今年10月，英國正式實(shí)施”最嚴(yán)“電信安全新法規(guī)，新法規(guī)是《2021電信（安全）法》的一部分，旨在更好地保護(hù)英國電信網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。監(jiān)管機(jī)構(gòu)英國通信管理局（Ofcom）將承擔(dān)監(jiān)督和執(zhí)行該法案和法規(guī)的新責(zé)任。

這次的電信安全框架是英國政府與國家網(wǎng)絡(luò)安全中心和通信管理局（Ofcom）合作制定，適用于英國的公共電子通信網(wǎng)絡(luò)和服務(wù)提供商。

根據(jù)新法規(guī)，如果提供商不遵守安全職責(zé)，Ofcom最高可對其處以營業(yè)額10%的罰款，如果持續(xù)違反此項(xiàng)法律，則提供商可能面臨每日10萬英鎊的罰款（最高不超過1000萬）。

英國數(shù)字、文化、媒體和體育部（DCMS）稱，“新的電信安全法規(guī)將成為世界上最嚴(yán)格的法規(guī)之一”，它將幫助英國識別和解決英國當(dāng)前和未來面臨的風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)韌性。

很顯然，新法規(guī)增加了英國電信運(yùn)營商的責(zé)任和壓力。在過往的網(wǎng)絡(luò)擴(kuò)張中，運(yùn)營商經(jīng)常背負(fù)著冗余的技術(shù)和債務(wù)負(fù)擔(dān)，許多運(yùn)營商甚至沒有掌握其混合基礎(chǔ)設(shè)施中的安全漏洞。下文將詳述英國最新的電信安全框架的具體要求。

在英國出臺“最強(qiáng)”電信安全新法規(guī)的同時，中國的《網(wǎng)絡(luò)安全法》也迎來了首次修改。在《網(wǎng)絡(luò)安全法》實(shí)施五年多的過程中，互聯(lián)網(wǎng)信息基礎(chǔ)設(shè)施快速發(fā)展，某些現(xiàn)實(shí)情況已經(jīng)發(fā)生變化，因此法規(guī)做出與時俱進(jìn)的修改十分有必要。兩國的網(wǎng)絡(luò)安全法案修改，也表明未來網(wǎng)絡(luò)安全法規(guī)將不斷與時俱進(jìn)并日趨嚴(yán)格。

最新網(wǎng)絡(luò)和服務(wù)保護(hù)框架

網(wǎng)絡(luò)架構(gòu)

新安全框架要求，電信和網(wǎng)絡(luò)服務(wù)提供商了解網(wǎng)絡(luò)架構(gòu)安全妥協(xié)的風(fēng)險(xiǎn)，記錄風(fēng)險(xiǎn)并采取行動降低風(fēng)險(xiǎn)。要求網(wǎng)絡(luò)提供商能夠識別安全風(fēng)險(xiǎn)，并在必要時在不依賴位于英國境外的人員、設(shè)備或存儲數(shù)據(jù)的情況下運(yùn)營網(wǎng)絡(luò)，從而安全地維護(hù)為英國服務(wù)的網(wǎng)絡(luò)。

保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)功能

新安全框架要求，保護(hù)網(wǎng)絡(luò)管理工作站監(jiān)控和降低傳入網(wǎng)絡(luò)或服務(wù)的信號風(fēng)險(xiǎn)。這意味著提供商需管理好SIM 卡、路由器或防火墻等設(shè)備，同時還需做好靜態(tài)的數(shù)據(jù)加密。

保護(hù)監(jiān)控或分析工具

新安全框架要求，保護(hù)實(shí)時監(jiān)測或分析英國網(wǎng)絡(luò)服務(wù)或信號內(nèi)容的分析工具，以防止敵對國家行為者的安全損害。

英國政府提到，將安全和網(wǎng)絡(luò)運(yùn)營中心設(shè)在海外的風(fēng)險(xiǎn)很大，甚至某些地點(diǎn)的安全性無法保證，因此它建議網(wǎng)絡(luò)服務(wù)提供者避開風(fēng)險(xiǎn)地點(diǎn)。

新安全框架要求，監(jiān)控和分析英國網(wǎng)絡(luò)和服務(wù)的安全能力提供者不得位于風(fēng)險(xiǎn)地點(diǎn)（法規(guī)中列出了高風(fēng)險(xiǎn)地點(diǎn)），這些風(fēng)險(xiǎn)地點(diǎn)也不得訪問上述安全功能。服務(wù)提供者需評估在英國境外執(zhí)行安全分析的風(fēng)險(xiǎn)，以及在英國境外提供特權(quán)訪問而導(dǎo)致的未經(jīng)授權(quán)行為的風(fēng)險(xiǎn)。

監(jiān)測和分析

該項(xiàng)目的是確保供應(yīng)商保持對網(wǎng)絡(luò)和服務(wù)訪問的監(jiān)督，以減少安全漏洞風(fēng)險(xiǎn)。

新安全框架要求，使用監(jiān)控和分析工具來識別和記錄對網(wǎng)絡(luò)或服務(wù)中最敏感部分（安全關(guān)鍵功能）的訪問。它要求保留至少13個月的與安全關(guān)鍵功能訪問有關(guān)的日志。

供應(yīng)鏈

新安全框架要求公共電信供應(yīng)商與下級供應(yīng)商訂立安全合同，使用英國國家網(wǎng)絡(luò)安全中心（NCSC）的供應(yīng)商安全評估，形成適當(dāng)?shù)陌踩?zé)任劃分，以達(dá)到識別、披露和減少出現(xiàn)的安全漏洞風(fēng)險(xiǎn)的目的；它還要求供應(yīng)商制定書面應(yīng)急計(jì)劃，規(guī)定在第三方供應(yīng)中斷的情況下將采取哪些措施。

防止未經(jīng)授權(quán)的訪問或干擾

新安全框架要求對特權(quán)賬戶進(jìn)行有效管理，包括應(yīng)用多因素身份驗(yàn)證和密碼保護(hù)等措施；保護(hù)特定類型的憑據(jù)、安全地構(gòu)建和使用管理賬戶。

網(wǎng)絡(luò)修復(fù)

新安全框架要求，網(wǎng)絡(luò)服務(wù)提供商需持有網(wǎng)絡(luò)和服務(wù)信息副本，以便在發(fā)生安全漏洞時重建和維護(hù)運(yùn)營。信息的副本必須保留在英國境內(nèi)。它還建議供應(yīng)商采取措施迅速恢復(fù)網(wǎng)絡(luò)，和NCSC網(wǎng)絡(luò)評估框架中現(xiàn)有的實(shí)踐指南的交叉引用，以確保業(yè)務(wù)實(shí)踐快速恢復(fù)。

安全治理

新安全框架提出，指定董事會一級的責(zé)任（或同等的責(zé)任）來監(jiān)督安全部門。新安全框架還規(guī)定了如何建立一個組織框架，從業(yè)務(wù)流程的角度管理安全事件。

安全審查

新安全框架提出，每年對網(wǎng)絡(luò)和服務(wù)面臨的風(fēng)險(xiǎn)進(jìn)行安全審查，通過書面形式評估未來12個月內(nèi)的安全漏洞總體風(fēng)險(xiǎn)。

補(bǔ)丁和更新

新安全框架要求，供應(yīng)商快速修補(bǔ)漏洞并及時更新補(bǔ)丁，并最好在補(bǔ)丁出現(xiàn)的14天內(nèi)修復(fù)新漏洞。

除了上述具體項(xiàng)目的要求，還包括對網(wǎng)絡(luò)人員能力、滲透測試、網(wǎng)絡(luò)協(xié)助等方面的要求。

分級管理電信服務(wù)提供商

英國政府建議將電信服務(wù)提供商分為三層，每層對應(yīng)不同的合規(guī)要求和Ofcom監(jiān)督級別：

• 一級提供商為提供公共網(wǎng)絡(luò)和服務(wù)的超大型公司，其安全妥協(xié)將對網(wǎng)絡(luò)和服務(wù)可用性產(chǎn)生最廣泛的影響，同時它對經(jīng)濟(jì)和社會帶來的影響最具破壞性。
• 二級提供商為提供網(wǎng)絡(luò)和服務(wù)的中型公司，其安全妥協(xié)將對關(guān)鍵的國家基礎(chǔ)設(shè)施（CNI）或區(qū)域可用性產(chǎn)生影響，并可能產(chǎn)生重大的安全、經(jīng)濟(jì)或社會影響。
• 三級提供商為市場上最小的公司（非微型實(shí)體）。雖然對其網(wǎng)絡(luò)或服務(wù)的安全妥協(xié)可能會影響其客戶，但如果這些網(wǎng)絡(luò)和服務(wù)不涉及關(guān)鍵國家基礎(chǔ)設(shè)施，則此類妥協(xié)不會顯著影響國家或地區(qū)的可用性。

第一級和第二級供應(yīng)商適用最新的安全框架，第三級供應(yīng)商則可以選擇采取與其網(wǎng)絡(luò)和服務(wù)相關(guān)的措施。

考慮到實(shí)際操作中的復(fù)雜情況，如果A供應(yīng)商是B供應(yīng)商的第三方供應(yīng)商，則A供應(yīng)商的安全合規(guī)要求和監(jiān)督要求與B供應(yīng)商對應(yīng)的層級保持一致。這一補(bǔ)充旨在防止較小的供應(yīng)商導(dǎo)致不可挽回的安全事故，因?yàn)檫@些供應(yīng)商本身可能不是一級供應(yīng)商，但它向一級或二級供應(yīng)商提供設(shè)備或服務(wù)。

對于供應(yīng)商的分級依據(jù)，政府建議使用營業(yè)額（扣除銷售回扣、增值稅和其他與營業(yè)額直接相關(guān)的稅款）作為指標(biāo)。

目前，該新法規(guī)實(shí)施尚不足兩個月，但行業(yè)專家指出，該法規(guī)將成為英國電信行業(yè)積極變革的催化劑。電信運(yùn)營商將提高其對網(wǎng)絡(luò)基礎(chǔ)設(shè)施威脅的觀察、評估和補(bǔ)救能力，以避免巨額罰款。

中國《網(wǎng)絡(luò)安全法》迎來首次修改

無獨(dú)有偶，在英國出臺”最嚴(yán)“電信安全法規(guī)的同時，中國的《網(wǎng)絡(luò)安全法》也迎來了實(shí)施五年以后的首次修改。

此次修改，擬調(diào)整違反網(wǎng)絡(luò)安全法的行政處罰種類、幅度和從業(yè)禁止措施，大幅提高罰款金額；同時，擬完善關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者有關(guān)違法行為的行政處罰規(guī)定，新增網(wǎng)絡(luò)信息安全其他違法行為的法律責(zé)任規(guī)定；還擬將原有關(guān)個人信息保護(hù)的法律責(zé)任修改為轉(zhuǎn)致性規(guī)定。

《網(wǎng)絡(luò)安全法》修改后改變了“一刀切”的處罰方式，按照網(wǎng)絡(luò)運(yùn)營者的規(guī)模實(shí)施處罰，同時著重增加了對網(wǎng)絡(luò)信息安全責(zé)任人的處罰，規(guī)定了從業(yè)禁止措施。專家向媒體表示，“法律責(zé)任設(shè)定的多元化，有利于進(jìn)一步夯實(shí)執(zhí)法部門對于相關(guān)法律法規(guī)的實(shí)施能力?！?/p>

具體來說，修訂后的《網(wǎng)絡(luò)安全法》大幅提升處罰，與《個人信息保護(hù)法》的罰款力度看齊，對企業(yè)的罰款從最高100萬元，提高到5000萬元或上一年度營收的5%；對個人的罰款，從最高10萬元，提高到100萬元。

同時，將行政處罰的幅度，從兩個增加到三個。從“一般違法行為”和“情節(jié)嚴(yán)重”的基礎(chǔ)上，增加了“情節(jié)特別嚴(yán)重”處罰措施：罰款額度最高可達(dá)5千萬或上一年度營業(yè)額5%，還可能被責(zé)令停止相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

另外，修訂后的《網(wǎng)絡(luò)安全法》還增加行政處罰的責(zé)任形式。對企業(yè)，新增“通報(bào)批評”的行政處罰形式。對個人，在從業(yè)禁止措施上，在此前規(guī)定的“禁止一定期限內(nèi)禁止從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵”之外，增加了“一定期限內(nèi)禁止擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員或從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作”。

這次修改也是幫助《網(wǎng)絡(luò)安全法》與相關(guān)法律的銜接，因?yàn)榍笆龇捎?017年實(shí)施，后續(xù)又陸續(xù)出臺了相關(guān)《數(shù)據(jù)安全法》《個人信息保護(hù)法》等。對于這些法律中的一些重合地帶該按照哪部法規(guī)執(zhí)法，此次修改做出了示范，在完善網(wǎng)絡(luò)安全法律體系上開創(chuàng)了新征程。

大趨勢：網(wǎng)絡(luò)安全監(jiān)管收緊

在網(wǎng)絡(luò)安全法律層面，中國和英國都走向逐漸收緊監(jiān)管的趨勢，其修改或增修背景也是當(dāng)前越來越多元和復(fù)雜的網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)攻擊。

日趨嚴(yán)格的法規(guī)將迫使公司和負(fù)責(zé)人認(rèn)真對待網(wǎng)絡(luò)安全工作，保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，減少安全違規(guī)行為，規(guī)避安全威脅風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)和服務(wù)的安全性和可用性。

上述法案的修改不會是網(wǎng)絡(luò)安全監(jiān)管的終點(diǎn)，隨著安全的發(fā)展，網(wǎng)絡(luò)攻擊也會隨之發(fā)展。在進(jìn)行中的5G時代，如何持續(xù)地保護(hù)網(wǎng)絡(luò)安全，是個人、組織和國家的共同課題。