網路安全大法出台，傳遞了什麼信息？

| 編者按：

當互聯網成為我們生活不可分割一部分的時候，其潛在的網路安全威脅也開始全方位滲透，監管迫在眉睫。那麼，於今年6月1日起正式施行的《中華人民共和國網路安全法》，作為的網路安全基本法，傳遞出哪些重要信息呢？

隨著信息化發展和「互聯網+」時代的到來，網路安全威脅開始不斷向經濟社會的各個層面滲透，網路安全已經成為關係國家安全和發展、關係廣大人民群眾切身利益的重大問題，個人隱私保護、網路攻擊、黑色產業鏈、網路犯罪、網路謠言等極大的阻礙了互聯網、大數據、雲計算等新興科技領域的健康發展。大家耳熟能詳的案例彷彿就發生在昨天：國內高校學生的個人信息泄露，導致即將步入大學的女學生徐玉玉失去生命；美國總統候選人希拉里的郵件泄露，直接影響到了美國大選的進程與結果；雅虎兩次賬戶信息泄露，涉及高達15億的個人賬戶等等。

縱觀過去一段時間，網路攻擊事件有主要四個態勢：一是分散式拒絕服務 (DDoS)規模和數量的激增，主要原因是DDoS工具的自動化和服務化，任何人都能夠以非常小的成本發動攻擊，造成被攻擊者的服務癱瘓；二是勒索軟體暴增，2016年堪稱勒索軟體元年，通過劫持伺服器、智能手機、智能終端、敏感文件等方式勒索美元、比特幣的事件層出不窮，截至2016年第三季度，共檢測出380多萬個惡意樣本，2016全年勒索軟體的非法收入預計超過10億美元。最近著名的WannaCry和Petya病毒更是在全球範圍內大爆發，造成了不可估量的損失；三是商業郵件欺詐攻擊（BCE），據統計，2013年10月至2016年5月間，美國和其他79個國家共發生22143起企業郵件詐騙案件，被騙總金額高達31億美元；四是網路攻擊技術日趨多樣，黑客攻擊已經做到產業化、服務化和普及化，黑客鑽政策、法律、法規的空子，遊離余監管之外，大肆發展黑色產業鏈。

基於此，網路安全的立法迫在眉睫。2016年11月7日，十二屆全國人大常委會高票通過了《中華人民共和國網路安全法》，今年6月1日開始正式實施。這部盼望已久的網路安全基本法，傳遞出哪些重要信號呢？

一、等級保護制度越來越重要。

現如今，諸如門戶網站等直接暴露在互聯網上的網站主要是公司和單位宣傳、辦事的窗口，內部系統種類繁多，而且多半涉及公民的隱私、敏感信息，或者涉及金融、財務等重要業務。而這些網站和系統往往缺乏基礎安全防護，容易導致網站和系統被黑客針對性攻擊、惡意入侵，導致系統被篡改或造成數據泄露。在公安部的主導下，多年以來開展的信息安全等級保護測評工作已經取得顯著成效，開展等級保護測評、安全建設整改的系統越來越多，網路安全整體情況有了一定提升。隨著《網路安全法》的出台，明確了國家實行網路安全等級保護制度。也就是說，各個單位和公司在信息系統建設過程和系統運維過程中，必須考慮系統的重要程度和保護等級，並選擇相關的安全保護措施。

二、關鍵信息基礎設施實行重點保護

現階段，關鍵基礎設施、重點行業信息系統、國家社會層面的重大活動、政府機構的敏感信息，都屬於高級持續性威脅攻擊（APT）的主要目標。《網路安全法》中明確重要行業和領域，以及可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。這就意味著對於公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在等級保護的基礎上需要進行更進一步的關注和重點防護，進行關鍵信息基礎設施重點保護。

三、網路產品、安全產品和服務規範化，符合國家標準

現階段，網路產品、安全產品和網路相關的服務，存在一些不符合國家標準的情況，存在一定的安全隱患。《網路安全法》中明確網路產品、服務應當符合相關國家標準的強制性要求。網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求。在信息化建設過程中，在網路產品採購，尤其是網路關鍵設備、網路安全專用產品等的採購，必須特別關注相關銷售產品是否符合國家標準，是否具有銷售許可，是否由具備資格的機構安全認證合格或者安全檢測符合要求；所選擇的網路服務、安全服務必須有相應的符合國家標準的資質。

四、網信部門統籌協調安全監測預警和信息通報、應急處置等工作

以前，公安部、密碼局、銀監會、衛計委、互聯網應急中心等對各行業的網路安全保障工作基本上處於各自為政，缺乏必要的互相溝通。隨著《網路安全法》的出台，明確了國家網信部門負責統籌協調網路安全工作和相關監督管理工作，明確了網信部門與其他相關網路監管部門的職責分工。在網信部門統籌協調下，公安部、密碼局、銀監會、衛計委、互聯網應急中心等各個監管部門通力合作，保障網路安全。同時，《網路安全法》明確國家建立網路安全監測預警和信息通報制度，國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制。

五、關注網路信息安全

《網路安全法》第四章「網路信息安全」著重闡述了個人信息保護的基本原則和要求，相當於一部小型的個人信息保護法，明確網路運營者建立健全用戶信息保護制度，對網路信息安全、個人信息保護的內容進行了規範。

網路安全正在全面泛化，與業務安全、物理安全、人身安全、意識形態安全、國家安全結合，成為整個人類社會都無法忽視的關鍵問題之一。習近平主席指出：「網路安全為人民、網路安全靠人民，維護網路安全是全社會共同責任，需要政府、企業、社會組織、廣大網民共同參與，共築網路安全防線」。《網路安全法》的出台可謂恰逢其時、眾望所歸，恰到好處地彌補了在網路安全法律法規層面的不足，建立了網路安全防禦的架構、體系、實施、監管等總體布局，使得網路安全有法可依。《網路安全法》以維護網路空間主權和國家安全、社會公共利益以及保護公民、法人和其他組織的合法權益為出發點，以網路安全戰略、網路安全標準體系為頂層設計，以網路產品和服務的強制性要求、網路安全等級保護制度、關鍵信息基礎設施重點保護、網路安全檢測預警和信息通報制度為四個基本點，反映了中央對國家網路安全工作的總體布局，標誌著在網路強國建設過程中邁出了堅實的一步！

作者簡介

徐紹飛，碩士，助理工程師，就職於上海計算機軟體技術開發中心（上海市計算機軟體評測重點實驗室），主要從事信息安全、等級保護測評等工作。

（本文不代表微言創新觀點。歡迎投稿、轉載和商務合作，請聯繫[email protected]）