雷鋒網(wǎng)按：本文原刊登于綠盟科技內(nèi)刊，是綠盟科技資深安全從業(yè)者為其客戶挑出的一些需要重點關(guān)注的條文，加上綠盟科技的法務(wù)經(jīng)理的通俗解讀，內(nèi)容很中肯，可讀性和實用性很高。雷鋒網(wǎng)經(jīng)授權(quán)發(fā)布。

2016年11月7日我國第一部網(wǎng)絡(luò)安全法頒布。筆者作為安全行業(yè)的從業(yè)人員，認(rèn)真閱讀了相關(guān)條文?？傮w感覺：

安全法不但對各種網(wǎng)絡(luò)行為，明確了規(guī)范和法律責(zé)任，同時還是對我們?nèi)绾谓ㄔO(shè)網(wǎng)絡(luò)安全提供了指引。從條文中，可以看到 iso27001 信息安全管理體系標(biāo)準(zhǔn)的影子。

安全法的各種規(guī)范和要求，其實已經(jīng)長期存在于各行業(yè)的行業(yè)標(biāo)準(zhǔn)和主管部門對社會網(wǎng)絡(luò)行為的指引中，沒有太大的意外。

但是這次是以法律的形式頒發(fā)，且法律條文清晰標(biāo)示出禁止準(zhǔn)入、行政處分和判罰、刑事判罰等一系列的紅線，這讓筆者不禁為大家抹了一臉冷汗，因為太多的點需要注意了。接下來筆者挑出一些條文，讓客戶重點關(guān)注。

一、范圍要看清 底線不能越

安全法把用戶網(wǎng)絡(luò)重要性分成2個層次定位：關(guān)鍵信息基礎(chǔ)設(shè)施和非關(guān)鍵基礎(chǔ)設(shè)施。

在第三十一條明確規(guī)定：”國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)?！?/p>

“關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定”。第一句話明確了什么是關(guān)鍵信息基礎(chǔ)設(shè)施，第二句明確了安全保護(hù)辦法規(guī)范誰制定。有的網(wǎng)絡(luò)服務(wù)提供商比如域名解析這類看起來不屬于重點行業(yè)范疇，但是一但出問題會引起大面積網(wǎng)絡(luò)無法響應(yīng)，并造成公共利益受損。這種業(yè)務(wù)也會被主管部門納入到重點管理的范疇。

所以建議客戶在條件允許下盡量謹(jǐn)慎一些，把安全等級提高。

管理歸屬網(wǎng)信部門 不配合就處罰

第八條明確規(guī)定了網(wǎng)信部門是負(fù)責(zé)統(tǒng)籌和監(jiān)督網(wǎng)絡(luò)安全工作的機(jī)構(gòu)。電信主管部門、公安部門和其他機(jī)關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。

第四十九條明確規(guī)定網(wǎng)絡(luò)運(yùn)營者必須對網(wǎng)信部門和有關(guān)部門依法實施的監(jiān)督檢查予以配合。如果不配合將按六十九條處以個人和單位罰款。注意這只是說不積極配合，如果不作為、抵制和違反規(guī)定那后果會更嚴(yán)重。

一句話，主管部門的檢查必須積極配合。

各單位要有編制 責(zé)任落實到人

從第二十一、三十四條對非關(guān)鍵和關(guān)鍵信息基礎(chǔ)設(shè)置單位明確了要有網(wǎng)絡(luò)安全負(fù)責(zé)人、要有網(wǎng)絡(luò)安全管理機(jī)構(gòu)、要有定期技能培訓(xùn)和考核。簡單而言就是要有編制，培訓(xùn)投入和明確誰背責(zé)任。

特別需要關(guān)注一點，本法對招聘安全技術(shù)人員的資格也提出的要求。在第六十三條規(guī)定違反第二十七條（也就是從事過非法網(wǎng)絡(luò)攻擊行為）受到治安管理處罰的人員，五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作。

這個規(guī)定將對已招收或者試圖招收有非法前科黑客的單位敲響了警鐘。

二、產(chǎn)品技術(shù)要達(dá)標(biāo) 紅線不能踩

本法更多的是從安全建設(shè)要達(dá)到的效果提出要求，并沒有列出如何安全建設(shè)標(biāo)準(zhǔn)才能實現(xiàn)這一目標(biāo)（實際上也不方便寫出來）。不過我們從規(guī)定里面還是看到了一些比較具體的安全技術(shù)建設(shè)要求：第十條中提到依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求。也就是說關(guān)于在安全產(chǎn)品上必須滿足國家標(biāo)準(zhǔn)的要去選購（也就是要關(guān)注國家頒發(fā)標(biāo)準(zhǔn)認(rèn)證產(chǎn)品）。這里提到標(biāo)準(zhǔn)相信不少用戶會遇到不同標(biāo)準(zhǔn)有時候會出現(xiàn)沖突、不一致等現(xiàn)象。

在第十五條中明確了：國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé)，組織制定并適時修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運(yùn)行安全的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

第二十三條：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測。

意思就說以后關(guān)鍵信息系統(tǒng)的產(chǎn)品采購需要在網(wǎng)信部門牽頭發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中選取。

非關(guān)鍵信息系統(tǒng)產(chǎn)品采購需要符合國家資格的機(jī)構(gòu)安全認(rèn)證合格或安全檢測符合要求。比如說像目前的公安部頒發(fā)的安全產(chǎn)品銷售許可證是最基本的產(chǎn)品認(rèn)證要求。

第二十一條中明確指出用戶網(wǎng)絡(luò)需要采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

這里需要關(guān)注的是必須保留網(wǎng)絡(luò)日志不少于六個月，對不同數(shù)據(jù)的重要性需要加密和備份。對于這個要求，一些客戶單位執(zhí)行的并不是很到位。

第三十三條規(guī)定了關(guān)鍵信息網(wǎng)絡(luò)需要考慮業(yè)務(wù)持續(xù)問題，防止單點故障的解決方案必須采用。

兩地三中心到分布式多活的異地多活技術(shù)將受到更廣泛行業(yè)的需求。同時這也是對設(shè)備廠商的穩(wěn)定性、使用年限、成熟度都提出更高的要求。

第三十五條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。這條筆者理解，在最終采購決策上，法律會做出解釋，但設(shè)備國產(chǎn)化或者會有優(yōu)先權(quán)。

建議客戶在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，尤其是可能影響到國家安全的問題上，盡早淘汰國外產(chǎn)品，既然寫入了法律規(guī)定就不是建議或指引了。在第六十五條對違反的單位和負(fù)責(zé)人將處以重罰，并可責(zé)令停止使用。

第二十五和第三十四條要求網(wǎng)絡(luò)運(yùn)營者需要制定安全事件應(yīng)急預(yù)案（點贊）。建議用戶與安全運(yùn)維專業(yè)團(tuán)隊保持緊密聯(lián)系以確保應(yīng)急預(yù)案的完善和到位。

第二十四條規(guī)定網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務(wù)，在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時，應(yīng)當(dāng)要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。 

這里要重點關(guān)注對于一些ICP提供用戶信息發(fā)布、即時通訊等服務(wù)時候需要有足夠的技術(shù)手段來保證用戶真實身份。這里需要著重注意，目前技術(shù)和業(yè)務(wù)模式尚不能很好的解決這個問題，即便是在新用戶注冊的時候采用手機(jī)認(rèn)證，也存在不少的漏洞。

第三十八條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

這里規(guī)定了安全評估的必須性。

三、個人信息使用要明示 高壓線不能碰

本法用不少篇幅的條文來規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供商對用戶信息資料的收集和使用。

第二十二條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及公民個人信息的，應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于公民個人信息保護(hù)的規(guī)定。

第四十一條 網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第四十二條 網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息；網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

第四十三條 個人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。

第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十五條 依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供。

筆者了解到眾多ICP服務(wù)商在提供服務(wù)的時候并沒有讓用戶明確同意就收集客戶的信息，同時還存在與其他機(jī)構(gòu)交換數(shù)據(jù)的情況。同時因為安全建設(shè)不到位導(dǎo)致黑客入侵，用戶資料大量外泄。為了避免您觸及法律紅線，請及時咨詢專業(yè)法律人士。

第六十四條中規(guī)定對違反單位主管、責(zé)任人、單位重罰并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

（雷鋒網(wǎng)注：本文為綠盟科技投稿）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。