第一节 网络安全等级保护制度
适用要点
1.网络安全等级保护制度的立法进程
2.网络安全等级保护制度的标准体系
3.网络安全等级保护制度的工作流程
4.网络安全等级保护措施的基线要求
5.违反网络安全等级保护义务的法律责任
网络安全等级保护制度是我国在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,是国家对基础信息网络和重要信息系统实施重点保护的关键措施。我国开展等级保护实践十余年,初步实现了等级保护工作的标准化、规范化。为了深化等级保护制度、保护国家关键信息基础设施和大数据安全,《网络安全法》第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度,规定了等级保护制度安全措施的基线要求并赋予强制力,同时第三十一条进一步要求关键信息基础设施必须落实国家安全等级保护制度,突出保护重点。
一、网络安全等级保护制度的立法进程
(一)等级保护制度1.0时代
《网络安全法》颁布之前,我国许多规范性文件以及标准中已有网络安全等级保护制度的具体规定。在法规政策层面,等级保护制度初具体系。1994年,国务院颁布的《计算机信息系统安全保护条例》第九条首次明确提出计算机信息系统实行安全等级保护,为我国信息系统实行等级保护提供了法律依据。2003年,国家信息化领导小组发布《国家信息化领导小组关于加强信息安全保障工作的意见》将信息安全等级保护作为国家信息安全保障工作的重中之重,明确指出信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,要综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室印发《关于信息安全等级保护工作的实施意见》,对信息安全等级保护的基本制度框架进行了规划。根据信息及信息系统的重要程度和危害程度将信息和信息系统的安全保护等级划分为五级:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。2007年,公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布了《信息安全等级保护管理办法》,对信息安全等级保护制度作了较为具体的规定,提出了影响信息安全保护等级定级的两个影响因素:信息系统在国家安全、经济建设、社会生活中的重要程度;信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,并依据上述因素将信息系统的安全保护等级由低到高划分为五个等级。2007年,《关于开展全国重要信息系统安全等级保护定级工作的通知》的下发,标志着信息安全等级保护定级工作在全国范围内开展。2008年,国务院三定方案明确规定公安机关“监督、检查、指导信息安全等级保护工作”的职能。2009年,《关于印送〈关于开展信息安全等级保护安全建设整改工作的指导意见〉的函》文件的下发,标志着信息安全等级保护建设整改工作在全国范围内启动。2010年,《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》文件的出台,标志着全国范围内信息安全等级保护测评工作的开始。此外,针对安全等级保护工作的具体环节,公安部牵头制定发布了《信息安全等级保护备案实施细则》《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》《关于印发〈信息系统安全等级测评报告模版(试行)〉的通知》和《公安机关信息安全等级保护检查工作规范》等政策和规范性文件。
在标准化层面,等级保护制度的标准建设工作粗具规模。1999年,国家质量技术监督局发布强制性标准《计算机信息系统安全保护等级划分准则》(GB 17859—1999)。该标准将计算机系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级五个等级,并提出了适用于计算机信息系统安全保护技术能力等级的划分准则,为等级划分和保护奠定了技术基础。之后,我国在《计算机信息系统安全保护等级划分准则》(GB 17859—1999)的基础上进行了进一步的细化和扩展,相继出台了一系列的国家标准。2008年颁布的《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)提出和规定了不同安全保护等级信息系统的最低技术和管理保护要求,将基本技术要求细分为信息安全类要求、服务保证类要求和通用安全保护类要求。《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)明确了信息安全的等级、定级要素、定级方法,并对定级要素的判定基准进行了细化。2010年发布的《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058—2010)提出了实施等级保护的四大基本原则:自主保护原则、重点保护原则、同步建设原则、动态调整原则。将信息系统安全等级保护实施的过程划分为信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止五个阶段,并规定了各阶段实施等级保护制度的要求。《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070—2010)规定了信息系统等级保护安全设计技术要求,包括第一级至第五级系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求。2012年发布的《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448—2012)、《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449—2012)对等级测评工作作出了细化规定。
等级保护制度创造性地提出了适合我国国情的信息安全保护流程和方法,以所承载业务应用的“社会重要性”来确定安全保护等级,对不同等级的系统采用不同的“基线”予以保护并对其实施不同的监管。以上行政法规、部门规章、政策、规范性文件和技术标准等初步构成了我国网络安全等级保护法律政策和标准体系,明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施,赋予了公安机关牵头负责等级保护工作监督管理的职责,为我国等级保护工作的具体实践提供了基本保障和技术支撑。我国网络安全等级保护工作推行十多年来,在全面提升信息系统安全保护能力方面取得了明显的成效,被称为我国网络安全等级保护制度的1.0时代。
(二)等级保护制度2.0时代
进入新时期以来,我国网络安全威胁态势日益严峻,网络安全新形势、新变化对等级保护工作提出了新要求,云计算、物联网、移动互联网、工控系统等新技术、新应用的发展不断催生等级保护的模式创新。中共中央办公厅、国务院办公厅《关于加强社会治安防控体系建设的意见》《关于全面深化公安改革若干重大问题的框架意见》等文件明确提出“健全信息安全等级保护制度”, 《国家信息化发展战略纲要》《国家网络空间安全战略》等战略中对等级保护工作提出进一步要求,《网络安全法》从基本法层面确定了国家网络安全等级保护制度。以上国家政策、战略和基本法对等级保护提出了新要求,标志着等级保护制度进入2.0时代,网络安全等级保护制度成为一个全新的国家网络安全基本制度体系。
总体而言,等级保护制度1.0侧重全面提升信息系统安全保护能力,随着国家网络安全新形势、新变化对等级保护提出的新要求,等级保护制度2.0正向重要信息系统和重要网络设施保护倾斜,向关键信息基础设施保护倾斜,向个性化保护等级保护对象倾斜。较之等级保护制度1.0,等级保护制度2.0主要带来了4点变化:第一,在《网络安全法》中将等级保护制度纳入法律保护体系;第二,将等级保护对象进一步扩展,包括了大型互联网企业、大数据中心、云计算平台、公众服务平台、基础网络、重要信息系统、工业控制系统、物联网、重要网站等;第三,对等级保护体系升级,亟须进一步完善新的网络安全等级保护政策体系、标准体系、技术体系、教育培训体系、测评体系和人才体系等;第四,定级、备案、建设整改、等级测评和监督检查五个规定环节的内涵将更加丰富,如在建设整改过程中附加关注安全监测、通报预警、应急处置、安全可控等,等级测评阶段将越来越重视渗透测试、攻防对抗和有效性评价等。
以等级保护的标准体系为例,随着信息技术的迅速发展,云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境,一些旧有的制度标准已经无法满足防护要求,原有的标准在适用性、时效性、易用性、可操作性等诸多方面需要进一步完善。《网络安全法》出台以后,与网络安全等级保护制度配套的国家标准的制定和修订工作也在加紧推进中,全国信息标准委员会发布了一系列相关征求意见稿,这些征求意见稿中的相关规定回应了时代和技术的要求。
等级保护标准征求意见稿大体可以分为两类:一类是对现有的标准进行修改和细化,例如《信息安全技术 网络安全等级保护实施指南(征求意见稿)》即是对《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058—2010)的修改和完善,《信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》即是对《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)的修订。另一类是对网络安全等级保护1.0时代还没有关注、没有涉及的领域——云计算、移动互联网、物联网、工业控制系统以及大数据环境下的等级保护制度作出规定,例如,《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求(征求意见稿)》《信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求(征求意见稿)》《信息安全技术 网络安全等级保护基本要求 第4部分:物联网安全扩展要求(征求意见稿)》等。
二、网络安全等级保护实施的工作流程
网络安全等级保护工作实施的主要环节包括定级备案、建设整改、等级测评和监督检查。《信息安全等级保护管理办法》《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)、《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058—2010)、《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448—2012)和《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449—2012)等规定和标准规定了各等级信息系统的保护措施,明确了对信息系统的定级、备案、测评、整改流程以及安全管理要求和安全技术要求。
(一)定级备案
定级备案,即根据信息、信息系统的重要程度和信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,经公安机关审核把关,合理确定信息系统的安全保护等级。定级备案的主要依据是《信息安全等级保护管理办法》《关于开展全国重要信息系统安全等级保护定级工作的通知》等规范性文件和《信息系统安全等级保护定级指南》等国家标准。一些行业主管部门依据上述文件和标准,结合行业实际,制定了更加具体的定级实施细则,用于指导全行业开展定级工作,这些实施细则可以作为该行业定级工作的依据。
定级备案环节包括了定级和备案两项工作。定级是指安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等确定安全保护等级。影响定级的两个因素为重要程度和危害程度。其中危害程度考量的因素为公民、法人和其他组织的合法权益,社会秩序、公共利益以及国家安全。依据上述因素,《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)将安全保护等级由低到高划分为五个等级。定级要素与安全保护等级的关系如表3-1所示。
表3-1 定级要素与安全保护等级的关系
需要注意,《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》对《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)作了修改。根据《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240—2008)的规定,遭到破坏后会对公民、法人和其他组织的合法权益造成损害的安全等级保护对象的安全保护等级最高为第二级,但《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》将遭到破坏后会对公民、法人和其他组织的合法权益造成特别严重损害的安全等级保护对象的安全保护等级规定为第三级。
定级是等级保护工作的首要环节和关键环节,是开展系统备案、建设整改、等级测评和监督检查等工作的重要基础。系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作就会失去基础,需做到科学、合理、准确定级。实践中,在定级对象和保护等级的选取上需注意以下几个方面:第一,起支撑、传输作用的基础网络(包括专网、内网、外网、网管系统)是定级对象,可从安全管理和安全责任角度将基础网络划分为若干安全域定级;第二,用于生产、调度、管理、作业、指挥、办公等目的的各类业务应用系统,按照不同业务类别单独确定为定级对象;第三,单位、部门的门户网站以及对外提供信息发布、内容服务的政务公开平台等应作为独立的定级对象;第四,对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要合理确定定级对象,科学确定保护等级。定级要素和定级实例参考见表3-2。
表3-2 等级保护定级要素和定级实例参考
网络运营者完成定级后,还应当根据有关规定进行备案。根据公安部2007年发布的《信息安全等级保护备案实施细则》的规定,公安机关公共信息网络安全监察部门为定级工作的备案单位。信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。《信息安全等级保护管理办法》规定信息系统运营、使用单位应当根据已经确定的安全保护等级,到公安机关办理备案手续;《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》也规定了网络运营者的网络安全保护等级定级工作完成后,运营、使用单位有主管部门的,应当经主管部门审核、批准,并报公安机关备案审查。
(二)建设整改
系统安全保护等级确定后,网络运营者根据信息系统的安全级别为信息系统选择最低安全控制措施,并在信息系统中实现这些安全技术措施和管理措施,确保信息系统具有与其安全级别对应的安全保护能力,建设整改工作是网络安全等级保护制度的核心和落脚点。
建设整改的主要依据是《关于开展信息安全等级保护安全建设整改工作的指导意见》《信息安全等级保护安全建设整改工作指南》等规范性文件和《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)、《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058—2010)、《信息安全技术 信息系统安全工程管理要求》(GB/T 20282—2006)、《信息安全技术 信息系统通用安全技术要求》(GB/T 20271—2006)、《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070—2010)等国家标准。
(三)等级测评
等级测评是等级保护工作的重要环节,网络运营者通过委托等级测评机构开展等级测评,可以查找系统安全隐患和薄弱环节,明确系统与相应等级标准要求的差距和不足,有针对性地进行安全建设整改。等级测评机构,是指具备《信息安全等级保护测评工作管理规范》确定的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。等级测评作为特殊的安全服务,对于检验网络运营者安全保护措施落实情况,促进其不断优化和改进安全保护状况,提升我国网络安全总体防护水平具有十分重要的意义。2010年,公安部在2009年试点工作基础上,正式开展测评机构推荐工作。截至2016年年底,全国共审核推荐了156家等级测评机构。
等级测评的主要依据是《信息安全等级保护管理办法》《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》、《关于印发〈信息系统安全等级测评报告模版(试行)〉的通知》和《信息系统安全等级保护测评要求》以及《信息系统安全等级保护测评过程指南》等国家标准。
(四)监督检查
为规范公安机关开展等级保护检查工作,公安部十一局根据《信息安全等级保护管理办法》制定了《公安机关信息安全等级保护检查工作规范(试行)》,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,对第三级信息系统的运营使用单位信息安全等级保护工作每年检查一次,对第四级信息系统的运营使用单位信息安全等级保护工作每半年检查一次,确保网络安全等级保护工作落到实处。公安机关检查内容包括等级保护工作部署和组织情况、信息系统安全等级保护定级备案情况、信息安全设施建设情况和信息安全整改情况、信息安全管理制度建立和落实情况、信息安全产品选择和使用情况、聘请测评机构开展技术测评工作情况、定期自查情况等。
三、网络安全等级保护安全措施的基线要求
《网络安全法》以“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”为目的,通过第二十一条和第五十九条规定了等级保护制度安全措施的基线要求并赋予其强制力。
《网络安全法》第二十一条规定,网络运营者(包括网络所有者、管理者和网络服务提供者)应当按照网络安全等级保护制度的要求,履行下列安全保护义务:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。
《网络安全法》规定的网络除了互联网还包括局域网、工业控制系统,其虽不向社会提供商业或公共服务,但其所有者、控制者也必须承担相应的安全义务。网络服务提供者则包括了网络产品提供者、基础电信运营者、网络接入服务提供者、网络信息服务提供者、上网服务提供者、关键信息基础设施运营者、网络安全服务提供者等。网络运营者落实等级保护制度安全措施的责任要求,包括制定安全管理制度、安全责任落实、采取安全技术措施、网络监测与日志留存、数据安全保障等方面。
《网络安全法》第五十九条规定了违反第二十一条的法律责任,即网络运营者不履行本法第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。由此可见,承担网络安全等级保护责任的主体不仅包括网络运营者,还包括直接负责的主管人员,处罚方式包括责令改正后警告和罚款。其中责令改正是未造成危害后果而进行罚款处罚的前置条件,即责令改正而拒不改正的给予罚款处罚;在网络运营者不履行安全保护义务导致危害网络安全后果的情形下,可直接作出罚款处罚。
《网络安全法》实施之后,网络安全执法行为逐渐走向常态。从目前的执法情况来看,已经有运营者因违反网络安全等级保护规定而被处罚。实践中发生的案例包括未按规定进行网络安全等级的定级备案与等级测评、未留存网络日志、未对危害网络安全的行为采取技术防范措施等,具体的执法案例见表3-3。
表3-3 网络安全等级保护制度执法案例汇总
(一)制定内部安全管理制度及操作规程
网络运营者需制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。内部安全管理制度是网络运营者制定的有关网络安全管理组织架构、人员配备、行为规范、管理责任的规则;操作规程是网络运营者制定的有关人员在操作设备或办理业务时应当遵守的程序或者步骤。
网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定,制定内部安全管理制度和操作规程,细化并落实安全管理义务对安全管理活动中的主要管理内容建立安全管理制度,对管理人员或操作人员执行的日常管理操作建立操作规程。安全管理制度应通过正式、有效的方式发布,并进行版本控制,应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
在人员安全管理方面,网络运营者应根据不同保护等级设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并明确各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并明确各个工作岗位的职责;应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》规定了不同安全保护等级对象的基本管理要求,对安全管理制度、安全管理机构和人员安全管理等提出了不同程度的要求。以安全管理制度岗位设置要求为例,《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》中二级的安全管理制度岗位设置要求包括:“a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责。”四级的安全管理制度岗位设置要求则包括:“a)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;b)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;c)应设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责。”
(二)采取防范危害网络安全行为的技术措施
为落实网络安全等级保护制度,网络运营者应当采取技术防范措施,防范计算机病毒和网络攻击、网络侵入等网络安全风险。除《网络安全法》外,《计算机信息网络国际联网安全保护管理办法》
、公安部发布的《互联网安全保护技术措施规定》等规定中对于网络运营者应该承担的技术措施作出了规定。网络运营者应当采取的技术措施包括安装防病毒软件,防范计算机病毒;安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等,防范网络攻击、侵入等。整体而言,随着信息网络技术的更新换代,网络侵入、攻击的手段也将千变万化,但以技术措施作为应对危害网络安全行为的首要防范手段的思路不会变。
《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》规定了不同安全保护等级对象的入侵防范要求,如二级要求“a)应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应关闭不需要的系统服务、默认共享和高危端口;c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;d)应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞”。三级要求“a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;b)应在关键网络节点处检测和限制从内部发起的网络攻击行为;c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警”。
(三)网络监测与日志留存
网络运营者应配备相应的软硬件监测、记录网络运行状态和网络安全事件,按规定留存网络日志。网络日志是对网络信息系统的用户访问、运行状态、系统维护等情况的记录,对于追溯非法操作、未经授权的访问,并维护网络安全以及调查网络违法犯罪活动意义重大。
《网络安全法》颁布之前我国许多规范性文件中已经存在与日志留存相关的规定,这些规定基本源自2000年国务院发布的《互联网信息服务管理办法》的规定。根据《互联网信息服务管理办法》第十四条的规定,互联网信息服务提供者应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存六十日;2003年铁道部发布的《铁路计算机信息系统安全保护办法》第二十七条规定,重要计算机信息系统应当建立完善的计算机信息系统日志,根据信息的重要程度设定保存时间,最短不少于六十天;2006年公安部发布的《互联网安全保护技术措施规定》第十三条规定,互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天的记录备份的功能;2012年工业和信息化部发布的《移动互联网恶意程序监测与处置机制》(自2018年1月1日起废止)第十二条规定,CNCERT、移动通信运营企业、互联网域名注册管理机构和注册服务机构应留存所监测和处置的移动互联网恶意程序相关数据或资料以备查验,数据或资料保存时间为六十天。有些行业规范超出了六十日的规定,如2009年《商业银行信息科技风险管理指引》第二十七条规定,“……系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年”。
国际上对日志存留有更长的期限规定。欧盟制定了《数据存留指令》,赋予各成员国的国内公用电讯或公共通信网络运营商的通信数据存留义务,以确保该类数据能够用于协助执法,进行重大犯罪调查、侦查和起诉。《数据存留指令》规定日志应留存六个月到两年,成员国可根据国情确定期限。尽管2014年4月欧洲法院裁定该指令无效,但随后欧盟表示将适时重新调整数据留存期限规定以满足各成员国监管需求。2015年4月13日,澳大利亚通过《电信(监控和接入)修正(数据留存)法案》,要求电信运营商对特定类型电信数据的法定留存义务,留存期限为两年。2016年6月24日,俄罗斯通过了《反恐怖主义法修正案》,要求通信运营商在俄罗斯境内留存日志信息和信息内容,日志留存期限为三年,内容留存期限为六个月。
日志留存可以帮助获取犯罪分子或犯罪嫌疑人的个人通信数据,协助侦查机关掌握犯罪分子或嫌疑人的行踪,或者可以提前获取犯罪信息,有效预防犯罪。例如,接入服务商留存的用户账号、互联网地址和上下网时间等日志记录,是公安机关开展侦查工作的重要支撑,也是认定网络违法犯罪行为的重要依据。日志记录是否能完整及时留存,直接影响公安机关侦查办案和落地查证工作。从执法实践来看,《互联网信息服务管理办法》第十四条规定的六十日期限过短,一旦发生网络违法犯罪难以有效追溯。在公安机关近年开展打击网络违法犯罪国际执法协作中,经常出现因为国内日志留存期限过短,无法完成日志信息调取工作的情况。鉴于此,《网络安全法》第二十一条规定网络运营者留存监测、记录网络运行状态和网络安全事件的日志信息不少于六个月,从法律层面解决了原有法规中日志留存时限仅有六十日,难以满足追溯网络违法犯罪需要的问题。
在等级保护标准层面,《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》明确规定二级的安全审计要求为“a)应提供并启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应确保审计记录的留存时间符合法律法规要求”。
(四)数据分类、重要数据备份和加密
网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至为重要。网络安全等级制度要求网络运营者对数据进行分类,重要数据采取备份和加密等措施,防止网络数据被窃取或者篡改。
数据分类是按照重要程度等标准对数据进行区分、归类的。我国现行的规范中没有针对数据分类标准的具体规定。《信息安全等级保护管理办法》第三十四条规定,国家密码管理部门对信息安全等级保护的密码实行分类分级管理。对于重要数据备份和加密中重要数据的认定问题,《网络安全法》未作具体的界定。《网络安全法》第三十七条关于关键信息基础设施的重要数据出境中有“重要数据”的有关规定。基于《网络安全法》第三十七条,2017年国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,定义“重要数据”为与国家安全、经济发展,以及社会公共利益密切相关的数据。从此定义可以看出第三十七条中的“重要数据”的识别需要考量的因素包括国家安全、经济发展和社会公共利益。之后国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》对重要数据进行了进一步的认定。从上述规定中可以看出,数据出境规范中的“重要数据”具有以下特点:第一,重要数据与个人数据并非种属关系,个人数据不属于规范中的重要数据。虽然《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”中还增加了对于个人合法利益的考量,疑似可以将个人数据纳入其中,但这与整个指南将个人数据与重要数据分别加以规范的做法并不相符,有待商榷。第二,国家秘密被排除在外,国家秘密的相关规范由其他法律法规进行规定。第三,数据来源为识别要素之一,“重要数据”的来源仅限于境内收集和产生,而不包括来源于境外的数据。
需要注意的是,网络安全等级制度中的“重要数据”与数据出境制度中的“重要数据”略有不同。数据备份、加密与数据出境对于国家安全,社会秩序、公共利益以及公民、法人和其他组织的合法权益影响的作用方式有所不同。例如,有些用户信息的出境并不会对国家安全、经济发展和社会公共利益产生不利影响,因此,不属于数据出境中的“重要数据”。但是这类数据的备份对于企业自身运营可能具有重大的积极意义,可能就属于网络安全等级保护制度中的“重要数据”。此外,有些数据的备份可能会对网络运营者业务自身运营具有重要意义,因此,可能会被划分到等级保护中的“重要数据”的范畴,但是此类数据可能会因出境对国家安全、经济发展和社会公共利益没有多大影响而被排除在数据出境规范中的“重要数据”的范畴之外。其次,与数据出境中的“重要数据”强调数据境内产生或收集不同,等级保护制度中的“重要数据”并不区分数据的来源。最后,在数据出境的规范中,并未将个人数据纳入重要数据的范畴,而是将个人数据与重要数据分别加以规定和保护。在等级保护制度规定的重要数据加密和备份中并没有另行规定个人数据的保护,鉴于个人数据对于国家、公众或个人的重要意义,等级保护制度中的“重要数据”必然包括了个人数据。综上,等级保护制度中的“重要数据”的认定应当以保护国家安全,社会秩序、公共利益以及公民、法人和其他组织的合法权益为导向,重点考量数据备份和加密对于网络运营者业务运营的重要意义以及数据不备份、不加密是否会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成不利影响。
网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。以数据备份要求为例,《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求(征求意见稿)》规定了不同等级不同强度的数据备份要求。二级数据备份恢复要求为“a)应提供重要数据的本地数据备份与恢复功能;b)应提供数据的异地备份功能,利用通信网络将重要数据定时批量传送至备用场地”。三级数据备份恢复要求为“a)应提供重要数据的本地数据备份与恢复功能;b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;c)应提供重要数据处理系统的热冗余,保证系统的高可用性”。四级数据备份恢复要求为“a)应提供重要数据的本地数据备份与恢复功能;b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;c)应提供重要数据处理系统的热冗余,保证系统的高可用性;d)应建立异地灾难备份中心,提供业务应用的实时切换”。
值得注意的是,依据《网络安全法》第二十一条的规定,除了制定内部安全管理制度及操作规程、确定网络安全负责人、采取防范危害网络安全行为的技术措施、网络监测与日志留存、数据分类、重要数据备份和加密等明确规定的义务,法律、行政法规规定的其他义务也是网络运营者需要履行的安全保护义务,如依据《计算机信息系统安全保护条例》第九条和《信息安全等级保护管理办法》第十四条规定的“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评”的义务等。
法条链接目录
1.中华人民共和国网络安全法
2.中华人民共和国计算机信息系统安全保护条例
3.国家信息化领导小组关于加强信息安全保障工作的意见
4.关于信息安全等级保护工作的实施意见
5.信息安全等级保护管理办法
6.关于开展全国重要信息系统安全等级保护定级工作的通知
7.关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知
8.信息安全等级保护备案实施细则
9.关于加强国家电子政务工程建设项目信息安全风险评估工作的通知
10.公安机关信息安全等级保护检查工作规范
11.信息安全技术 信息系统安全等级保护定级指南(GB/T 22240—2008)
12.信息安全技术 信息系统安全等级保护基本要求(GB/T 22239—2008)
13.信息安全技术 信息系统安全等级保护测评要求(GB/T 28448—2012)
14.信息安全技术 信息系统安全等级保护测评过程指南(GB/T 28449—2012)
15.国家信息化发展战略纲要
16.国家网络空间安全战略
17.计算机信息网络国际联网安全保护管理办法
18.互联网信息服务管理办法
19.互联网安全保护技术措施规定