A. 網路安全法立法的目的是啥
備受關注的《網路安全法》於6月1日正式施行。作為我國第一部全面規范網路空間安全管理的基礎性法律,它的施行,標志著我國網路安全從此有法可依,網路空間治理、網路信息傳播秩序規范、網路犯罪懲治等即將翻開嶄新的一頁,對保障我國網路安全、維護國家總體安全具有深遠而重大的意義。
《網路安全法》主要內容解讀:共七章七十九條,主要包括七大方面
維護網路主權與合法權益。
該法第一條即明確規定「維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。」
支持與促進網路安全。
專門拿出一章的內容,要求建立和完善國家網路安全體系,支持各地各相關部門加大網路安全投入、研發和應用,支持創新網路安全管理方式,提升保護水平。
強調網路運行安全。
利用兩節共十九條的篇幅作了詳細規定,突出「國家實行網路安全等級保護制度」和「關鍵信息基礎設施的運行安全」。
保障網路信息安全。
以法律形式明確「網路實名制」,要求網路運營者收集使用個人信息,應當遵循合法、正當、必要的原則,「不得出售個人信息」。
監測預警與應急處置。
要求建立健全網路安全監測預警和信息通報制度,建立網路應急工作機制,制定應急預案,重大突發事件可採取「網路通信管制」。
完善監督管理體制。
實行「1+X」監管體制,打破「九龍治水」困境。該法第八條規定國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關在各自職責范圍內負責網路安全保護和監督管理。
明確相關利益者法律責任。
該法第六章對網路運營者、網路產品或者服務提供者、關鍵信息基礎設置運營者,以及網信、公安等眾多責任主體的處罰懲治標准,作了詳細規定。
總體來說,該法呈現出六大亮點明確禁止出售個人信息行為;嚴厲打擊網路詐騙;從法律層面明確網路實名制;把對重點保護關鍵信息基礎設施的保護擺在重要位置;懲治攻擊破壞我國關鍵信息基礎設施行為;明確發生重大突發事件時可採取「網路通信管制」。
中華人民共和國主席令
第五十三號
《中華人民共和國網路安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,現予公布,自2017年6月1日起施行。
2016年11月7日
中華人民共和國網路安全法
目錄
第一章總則
第二章網路安全支持與促進
第三章網路運行安全
第一節一般規定
第二節關鍵信息基礎設施的運行安全
第四章網路信息安全
第五章監測預警與應急處置
第六章法律責任
第七章附則
第一章總則
第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
第二條在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。
第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
第四條國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。
第五條國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。
第六條國家倡導誠實守信、健康文明的網路行為,推動傳播社會主義核心價值觀,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。
第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。
第八條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。
第九條網路運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網路安全保護義務,接受政府和社會的監督,承擔社會責任。
第十條建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。
第十一條網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員加強網路安全保護,提高網路安全保護水平,促進行業健康發展。
第十二條國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
第十三條國家支持研究開發有利於未成年人健康成長的網路產品和服務,依法懲治利用網路從事危害未成年人身心健康的活動,為未成年人提供安全、健康的網路環境。
第十四條任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。
第二章網路安全支持與促進
第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第十六條國務院和省、自治區、直轄市應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發和應用,推廣安全可信的網路產品和服務,保護網路技術知識產權,支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。
第十七條國家推進網路安全社會化服務體系建設,鼓勵有關企業、機構開展網路安全認證、檢測和風險評估等安全服務。
第十八條國家鼓勵開發網路數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展。
國家支持創新網路安全管理方式,運用網路新技術,提升網路安全保護水平。
第十九條各級有關部門應當組織開展經常性的網路安全宣傳教育,並指導、督促有關單位做好網路安全宣傳教育工作。
大眾傳播媒介應當有針對性地面向社會進行網路安全宣傳教育。
第二十條國家支持企業和高等學校、職業學校等教育培訓機構開展網路安全相關教育與培訓,採取多種方式培養網路安全人才,促進網路安全人才交流。
第三章網路運行安全
第一節一般規定
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第二十二條網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
網路產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。
第二十三條網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重復認證、檢測。
第二十四條網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
國家實施網路可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
第二十五條網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十六條開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。
第二十七條任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第二十八條網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
第二十九條國家支持網路運營者之間在網路安全信息收集、分析、通報和應急處置等方面進行合作,提高網路運營者的安全保障能力。
有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
第三十條網信部門和有關部門在履行網路安全保護職責中獲取的信息,只能用於維護網路安全的需要,不得用於其他用途。
第二節關鍵信息基礎設施的運行安全
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
第三十二條按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制並組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。
第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。
第三十四條除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
網路安全法是為了推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。
法律依據:
根據《中華人民共和國網路安全法》第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。
《中華人民共和國網路安全法》第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
第四條國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。
參考資料來源:中國政府網——中華人民共和國網路安全法
B. 國家網路安全法六大看點是什麼
國家網路安全法的六大重點內容如下:
1. 確定了網路安全工作的責任主體和責任范圍,為各個行業、領域、地區的網路安全工作提供了基本准則。
2. 強調了網路安全工作的總體要求,包括建立健全網路安全保護制度、完善網路安全防護體系、提高網路安全事件處置能力等。
3. 規定了網路安全事件的報告和處置程序,明確了網路安全事件的分類和級別,為網路安全事件的及時發現、及時處置提供了制度保障。
4. 此外,該法還規定了網路安全教育和培訓的內容和要求,要求各級政府、企事業單位、社會組織和個人加強網路安全意識,提高網路安全技能,共同維護國家網路安全。
C. 網路安全行業專題報告:零信任,三大核心組件,六大要素分析
獲取報告請登錄【未來智庫】。
1.1 零信任架構的興起與發展
零信任架構是 一種端到端的企業資源和數據安全 方法,包括身份( 人和 非 人的實體)、憑證、訪問管理理、操 作、端點、宿主環境和互聯基礎設施。
• 零信任體系架構是零信任不不是「不不信任」的意思,它更更像是「默認不不信任」,即「從零開始構建信任」的思想。 零信任安全體系是圍繞「身份」構建,基於許可權最 小化原則進 行行設計,根據訪問的 風險等級進 行行動態身份 認證和授權。
1.2 零信任架構的三大核心組件
1.3 零信任的六大實現要素——身份認證
2.1 零信任安全解決方案主要包括四個模塊
2.2 零信任的主要部署場景
2.3 零信任將會對部分安全產品帶來增量效應
2.4 零信任將會成為安全行業未來的重要發展方向
零信任抓住了了 目前 網路安全 用戶的痛點, 零信任是未來 網路安全技術的重要發展 方 向。根據Cybersecurity的調查, 目前 網路 安全的最 大的挑戰是私有應 用程序的訪問 端 口 十分分散,以及內部 用戶的許可權過多。 62%的企業認為保護遍布在各個數據中 心 和雲上的端 口是 目前最 大的挑戰,並且 61%的企業最擔 心的是內部 用戶被給予的 許可權過多的問題。這兩點正是零信任專注 解決的問題,現在有78%的 網路安全團隊 在嘗試采 用零信任架構。
3、投資建議
企業業務復雜度增加、信息安全防護壓 力力增 大,催 生零信任架構。
企業上雲、數字化轉型加速、 網路基 礎設施增多導致訪問資源的 用戶/設備數量量快速增 長, 網路邊界的概念逐漸模糊; 用戶的訪問請求更更加復 雜,造成企業對 用戶過分授權;攻擊 手段愈加復雜以及暴暴露露 面和攻擊 面不不斷增 長,導致企業安全防護壓 力力加 大。 面對這些新的變化,傳統的基於邊界構建、通過 網路位置進 行行信任域劃分的安全防護模式已經 不不能滿 足企業要求。零信任架構通過對 用戶和設備的身份、許可權、環境進 行行動態評估並進 行行最 小授權, 能夠 比傳統架構更更好地滿 足企業在遠程辦公、多雲、多分 支機構、跨企業協同場景中的安全需求。
零信任架構涉及多個產品組件,對國內 網安 行行業形成增量量需求。
零信任的實踐需要各類安全產品組合, 將對相關產品形成增量量需求:1)IAM/IDaaS等統 一身份認證與許可權管理理系統/服務,實現對 用戶/終端的 身份管理理;2)安全 網關: 目前基於SDP的安全 網關是 一種新興技術 方向,但由於實現全應 用協議加密流 量量代理理仍有較 大難度,也可以基於現有的NGFW、WAF、VPN產品進 行行技術升級改造;3)態勢感知、 SOC、TIP等安全平台類產品是零信任的 大腦,幫助實時對企業資產狀態、威脅情報數據等進 行行監測;4)EDR、雲桌 面管理理等終端安全產品的配合,實現將零信任架構拓拓展到終端和 用戶;5) 日誌審計:匯聚各 數據源 日誌,並進 行行審計,為策略略引擎提供數據。此外,可信API代理理等其他產品也在其中發揮重要 支撐 作 用。
零信任的實踐將推動安全 行行業實現商業模式轉型,進 一步提 高 廠商集中度。
目前國內 網安產業已經經過 多年年核 心技術的積累,進 入以產品形態、解決 方案和服務模式創新的新階段。零信任不不是 一種產品, 而 是 一種全新的安全技術框架,通過重塑安全架構幫助企業進 一步提升防護能 力力。基於以太 網的傳統架構 下安全設備的交互相對較少,並且能夠通過標準的協議進 行行互聯,因 而導致硬體端的采購 非常分散,但 零信任的實踐需要安全設備之間相互聯動、實現多雲環境下的數據共享,加速推動安全 行行業從堆砌安全 硬體向提供解決 方案/服務發展,同時對客戶形成強粘性。我們認為研發能 力力強、產品線種類 齊全的 廠商 在其中的優勢會越發明顯。
由於中美安全市場客戶結構不不同以及企業上公有雲速度差異,美國零信任SaaS公司的成功之路路在國內還 缺乏復制基礎。
美國 網路安全需求 大頭來 自於企業級客戶,這些企業級客戶對公有雲的接受程度 高,過 去 幾年年上雲趨勢明顯。根據Okta發布的《2019 工作報告》,Okta客戶平均擁有83個雲應 用,其中9%的 客戶擁有200多個雲應 用。這種多雲時代下企業級 用戶統 一身份認證管理理難度 大、企業內外 網邊界極為 模糊的環境,是Okta零信任SaaS商業模式得以發展的核 心原因。 目前國內 網路安全市場需求主要集中於 政府、 行行業( 金金融、運營商、能源等),這些客戶 目前上雲主要以私有雲為主, 網安產品的部署模式仍 未進 入SaaS化階段。但隨著未來我國公有雲滲透率的提升,以及 網安向企業客戶市場擴張,零信任相關 的SaaS業務將會迎來成 長機會。
投資建議:
零信任架構的部署模式有望提升國內 網安市場集中度,將進 一步推動研發能 力力強、擁有全線 安全產品的頭部 廠商擴 大市場份額、增加 用戶粘性,重點推薦啟明星 辰辰、綠盟 科技 、深信服、南洋股份, 關注科創新星奇安信、安恆信息。
(報告觀點屬於原作者,僅供參考。作者:招商證券,劉 萍、范昳蕊)
如需完整報告請登錄【未來智庫】。