2017年国内外网络安全政策法规层出不穷,从欧盟的《通用数据保护条例》(GDPR)到美国的《国家网络事件响应计划》(NCIRP),再到俄罗斯的虚拟专用网(VPN)禁令和中国的《网络安全法》,个人隐私保护与商业利益和国家安全交织,网络空间安全成各国政府政治、经济博弈关注重点。今天纵横数据小编就带领大家回顾一下,今年发布的各大网络安全政策。
国外重大网络安全政策法规一览
2016年12月28日,美国食品与药物管理局公布了关于医疗设备制造商如何维护联网设备安全的建议文件。文件建议联合起来建立一个信息共享与分析组织以此来分享重要的安全威胁和应对措施。
12月29日,美国总统奥巴马签署了一项总统行政令,正式就俄罗斯的恶意网络行为和干扰对其发起制裁。
2017年1月,美国国土安全部公布了《国家网络事件响应计划》(NCIRP),旨在描述政府处理公共或私营产业实体相关网络事件的方法。
2月6日,美国众议院投票通过《电子邮件隐私法》(Email Privacy Act),规定执法部门将需要得到法院颁发的搜查令后,才能获准访问储存在第三方的时间超过6个月的电子邮件或者其他数据。
3月1日,美国众议院科学、空间与技术委员会三通过了《网络安全框架》法案。按照法案规定,美国国家标准与技术研究院(NIST)将向联邦机构提供如何实施此《网络安全框架》的指南。
3月,中兴通讯同美国政府就伊朗交易与美政府达成的和解协议批准生效,中兴同意支付共计约12亿美元,作为非法将美国制造的高科技产品出口给伊朗的罚金。达成和解协议后,美国工业和安全局将建议把中兴通讯从出口限制名单中移除。
6月29日,美国白宫国土安全顾问汤姆·博塞特表示,美国和以色列周一宣布,两国将建立新的网络安全合作关系,以阻止网络对手,并确定让恶意攻击者承担责任的方法。
7月,美国司法部(DOJ)犯罪科网络安全部门发布《在线系统漏洞披露计划框架》,以帮助组织机构制定正规的漏洞披露计划。此框架并未规定漏洞披露计划的形式或目标,而是侧重描述授权发现与披露行为,以减少在民事或刑事上违反《计算机欺诈与滥用法》(CFAA)的可能性。
11月1日,俄罗斯总统普京签署的虚拟专用网(VPN)禁令生效,从此在俄罗斯境内使用或提供VPN服务均属违法。
11月,美国众议院以356票赞成,70票反对的投票结果通过了2018财年的《国防授权法案》,在价值7000亿美元的国防开支中将用6340亿美元用于五角大楼的核心业务。今年的国防授权法案的重大改变在于:五角大楼将会进一步开放源代码。
11月15日,美国白宫发布《漏洞平衡策略》,十大部门形成审查委员会,根据漏洞的波及范围、利用难度、可导致的破坏,以及漏洞修复难度等,衡量漏洞的威胁程度,结合政府如何利用漏洞,以及利用漏洞的事实被公开将面临的政治风险,来审查漏洞,最终决定公开日期或保密。
12月8日,特朗普政府公布国家安全战略报告,强化美国竞争优势,增强军事、核力量、太空、网络和情报等方面竞争力,以及提升美国的全球影响力。
12月12日,美国总统特朗普正式签署了一项新的法令,政府部门永久开始禁用卡巴斯基杀毒软件。该法案强化了特朗普政府于今年9月发布的一项强制行动指令,新的法案对民事和军事网络系统均适用。
12月14日,美国联邦通讯委员会FCC发布《恢复互联网自由》,以3-2的投票结果正式废除了奥巴马政府2015年通过的《开放互联网法令》所确立的“网络中立”规定,取消了对互联网供应商封锁网站的限制和对互联网内容提供商收费的限制。
2017年网络安全大事记5规一览
2016年12月27日,国家互联网信息办公室首次发布《国家网络空间安全战略》。《战略》要求,要以总体国家安全观为指导,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
2017年3月1日,经中央网络安全和信息化领导小组批准,外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。战略提出,应在和平、主权、共治、普惠四项基本原则基础上推动网络空间国际合作,并强调中国在推动建设网络强国战略部署的同时,将秉持以合作共赢为核心的新型国际关系理念,与国际社会携手共建安全、稳定、繁荣的网络空间。
3月20日,最高人民法院审判委员会全体会议召开,审议并原则通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》(送审稿)共十条,主要规定了以下三方面的内容:(1)公民个人信息的范围;(2)侵犯公民个人信息罪的定罪量刑标准;(3)侵犯公民个人信息犯罪所涉及的宽严相济、犯罪竞合、单位犯罪、数量计算等问题。
3月27日,重庆市政府发布了修订后的《重庆市公安机关网络监管行政处罚裁量基准》。对于接入国际网络问题,即通常所说的“翻墙”,《裁量基准》规定,不以盈利为目的,初次实施上述违法行为,责令停止联网,给予警告。以盈利为目的实施上述违法行为,责令停止联网,给予警告,同时没收违法所得,视情节轻重,处以5000元至15000元的罚款。
6月1日,《中华人民共和国网络安全法》正式实施,网络安全法最重要的意义在于把网络安全工作以法律形式提高到了国家安全战略的高度,并将信息安全等级保护制度上升为法律,成为维护国家网络空间主权、安全和发展利益的重要举措。
6月27日,国家网信办发布了关于印发《国家网络安全事件应急预案》的通知(中网办发文〔2017〕4号)。预案将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。通知明确,网络安全事件应急处置工作实行责任追究制。
7月,为保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,国家互联网信息办公室会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》。
7月27日,工信部发布《关于开展2017年电信和互联网行业网络安全试点示范工作的通知》。通知指出,2017年试点示范项目的申报主体为基础电信企业集团公司或省级公司、互联网域名注册管理和服务机构、互联网企业、网络安全企业等。试点示范项目应为支撑自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。
9月,工信部印发《公共互联网网络安全威胁监测与处置办法》(以下称《办法》)。《办法》要求相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作,明确责任部门、责任人和联系人,加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
12月,中共中央政治局就实施国家大数据战略进行第二次集体学习。中共中央总书记习近平在主持学习时指出,大数据是信息化发展的新阶段,要推动大数据技术产业创新发展,要构建以数据为关键要素的数字经济,要运用大数据提升国家治理现代化水平,要运用大数据促进保障和改善民生,要切实保障国家数据安全。
√ 欧盟的《通用数据保护条例》(GDPR)将于2018年5月25日正式实施,受到影响最大的是与欧洲有着密切商业往来的跨国公司。一是合规投入。根据普华永道的调查,大部分美国公司认为将花费100万到1000万美元的投入以满足合规。二是罚金。违反GDPR规定的公司,可被罚款高达2000万欧元或是公司全球年收入的4%处罚。有咨询公司表示,在GDPR实施的头一年中,有可能开出60亿美元的罚金。
√ 《中华人民共和国网络安全法》已于今年6月1日实施,网络安全法最重要的意义在于,从法律层面上把我国网络安全工作提高到了国家安全战略的高度,强调对关键信息基础设施及个人信息数据的保护,明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。在合规应对实施环节,从网络运营安全、网络信息安全及关键信息基础设施保护等三方面,就“相关责任方”、“管理措施”及“技术措施”等三个维度总结了具体实施要点。
2017年,主管部门及安全标准化机构发布了多个与《网络安全法》实施相关的法规与标准,有的还处在征求意见当中。为方便各类机构在实施《网络安全法》时加以参考,把最重要的
相关法规与标准列表如下:
√ 数字化进程扩大网络安全产业,各国安全政策压缩彼此市场空间。数字化进程不断的促进网络安全市场空间的扩张,努力向前发展的企业不可避免的倾向使用先进的技术。而网络安全又是国家安全的重要组成部分,因此各国出台相应保护自我的政策无可厚非。但更大的主题是人类的科技发展,各国之间是一个竞争与合作的“命运共同体”。自主可控与开放创新,封闭与开源,永远都是在争议中前行的话题。因此如何在符合对方国家大政策体系和规范的前提下,尽最大能力地将自身的技术和产品融合到当地的安全生态圈中,是跨国安全企业在未来几年的重要挑战。