2021 年 7 月 30 日,《关键信息基础设施安全保护条例》(以下简称《条 例》)公布,新华社北京 8 月 17 日电李克强总理日前签署国务院令正式签署条例,标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。作为《网络安全法》的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。 这两个时间节点,对应近期部分国内企业数据海外泄漏等事件。为避免国有资产及品牌资产海外流失,我国出台相应法规及条例起到了关键性作用!关键信息基础设施安全保护立法是各国网络安全战略的重要一环。而针对与互联网及域名行业来讲,保障关键信息基础设施安全和维护网络安全将有法可依、有例可循;2013 年新网就已经开始设立品牌云监控系统并逐步完善,做到了域名锁定及定期监控,有效打击非法网站并做到定期报告化追溯流程、数据日志备案机制等域名安全防控体系,并在 2019 年融合商标机制做到了网络端全方位数字品牌资产有效监控。一、针对互联网行业来看,《条例》发布的大背景环境(一)全球网络安全局势复杂严峻,对各国关键信息基础设施安全防护提出新挑战。近期,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险。特别是 2021 年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致影响国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响,也引发了全球关于加强关键信息基础设施 安全保护的思考。近期,世界主要国家和地区均强化关键基础设施安全防护。美国不仅大幅增加关键基础设施网络安全方面的资金投入,而且提出多部强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和官方指南。欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。(二)世界主要国家和地区将关键基础设施立法作为网络安全立法中最为关键的环节。美欧在关键基础设施立法方面起步较早,美国早在 2001 年即颁布了《2001 年关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》、 《增强联邦政府网络与关键基础设施网络安全行政令》等相关立法。随着网络安全形势的日益严峻,美国积极调整网络安全保护战略,近期发布了《2021 年临时国家安全战略方针》、《2021 年关于加强国家网络安全的行政命令》等相关政策。欧盟出台了《2008 年欧盟关键基础设施认定和安全评估指令》、《2016 年网络与信息安全指令》等多部关键基础设施保护相关立法。俄罗斯 2017 年 颁布了《联邦关键信息基础设施安全法》,澳大利亚 2018 年颁布了《关键基础设施安全法》。此外,英国、德国、日本等国也出台了关键基础设施保护的相关立法和政策。(三)我国《网络安全法》强调对关键信息基础设施适用更高水平保护。我国 2016 年出台的《网络安全法》在明确国家网络安全基本制度体系的基础上,对于关键信息基础设施规定了更高水平的安全防护要求。《网络安全法》 规定对关键信息基础设施实行重点保护,并在第三章“网络运行安全”中单设一节对关键信息基础设施安全保护进行专门规定。针对关键信息基础设施安全保护工作中涉及的技术措施、人员机制、数据安全、风险评估等安全管理举措提出更高要求,并强调通过配套立法进一步完善关键信息基础设施安全保护制度,突出了关键信息基础设施在国家整体网络安全制度体系中的重要地位。二、《条例》确立了我国关键信息基础设施安全保护的具体制度要求《网络安全法》对关键信息基础设施安全保护制度相关实施对象、责任主体、工作内容等进行了总体性规定,《条例》作为《网络安全法》重要配套法规,立足落实工作,界定了适用范围、监管主体、评估对象等关键信息基础设施安全保护相关系列基本要素,提出了安全保护要求和安全保障措施,确保对象具体、权责清晰、任务明确,为安全保护工作开展提供系统指引和工作遵循。此次签署条例基本释义及范围,配套《网络安全法》明确了以下内容:(一)明确关键信息基础设施范围和保护工作原则目标,确定保护对象范围。《条例》第二条给出了关键信息基础设施明确定义,第九条提出了保护工作部门制定识别认定规则的重点考虑因素,确定了由保护工作部门负责制定本行业、 本领域关键信息基础设施认定规则及清单。认定规则及清单的形成过程一方面须立足实际,充分结合本行业、本领域业务特性和重要性,在量化指标参数的基础上实现清单范围的准确界定;另一方面,清单应当伴随国家网络安全和信息化发 展,实现动态调整更新。(二)明确了监督管理体制、职责分工。为保障关键信息基础设施安全保护工作顺利开展,《条例》设置了科学严谨的监督管理工作机制。在国家层面,国家网信部门负责统筹协调,国务院公安部门负责指导监督,国务院电信主管部门和其他有关部门负责行业关键信息基础设施安全保护和监督管理工作;在地方层面,由省级人民政府有关部门负责关键信息基础设施安全保护和监督管理工作。既有效保障了关键信息基础设施安全保护工作统一有序、协同推进,又能充分发挥具体行业部门的专业优势,提升关键信息基础 设施安全保护力度。(三)明确完善了关键信息基础设施认定机制。《条例》明确了认定工作的组织方式和认定程序,依照行业认定规则,国家汇总并动态调整关键信息基础设施认定结果,确保重要网络设施、信息系统纳入保护范围。《条例》从我国国情出发,借鉴国外普遍做法,明确了关键信息基础设施的定义和认定程序。1、是明确关键信息基础设施的定义。2、是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。3、是明确由保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。4、是规定关键信息基础设施发生较大变化,可能影响其认定结果时,运营者应当及时报告保护工作部门,由保护工作部门重新认定。(四)明确运营者责任义务。依据《中华人民共和国网络安全法》有关规定,按照“谁主管谁负责”的原则,《条例》明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任《条例》对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等作了规定。强化安全主体责任。《条例》强调关键信息基础设施运营者(以下简称运营者)在关键信息基础设施安全保护中承担主体责任,并对于运营者自身安全管理机制的设置进行了严 格要求。1、是强调主要负责人责任,明确运营者的主要负责人对关键信息基础设施 的安全保护负责。2、是要求设立专门的安全管理机构,具体负责本单位关键信息基础设施的安全保护工作。3、是对关键岗位人员实施安全背景审查,其中包括运营者专门安全管理机构的负责人及其认定的关键岗位人员。4、是保障专门安全管理机构运行,为本单位专门安全管理机构提供经费和专业人员保障。(五)细化安全保护要求。《条例》强化关键信息基础设施的安全保护,在《网络安全法》的基础上对运营者提出了更高的安全防护要求。1、是落实“三同步”要求,要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,关键信息基础设施自列入关基清单之日起,在设计建设(改扩建)、运行维护、应急恢复、停用废弃各阶段,应确保落实覆盖全生命周期的安全保护。2、是开展定期安全检测和风险评估,运营者须每年至少进行一次网络安全检测和风险评估,可以自行或委托网络安全服务机构进行。3、是履行安全事件和威胁报告义务,在发生重大网络安全事件或发现重大网络安全威胁时,运营者应当向相关部门报告。4、是落实网络安全审查要求,运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定进行安全审查。5、是强化监测预警和信息共享,《条例》提出建立健全关键信息基础设施网络安全监测预警制度,准确把握关键信息基础设施运行状况,促进网络安全信息共享。(六)明确了保障和促进措施。《条例》对制定行业安全保护规划、建立信息共享机制、建立健全监测预警制度、明确网络安全事件应急处置要求、组织安全检查检测、提供技术支持和协 助等作了规定。(七)强化重点安全保障。1、是针对关键信息基础设施实施的漏洞探测、渗透测试等活动,应得到国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权。对基础电信网络实施漏洞探测、渗透测试等活动,应当事先向国务院电信主管部门报告。2、是能源、电信行业为金融、水利和交通等行业关键信息基础设施稳定运行提供重要支撑及资源保障,基础电信网络还具有基础性、全局性,承载着其他关键信息基础设施。国家将采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业将为其他行业和领域的关键信息基础设施安全运行提供重点保障。(八)明确了法律责任。《条例》对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况,明确了处罚、处分、追究刑事责任等处理措施。对实施非法侵入、干扰、破坏关键信息基础设施,危害其安全活动的组织和个人,依法予以处罚。三、《条例》实施对域名行业的影响本次《条例》是《网络安全法》配套法规。而早在 2016 年 11 月 7 日,第十二届全国人民代表大会常务委员会第二十四次会议上就通过了《中华人民共和 国网络安全法》,并自 2017 年 6 月 1 日起施行。从这几年国家对网络安全的重视程度,我们不难看出国家对网络及数据的安全已经逐步提高到立法高度!此项法规中“网络安全事件”关键词出现了超过 15 次;并且在其第二十四条中,明确域名注册服务必须实名制;在其五十五条中规定出现网络安全事件必须及时处理并公布示警等;(第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术, 推动不同电子身份认证之间的互认。第五十五条发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施, 消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。)众所周知域名作为互联网的入口标识,在应用推广中起到了关键性的推广和实用性作用。因为互联网起源于美国,我们常见的.com、.net、.shop 和.site 的注册局都非中国,但是在注册域名的时候都需要提供相关信息,那么这些信息是否存在外泄的可能性?或者违反当前的法律法规?下面将从以下方面进行解答:常见域名注册局的国家管辖因 ICANN 在 2012~2013 年审核开放了一批新顶级域名后,我们日常见到的域名不光有.com 和.cn 等,也会遇到如.我爱你、.百度和.xin 等,其中不乏有中国公司管理的。如.cn/.中国/.公司/.网络/.网址/.集团/.top/.ren/.我爱你/.百度和.xin 等后缀 的注册局均为中国企业进行管理。如.com/.net/.shop/.site/.online/.co/.biz/.cloud 等后缀的注册均为国外企业管理。国外注册局对国内的域名注册信息的影响比如.com、.cloud 和.co 的注册局均属于国外的企业,注册域名时填写的个人信息是否有外泄到国外域名管理机构或第三方企业的可能?首先,这些国外的注册局如需在国内经营,必须经过工信部资质许可,在域名经营管理中都将符合中国的法律法规。其次,用户通过注册商注册域名时提交的数据也只会被托管到国内的指定单位,并进行合规存放,不会到这些注册局的国外管理公司。最后,域名的实名制审核也是在国内指定的核验机构进行处理的。根据现行的《互联网域名管理办法》,明确规定了国内域名注册服务及管理机构的监管制度。所以,包括新网在内的国内注册商及取得在国内经营的国外注册局,不存在泄露数据和被调用的可能性。《互联网域名管理办法》在 2017 年 8 月 16 日工业和信息化部第 32 次部务会议审议通过,现予公布,自 2017 年 11 月 1 日起施行。管理办法中在第二 章域名管理的第九条、第十条、第十一条、第十二条和第十三条明确了在境内设立域名根服务器及域名根服务器运行机构、域名注册管理机构和域名注册服务机构的,应当依据本办法取得工业和信息化部或者省、自治区、直辖市通信管理局(以下统称电信管理机构)的相应许可。并且对根服务器设立、注册局、注册商也做了明确申请要求。所以现阶段新网在官网中公示和出售的域名都是合规域名,可以放心购买和续费使用。注:域名注册局核实域名是否实名并不是真正的看核验机构的核验资料信息, 而是通过固定的标识进行识别,所以不管是常规的域名注册数据还是实名制数据都不会出现外泄的可能性,相反都会在政策制定的核验机构进行合规存放。域名注册、采集数据是否每个企业都可以?根据当前的法律法规,企业如需成为域名注册商开展业务,必须在合规的情况下取得当地通信管理局的审核批复(无批复或无批复后缀是不能开展注册的), 域名注册商对域名的管理及数据管理需要在相关部门进行安全等级保护核验,保障企业内部审计合规的同时,也会定期收到监管单位的督导检查,自查和监管督查进行保障数据管理及保存的合规安全性。综上所述,现在域名注册管理环节完全是合规的,不存在和数据安全法或相关法律法规不符的情况。四、《网络安全法》及《条例》实施对注册商与企业的影响《条例》作为《网络安全法》的配套组成部分,注册商和企业还应该关注与 《条例》同时(2021 年 9 月 1 日)施行的《中华人民共和国数据安全法》;并且在公众还未将《条例》相关内容完全消化时,紧跟着在本月 20 日表决通过《中华人民共和国个人信息保护法》。并于 2021 年 11 月 1 日起施行。由此可见, 国家对信息及数据安全的重视程度已经再度提升,需要企业、注册商及注册者本人积极响应!(一)需更加规范注册局及注册商对域名注册实名验证。(二)需更加规范注册局及注册商对域名信息安全的保护。(三)注册局及注册商更要严格执行《互联网域名管理办法》;尤其针对其三十条及三十二条,对信息验证及保护、信息存储及公布等条例更加规范施行 操作。(四)对优秀注册机构及注册服务机构的后台系统是一大考验;是否能够有效的对数据的存储、信息安全、漏洞查处、应急响应、公共信息共享、网络安全监测预警等事项有配套解决方案。(五)相关运营企业需要设立专属部门,责任到人;更需要企业方与数据安全方、注册商更好的配合,做到互联互通,第一时间预警及处置网络安全事件。(六)注册商针对相关行业内容及操作规范定期与企业做好培训及新系统、 新解决方案的培训与指导工作,企业与注册商相互培训,对关键信息基础设施设计、建设、运行、维护等服务实施安全管理。五、《条例》的实时,针对企业从域名安全角度应该做哪些措施?在此以企业客户在新网管理相关自身企业域名为例:(一)品牌企业多部门管理其相关数字资产超过 50 个域名及商标的,推荐选择新网大客户服务及新网品牌云系统进行企业内部的合规化管理及动态风险监控。(二)重点域名必须做好信息安全管控,必须添加域名注册商锁定服务及注 册局锁定服务,专人专管。(三)与自身企业品牌及重点产品相关域名,尤其是.cn 域名需要保护性注 册。中文域名看企业战略部署及预算而定,不重点推荐。(四)重点品牌域名在海外注册商管理的建议转移到国内品牌注册商下管理或在国内品牌注册商进行域名的托管方案,并且转移后立即加注册商锁定服务 及注册局锁定服务。(五)建议品牌企业选择国内信誉好并且正规在国家有备案资质的老牌注册商下管理相关域名及数字品牌资产,建议域名分布缩减在五家注册商以内管理;避免选择一家注册机服务构公司是同一个主体即有国内注册资质还有多重海外注册资质的,避免后期数据海外泄漏及国家监管核查风险。六、新网针对本次《条例》是否有契合品牌企业的配套应急方案?2019 年开始新网就极其重视品牌企业的互联网信息及品牌数据保护工作, 结合《网络安全法》、《互联网域名管理办法》以域名和商标为基础全面梳理和监控其品牌企业自身的数字互联网资产,自主研发“新网品牌云”监控系统,为品牌企业从域名根本上解决了:多集团、多部门、多账号、多注册商分布的管控难题。可以跨注册商、跨平台多账号全面掌控自身的域名与商标,并且有效的监管其域名状态,可以做到从注册、状态实时监控、ICP信息联动、非法网站查处、 侵权预警及处置等一条龙的服务;并且为品牌企业自查自纠提供了便利服务,“新 网品牌云”会定期生成系统监控报告,并且新网大客户部门也会为品牌企业提供年度定制化报告服务,为品牌企业在《条例》中第三章第十五条提供了保障便利。七、关键信息基础设施安全保护工作新阶段的思考(一)完善配套标准规范体系。1、是围绕关键信息基础设施共性安全需求和基线安全要求,加快制定出台国家标准。2、是保护工作部门聚焦行业实际和特点,深入推进行业关键信息基础设施标准建设,并组织实施。3、是围绕运营者责任义务、信息共享模式、协同处置机制、安全防护能力认定等关键方面开展管理机制深入研究。(二)深化行业监管职责落实。1、是指导监督行业运营者落实安全主体责任,扎实做好网络安全威胁监测与处置、网络安全审查等关键信息基础设施安全保护相关工作。2、是完善监督检查机制,加强行业关键信息基础设施安全防护检查与风险评估。3、是构建完善应急保障体系,建立态势感知、应急指挥等技术支撑手段, 组织开展场景式、专题化、联合型应急演练,打造专家队伍。(三)加强新技术新模式应用示范。1、是强化创新发展研究,积极利用云计算、大数据、人工智能等新技术提升关键信息基础设施网络安全能力。2、是建立创新激励机制,深化网络安全先进技术创新应用和试点示范,汇聚网络安全产业力量,强化面向关键信息基础设施的网络安全能力供给。3、是开展关键信息基础设施网络安全能力评估与持续优化,客观评定网络 安全能力水平。科学选择安全能力提升方向。八、附则本次新网品牌云解读结合并参考了相关具体条例:1、 自 2017 年 6 月 1 日起施行《中华人民共和国网络安全法》2、 自 2017 年 11 月 1 日起施行《互联网域名管理办法》3、 2021 年 6 月 10 日,第十三届全国人民代表大会常务委员会第二十九次会议通过。自 2021 年 9 月 1 日起施行《中华人民共和国数据安全法》4、 2021 年 4 月 27 日国务院第 133 次常务会议通过,现予公布,自 2021 年 9 月 1 日起施行《关键信息基础设施安全保护条例》5、 十三届全国人大常委会第三十次会议 20 日表决通过自 2021 年 11 月 1 日起施行《中华人民共和国个人信息保护法》6、 事件节点 2018 年 5 月 25 日生效的欧盟《通用数据保护条例(GDPR)》7、 ICANN(互联网名称与数字地址分配机构)于 2018 年 5 月 17 日公布《通用顶级域名注册数据临时规范(Temporary Specification for gTLD Registration Data)》备注:以上内容纯属个人拙见,也是新网品牌云大客户团队对本月国家陆续公布的法规及条例的共同理解与分析,欢迎大家指正及共同研讨。仅供品牌企业及相关人士参考与分享。
本文出自快速备案,转载时请注明出处及相应链接。