《网络安全法》中的这些“难题”，企业怎么解？

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施了。

作为我国第一部关于网络安全的综合性法律，包含了若干新的法律概念和规定，这些概念和规定将对在中国境内建设、运营、维护和使用网络产生深远的影响。

而对于企业经营者来说，需要关注的《网络安全法》相关影响主要分为以下四个方面。

理解《网络安全法》对企业影响的第一步，就是知道自身以什么角色，会有哪些方面，受到网安法影响。

除了所有个人和组织都应当遵守的一般守法义务外，网络运营者、网络产品和服务提供者、关键信息基础设施运营者，将是《网络安全法》的重点监管对象。

首先，网络运营者，是指“网络的所有者、管理者和网络服务提供者”。

《网络安全法》第二十一条规定，网络运营者的网络安全等级保护义务：网络运营者有义务制定内部安全管理制度和操作规程、确定网络安全负责人；并应当采取防范病毒、攻击、入侵等危害网络安全行为的技术措施；网络运营者的日志留存时间必须不少于6个月；并有义务采取数据分类、重要数据备份和加密等措施。

另外，网络运营者的义务还涉及网络实名制、个人信息保护和安全事件应急响应等方面。

其次，而对于网络产品和服务提供者而言，核心义务主要在于以下几点：

1、产品满足国家标准强制性要求；

2、不得设置恶意程序；

3、对于安全缺陷、漏洞等风险，需要采取补救措施、向用户和有关主管部门双告知；

4、约定期限内，不得终止安全维护义务；

5、收集用户信息，需要向用户明示并取得同意。

此外，《网络安全法》的第三十四至三十八条，对于关键信息基础设施运营者的安全责任提出了更严格的要求，从管理责任、采购要求、信息存储和出境以及年度测评等方面进行了全面的规定。

很多企业往往只关注的信息安全或者说内容的安全性，例如内容篡改，缺乏对“网络运行安全”这部分的关注。

《网络安全法》中定义的网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

基于此，“网络安全”，包括了网络运行安全与网络信息安全两部分。网络运营者的安全责任范围扩大。

《网络安全法》规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

该要求明确将网络运营者作为用户信息保护的责任主体。并进一步完善了对个人信息保护的规则，要求网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

《网络安全法》实施后，将规范个人信息的收集和使用，让企业的关注点应从单纯的“数据安全”延展至影响范围更广的“个人信息保护”。

对于网络运营者拒不履行安全的责任，明确处罚措施，包括暂停业务活动、严重的违法行为将导致停业整顿或吊销执照、处罚金额最高可至100万元、对于直接负责人进行罚款等。构成犯罪的会依法追究刑事责任。

了解《网络安全法》对自己企业的影响，从数据安全、人员、技术、流程做好“安全治理”，是企业拥抱新法律环境、网络环境的第一步。

对于大多数企业来说，符合《网络安全法》要求的难点在于：无法在现有的投入成本下，把安全做得“面面俱到”。

而基于计算和算法能力，云安全服务可以让企业安全管理变得“快速、智能、弹性”，用更少的投入，达到更好的安全治理效果，符合《网络安全法》对企业更高一层的要求。

1、快速应急响应。相比线下IDC环境，专业的云安全团队和应急流程，可以帮助用户快速有效地做好安全事件的应急响应。有专业团队并肩作战，因安全事件所导致的应急滞后、数据泄露风险则相应减小。

2、安全产品在线联动。传统安全产品的防护能力往往会受制于网络、厂商能力。而在云上，威胁情报共享让各个安全产品随时处于“备战状态”，并且可大大提升企业安全内部的可见度。

3、安全能力随需而变。当用户遇到大型活动（如直播、发布会等），传统安全防护框架下的安全能力会有“天花板”。而基于云的安全能力可“按需取用”。简单的配置、和弹性扩展的属性，可以让企业用现有的预算，获得更好的安全防护效果。

阿里云在《网络安全法》正式实施之际，为企业用户推出“《网络安全法》一站式解决方案”，帮助用户做好技术合规和管理合规。

从数据安全、敏感数据防泄露、政务行业安全、到个人信息保护，云安全从人员、流程、技术和应急响应等各个方面，帮助企业转变过去“偏安一隅”的安全治理思路，建立更完善的安全预防和管理机制。

让《网络安全法》成为企业安全更好的开始。