信息化觀察網(wǎng)

還有兩個(gè)月時(shí)間，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》就要正式實(shí)施?！毒W(wǎng)絡(luò)安全法》首先對(duì)“網(wǎng)絡(luò)（Cyber）”進(jìn)行了重新定義，是指“由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)”，而“網(wǎng)絡(luò)安全（Cyber Security）”，是指“通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力”。

從宏觀的層面來(lái)講，這意味著網(wǎng)絡(luò)安全同國(guó)土、經(jīng)濟(jì)安全等一樣成為國(guó)家安全的一個(gè)重要組成部分；從小的方面來(lái)講，意味著網(wǎng)絡(luò)運(yùn)營(yíng)者（指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者）需要擔(dān)負(fù)起履行網(wǎng)絡(luò)安全的責(zé)任。談到法律，我們常說(shuō)到一個(gè)詞，“有法可依”，《網(wǎng)絡(luò)安全法》的實(shí)施意味著那些涉及到網(wǎng)絡(luò)的運(yùn)營(yíng)主體如果對(duì)安全不重視甚至出現(xiàn)影響較大的事故，將會(huì)受到法律的處罰。

為什么強(qiáng)調(diào)“處罰”這個(gè)詞？因?yàn)殡S著過(guò)去二十年中國(guó)信息技術(shù)及互聯(lián)網(wǎng)的發(fā)展，就以個(gè)人信息泄露舉例，大規(guī)模的個(gè)人隱私數(shù)據(jù)泄露導(dǎo)致的經(jīng)濟(jì)損失和社會(huì)影響越來(lái)越大，但往往這樣的事情發(fā)生了就過(guò)去了，責(zé)任方似乎不痛不癢。《網(wǎng)絡(luò)安全法》的落地就是對(duì)這樣的事情說(shuō)“不”，安全事故一旦發(fā)生，相關(guān)責(zé)任主體不再是“事不關(guān)己高高掛起”，而是要受到法律的懲治，進(jìn)而降低甚至避免安全事故的發(fā)生。

所以，無(wú)論對(duì)于信息技術(shù)服務(wù)商還是網(wǎng)絡(luò)運(yùn)營(yíng)的企事業(yè)單位來(lái)說(shuō)，需要加強(qiáng)安全管理與防范，發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的安全隱患和不足，從而滿足國(guó)家法律法規(guī)的要求。更重要的是，通過(guò)提高信息系統(tǒng)的安全防護(hù)水平是對(duì)用戶、社會(huì)的一種責(zé)任，尤其對(duì)于市場(chǎng)企業(yè)來(lái)說(shuō)，重視安全也是增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力的關(guān)鍵。

有必要強(qiáng)調(diào)的是，《網(wǎng)絡(luò)安全法》不只是對(duì)“事后”的處罰，更是將預(yù)防安全風(fēng)險(xiǎn)提高到至關(guān)重要的地位。在法律層面如何規(guī)范安全預(yù)防？等級(jí)保護(hù)制度就是其重要的衡量指標(biāo)?！毒W(wǎng)絡(luò)安全法》第二十一條明確規(guī)定，“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。

企業(yè)該如何滿足《網(wǎng)絡(luò)安全法》和等保要求，在談這個(gè)話題前，我們?cè)賮?lái)用現(xiàn)實(shí)案例說(shuō)明它對(duì)我們身邊一些熟悉的行業(yè)帶來(lái)的影響。

《網(wǎng)絡(luò)安全法》和等保對(duì)行業(yè)影響

就在前幾日，3月16日下午，各省市公安部門組織收聽收看全國(guó)2017年網(wǎng)絡(luò)安全信息通報(bào)暨公安機(jī)關(guān)網(wǎng)絡(luò)安全執(zhí)法檢查工作電視電話會(huì)議。

據(jù)了解，此次執(zhí)法檢查自今年3月至9月在全國(guó)各地開展，為期6個(gè)月，以黨政機(jī)關(guān)、重要行業(yè)、國(guó)有企事業(yè)單位、大型信息技術(shù)和互聯(lián)網(wǎng)企業(yè)為重點(diǎn)保衛(wèi)目標(biāo)，將采取自查自評(píng)、技術(shù)檢測(cè)、現(xiàn)場(chǎng)檢查、跟蹤督辦、復(fù)合檢測(cè)相結(jié)合的方式，全面梳理摸排國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，檢測(cè)排查并督促整改網(wǎng)絡(luò)安全重大漏洞隱患、風(fēng)險(xiǎn)和突出問(wèn)題，加大行政執(zhí)法力度，保障各地網(wǎng)絡(luò)安全。

此處除了針對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施、涉及國(guó)家安全與社會(huì)民生行業(yè)的重點(diǎn)檢查，還包括針對(duì)一些新興行業(yè)在安全法和等?？蚣芟峦瑯記](méi)有例外。隨著一些新興互聯(lián)網(wǎng)業(yè)務(wù)的興起并越來(lái)越普及，相關(guān)的監(jiān)管部門開始意識(shí)到需要在業(yè)務(wù)監(jiān)管過(guò)程中加強(qiáng)網(wǎng)絡(luò)安全的監(jiān)管。其中最為典型的是網(wǎng)貸、網(wǎng)約車和直播三大行業(yè)，在各自的行業(yè)監(jiān)管要求中都特別強(qiáng)調(diào)了等級(jí)保護(hù)的要求。

首先以網(wǎng)貸行業(yè)為例，2016年8月17日，中國(guó)銀監(jiān)會(huì)、工業(yè)和信息化部、公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合制定并發(fā)布了《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》。其中第十八條規(guī)定：“網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試”。2017年3月，網(wǎng)傳北京監(jiān)管部門對(duì)北京多家網(wǎng)貸平臺(tái)進(jìn)行了檢查，并下發(fā)《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)事實(shí)認(rèn)定及整改要求》，其中一條就是“未開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試”。

再來(lái)看網(wǎng)約車行業(yè)，2016年7月，交通運(yùn)輸部制定了《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》，并定于11月1日正式執(zhí)行，文件中要求網(wǎng)約車平臺(tái)提供“依法建立并落實(shí)網(wǎng)絡(luò)安全管理制度和安全保護(hù)技術(shù)措施的證明材料”； 11月3日，交通運(yùn)輸部聯(lián)合其他5個(gè)部委出臺(tái)了《關(guān)于網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)者申請(qǐng)線上服務(wù)能力認(rèn)定工作流程的通知》，要求申請(qǐng)從事網(wǎng)約車經(jīng)營(yíng)的，應(yīng)向企業(yè)注冊(cè)地相應(yīng)出租汽車行政主管部門提交線上服務(wù)能力材料，其中安全方面的具體內(nèi)容包括：“網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告、專家評(píng)審意見(jiàn)、備案證明及測(cè)評(píng)報(bào)告”。

同樣在直播行業(yè)，2016年11月4日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《互聯(lián)網(wǎng)直播服務(wù)管理規(guī)定》，即日起執(zhí)行。其中第七條要求“互聯(lián)網(wǎng)直播服務(wù)提供者應(yīng)當(dāng)落實(shí)主體責(zé)任，配備與服務(wù)規(guī)模相適應(yīng)的專業(yè)人員，健全信息審核、信息安全管理、值班巡查、應(yīng)急處置、技術(shù)保障等制度”。

在此只是列舉這三大行業(yè)為代表的互聯(lián)網(wǎng)新興業(yè)務(wù)，其實(shí)等保的適用范圍包括境內(nèi)的所有計(jì)算機(jī)系統(tǒng)，換句話說(shuō)沒(méi)有哪個(gè)行業(yè)能逃避責(zé)任和監(jiān)管。所以，等級(jí)保護(hù)該做嗎？面對(duì)這個(gè)問(wèn)題，答案無(wú)疑是肯定的。企事業(yè)單位要做得是從系統(tǒng)定級(jí)、系統(tǒng)備案、等保測(cè)評(píng)、建設(shè)整改等開展一系列工作。

但是廣大新興互聯(lián)網(wǎng)行業(yè)從業(yè)者對(duì)等級(jí)保護(hù)要求是非常陌生的，大多數(shù)中小平臺(tái)也處于業(yè)務(wù)高速發(fā)展的過(guò)程中，安全建設(shè)相對(duì)較為滯后，也難以滿足等級(jí)保護(hù)的要求。這時(shí)候該怎么辦？也許又有人出了“點(diǎn)子”，因?yàn)樾屡d的行業(yè)或中小平臺(tái)大多也是采用的新興信息服務(wù)，比如云?！澳堑缺Ｍ瑯咏唤o云服務(wù)商吧！”實(shí)則不然，即使采用了云，這個(gè)責(zé)任也不可能甩出去。

根據(jù)等?！罢l(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，依據(jù)GB/T31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全管理指南》中的責(zé)任分擔(dān)模型，只要這個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)不是由云服務(wù)商直接提供的，云上用戶都需要對(duì)這個(gè)應(yīng)用系統(tǒng)負(fù)責(zé)，對(duì)這個(gè)系統(tǒng)和數(shù)據(jù)的安全負(fù)責(zé)。阿里云構(gòu)建的“等保合規(guī)生態(tài)”可以為云上租戶落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提供一站式服務(wù)。

云端的等保測(cè)評(píng)

以中國(guó)最大云服務(wù)商阿里云為例，2016年10月14日，阿里云宣布完成公安部組織的等級(jí)保護(hù)標(biāo)準(zhǔn)和云計(jì)算等級(jí)保護(hù)新標(biāo)準(zhǔn)試點(diǎn)示范工作，成為全國(guó)首家通過(guò)國(guó)家級(jí)權(quán)威測(cè)評(píng)的云計(jì)算服務(wù)商。其中公共云平臺(tái)、電子政務(wù)云平臺(tái)、大數(shù)據(jù)平臺(tái)等五大系統(tǒng)通過(guò)等級(jí)保護(hù)三級(jí)備案、測(cè)評(píng)，金融云平臺(tái)通過(guò)等級(jí)保護(hù)四級(jí)的備案、測(cè)評(píng)。

不過(guò)，雖然阿里云通過(guò)了等級(jí)保護(hù)測(cè)評(píng)，并不代表云上租戶的系統(tǒng)滿足等保的要求。云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)，在最新GB/T31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全管理指南》和GB/T22239.2《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第二部分：云計(jì)算安全擴(kuò)展要求》中明確了不同服務(wù)模式下云服務(wù)方和云租戶的安全管理責(zé)任主體，文末可參考以IaaS模式為例，云服務(wù)方與云租戶的責(zé)任劃分。

那么，企業(yè)如果將系統(tǒng)部署在云上，如何才能快速完成云上系統(tǒng)的等保合規(guī)？在此方面，阿里云的做法值得稱贊，為了解決阿里云上系統(tǒng)能夠快速滿足等保合規(guī)的需求，阿里云通過(guò)建立“等保合規(guī)生態(tài)”，聯(lián)合阿里云的安全咨詢合作機(jī)構(gòu)、各地測(cè)評(píng)機(jī)構(gòu)和監(jiān)管部門，提供一站式、全流程的等保合規(guī)解決方案。在“等保合規(guī)生態(tài)”中，阿里云提供云安全產(chǎn)品和服務(wù)，咨詢廠商提供全流程技術(shù)支撐和咨詢服務(wù)，測(cè)評(píng)機(jī)構(gòu)提供測(cè)評(píng)服務(wù)，公安機(jī)關(guān)負(fù)責(zé)備案審核和監(jiān)督檢查。

阿里云“等保合規(guī)生態(tài)”方案

阿里云建立等保合規(guī)生態(tài)的目的，可以希望幫助用戶迅速找到等保相關(guān)的各方機(jī)構(gòu)，并快速進(jìn)行項(xiàng)目實(shí)施。在等保實(shí)施每個(gè)階段，由咨詢廠商、阿里云協(xié)助運(yùn)營(yíng)單位完成相關(guān)工作，最后接受測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)，同時(shí)接受公安機(jī)關(guān)的監(jiān)管。

所以，即使實(shí)施等保測(cè)評(píng)并不是一件簡(jiǎn)單的工作，對(duì)于很多新興行業(yè)也面臨經(jīng)驗(yàn)不足，但是如果是云的用戶，這項(xiàng)工作在例如阿里云等云服務(wù)商的支持下，所有的等保合規(guī)工作并不難于去完成。難的是，在如今《網(wǎng)絡(luò)安全法》和等保框架下，企業(yè)要轉(zhuǎn)變過(guò)去對(duì)安全邊緣化的思路，從而重視安全并規(guī)避風(fēng)險(xiǎn)。

附IaaS模式下云服務(wù)方與云租戶的責(zé)任劃分

點(diǎn)擊查看阿里云等級(jí)保護(hù)安全合規(guī)方案：http://click.aliyun.com/m/11851/