近年来,国际上屡屡发生的安全漏洞导致重大安全事件为我国敲响了警钟,针对网络和信息安全复杂的形势与不容乐观的现状,我国自2014年开始已经从完善网络信息安全小组架构顶层设计、加强安全审查、加大网络基础设施安全建设力度等方面,来不断提升网络与信息安全保障水平。因此,2014年已经被普遍认定为中国网络安全元年。
如果将2014年作为中国网络安全元年的话,那么2016年毫无疑问就是我国网络安全工作全面推动落实的起始年。在刚刚过去的2016年,先是具有划时代意义的《网络安全法》颁布,统一了对网络安全的认识,使我国网络安全工作有了基础性法律框架;接着国务院印发了《”十三五“国家信息化规划》,将“健全网络安全保障体系”作为一项重要任务,并对“十三五”期间网络安全工作进行了统一谋划、设计和部署;同时,党和国家领导人在多次讲话中,都强调了网络安全的重要意义,并对网络安全提出了很高的标准和明确的要求。
既然在国家层面已经针对网络安全频频发力,那么,具体的网络安全工作要求将很快下达到企业层面。毫不夸张的说,从2017年开始国内所有企业,尤其是与重要信息系统、重要公共服务、重要基础设施有关的单位,所面临网络安全压力将会越来越大。未雨绸缪方能从容应对,下面笔者就针对“十三五”期间网络安全应该重点关注的方面进行逐一分析。
一、网络安全法律体系日渐完善,企业安全合规压力将会越来越大
目前,作为我国网络安全的“基本法”的《网络安全法》已于2016年11月7日在全国人大常委会通过,继网络强国战略被纳入“十三五”规划建议后,《刑法修正案(九)》中也增加了对网络安全的诸多规定。作为网络安全工作的依据和制度,我国有关网络安全立法的步伐还要加快,目前已经正在起草或修订主要包括:
-
《互联网安全法》正在编制,作为国家主管部门管理互联网的依据和制度保障。
-
《商用密码管理条例》已经完成修订,密码法将在此基础上加快出台。
-
《未成年人网络保护条例》早在2014年便列入国务院立法工作计划,国家互联网信息办公室已于2016年9月向社会公开征求意见。
-
《个人信息保护法》在当前信息泄露成为一个严重问题的情况下,其立法进程将进一步加快。
除了上述网络安全相关法律外,在网络安全相关标准方面,2016年8月中央网信办、国家质检总局、国家标准委已经印发了《关于加强国家网络安全标准化工作的若干意见》,对构建统一权威、科学高效的网络安全标准体系和标准化工作机制作出了部署,相关工作将在“十三五”时期重点落实。
在网络安全检查方面,我国已经在2006年开始执行网络安全风险评估制度,2008年开始逐步在政府部门建立起了网络安全检查制度,刚刚颁布不久的《网络安全法》则正式建立了整个关键信息基础设施领域的网络安全检查制度。
从上面分析可以看出,在“十三五”期间网络安全法律、标准、检查三个层面,都进一步加大力度,以弥补在网络安全法律体系方面的短板。由此可以得知,未来所有行业、企业的安全合规压力会进一步加大。作为各单位的网络安全负责人,应提前着手开始准备组织自身的安全内控、合规体系建设,以应对未来严峻的网络安全监管形势。
二、自主可控是核心竞争力,网络安全自主知识产权应用将会大力推广
我国在信息化快速发展的过程中,核心技术受制于人,网络安全技术距发达国家有一定差距,已经成为我国网络安全的软肋。想要提升我国的网络安全保障能力,只能依靠强大的科技实力和自主创新能力。在“十三五”期间,将会重点构建国家网络空间安全技术体系,将加快核心领域拥有自主知识产权的技术与产品的研发,并进一步推进自主知识产权安全产品应用推广。
自主安全可控网络安全产品的研发和推广,将会重点在两个方面上开展。一个是高端路由器、芯片、操作系统等领域的研发和应用,努力改变之前国外网络设备占据主导地位的状况,让我国网络安全在技术层面不受制于人。另一个是推动国产自主密码算法及相关产品在重要领域的积极应用,提升密码基础支撑能力。
由此可以推断,出于网络安全战略考虑,将来网络安全产品采购将开始呈现国产化趋势,核心设备、系统将会逐步进行安全自主可控产品替换。在此种情况下,各单位在进行安全自主可控建设的过程中,将不得不提早考虑相应的风险应对措施,比如:
-
在当前及未来的网络安全建设过程中,尽量使用具有自主知识产权的国产产品,以免将来部署完再进行替换所造成的资源浪费。
-
在使用拥有自主知识产权的国产安全产品时,应考虑产品安全性的评估与审查制度,尽量在国家、行业出台的合格供应商库中选取。
-
如果真对现有网络安全产品进行国产化产品的替换,应评估采用充分措施应对替换过程中的安全风险和产品兼容性问题。
三、数据安全与个人隐私保护是重点,敏感信息保护体系建设任重道远
在前面第一节中网络安全相关法律体系建设内容中,无论是已经发布的还是目前正在起草的法律法规,都将数据安全与个人隐私保护作为其中非常重要的一块内容,甚至关于数据安全与个人隐私相关的《个人信息保护法》专项法律在不久的将来也会颁布,以填补我国在此领域的法律空白。这些足以说明在国家层面对数据安全与个人隐私保护的重视程度,下面从《网络安全法》和《”十三五“国家信息化规划》两个内容进行一下分析。
当前广大民众深受垃圾信息、诈骗信息、个人信息泄露的困扰,公民个人信息的泄露、收集、转卖,已经形成了完整的黑色产业链。在《网络安全法》中对数据安全和个人隐私保护进行了明确的说明,以法律条文的形式规定了网络产品服务提供者、运营者的责任,并且严厉打击出售贩卖个人信息的行为,这些对于数据安全与个人隐私保护,都将起到非常积极作用。
2015年9月国务院印发的《促进大数据发展行动纲要》已经将数据定义为国家基础性战略资源,2016年3月发布的“十三五规划纲要”还专章提出实施国家大数据战略,深化大数据在各行业的创新应用,已经是大势所趋。那么,在发展大数据的同时如何对数据进行有效的防护呢?主要包括以下几个方面:
-
建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用。
-
加强数据资源在采集、传输、存储、应用和开放等生命周期的各个环节的安全保护。
-
加强各类公共数据资源在公开共享等环节的安全评估与保护,严厉打击非法泄露和出卖个人数据行为。
随着数据安全与个人隐私保护的法律的健全,当敏感信息泄露时责任单位所面临的除了自身名誉、客户、资金的损失外,还可能面对数据泄露后所负的刑事责任和赔偿责任。与之相对应的是,现在大多数单位在数据安全与个人隐私保护方面的防护措施都不是很到位,敏感数据泄露的途径和潜在风险非常的多。为能够适应形势的发展,考虑自身的切身利益,在此方面应该尽早做如下应对:
-
全面、系统地评估自身的敏感信息泄露途径与风险场景,并以此为基础建立具有针对性的安全策略。
-
综合运用技术产品与管理流程制度措施,全方面地进行数据安全与个人隐私保护建设,不断的封堵敏感信息泄露途径。
-
加大数据安全与个人隐私保护宣传教育,不断提升全体人员敏感信息保护意识,促进敏感信息保护文化建设。
由于篇幅所限,本次暂且先从以上三个方面进行分析,在下一篇中笔者将从关键基础设施安全保障、网络环境治理、网络安全人才三个方面继续阐述。
如果觉得内容不错,欢迎关注公共号获得后续更新;如需阅读以前文章,请在公共号后台查看历史消息。
欢迎加入安全逻辑小密圈,获得更多资料分享。
原文始发于微信公众号(微言晓意):未雨绸缪,”十三五“企业网络安全应该重点关注这些方面(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论