爱数新闻

2017年7月11日，国家互联网信息办公室会同相关部门起草了《关键信息基础设施安全保护条例（征求意见稿）》，并向社会公开征求意见。

  在之前的文章中，爱数针对2017年6月1日实施的《中华人民共和国网络安全法》中相关条例做了详细的解读。而在今天网信办发布的《关键信息基础设施安全保护条例（征求意见稿）》中，详细的阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求。爱数的产品AnyBackup，AnyShare和AnyRobot充分符合征求意见稿的要求，为归属于关键信息基础设施的企事业单位提供强有力的安全保障。

《关键信息基础设施安全保护条例（征求意见稿）》

第三章 关键信息基础设施范围

  第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

    （一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

    （二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

    （三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

    （四）广播电台、电视台、通讯社等新闻单位；

    （五）其他重点单位。

爱数解读

※       政府机关、能源、交通、水利、金融、公共事业、科研生产单位、大型公共信息网络服务单位、新闻单位等，已纳入关键信息基础设施保护范围；

※       平台级备份和数据级备份同样重要；

※       以上关键信息基础设施将在等级保护基础上（三级），实行重点保护（容灾）；

※       对于灾备中心、两地三中心等灾备方案将成为重点建设增长领域，独立的灾备中心建设将会具有法律依据。

第四章 运营者安全保护

第二十三条 运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：

    （一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；

    （二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

    （三）采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

    （四）采取数据分类、重要数据备份和加密认证等措施。

第二十四条 除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：

    （一）设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；

    （二）定期对从业人员进行网络安全教育、技术培训和技能考核；

    （三）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；

    （四）制定网络安全事件应急预案并定期进行演练；

    （五）法律、行政法规规定的其他义务。

 第二十七条 运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

第二十八条 运营者应当建立健全关键信息基础设施安全检测评估制度，关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。

    运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的问题及时进行整改，并将有关情况报国家行业主管或监管部门。

  第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。

爱数解读

※       对相关客户信息管理人员的认证、培训并颁发证书将极大的提升产品的含金量和公司价值；

※       AnyBackup可以对目前国内外主流的业务系统（包含但不仅限于数据库）进行备份；

※       AnyBackup Cloud对于异地容灾环境下数据灾备状态的统一监控和管理；AnyRobot可提供漏洞扫描，安全评估和日志留存

※       AnyBackup本身具备自动恢复、挂载恢复等功能，方便用户进行恢复演练，具备天生优势；

※       部分外资公司将内地数据存储在境外，由于香港同大陆属于不同法域体系，也属于境外；

※       对于这部分外资企业最简单的做法就是将数据在内地留存，可以通过AnyBackup数据本地留存、异地灾备、异地恢复；

※       AnyBackup既可以满足数据的本地保护，同时其提供D2D2R功能，可以对数据进行异地、异机恢复。

第五章 产品和服务安全

    第三十条 运营者采购、使用的网络关键设备、网络安全专用产品，应当符合法律、行政法规的规定和相关国家标准的强制性要求。

第三十一条 运营者采购网络产品和服务，可能影响国家安全的，应当按照网络产品和服务安全审查办法的要求，通过网络安全审查，并与提供者签订安全保密协议。

第三十三条 运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告。

第三十五条 面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。

    具体要求由国家网信部门会同国务院有关部门制定。

爱数解读

※       爱数提供的AnyBackup和AnyShare产品拥有国家的涉密资质，且产品本身在数据存储、传输等环节均采用加密技术保障数据安全，可以起到防泄密的作用；

          爱数提供AnyRobot可以对系统漏洞进行扫描，漏洞警告，在事前对系统进行有效的加固。

※       AnyBackup Cloud可以做到运营、运维与租户隔离，运营、运维人员没有权限接触租户数据，可以有效做到全责分离，帮助运营商及云服务提供商有效屏蔽风险。

第六章 监测预警、应急处置和检测评估

  第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度，组织指导有关机构开展网络安全信息汇总、分析研判和通报工作，按照规定统一发布网络安全监测预警信息。

 第三十八条 国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制，促进网络安全信息共享。

 第三十九条 国家网信部门按照国家网络安全事件应急预案的要求，统筹有关部门建立健全关键信息基础设施网络安全应急协作机制，加强网络安全应急力量建设，指导协调有关部门组织跨行业、跨地域网络安全应急演练。

    国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案，并定期组织演练，提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后，应立即启动应急预案组织应对，并及时报告有关情况。

    运营者应当对有关部门依法实施的检测评估予以配合，对检测评估发现的问题及时进行整改。

第四十二条 有关部门组织开展关键信息基础设施安全检测评估，可采取下列措施：

    （一）要求运营者相关人员就检测评估事项作出说明；

    （二）查阅、调取、复制与安全保护有关的文档、记录；

    （三）查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况；

    （四）利用检测工具或委托网络安全服务机构进行技术检测；

    （五）经运营者同意的其他必要方式。

 第四十三条 有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

 第四十四条 有关部门组织开展关键信息基础设施安全检测评估，不得向被检测评估单位收取费用，不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。

爱数解读

※      AnyShare对于非机构化数据分享的安全、协作、管理、审计具有先发优势，具有保密资质，针对网络非结构数据的管理非常重要

※      AnyRobot可以对关键基础设施进行检测评估，提醒报警和数据分析