从《网安法》出发_给企业安全管理者的五条建议

原文链接

6月1日,《网络安全法》正式实施以后,各个行业的网络安全有了基础要求,而监管部门的执法力度也依据法条要求呈加强趋势。

对网约车、P2P金融等行业来说,“网络安全等保要求”成为了开展业务的先决条件;

而对于踏在个人信息保护、内容安全、漏洞管理等“网络安全雷区”内的行业,例如大数据、直播平台、内容平台,有可能面临暂停业务活动、严重的违法行为将导致停业整顿或吊销执照,直接负责的主管人员和其他直接责任人员也有可能受到处罚。

近两月,大数据行业清洗,微信公众号关闭事件,就是《网安法》影响所及。


那么,企业和机构现在应该在哪方面加强投入,做好企业安全管理,才能满足《网安法》的要求呢?

这篇文章会把《网安法》的网络运营者五大核心义务,转化成五条实用建议:告诉企业安全管理者如何从现在开始,做好企业安全的每一个环节。

1、加强个人信息和重要数据的保护
网络运营者应当采取技术措施和其他必要措施确保收集的个人信息安全,防止信息泄漏、毁损、丢失;做好数据分类、重要数据备份和加密;监测记录网络运行状态、网络安全事件,并留存相关网络日志不少于六个月。

应对建议:企业做好个人信息保护的第一步,是对现有数据进行风险评估与加密。在用户端,全链路加密可以在传输、终端、存储三道环节;在阿里云上,我们会对云端基础设施进行加密,等于给企业的防盗门加上了一道锁。

经过加密,即使数据泄漏,攻击者也无法看到明文的数据。 第二步则需要做好安全应急与漏洞管理,打破“物理隔离就安全”的迷信;最后还要做好内控和审计,实现对安全的态势感知。


2、严格执行网络实名制
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或提供服务时,应当要求用户提供真实身份信息,否则不得提供服务。

应对建议:网络实名制增加了企业收集、保护用户个人信息的成本,也是对实名校验、人脸识别和虚假信息防控等能力的考验。如果依赖人工去处理和校验数据,资源投入和效果产出会不成正比;在阿里云,我们基于大数据风控模型和生物特征来对用户信息真实性做识别,也在将实人认证功能模块化,输出给云上企业,降低人工审核成本。

3、落实网络安全等级保护制度
所有网络运营者都必须按照网络安全等级保护制度的要求,履行安全保护义务

应对建议:企业应该对等保做全面、长期的规划与投入,将等保当作一次全面升级安全能力的机会,对产品采购、内部管理与流程进行优化。然而,等保的每一步流程:系统定级、完善系统安全防护保障、备案、登记测评、建设整改、监督检查等一系列事项,时间和资源消耗都非常大。

阿里云目前的解法是构筑云上等保生态,提供一站式等保咨询、安全防护服务、本地化测评服务,集生态力量共同有效实现等保安全要求,提升等保测评备案效率,提升企业安全保障、节省企业人员和时间上的投入;并且,阿里云公共云平台本身的等保三级合规优势,对企业的整体测评分数也会有所提升。

4、加强应急响应与监测预警
制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;安全事件发生时,立即启动应急预案,采取补救措施,并向有关主管部门报告。

应对建议:许多企业的安全负责人并没有做专业安全预案的经验,或者并不重视日常的演练和培训,现有的安全产品部署分散,管理滞后;这也是为什么以WannaCry为首的勒索病毒,能够轻易地打破线下机房的壁垒。

建议企业从培训、预案、演练、应急、响应、修复等多方面入手,建立切实可行的应急预案。在人员投入不足的情况下,则建议选择专业的安全服务团队来“搭把手”,能在漏洞的提前预警、事件的响应和修复上,提供专业的协助。

5、防止违法信息传播扩散 
发现用户发布和传输违法信息时,应当立即停止传输或消除,防止信息扩散,保存有关记录,并向主管部门报告。

应对建议:网络运营者需要提高对于自身平台上图片、文字、视频内容的识别能力。在基本的图片鉴黄、反垃圾、OCR算法、文本识别等基础上,还需要具备违规视频、语音鉴别、敏感任务识别、文本语义分析和风险判断等功能,确保内容安全,降低违规风险。

以上五条建议,对于每一个不同的行业来说,会有不一样的侧重点。我们以直播、互联网金融和电商的具体场景,来谈谈各个行业的企业安全最重要紧急的任务是什么。

以监管管辖力度较强的直播行业来说,由于用户可以实时对公众直播,因此直播者实名认证以及防范视频出现违规内容是从业者最需要关注的事情。

而对于互联网金融行业来说,随着银监会等监管机构下发《网络借贷信息中介机构业务活动管理暂行办法》等进一步的要求,并且规定了通过的等保的期限。因而等保合规会是互联网金融行业的重中之重。

最后,电商行业。因其保存着消费者重要个人信息,例如身份证号、银行卡号、手机号等,那么首先应当加强的是对个人信息的保护:包括入侵防御、内控审计和加密。

总的来说,《网络安全法》的实施,对网络运营者的基本要求,就是把以往滞后、分散的安全管理模式,转变成循序渐进,全面预防。企业以往更多地在思考如何补救安全,而现在,我们更应该思考的是如何去降低风险,和安全事件发生的概率。

让《网络安全法》,成为企业安全更好的开始。

原文链接

时间: 2024-10-31 11:42:09

从《网安法》出发_给企业安全管理者的五条建议的相关文章

7月4日云栖精选夜读:从《网安法》出发_给企业安全管理者的五条建议

原文链接 6月1日,<网络安全法>正式实施以后,各个行业的网络安全有了基础要求,而监管部门的执法力度也依据法条要求呈加强趋势. 对网约车.P2P金融等行业来说,"网络安全等保要求"成为了开展业务的先决条件: 而对于踏在个人信息保护.内容安全.漏洞管理等"网络安全雷区"内的行业,例如大数据.直播平台.内容平台,有可能面临暂停业务活动.严重的违法行为将导致停业整顿或吊销执照,直接负责的主管人员和其他直接责任人员也有可能受到处罚. 热点热议 从<网安法&

3个场景,32个案例告诉你,你不得不学习《网安法》的理由

文章来源i春秋 网虫们,你造吗,网络暴力可能让一个人抑郁.崩溃甚至轻生!你造吗?擅用别人图片或转发传播视频是侵权行为!你造吗?-假如你是受害者,求助无门,那么,6月1日正式实施的<网安法>,会是你最坚强的后盾!合法权益被侵犯时,你可以拨打110或登陆网络违法犯罪举报网站http://www.cyberpolice.cn/wfjb/进行维权!而如果你是施害者,你将很快体会到:互联网不是法外之地,玩火者必将自焚! 接下来,小i将以真实的案例为依据构建三个场景,和大家一起分析,<网安法>

践行网安,普惠河南——景安网络重磅网安公益项目加速推进中

日前,郑州市景安网络科技股份有限公司(以下称"景安网络")联合河南省互联网协会,及河南云计算大数据产业联盟,全面启动"铸网安·御未来"网络安全专项公益项目,定于2017年8月-12月期间面向河南企事业单位免费发放1000套景安日志管理系统(Glog系统).该项目受到河南省通信管理局.郑州市公安局等相关部门的高度肯定,以及社会各界的大力支持.广泛关注和参与,至今已有900余家政企单位提交申请,近200家成功部署,目前正在加速推进当中. 据了解,系统日志是一种非常关键的

收到网安大队-网站信息系统安全等级保护限期整改通知书-如何整改网站安全问题

2018年6月12日我们接到一个网站新客户反映收到一封来自北京市公安局海淀分局网安的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前进行整改,并要求提供整改方案.对于未按期整改的,将进行行政处罚,下面为截图: 内容如下: 北京市公安局海淀分局 信息系统安全等级保护限期整改通知书 京等保限字[2018]第06xxxx号 北京xxxxxxxxxxx 近日,我大队接通报,贵单位网站(域名:www.xxx.com)存在网络安全漏洞.(详见附件) 根据<×××计算机

网安必备软件系列-2

网安必备软件系列-2 安阳师范学院互联网+应用技术学院网络与信息安全方向讲师 郭颖达 对VMware虚拟机基本概念还不了解的请移步网安必备软件系列之VMware(1)VMWare虚拟机的概述及基本功能的博文,下面就进入实操环节VMware虚拟机的安装一:安装前的主要准备工作 安装虚拟机所需要的安装包必不可少,获取一般两个途径,一是百度云地址分享,二是官网下载 一关于VMware软件安装资料百度分享给你们 链接: https://pan.baidu.com/s/1dV_2UrrF7d5xLMel3

大学生实习就业调研报告之二 - 共性问题与企业技术&amp;管理者探讨

摘要:2014年8月,CSDN高校俱乐部推出面向大学生的<实习就业需求调研>活动.截止10.31日活动结束,共收到几百所高校学生的反馈,汇集当代大学生在实习就业中普遍存在的心态问题及就业期望.为此高校俱乐部整理分析全部调研数据,针对学生反响强烈的有代表性和针对性的问题,邀请业内专家和管理者进行逐一答复,希望对即将毕业和迷茫中在读的大学生,提供借鉴帮助和指导裨益.本文为CSDN高校俱乐部原创,全部观点为原始采集.如需转载,请注明出处CSDN高校俱乐部,或联系[email protected].

中安云城浅谈企业营销策划有哪些要点

营销策划一般都分为分析及策划,这两个都是不能缺少的重要步骤,只有分析了各种因素才能制定最适合的的战略策划,只有对分析深入了解准确后才能更加客观的制定策划,能够了解到有利与不利的环境,对于企业来说都是至关重要的. 中安云城分析一下营销策划的内容具体有哪些: 1.确定策划的目的以及推广的产品制定能够分析的目标,符合企业的长远发展,或者能够超越目标,达到更加合理的目标计划. 2.分析市场存在的竞争对于计划中的各项要求以及环境进行分析,判断是否对于企业有利的影响,以及确定不利因素,制定应对各类情况的方案

X-NUCA全国高校网安联赛7月训练题解

题目1: 很简单,看源码即可得到flag. A HIDDEN FLAG: FLAG{[email protected]} 题目2: post 提交q1=2016&q2=lol&q3=22&success=true即可 flag{W3ll_d0n3} 题目3: 这里base64decode是Normal 改成Admin的base64编码提交 flag{C00ki3_n0m_n0m_n0m} 题目4: show_source(__FILE__);$v1=0;$v2=0;$v3=0;$a

夜空中最亮的星:慕课网新手学习指南_慕课手记

首先标题是为了凑够标准的十个字,如果你这会去数了一下然后想评论说不是十个字,那我佩服你的求知精神...进来的肯定不是看我瞎扯淡的,我们步入正题. 慕课网作为国内不能说是最大,但是起码口碑最好的一个IT学习的网站,受到了很多人的欢迎,但是在推荐给朋友的过程中,我就发现了一些问题,那就是纯小白根本不知道怎么开始学习.这里我要说一下什么叫做纯小白,你以为不知道变量,命令提示符,HTTP协议,这些就是小白了吗?那你就错了,我今天要说的是连怎么设置IP地址,怎么设置百度为首页,连自己的操作系统是winxp