每经编辑 每经记者 吴林静 每经编辑 陈俊杰
编者按
【 2017年6月1日,不仅仅是一年一度的儿童节,还是《中华人民共和国网络安全法》正式生效的日子。从今日起,我国网络安全工作有了基础性的法律框架,针对网络亦有了更多法律约束,中国信息安全行业进入新的时代。
随着互联网技术及其应用的发展,以大数据为代表的数据密集型技术将成为新时代技术变革的基础。但与此同时,数据的进一步集中和数据量的增加,使得安全防护面临巨大挑战。近日,《每日经济新闻》记者参加2017中国国际大数据产业博览会期间,许多与会专家开口必谈勒索病毒、维基解密、斯诺登等网络安全事件。大数据正以席卷的姿态深刻改变人们的生产和生活,然而,信息安全还没有得到完全有效的解决,这成为大数据时代发展的一个重要瓶颈,也备受到各方关注。】
每经记者 吴林静 每经编辑 陈俊杰
我国互联网从一条网速仅64Kbps的网线,到如今开展5G技术试验,实现了高达70Gbps的数据速率,并参与到5G国际标准的制订中——也就是最近20年的事情。
互联网高速发展的同时,网络安全的威胁也愈发突出。普华永道2016年一项调查显示,2014~2016年期间,我国内地和香港公司探测到的网络攻击数量平均增长了969%。在接受调查的440家中国公司中,每家公司日均遭受攻击超过7次,相比之下,全球平均水平近两年来却出现3%的下滑。
现在,随着《中华人民共和国网络安全法》在6月1日正式实施,针对网络亦有了更多法律约束。《网络安全法》共有七章七十九条,内容十分丰富,具有六大突出亮点,一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三是明确了网络运营者的安全义务;四是进一步完善了个人信息保护规则;五是建立了关键信息基础设施安全保护制度;六是确立了关键信息基础设施重要数据跨境传输的规则。
强调关键信息基础设施安全
《网络安全法》第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。
《每日经济新闻》记者注意到,《网络安全法》第三章用了一半的篇幅强调要保障关键信息基础设施的运行安全。其中,“第三十一条”可谓《网络安全法》一大亮点,要求建立关键信息基础设施安全保护制度,重点强调关键信息基础设施安全和网络诈骗的惩治。关键信息基础设施作为金融、能源、电力、通信、交通等领域运行的神经中枢,与国计民生息息相关,是网络安全的重中之重。近年来,各国因关键信息基础设施被攻击而遭受重大损失的事件层出不穷。
在业内人士看来,当信息化建设从政治、军事逐渐渗透至民生、经济、工业、公共服务等领域,并担当重要基础设施角色,国家意识到,如果这些领域面临严重网络安全隐患,后果同样不堪设想。
在2017中国国际大数据产业博览会上,中国石油化工集团信息管理部主任李德芳提到,“过去系统分散,安全问题不突出,现在,系统越来越多,越来越集中,越来越庞大,并且黑客攻击也越来越厉害。所以,我们的安全体系,从过去的简单防护到网络防护到系统防护,现在应该走向体系型的防护。”
以数据为中心的安全
《网络安全法》对数据安全和数据保护也给予了关注。第二十一条对数据安全作出明确说明:网络运营者应当按照网络安全等级保护制度的要求,防止网络数据泄露或者被窃取、篡改。采取数据分类、重要数据备份和加密等措施。
成都安美勤信息技术股份有限公司安全专家对《每日经济新闻》记者分析称,《网络安全法》第一次对责任主体进行了规定,而且以往网络安全强调以技术为重,“但实际运行中,我们发现管理层面更重要,很多人对网络安全意识认识依然不够。”
这一次,《网络安全法》将责任主体点明落实到了公安、企业、个人等各层面主体身上。网络安全专家表示,《网络安全法》看重的,不是某个数据的安全、某个系统的安全,而是整个组织的安全。主体需要负起责任,“比如平台上信息泄露,作为运营者,也许昨天你的不作为,没有任何关系。但从今天起,你不作为就将承担责任。”
以单位为主体负责的安全,不仅仅能够抵抗外部的攻击,事实上,数据安全威胁更多时候还来自内部,这个比例往往高于来自外部的有意攻击。内部的威胁,不仅仅是窃取,还有滥用和误用。
阿里巴巴集团技术副总裁杜跃进也有类似观点,他在数博会上提出,现在需要转变网络安全的核心思想,变为“以数据为中心的安全”。杜跃进解释,数据是在各个系统之间流动的,以数据为中心的安全,伴随数据的生命周期进行安全保护,涉及到每一个环节,“系统安全不等于数据就安全,系统不安全也不等于数据不安全。”
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。