《網路安全法》實施中國資訊保安行業進入新時代

2017年6月1日，不僅僅是一年一度的兒童節，還是《中華人民共和國網路安全法》正式生效的日子。從6月1日起，我國網路安全工作有了基礎性的法律框架，針對網路亦有了更多法律約束，中國資訊保安行業進入新的時代。

《網路安全法》實施 中國資訊保安行業進入新時代

隨著網際網路技術及其應用的發展，以大資料為代表的資料密集型技術將成為新時代技術變革的基礎。但與此同時，資料的進一步集中和資料量的增加，使得安全防護面臨巨大挑戰。近日，記者參加2017中國國際大資料產業博覽會期間，許多與會專家開口必談勒索病毒、維基解密、斯諾登等網路安全事件。大資料正以席捲的姿態深刻改變人們的生產和生活，然而，資訊保安還沒有得到完全有效的解決，這成為大資料時代發展的一個重要瓶頸，也備受到各方關注。

我國網際網路從一條網速僅64Kbps的網線，到如今開展5G技術試驗，實現了高達70Gbps的資料速率，並參與到5G國際標準的制訂中——也就是最近20年的事情。

網際網路高速發展的同時，網路安全的威脅也愈發突出。普華永道2016年一項調查顯示，2014~2016年期間，我國內地和香港公司探測到的網路攻擊數量平均增長了969%。在接受調查的440家中國公司中，每家公司日均遭受攻擊超過7次，相比之下，全球平均水平近兩年來卻出現3%的下滑。

現在，隨著《中華人民共和國網路安全法》在6月1日正式實施，針對網路亦有了更多法律約束。《網路安全法》共有七章七十九條，內容十分豐富，具有六大突出亮點，一是明確了網路空間主權的原則；二是明確了網路產品和服務提供者的安全義務；三是明確了網路運營者的安全義務；四是進一步完善了個人資訊保護規則；五是建立了關鍵資訊基礎設施安全保護制度；六是確立了關鍵資訊基礎設施重要資料跨境傳輸的規則。

強調關鍵資訊基礎設施安全

《網路安全法》第1條“立法目的”開宗明義，明確規定要維護我國網路空間主權。

記者注意到，《網路安全法》第三章用了一半的篇幅強調要保障關鍵資訊基礎設施的執行安全。其中，“第三十一條”可謂《網路安全法》一大亮點，要求建立關鍵資訊基礎設施安全保護制度，重點強調關鍵資訊基礎設施安全和網路詐騙的懲治。關鍵資訊基礎設施作為金融、能源、電力、通訊、交通等領域執行的神經中樞，與國計民生息息相關，是網路安全的重中之重。近年來，各國因關鍵資訊基礎設施被攻擊而遭受重大損失的事件層出不窮。

在業內人士看來，當資訊化建設從政治、軍事逐漸滲透至民生、經濟、工業、公共服務等領域，並擔當重要基礎設施角色，國家意識到，如果這些領域面臨嚴重網路安全隱患，後果同樣不堪設想。

在2017中國國際大資料產業博覽會上，中國石油化工集團資訊管理部主任李德芳提到，“過去系統分散，安全問題不突出，現在，系統越來越多，越來越集中，越來越龐大，並且黑客攻擊也越來越厲害。所以，我們的安全體系，從過去的簡單防護到網路防護到系統防護，現在應該走向體系型的防護。”

以資料為中心的安全

《網路安全法》對資料安全和資料保護也給予了關注。第二十一條對資料安全作出明確說明：網路運營者應當按照網路安全等級保護制度的要求，防止網路資料洩露或者被竊取、篡改。採取資料分類、重要資料備份和加密等措施。

成都安美勤資訊科技股份有限公司安全專家對《每日經濟新聞》記者分析稱，《網路安全法》第一次對責任主體進行了規定，而且以往網路安全強調以技術為重，“但實際執行中，我們發現管理層面更重要，很多人對網路安全意識認識依然不夠。”

這一次，《網路安全法》將責任主體點明落實到了公安、企業、個人等各層面主體身上。網路安全專家表示，《網路安全法》看重的，不是某個資料的安全、某個系統的安全，而是整個組織的安全。主體需要負起責任，“比如平臺上資訊洩露，作為運營者，也許昨天你的不作為，沒有任何關係。但從今天起，你不作為就將承擔責任。”

以單位為主體負責的安全，不僅僅能夠抵抗外部的攻擊，事實上，資料安全威脅更多時候還來自內部，這個比例往往高於來自外部的有意攻擊。內部的威脅，不僅僅是竊取，還有濫用和誤用。

阿里巴巴集團技術副總裁杜躍進也有類似觀點，他在數博會上提出，現在需要轉變網路安全的核心思想，變為“以資料為中心的安全”。杜躍進解釋，資料是在各個系統之間流動的，以資料為中心的安全，伴隨資料的生命週期進行安全保護，涉及到每一個環節，“系統安全不等於資料就安全，系統不安全也不等於資料不安全。”

本文轉自d1net（轉載）