从《网安法》出发_给企业安全管理者的五条建议
原文链接
6月1日,《网络安全法》正式实施以后,各个行业的网络安全有了基础要求,而监管部门的执法力度也依据法条要求呈加强趋势。
对网约车、P2P金融等行业来说,“网络安全等保要求”成为了开展业务的先决条件;
而对于踏在个人信息保护、内容安全、漏洞管理等“网络安全雷区”内的行业,例如大数据、直播平台、内容平台,有可能面临暂停业务活动、严重的违法行为将导致停业整顿或吊销执照,直接负责的主管人员和其他直接责任人员也有可能受到处罚。
近两月,大数据行业清洗,微信公众号关闭事件,就是《网安法》影响所及。
那么,企业和机构现在应该在哪方面加强投入,做好企业安全管理,才能满足《网安法》的要求呢?
这篇文章会把《网安法》的网络运营者五大核心义务,转化成五条实用建议:告诉企业安全管理者如何从现在开始,做好企业安全的每一个环节。
1、加强个人信息和重要数据的保护
网络运营者应当采取技术措施和其他必要措施确保收集的个人信息安全,防止信息泄漏、毁损、丢失;做好数据分类、重要数据备份和加密;监测记录网络运行状态、网络安全事件,并留存相关网络日志不少于六个月。
应对建议:企业做好个人信息保护的第一步,是对现有数据进行风险评估与加密。在用户端,全链路加密可以在传输、终端、存储三道环节;在阿里云上,我们会对云端基础设施进行加密,等于给企业的防盗门加上了一道锁。
经过加密,即使数据泄漏,攻击者也无法看到明文的数据。 第二步则需要做好安全应急与漏洞管理,打破“物理隔离就安全”的迷信;最后还要做好内控和审计,实现对安全的态势感知。
2、严格执行网络实名制
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或提供服务时,应当要求用户提供真实身份信息,否则不得提供服务。
应对建议:网络实名制增加了企业收集、保护用户个人信息的成本,也是对实名校验、人脸识别和虚假信息防控等能力的考验。如果依赖人工去处理和校验数据,资源投入和效果产出会不成正比;在阿里云,我们基于大数据风控模型和生物特征来对用户信息真实性做识别,也在将实人认证功能模块化,输出给云上企业,降低人工审核成本。
3、落实网络安全等级保护制度
所有网络运营者都必须按照网络安全等级保护制度的要求,履行安全保护义务
应对建议:企业应该对等保做全面、长期的规划与投入,将等保当作一次全面升级安全能力的机会,对产品采购、内部管理与流程进行优化。然而,等保的每一步流程:系统定级、完善系统安全防护保障、备案、登记测评、建设整改、监督检查等一系列事项,时间和资源消耗都非常大。
阿里云目前的解法是构筑云上等保生态,提供一站式等保咨询、安全防护服务、本地化测评服务,集生态力量共同有效实现等保安全要求,提升等保测评备案效率,提升企业安全保障、节省企业人员和时间上的投入;并且,阿里云公共云平台本身的等保三级合规优势,对企业的整体测评分数也会有所提升。
4、加强应急响应与监测预警
制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;安全事件发生时,立即启动应急预案,采取补救措施,并向有关主管部门报告。
应对建议:许多企业的安全负责人并没有做专业安全预案的经验,或者并不重视日常的演练和培训,现有的安全产品部署分散,管理滞后;这也是为什么以WannaCry为首的勒索病毒,能够轻易地打破线下机房的壁垒。
建议企业从培训、预案、演练、应急、响应、修复等多方面入手,建立切实可行的应急预案。在人员投入不足的情况下,则建议选择专业的安全服务团队来“搭把手”,能在漏洞的提前预警、事件的响应和修复上,提供专业的协助。
5、防止违法信息传播扩散
发现用户发布和传输违法信息时,应当立即停止传输或消除,防止信息扩散,保存有关记录,并向主管部门报告。
应对建议:网络运营者需要提高对于自身平台上图片、文字、视频内容的识别能力。在基本的图片鉴黄、反垃圾、OCR算法、文本识别等基础上,还需要具备违规视频、语音鉴别、敏感任务识别、文本语义分析和风险判断等功能,确保内容安全,降低违规风险。
以上五条建议,对于每一个不同的行业来说,会有不一样的侧重点。我们以直播、互联网金融和电商的具体场景,来谈谈各个行业的企业安全最重要紧急的任务是什么。
以监管管辖力度较强的直播行业来说,由于用户可以实时对公众直播,因此直播者实名认证以及防范视频出现违规内容是从业者最需要关注的事情。
而对于互联网金融行业来说,随着银监会等监管机构下发《网络借贷信息中介机构业务活动管理暂行办法》等进一步的要求,并且规定了通过的等保的期限。因而等保合规会是互联网金融行业的重中之重。
最后,电商行业。因其保存着消费者重要个人信息,例如身份证号、银行卡号、手机号等,那么首先应当加强的是对个人信息的保护:包括入侵防御、内控审计和加密。
总的来说,《网络安全法》的实施,对网络运营者的基本要求,就是把以往滞后、分散的安全管理模式,转变成循序渐进,全面预防。企业以往更多地在思考如何补救安全,而现在,我们更应该思考的是如何去降低风险,和安全事件发生的概率。
让《网络安全法》,成为企业安全更好的开始。