2020年网络安全合规大事件盘点

2020年网络安全合规大事件盘点本站　　2020年作为网络安全等级保护制度正式实施的“开局之年”，同时也是众多网络安全合规方向发生巨大突破的一年

　　2020年作为网络安全等级保护制度正式实施的“开局之年”，同时也是众多网络安全合规方向发生巨大突破的一年。从年初的《中华人民共和国密码法》的正式发布；从公网安【2020】1960号文的发布到《中华人民共和国个人信息保（草案）》征求意见，合规工作逐渐成为网络安全建设中最为重要的一部分。那么，2020年合规方面发生了哪些大事件，2021年合规建设该何去何从？

　　《密码法》作为我国密码领域首部综合性、基础性法律，从密码管理的基本原则、分类管理、商用密码从业单位管理，检测认证体系建设，网络运营者使用等多个角度进行了规范。对于关键信息基础设施网络使用者则要求必须使用商用密码并开展商用密码应用安全性评估工作，未开展评估工作最高面临一百万的罚款，未采用经过安全审查的产品或服务则最高面临采购金额十倍的罚款。《密码法》的正式实施也极大地推动了网络运营者对信息系统开展商用密码改造工作的积极性。

　　《等级保护定级指南》作为等级保护2.0最后一个更新的标准，明确了确认网络安全等级保护对象保护等级的原理与流程，可用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。较上一版本主要有以下几点变化：

　　定级对象范围的扩大：伴随着等级保护工作的不断深入，保护对象的范围需要适应网络安全发展的需要，因此在《等级保护定级指南》中新加入了“云计算平台/系统”、“物联网”、“工业控制系统”、“采用移动互联技术的系统”、“数据资源”等多种对象，也为采用新技术的系统开展等级保护工作提供了依据。

　　公网安【2020】1960号文件指出，《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》作为用于指导重点行业、部门开展等保、关保工作的指导性文件。该指导性文件提出了“三大基本原则”（坚持分等级保护、突出重点；坚持积极防御、综合防护；坚持依法防护、形成合力）与“四大工作目标”（贯彻落实等级保护制度、建立与实施关键信息基础设施保护制度、显著提升网络安全监测预警和综合处置能力、基本形成网络安全综合防控体系）。对于网络运营者主要关注以下几点：

　　《个人信息法（草案）》以保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理使用为立法宗旨，规定了个人、企业、国家机关多主体对个人信息保护的权利/权力与义务。作为网络运营者，应重点关注以下方面：

　　对外预防个人信息流通的风险：应保证个人信息来源的合法性；应在接收方变更原先的处理目的、处理方式时重新向个人告知并获得同意；与第三方共享时应明确双方对个人信息处理的责任。

　　金融行业等级保护2.0标准于11月11日正式发布与实施，在国标的基础上提出了网络安全保障总体框架与增强的要求，作为金融设施的运营者应重点关于以下内容：

　　总体原则：“技管交互、综合保障”。遵循“技术要求”、“管理要求”互相交融的原则，实现“技术体系”与“管理体系”的互补。

　　技术体系：在传统防护的基础上增强了对于高级持续威胁监测的要求，增强了对于诱捕、欺骗攻击者的要求；在数据备份与恢复方面进一步强化，对同城数据中心、异地数据中心提出了更高的要求；在云计算扩展要求部分则增强了对于互联网提供金融服务的云平台安全能力的要求。

　　管理体系：网络运营者应基于“建立（规划）”、“实施和执行（实施）”、“监控和审查（检查）”、“保持和改进（处置）”的原则，构建生命周期管理体系。

　　1、合规工作的重要性逐渐提高：2021年将会有更多的条例与标准发布，合规工作的开展也将继续深入。从新产品到新方案的运用，从经费与人员的保障到管理制度的落实，公网安【2020】1960号文也为网络运营者指明了后续工作的方向。

　　2、行业合规要求日益强化：2020年发布了民航、金融、广电、报业等多个领域的等级保护标准，多个行业等级保护及网络安全标准也在积极编制中。2021年合规工作的行业属性将更强，合规要求也将更为细化。

　　3、被动防御向主动对抗转换：在关键信息基础设施的合规建设中，主动防御、主动对抗将成为重点，这对网络运营者自身的安全能力提出了更高的要求，如何从海量的安全事件中筛选出有用的信息并进行反制是网络运营者首先要解决的问题。

　　4、新技术领域的合规要求重视程度逐渐提升：云计算、5G、区块链等新技术广泛应用的同时，也带来了新的安全风险，如何更好开展新技术领域合规工作是网络运营者需要关注的重点。

　　网络安全合规建设的目的是提升用户的网络安全能力。未来，深信服将紧跟相关法规标准的要求，提供专业、高效的网络安全产品及服务，不断进行技术的创新和业务场景的拓展，为用户业务系统带来持续保护。