《網(wǎng)絡(luò)安全法》背景

2017年6月1日起《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（下文簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）正式實(shí)施，從宏觀的層面來(lái)講，這意味著網(wǎng)絡(luò)安全同國(guó)土安全、經(jīng)濟(jì)安全等一樣成為******安全的一個(gè)重要組成部分；從微觀層面來(lái)講，意味著網(wǎng)絡(luò)運(yùn)營(yíng)者（指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者）須***擔(dān)負(fù)起履行網(wǎng)絡(luò)安全的責(zé)任。

《網(wǎng)絡(luò)安全法》是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，并對(duì)“網(wǎng)絡(luò)（Cyber）”進(jìn)行了重新定義，是指“由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)”，其涵義外延更大。既然作為基本法，與之前看到的各部門規(guī)章有著本質(zhì)區(qū)別，它明確提出不履行相應(yīng)的責(zé)任與義務(wù)，都將會(huì)受到法律的處罰。處罰也從不同角度進(jìn)行了細(xì)化和明確，特別是會(huì)對(duì)主管人員或直接負(fù)責(zé)人員進(jìn)行處罰，構(gòu)成犯罪的會(huì)依法追究刑事責(zé)任。

網(wǎng)絡(luò)安全管理趨勢(shì)

近幾年，我國(guó)網(wǎng)絡(luò)安全形勢(shì)發(fā)生了非常大的變化，我國(guó)是名副其實(shí)的網(wǎng)絡(luò)大國(guó)，網(wǎng)民人數(shù)全球第一，網(wǎng)絡(luò)創(chuàng)新活躍，越來(lái)越多的業(yè)務(wù)都在互聯(lián)網(wǎng)化，網(wǎng)絡(luò)已融入經(jīng)濟(jì)社會(huì)生活的各個(gè)方面。但同時(shí)，我國(guó)也是網(wǎng)絡(luò)安全事件的重災(zāi)區(qū)，網(wǎng)絡(luò)攻擊活動(dòng)日漸頻繁，個(gè)人信息泄露事件頻發(fā)。因此《網(wǎng)絡(luò)安全法》的出臺(tái)，對(duì)于我們每個(gè)網(wǎng)絡(luò)服務(wù)的提供者、網(wǎng)民都有非常積極的幫助。接下來(lái)我們要點(diǎn)對(duì)《網(wǎng)絡(luò)安全法》的要點(diǎn)章節(jié)和相關(guān)條款進(jìn)行剖析。

1.《網(wǎng)絡(luò)安全法》“不止于此”。網(wǎng)絡(luò)安全法是我國(guó)在網(wǎng)絡(luò)安全管理方面的基本法，后續(xù)還有一系列細(xì)則，需根據(jù)企業(yè)自身所在行業(yè)整體實(shí)施，整體來(lái)看******對(duì)于網(wǎng)絡(luò)安全的管理會(huì)加大力度。

2. 信息安全向網(wǎng)絡(luò)安全轉(zhuǎn)變。很多企業(yè)往往只關(guān)注的信息安全或者說(shuō)內(nèi)容的安全性，缺乏對(duì)于網(wǎng)絡(luò)安全的關(guān)注，雖說(shuō)二者有一定的交集，但在范圍、管理模式、技術(shù)手段上有著較大差異。

3. 強(qiáng)調(diào)個(gè)人信息及隱私的保護(hù)。《網(wǎng)絡(luò)安全法》實(shí)施后，將規(guī)范個(gè)人信息的收集和使用，讓企業(yè)的關(guān)注點(diǎn)應(yīng)從單純的“數(shù)據(jù)安全”延展至影響范圍更廣的“個(gè)人隱私保護(hù)”。

4. 違法處罰更加嚴(yán)格。對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者拒不履行安全的責(zé)任，明確處罰措施，包括暫停業(yè)務(wù)活動(dòng)、嚴(yán)重的違法行為將導(dǎo)致停業(yè)整頓或吊銷執(zhí)照、處罰金額***高可至100萬(wàn)元、對(duì)于直接負(fù)責(zé)人進(jìn)行罰款等。

《網(wǎng)絡(luò)安全法》解讀與應(yīng)對(duì)

網(wǎng)絡(luò)運(yùn)行基本安全要求

涉及行業(yè): 事業(yè)單位 國(guó)企 傳媒 金融 電商 游戲 社交網(wǎng)站 ……

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定:

******實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

1. 制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

2. 采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

3. 采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

4. 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

5. 法律、行政法規(guī)規(guī)定的其他義務(wù)。

條款解讀:

本條款提到的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是公安部運(yùn)營(yíng)多年的信息系統(tǒng)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)安全法的出臺(tái)也加強(qiáng)了對(duì)等保執(zhí)行力度的要求，不做等保就屬于違法行為了。

1. 安全管理：網(wǎng)絡(luò)運(yùn)營(yíng)者需在企業(yè)內(nèi)部明確網(wǎng)絡(luò)安全的責(zé)任，并通過完善的規(guī)章制度、操作流程為網(wǎng)絡(luò)安全提供制度保障；

2. 技術(shù)層面：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采取各種事前預(yù)防、事中響應(yīng)、事后跟進(jìn)的技術(shù)手段，應(yīng)對(duì)網(wǎng)絡(luò)攻擊，降低網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。值得注意的是，網(wǎng)絡(luò)日志的保存期限已明確要求不低于六個(gè)月；

3. 數(shù)據(jù)安全方面：網(wǎng)絡(luò)運(yùn)營(yíng)者需對(duì)重要數(shù)據(jù)進(jìn)行備份、加密，以此來(lái)保障數(shù)據(jù)的可用性、保密性。

如何根據(jù)自身實(shí)際情況建立有效的安全管理體系、如何在技術(shù)層面選擇合理的技術(shù)解決方案、如何加強(qiáng)自身的數(shù)據(jù)保護(hù)能力，都將成為網(wǎng)絡(luò)運(yùn)營(yíng)者所要點(diǎn)關(guān)注的問題。

應(yīng)對(duì)策略：基于本方案將形成從主機(jī)層、網(wǎng)絡(luò)層、應(yīng)用層的整體防入侵措施。網(wǎng)絡(luò)層具備抵御大流量的DDoS攻擊、CC攻擊的能力，避免因網(wǎng)絡(luò)攻擊導(dǎo)致出現(xiàn)業(yè)務(wù)中斷或不可訪問的情況。并實(shí)現(xiàn)安全監(jiān)測(cè)和安全分析，實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。

處罰：拒不執(zhí)行本條款要求或因此導(dǎo)致危害網(wǎng)絡(luò)安全后果的網(wǎng)絡(luò)運(yùn)營(yíng)者，處一萬(wàn)以上十萬(wàn)以下罰款，對(duì)于直接負(fù)責(zé)的主管人員處以5000元以上5萬(wàn)元以下罰款。

應(yīng)急預(yù)案與響應(yīng)要求

涉及行業(yè): 事業(yè)單位 國(guó)企 傳媒 金融 電商 游戲 社交網(wǎng)站 ……

《網(wǎng)絡(luò)安全法》第二十五條規(guī)定:

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)******、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

解讀:

本條款的提出也是完善安全技術(shù)體系非常重要的一環(huán)，而響應(yīng)能力的建設(shè)是當(dāng)前網(wǎng)絡(luò)運(yùn)營(yíng)者普遍存在的弱點(diǎn)。

整體缺乏事件危害評(píng)估、應(yīng)急預(yù)案、處置措施、上報(bào)流程等一系列的規(guī)范，或者說(shuō)有規(guī)范但在出現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，發(fā)現(xiàn)應(yīng)急預(yù)案根本沒辦法起到作用。

在公共云或者可運(yùn)營(yíng)的政務(wù)云上，有著完整的安全運(yùn)營(yíng)體系，當(dāng)發(fā)生大規(guī)模網(wǎng)絡(luò)安全事件時(shí)，安全運(yùn)營(yíng)團(tuán)隊(duì)會(huì)第一時(shí)間處理相關(guān)問題?；蛘呤褂迷贫芄芗曳?wù)，針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的業(yè)務(wù)制定應(yīng)急預(yù)案和定期演練。

應(yīng)對(duì)策略：基于阿里云多年安全***佳實(shí)踐經(jīng)驗(yàn)為云上用戶建立應(yīng)急預(yù)案并及時(shí)處置網(wǎng)絡(luò)安全問題，保障用戶業(yè)務(wù)安全。能夠在您的系統(tǒng)遭受黑客攻擊時(shí)提供快速、專業(yè)的應(yīng)急處理，包括入侵行為排查、病毒木馬查殺、入侵原因分析、入侵影響評(píng)估，幫助客戶正確應(yīng)對(duì)黑客攻擊，降低攻擊帶來(lái)的安全損失。

處罰：拒不執(zhí)行本條款要求或因此導(dǎo)致危害網(wǎng)絡(luò)安全后果的網(wǎng)絡(luò)運(yùn)營(yíng)者，處一萬(wàn)以上十萬(wàn)以下罰款，對(duì)于直接負(fù)責(zé)的主管人員處以5000元以上5萬(wàn)元以下罰款。

政務(wù)安全治理

涉及行業(yè)： 政府機(jī)構(gòu) 事業(yè)單位 公共服務(wù)職能部門 ……

《網(wǎng)絡(luò)安全法》第三十四條規(guī)定：

除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

1. 設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

2. 定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

3. 對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份；

4. 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；

5. 法律、行政法規(guī)規(guī)定的其他義務(wù)。

解讀：

關(guān)鍵基礎(chǔ)設(shè)施的安全隱患具有很大的破壞性和殺傷力，《網(wǎng)絡(luò)安全法》在關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與應(yīng)急處置制度等方面都作出了明確規(guī)定。

應(yīng)對(duì)策略：阿里政務(wù)云為政務(wù)行業(yè)量身定制、安全合規(guī)的政務(wù)專屬云資源服務(wù)平臺(tái)，提供較公共云更高等級(jí)安全防護(hù)，認(rèn)證成為政務(wù)云用戶免費(fèi)提供WAF、安騎士、態(tài)勢(shì)感知、DDOS10G防護(hù)等7項(xiàng)高等級(jí)安全服務(wù)。

處罰：不履行本法相關(guān)條款的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

個(gè)人信息保護(hù)

涉及行業(yè): 事業(yè)單位 通信 傳媒 金融 醫(yī)療 電商 游戲 ……

《網(wǎng)絡(luò)安全法》第四十一、四十二、四十三條規(guī)定:

第四十一條：網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。

第四十二條：網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

第四十三條：個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取措施予以刪除或者更正。

解讀:

從這三條條款中可以看出，《網(wǎng)絡(luò)安全法》聚焦個(gè)人信息泄露，明確網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者、運(yùn)營(yíng)者的責(zé)任。嚴(yán)厲打擊出售販賣個(gè)人信息的行為，對(duì)保護(hù)公眾個(gè)人信息安全將起到積極作用。

除嚴(yán)防個(gè)人信息泄露，《網(wǎng)絡(luò)安全法》針對(duì)層出不窮的新型網(wǎng)絡(luò)詐騙犯罪還規(guī)定：任何個(gè)人和組織不得設(shè)立用于實(shí)施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動(dòng)的網(wǎng)站、通訊群組，不得利用網(wǎng)絡(luò)發(fā)布與實(shí)施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動(dòng)的信息。

應(yīng)對(duì)策略：阿里云提供了從數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)加密到數(shù)據(jù)使用安全等，三位一體的個(gè)人信息防護(hù)態(tài)勢(shì)。網(wǎng)站頁(yè)面中出現(xiàn)個(gè)人隱私敏感數(shù)據(jù)的檢測(cè)識(shí)別，并進(jìn)一步給出預(yù)警和屏蔽敏感信息等防護(hù)措施，避免網(wǎng)站經(jīng)營(yíng)數(shù)據(jù)泄露。

處罰：違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款；情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。

等保測(cè)評(píng)

涉及行業(yè): 政府j機(jī)構(gòu) 事業(yè)單位 傳媒 金融 公共服務(wù)職能部門 ……

《網(wǎng)絡(luò)安全法》第三十八條規(guī)定:

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門

解讀:

明確了關(guān)鍵基礎(chǔ)設(shè)施單位，需要每年對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)至少進(jìn)行一次檢測(cè)評(píng)估，等級(jí)保護(hù)測(cè)評(píng)至少?gòu)募夹g(shù)上可以滿足這個(gè)要求，等級(jí)保護(hù)測(cè)評(píng)就是對(duì)單位重要信息系統(tǒng)做的一個(gè)安全檢測(cè)評(píng)估。

應(yīng)對(duì)策略：阿里云幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商，提供全面的等級(jí)測(cè)評(píng)服務(wù)，快速通過公安部要求的《信息系統(tǒng)安全等級(jí)保護(hù)》測(cè)評(píng)。由阿里云的合作伙伴-各省市等保測(cè)中心為您提供專業(yè)服務(wù)。

處罰：不履行本條款的網(wǎng)絡(luò)安全保護(hù)義務(wù)，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。