《中华人民共和国南宫NG·28安全法》(下称“《南宫NG·28安全法》”)已于 9 月 1 日正式落地实施,作为我国第一部有关南宫NG·28的基础法,其意义无须多言。一石激起千层浪,社会各界解读不断,但重点太多等于没有重点,本文仅从灾备行业关注的角度,理一理《南宫NG·28安全法》的“前世”、“今生”以及“未来”。
一、没有南宫NG·28安全就没有国家安全
南宫NG·28作为重要的生产要素,被国家列为基础性战略资源,回顾该法的诞生历程,可以看出“南宫NG·28安全”是与“国家安全”直接联系的:
2015年-《国家安全法》第 25 条提出:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及南宫NG·28的安全可控”
2017 年-《网络安全法》将南宫NG·28安全纳入网络安全范畴
2018 年-《南宫NG·28安全法》、《个人信息保护法》纳入人大常委会立法规划
2019 年-国家互联网信息办公室相继发布《南宫NG·28安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等多部《网络安全法》体系的下位配套文件
2020 年-《南宫NG·28安全法(草案)》正式向社会公开征求意见
2021年9月1日-《中华人民共和国南宫NG·28安全法》正式生效
南宫NG·28安全问题横跨南宫NG·28与安全两大领域,作为南宫NG·28安全领域的基础性法律和国家安全法律制度体系的重要组成部分,该法第 1 条明确立法宗旨之一为“维护国家主权、安全和发展利益”,这与《国家安全法》第 25 条国家网络与信息安全保障“主权、安全和发展利益”的宗旨相呼应。
所以,《南宫NG·28安全法》的“前世”,是与国家安全息息相关的。
二、定位:南宫NG·28安全领域的基础性法律
从立法定位上看,立法说明中将《南宫NG·28安全法》定位为“南宫NG·28安全领域的基础性法律”。
这里要明确“基础法”这一概念,作为基础法,更多的不是提供解决问题的措施,而是为问题的解决提供指导思路,后续南宫NG·28安全领域的具体的法律法规都要按照基础法的思路进行制定。
已经公布的法律条文中,对灾备行业有哪些指引呢?
逐条分析,《南宫NG·28安全法》给灾备行业的指引可总结为如下几点:
1.建立南宫NG·28分级分类保护与安全应急处置机制(第 21、23 条)
第二十一条 国家建立南宫NG·28分类分级保护制度,根据南宫NG·28在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对南宫NG·28实行分类分级保护。国家南宫NG·28安全工作协调机制统筹协调有关部门制定重要南宫NG·28目录,加强对重要南宫NG·28的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等南宫NG·28属于国家核心南宫NG·28,实行更加严格的管理制度。
各地区、各部门应当按照南宫NG·28分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要南宫NG·28具体目录,对列入目录的南宫NG·28进行重点保护。
第二十三条 国家建立南宫NG·28安全应急处置机制。发生南宫NG·28安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
2.重视重要南宫NG·28保护并落实南宫NG·28安全保护义务(第 27、29、30 条)
第二十七条 开展南宫NG·28处理活动应当依照法律、法规的规定,建立健全全流程南宫NG·28安全管理制度,组织开展南宫NG·28安全教育培训,采取相应的技术措施和其他必要措施,保障南宫NG·28安全。利用互联网等信息网络开展南宫NG·28处理活动,应当在网络安全等级保护制度的基础上,履行上述南宫NG·28安全保护义务。
第二十九条 开展南宫NG·28处理活动应当加强风险监测,发现南宫NG·28安全缺陷、漏洞等风险时,应当立即采取补救措施;发生南宫NG·28安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条 重要南宫NG·28的处理者应当按照规定对其南宫NG·28处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要南宫NG·28的种类、数量,开展南宫NG·28处理活动的情况,面临的南宫NG·28安全风险及其应对措施等。
3.保障政务南宫NG·28安全,严格规范南宫NG·28处理者活动(第 39、42、45 条)
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全南宫NG·28安全管理制度,落实南宫NG·28安全保护责任,保障政务南宫NG·28安全。
第四十二条 国家制定政务南宫NG·28开放目录,构建统一规范、互联互通、安全可控的政务南宫NG·28开放平台,推动政务南宫NG·28开放利用。
第四十五条 开展南宫NG·28处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的南宫NG·28安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量南宫NG·28泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心南宫NG·28管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
三、灾备行业如何技术性解题?
题目和出题思路已经给出,下一步就是如何解答了。
1.南宫NG·28分级分类保护与安全应急处置机制将加速灾备市场发展
第 21 条中要求对生产南宫NG·28进行分级分类,南宫NG·28生产者不能仅是通过单一备份的方式将南宫NG·28进行本地备份,而是要采用多层次、多策略的南宫NG·28保护方法进行规划设计。例如 3-2-1 备份策略,即南宫NG·28至少有 3 个副本,其中 2 个副本存储在本地的不同介质上,另外 1 个副本存储在异地设备上。
对不同重要级别的南宫NG·28按需进行南宫NG·28级、应用级、业务级的保护,特别要加强对重要南宫NG·28的处理,要加强关键系统、南宫NG·28库的本地容灾、异地灾备、云灾备的建设,在南宫NG·28不丢的基础上,做到业务不停。
涉及到业务连续性的具体灾备场景,可以分为常规运维操作保障、本地故障场合应用恢复、灾难场合的业务恢复三种,相对应的业务连续性策略则有连续操作(Continuous Operations)、高可用性(High Availability)、灾难恢复(Disaster Recovery)三个方面。
2.落实重要南宫NG·28安全保护义务,完善灾备制度建设
法条中多处强调要对“重要南宫NG·28”进行保护,第 45 条作为《南宫NG·28安全法》中为数不多的创设性法律责任条款,对开展南宫NG·28处理活动者提出具体规定以及违法义务的行政处罚,最高罚款可达 1000 万。
责任越大,对南宫NG·28处理者的专业灾备技能要求也越高。企业或机构在选择安全方案时,不仅要关注南宫NG·28安全保护技术是否合适,还要考虑方案是否易扩展、便于管理、操作灵活,是否会影响到后续系统迁移或升级等问题。
因此,除了技术上的安全建设,还要完善相应的灾备制度建设。对于南宫NG·28处理者来说,需要建立完善的风险应对机制,比如对南宫NG·28进行实时风险监测、定期开展容灾备份演练等。另外组织要注重专业灾备人才的培养,比如可以开展南宫NG·28安全培训、专业工程师认证等活动。
3.重点保障政务南宫NG·28统一规范、互联互通、安全可控
该法第五章对政务南宫NG·28安全进行单独规定,再次与国家安全相呼应。对于政务南宫NG·28的安全建设,要求更高,需要构建统一规范、互联互通、安全可控的政务南宫NG·28开放平台。
由于传统 IT 系统架构复杂、异构程度高,给不同政务平台间的南宫NG·28传输造成阻碍,导致“南宫NG·28孤岛”的问题产生。为了打通南宫NG·28孤岛,可以通过南宫NG·28库语义级南宫NG·28复制技术,通过实时高效南宫NG·28传输和多线程抓取日志并行加速,在不同南宫NG·28平台间构建信息高速公路,满足“统一规范、互联互通”的要求。另外,安全可控也是出于国产化替代的角度,将基础软件、南宫NG·28库、操作系统、芯片等替换成国产自主研发,保证核心技术不受制于人,推动政务南宫NG·28的安全流动、开放利用。
总结
从顶层设计到逐步推动,再到最终实施,《南宫NG·28安全法》由中央国家安全领导机构颁布,站位很高且推进迅速,意味着中国在南宫NG·28安全方面初步建立起一套法律架构。
相关从业者除了知法、守法,更要懂法、用法,深刻理解法律实施的背景、定位,才能更好的治理和发展,拥抱开阔的未来。
及时响应,快速服务,为您保驾续航
立即注册