《网络安全法》五周年,持续构建网络安全防护体系
日期:2022年06月07日 阅:87
《中华人民共和国网络安全法》(以下简称《网络安全法》)作为我国互联网领域第一部专门法律,于2017年6月1日正式生效。五年间来,以《网络安全法》为基石,我国的网络安全治理成效显著。
《网络安全法》申明了网络主权原则,建立了关键信息基础设施保护制度,明确了互联网信息内容管理部门、网络运营者与个人在网络安全保护领域的权利与义务,进一步完善了个人信息保护规则,并为构建网络安全法律法规体系提供了基础性依据。
五年间,以网安法为基础,各细分领域相关法律法规逐步落地。《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法(征求意见稿)》等多个文件,形成“三法两条例两办法“基础格局,从多个维度推动网络安全保障体系的深度落地,标志我国网络空间治理框架逐步完善。
网络运行安全最核心的是公共通信和信息服务,是能源、交通、水利、金融、公共服务、电子政务等重要行业和领域中事关国家安全、国计民生、公共利益的“关键信息基础设施”。
近年来,全球范围内针对关键信息基础设施的网络攻击事件逐年攀升,各国网络安全保障措施虽然颇有成效但依然难以抵御外部风险。关键信息基础设施一旦遭到破坏,影响范围广,对于经济发展、政治安全和国家安全都可能带来严重危害。
下面以金融基础设施为例,《网络安全法》中明确指出金融机构是关键信息基础设施的运营者,一方面,突出了金融行业的战略地位和价值,另一方面,也明确了金融机构做好自身网络安全工作的义务和责任。近年来银行业金融机构是网络攻击的重灾区,尤其信息泄漏、黑客攻击呈高发态势,银行业及金融机构的网络安全态势非常严峻。
由于缺乏安全开发规范和足够的安全设计,市面上的金融类移动应用大多在“安全裸奔”,在应用安全性方面的不足也在一定程度上阻碍数字金融、移动金融的良好发展。《2020年数字金融App安全观测报告》(中国信息通信研究院发布)指出,在受测的2万余款金融行业App中,超九成App存在安全漏洞。金融App高危漏洞的增长趋势主要源于移动金融市场的快速发展与金融安全规范不到位、缺乏全生命周期的安全建设之间的发展矛盾。
方案的建设目标是帮助金融机构建立移动App全生命周期风险防控,逐步完善安全体系及个人隐私合规长效机制。
• 事前阶段
为整个移动应用安全服务流程制定整体基调,明确安全需求,明确主要安全规范并作为执行标准。
• 事中阶段
将前期确定好的安全需求和安全规范落实到执行层面,通过集成安全组件、执行安全测评、安全加固执行、合规和安全性回归测试等几个步骤,将移动应用的安全性按流程分步骤地进行提高。
• 事后阶段
通过数据监测和分析的手段将移动应用在实际运营阶段的数据反馈做定向的指标监控。
• 移动应用开发阶段
基于SDL框架,通过安全咨询、安全培训等服务,建立移动应用安全开发规范。基于客户需求录入App信息,生成开发需求说明,创建以安全基线为轴心的高需求切合度业务流程。
• 移动应用发布阶段
通过应用加固、自动化安全检测、人工渗透测试、个人隐私合规评估等手段,确保应用在发布前实现风险最小化的同时满足监管合规要求。
• 移动应用运维阶段
在应用运行阶段,持续监测未经授权渗透测试、应用破解等高危行为,监测引入的第三方SDK通过热更新等技术手段窃取用户敏感信息。
提供攻击监测、预警、阻断、溯源全流程安全能力。
对盗版、仿冒、钓鱼App进行渠道监测,保障应用安全运行的同时用户权益不受侵害。
梆梆目前服务超10万家的企业及开发者用户,其中银行业包括5大行及12家股份制银行。保险证券基金行业包括:中国人寿、太平洋保险、中国太平;中信证券、中国中投证券;建信基金、华夏基金等机构在内的头部客户。与此同时,梆梆安全的业务已覆盖政企、运营商、能源、旅游、互联网、公安、医疗、IoT等领域,安全技术累计安装在10亿个移动终端上的100万+移动应用软件。
网络无边,安全有界。站在新的历史起点上,我国将全面加强网络安全保障体系和能力建设,压实网络安全责任,加强网络安全信息统筹机制建设,形成多方共建的网络安全防线。未来,梆梆安全始终坚守“全球安全服务领跑者”的愿景,为企业数据安全合规建设提供全面、专业的安全产品和服务,构建网络安全防护体系。
梆梆安全正在以当今网络重心移动互联网为源点,逐渐将安全防护能力向传统互联网以及未来物联网延伸,并参考共享经济模式创新性提出“共享安全”理念,围绕业务安全、数据安全帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全整体纵深防御系统。