引言
近期,多家公司相继爆出遭遇网络攻击和网络系统奔溃等事件,企业的业务瘫痪,用户的个人信息面临泄露风险,甚至引发连锁的经济损失等。透过这连串频发的系统故障、网络攻击现象的背后,企业网络安全的合规管理问题也再次被拉入大众视野。本文将通过梳理企业合规管理要求,浅析互联网时代下企业网络安全管控要点。
”
一、 近期网络故障大事件回顾
10月9日,LINE母公司LY 公司因内部系统遭遇未经授权第三方访问,已经或可能泄露44万余条信息[1]。
11月8日澳大利亚电信运营商澳都斯(Optus)因遭遇一起大面积网络故障[2],超过1000万的客户受到影响,医院通信系统受到严重干扰,墨尔本火车系统也因此大规模的延误。
11月10日,工商银行在美全资子公司工银金融服务有限责任公司(ICBCFS)声称遭受了勒索软件攻击,导致部分系统中断[3]。
11月12日,阿里系多款APP出现无法访问或服务异常情况[4]。
11月27日晚上滴滴出行APP出现系统故障,到28日继续“崩溃”,滴滴在11月29日公布故障原因为底层系统软件发生故障[5]。
12月3日,上海市的医保系统出现了短暂的故障[6],导致无法正常挂号、取药,直至下午才恢复正常。
12月3日,腾讯视频出现网络故障,具体表现包括不限于首页无法加载内容、VIP 用户看不了会员视频等。[7]
二、 企业网络安全风险的原因
导致企业网络安全风险的原因多种多样,既有自然灾害造成的网络和电力中断、公共安全原因的短暂中断、技术升级造成的软件冲突、技术人员错误操作,或者遭受第三方不当行为攻击等情况,导致企业网络系统故障、数据信息泄露等。上述原因中,自然灾害难以预料和避免,公共安全又有其必要性,虽然这两类影响会造成企业的一定损失,但因为前者具有不可控行、后者为公共利益的需要,企业一般都会通过协议约定的形式来避免在这类中断事件中产生进一步的经济损失。但对于非自然灾害和公共利益的原因,企业或许可以通过事前预防、事中应对、事后改善来提升软硬件的安全性,保障用户数据安全,例如可以通过分析故障原因,制定应对合理的措施和方案,从而避免故障频发。
首先对于常见的技术故障。如底层服务组件故障,系统更新升级过程中的代码错误,网络通信、服务器或存储设备故障等。对于这类技术故障,可以通过(1)做好数据资源分级分区存储管理;(2)设置网络设备健康监控管理系统;(3)设置回滚机制,做好数据备份、故障移转与恢复站点设置,做好应急预案演练,这一点对于开展软件服务“SaaS(Software as a Service)”业务的企业来说尤为重要。
其次,对于外部恶意攻击。外部攻击的手段可能是利用原有设计漏洞使用被信任的外部主机入侵企业内部网络;或DDOS攻击(通过大流量攻击抢占大量的服务器资源)通过消耗网络带宽或系统资源,导致正常的网络瘫痪而停止服务导致目标服务器瘫痪;或利用特洛伊木马程序运行恶意操作等。对于预防外部恶意攻击,可以从(1)部署防火墙和入侵检测系统,杜绝API接口漏洞,定期修补系统补丁;(2)明确内外网边界,杜绝企业员工私自通过账号从外部网络连接企业内网;(3)应用端到端加密通信系统,升级传输数据信息的安全防护措施;(4)管理并限制外部非认证设备的接入等。
最后,对于造成网络系统崩溃,有时也不排除企业因内部管理不完善造成问题隐患。如互联网公司往往以项目为中心,为应对业务量爆发而极速扩充团队,当业务量稳定后,为降本而大幅调整团队结构,大规模减少或者频繁更换技术人员,这样也容易导致故障增多,故障定位时间延长和问题定位难度增加等情况。又如,某知名车企内部集群服务器管理员利用职务之便,使用公司服务器资源挖虚拟货币并从中获利[8]。针对内部管理行为造成的网络风险隐患,可以通过(1)建立和完善内部网络安全管理制度,制定风险应对策略;(2)设立和执行严格的账号权限管理,分级管理用户账户访问权限;(3)对终端电脑的账户行为进行流控管理和主机审计,为潜在的安全风险起到控制和警示作用,并为事后追踪提供基础,为已经发生的故障或攻击提供追查证据;(4)通过培训强化员工网络安全意识。
三、互联网时代企业合规管理关注要点
为了应对互联网科技迅速发展引起的网络安全问题,各国纷纷提出了监管要求,如美国制定了《计算机欺诈与滥用法》(Computer Fraud and Abuse Act);欧盟颁布了《一般数据保护条例》(General Data Protection Regulation, GDPR);俄罗斯制定了《俄罗斯联邦信息、信息技术和信息保护法》;我国早在1994年颁布的《计算机信息系统安全保护条例》中就首次正式提出了计算机信息系统实行安全等级保护[9],之后国家为网络安全和保护个人信息又陆续发布一系列法律法规,如护航网络信息安全的“三驾马车”《网络安全法》、《数据安全法》、《个人信息保护法》及相关规范性文件和行业标准等,为规范企业网络合规管理工作提供了标准和依据。所以,对于企业而言,网络安全不仅是一项技术问题,更是需要严肃对待的法律问题,企业要认真制定合理的网络安全管理体系,落实网络安全合规管理工作。
其一,建立和完善网络安全合规管理体系。企业要根据业务实际情况,修订内部政策制度类文件,例如落实严格的账号权限分级管理制度、建立和提升技术保护机制、完善网络设备管理制度、健全网络安全评估机制、完善全流程数据安全管理制度。
其二,明确各岗位人员的职责和权限。区分数据访问权限,分级管理网络监控权限和网络安全审计权限,通过培训和演练,强化各关键岗位员工的岗位职责和安全意识,定期开展员工网络安全风险识别培训。《数据安全法》中就明确规定“重要数据的处理者应当明确数据安全负责人和管理机构”;在《上海市数据条例》中也鼓励企业“建立首席数据官制度”。
其三,加强网络设备安全管理。合理布置防火墙、配置访问控制,建立完善的实时监控系统,重要硬件基础设备应经专业安全认证,做好信息分区、数据分级的存储设备配置和管理,及时获取最新的安全漏洞和补丁,关注国内外不断更新的网络安全技术和产品,国家网信办也会定期发布网络关键设备和网络安全专用产品的安全认证和安全检测结果。对于关键信息基础设置的运营企业,在《网络安全法》中也规定对其网络的安全性和可能存在的风险“应当每年至少进行一次检测评估”。
其四,重视数据合规管理。做好数据分级分类管理,对个人用户信息执行严格的收集、存储制度,设置脱敏和加密保护流程,做好隐私数据安全管理,实施加密传输通信,开展数据安全教育培训等。《个人信息保护法》就强调在处理个人信息时实行“加密、去标识化等安全技术”等措施,防止个人信息泄露、丢失等可能存在的网络安全风险;根据《数据出境安全评估办法》规定,对于符合特定数据出境场景的情形,应当通过“数据出境安全评估”后方可进行数据跨境流动;又如《浙江省汽车数据处理管理规定》中就首次明确对汽车数据处理者 “不得存储原始个人生物识别信息”。
其五,设置和完善网络风险应对措施和处置方案。定期排查设备运行情况,组织模拟故障演练和技术培训,制定详细的应急预案和响应预案,加强对网络日志的管理,做好事后追查和证据追踪。《网络安全法》就规定对于网络日志留存记录保存期间“不得少于六个月”;在2023年12月8日国家网信办关于《网络安全事件报告管理办法(征求意见稿)》[10]中也提到“属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。”
其六,积极配合监管部门工作。企业应主动关注国内相关政策法规的发布和变化调整,参与网络安全信息方面相互交流合作,发生网络风险事件尤其是涉及个人信息泄露风险事件时,要及时向监管部门报告该网络安全事件,在启动风险预案响应措施后,主动与监管部门反馈最新情况和问题,配合监管部门共同维护网络空间的稳定和安全。
结语:
可见,网络安全合规管理是一项长期工作,企业应当结合自身真实情况和业务实际需求,严格落实我国相关强制性和标准性管理规定,制定符合企业现实和未来发展的网络安全防护管理体系,合理布局网络安全硬件设施,贯彻执行关键岗位职责和权限,强化员工合规管理和网络安全风险意识,结合数据流动安全评估的合规管理,定期排查潜在风险,面对故障迅速启动应急预案响应等多方面协调统筹,全面提升企业的网络安全,才能更好的应对日益复杂的网络安全风险,确保企业网络安全稳定、健康、可持续的发展。
九泽合规团队也将持续关注相关行业领域法律法规的更新和变化,分主题逐项作更为细致的分析和解读,为提升和完善企业的合规管理赋能,读者可以持续关注九泽合规团队的系列文章或联系九泽合规团队(jzheguiteam@jiuzelaw.com)作一对一的专项调研。九泽合规团队将为前来咨询的企业做专项合规评估报告,以供企业参考,为有梳理内控合规需求的企业提供专业、高效的法律合规专项服务。
本文参考资料:
[1] 新京报网站,《LINE母公司陷“数据安全门”,44万余条信息泄露启示录》https://www.bjnews.com.cn/detail/1701408901129825.html,最后访问日期:2023年12月6日
[2] 中新网,《澳大利亚电信运营商澳都斯电话和网络服务突发大面积故障中断 超过1000万人受影响》http://www.chinanews.com.cn/gj/2023/11-08/10108159.shtml,最后访问日期:2023年12月5日
[3] 第一财经网,《工行美国子公司:遭勒索软件攻击致部分系统中断,正彻查》https://www.yicai.com/news/101900744.html,最后访问日期:2023年12月9日
[4] 上观新闻网,《阿里滴滴相继发生系统崩溃》https://export.shobserver.com/baijiahao/html/688163.html
[5] 中国商报网,《滴滴三次致歉并公布故障原因 专家:大企业应兼顾社会责任》https://www.zgswcn.com/article/202311/202311291500041121.html,最后访问日期:2023年12月9日
[6] 搜狐网,《上海医保系统罕见崩溃数小时,医保局称未获知原因》https://news.sohu.com/a/740953535_121769698,最后访问日期:2023年12月9日
[7] IT之家网,《“腾讯视频崩了”冲上热搜,网友反馈主页无法加载、会员出现 bug》https://www.ithome.com/0/736/748.htm,最后访问日期:2023年12月9日
[8] 证券日报,《蔚来员工用公司服务器“挖矿” 虚拟货币、汽车沙盒安全监管持续加码》http://epaper.zqrb.cn/html/2022-04/08/content_822484.htm,最后访问日期:2023年12月9日
[9] 中国公安部官网,《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度解读》https://www.mps.gov.cn/n6557563/c7369120/content.html,最后访问日期:2023年12月9日
[10] 国家网信办官网,《国家互联网信息办公室关于<网络安全事件报告管理办法(征求意见稿)>公开征求意见的通知》http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm,最后访问日期:2023年12月9日
上海总所
地址:上海市普陀区云岭东路89号长风国际大厦18楼
电话:021-80120128
传真:021-80120131
邮编:200062
杭州分所
地址:浙江省杭州市市心北路1929号万和国际中心7幢15层
电话:0571-83692260
传真:0571-83692270
邮编:311215
蚌埠分所
地址:安徽省蚌埠市蚌山区绿地珠峰B座22楼
电话:0552-38399966
传真:0552-38399966
邮编:233017
泰州分所
地址:江苏省泰州市姜堰区三水街道科技路159号智能应急产业园南区22号楼24层
电话:13952676667
邮编:225500
关注我们