绿盟科技解读《网络安全法》 考验安全厂商真本领

本篇文章2133字，读完约5分钟

6月1日，《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施。作为中国第一部全面的网络安全法，它对企业、个人和机构的身份和行为提出了新的法律概念和规定，这将对中国网络的建设、运行、维护和使用产生深远的影响。

为了让更多的企业和个人关注和理解这一具有历史和现实意义的规律，CCID网络安全频道记者走访了许多企事业单位。他们不仅是安全专家，也是网络安全法中直接体现其权利和义务的主角。借此机会分享他们对该部法律重要规定的深刻理解，同时也为规范行业行为敲响警钟。

国内安全厂商北京神州绿色联盟信息安全技术有限公司(以下简称绿色联盟科技)在接受CCID.com采访时表示，《网络安全法》的亮点在于明确了国家网络安全监管框架、网络运营商的责任和义务、个人数据保护、等级保护与关键信息基础设施保护的关系以及违法行为的法律责任和处罚。为网络运营商有效履行安全职责，监管机构要有效履行监管职责，执法机构要依法惩处违法行为。

绿色联盟:安全供应商属于网络运营商的范畴

我们看到“网络运营商”一词在《网络安全法》的相关规定中多次出现，那么网络安全厂商也是网络运营商吗？

绿色联盟科技专家告诉CCID.com，网络安全法的一个非常重要的部分是明确网络运营商的责任和义务。《网络安全法》第七章第76条明确规定，网络运营商是指网络所有者、管理者和网络服务提供商。根据上述定义，所有通过网络提供服务和开展业务活动的企业或机构都可以被视为网络运营商。

作为网络安全专业产品的供应商，网络安全厂商不仅要在自己的网站上提供安全产品的升级和更新服务，还要通过网络提供其他专业的安全服务。例如，NSFOCUS建立了NSFOCUS Cloud，为用户提供saas式的安全服务，如网站安全监控、漏洞自助扫描、安全威胁情报和通过互联网清除ddos流量。

从这个意义上说，绝大多数网络安全供应商属于通过网络提供服务的企业或机构，也应被视为网络运营商，需要承担《网络安全法》规定的网络运营商的安全责任和义务。

为证券企业设定市场进入门槛

《网络安全法》第三章第一节第二十二条和第二十三条规定了为网络运营商提供产品和服务的厂商应当遵循的行为准则。特别是第23条提到，网络关键设备和网络安全专用产品只有在合格机构通过安全认证或安全检查符合相关国家标准强制性要求后，才能销售或提供。国家网络信息部会同国务院有关部门制定并公布网络安全关键网络设备和专用产品目录，促进安全认证和安全检测结果的相互认可，避免重复认证和检测。

NSFOCUS认为这相当于为安全供应商设定了一个市场进入门槛。目前，国内主流安全厂商的产品和服务符合安全认证和安全检查的具体要求，行业将继续关注和跟踪国家网络信息部网络安全专业产品目录的工作进展。如果对现行的检验认证机制进行调整和改变，国内主流安全厂商将尽快满足政策监管的要求。

国内主流安全厂商往往同时具有网络运营商的身份属性，因此《网络安全法》对网络运营商的要求也将适用于安全厂商，这就对其自身的运营安全能力提出了更明确、更高的要求。虽然国内大多数主流安全厂商已经通过了iso27001信息安全管理体系认证，具备了全面的操作安全能力，但他们还应该根据《网络安全法》的内容对现有的信息安全管理体系进行合规性修订。

保护数据安全并测试安全供应商的真正技能

《网络安全法》第四章第四十条至第四十五条的法律规定解释了网络运营商因业务需要收集、使用和保护用户个人信息的义务。法律本身并没有明确规定安全供应商应该提供哪些基本服务来保护网络运营商的用户个人信息。然而，当前的标准如等级保护提出了一整套重要的信息系统安全技术和管理要求，包括数据安全的内容。每个安全供应商都可以根据自己的技术能力，用安全产品和服务来满足一些特定的级别保护标准要求。

随着《网络安全法》的正式实施以及随后制定和颁布的关于关键信息基础设施安全的规章制度，如何准确识别网络运营商持有的用户个人信息，如何从技术手段和管理流程上有效保护用户个人信息，如何识别潜在的信息泄露风险点，成为网络运营商保护个人隐私信息的当务之急。

NSFOCUS表示，其现有的网络安全产品和服务，如互联网边界安全设备(防火墙、入侵防御系统、防火墙)、数据库加密和审计产品、特许经营审计网关、安全风险评估服务、等级保护合规性建设咨询服务等。，可以为网络运营商提供安全保护用户的个人信息。目前，公司还在投资建立个人信息保护的安全咨询服务方法，帮助网络运营商更准确地识别用户的个人信息，建立全面有效的安全保护能力。

违反法律将受到不同程度的惩罚

《网络安全法》首次明确了相关单位和人员的信息安全保护义务以及违反后的处罚。如果企业或个人违反了网络安全法，将会受到什么处罚？

违反网络安全法的法律责任条款基本上是行政责任，不构成犯罪行为。处罚方式具体包括行政处分、罚款，甚至对个人违法行为的行政拘留；以及警告、罚款、责令停业、吊销许可证、吊销营业执照和没收非法所得。

此外，违法行为给他人造成损害的，必须依法承担民事责任；构成违反治安管理的，由公安机关予以处罚；构成犯罪的，依法追究刑事责任。其中，对于受到治安管理和刑事处罚的个人，法律规定禁止网络安全行业。