2017年6月1日《网络安全法》正式施行,时间飞逝已经实行8年有余,而当时根据互联网相关信息,很多人都在关注《网络安全法》执法案例的发布。根据2017年8月份,新华网援引《重庆日报》报道内容介绍:重庆网安总队在日常检查中发现,重庆首页科技发展有限公司自今年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项、第五十九条之规定,决定给予该公司警告处罚,并责令限期十五日内进行整改。该公司收到《行政处罚通知书》后,积极做出反应,立即编制了《整改方案》并着手实施整改,待整改完成后,公安机关将对其整改情况进行验收。
有鉴于此,各方大佬及网络安全企业,开始贩卖焦虑对这一案例进行了分析与转载,当时我也跟着这则资讯信息,搜集整理了一篇公众号文章,虽然理解不是太深刻,算是学习网络安全法律法规在路上了。
当时,在等级保护测评机构,所以就根据自己工作的内容,写了几句话,简单探讨了不开展网络安全等级保护将可能面临什么样的处罚。其实,当时对等级保护的理解是不充分、不全面的,将等级保护测评与等级保护是画等号的,后来慢慢研究这个体系后发现,错的有点离谱。
回到等级保护本身,我当时大致这么提醒:如果单位不开展等级保护工作,可能违反《网络安全法》哪些条款呢?给单位与个人带来哪些不利影响呢?这个问题,关系到单位与个人,寄希望于大家给予格外的关注和重视。接下来,咱们一起再学习一下关于等级保护,有哪些相关的《网络安全法》条款。
再探讨之前,做一个小铺垫。首先《网络安全法》已经在第二十一条定义了国家实行网络安全等级保护制度,制度之下就分为不同的工作方向和工作内容。在非涉密领域,需要遵循五个规定动作:定级、备案、建设整改、等级测评、监督检查。各个环节又都能做到位了,才是真正落实网络安全等级保护。
图片截取自“重庆网警”公众号
《网络安全法》里面明确提出等保的条款有:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
二十一条第一句就明确指出,国家实行网络安全等级保护制度,从国家层面对等级保护工作从法律法高度予以规定。从法律角度明确了:单位不做等级保护工作就是违法。其中,上面提到重庆查处《网络安全法》第一案,就援引了第二十一条之规定。
上面探讨到,落实网络安全等级保护,是需要考虑等级保护对象全生命周期工作合规的。也就是说,如果一个单位网络未开展定级、备案也是违法,建设整改过程中不遵循有关规定也是违法的,未定期开展等级测评是违法,开展等级测评后,未开展整改的也是违法的;以各种方式,逃避监管的也是违法。这里的各种方式,包括过程资料造假、报告造假等等。
落实网络安全保护工作,五个规定动作是一个维度参考。另外,还需要考虑《网络安全法》第二十一条的第(一)至(五)项较细的要求。一个单位,如果制定行之有效的网络安全管理制度,或者网络安全制度不完善、不健全以及责任未落实到人等等,也是违法行为。以此类推,网络运营者需要落实防病毒、防攻击、防入侵等技术措施,具体实现时就涉及到网络安全设备,比如防病毒软件、防火墙、入侵检测(防御)等设备,或者具备相同功能的设备,叫什么名字由厂家在炒概念时,可能千奇百怪,但是需要实现这些功能以及设备质量需要有保障。
再者,就涉及到监测(一般由流量类设备去满足)、记录网络运行状态、网络安全事件(各类安全运维(运营)平台来满足)、日志留存(日志服务器或日志审计系统,这里要明确日志是审计的素材)。
采取数据分类(很多人对《数据安全法》了解最深刻的就是数据分类分级,其实网络安全法在等级保护这个大条目下,已经安排了数据分类要求,而且在英文环境中“classification”可以是“分类”也可以是“分级”。所以数据安全在《网络安全法》中是一个重要子集。重要数据备份和加密,这点我们在纠结数据加密时,有人说“重要数据”必须加密,其法律依据至少可以到此处寻。那么,数据备份的要求,涉及到灾备体系化建设,至少得满足备份要求)。
最后,法律、行政法规规定的其他义务。这里是一个兜底性的要求,那么给类法规、政策文件、行业规范等有关网络安全等级保护要求,就都囊括统归到等级保护这杆基础大旗下。
由此,作为网络产品厂商或安全服务机构,你能说你不在等级保护制度之下工作,你还想把网络安全和等级保护做割裂理解吗?
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 |
在等级保护基础之上,可以开出很多叶。可谓一花开三叶,一花:以《网络安全法》作为上位法的等级保护制度;三叶:关键信息基础设施安全保护、数据安全保护、个人信息保护等。基于此,我们往下看关键信息基础设施安全。
《网络安全法》第三十一条,原文:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
违反《网络安全法》第二十一条、第三十一条的单位的法律责任,则有第五十九条进行处罚,同时带来商誉及个人信誉方面的负面影响。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
重庆查处违反《网络安全法》第一案,其中也援引了第五十九条之规定。五十九条很明确,就是用户单位未落实日志留存,也就是未按照等级保护制度要开展工作。违反第二十一条,用户单位可能面临1万-100万的罚款;主管人员可能面临的则是5000-10万罚款,罚款数额不算少。罚款其实只是督促工作的手段,罚款不是目的,立法是为了维护我国基础网络的安全,保卫我们的网络主权。如果因为这些事情的发生,可能对单位声誉、责任人个人声誉产生不利影响,我们也清晰认识到,法律在设定过程中,直接责任到主管负责人员。
从重庆依法查处违反《网络安全法》第一案之后,我们看到很多单位因未按照《网络安全法》落实等级保护制度及制度之下的各类要求,受到了公安机关的处罚。随着网信执法的开展,各级网信部门也公开了大量处罚案例。
网络安全在总体国家安全观下,我们网络安全是国家安全的一个子集,等级保护制度又是网络安全的一个全面性的基础性的子集,关系着国家安全、社会秩序、公共利益等。在保卫国家安全,维护社会秩序,保护个人利益的基础上,也希望网络安全产业化不断发展,各个老板能够生意兴隆。如果不能做好前者之根本,产业化也将成为空壳,舍本逐末,慢慢走向虚化走向肥皂泡沫,一切都成为泡影。一旦发生网络安全事件,那么《网络安全法》《党委(党组)网络安全工作责任制实施办法》等,追责程序将启动,到那时领导们是否感觉自己蛮亏的?那就需要回顾一下平时是否对网络安全工作真抓实干了?还是撒手掌柜已经习惯了?不能,一接受调查就一问三不知!这个某某负责,那个谁谁负责,就是没有自己该负责的。到时,参加约谈时,或许都不成为合理的解释。
同样,供给侧大谈钱与市场的当下,人人都在抱怨,但是我们的网络安全究竟是一个什么样子,其实很多一线技术参与者,都心知肚明。我们的网络安全还是任重而道远,我们的国家的强大是需要方方面面的强大,网络安全领域需要千千万万个实干的你我他。对我们最低的要求至少是合规,就像生活中不违法。在其位不谋其职,其实就是违法,或许很多单位都一直在违反《网络安全法》中……!
画外音:在《网络安全法》第二十一条 国家实行网络安全等级保护制度。所以,是国家层面实行网络安全等级保护制度,不是哪个部门,也就是说只要是在中华人民共和国境内建设的网络,都应该遵循等级保护制度。百度百科中这样描述国家:国家(外文名:country、state、nation),是政治地理学名词。是江山(领土)、人民、社稷(典章制度)的三合一。从广义的角度,国家指拥有共同领土、政府的社会群体;从狭义的角度,国家是一定范围内的人群所形成的共同体形式。《中国共产党新闻网》转载北京大学国家发展研究院周其仁教授在《湖北日报》报道,对“国家”的描述是:“国家”概念首先是一方领土,生活在国土里的人是“国民”,也是国家之根基。所以,法律又是通过全国人大的产物,等级保护制度也就延伸到国家的每一个角落。
