微信号:Silencetotalk

介绍:"无声"的安全

读完公安部第151号令,单位应该这么做

2018-10-11 16:26 Phx Wu


2018年4月4日起

公安部起草的《公安机关互联网安全监督检查规定》(以下简称《规定》)向社会公开征求意见。

9月5日

经充分调研、广泛征求意见和深入研究论证,《公安机关互联网安全监督检查规定》在公安部部长办公会议上通过。

9月15日

公安部挂网公布第151号令,正式发布《公安机关互联网安全监督检查规定》。



《规定》共五章,含二十九项条款,在《网络安全法》、《反恐怖主义法》等上位法的基础上,进一步明确了公安机关互联网安全监督检查工作重点,强化了各级公安机关互联网安全监督检查工作机制和执法规范,并定于2018年11月1日起施行。


贯彻落实国家网络安全政策法规的更新一直是提升网络安全保障能力不变的法则。作为承载国家重要数据的公共服务机构或存储重要机密信息的企业组织,应该如何解读《规定》并加强自身网络安全建设呢?

如有以下情况要被重点抽查



《规定》第二十九条规定,对互联网服务提供者和联网使用单位的服务未满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。也就是说,具有互联网业务的机构或组织,不管是运营商、信息服务商还是互联网使用单位,只要是具有以上“前科”的,无一例外地都将会是公安机关重点“照顾”的抽查对象。因此,组织或机构应当在合规的基础上,采取多种安全防护措施尽量防止网络安全事件、安全违规事件和违法犯罪案件的发生,否则将会是公安机关的“重点关照对象”。


根据《规定》的要求,抽查的内容无非是合规情况、入网信息、防护措施、管理制度、运营记录、应急流程等,因此单位要提前做好互联网业务的安全规划并落实实施,以备公安机关监督检查。

网络安全防护措施一样都不少



《规定》第十条是网络安全防护工作的重要指导。要开展互联网业务,首先要清楚自身是否在公安机关和运营商备案,是否具备开展联网业务安全的所需的管理制度、操作规程和人员配备,是否按照合规要求实名通讯等。这些都是联网业务正常运行的基本条件。在此基础上还需要采取适当的安全防护技术手段,比如日志存储和审计系统,按照《网络安全法》的规定,关键信息基础设施的日志必须存储六个月以上,等级保护三级要求必须监测、记录、保存网络运行日志。遵守“日志留存”的相关规定,不仅减少了网络犯罪分子的可乘之机,让违法行为有迹可循,通过日志分析和审计也同时能够保障互联网业务运营单位及时发现网络安全隐患,起到一定的安全防护作用。


其次,组织机构需要在网络的不同层面部署防病毒、木马等网络攻击的技术设备,比如防火墙、IDS、WAF等。传统防火墙往往只能针对网络层和传输层进行过滤防护,在应用层的防护功能不足,如果组织机构具有联网的业务应用或者网站,就需要WAF(应用防护墙)来弥补这一缺陷。虽然绝大部分防火墙对非法访问的过滤做得很好,但却不具备IDS那样能够主动分析和检测网络入侵的功能,所以防火墙的被动防御和IDS的主动检测往往要组合部署,构成网络的前两道安全防线。


但是当前已经不再是老三样的年代了,要真正提升网络安防能力,就应该“与时俱进”,采取多手段的技术防护措施,积极应对不断发展的“黑客技术”。国家重要的信息基础设施,需要依法开展信息系统安全等级保护的备案和测评,技术防护措施和手段要按需增加,也可以结合三方专业机构辅助实施加固建设。


重视国家重大活动期间的网络安保



《规定》第十二条规定,在国家重大网络安全保卫任务期间,公安机关对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,可以开展专项安全监督检查。检查内容包括网络安保的工作方案、人员配备,组织是否开展网络安全风险评估并及时采取了有效的风险控制措施,是否具备完备有效的应急处置预案并组织演练,是否采取了必要的网络安全防护措施等。但是,单位也不必对此过于紧张,《规定》也提出互联网安全监督检查可以采取现场检查或者远程检测的方式进行,但不管是通过何种方式,公安机关必须告知被检查对象或者公开检查事项,且不得干扰、破坏被检查对象网络的正常运行。


总之,网络安全不是一蹴而就的短期要求,而是保障重要系统和网络稳定运行的长期目标,要达到真正的安全,就应该定期地安全监测,有计划地安全评估,合理有效地安全运维,有组织的安全应急响应,必要时采取重要时期网防措施和应急机制。只有这样,才能在国家重大活动期间有效保障重要的信息系统。

安全事件处罚不再局限在刑事范畴内









《规定》要求,互联网服务提供者和联网使用单位应当积极配合本规定的各项工作,必须遵守《网络安全法》、《反恐怖主义法》和治安管理条例等法律规章,否则面临的将会是责令整改、依法约谈、关停网站、吊销执照,甚至是承担相应的法律责任。值得注意的是,《规定》提出只要是造成个人信息泄露的,一定会受到相应的处罚:不构成犯罪的,将面临巨额的罚款或严重的行政处罚;构成犯罪的,要依法追究刑事责任。


也就是说,互联网服务提供者所收集和存储的个人信息不管是出于何种原因的泄露,只要是不合规合法的行为造成泄露,那么一定会有处罚制裁。所以,单位在采集、存储和使用个人信息前一定要三思而后行,依法循章开展网络安保工作。


  • 声明:本文内容仅代表个人原创观点。


长按识别二维码阅读无声季刊


 
无声说安全 更多文章 无声信息一周安全资讯:公安部发布公安机关互联网安全监督检查规定 无声信息季刊:《无声说安全》2018年 第3期 正式上线 分享图片 喜讯|无声信息被授予国家信息安全漏洞库(CNNVD)技术支撑单位 无声信息一周安全资讯:Adobe发布Reader和Acrobat重要安全更新
猜您喜欢 如何提高芝麻信用分? 【学习分享】Liblinear之信赖域牛顿法 成都活动|第24届BQConf 中国软件质量大会 大数据初创公司与设计思考方法 Android系统篇之----免root实现Hook系统服务拦截方法技术