城堡网 >> 新闻中心 >> 互联网新闻 

《网络安全等级保护条例》解析连续剧第二集

第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:

(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;

(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;

(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;

(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;

(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;

(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;

(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;

(八)法律和行政法规规定的其他网络安全保护义务。

解析:第三级以上网络的运营者除了履行上面第二十条规定的条款外,还必须履行第二十一条里提到的所有条款。很明显第三级以上的网络要求要高于第二级网络。

(一)  应成立指导和管理网络安全工作的委员会或领导小组,并有详细的相关职责,最高领导由单位主管领导担任或由其进行了授权。应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。这个职能部门要有安全主管、安全管理各个方面的负责人,以及相应的职责,不一定非要成立网络安全管理部,可以是信息中心,信息科,办公室等。应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。应配备一定数量的系统管理员、审计管理员和安全管理员,安全管理员不能兼职。

对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度,也就是制度要有,发生变更时要留有文档记录。这不光是等保要求,其实在项目管理也是这么要求的,当发生变更时,要经过CCB评估变更风险,严格审核。

(二)  制定并落实网络安全总体规划和整体安全防护策略,等保单位要有总体规划和安全设计方案等配套文件,设计方案中应包含密码技术相关内容。配套文件的论证评审记录或文档应当有相关部门和有关安全技术专家对总体安全规划、安全设计方案等相关配套文件的批准意见和论证意见。三级和四级网络要求一样。

网络安全总体规划一般要求有初期规划,中期规划,三期规划。包括建设目标,建设网络安全管理体系,应急响应,服务保障,保持和改进。

整体安全防护策略一般包括管理策略和技术策略,制定并完善管理策略,技术策略要非常详细,详细到具体的点,主机,网络产品,防护产品,数据备份与恢复,指定并执行具体的策略等等。

安全建设方案一般包含建设目标,建设内容,具体的安全体系框架,安全策略,安全组织体系,技术措施,安全运维措施等。

(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;

安全背景审查一般指的是违法犯罪记录和诚信状况比如贪污受贿、渎职、违法、犯罪、吸毒经历。落实持证上岗制度,指的是网络安全管理负责人和关键岗位的人员要有相应的证件,比如说CISP证,CISSP证,NSATP-D证等。

(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;指的是为网络运营者提供软件设计,开发,运维和技术服务保障的公司和人员,要进行安全管理,需要有相应的安全管理制度文档,文档中要明确对上述人员的行为、操作进行管理,限制、跟踪、记录。《信息安全技术网络安全等级保护测评要求》中,没有专门的一节对机构和人员安全管理的要求的描述,都是分散在不同的章节中。这里这么要求是因为很多的网络安全事件的发生,都是由于外包服务人员工作的疏忽,或者主观故意造成的,而这些人往往能接触到核心业务区域、或机房的核心位置。

(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;这一条是要求第三级以上网络运营者,要有网络安全防护管理平台,这个平台可以说是一个硬件设备组成的,要求能对网络状态,网络流量、用户行为、网络安全案件事件进行冬天监测分析,网络流量监测,比如说网络管理系统,全流量监测分析设备,比如ATP分析设备,上网行为管理,追踪溯源系统,很多安全厂商都有这些产品。并与同级公安机关对接,这个没有强调强制实时对接,没有强调网络对接,也可以是一种机制。

(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;这里指的是网络设备,交换机,路由器等,通信链路,业务系统都要有备份,一旦发生问题,能自动启动备份设备、链路、业务系统,能随时立即恢复。

(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;三级网络运营者要建立网络安全等级测评制度,根据要求开展测评,和以往不同的是,必须要把测评报告和整改措施,整改结果向公安机关报告。

(八)法律和行政法规规定的其他网络安全保护义务。这也是一个兜底的条款,其他法律要求的也要履行。其他的法律和行政法规,比如说:《中华人民共和国计算机信息系统安全保护条例(国务院令第147号)》,计算机信息网络国际联网安全保护管理办法(公安部令第33号),《互联网安全保护技术措施规定(公安部令第82号)》。

第三级以上网络运营者不履行本条规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。从重处罚!

第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。

新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。

解析:新建的二级以上网络在上线运行前必须要进行安全性测试,安全性测试不是特指测评,但可以是测评,可以是渗透性测试。安全性测试一般包括代码安全性,Web安全性测试,操作系统安全性,服务器安全性,数据安全性,网络和通信安全性。代码安全性比如说比如说代码审计。web安全性比如说web漏洞扫描。操作系统安全性一般指账号和口令复杂度,日志审核,比如说应用程序日志,安全日志,系统日志都要开启。文件系统的安全比如磁盘分区类型,特定目录的权限,服务器应该是NTFS格式,而不是fat32fat安全设置等。数据安全性一般指数据库安全性,数据加密解密,数据完整性等。网络和通信安全性一般指网络防护设备,网络漏洞检测。

网络运营者不履行本条第一款,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第三级以上的网络在上线运行前应该找第三方测评机构,测评通过后才能投入运行。测评结论现在分为优、良、中、差。优可以认为测评得分在90分以上,良是80分,中是70分,差是低于70分。换句话说只有达到70分标准以上的系统才能上线运行。

第三级以上网络运营者不履行本条第二款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。从重处罚!

第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

解析:第三级以上网络应该每年开展一次测评,和之前的等保1.0没有区别,区别在于,测评发现的风险隐患,要立即整改,并有整改记录或相应的整改报告,并将测评报告和网络安全等级测评的工作情况向公安机关报告。

第三级以上网络运营者不履行本条规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。从重处罚!

第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。

解析:网络运营者对测评中发现的问题要制定整改方案,落实具体整改措施,修复出现的问题隐患。也就是说要有整改方案,整改记录,整改措施。很多单位测评后,几年都没有整改。

网络运营者不履行本条规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。

解析:网络运营者每年都要对本单位进行自查,并将自查报告和整改报告报送当地备案的公安机关。网络运营者不履行本条规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第二十六条【测评活动安全管理】网络安全等级测评机构应当为网络运营者提供安全、客观、公正的等级测评服务。

网络安全等级测评机构应当与网络运营者签署服务协议,并对测评人员进行安全保密教育,与其签订安全保密责任书,明确测评人员的安全保密义务和法律责任,组织测评人员参加专业培训。

解析:这个是对测评机构的要求。明确保密教育,签订保密协议,组织参加专业网络安全培训。

第二十七条【网络服务机构要求】网络服务提供者为第三级以上网络提供网络建设、运行维护、安全监测、数据分析等网络服务,应当符合国家有关法律法规和技术标准的要求。

网络安全等级测评机构等网络服务提供者应当保守服务过程中知悉的国家秘密、个人信息和重要数据。不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。

解析:这一条也是对网络服务提供者和测评机构的要求。

第二十八条【产品服务采购使用的安全要求】网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务。

第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

解析:一些网络产品,比如说美国的思科路由器,交换机,在很多批次中都发现了后门程序,惠普笔记本内置键盘记录器等,隐患非常大,所以网络运营者在采购、使用网络产品和服务时,尽量采购国产,符合国家法律法规和有关标准规范要求的网络产品和服务。

第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;比如说有的IDC物理环境明显不符合或者达不到三级等保要求,那么第三级以上网络运营者就不应该选择这样的IDC来部署服务器或购买相应的服务。对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;对于重要的核心部位的网络产品,应当进行专业的专项测试,根据测试结果来选择,这也是为了保障其网络产品安全性。对于采购可能影响国家安全的产品和服务,应当通过网信部门会同有关部门做国家安全审查。

网络运营者不履行本条第一款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

网络运营者不履行本条第二款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。从重处罚!

第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。

解析:对于第三级以上的网络不得进行境外远程技术维护。不光不得进行境外远程技术维护,境内远程技术维护也要经过严格审批,审批后才能开通远程运维接口或通道,操作过程中应保留不可更改得审计日志,操作结束后立即关闭接口或通道。

如果因业务需要在境外远程维护的,应当进行网络安全评估,采取风险管控措施,比如全程录屏监控等手段。留存不可更改得技术维护日志,以备公安机关检查。

网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。

第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。

第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。

行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。

解析:地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。网络安全法里有要求,对于行业主管部门,比如教育局,卫健委,银保监会等单位,应该建立本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息,报告网络安全事件。

对于第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件,这是第一次这么要求。发生网络安全事件时,一定要第一时间报告公安机关,依据《网络安全法》第二十五条。

网络运营者不履行本条第二款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。从重处罚!

第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。

未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。

解析:对于第二级以上网络运营者应当建立并落实重要数据和个人信息安全保护制度。对于重要数据和个人信息从数据产生到消亡整个生命周期要采取一些列的保护措施,保障数据安全,要建立异地备份恢复等技术措施,对于异地备份。一般同城备份是几十公里,异地备份是要求几百公里,不在同一电网,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。

网络运营者不履行本条第一款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。这一款也是参考网络安全法。

网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。即:可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。

网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。

公安机关和行业主管部门应当向同级网信部门报告重大网络安全事件处置情况。

发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。

解析:条第一款强调第三级以上网络运营者一定要有网络安全应急预案,并定期开展应急演练,演练一定要有记录。违反本条第一款规定由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。从重处罚!

网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。在发生网络安全事件时,应当保护现场而不是立刻删除恶意程序,木马,病毒等文件,或者重装操作系统,对现场调查取证工作进行破坏,应立即向公安机关和行业主管部门报告。这里再一次强调了发生网络安全事件时要向公安机关报告。违反本条第二款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

公安机关和行业主管部门应当向同级网信部门报告重大网络安全事件处置情况。

发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。这里对电信运营商提出了要求,要为重大网络安全事件处置和恢复提供支持和协助。

第三十三条【审计审核要求】网络运营者建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。

解析:本法中没有相应的罚则。

第三十四条【新技术新应用风险管控】网络运营者应当按照网络安全等级保护制度要求,采取措施,管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险,消除安全隐患。

解析:本法中没有相应的罚则。

分享到:
责任编辑:
我有话说 已有 0 条评论
最新评论 刷新
暂无评论