絡提供服務、開展業務活動的企業或機構,均可被視為網絡運營者。
網絡安全廠商作為網絡安全專業產品的供應商,不僅要在自身網站提供安全產品的升級更新服務,而且還可能通過網絡提供其它專業安全服務。例如綠盟科技建立了綠盟云,通過互聯網向用戶提供網站安全監測、脆弱性自助掃描、安全威脅情報、以及DDoS流量清洗等SaaS類型的安全服務。
從這個意義上講,絕大多數網絡安全廠商屬于通過網絡提供服務的企業或機構,也應當被視為網絡運營者,需要承擔《網絡安全法》中規定的網絡運營者的安全責任和義務。
為安全企業設置市場準入門檻
《網絡安全法》第三章第一節中第二十二條和第二十三條中規定了為網絡運營者提供產品和服務的廠商應遵循的行為準則。特別在第二十三條中,提到了“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄,并推動安全認證和安全檢測結果互認,避免重復認證、檢測。”
綠盟科技認為這相當于為安全廠商設置了市場準入門檻。國內主流的安全廠商的產品和服務,目前均符合安全認證合格和安全檢測合格的具體要求,行業也會持續關注和跟蹤國家網信部門關于網絡安全專業產品目錄的工作推進狀況,如果現行的檢測和認證機制發生調整和變化,國內主流安全廠商會盡快符合政策監管的要求。
國內主流安全廠商往往同時具備網絡運營者的身份屬性,因此《網絡安全法》中對網絡運營者的要求,也會同樣適用于安全廠商,這對安全廠商自身的運行安全能力提出了明確且更高的要求,盡管國內主流安全廠商多數通過了ISO27001信息安全管理體系認證,具備了較為全面的運行安全能力,但是也應當針對《網絡安全法》的內容,對現有的信息安全管理體系進行合規修訂,對現有的技術設施進行合規建設,確保符合《網絡安全法》的要求。
保護數據安全 考驗安全廠商真本領
《網絡安全法》第四章第四十條到第四十五條的法律條款,闡述了網絡運營者因為業務需要對用戶個人信息的收集、使用、保障所負有的義務,法律本身并未對安全廠商應該為保障網絡運營者的用戶個人信息提供哪些基本的服務做出明確規定。但是,像等級保護現行的標準提出了整套的重要信息系統安全保障技術和管理要求,其中包括了對數據安全的內容,各安全廠商能夠根據自身的技術能力,用安全產品和服務有針對性覆蓋等級保護標準的部分具體要求。
隨著《網絡安全法》的正式實施,以及后續關于關鍵信息基礎設施安全保障規范細則的制定和頒布,如何準確識別網絡運營者所持有的用戶個人信息、如何從技術手段與管理流程對用戶個人信息進行有效防護、如何識別潛在的信息泄露風險點,都已成為網絡運營者對個人隱私信息保護的重中之重。
綠盟科技表示,他們現有的網絡安全產品和服務,如互聯網邊界安全設備(防火墻、IPS、WAF)、數據庫加密和審計產品、特權操作審計網關、安全風險評估服務、等級保護合規建設咨詢服務等,都能夠為網絡運營者保障用戶個人信息提供安全保障能力。公司目前也在投入力量,建立個人信息保護的安全咨詢服務方法,協助網絡運營者能夠更加準確的識別用戶個人信息,并建立全面有效的安全保護能力。
違法將遭不同程度處罰
《網絡安全法》首次明確了相關單位、人員的信息安全保護義務和違背后的懲罰力度,如果企業或個人觸犯了網絡安全法,會受到怎樣的處罰?
違反《網絡安全法》的行為需要承擔的法律責任條款,基本為不構成犯罪行為的行政責任。處罰方式具體包括了對個人違法行為的行政處分、罰款、乃至行政拘留等處罰方式;以及對機構違法行為的警告、罰款、責令停業、吊銷許可證、吊銷營業執照、沒收違法所得等處罰方式。
另外,如果違法行為對他人造成損害,須依法承擔民事責任;構成違反治安管理行為的,給予治安管理處罰;構成犯罪行為的,依法追究刑事責任。其中針對受到治安管理處罰和刑事處罰的個人還作出了網絡安全行業禁業的法律規定。