今年10月,英国正式实施“最严”的电信安全新规。新规定是《2021电信(安全)法》的一部分,旨在更好地保护英国电信网络免受网络攻击。监管机构Ofcom将承担监督和执行该法案和法规的新职责。此次电信安全框架由英国政府与国家网络安全中心和通信管理局(Ofcom)合作制定,适用于英国的公共电子通信网络和服务提供商。根据新规定,如果供应商未能履行其安全职责,Ofcom可以对供应商处以最高营业额10%的罚款,如果继续违反法律,供应商可能面临每日100,000英镑的罚款(最高可达最高1000万英镑)。).根据英国数字、文化、媒体和体育部(DCMS)的说法,“新的电信安全法规将成为世界上最严格的法规之一”,并将帮助英国识别和应对英国当前和未来的风险,并改进网络弹性。显然,新规增加了英国电信运营商的责任和压力。在过去的网络扩张中,运营商往往背负着冗余技术和债务,许多运营商甚至没有抓住其混合基础设施中的安全漏洞。英国最新电信安全框架的具体要求详述如下。在英国出台“最强”电信安全新规的同时,中国的《网络安全法》也迎来了首次修订。在《网络安全法》实施五年多的过程中,互联网信息基础设施发展迅速,一些现实情况发生了变化。因此,有必要对条例进行修订,以与时俱进。两国网络安全法的修订也预示着未来网络安全法规将与时俱进,日趋严格。新的网络和服务保护框架新的网络架构安全框架要求电信和网络服务提供商了解网络架构安全危害的风险,记录风险并采取措施减轻风险。要求网络提供商能够识别安全风险并在必要时在不依赖位于英国境外的人员、设备或存储数据的情况下运营网络,从而安全地维护为英国服务的网络。保护数据和网络功能新的安全框架需要保护网络管理工作站,以监控和降低传入网络或服务信号的风险。这意味着提供商需要管理SIM卡、路由器或防火墙等设备,同时还要对静态数据进行加密。保护监控或分析工具新的安全框架需要保护实时监控或分析英国网络服务或信号内容的分析工具,以防止敌对国家行为者的安全危害。英国政府提到,在海外设置安全和网络运营中心的风险很高,甚至部分地点的安全性无法得到保障,因此建议网络服务提供商避开风险地点。新的安全框架要求提供监控和分析英国网络和服务的安全能力的提供者不得位于风险位置(法规中列出了高风险位置),这些风险位置也不得访问上述安全功能。服务提供商需要评估在英国境外执行安全分析的风险,以及因在英国境外提供特权访问而导致的未经授权行为的风险。项目的监控和分析是为了确保供应商保持对网络和服务访问的监督,以降低安全漏洞的风险。新的安全框架需要使用监控和分析工具来识别和记录对网络或服务最敏感部分(安全关键功能)的访问。它要求将与访问安全关键功能相关的日志保留至少13个月。新的供应链安全框架要求公共电信供应商与次级供应商签订安全合同,利用英国国家网络安全中心(NCSC)供应商安全评估形成适当的安全责任分工,以识别、披露和减少新出现的安全风险。漏洞风险;它还要求供应商制定书面应急计划,说明在第三方供应中断时应采取的措施。防止未经授权的访问或干扰新的安全框架需要对特权帐户进行有效管理,包括应用多因素身份验证和密码保护等措施;保护特定类型的凭据,安全地建立和使用管理帐户。新的网络修复安全框架要求网络服务提供商维护网络和服务信息的副本,以便在发生安全漏洞时重建和维护运营。信息的副本必须保存在英国境内。它还建议提供商采取措施快速恢复网络,交叉引用NCSC网络评估框架中的现有实践指南,以确保快速恢复业务实践。安全治理新的安全框架建议分配董事会级别的责任(或同等责任)来监督安全部门。新的安全框架还规定了如何建立组织框架,从业务流程的角度管理安全事件。安全审查新的安全框架提出每年对网络和服务面临的风险进行一次安全审查,以书面形式评估未来12个月安全漏洞的整体风险。补丁和更新新的安全框架要求供应商快速修补漏洞并及时更新补丁,最好在补丁出现后14天内修复新漏洞。除上述具体项目要求外,还包括网络人员能力、渗透测试、网络协助等方面的要求。电信服务提供商分级管理英国政府提议将电信服务提供商分为三级,每一级对应不同的合规要求和Ofcom监管级别:Tier1提供商是提供公共网络和服务的非常大的公司,他们的安全妥协将对网络和服务可用性的影响最广泛,对经济和社会的破坏性影响最大。第2层提供商是提供网络和服务的中型公司,其安全妥协将对关键的国家基础设施(CNI)或区域可用性产生影响,并可能产生重大的安全、经济或社会影响。Tier3供应商是市场上最小的公司(不是微型实体)。虽然其网络或服务的安全妥协可能会影响其客户,但如果这些网络和服务不涉及关键的国家基础设施,则此类妥协不会显着影响国家/地区的可用性。Tier1和Tier2提供商应用最新的安全框架,而Tier3供应商可以选择实施与其网络和服务相关的措施。考虑到实际运营中的复杂情况,如果供应商A是供应商B的第三方供应商,供应商A的安全合规要求和监管要求与供应商B的相应级别一致。此添加旨在防止不可挽回的安全事件由较小的供应商造成,这些供应商本身可能不是一级供应商,但向一级或二级供应商提供设备或服务。对于供应商分级的依据,政府建议以营业额(扣除销售回扣、增值税和其他与营业额直接相关的税费)为指标。目前,新规实施不到两个月,但业内专家指出,新规将成为英国电信业积极变革的催化剂。电信运营商将提高他们观察、评估和补救网络基础设施威胁的能力,以避免巨额罚款。中国的《网络安全法》迎来第一次改版。巧合的是,当英国出台“最严”的电信安全法规时,中国的《网络安全法》也迎来了实施五年后的首次修订。本次修改建议调整对违反网络安全法行为的行政处罚种类、幅度和禁止措施,并大幅提高罚款数额。违法行为的法律责任规定;还建议将原与个人信息保护相关的法律责任修改为可转让的条款。《网络安全法》修订后,改变了“一刀切”的处罚方式,按照网络运营商规模实施处罚。同时,重点加大对网络信息安全责任人的处罚力度,规定了禁止措施。专家对媒体表示,“法律责任设置的多元化,有利于进一步加强执法部门执行相关法律法规的能力。”与此相适应,对企业的罚款由最高100万元提高到5000万元,即上年收入的5%;对个人的罚款由最高10万元提高到100万元。同时,行政处罚的范围将从两项增加到三项。在“一般违法”、“情节严重”的基础上,增加了“情节特别严重”的处罚措施:最高可处5000万元或上年营业额5%的罚款,并可责令停止相关业务、停业整顿、关闭网站、吊销相关营业执照或吊销营业执照。此外,修订后的《网络安全法》还增加了行政处罚的责任形式。对于企业,增加了“举报批评”的行政处罚形式。对于个人,在就业禁止措施方面,除此前规定的“在一定期限内禁止从事网络安全管理和网络关键运营工作”外,“禁止担任董事、监事、高级管理人员或关键职务”在网络安全管理和网络运营方面。”此次修订也是为了帮助与相关法律对接,因为上述法律已于2017年实施,相关的《数据安全法》《个人信息保护法》等也相继出台。对于这些法律有些重叠的地方应该执行哪些法律法规,此次修订为完善网络安全法律体系树立了典范,开辟了新征程。大趋势:网络安全监管趋严在网络安全法律层面,中英两国都在朝着监管逐渐趋严的趋势发展,其修改或增补的背景也是当前网络威胁和网络攻击日益多样化和复杂化。日益严格的法规将迫使企业和责任人认真对待网络安全工作,保护网络基础设施,减少安全漏洞,避免安全威胁,确保网络和服务的安全性和可用性。对上述法案的修正不会是网络安全监管的终结,随着安全的发展,网络攻击也会发生变化。在正在进行的5G时代,如何持续保护网络安全是个人、组织和国家的共同话题。
