今年10月,英国正式实施”最严“电信安全新法规,新法规是《2021电信(安全)法》的一部分,旨在更好地保护英国电信网络免受网络攻击。监管机构英国通信管理局(Ofcom)将承担监督和执行该法案和法规的新责任。
这次的电信安全框架是英国政府与国家网络安全中心和通信管理局(Ofcom)合作制定,适用于英国的公共电子通信网络和服务提供商。
根据新法规,如果提供商不遵守安全职责,Ofcom最高可对其处以营业额10%的罚款,如果持续违反此项法律,则提供商可能面临每日10万英镑的罚款(最高不超过1000万)。
英国数字、文化、媒体和体育部(DCMS)称,“新的电信安全法规将成为世界上最严格的法规之一”,它将帮助英国识别和解决英国当前和未来面临的风险,提高网络韧性。
很显然,新法规增加了英国电信运营商的责任和压力。在过往的网络扩张中,运营商经常背负着冗余的技术和债务负担,许多运营商甚至没有掌握其混合基础设施中的安全漏洞。下文将详述英国最新的电信安全框架的具体要求。
在英国出台“最强”电信安全新法规的同时,中国的《网络安全法》也迎来了首次修改。在《网络安全法》实施五年多的过程中,互联网信息基础设施快速发展,某些现实情况已经发生变化,因此法规做出与时俱进的修改十分有必要。两国的网络安全法案修改,也表明未来网络安全法规将不断与时俱进并日趋严格。
最新网络和服务保护框架
网络架构
新安全框架要求,电信和网络服务提供商了解网络架构安全妥协的风险,记录风险并采取行动降低风险。要求网络提供商能够识别安全风险,并在必要时在不依赖位于英国境外的人员、设备或存储数据的情况下运营网络,从而安全地维护为英国服务的网络。
保护数据和网络功能
新安全框架要求,保护网络管理工作站监控和降低传入网络或服务的信号风险。这意味着提供商需管理好SIM 卡、路由器或防火墙等设备,同时还需做好静态的数据加密。
保护监控或分析工具
新安全框架要求,保护实时监测或分析英国网络服务或信号内容的分析工具,以防止敌对国家行为者的安全损害。
英国政府提到,将安全和网络运营中心设在海外的风险很大,甚至某些地点的安全性无法保证,因此它建议网络服务提供者避开风险地点。
新安全框架要求,监控和分析英国网络和服务的安全能力提供者不得位于风险地点(法规中列出了高风险地点),这些风险地点也不得访问上述安全功能。服务提供者需评估在英国境外执行安全分析的风险,以及在英国境外提供特权访问而导致的未经授权行为的风险。
监测和分析
该项目的是确保供应商保持对网络和服务访问的监督,以减少安全漏洞风险。
新安全框架要求,使用监控和分析工具来识别和记录对网络或服务中最敏感部分(安全关键功能)的访问。它要求保留至少13个月的与安全关键功能访问有关的日志。
供应链
新安全框架要求公共电信供应商与下级供应商订立安全合同,使用英国国家网络安全中心(NCSC)的供应商安全评估,形成适当的安全责任划分,以达到识别、披露和减少出现的安全漏洞风险的目的;它还要求供应商制定书面应急计划,规定在第三方供应中断的情况下将采取哪些措施。
防止未经授权的访问或干扰
新安全框架要求对特权账户进行有效管理,包括应用多因素身份验证和密码保护等措施;保护特定类型的凭据、安全地构建和使用管理账户。
网络修复
新安全框架要求,网络服务提供商需持有网络和服务信息副本,以便在发生安全漏洞时重建和维护运营。信息的副本必须保留在英国境内。它还建议供应商采取措施迅速恢复网络,和NCSC网络评估框架中现有的实践指南的交叉引用,以确保业务实践快速恢复。
安全治理
新安全框架提出,指定董事会一级的责任(或同等的责任)来监督安全部门。新安全框架还规定了如何建立一个组织框架,从业务流程的角度管理安全事件。
安全审查
新安全框架提出,每年对网络和服务面临的风险进行安全审查,通过书面形式评估未来12个月内的安全漏洞总体风险。
补丁和更新
新安全框架要求,供应商快速修补漏洞并及时更新补丁,并最好在补丁出现的14天内修复新漏洞。
除了上述具体项目的要求,还包括对网络人员能力、渗透测试、网络协助等方面的要求。
分级管理电信服务提供商
英国政府建议将电信服务提供商分为三层,每层对应不同的合规要求和Ofcom监督级别:
- 一级提供商为提供公共网络和服务的超大型公司,其安全妥协将对网络和服务可用性产生最广泛的影响,同时它对经济和社会带来的影响最具破坏性。
- 二级提供商为提供网络和服务的中型公司,其安全妥协将对关键的国家基础设施(CNI)或区域可用性产生影响,并可能产生重大的安全、经济或社会影响。
- 三级提供商为市场上最小的公司(非微型实体)。虽然对其网络或服务的安全妥协可能会影响其客户,但如果这些网络和服务不涉及关键国家基础设施,则此类妥协不会显著影响国家或地区的可用性。
第一级和第二级供应商适用最新的安全框架,第三级供应商则可以选择采取与其网络和服务相关的措施。
考虑到实际操作中的复杂情况,如果A供应商是B供应商的第三方供应商,则A供应商的安全合规要求和监督要求与B供应商对应的层级保持一致。这一补充旨在防止较小的供应商导致不可挽回的安全事故,因为这些供应商本身可能不是一级供应商,但它向一级或二级供应商提供设备或服务。
对于供应商的分级依据,政府建议使用营业额(扣除销售回扣、增值税和其他与营业额直接相关的税款)作为指标。
目前,该新法规实施尚不足两个月,但行业专家指出,该法规将成为英国电信行业积极变革的催化剂。电信运营商将提高其对网络基础设施威胁的观察、评估和补救能力,以避免巨额罚款。
中国《网络安全法》迎来首次修改
无独有偶,在英国出台”最严“电信安全法规的同时,中国的《网络安全法》也迎来了实施五年以后的首次修改。
此次修改,拟调整违反网络安全法的行政处罚种类、幅度和从业禁止措施,大幅提高罚款金额;同时,拟完善关键信息基础设施运营者有关违法行为的行政处罚规定,新增网络信息安全其他违法行为的法律责任规定;还拟将原有关个人信息保护的法律责任修改为转致性规定。
《网络安全法》修改后改变了“一刀切”的处罚方式,按照网络运营者的规模实施处罚,同时着重增加了对网络信息安全责任人的处罚,规定了从业禁止措施。专家向媒体表示,“法律责任设定的多元化,有利于进一步夯实执法部门对于相关法律法规的实施能力。”
具体来说,修订后的《网络安全法》大幅提升处罚,与《个人信息保护法》的罚款力度看齐,对企业的罚款从最高100万元,提高到5000万元或上一年度营收的5%;对个人的罚款,从最高10万元,提高到100万元。
同时,将行政处罚的幅度,从两个增加到三个。从“一般违法行为”和“情节严重”的基础上,增加了“情节特别严重”处罚措施:罚款额度最高可达5千万或上一年度营业额5%,还可能被责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
另外,修订后的《网络安全法》还增加行政处罚的责任形式。对企业,新增“通报批评”的行政处罚形式。对个人,在从业禁止措施上,在此前规定的“禁止一定期限内禁止从事网络安全管理和网络运营关键”之外,增加了“一定期限内禁止担任相关企业的董事、监事、高级管理人员或从事网络安全管理和网络运营关键岗位的工作”。
这次修改也是帮助《网络安全法》与相关法律的衔接,因为前述法律于2017年实施,后续又陆续出台了相关《数据安全法》《个人信息保护法》等。对于这些法律中的一些重合地带该按照哪部法规执法,此次修改做出了示范,在完善网络安全法律体系上开创了新征程。
大趋势:网络安全监管收紧
在网络安全法律层面,中国和英国都走向逐渐收紧监管的趋势,其修改或增修背景也是当前越来越多元和复杂的网络威胁、网络攻击。
日趋严格的法规将迫使公司和负责人认真对待网络安全工作,保护网络基础设施,减少安全违规行为,规避安全威胁风险,保证网络和服务的安全性和可用性。
上述法案的修改不会是网络安全监管的终点,随着安全的发展,网络攻击也会随之发展。在进行中的5G时代,如何持续地保护网络安全,是个人、组织和国家的共同课题。