第四章 网络运行安全制度一般规定(上)——《网络安全法合规讲义》连载4
连载目录
连载目录
4第四章 网络运行安全制度一般规定(上)
5第四章 网络运行安全制度一般规定(下)
6第五章 关键信息基础设施运行安全制度
7第六章 个人信息保护制度(上)
8第六章 个人信息保护制度(中)
9第六章 个人信息保护制度(下)
10第七章 违法信息监管制度
11第八章 数据出境安全管理制度
12第九章 网络安全监测预警与应急处置制度
13第十章 网络安全法律责任制度
第四章 网络运行安全制度一般规定(上)
网络安全法第三章网络运行安全第一节一般规定,包含第二十一条至第三十条,主要涉及网络安全等级保护制度、网络运营者义务、网络产品和网络服务的安全保障、网络安全服务活动、禁止危害网络安全的行为、网络安全合作和执法中获取信息的用途限制等。本章讨论网络运行安全制度的一般规定。
网络安全法第三章网络运行安全第二节关键信息基础设施的运行安全的内容将在另外两章关键信息基础设施运行安全制度和数据出境安全管理制度中讨论。
第一节 网络安全等级保护制度
一、网络安全等级保护制度和信息安全等级保护制度
网络安全法第二十一条规定:
“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。”
网络安全法规定的网络安全等级保护制度是网络安全领域的一项重要制度,它脱胎于先前早已实行多年的信息安全等级保护制度。
1994年国务院颁布的《计算机信息系统安全保护条例》规定:公安部主管全国计算机信息系统安全保护工作。计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
此后,信息安全等级保护制度逐步完善,一系列国家标准相继发布实施。
二、网络安全等级的划分与保护
(一)等级划分
1999年发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)规定了计算机信息系统安全保护能力的五个等级:第一级为用户自主保护级;第二级为系统审计保护级;第三级为安全标记保护级;第四级为结构化保护级;第五级为访问验证保护级。该标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2007年发布的《信息安全等级保护管理办法》第七条规定:
“信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。”
公安部于2018年6月27日公布《网络安全等级保护条例(征求意见稿)》,其中关于网络安全等级的划分与信息安全等级的划分类似,细节描述有所修改。关于网络分为五个安全保护等级的第十五条规定如下:
“根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。”
《信息安全等级保护管理办法》第八条规定:
“信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。”
(二)等级保护
《网络安全等级保护条例(征求意见稿)》中的相关规定如下:
关于网络运营者一般安全保护义务的第二十条规定:“网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。”
关于网络运营者特殊安全保护义务的第二十一条规定:“第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。”
三、标准体系简介
为代替《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010),2019年8月30日发布《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019),2020年3月1日起实施。
为顺应网络安全法中相关用语的变化,新版本与老版本相比的主要技术变化包括:(1)标准名称由《信息安全技术 信息系统安全等级保护实施指南》变更为《信息安全技术 网络安全等级保护实施指南》。(2)全文将“信息系统”调整为“等级保护对象”或“定级对象”,将国家标准《信息系统安全等级保护基本要求》调整为《网络安全等级保护基本要求》。此外还有其它调整。
(一)定级
先前已有《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)。2017年5月8日公安部发布并实施公共安全行业标准《信息安全技术 网络安全等级保护定级指南》(GA/T 1389-2017)。2020年4月28日发布《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020),2020年11月1日起实施。新版本规定了网络安全等级保护的定级方法和定级流程,以指导网络运营者开展等级保护对象的定级工作。
与《信息安全技术 网络安全等级保护定级指南》相关的标准包括:
——信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019);
——信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019);
——信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019);
——信息安全技术 网络安全等级保护测评过程指南(GB/T 28449-2018)。
(二)保护
2019年5月10日《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)正式发布,2019年12月1日实施,用以替代《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008),后者在过去发挥过非常重要的作用。该标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求(云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求)。该标准适用于指导分等级的非涉密对象的安全建设和监督管理。对第五级等级保护对象的安全要求则不在该标准中描述。
(三)测评
安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测评估的活动。
等级测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对等级保护对象的安全保护能力进行科学公正的综合评判过程。与等级保护测评相关的标准包括GB/T 28448《信息安全技术 网络安全等级保护测评要求》,GB/T 28449《信息安全技术 网络安全等级保护测评过程指南》。
2019年5月10日《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)正式发布,2019年12月1日实施,用以替代《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448-2012)。该标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。该标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全测评要求,所以不在该标准中进行描述。
第二节 网络运营者义务
一、落实等级保护制度确保运行安全
(一)相关规定
网络安全法明确规定网络运营者负有实施网络安全等级保护制度的义务并规定了相应的处罚措施。
第二十一条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。”
第五十九条规定,未落实网络安全等级保护义务的,“由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
《网络安全等级保护条例(征求意见稿)》关于网络运营者的网络安全保护义务有具体规定。
(二)实务操作
网络安全法第二十一条第一项规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。因此,确定网络安全负责人是网络运营者的法定义务;违反者,将受到网络安全法第五十九条规定的处罚。
关于网络安全负责人的任职条件,网络安全法第六十三条第三款给出了禁止性规定:违反该法第二十七条关于禁止危害网络安全行为的规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
在实务中,网络运营者应当依据相关国家标准依法开展相应等级的网络安全等级保护的工作,可以聘请有资质的评测机构协助落实。
二、身份管理义务
(一)相关规定
我国的网络用户身份管理制度建设由来已久。
1994年4月20日,北京中关村地区教育与科研示范网络工程成功实现了与互联网的全功能接入。1997年实施的《计算机信息网络国际联网安全保护管理办法》第十条第五项规定:“建立计算机信息网络电子公告系统的用户登记和信息管理制度”。
2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第六条规定:“网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。”
2016年实施的《反恐怖主义法》第二十一条规定:“电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或者拒绝身份查验的,不得提供服务。”
2017年实施的网络安全法第二十四条第一款规定:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
(二)实务操作
从我国网络用户身份管理制度的上述各项规定可以看出,对网络用户的身份管理义务是由网络运营者承担的。网络运营者应当要求用户提供真实身份信息;用户不提供真实身份信息的,网络运营者不得为其提供相关服务。网络运营者应当按照“后台实名、前台自愿”的原则,对用户进行真实身份信息认证。
落实网络用户身份管理制度也是网络运营者履行网络安全法第二十八条规定的义务——“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”——的基础和前提。
三、应急处置义务
(一)相关规定
《国家网络安全事件应急预案》第1.3条将网络安全事件定义为由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
关于网络运营者防范和应对网络安全事件的义务,网络安全法第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
《突发事件应急预案管理办法》第二条将应急预案定义为各级人民政府及其部门、基层组织、企事业单位、社会团体等为依法、迅速、科学、有序应对突发事件,最大程度减少突发事件及其造成的损害而预先制定的工作方案。
《突发事件应对法》第十八条规定:“应急预案应当根据本法和其他有关法律、法规的规定,针对突发事件的性质、特点和可能造成的社会危害,具体规定突发事件应急管理工作的组织指挥体系与职责和突发事件的预防与预警机制、处置程序、应急保障措施以及事后恢复与重建措施等内容。”
中央网信办2017年1月10日印发实施《国家网络安全事件应急预案》。该文件包括总则、组织机构与职责、监测与预警、应急处置、调查与评估、预防工作、保障措施、附则等内容。该文件的编制目的是建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
该文件的适用范围是网络安全事件。网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。具体为:
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
该文件适用于网络安全事件的应对工作。其中,有关信息内容安全事件的应对,将另行制定专项预案。
该文件将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
该文件确定的工作原则是:坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
该文件确定的领导机构与职责是:在中央网络安全和信息化领导小组的领导下,中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工信部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。
(二)实务操作
网络运营者应当根据有关规定和国家标准,从下列方面做好应对网络安全事件的工作:
一、制定应急预案。
二、应急预案的演练。
三、应急预案的实施。
四、事件的报告。
五、调查与评估。
四、技术支持和协助义务
网络安全法第二十八条规定:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”
第三节 网络产品和网络服务的安全保障
一、网络产品和网络服务提供者的义务
网络安全法第二十二条规定:
“【一般安全义务】网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
【安全维护义务】网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
【用户信息保护义务】网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
二、网络关键设备和安全专用产品的安全认证、检测
网络安全法第二十三条规定:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”
(一)认证、检测的范围
网络安全法第二十三条所说的安全认证、安全检测是对网络关键设备和网络安全专用产品的要求。
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)第4.2项“角色和职责”中的第f项规定:网络安全产品供应商负责按照国家网络安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照等级保护相关要求销售网络安全产品并提供相关服务。
国家网信办、工信部、公安部、国家认证认可监督管理委员会2017年6月1日发出《关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》,公布《网络关键设备和网络安全专用产品目录(第一批)》,明确应进行安全认证或安全检测的15类网络关键设备和网络安全专用产品。其中列出的网络关键设备包括:1路由器、2交换机、3服务器(机架式)、4可编程逻辑控制器(PLC设备);列出的网络安全专用产品包括:5数据备份一体机、6防火墙(硬件)、7WEB应用防火墙(WAF)、8入侵检测系统(IDS)、9入侵防御系统(IPS)、10安全隔离与信息交换产品(网闸)、11反垃圾邮件产品、12网络综合审计系统、13网络脆弱性扫描产品、14安全数据库系统、15网站恢复产品(硬件)。
(二)认证、检测的方式
2018年3月15日,国家认证认可监督管理委员会、工信部、公安部、国家网信办发布《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,共有16家机构入选该名录。
2018年5月30日,国家认证认可监督管理会、国家网信办发布《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》。
为落实网络安全法第二十三条的要求,围绕国家网信办、工信部、公安部、国家认证认可监督管理委员会发布的《网络关键设备和网络安全专用产品目录(第一批)》,安标委秘书处组织测评机构、厂商及相关专家,先后于2019年5月16日和2019年8月14日发布《网络关键设备和网络安全专用产品相关国家标准要求(征求意见稿)》和《网络关键设备和网络安全专用产品相关国家标准要求(第二版征求意见稿)》,旨在为15类网络关键设备和网络安全专用产品的安全认证检测提供标准支撑。2019年6月4日,工信部发布《网络关键设备安全检测实施办法(征求意见稿)》。这些征求意见稿具体规定了认证、检测的相关国家标准和实施办法。
