绿盟科技解读《网络安全法》 安全厂商真本领

2017-06-22 01:43

  【赛迪网讯】6月1日,《中华人民国网络安全法》(下文简称《网络安全法》)正式实施。作为我国第一部关于网络安全的综合性法律,对于企业、个人和机构的身份和行为都作出了新的法律概念和,他们将对在中国境内建设、运营、和使用网络产生深远的影响。为了让更多企业和个人关注、理解这部具有历史意义和现实意义的法律,赛迪网安全频道记者走访多家企业和机构。他们不仅仅是安全专家,也是《网络安全法》中最直接体现和义务的“主角”。借此机会,分享他们对本部法律重要细则的深刻理解,也为规范行业行为敲响警钟。

  国产安全厂商,神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)在接受赛迪网采访时表示,《网络安全法》的亮点在于明确了国家网络安全监管架构、网络运营者的责任义务、个人数据、等级和关键信息基础设施保障的关系、违法行为的法律责任和罚则等内容,为网络运营者有效履行安全保障责任,监管机构有效履行监管职责、执法机关对违法行为进行处罚提供了明确的法律依据。

  绿盟科技专家告诉赛迪网记者,《网络安全法》中很重要的一部分组成内容是明确阐述网络运营者的责任和义务。《网络安全法》在第七章第七十六条中明确解释了,网络运营者是指网络的所有者、管理者和网络服务提供者。根据以上定义,所有通过网络提供服务、开展业务活动的企业或机构,均可被视为网络运营者。

  《网络安全法》第三章第一节中第二十二条和第二十中了为网络运营者提供产品和服务的厂商应遵循的行为准则。特别在第二十中,提到了“网络关键设备和网络安全专用产品应当按关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”

  绿盟科技认为这相当于为安全厂商设置了市场准入门槛。国内主流的安全厂商的产品和服务,目前均符合安全认证合格和安全检测合格的具体要求,行业也会持续关注和国家网信部门关于网络安全专业产品目录的工作推进状况,如果现行的检测和认证机制发生调整和变化,国内主流安全厂商会尽快符合政策监管的要求。

  国内主流安全厂商往往同时具备网络运营者的身份属性,因此《网络安全法》中对网络运营者的要求,也会同样适用于安全厂商,这对安全厂商自身的运行安全能力提出了明确且更高的要求,尽管国内主流安全厂商多数通过了ISO27001信息安全管理体系认证,具备了较为全面的运行安全能力,但是也应当针对《网络安全法》的内容,对现有的信息安全管理体系进行合规修订,对现有的技术设施进行合规建设,确保符合《网络安全法》的要求。

  《网络安全法》第四章第四十条到第四十五条的法律条款,阐述了网络运营者因为业务需要对用户个人信息的收集、使用、保障所负有的义务,法律本身并未对安全厂商应该为保障网络运营者的用户个人信息提供哪些基本的服务做出明确。但是,像等级现行的标准提出了整套的重要信息系统安全保障技术和管理要求,其中包括了对数据安全的内容,各安全厂商能够根据自身的技术能力,用安全产品和服务有针对性覆盖等级标准的部分具体要求。

  随着《网络安全法》的正式实施,以及后续关于关键信息基础设施安全保障规范细则的制定和颁布,如何准确识别网络运营者所持有的用户个人信息、如何从技术手段与管理流程对用户个人信息进行有效防护、如何识别潜在的信息泄露风险点,都已成为网络运营者对个人隐私信息的重中之重。

  绿盟科技表示,他们现有的网络安全产品和服务,如互联网边界安全设备(防火墙、IPS、WAF)、数据库加密和审计产品、操作审计网关、安全风险评估服务、等级合规建设咨询服务等,都能够为网络运营者保障用户个人信息提供安全保障能力。公司目前也在投入力量,建立个人信息的安全咨询服务方法,协助网络运营者能够更加准确的识别用户个人信息,并建立全面有效的安全能力。

  违反《网络安全法》的行为需要承担的法律责任条款,基本为不构成犯为的行政责任。处罚方式具体包括了对个人违法行为的行政处分、罚款、乃至行政等处罚方式;以及对机构违法行为的、罚款、责令停业、吊销许可证、吊销营业执照、违法所得等处罚方式。