“沒有絕對的安全”是網絡安全從業人員的共識,實施網絡安全風險管理,將安全風險控制在可接受的水平是網絡安全工作的基本方法論,縱觀《網絡安全法》,其中就包含安全標準、安全檢測和認證、安全風險評估、安全審查為代表的網絡安全風險管理措施的條款多達十五條。《網絡安全法》具體闡述了網絡安全風險管理的哪些理念?會對今后的網絡安全風險管理工作帶來什么變化?本文從以下三方面予以論述。
一、網絡安全風險管理的地位得以全面提升
僅從方法論來看網絡安全風險管理,其過程涉及信息系統的全生命周期,包括規劃、建設、運行、廢棄等階段的風險管理。然而,從實施角度來看,首先,網絡安全風險管理需具備合法和正當的目的。《網絡安全法》第二十六條明確規定,“開展網絡安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。”目前,我國尚存在不少機構和個人未得到正式授權進行安全檢測、漏洞挖掘和披露的行為,其中不乏因操作不當或對后果估計不足對被檢測方造成危害的案例,其所謂的“安全風險評估”反而成為真正的風險點。其次,安全檢測、認證和風險評估作為加強網絡安全管理的手段,也在《網絡安全法》中有多處提及,為網絡安全風險管理相關工作提供了充分的法律依據。
此外,實施網絡安全風險管理,在法律的基礎上,還必須依賴科學先進的網絡安全標準。今年8月,中央網信辦、國家質檢總局、國家標準委聯合印發《關于加強國家網絡安全標準化工作的若干意見》,意見明確要求,推動網絡安全標準與國家相關法律法規的配套銜接。《網絡安全法》即是該思想的充分體現,提及安全標準和規范的條款達七條之多,其中多處提到“國家標準的強制性要求”,安全標準的地位得到顯著加強。由上述可見,《網絡安全法》所闡述的網絡安全風險管理理念,是以法律法規為基,以安全標準為綱,只有“立得穩,行得正”的網絡安全風險管理措施才能真正發揮其效用。
二、網絡安全風險管理的范圍得到全面擴展
實施網絡安全風險管理,原本是從保護組織資產和業務的角度出發,使其免于遭受損失。然而,《網絡安全法》是從總體國家安全觀出發,將網絡空間主權和國家安全、社會公共利益,公民、法人和其他組織的合法權益均納入保護對象,大大擴展了網絡安全風險管理的適用范圍。首先,《網絡安全法》進一步強化了關鍵信息基礎設施保護的內容,在第三十一條中明確列出關鍵信息基礎設施的范圍。關鍵信息基礎設施保護,因其影響重大,是在網絡安全等級保護基礎上的進一步重點保護,充分體現了安全風險管理的思想。其次,第三十五條提出,關鍵信息基礎設施運營者采購網絡產品和服務,可能影響國家安全的,應通過安全審查,該措施即是針對國家安全層面實施安全風險管理的有效舉措。
此外,《網絡安全法》針對公民個人信息保護,提出了大量具體要求,一方面彌補了國內在此方面立法的不足,另一方面將個人信息保護納入到網絡產品提供者和服務運營者實施網絡安全風險管理的必要內容。由上述可見,《網絡安全法》所闡述的網絡安全風險管理范圍,是在傳統網絡信息系統基礎上,進一步擴展到國家關鍵信息基礎設施、公民個人信息等方面,同時提出了安全審查等國家層面的治理手段,其內容大大豐富,效應更加廣泛。
三、網絡安全風險管理的落地將會更加扎實
從以往網絡安全風險管理經驗來看,有些時候所取得的效果欠佳。首先,由于以前國家在網絡安全方面立法尚不完善,有不少企業實施的信息安全管理體系、PDCA(即計劃、執行、檢查、糾正程序)等管理方式往往只是流于形式,沒有在效果上形成真正的“閉環”。《網絡安全法》可謂“一錘定音”,將網絡產品提供者和服務運營者的法律責任予以明確,使用執法手段倒逼其強化自身安全管理。其次,以往的網絡安全風險管理中,我們一直關心的是發現脆弱性,改進安全措施,而對威脅的控制無計可施,此種方式非常被動且成本很高。《網絡安全法》在第六章法律責任中提出了對各類違法行為的制裁措施,由被動轉主動,有效震懾威脅源行為,將更多的成本轉移到威脅源,打通了安全風險處置的“最后一公里”,形成真正的風險管理閉環。由上述可見,實施《網絡安全法》,定會大幅度提升網絡安全風險管理的效果。
出臺《網絡安全法》是我國網絡安全領域立法工作跨出的最為關鍵的一步,意義非凡。圍繞《網絡安全法》展開工作,將是今后網絡安全標準制定、安全檢測和認證、風險評估、安全審查等網絡安全風險管理工作的重中之重。