IDC网络安全等级保护与合规实务
葛静芳 王译萱
前言
近年来,我国针对数据中心(IDC)业务的投资不断升温,IDC市场格局已初见雏形。据《2019—2020年中国IDC产业发展报告》称,我国2019年IDC市场业务规模已经达到1562.5亿,同比增长27.2%,且呈现持续增长趋势。
2020年前后,党中央和国务院多次提出要“加快5G、数据中心等新型基础设施建设进度,注重调动民间投资积极性”,并要求“出台信息网络等新型基础设施投资支持政策”。凭借前述政策红利,数据中心(IDC)机房和带宽需求持续扩大,这也加速推动着IDC产业进入新一轮的爆发期。
市场主体大量涌入之际,合规问题就迫在眉睫了。特别是“如何保护IDC产业的生产要素——数据”、“如何构建企业网络安全防护墙”等等,诸如此类的问题都将会成为运营商目前面临的最大挑战。
一、数据中心(IDC)运营模式
IDC产业链的核心主体包括:基础设施运营商、数据中心(IDC)运营商和终端客户。其中,IDC运营商处于整个产业链的核心位置,基础设施运营商向IDC运营商提供IT设备、带宽等基础设施,IDC运营商为有互联网需求的用户提供高度安全可靠的机房和网络平台,实现用户互联网运营业务的最终目的。
二、数据中心(IDC)等级保护的必要性
IDC通过数据和算法将现实世界数字化,在数字化的过程中,IDC运营商通常扮演着数据处理者的角色。正是这个角色定位,令IDC运营商常常误以为只有终端用户才是数据的所有者,才需承担网络安全保护义务。
而事实上,现如今的IDC运营商处理的数据数量庞大、种类繁多,特别是云服务行业的IDC,不仅管理着自身平台的海量数据,且向终端用户提供网络产品和服务,已不再是单纯的数据处理者。
根据我国《网络安全法》第七十六的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。显然,IDC运营商是《网络安全法》规定的网络运营者。《网络安全法》第二十一条另有规定,我国网络运营者应当按照网络安全等级保护制度的要求,履行相应的安全保护义务。
因此,IDC运营商作为网络运营者在提供多样化服务时,自然也应当将网络安全等级保护的相关要求作为其合规工作中的一个重要方面。
如果IDC运营商未能按照相应的等级保护制度开展工作,将会面临《网络安全法》、《等级保护条例》规定的责令改正、警告、约谈、罚款等行政处罚,严重者可能触犯《刑法》,承担三年以下有期徒刑、拘役、管制、罚金等刑事责任。
尤其是2017年6月1日《网络安全法》正式生效以后,全国各地围绕着等级保护制度的监管力度也在不断加强,相关案例也不断涌现。我们可以从以下执法案例中一窥网络安全等级保护监管的关注点。
2019年2月,南京某研究院、无锡某图书馆因网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。南京、无锡警方对上述单位分别予以五万元罚款,对相关责任人予以五千元、两万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。
2019年1月,河南省安阳市某医院因未履行网络安全等级保护义务,造成业务系统被攻击破坏,正常工作无法开展。公安机关对网络攻击行为开展立案侦查的同时,对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。
2018年8月,杭州市通策会综合服务有限公司的预付卡发行与受理系统未落实网络安全等级保护制度,存在安全隐患,于2018年08月23日10时40分被公安机关查获。根据《中华人民共和国网络安全法》第五十九条之规定,最终监管机关给予杭州通策会综合服务有限公司责令改正,并处警告的行政处罚。
2017年12月,浏阳市烟花爆竹总会网站系统被留有后门,存在严重的安全隐患漏洞。经查,该网站自上线运行以来,一直未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。公安机关给予浏阳市烟花爆竹总会行政警告处罚,并提出落实网站和重要信息系统的等级保护定级备案工作的整改要求。在未整改落实到位前,网站系统不得上线运行。
2017年12月,长沙医学院已在线运行的多个信息系统均未落实国家实行的网络安全等级保护制度。公安机关对长沙医学院作出行政警告处罚的决定,并提出限落实网站和重要信息系统的等级保护定级备案工作。
结合前述案例可以看出,涉案企业大多缺少网络及数据安全防护组织框架,也未落实等级保护制度相关规定,例如未设置相关的安全管理负责人和执行机构、未进行相关安全要求的培训等。所以,为保障IDC业务的持续发展,IDC运营商有必要将网络安全的等级保护置于项目建设清单的核心位置。
三、网络安全等级保护规范体系
现阶段,我国网络安全等级保护的规范由法律法规和国家部委发布的国家标准构成。
在立法层面,与其他互联网业务相同,相关主体均受《网络安全法》、《网络安全等级保护条例(征求意见稿)》等安全保护相关立法的规制。
在国家标准层面,2019年5月13日,国家信标委等机构正式发布相关核心标准,与《网络安全法》、《网络安全等级保护条例(征求意见稿)》等一起构成等级保护2.0规范体系,为IDC建设运营者落实网络安全等级定级、备案、测评以及整改等工作提供了系统化的指导。
以下是梳理后的等级保护2.0的规范体系:
四、数据中心(IDC)等级保护定级
我国现有等级保护定级采取自主定级申报模式,对每个系统单独定级,并以较高者确定最终等级。另外需要注意的是,IDC的网络系统无论是公网,还是私网,只要具备联网功能都要定级。
由此,IDC运营者在适用网络安全等级保护的相关规定时,首先应对本单位的网络系统进行梳理,再根据相关标准自主确定本单位的等级保护对象、等级保护方法、以及等级保护理由,最后到相关部门完成备案。
我国等级保护制度根据等级保护对象(受侵害客体)受到的破坏后对客体造成侵害程度(受客体侵害程度)的不同,将信息系统安全等级共分为五级,具体如下:
另外,我国等级保护制度针对部分特殊对象也提出了与之相应的特殊要求,运营者对此需要格外关注,我们理解该等特殊要求必定是相关部门审批的重中之重。
作为“新基建”的核心领域,IDC自带公益属性,其通常会涉及大量国家重点关注行业和公众领域的数据,一旦IDC遭到破坏、丧失功能或者泄露,将可能导致严重危害国家安全、国计民生、公共利益的后果,因此IDC大多也会被列入关键基础设施(CII)的规制范畴。
当我们将《网络安全等级保护条例(征求意见稿)》与《关键信息基础设施安全保护条例(征求意见稿)》等文件相比对时,就不难发现,等保三级的合规要求与关键信息基础设施(CII)的合规要求在逐渐趋同,但是等保三级的规制范围更为广泛,也就是说,符合等保三级并不一定会被认定CII,但是CII一定会被定级为等保三级或以上。
综上,建议IDC运营者按照网络安全等级三级以上进行定级,并按照更严格的标准开展网络安全保护工作较为妥当。
五、数据中心(IDC)内控制度的合规要求
尽管IDC业务近年来一直保持着高速发展的态势,但是IDC运营商对网络安全管理制度部署却远远滞后于前者。为了便利后续的网络安全合规工作,我们建议IDC运营商在数据中心建设之初,就对网络安全合规工作进行同步规划与设计。
根据上文对IDC的定级,我们认为将IDC系统定义为第三级以上更为适宜。因此下文将从“数据中心建设参与人”与“数据中心建设项目管理”两个方面对等保三级及以上的合规要求进行梳理。
(一)数据中心“参与人员”的合规
根据网络运营过程中的参与者获悉数据程度的可能性,等保2.0区分了多种义务主体。从这个角度切入,我们整理了与“参与人员”相关的各种规定:
首先,明确要求网络运营者建立网络安全管理机构,配备相适应的人员。
其次,企业应当建立相应的人员录用、离岗审计,强化日常安全培训,制定相应的业务流程指引。
再者,对于网络运营的关键岗位执行人来说,需要持证上岗,并且需要接受安全背景审查。
除此之外,第三级及以上的网络运营者还需要满足额外的合规要求:
• 系统管理员、审计管理员和安全管理员不得兼任;
• 应当指定专门的部门或人员对日志、监测和报警等数据进行分析、统计,及时发现可以行为;
• 与关键岗位人员签署岗位责任协议及保密协议;
• 关键岗位人员不得擅自参加境外组织的网络攻防活动;
• 与离岗人员签署保密承诺;
• 与获得系统访问授权的外部人员签署保密协议;
• 对不同岗位的人员进行定期考核。
(二) 数据中心“管理”的合规
为做好IDC的网安合规工作,运营商需要及时跟进国家及行业组织最新出台的法律法规及标准,及时更新本单位的制度体系。另外,因所涉业务的差异性,不同的数据中心也需要结合本单位的情况对合规要点进行完善或调整。以下,我们总结了较为常见的合规要点供参考。
小结
IDC业务涉及的网络合规问题较多,本文仅仅是从网络安全等级保护的角度,梳理了IDC运营过程中可能会遇到的合规风险及面对的合规要求。尽管IDC产业的网络合规才刚刚开始,某些合规要求在具体落地层面也不十分清晰,但是我们仍建议合规先行,IDC运营商宜参照现有法律法规以及国家标准,尽快搭建自身的网络安全等级保护体系,形成等级保护常态化检查和自查的业务闭环,使得IDC业务与合规同步发展,抓住“新基建”网络空间战略先机。