新闻中心

    新闻中心  >  2020年网络安全合规大事件盘点
    2020年网络安全合规大事件盘点
    背景图 2021-01-06 00:00:00

    2020年作为网络安全等级保护制度正式实施的“开局之年”,同时也是众多网络安全合规方向发生巨大突破的一年。从年初的《中华人民共和国密码法》(简称《密码法》)正式实施,到《信息安全技术 网络安全等级保护定级指南》(简称《等级保护定级指南))的正式发布;从公网安【2020】1960号文的发布到《中华人民共和国个人信息保护法(草案)》(简称《个人信息保护法(草案))征求意见,合规工作逐渐成为网络安全建设中最为重要的一部分。那么,2020年合规方面发生了哪些大事件,2021年合规建设该何去何从?图片

    2020年1月:《密码法》正式实施

    《密码法》作为我国密码领域首部综合性、基础性法律,从密码管理的基本原则、分类管理、商用密码从业单位管理,检测认证体系建设,网络运营者使用等多个角度进行了规范。对于关键信息基础设施网络使用者则要求必须使用商用密码并开展商用密码应用安全性评估工作,未开展评估工作最高面临一百万的罚款,未采用经过安全审查的产品或服务则最高面临采购金额十倍的罚款。《密码法》的正式实施也极大地推动了网络运营者对信息系统开展商用密码改造工作的积极性。

    2020年4月:《等级保护定级指南》正式发布

    《等级保护定级指南》作为等级保护2.0最后一个更新的标准,明确了确认网络安全等级保护对象保护等级的原理与流程,可用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。较上一版本主要有以下几点变化:

    定级要素与安全保护等级调整

    安全保护等级矩阵表

    ▲安全保护等级矩阵表

     

    专家评审的范围明确:从原来的第三级及以上需要进行专家评审调整为第二级及以上,提高了等级保护对象等级确认的准确性。

    定级对象范围的扩大:伴随着等级保护工作的不断深入,保护对象的范围需要适应网络安全发展的需要,因此在《等级保护定级指南》中新加入了“云计算平台/系统”、“物联网”、“工业控制系统”、“采用移动互联技术的系统”、“数据资源”等多种对象,也为采用新技术的系统开展等级保护工作提供了依据。

    2020年7月:公网安【2020】1960号文件发布

    公网安【2020】1960号文件指出,《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》作为公安部用于指导重点行业、部门开展等保、关保工作的指导性文件。该指导性文件提出了“三大基本原则”(坚持分等级保护、突出重点;坚持积极防御、综合防护;坚持依法防护、形成合力)与“四大工作目标”(贯彻落实等级保护制度、建立与实施关键信息基础设施保护制度、显著提升网络安全监测预警和综合处置能力、基本形成网络安全综合防控体系)。对于网络运营者主要关注以下几点:

    定级备案:应全面梳理网络现状,新建网络需在规划设计阶段确定安全保护等级;

    等级测评:新建第三级及以上系统必须在通过等保测评后方可投入运行;

    建设整改:落实“三同步”原则,按照“一个中心、三重防护”的要求开展建设整改工作;

    安全责任:定期开展安全自查与检测评估工作,及时整改安全隐患与薄弱环节;

    供应链管理:采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务;

    密码安全防护:第三级及以上运营者应在网络安全等级测评中同步开展商用密码应用安全性评估。

    2020年10月:《个人信息保护法(草案)》征求意见

    《个人信息法(草案)》以保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理使用为立法宗旨,规定了个人、企业、国家机关多主体对个人信息保护的权利/权力与义务。作为网络运营者,应重点关注以下方面:

    建立个人信息安全保护制度:应对外部用户需要明确告知收集、使用、向第三方提供、跨境时个人信息处理的规则;对内则需要制定个人信息安全内部管理制度。

    对外预防个人信息流通的风险:应保证个人信息来源的合法性;应在接收方变更原先的处理目的、处理方式时重新向个人告知并获得同意;与第三方共享时应明确双方对个人信息处理的责任。

    2020年11月:金融行业等级保护标准发布

    金融行业等级保护2.0标准于11月11日正式发布与实施,在国标的基础上提出了网络安全保障总体框架与增强的要求,作为金融设施的运营者应重点关于以下内容:

    总体原则:“技管交互、综合保障”。遵循“技术要求”、“管理要求”互相交融的原则,实现“技术体系”与“管理体系”的互补。

    技术体系:在传统防护的基础上增强了对于高级持续威胁监测的要求,增强了对于诱捕、欺骗攻击者的要求;在数据备份与恢复方面进一步强化,对同城数据中心、异地数据中心提出了更高的要求;在云计算扩展要求部分则增强了对于互联网提供金融服务的云平台安全能力的要求。

    管理体系:网络运营者应基于“建立(规划)”、“实施和执行(实施)”、“监控和审查(检查)”、“保持和改进(处置)”的原则,构建生命周期管理体系。

     

    结合2020年合规大事件,展望2021年合规工作:

     

    合规工作的重要性逐渐提高:2021年将会有更多的条例与标准发布,合规工作的开展也将继续深入。从新产品到新方案的运用,从经费与人员的保障到管理制度的落实,公网安【2020】1960号文也为网络运营者指明了后续工作的方向。

     

    行业合规要求日益强化:2020年发布了民航、金融、广电、报业等多个领域的等级保护标准,多个行业等级保护及网络安全标准也在积极编制中。2021年合规工作的行业属性将更强,合规要求也将更为细化。

     

    被动防御向主动对抗转换:在关键信息基础设施的合规建设中,主动防御、主动对抗将成为重点,这对网络运营者自身的安全能力提出了更高的要求,如何从海量的安全事件中筛选出有用的信息并进行反制是网络运营者首先要解决的问题。

     

    新技术领域的合规要求重视程度逐渐提升:云计算、5G、区块链等新技术广泛应用的同时,也带来了新的安全风险,如何更好开展新技术领域合规工作是网络运营者需要关注的重点。

     

    网络安全合规建设的目的是提升用户的网络安全能力。未来,深信服将紧跟相关法规标准的要求,提供专业、高效的网络安全产品及服务,不断进行技术的创新和业务场景的拓展,为用户业务系统带来持续保护。