摘要:互联网的普及促使网络已经深度融入到经济社会生活的方方面面, 与此同时个人信息泄露、网络诈骗、网络攻击等安全事件频发, 加强网络安全管理就显得十分必要。本文简要介绍了《中华人民共和国网络安全法》的内容, 分析了《中华人民共和国网络安全法》对网络管理的影响。
关键词:《中华人民共和国网络安全法》; 网络管理; 安全措施;
0前言
互联网科技的迅猛发展推动了我国网络的普及率和普及面迅速提高, 基于网络的创新蓬勃发展, 越拉越多的业务正在互联网化, 网络已经深度融入到经济社会生活的方方面面。与此同时, 个人信息泄露、网络诈骗、网络攻击等安全事件频发, 加强网络安全管理对维护我国网络整体安全就显得十分必要。
针对我国网络安全形势的新变化, 我国于2016年11月7日出台了《中华人民共和国网络安全法》 (以下简称《网络安全法》) .这部法律将近些年来一些成熟的好做法通过条文形式法律化, 同时为未来的制度创新做了指导性原则, 为加强我国的网络安全管理、化解网络风险、保障网络健康运行提供了切实可行的法律保障。
1《网络安全法》概述
《网络安全法》于2017年6月1日起正式实施, 全文共7章79条, 明确了网络空间主权维护、网络安全与信息化发展并重、网络安全综合治理、网络安全重点保护四项原则, 建立了国家网信部门、电信、公安等部门依法履行安全保护和监督管理的管理体制, 确立 (或重申) 了网络安全等级保护、网络产品和服务管理、网络实名、个人信息保护、网络信息和应用管理、关键信息基础设施保护 (含国家安全审查、个人信息和重要数据境内存储) 、监测预警和应急处置七大制度, 规定了执法协助、危害行为规制、责任追究三大要求, 形成了网络自身保护与网络服务保护相结合、网络技术安全与内容安全相结合、网络生命周期管控与网络供应链条管控相结合、教育查处和信用惩戒相结合的制度体系。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律, 从宏观层面明确了网络安全同国土安全、经济安全等一道属于国家安全的重要组成部分, 从微观层面规定了网络使用者 (即使用网络的个人和组织) 、网络运营者 (即网络的所有者、管理者和网络服务提供者) 、网络产品提供者 (即网络关键设备和网络安全专用产品生产商) 和网络监管者 (即国家网信部门、电信、公安等部门) 等对象必须履行的责任和义务。
2《网络安全法》带来的影响
《网络安全法》是我国在网络安全管理方面的基本法, 体现了国家加大网络安全管理的决心, 为组织和个人安全、合法使用网络提供了法律支持, 对各组织的网络管理带来深厚的影响。
2.1 适用范围宽广
我国各组织 (包括国家机关和企事业单位, 以下同) 的信息化建设始于上世纪九十年代, 经过这么多年的持续建设, 已基本完成了网络化改造。虽然各家的信息化网络的类型规模、受众范围、服务内容千差万别, 但按照《网络安全法》第二条"在中华人民共和国境内建设、运营、维护和使用网络, 以及网络安全的监督管理, 适用本法。"之规定, 只要是在我国境内利用计算机网络 (无论是内部网还是互联网) 从事活动的组织, 都要受到该部法的约束, 都要遵守法律规定的权利和义务。
对于各组织而言, 受到《网络安全法》的约束是双重的, 一方面各组织本身作为一个对象 (网络运营者) 要承担相应的网络管理职责, 另一方面各组织的内部人员作为一个用户 (网络使用者) 要承担相应的网络使用职责。而作为各组织 (包括国家机关和企事业单位) 的主要管理人员及信息化从业人员 (尤其是网管员) 兼具二者之责, 承担不履行法律规定的责任与义务时受到的处罚会比个人用户的要更加细化, 也更加严重。
2.2 安全观念转变
长期以来, 很多组织重点关注的往往只是信息安全或者说是信息内容的安全性, 对于网络安全缺乏足够的重视, 虽说网络安全衍生于信息安全, 二者有一定的共通点, 但在涵盖范围、管理模式、技术手段上还是有着较大的差异。《网络安全法》明确地将信息安全提升为网络安全, 就是为了促进全员的安全观由信息安全向网络安全转变。
《网络安全法》还将现行有效的网络安全监管体制法制化, 明确了网信部门与其他相关网络监管部门在网络安全保护和监督管理工作上的职责分工, 规定了国家相关部门要对网络运营者在网络安全保护工作上进行必要的检查。只要在检查中发现网络运营者存在不履行法律规定的安全保护义务的问题, 不管当时是不是出现了网络安全事故, 都会被视同为违法, 会要受到法律处罚。反而言之, 如果严格执行了法律规定的安全保护制度和安全保护义务, 那么即使是发生了网络安全事故, 也会受到法律的保护。这就彻底改变了长久以来"不出事就是安全"的安全评判标准。
2.3 管理对象明确
《网络安全法》的立法宗旨就是为了保障网络安全, 做为网络的所有者、管理者和网络服务提供者的网络运营者是确保网络安全的主体, 为此约束网络运营者的法律责任和义务较为详细、全面。
按照《网络安全法》规定, 只要建有信息网络的组织就属于网络运营者, 就有保护信息基础设施的义务, 就有应用网络安全技术的责任, 就有加强网络安全管理的要求, 就有实施网络安全等级保护制度的必要。
2.4 数据保护强化
针对个人信息泄露、网络诈骗犯罪等现象, 《网络安全法》从"个人信息、用户信息和商业秘密"三个方面规定加强数据保护的责任和义务, 规范这些数据 (特别是个人信息) 的收集、使用和管理规范和责任, 将各组织单纯的"数据安全"扩展到范围更广的"个人隐私保护".
任何一个信息系统内都会存储各类数据, 这些数据有从使用者处采集到的, 有通过数据交换得到的, 有自身运算解析后产生的, 也有历史存积遗留下来的。而这些数据的管理责任属于该信息系统的使用者和拥有者, 因此对于任何一个拥有信息系统的组织, 都需要按照《网络安全法》相关条款之规定严格数据收集规程, 规范数据操作流程, 强化数据保护措施。
3《网络安全法》应对措施
《网络安全法》出台后, 国家肯定还会继续推出相应的实施细则, 进一步明确国家对网络安全管理的要求和措施。只要在我国境内的各组织, 都有依法加强内部网络管理的责任和要求, 因此要积极采取措施来落实《网络安全法》在组织内部的实施。
3.1 加强普法宣传教育工作
当前各组织都建有大小不一的网络, 由于人员水平等客观因素使得组织内部潜存着违反《网络安全法》的隐患, 需要加强《网络安全法》的宣传教育, 做到全员知晓、人人明白, 才有益于增强员工网络安全意识, 提高员工网络安全知识水平, 进而才能消除隐患, 规避风险。
3.2 合规修订内部规章制度
各组织在进行信息化建设过程中, 都会制定相应的信息化管理制度。这些制度基本上是先于《网络安全法》之前出台的, 所以存在不足之处在所难免。按照法律合规性要求, 对组织内部的规章制度对照法条进行修订和完善, 并严格监督执行, 有益于进一步增强内部安全管理, 提高网络和信息安全。
3.3 依法调整网络安全管理工作
《网络安全法》从网络产品和服务安全、网络运行安全、网络数据安全、网络信息传播安全和网络安全监测等方面来指导和规范网络运营者的网络安全管理工作。各组织都要按照法条对自身的网络安全管理工作进行梳理, 查漏补缺, 改进提高, 做到"遵法、守法、依法"工作, 避免法律风险。
3.4 合理定义个人信息数据性质
依照《网络安全法》第七十六条第五款" (五) 个人信息, 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。"之规定, 当前各组织内的信息系统中都不同程度地存储有各类个人信息。此类个人信息根据所属的信息系统的等级不同, 重要性程度也不尽相同, 对于不够"机密"级别的可将其归类为"敏感信息"加以管理。
4 结束语
网络安全始终遵循两大规则, 一是"防护技术永远滞后于攻击手段", 二是"安全状态决定于应用状态".这两大规则告诉我们, 任何安全设施都不可能一劳永逸, 只要外部环境变化了, 应用环境变化了, 所有防护措施都会大打折扣。所以, 我们所做的每一项工作都不可能一劳永逸地保证"不出事".
因此, 对照《网络安全法》中的法律义务和国家有关规定, 坚持"整体、集成、主动"的网络安全观念, 按照《网络安全法》中的安全要求, 强化网络安全管理工作, 定能有效确保网络安全。
参考文献
[1] 《中华人民共和国网络安全法》, http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm
[2] 陈启安, 滕达, 申强网络空间安全技术基础
[3] 齐爱琴网络安全原理与案例分析