原文鏈接

6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施以后，各個(gè)行業(yè)的網(wǎng)絡(luò)安全有了基礎(chǔ)要求，而監(jiān)管部門的執(zhí)法力度也依據(jù)法條要求呈加強(qiáng)趨勢(shì)。

對(duì)網(wǎng)約車、P2P金融等行業(yè)來說，“網(wǎng)絡(luò)安全等保要求”成為了開展業(yè)務(wù)的先決條件；

而對(duì)于踏在個(gè)人信息保護(hù)、內(nèi)容安全、漏洞管理等“網(wǎng)絡(luò)安全雷區(qū)”內(nèi)的行業(yè)，例如大數(shù)據(jù)、直播平臺(tái)、內(nèi)容平臺(tái)，有可能面臨暫停業(yè)務(wù)活動(dòng)、嚴(yán)重的違法行為將導(dǎo)致停業(yè)整頓或吊銷執(zhí)照，直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員也有可能受到處罰。

近兩月，大數(shù)據(jù)行業(yè)清洗，微信公眾號(hào)關(guān)閉事件，就是《網(wǎng)安法》影響所及。

那么，企業(yè)和機(jī)構(gòu)現(xiàn)在應(yīng)該在哪方面加強(qiáng)投入，做好企業(yè)安全管理，才能滿足《網(wǎng)安法》的要求呢？

這篇文章會(huì)把《網(wǎng)安法》的網(wǎng)絡(luò)運(yùn)營(yíng)者五大核心義務(wù)，轉(zhuǎn)化成五條實(shí)用建議：告訴企業(yè)安全管理者如何從現(xiàn)在開始，做好企業(yè)安全的每一個(gè)環(huán)節(jié)。

1、加強(qiáng)個(gè)人信息和重要數(shù)據(jù)的保護(hù)

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施確保收集的個(gè)人信息安全，防止信息泄漏、毀損、丟失；做好數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密；監(jiān)測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件，并留存相關(guān)網(wǎng)絡(luò)日志不少于六個(gè)月。

應(yīng)對(duì)建議：企業(yè)做好個(gè)人信息保護(hù)的第一步，是對(duì)現(xiàn)有數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估與加密。在用戶端，全鏈路加密可以在傳輸、終端、存儲(chǔ)三道環(huán)節(jié)；在阿里云上，我們會(huì)對(duì)云端基礎(chǔ)設(shè)施進(jìn)行加密，等于給企業(yè)的防盜門加上了一道鎖。

經(jīng)過加密，即使數(shù)據(jù)泄漏，攻擊者也無法看到明文的數(shù)據(jù)。 第二步則需要做好安全應(yīng)急與漏洞管理，打破“物理隔離就安全”的迷信；最后還要做好內(nèi)控和審計(jì)，實(shí)現(xiàn)對(duì)安全的態(tài)勢(shì)感知。

2、嚴(yán)格執(zhí)行網(wǎng)絡(luò)實(shí)名制

網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù)，辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù)，在與用戶簽訂協(xié)議或提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息，否則不得提供服務(wù)。

應(yīng)對(duì)建議：網(wǎng)絡(luò)實(shí)名制增加了企業(yè)收集、保護(hù)用戶個(gè)人信息的成本，也是對(duì)實(shí)名校驗(yàn)、人臉識(shí)別和虛假信息防控等能力的考驗(yàn)。如果依賴人工去處理和校驗(yàn)數(shù)據(jù)，資源投入和效果產(chǎn)出會(huì)不成正比；在阿里云，我們基于大數(shù)據(jù)風(fēng)控模型和生物特征來對(duì)用戶信息真實(shí)性做識(shí)別，也在將實(shí)人認(rèn)證功能模塊化，輸出給云上企業(yè)，降低人工審核成本。

3、落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度

所有網(wǎng)絡(luò)運(yùn)營(yíng)者都必須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)

應(yīng)對(duì)建議：企業(yè)應(yīng)該對(duì)等保做全面、長(zhǎng)期的規(guī)劃與投入，將等保當(dāng)作一次全面升級(jí)安全能力的機(jī)會(huì)，對(duì)產(chǎn)品采購(gòu)、內(nèi)部管理與流程進(jìn)行優(yōu)化。然而，等保的每一步流程：系統(tǒng)定級(jí)、完善系統(tǒng)安全防護(hù)保障、備案、登記測(cè)評(píng)、建設(shè)整改、監(jiān)督檢查等一系列事項(xiàng)，時(shí)間和資源消耗都非常大。

阿里云目前的解法是構(gòu)筑云上等保生態(tài)，提供一站式等保咨詢、安全防護(hù)服務(wù)、本地化測(cè)評(píng)服務(wù)，集生態(tài)力量共同有效實(shí)現(xiàn)等保安全要求，提升等保測(cè)評(píng)備案效率，提升企業(yè)安全保障、節(jié)省企業(yè)人員和時(shí)間上的投入；并且，阿里云公共云平臺(tái)本身的等保三級(jí)合規(guī)優(yōu)勢(shì)，對(duì)企業(yè)的整體測(cè)評(píng)分?jǐn)?shù)也會(huì)有所提升。

4、加強(qiáng)應(yīng)急響應(yīng)與監(jiān)測(cè)預(yù)警

制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；安全事件發(fā)生時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，并向有關(guān)主管部門報(bào)告。

應(yīng)對(duì)建議：許多企業(yè)的安全負(fù)責(zé)人并沒有做專業(yè)安全預(yù)案的經(jīng)驗(yàn)，或者并不重視日常的演練和培訓(xùn)，現(xiàn)有的安全產(chǎn)品部署分散，管理滯后；這也是為什么以WannaCry為首的勒索病毒，能夠輕易地打破線下機(jī)房的壁壘。

建議企業(yè)從培訓(xùn)、預(yù)案、演練、應(yīng)急、響應(yīng)、修復(fù)等多方面入手，建立切實(shí)可行的應(yīng)急預(yù)案。在人員投入不足的情況下，則建議選擇專業(yè)的安全服務(wù)團(tuán)隊(duì)來“搭把手”，能在漏洞的提前預(yù)警、事件的響應(yīng)和修復(fù)上，提供專業(yè)的協(xié)助。

5、防止違法信息傳播擴(kuò)散

發(fā)現(xiàn)用戶發(fā)布和傳輸違法信息時(shí)，應(yīng)當(dāng)立即停止傳輸或消除，防止信息擴(kuò)散，保存有關(guān)記錄，并向主管部門報(bào)告。

應(yīng)對(duì)建議：網(wǎng)絡(luò)運(yùn)營(yíng)者需要提高對(duì)于自身平臺(tái)上圖片、文字、視頻內(nèi)容的識(shí)別能力。在基本的圖片鑒黃、反垃圾、OCR算法、文本識(shí)別等基礎(chǔ)上，還需要具備違規(guī)視頻、語(yǔ)音鑒別、敏感任務(wù)識(shí)別、文本語(yǔ)義分析和風(fēng)險(xiǎn)判斷等功能，確保內(nèi)容安全，降低違規(guī)風(fēng)險(xiǎn)。

以上五條建議，對(duì)于每一個(gè)不同的行業(yè)來說，會(huì)有不一樣的側(cè)重點(diǎn)。我們以直播、互聯(lián)網(wǎng)金融和電商的具體場(chǎng)景，來談?wù)劯鱾€(gè)行業(yè)的企業(yè)安全最重要緊急的任務(wù)是什么。

以監(jiān)管管轄力度較強(qiáng)的直播行業(yè)來說，由于用戶可以實(shí)時(shí)對(duì)公眾直播，因此直播者實(shí)名認(rèn)證以及防范視頻出現(xiàn)違規(guī)內(nèi)容是從業(yè)者最需要關(guān)注的事情。

而對(duì)于互聯(lián)網(wǎng)金融行業(yè)來說，隨著銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)下發(fā)《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》等進(jìn)一步的要求，并且規(guī)定了通過的等保的期限。因而等保合規(guī)會(huì)是互聯(lián)網(wǎng)金融行業(yè)的重中之重。

最后，電商行業(yè)。因其保存著消費(fèi)者重要個(gè)人信息，例如身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)等，那么首先應(yīng)當(dāng)加強(qiáng)的是對(duì)個(gè)人信息的保護(hù)：包括入侵防御、內(nèi)控審計(jì)和加密。

總的來說，《網(wǎng)絡(luò)安全法》的實(shí)施，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的基本要求，就是把以往滯后、分散的安全管理模式，轉(zhuǎn)變成循序漸進(jìn)，全面預(yù)防。企業(yè)以往更多地在思考如何補(bǔ)救安全，而現(xiàn)在，我們更應(yīng)該思考的是如何去降低風(fēng)險(xiǎn)，和安全事件發(fā)生的概率。

讓《網(wǎng)絡(luò)安全法》，成為企業(yè)安全更好的開始。

原文鏈接