English

中文 English

研究發展DEVELOP
新基建專題 | 數據中心(IDC)網絡安全等級保護與合規實務
時間:2020-06-02 作者:葛靜芳 王譯萱

前言

近年來,我國針對數據中心(IDC)業務的投資不斷升溫,IDC市場格局已初見雛形。據《2019—2020年中國IDC產業發展報告》稱,我國2019年IDC市場業務規模已經達到1562.5億,同比增長27.2%,且呈現持續增長趨勢。

2020年前后,黨中央和國務院多次提出要“加快5G、數據中心等新型基礎設施建設進度,注重調動民間投資積極性”,并要求“出臺信息網絡等新型基礎設施投資支持政策”。憑借前述政策紅利,數據中心(IDC)機房和帶寬需求持續擴大,這也加速推動著IDC產業進入新一輪的爆發期。


市場主體大量涌入之際,合規問題就迫在眉睫了。特別是“如何保護IDC產業的生產要素——數據”、“如何構建企業網絡安全防護墻”等等,諸如此類的問題都將會成為運營商目前面臨的最大挑戰。


01

數據中心(IDC)運營模式


IDC產業鏈的核心主體包括:基礎設施運營商、數據中心(IDC)運營商和終端客戶。其中,IDC運營商處于整個產業鏈的核心位置,基礎設施運營商向IDC運營商提供IT設備、帶寬等基礎設施,IDC運營商為有互聯網需求的用戶提供高度安全可靠的機房和網絡平臺,實現用戶互聯網運營業務的最終目的。


圖片1.png



02

數據中心(IDC)等級保護的必要性


IDC通過數據和算法將現實世界數字化,在數字化的過程中,IDC運營商通常扮演著數據處理者的角色。正是這個角色定位,令IDC運營商常常誤以為只有終端用戶才是數據的所有者,才需承擔網絡安全保護義務。

而事實上,現如今的IDC運營商處理的數據數量龐大、種類繁多,特別是云服務行業的IDC,不僅管理著自身平臺的海量數據,且向終端用戶提供網絡產品和服務,已不再是單純的數據處理者。

根據我國《網絡安全法》第七十六的規定,網絡運營者是指網絡的所有者、管理者和網絡服務提供者。顯然,IDC運營商是《網絡安全法》規定的網絡運營者。《網絡安全法》第二十一條另有規定,我國網絡運營者應當按照網絡安全等級保護制度的要求,履行相應的安全保護義務。

因此,IDC運營商作為網絡運營者在提供多樣化服務時,自然也應當將網絡安全等級保護的相關要求作為其合規工作中的一個重要方面。

如果IDC運營商未能按照相應的等級保護制度開展工作,將會面臨《網絡安全法》、《等級保護條例》規定的責令改正、警告、約談、罰款等行政處罰,嚴重者可能觸犯《刑法》,承擔三年以下有期徒刑、拘役、管制、罰金等刑事責任。

尤其是2017年6月1日《網絡安全法》正式生效以后,全國各地圍繞著等級保護制度的監管力度也在不斷加強,相關案例也不斷涌現。我們可以從以下執法案例中一窺網絡安全等級保護監管的關注點。

  • 2019年2月,南京某研究院、無錫某圖書館因網絡安全等級保護制度落實不到位、管理制度和技術防護措施嚴重缺失,導致網站遭受攻擊破壞。南京、無錫警方對上述單位分別予以五萬元罰款,對相關責任人予以五千元、兩萬元不等罰款,同時責令限期整改安全隱患,落實網絡安全等級保護制度。
  • 2019年1月,河南省安陽市某醫院因未履行網絡安全等級保護義務,造成業務系統被攻擊破壞,正常工作無法開展。公安機關對網絡攻擊行為開展立案偵查的同時,對醫院處以罰款五萬元、直接負責人罰款五千元的行政處罰。
  • 2018年8月,杭州市通策會綜合服務有限公司的預付卡發行與受理系統未落實網絡安全等級保護制度,存在安全隱患,于2018年08月23日10時40分被公安機關查獲。根據《中華人民共和國網絡安全法》第五十九條之規定,最終監管機關給予杭州通策會綜合服務有限公司責令改正,并處警告的行政處罰。
  • 2017年12月,瀏陽市煙花爆竹總會網站系統被留有后門,存在嚴重的安全隱患漏洞。經查,該網站自上線運行以來,一直未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度,未履行網絡安全保護義務。公安機關給予瀏陽市煙花爆竹總會行政警告處罰并提出落實網站和重要信息系統的等級保護定級備案工作的整改要求。在未整改落實到位前,網站系統不得上線運行。
  • 2017年12月,長沙醫學院已在線運行的多個信息系統均未落實國家實行的網絡安全等級保護制度。公安機關對長沙醫學院作出行政警告處罰的決定并提出限落實網站和重要信息系統的等級保護定級備案工作


結合前述案例可以看出,涉案企業大多缺少網絡及數據安全防護組織框架,也未落實等級保護制度相關規定,例如未設置相關的安全管理負責人和執行機構、未進行相關安全要求的培訓等。所以,為保障IDC業務的持續發展,IDC運營商有必要將網絡安全的等級保護置于項目建設清單的核心位置。

03

網絡安全等級保護規范體系


現階段,我國網絡安全等級保護的規范由法律法規和國家部委發布的國家標準構成。


在立法層面,與其他互聯網業務相同,相關主體均受《網絡安全法》、《網絡安全等級保護條例(征求意見稿)》等安全保護相關立法的規制。


在國家標準層面,2019年5月13日,國家信標委等機構正式發布相關核心標準,與《網絡安全法》、《網絡安全等級保護條例(征求意見稿)》等一起構成等級保護2.0規范體系,為IDC建設運營者落實網絡安全等級定級、備案、測評以及整改等工作提供了系統化的指導。

以下是梳理后的等級保護2.0的規范體系:

1.png


04

數據中心(IDC)等級保護定級


我國現有等級保護定級采取自主定級申報模式,對每個系統單獨定級,并以較高者確定最終等級。另外需要注意的是,IDC的網絡系統無論是公網,還是私網,只要具備聯網功能都要定級。

由此,IDC運營者在適用網絡安全等級保護的相關規定時,首先應對本單位的網絡系統進行梳理,再根據相關標準自主確定本單位的等級保護對象、等級保護方法、以及等級保護理由,最后到相關部門完成備案。

我國等級保護制度根據等級保護對象(受侵害客體)受到的破壞后對客體造成侵害程度(受客體侵害程度)的不同,將信息系統安全等級共分為五級,具體如下:

2.png

另外,我國等級保護制度針對部分特殊對象也提出了與之相應的特殊要求,運營者對此需要格外關注,我們理解該等特殊要求必定是相關部門審批的重中之重。


3.png

作為“新基建”的核心領域,IDC自帶公益屬性,其通常會涉及大量國家重點關注行業和公眾領域的數據,一旦IDC遭到破壞、喪失功能或者泄露,將可能導致嚴重危害國家安全、國計民生、公共利益的后果,因此IDC大多也會被列入關鍵基礎設施(CII)的規制范疇。


當我們將《網絡安全等級保護條例(征求意見稿)》與《關鍵信息基礎設施安全保護條例(征求意見稿)》等文件相比對時,就不難發現,等保三級的合規要求與關鍵信息基礎設施(CII)的合規要求在逐漸趨同,但是等保三級的規制范圍更為廣泛,也就是說,符合等保三級并不一定會被認定CII,但是CII一定會被定級為等保三級或以上。


綜上,建議IDC運營者按照網絡安全等級三級以上進行定級、并按照更嚴格的標準開展網絡安全保護工作較為妥當。

05

數據中心(IDC)內控制度的合規要求


盡管IDC業務近年來一直保持著高速發展的態勢,但是IDC運營商對網絡安全管理制度部署卻遠遠滯后于前者。為了便利后續的網絡安全合規工作,我們建議IDC運營商在數據中心建設之初,就對網絡安全合規工作進行同步規劃與設計。


根據上文對IDC的定級,我們認為將IDC系統定義為第三級以上更為適宜。因此下文將從“數據中心建設參與人”與“數據中心建設項目管理”兩個方面對等保三級及以上的合規要求進行梳理。


(一)數據中心“參與人員”的合規

根據網絡運營過程中的參與者獲悉數據程度的可能性,等保2.0區分了多種義務主體。從這個角度切入,我們整理了與“參與人員”相關的各種規定:

首先,明確要求網絡運營者建立網絡安全管理機構,配備相適應的人員。

其次,企業應當建立相應的人員錄用、離崗審計,強化日常安全培訓,制定相應的業務流程指引。

再者,對于網絡運營的關鍵崗位執行人來說,需要持證上崗,并且需要接受安全背景審查。

除此之外,第三級及以上的網絡運營者還需要滿足額外的合規要求:

  • 系統管理員、審計管理員和安全管理員不得兼任;

  • 應當指定專門的部門或人員對日志、監測和報警等數據進行分析、統計,及時發現可以行為;

  • 與關鍵崗位人員簽署崗位責任協議及保密協議;

  • 關鍵崗位人員不得擅自參加境外組織的網絡攻防活動;

  • 與離崗人員簽署保密承諾;

  • 與獲得系統訪問授權的外部人員簽署保密協議;

  • 對不同崗位的人員進行定期考核。



(二) 數據中心“管理”的合規

為做好IDC的網安合規工作,運營商需要及時跟進國家及行業組織最新出臺的法律法規及標準,及時更新本單位的制度體系。另外,因所涉業務的差異性,不同的數據中心也需要結合本單位的情況對合規要點進行完善或調整。以下,我們總結了較為常見的合規要點供參考。

4.png

小結

IDC業務涉及的網絡合規問題較多,本文僅僅是從網絡安全等級保護的角度,梳理了IDC運營過程中可能會遇到的合規風險及面對的合規要求。盡管IDC產業的網絡合規才剛剛開始,某些合規要求在具體落地層面也不十分清晰,但是我們仍建議合規先行,IDC運營商宜參照有法律法規以及國家標準,盡快搭建自身的網絡安全等級保護體系,形成等級保護常態化檢查和自查的業務閉環,使得IDC業務與合規同步發展,抓住“新基建”網絡空間戰略先機。


作者
葛靜芳.jpeg
王譯萱.png



走進文康
文康概況
文康君益誠律師聯盟
文康培訓學校
黨團建設
發展歷程
文康榮譽
加入文康
文康動態
文康動態
文康人文
業務領域
業務領域
專業人員
專業人員
研究發展
專業研究
最新案例
疫情專區
公益基金
聯系我們
聯系方式
投訴電話:0532-80775079


手機訪問

魯ICP備021305號COPYRIGHT © 文康律師事務所. ALL RIGHTS RESERVED.  技術支持:三五互聯

大盘指数上证指数图