（二）网安法律法规解读——《国家安全法》、《等保》

一、概述

通过上一篇文章初步了解了法律位阶、网安行业的监管机构及其职责；本文将会介绍网安法立法历程，以及网安基本法律法规的解读。

二、网安立法历程

互联网已经发展了50多年，中国接入互联网也已近30年，经历过了"乱象丛生"的野蛮生长时代，如今各项法律法规、条例等也在陆续完善和出台，行业逐渐走向成熟化、规范化。

法律法规、条例办法概览（以正式施行时间或最后修订时间为序）：

其中具备里程碑意义的，如：

• 《信息安全等级保护管理办法》
  即我们常称的《等保》，是由公安部、国家保密局、国家密码管理局、国务院信息联合发布，于2007年6月22日正式施行；该《办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定。

• 《中华人民共和国国家安全法》
  2015年颁布，首次提出『网络空间主权』这一概念，其中提到的关键基础设施、数据安全法、网络安全审查制度等，都在近年逐一落实，具有一定的前瞻性和指向性。

• 《中华人民共和国网络安全法》
  由全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。
  《网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。网络安全法共有7章79条，内容上有6方面突出亮点：
  第一，明确了网络空间主权的原则；第二，明确了网络产品和服务提供者的安全义务；第三，明确了网络运营者的安全义务；第四，进一步完善了个人信息保护规则；第五，建立了关键信息基础设施安全保护制度；第六，确立了关键信息基础设施重要数据跨境传输的规则。

• 没有网络安全就没有国家安全
  网络安全牵一发而动全身，深刻影响政治、经济、文化、社会、军事等各领域安全。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。
  ——2018年4月20日在全国网络安全和信息化工作会议上的讲话

• 《中华人民共和国刑法修正案(十一)》
  由2020年12月26日中华人民共和国第十三届全国人大常委会第二十四次会议通过，2020年12月26日中华人民共和国主席令（第六十六号）公布，自2021年3月1日起施行。其中重新对个人信息定义范围进行了扩充(相比网安法)，入侵计算机信息系统和非法获取/利用计算机信息系统数据、及拒不履行信息网络安全管理义务等都将收到刑法修正案的处罚。

• 《关键信息基础设施安全保护条例》
  xxxxxx

• 《中华人民共和国数据安全法》
  xxxxx

• 《中华人民共和国个人信息保护法》
  xxxx

三、网安基本法律解读

会对《国家安全法》、《等级保护制度》、《网络安全法》、《数据安全法》、《个人信息保护法》进行解读。

1、《国家安全法》

早在1993年，国家就颁布过一部国家安全法(主席令68号)，主要是规定国家安全机关履行职责尤其是反间谍方面的工作职责。但随着国家形势的发展变化，旧版本的法律已经难以适用全面维护各领域国家安全的需要(在2014年通过《反间谍法》后相应被废止)。2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过，中华人民共和国主席令第29号公布了《中华人民共和国国家安全法》。

《国家安全法》7章84条，其中的一大亮点是，第一次提出了"网络空间主权"的概念，可以理解为国家主权在网络空间的体现、延伸和反映。网络安全不再小众范，已然上升到了国家主权层面。

《国家安全法》第二十五条规定，“加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”提出网络空间主权这一概念，是国家安全法的一大创新。在互联网时代，国家疆域呈现陆地、海洋、空间、太空、网络空间五维格局，网络空间主权随之出现。近年来，棱镜门、维基解密以及大规模互联网用户信息泄露等重大网络安全事件频发，网络空间安全形势日益严峻。在这种情况下，大多数国家都把特定网络置于自己主权管辖之下，并对相关网络行为进行约束和规范。在《国家安全法》中确立网络空间主权这一概念，有助于我国加强网络空间治理，建设网络安全保障体系，参与网络国际治理和合作，捍卫我国网络空间主权安全。

2、《网络安全等级保护基本要求》

《网络安全等级保护基本要求》由公安三所（公安部信息安全等级保护评估中心）牵头起草，2019年5月10日，国家标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)发布，将于2019年12月1日起实施。该标准贯彻了《网络安全法》关于网络安全等级保护制度的最新要求，替代了之前的《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)。

2.1、与旧版本的差异

随着云计算、大数据、物联网、移动互联网、工控等技术的蓬勃发展，原有版本（《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)）不能完全适用新的发展场景，在时效性、易用性、可操作性上需要进一步完善，基于此诞生了新版本（《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)）。

• 名称：
  《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008) ———〉 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

• 范围扩大：
  由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统，更加适用于当前的安全场景。

• 安全要求细化
  对各级别的安全要求，分为安全通用要求和安全扩展要求，贴合不同场景，是的标准更具灵活性和针对性，通用安全要求针对共性问题，扩展安全要求针对差异化问题。
  第一级到第四级的安全要求都由“安全通用要求”和“安全扩展要求组成”，不同级别随着安全性的提高安全要求逐渐严格。
  

• 技术和管理要求扩充
  技术要求：由 “ 物理安全” 、“ 网络安全” 、“ 主机安全” 、“ 应用安全” 、“ 数据安全和备份与恢复” ———> 修订为
  “ 安全物理环境” 、“ 安全通信网络” 、“ 安全区域边界” 、“ 安全计算环境” 和“ 安全管理中心”

• 管理要求：由“ 安全管理制度” 、“ 安全管理机构” 、“ 人员安全管理” 、“ 系统建设管理” 、“ 系统运维管理” ------> 修订为
  “安全管理制度” 、“ 安全管理机构” 、“ 安全管理人员” 、“ 安全建设管理” 、“ 安全运维管理”

• 增加对“云计算”、“移动互联网”、“物联网”、“工业控制系统”的安全要求，以及定级结果和安全要求的关系

2.2、安全通用要求和安全拓展要求

• 安全通用要求，分为技术要求和管理要求
  技术要求分类体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护, 同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

管理要求，安全管理的三要素：组织机构、制度、人，缺一不可，同时还应该系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。在平常的安全运营工作中都有映射，如“安全制度”的制定/修订/执行，“安全管理人员”中员工在企业全生命周期的安全培训和教育，“安全运维管理”更是囊括了资产管理、漏洞和风险管理、安全事件处置、应急预案等等，安全的工作都能在其中找到关联和对应。

• 安全拓展要求
  • 云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“ 基础设施的位置” 、“ 虚拟化安全保护” 、“ 镜像和快照保护” 、“ 云计算环境管理” 和“ 云服务商选择” 等。
    
  • 移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“ 无线接入点的物理位置” 、“ 移动终端管控” 、“ 移动应用管控” 、“ 移动应用软件采购” 和“ 移动应用软件开发” 等。
    
  • 物联网安全扩展要求针对物联网的特点提出。主要内容包括“ 感知节点的物理防护” 、“ 感知节点设备安全” 、“ 网关节点设备安全” 、“ 感知节点的管理” 和“ 数据融合处理” 等。
    
  • 工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“ 室外控制设备防护” 、“ 工业控制系统网络架构安全” 、“ 拨号使用控制” 、“ 无线使用控制” 和“ 控制设备安全” 等。