全国办公室
EN
热点聚焦
e2_banner pc.jpg e2_banner ph.jpg
2024-08-26

一文读懂“网络空间资产测绘业务的法律合规要点”

一、网络空间资产测绘的定义

网络空间成为人类生产生活的第二类生存空间,蕴含的软硬件系统、信息数据等是国家重要的战略资源,因此也被认为是继陆、海、空、天之后代表国家网络主权的“第五空间”。

网络空间测绘不同于网络空间资产测绘,根据中国基本建设优化研究会于2024年4月10日发布并实施的《信息安全技术 网络空间资产测绘安全要求》团体标准(标准编号为T/COSOCC 007—2024)的规定,网络空间资产测绘是指通过网络探测、采集、处理、分析等方式,获得网络空间基础设施、用户及服务等网络资产在网络空间的相关属性,并将这些属性以逻辑图的形式绘制出来,从而直观实时地反映出当前网络空间资产各个属性的状态、发展趋势等。

根据2024年3月14日发布实施的《信息技术 网络空间测绘体系结构》(征求意见稿),网络空间测绘是以网络空间坐标系为基础,以网络空间地图为目标,在统一的网络空间时空基准和资源定义下,通过网络测量手段获取网络空间资源位置及其属性信息,实现网络空间多尺度和多维度全景展现。

通过以上概念可以得知,网络空间测绘与网络空间资产测绘在概念上有所区别。网络空间测绘是一个更广泛的概念,网络空间测绘的目标是绘制出网络空间的全息地图,这个地图不仅包括网络资产的位置和属性,还包括它们在网络空间中的关系和拓扑结构。网络空间资产测绘则更专注于资产本身,包括资产的发现、识别、评估和风险控制,以及如何将这些资产数据与安全风险关联起来,以提高应急响应的时效。总的来说,网络空间测绘提供了一个宏观视角,涵盖了网络空间的各个方面,而网络空间资产测绘则更专注于资产层面的详细分析和应用。

在实践中,企业开展网络空间资产测绘业务通常使用自动化工具和技术,如网络扫描器、端口扫描器、漏洞扫描器和被动DNS服务等探索全球互联网的资产信息(包含广域互联网上的网际协议版本4(IPV4)、网际协议版本6(IPV6)、公共注册的域名,以及承载的所有信息服务,涉及硬件设备、云主机、操作系统、国际互联协议(IP)地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、应用程序(APP)、应用程序编程接口(API)、源代码等),进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。

二、网络空间资产测绘业务的实践情况介绍

(一)主流产品介绍

虽然上文分析中已明确网络空间资产测绘及网络空间测绘的区别,但是目前实践中相关产品的名称却没有进行区分,目前主流的网络空间(资产)测绘相关的网站和工具包括但不限于下列产品:

1.公安部第一研究所设计的“网络资产测绘分析系统(简称 网探D01)”

该系统通过收集互联网资产数据及指纹(“指纹”指的是一系列特征信息的集合,这些信息可以用来唯一地描述和识别网络中的设备或服务。网络空间资产的指纹特征包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架等),实现网络空间资产检索、分析、监控,结合漏洞、厂商信息等威胁情报,开展漏洞统计分析工作,旨在为国家重点行业、部门提供全面的网络资产安全态势。

图片1.png

2.360 QUAKE网络空间测绘系统

由360安全大脑-测绘云的核心系统开发,能够持续性探测全球IPv4、IPv6地址,实时感知全球网络空间中各类资产并发现其安全风险。

图片2.png

3.奇安信网络空间测绘平台(简称鹰图平台)

通过技术手段将地理空间、社会空间、网络空间相互映射,绘制网络空间地图,实现互联网资产的可查、可定位,帮助客户解决互联网资产暴露面梳理的难题。

图片3.png

4.FOFA

由白帽汇推出的网络空间资产搜索引擎,通过进行网络空间资产测绘,帮助研究人员或者企业迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计等。

图片4.png

5.Shodan

Shodan系网络空间搜索引擎,能够搜索服务器、摄像头、路由器等联网设备,提供详细的设备信息和端口数据。

图片5.png

6.ZoomEye(钟馗之眼)

网络空间雷达系统,为政府、企事业及军工单位客户提供网络空间资产安全监管、管理及建立主动防御攻击系统的数据支撑。

图片6.png

(二)网络空间资产测绘业务的应用场景介绍

网络空间资产测绘产品在不同行业中可应用的场景包括但不限于:

1.电力能源行业:通过主动探测与被动流量监测,对电力行业的业务系统、工业控制设备等进行全面测绘,帮助构建挂图作战资产底图,排查隐患资产。

2.工业互联网领域:通过多点联动的协同发现、融合分析,形成跨地区、跨行业的工业互联网资源地图,帮助主管部门摸清工业互联网资源的底数和安全状态。

3.智慧城市建设:在城市产业项目中投入运营,提供全面可视化的数据和技术支撑,持续监测网络安全事件,为城市网络安全管理提供重要依据和支撑。

4.公安系统:为公安局提供网络空间资产探测系统,帮助监管单位全面了解关键信息基础设施的资产信息,快速响应安全事件,提供科学决策和指挥调度的依据。

5.企业资产管理:网络资产测绘产品帮助企业摸清家底,实时监测安全漏洞,及时处置安全威胁,构建网络安全防线,推动全场景纵深防御体系的持续完善。

上述场景部分展示了网络空间资产测绘产品在不同行业中的广泛应用,它们为相关行业提供了网络资产的全面识别、风险评估、安全管理和响应能力,是维护网络安全的重要工具。

三、网络空间资产测绘业务的法律合规要点

经营网络空间资产测绘业务的企业不仅要积极履行网络平台、网络产品的通用法律合规要求,也要关注网络空间资产测绘行业的特定法律义务,保障企业的平稳合规发展,避免潜在的民事诉讼、行政处罚及刑事犯罪风险。

(一)通用法律合规要求

根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规的要求,网络空间资产测绘业务在实际业务开展中涉及对大量数据的收集、存储、加工、传输等数据处理环节,经营者存在包括但不限于以下合规义务:

1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

4.采取数据分类、重要数据备份和加密等措施。

5.不得设置恶意程序,发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

6.应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。

7.应当制定网络安全事件/数据安全事件/个人信息保护事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入、数据泄露、个人信息泄露等风险;在发生危害网络/数据/个人信息安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

8.不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动,收集数据应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

9.应建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。

10.收集个人信息应当遵循合法、正当、必要、诚信、公开原则,保证个人信息收集、使用等处理环节的合法合规。

11.应定期开展个人信息保护/数据安全/网络安全相关法律法规及业务培训。

(二)网络空间资产测绘行业特定的法律合规要求

根据2024年4月10日生效实施的《信息安全技术 网络空间资产测绘安全要求》团体标准(标准编号为T/COSOCC 007—2024)等规定,网络空间资产测绘业务的经营者存在以下合规义务:

1. 【数据存储】在中华人民共和国境内实施资产测绘过程中所收集的个人信息及其他重要测绘数据,在境内进行存储,并选用国产化存储设备。存储环境应确保安全,必要时应物理断网。

2. 【数据分析】网络空间资产数据分析应在数据所有方授权的情况下实施,并对所获取的网络空间资产数据进行敏感检测、分级处理,进行有限度的关联分析等。

3. 【敏感数据处理】网络空间资产测绘活动过程中获取的数据,若涉及客户资料、技术资料、个人信息等高价值敏感数据,应及时停止测绘活动并上报管理机构备案,所获取敏感数据应及时封存或销毁。对于用户方拒绝被披露的资产信息,应停止进行测绘和收集。

4. 【脱敏处理】应对网络空间资产测绘活动中获取的必要敏感数据进行处理。如数据库隐去用户手机号、通信地址、网络身份标识、服务记录等需要脱敏的字段。

5. 【溯源处理】具备网络空间资产信息溯源规则,提供网络空间资产信息溯源的相关技术措施,建立记录日志,且溯源信息的存档时间不少于6个月。

6. 【数据销毁】资产测绘数据在数据所有方明确授意等情况下,应采取测绘数据销毁措施,以确保数据无法被恢复和用于未经授权的目的,防止敏感信息的泄露。

7. 【审核流程】网络空间资产测绘活动所获取数据支撑的对外业务或网络空间资产测绘活动,对外共享进行数据租售,实现数据资产变现都应经过必要的审核流程,确保所提供、共享的资产数据合法合规。

8. 【安全机制】网络空间资产测绘活动的实施机构及个人,应定期进行测绘数据的风险评估、报告、信息共享、监测预警机制建设及执行,并向有关管理机构备案。

9. 【服务运营】建立违法信息、不良信息数据库和异常行为用户列表,并定期维护更新;定期进行网络空间资产更新、运营风险评估和系统供应链安全审查。

四、针对网络空间资产测绘业务经营者的合规意见

结合目前的业务实践和法律法规的具体要求,建议网络空间资产测绘经营者增强法律合规意识,采取以下措施完善企业的合规治理。

(一)建立数据全生命周期安全管理:企业应建立覆盖网络空间资产测绘数据的收集、存储、使用、加工、传输、提供、公开、删除等环节的安全管理制度,确保数据持续处于有效保护和合法利用的状态。

(二)数据分类与分级:企业应对网络空间资产测绘数据进行分类和分级,明确不同类别和级别的数据所对应的安全保护要求。

(三)数据境内存储管理:企业应将网络空间资产测绘数据在境内进行存储,并选用国产化存储设备。

(四)合规管理体系建立:建议企业参考ISO27001和ISO27701等建立、运行、维护和改进合规管理体系,以提高合规管理能力。

(五)数据安全意识与培训:企业应提升员工的数据安全意识,通过培训让员工了解网络空间资产测绘数据安全的重要性和操作规范。

通过以上措施,网络空间资产测绘业务经营者一定程度上既可以让业务在法律框架内运行,有效保护数据安全,又可以促进业务的可持续发展。另外,企业应密切关注相关法律法规的变化,及时调整自身的行为,以符合新的合规要求。


分享

推荐资讯