歐陽凌云

摘要：《網(wǎng)絡(luò)安全法》正式實(shí)施以后，企業(yè)要跟隨國(guó)家的政策做些管理上的改變。該文就《網(wǎng)絡(luò)安全法》對(duì)企業(yè)在網(wǎng)絡(luò)建設(shè)、內(nèi)部管理、采購(gòu)安全產(chǎn)品等方面的指導(dǎo)意義進(jìn)行了闡述，對(duì)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了分析，給出了企業(yè)在網(wǎng)絡(luò)安全上要做哪些提高和改進(jìn)的幾點(diǎn)建議，力求幫助企業(yè)做好內(nèi)部管理。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）31-0035-02

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）于2016年11月7日的十二屆人大常委會(huì)第二十四次會(huì)議上表決通過，并從2017年6月1日起施行。

《網(wǎng)絡(luò)安全法》因其對(duì)我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的影響、特別是經(jīng)營(yíng)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)的企業(yè)，引起了大家的高度關(guān)注?！毒W(wǎng)絡(luò)安全法》從維護(hù)網(wǎng)絡(luò)主權(quán)和戰(zhàn)略規(guī)劃、保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、保障網(wǎng)絡(luò)運(yùn)行安全、保障網(wǎng)絡(luò)數(shù)據(jù)安全、保障網(wǎng)絡(luò)信息安全、監(jiān)測(cè)預(yù)警與應(yīng)急處置、網(wǎng)絡(luò)安全監(jiān)督管理體制等方面制定法規(guī)，為開展網(wǎng)絡(luò)安全工作提供法律保障?！毒W(wǎng)絡(luò)安全法》不僅僅規(guī)范了企業(yè)的行為，設(shè)定了應(yīng)當(dāng)遵守的規(guī)則，還明確了違法要承擔(dān)相應(yīng)的責(zé)任。通過制度的設(shè)計(jì)對(duì)企業(yè)進(jìn)行約束和保護(hù)。對(duì)于我們網(wǎng)絡(luò)的安全、信息安全、公民個(gè)人的財(cái)產(chǎn)安全都會(huì)得到很好的保障。

針對(duì)《網(wǎng)絡(luò)安全法》，企業(yè)都應(yīng)做好哪些事？

1 網(wǎng)絡(luò)安全的現(xiàn)狀

在中國(guó)，網(wǎng)絡(luò)已走入千家萬戶，網(wǎng)民數(shù)量世界第一，我國(guó)已成為網(wǎng)絡(luò)大國(guó)?；ヂ?lián)網(wǎng)已經(jīng)深度介入民眾生活的方方面面。

如今企業(yè)中，雖然已經(jīng)做了一些網(wǎng)絡(luò)安全防護(hù)工作，部署了安全防火墻、Web應(yīng)用監(jiān)控防護(hù)系統(tǒng)、殺毒軟件、上網(wǎng)監(jiān)控管理等安全軟件和設(shè)備，開展了信息安全保護(hù)工作，測(cè)評(píng)認(rèn)證工作等，已經(jīng)具備了基本的安全防護(hù)能力。但是，如今的網(wǎng)絡(luò)安全威脅和攻擊手段層出不窮，電信詐騙、垃圾短信，欺詐網(wǎng)站日益更新；病毒、木馬、都在飛速發(fā)展。

據(jù)騰訊安全發(fā)布《2017年上半年互聯(lián)網(wǎng)安全報(bào)告》，2017年5月12日，“WannaCry”（想哭）比特幣勒索病毒在全球范圍內(nèi)爆發(fā)，本次事件波及150多個(gè)國(guó)家和地區(qū)、10多萬的組織機(jī)構(gòu)和超過30萬的網(wǎng)民受到影響，損失總計(jì)高達(dá)500多億人民幣，包括醫(yī)院，教育機(jī)構(gòu)，政府部門都無一例外遭受了攻擊。

據(jù)《2017上半年上海地區(qū)互聯(lián)網(wǎng)安全報(bào)告》2017年上半年騷擾電話總數(shù)為636.9萬次，詐騙電話標(biāo)記總數(shù)達(dá)114.2萬，每6個(gè)騷擾電話中就有1個(gè)是詐騙電話。

據(jù)《2017上半年上海地區(qū)互聯(lián)網(wǎng)安全報(bào)告》：風(fēng)險(xiǎn)WIFI熱點(diǎn)數(shù)量超1900萬。

《報(bào)告》中還顯示，2017年上半年騰訊電腦管家攔截上海地區(qū)電腦端木馬病毒總計(jì)超4600萬次，平均每月攔截770萬次，共發(fā)現(xiàn)用戶電腦中木馬病毒946萬次。騰訊電腦管家根據(jù)捕獲的上海地區(qū)病毒樣本分析，廣告類是上海地區(qū)第一大木馬種類，占病毒總體數(shù)量的四分之一，病毒類、流氓軟件類病毒木馬緊隨其后。

通過對(duì)網(wǎng)絡(luò)安全現(xiàn)狀的分析和風(fēng)險(xiǎn)評(píng)估，企業(yè)網(wǎng)絡(luò)安全防護(hù)體系并不完善，主要存在以下幾個(gè)方面的問題和安全隱患：

1.1 企業(yè)員工的安全意識(shí)薄弱，個(gè)人習(xí)慣導(dǎo)致不安全因素

在公用的網(wǎng)絡(luò)中用戶身份認(rèn)證信息簡(jiǎn)單；日常辦公中無意識(shí)的泄露敏感話題；利用移動(dòng)設(shè)備進(jìn)行娛樂，為惡意軟件創(chuàng)造攻擊條件；對(duì)數(shù)據(jù)的重視度不夠。

1.2 移動(dòng)終端安全問題更加突出

從《2017年中國(guó)手機(jī)安全生態(tài)報(bào)告》的諸多數(shù)據(jù)中可得知：越來越多的手機(jī)暴露在各種惡意軟件、系統(tǒng)漏洞的威脅之中，無數(shù)惡意軟件、電信詐騙不斷挑戰(zhàn)用戶的安全意識(shí)，而各種隱藏在系統(tǒng)之中的系統(tǒng)漏洞對(duì)用戶的手機(jī)安全影響更為可怕。

1.3 企業(yè)缺乏流程化、規(guī)范化的網(wǎng)絡(luò)安全管理

企業(yè)沒有完善的網(wǎng)絡(luò)安全管理制度，責(zé)任不清，管理意義不明。

1.4 企業(yè)網(wǎng)絡(luò)安全工作停滯不前

攻擊手段不斷豐富增強(qiáng)，但企業(yè)網(wǎng)絡(luò)安全工作沒有再跟進(jìn)，再加深。落后的防范手段可能根本起不到作用。

1.5 沒有有效的網(wǎng)絡(luò)安全應(yīng)急機(jī)制

網(wǎng)絡(luò)安全事件發(fā)生時(shí)，沒有快速反應(yīng)機(jī)制，沒有輔助的應(yīng)急決策，災(zāi)難備份和恢復(fù)手段有限，容災(zāi)體系不完善，導(dǎo)致災(zāi)難效應(yīng)被放大，危害和影響面前手足無措。

2 企業(yè)如何響應(yīng)《網(wǎng)絡(luò)安全法》

為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息安全，保障網(wǎng)絡(luò)使用安全，消除不良網(wǎng)絡(luò)安全行為和防止泄密事件發(fā)生，企業(yè)要以安全法為綱，結(jié)合自身的特點(diǎn)，采取有力措施，積極開展切合企業(yè)實(shí)際的網(wǎng)絡(luò)安全日常管理工作。

2.1 企業(yè)員工要提高安全意識(shí)，保護(hù)個(gè)人合法權(quán)益

企業(yè)員工需依據(jù)國(guó)家的法律法規(guī)及企業(yè)制定的相關(guān)管理規(guī)范對(duì)自身自我約束，定期參與信息安全培訓(xùn)等，提升自我信息安全意識(shí)。理解、支持互聯(lián)網(wǎng)治理工作，了解自我救濟(jì)的途徑、方式和措施以及投訴舉報(bào)途徑、方式等，在不侵害他人合法權(quán)益的同時(shí)，努力防止自己的權(quán)益被他人侵害。企業(yè)員工對(duì)個(gè)人計(jì)算機(jī)、移動(dòng)終端設(shè)備按要求安裝、配置、管理防病毒軟件。

2.2 提高認(rèn)識(shí)，加強(qiáng)網(wǎng)絡(luò)安全宣傳

企業(yè)如無相關(guān)經(jīng)驗(yàn)，可以尋求專業(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)組織進(jìn)行安全培訓(xùn)，安全教育、技能考核等，逐步建立出一整套網(wǎng)絡(luò)安全和業(yè)務(wù)風(fēng)控體系和服務(wù)，覆蓋內(nèi)容安全、業(yè)務(wù)安全、移動(dòng)安全、網(wǎng)絡(luò)安全等多個(gè)方面。

2.3 加強(qiáng)對(duì)信息系統(tǒng)環(huán)境、網(wǎng)絡(luò)終端、數(shù)據(jù)備份、系統(tǒng)配置等各個(gè)方面的管理，對(duì)工作人員進(jìn)行約束和激勵(lì)

對(duì)企業(yè)網(wǎng)絡(luò)終端，及時(shí)修復(fù)系統(tǒng)漏洞、查殺病毒、可以通過防火墻等網(wǎng)絡(luò)安全防護(hù)設(shè)備預(yù)防降低網(wǎng)絡(luò)攻擊、侵入等安全風(fēng)險(xiǎn)，采用設(shè)置訪問控制列表、劃分虛擬子網(wǎng)、虛擬專用網(wǎng)等手段，合理規(guī)劃企業(yè)網(wǎng)絡(luò)布局和權(quán)限；利用高效的網(wǎng)絡(luò)管理軟件管理全網(wǎng)，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行、維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性。企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行分類，網(wǎng)絡(luò)資產(chǎn)管理包括數(shù)據(jù)、信息，以及存儲(chǔ)、加工、傳輸數(shù)據(jù)與信息的設(shè)備等，做好等級(jí)保護(hù)工作，落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。以制度化、流程化、規(guī)范化扎實(shí)推動(dòng)內(nèi)控管理工作。對(duì)工作人員工作責(zé)任，要做到賞罰分明，貶惡褒績(jī)，賞勸罰懲。

2.4 落實(shí)責(zé)任追究制度，變措施為行動(dòng)

企業(yè)要設(shè)置專門安全管理部門和安全管理負(fù)責(zé)人，細(xì)化責(zé)任角色，明確責(zé)任人；加強(qiáng)領(lǐng)導(dǎo)，層層落實(shí)工作責(zé)任。企業(yè)要建立健全的管理制度，要明確規(guī)定相關(guān)人員的安全職責(zé)、工作內(nèi)容和工作流程等。將工作責(zé)任分解落實(shí)到各部門和具體崗位上，明確了每個(gè)部門和崗位的內(nèi)控職責(zé)。

2.5 做好應(yīng)急預(yù)案工作，采用多種數(shù)據(jù)保護(hù)措施

應(yīng)急預(yù)案工作其主要由系統(tǒng)應(yīng)急預(yù)案、數(shù)據(jù)災(zāi)備系統(tǒng)等等部分組成。在故障發(fā)生時(shí)能及時(shí)、有效的控災(zāi)恢復(fù)。此外，預(yù)案中還要制定明確的責(zé)任制度，將責(zé)任劃分到個(gè)人。增加數(shù)據(jù)防衛(wèi)能力，可通過加密產(chǎn)品或技術(shù)，對(duì)敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，動(dòng)態(tài)數(shù)據(jù)屏蔽，在查詢結(jié)果集里隱藏指定欄位的敏感數(shù)據(jù)等，重視數(shù)據(jù)的保護(hù)。網(wǎng)絡(luò)事件做監(jiān)控，做日志，留存相關(guān)日志的時(shí)間要符合國(guó)家規(guī)定。

2.6 加強(qiáng)信息安全產(chǎn)品采購(gòu)管理及提高自身產(chǎn)品的安全

企業(yè)采購(gòu)網(wǎng)絡(luò)產(chǎn)品時(shí)要關(guān)注網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供商資質(zhì)，檢查產(chǎn)品是否符合法規(guī)，要有持續(xù)的安全維護(hù)；企業(yè)如有條件，可進(jìn)行第三方的信息安全評(píng)估。第三方評(píng)估可以給運(yùn)營(yíng)者帶來不同的觀察問題的視角，能夠有效幫助運(yùn)營(yíng)者發(fā)現(xiàn)可改進(jìn)之處。

3 具體規(guī)定仍待細(xì)化

《網(wǎng)絡(luò)安全法》雖然從不同的角度做了規(guī)定，但不少具體規(guī)定還要落實(shí)、細(xì)化，還有一些配套措施需要完善。

《網(wǎng)絡(luò)安全法》第二十四條 明確了實(shí)名制的范圍，而非所有的網(wǎng)絡(luò)行為都需要實(shí)名制。雖然，對(duì)“網(wǎng)絡(luò)實(shí)名制”做出明確法律規(guī)定，網(wǎng)站的主體責(zé)任問題目前仍未落實(shí)。網(wǎng)絡(luò)上的門戶網(wǎng)站、論壇、貼吧等，紛紛推出手機(jī)認(rèn)證。但這也帶來2個(gè)問題。一是手機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)商運(yùn)作問題，例如，移動(dòng)手機(jī)號(hào)，在被移動(dòng)回收3個(gè)月后會(huì)被重復(fù)利用，加上“忘記密碼”可以手機(jī)找回，也就說是你的注冊(cè)信息，通過手機(jī)號(hào)又被別人“回收利用”了；二是網(wǎng)站、論壇、貼吧等沒有“注銷”行為，只要注冊(cè)了，用戶信息“永遠(yuǎn)”存在。

《網(wǎng)絡(luò)安全法》第二十一條 國(guó)家實(shí)行“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，并要求網(wǎng)絡(luò)運(yùn)營(yíng)者按照這一制度的要求履行其網(wǎng)絡(luò)運(yùn)行安全保護(hù)義務(wù)。這是我國(guó)法律首次提出“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”這一概念。但《網(wǎng)絡(luò)安全法》并未說明該制度將如何實(shí)施以及“網(wǎng)絡(luò)安全等級(jí)”具體又將如何劃分和確定的。我國(guó)已通過相關(guān)法規(guī)確立了兩項(xiàng)涉及網(wǎng)絡(luò)安全的等級(jí)保護(hù)制度，分別是“計(jì)算機(jī)信息系統(tǒng)信息安全等級(jí)保護(hù)”和“通信網(wǎng)絡(luò)單元安全分級(jí)防護(hù)”， “網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”可能會(huì)存在著交叉或重疊。

4 結(jié)束語

《網(wǎng)絡(luò)安全法》服務(wù)于國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，助力網(wǎng)絡(luò)空間治理，護(hù)航“互聯(lián)網(wǎng)+”。為各方參與互聯(lián)網(wǎng)上的行為提供非常重要的準(zhǔn)則，對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全義務(wù)有了明確的規(guī)定，給企業(yè)的安全建設(shè)提供了一定的指導(dǎo)作用，《網(wǎng)絡(luò)安全法》中鼓勵(lì)企業(yè)參與技術(shù)創(chuàng)新、人才培養(yǎng)與標(biāo)準(zhǔn)的制定，是凝聚各方安全共識(shí)，各司其職、各盡其責(zé)的社會(huì)基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》的實(shí)施，把安全建設(shè)融合入企業(yè)文化，對(duì)于推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化，具有十分重大而深遠(yuǎn)的現(xiàn)實(shí)意義和歷史意義。

參考文獻(xiàn)：

[1] 2017年上半年互聯(lián)網(wǎng)安全報(bào)告.

[2] 2017年中國(guó)手機(jī)安全生態(tài)報(bào)告.

[3] 2017上半年上海地區(qū)互聯(lián)網(wǎng)安全報(bào)告.

[4] 蔣科（合伙人） 楊楠（律師） 《網(wǎng)絡(luò)安全法》來了！——企業(yè)應(yīng)該知道的五件事 博文.