978
從《網安法》出發,給企業安全管理者的五條建議
6月1日,《網絡安全法》正式實施以後,各個行業的網絡安全有了基礎要求,而監管部門的執法力度也依據法條要求呈加強趨勢。
對網約車、P2P金融等行業來說,“網絡安全等保要求”成為了開展業務的先決條件;
而對於踏在個人信息保護、內容安全、漏洞管理等“網絡安全雷區”內的行業,例如大數據、直播平台、內容平台,有可能麵臨暫停業務活動、嚴重的違法行為將導致停業整頓或吊銷執照,直接負責的主管人員和其他直接責任人員也有可能受到處罰。
近兩月,大數據行業清洗,微信公眾號關閉事件,就是《網安法》影響所及。
那麼,企業和機構現在應該在哪方麵加強投入,做好企業安全管理,才能滿足《網安法》的要求呢?
這篇文章會把《網安法》的網絡運營者五大核心義務,轉化成五條實用建議:告訴企業安全管理者如何從現在開始,做好企業安全的每一個環節。
網絡運營者應當采取技術措施和其他必要措施確保收集的個人信息安全,防止信息泄漏、毀損、丟失;做好數據分類、重要數據備份和加密;監測記錄網絡運行狀態、網絡安全事件,並留存相關網絡日誌不少於六個月。
應對建議:企業做好個人信息保護的第一步,是對現有數據進行風險評估與加密。在用戶端,全鏈路加密可以在傳輸、終端、存儲三道環節;在阿裏雲上,我們會對雲端基礎設施進行加密,等於給企業的防盜門加上了一道鎖。
經過加密,即使數據泄漏,攻擊者也無法看到明文的數據。 第二步則需要做好安全應急與漏洞管理,打破“物理隔離就安全”的迷信;最後還要做好內控和審計,實現對安全的態勢感知。
網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或提供服務時,應當要求用戶提供真實身份信息,否則不得提供服務。
應對建議:網絡實名製增加了企業收集、保護用戶個人信息的成本,也是對實名校驗、人臉識別和虛假信息防控等能力的考驗。如果依賴人工去處理和校驗數據,資源投入和效果產出會不成正比;在阿裏雲,我們基於大數據風控模型和生物特征來對用戶信息真實性做識別,也在將實人認證功能模塊化,輸出給雲上企業,降低人工審核成本。
所有網絡運營者都必須按照網絡安全等級保護製度的要求,履行安全保護義務
應對建議:企業應該對等保做全麵、長期的規劃與投入,將等保當作一次全麵升級安全能力的機會,對產品采購、內部管理與流程進行優化。然而,等保的每一步流程:係統定級、完善係統安全防護保障、備案、登記測評、建設整改、監督檢查等一係列事項,時間和資源消耗都非常大。
阿裏雲目前的解法是構築雲上等保生態,提供一站式等保谘詢、安全防護服務、本地化測評服務,集生態力量共同有效實現等保安全要求,提升等保測評備案效率,提升企業安全保障、節省企業人員和時間上的投入;並且,阿裏雲公共雲平台本身的等保三級合規優勢,對企業的整體測評分數也會有所提升。
製定網絡安全事件應急預案,及時處置係統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;安全事件發生時,立即啟動應急預案,采取補救措施,並向有關主管部門報告。
應對建議:許多企業的安全負責人並沒有做專業安全預案的經驗,或者並不重視日常的演練和培訓,現有的安全產品部署分散,管理滯後;這也是為什麼以WannaCry為首的勒索病毒,能夠輕易地打破線下機房的壁壘。
建議企業從培訓、預案、演練、應急、響應、修複等多方麵入手,建立切實可行的應急預案。在人員投入不足的情況下,則建議選擇專業的安全服務團隊來“搭把手”,能在漏洞的提前預警、事件的響應和修複上,提供專業的協助。
發現用戶發布和傳輸違法信息時,應當立即停止傳輸或消除,防止信息擴散,保存有關記錄,並向主管部門報告。
應對建議:網絡運營者需要提高對於自身平台上圖片、文字、視頻內容的識別能力。在基本的圖片鑒黃、反垃圾、OCR算法、文本識別等基礎上,還需要具備違規視頻、語音鑒別、敏感任務識別、文本語義分析和風險判斷等功能,確保內容安全,降低違規風險。
以上五條建議,對於每一個不同的行業來說,會有不一樣的側重點。我們以直播、互聯網金融和電商的具體場景,來談談各個行業的企業安全最重要緊急的任務是什麼。
以監管管轄力度較強的直播行業來說,由於用戶可以實時對公眾直播,因此直播者實名認證以及防範視頻出現違規內容是從業者最需要關注的事情。
而對於互聯網金融行業來說,隨著銀監會等監管機構下發《網絡借貸信息中介機構業務活動管理暫行辦法》等進一步的要求,並且規定了通過的等保的期限。因而等保合規會是互聯網金融行業的重中之重。
最後,電商行業。因其保存著消費者重要個人信息,例如身份證號、銀行卡號、手機號等,那麼首先應當加強的是對個人信息的保護:包括入侵防禦、內控審計和加密。
總的來說,《網絡安全法》的實施,對網絡運營者的基本要求,就是把以往滯後、分散的安全管理模式,轉變成循序漸進,全麵預防。企業以往更多地在思考如何補救安全,而現在,我們更應該思考的是如何去降低風險,和安全事件發生的概率。
讓《網絡安全法》,成為企業安全更好的開始。
最後更新:2017-07-10 19:02:28