微信号:Silencetotalk

介绍:"无声"的安全

新形势下国家网络空间安全相关法规现状浅析

2017-10-13 14:43 Phoenix Wu



导读

本文结合当前国家信息化与网络安全形势,在调查研究各行业领域网络安全体系建设现况的基础上,针对自《中华人民共和国网络安全法》发布(即2016年11月7日)前后各行业网络空间安全的战略、法律、规范文件的发布情况进行了总结和分析。



1

我国积极应对网络空间安全新形势



近五年来,我国的网络空间安全形势不容乐观


2013年3月


由美国联邦调查局等机构牵头执行的一项秘密电子监听计划“棱镜”在互联网泄出,某驻美国家机构被爆出在“棱镜计划”监听对象之列,严重威胁了我国国家安全。

2014年4月


微软公司宣布停止提供对XP操作系统的更新维护服务,导致我国上百万台使用XP系统的计算机暴露在信息安全威胁中。

2015年5月


携程公司服务器和APP服务因故障中断长达12个小时,造成重大的经济损失。

2016年4月


20余万条济南地区婴幼儿家庭信息被明码标价公开在网络上售卖,被泄露信息的详细程度令人不寒而栗,引发全社会对信息安全的持续关注。

2017年5月


震惊全球的“wannacry”勒索软件影响了我国境内的上万台计算机,严重影响国家关键信息基础设施的正常运作。


可见,网络大环境下国家各个行业领域的网络化和信息化发展正在受到持续不断的网络安全威胁和挑战。






尽管当前网络空间安全形势不容乐观,但我国始终坚持布局和推进网络强国战略。近年来,以大数据、云计算、移动互联网、物联网等新一代信息技术为支撑,我国结合自身的网络资源优势,支持网络空间结构创新,重点发展“互联网+”、智慧城市、智能制造、数字经济等新型网络形态,致力打造智慧高效、安全可靠的网络运行体系。


在此新形势下,我国的网络化和信息化建设对网络安全技术和体系提出了更高的要求。为此,2016年4月19日的网络安全和信息化工作座谈会(后“4.19讲话”)上提出了“安全是发展的前提,发展是安全的保障”的深刻道理,强调“要加快网络立法进程,完善依法监管措施”。与网络安全与信息化相关的战略、政策、法规、标准等参考规范和指导文件也逐年完善并向全社会发布。




2016年下半年以来,我国积极制定、发布《国家信息化发展战略纲要》、《“十三五”国家信息化规划》、《“十三五”信息化标准工作指南》、《国家标准化体系建设发展规划(2016-2020)》等网络化与信息化纲领性文件。同时,也开始发力将网络空间安全战略、法规和产业指导逐步向全国各省市辐射、落实。





2

《网络安全法》开创网络安全新元年


2016年11月7日,《中华人民共和国网络安全法》(后《网络安全法》)由全国人民代表大会常务委员会发布,并规定于2017年6月1日起施行,为维护国家空间主权、国家安全、人民利益、社会发展提供了重要的法律依据。其中,《网络安全法》强调了国家网络空间主权的保障、关键信息基础设施的保护、关键和敏感数据的保护、国家网络空间安全保障工作实施的方式和个人信息安全保护等内容,为各行各业网络安全保障提出了可操作性规定和可量化性处罚。



《网络安全法》



是我国第一部全面规范国家网络空间安全监督与管理方面的基础性大法,是我国网络空间安全法制建设的重要里程碑,更是当前及今后各行各业开展网络安全标准开发、法制建设和产业保障的关键依据,让我国的网络安全问题从此有法可依、有章可循。


2017年7月,国内首例依据《网络安全法》进行处罚的公开报道案例在广东名为“汕头网警巡查执法”的微信公众号上公布,其后北京、四川、重庆、江苏等多个省市也陆续公布同类案件的报道。不难看出,在《网络安全法》的指导下,全国网络空间安全法治工作如火如荼。



此后数月,国家从宏观层面相继公布了《国家网络空间安全战略》、《网络空间国际合作战略》、《信息产业发展指南》等战略规划和《网络安全技术加强规范》、《关键信息基础设施安全保护条例(征求意见稿)》等法规条例,发布了《网络关键设备和网络安全专用产品目录》、《互联网新业务安全评估管理办法》、《网络产品和服务安全审查办法》、《国家网络安全事件应急预案》等规范性文件,进一步强调了网络空间安全在国家网络化与信息化建设中的重要地位,为国家网络空间安全建设和治理的实施工作提供了强大的法律法规后盾。


可以说,《网络安全法》开创了我国网络安全的新纪元,更是我国信息化发展和网络空间安全建设的新元年。





3

重点行业网络安全战略法规开始细分


为进一步加强各个行业领域内网络安全保障工作的可控性和可操作性,“4.19讲话”中强调,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”,因此应该“加快构建关键信息基础设施安全保障体系”。


此后,在《网络安全法》提纲挈领的作用下,国家针对通信、金融、医疗、工控等国家重点行业领域的信息化和网络安全,又陆续发布了一系列与网络安全相关的政策法规文件(见表1),加速网络安全战略全面布局。此举与美国、加拿大等网络发达国家的网络空间安全推进方式异曲同工,完全符合国际惯例,有助于大力提高我国网络空间安全部署工作的可操作性和可维护性,如明灯一般为我国各个行业领域的网络安全保障与防护工作指明了前进的道路。


行业领域

政策法规

公布来源

公布时间

通信领域

《信息通信网络与信息安全规划(2016-2020)》

国家工信部

2017年1月29日

金融领域

《中国金融业信息技术“十三五”发展规划》

中国人民银行

2017年6月27日

工控领域

《工业控制系统信息安全事件应急管理工作指南》

国家工信部

2017年5月31日

《工业控制系统信息安全防护能力评估工作管理办法》

国家工信部

2017年7月31日

医疗领域

《医疗器械网络安全注册技术审查指导原则》

国家食品药品监管总局

2017年1月20日

电子商务

《电子商务法(草案)》

十二届全国人大常委会第二十五次会议

2016年12月19日

教育领域

《一流网络安全学院建设示范项目管理办法》

中央网信办、

国家教育部

2017年8月8日

标准领域

《移动互联网综合标准化体系建设指南》

国家工信部

2017年7月25日

表1 《网络安全法》发布后重要行业网络安全政策法规



通信领域

国家工信部公布的《信息通信网络与信息安全规划(2016-2020)》以国家总体安全观和网络安全观为指引,从九个不同的方面全面指导通信行业网络与信息安全建设工作,从强化组织机构建设、加强资金保障、建设新型智库、强化人才队伍、加强宣传教育、规划组织实施等6个方面提出了通信领域网络安全保障措施。


金融领域

《中国金融业信息技术“十三五”发展规划》由中国人民银行发布,在确定“十三五”金融业信息技术工作的基础上,提出了下一阶段金融业信息技术发展的重点任务,从不同管理角度全面提出了金融业信息化与网络安全建设的主要任务和实施措施。《规划》全文中有较大篇幅出现了网络安全相关字眼,将网络安全保障与金融行业发展提升到同一个战略层面,奠定了网络安全在金融行业信息化发展中的地位。



工控领域

为贯彻制造业与互联网融合发展战略,应对近年来频频发生的工控安全事件,工信部先后公布了《工业控制系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护能力评估工作管理办法》,提供了工控安全应急管理方法和工控安全防护能力评估步骤、措施,为促进工控安全应急管理工作和工控安全防护能力评估工作规范化、制度化,确保重要工业控制系统安全、平稳运行提供了有力参考。



医疗领域

《医疗器械网络安全注册技术审查指导原则》系我国首个关于医疗器械网络安全的注册技术审查指导原则,该指导原则适用于具有网络连接功能以进行电子数据交换或远程控制的医疗器械产品的注册申报,基于风险管理的方法重点关注医疗器械产品全生命周期过程中网络安全问题,包括医疗器械产品的设计开发、生产、分销、部署和维护。



教育领域

在2016年新增29个网络空间安全一级博士点的基础上,中央网信办联合国家教育部于2017年8月8日公布了《一流网络安全学院建设示范项目管理办法》,要求加大网络安全研究投入,加强网络空间合作和交流,建立网络安全保障人才队伍,在十年内形成4-6所国内外知名的网络安全学院。







4
网络安全政策法规看在全局、不忘细处


针对互联网市场

 

国家坚持“网络安全是整体而不是割裂”的正确网络安全观,采取了绝不忽视、重点把控的态度,依法开展网络空间治理和加强网络内容安全建设。2017年1月15日, 国务院发布《关于促进移动互联网健康有序发展的意见》并指出,应“完善互联网市场准入制度”,强化互联网市场法治保障,完善依法监管措施;“完善司法解释和政策解读,推动现有法律法规延伸适用于移动互联网管理”。



在网络媒体行业

 

中央网信办发布持续发力建设网络内容安全法规体系。《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》已于2017年7月1日正式施行;2017年8月25日,《互联网跟帖评论服务管理规定》、《互联网论坛社区服务管理规定》同步发布,成为规范网络媒体行业网络内容安全的利器。2017年8月,北京市网信办、规划国土委就网络内容问题联合约谈58同城、赶集网、百度等网站,依法加强规范互联网媒体的网络内容安全管理,成为网络安全政策法规在网络媒体行业应用的重要举措。



针对网络娱乐行业

 

在《互联网直播服务管理规定》(2016年11月4日发布)的基础上,国家文化部于2016年12月12日进一步颁布了《网络表演经营活动管理办法》,规定网络表演经营单位应当要求表演者使用有效身份证件进行实名注册,并采取面谈、录制通话视频等有效方式进行核实。随后,国家文化部下发了《关于规范网络游戏运营加强事中事后监管工作的通知》等一系列有力举措,在网络娱乐行业打出又一记强力有效的网络生态整治重拳。



针对网络平台运营行业

 

国家网信部门陆续发布了《互联网论坛社区服务管理规定》、《互联网用户公众账号信息服务管理规定》、《互联网群组信息服务管理规定》等规范文件,强力规范网络平台运营活动,加大对公众舆情、公开发言的正确引导,严厉遏制不良内容造成的公共安全事件的触发。



对于个人信息与数据保护方面

 

国家颁布了《个人信息和重要数据出境安全评估办法》,在以往《刑法》、《民法》等相关法律的基础上,特别关注个人隐私信息与敏感数据的防护,强调全面清理和打击造谣诽谤、电信网络诈骗、攻击窃密、盗版侵权、非法售卖个人信息等违法行为。





5
结语


自《网络安全法》之后,国家发布的一系列网络空间安全政策法规,紧跟国家网络空间发展趋势,立足于国家安全、社会稳定和人民利益,力求在总体战略下从各个重要行业和关键技术落实实施,是保障网络运行安全、数据安全、信息内容安全的有效参考,更是大力提升全民网络安全意识、全面保障各行各业网络安全、加速推进网络空间法治化建设的强心剂。今后一段时间内,我国各个行业领域的网络空间安全防护与保障工作必将在相关法规、标准的不断完善和指引下迅速步入正轨。



本文版权归无声信息所有 转载请联系无声信息


无声信息

做最受信赖的安全服务提供商


 
无声说安全 更多文章 无声信息网站安全监测平台监测报告(10.1-10.8) 《无声说安全》季刊第3期正式上线 态势感知,风云可测 团队动态|无声信息技术服务委员会项目经验分享第二期 网络安全宣传周|无声信息亮相“强化数据安全管理、保护公民个人信息”高峰论坛
猜您喜欢 ASP.NET请求管道、应用程序生命周期、整体运行机制 用户研究如何跟上快速迭代的开发节奏 再见,余额宝! 树莓派新计算模块CM3 【原创】游戏行业数据分析实例篇(下篇)