网络及信息安全讲座ppt课件.ppt

一 形势 威胁判断 审视我们面临的威胁 最现实的 日常大量发生的威胁不是从海上来 也不是从空中来 更不是从陆地上来 而是首先从网上来 总书记谈到的 过关论 刘云山 对新闻舆论工作 总书记针对互联网给舆论生态带来的前所未有的复杂变化 指出过不了互联网这一关 就过不了长期执政这一关 强调把网上舆论工作作为新闻舆论工作的重中之重来抓 四个 没有根本改变 内涵 意义美国垄断网络空间霸权的格局网络空间敌强我弱的态势敌对势力利用网络 扳倒中国 的图谋核心技术受制于人的局面 关于勒索病毒的有关说明 一 跟美国国家安全局什么关系 美国国安局网络武器库意外泄露 后被攻击者将其中的 永恒之蓝 加以改造 二 跟微软什么关系 利用的是微软操作系统的漏洞 该漏洞早就被美国国家安全局掌握 并据此开发了针对性的网络武器 今年3月 微软已经发布了对该漏洞的补丁 三 美国网络武器库中一款被泄露的武器都如此厉害 我们是不是很危险 比能够想象到的还危险 总共泄露了500兆的工具 其中 永恒之蓝 才几百k 四 谁干的 不知道 二 网络强国战略有关要求 网络安全和信息化是事关国家安全和国家发展 事关广大人民群众工作生活的重大战略问题 要从国际国内大势出发 总体布局 统筹各方 创新发展 努力把我国建设成为网络强国 中共中央总书记 国家主席 中央军委主席 中央网络安全和信息化领导小组组长习近平 2014年 2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话 习近平主持召开网络安全和信息化工作座谈会 2016年4月19日 中共中央总书记 国家主席 中央军委主席 中央网络安全和信息化领导小组组长习近平在北京主持召开网络安全和信息化工作座谈会并发表重要讲话 中共中央政治局就实施网络强国战略进行集体学习 中共中央政治局10月9日下午就实施网络强国战略进行第三十六次集体学习 中共中央总书记习近平在主持学习时强调 加快推进网络信息技术自主创新 加快数字经济对经济发展的推动 加快提高网络管理水平 加快增强网络空间安全防御能力 加快用网络信息技术推进社会治理 加快提升我国对网络空间的国际话语权和规则制定权 朝着建设网络强国目标不懈努力 一 提高驾驭互联网的能力 总书记 各级领导干部特别是高级干部 如果不懂互联网 不善于运用互联网 就无法有效开展工作 各级领导干部要学网 懂网 用网 积极谋划 推动 引导互联网发展 如何理解这段话 至少可以从四个角度去看提高驾驭互联网能力的迫切性 一是从确保政治安全的角度 二是从促进经济发展的角度 三是从完善国家治理的角度 四是从维护国家网络安全的角度 拓展经济发展新空间 着力推动互联网和实体经济深度融合发展 以信息流带动技术流 资金流 人才流 物资流 促进资源配置优化 促进全要素生产率提升 为推动创新发展 转变经济发展方式 调整经济结构发挥积极作用 推进治理体系和治理能力现代化 随着互联网特别是移动互联网发展 社会治理模式正在从单向管理转向双向互动 从线下转向线上线下融合 从单纯的政府监管向更加注重社会协同治理转变 要强化互联网思维 利用互联网扁平化 交互式 快捷性优势 推进政府决策科学化 社会治理精准化 公共服务高效化 用信息化手段更好感知社会态势 畅通沟通渠道 辅助决策施政 要适应人民期待和需求 让亿万人民在共享互联网发展成果上有更多获得感 要促进基本公共服务均等化 要提升服务效率 让百姓少跑腿 信息多跑路 解决办事难 办事慢 办事繁的问题 二 树立 正确的网络安全观 网络安全是整体的而不是割裂的 在信息时代 网络安全对国家安全牵一发而动全身 同许多其他方面的安全都有着密切关系 网络安全是动态的而不是静态的 信息技术变化越来越快 过去分散独立的网络变得高度关联 相互依赖 网络安全的威胁来源和攻击手段不断变化 那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜 需要树立动态 综合的防护理念 网络安全是开放的而不是封闭的 只有立足开放环境 加强对外交流 合作 互动 博弈 吸收先进技术 网络安全水平才会不断提高 网络安全是相对的而不是绝对的 没有绝对安全 要立足基本国情保安全 避免不计成本追求绝对安全 那样不仅会背上沉重负担 甚至可能顾此失彼 网络安全是共同的而不是孤立的 网络安全为人民 网络安全靠人民 维护网络安全是全社会的共同责任 需要政府 企业 社会组织 广大网民共同参与 共筑网络安全防线 正确处理安全和发展的关系 网信小组一次会议 网络安全和信息化是一体之两翼 驱动之双轮 必须统一谋划 统一部署 统一推进 统一实施 做好网络安全和信息化工作 要处理好安全和发展的关系 做到协调一致 齐头并进 以安全保发展 以发展促安全 努力建久安之势 成长治之业 为什么将 在发展中求安全 升级为 以发展促安全 习近平总书记 不发展是最大的不安全 正确处理自主和开放的关系 现在 在技术发展上有两种观点值得注意 一种观点认为 要关起门来 另起炉灶 彻底摆脱对外国技术的依赖 靠自主创新谋发展 否则总跟在别人后面跑 永远追不上 另一种观点认为 要开放创新 站在巨人肩膀上发展自己的技术 不然也追不上 这两种观点都有一定道理 但也都绝对了一些 没有辩证看待问题 一方面 核心技术是国之重器 最关键最核心的技术要立足自主创新 自立自强 市场换不来核心技术 有钱也买不来核心技术 必须靠自己研发 自己发展 另一方面 我们强调自主创新 不是关起门来搞研发 一定要坚持开放创新 只有跟高手过招才知道差距 不能夜郎自大 问题是要搞清楚哪些是可以引进但必须安全可控的 哪些是可以引进消化吸收再创新的 哪些是可以同别人合作开发的 哪些是必须依靠自己的力量自主创新的 如何理解 牵一发而动全身 当今世界 信息技术革命日新月异 对国际政治 经济 文化 社会 军事等领域发展产生了深刻影响 信息化的发展 正在塑造一个 一切皆由网络控制 的未来世界 网络空间的快速兴起 催生着 谁控制网络空间谁就能控制一切 的法则 特别是 泛在接入 广泛互联 跨界融合 高度智能的趋势 彻底颠覆了网络安全场景 巴纳拜 杰克 BarnabyJack 是一名出生于新西兰的黑客 程序员和计算机安全专家 他曾花了二年时间研究如何破解自动提款机 2010年7月28日 在美国拉斯维加斯举行的一年一度的 白帽 黑客会议上 杰克将2台ATM搬到 黑帽 会场上 他刚一执行破解程序 自动提款机便不断吐出钞票 在地上堆成一座小山 2013年 杰克重出江湖 打算在2013年7月31日开幕的 白帽 黑客会议上 展示一项更为惊人的 黑客绝技 在9米之外入侵植入式心脏起搏器等无线医疗装置 然后向其发出一系列830V高压电击 从而令 遥控杀人 成为现实 杰克解释称 近几年生产的心脏起搏器一般都设有无线接收装置 以便可以在10米至15米范围内进行遥控调节 这正好给了黑客可乘之机 杰克发现 用无线输入特定命令之后 起搏器就会输出其序列号和型号 由此可以控制体内的起搏器 杰克开发了一款名为 电鳗 的程序 可以扫描一定范围内所有的心脏起搏器并入侵 三 建立关键信息基础设施保护制度 习近平总书记 加快构建关键信息基础设施安全保障体系 金融 能源 电力 通信 交通等领域的关键信息基础设施是经济社会运行的神经中枢 是网络安全的重中之重 也是可能遭到重点攻击的目标 物理隔离 防线可被跨网入侵 电力调配指令可被恶意篡改 金融交易信息可被窃取 这些都是重大风险隐患 不出问题则已 一出就可能导致交通中断 金融紊乱 电力瘫痪等问题 具有很大的破坏性和杀伤力 我们必须深入研究 采取有效措施 切实做好国家关键信息基础设施安全防护 全天候全方位感知网络安全态势 知己知彼 才能百战不殆 没有意识到风险是最大的风险 网络安全具有很强的隐蔽性 一个技术漏洞 安全风险可能隐藏几年都发现不了 结果是 谁进来了不知道 是敌是友不知道 干了什么不知道 长期 潜伏 在里面 一旦有事就发作了 维护网络安全 首先要知道风险在哪里 是什么样的风险 什么时候发生风险 正所谓 聪者听于无声 明者见于未形 感知网络安全态势是最基本最基础的工作 要全面加强网络安全检查 摸清家底 认清风险 找出漏洞 通报结果 督促整改 要建立统一高效的网络安全风险报告机制 情报共享机制 研判处置机制 准确把握网络安全风险发生的规律 动向 趋势 要建立政府和企业网络安全信息共享机制 把企业掌握的大量网络安全信息用起来 龙头企业要带头参加这个机制 网络安全法 第三十一条国家对公共通信和信息服务 能源 交通 水利 金融 公共服务 电子政务等重要行业和领域 以及其他一旦遭到破坏 丧失功能或者数据泄露 可能严重危害国家安全 国计民生 公共利益的关键信息基础设施 在网络安全等级保护制度的基础上 实行重点保护 关键信息基础设施的具体范围和安全保护办法由国务院制定 国务院拟以行政法规形式发布 关键信息基础设施安全保护条例 近期已公开征求意见 关键信息基础设施安全保护条例 第十八条下列单位运行 管理的网络设施和信息系统 一旦遭到破坏 丧失功能或者数据泄露 可能严重危害国家安全 国计民生 公共利益的 应当纳入关键信息基础设施保护范围 一 政府机关和能源 金融 交通 水利 卫生医疗 教育 社保 环境保护 公用事业等行业领域的单位 二 电信网 广播电视网 互联网等信息网络 以及提供云计算 大数据和其他大型公共信息网络服务的单位 三 国防科工 大型装备 化工 食品药品等行业领域科研生产单位 四 广播电台 电视台 通讯社等新闻单位 五 其他重点单位 三 网络安全法 概况 为什么要认真贯彻落实 网络安全法 首先 这是每一个公民的基本义务 更重要的 网络安全法 提出的是具有法律强制力的责任要求 落实网络安全责任制 就首先要落实 网络安全法 否则 就要承担法律责任 我们长期面临的挑战 与其说是法制不健全 不如说是执法效率低下 一直以来 法律没有 牙齿 但这次不一样了 媒体报道 自 网络安全法 生效以来 与其相关的执法行为逐渐走向常态 本文收集了2017年6月1日至8月18日间各地落实 网络安全法 相关规定的执法案例 包括 腾讯微信 新浪微博 百度贴吧涉嫌违反 网络安全法 被立案调查 BOSS直聘被网信办责令整改 汕头某公司未及时履行网络安全义务 网警依据网安法责令改正 重庆一网络公司未留存用户登录日志被网安查处 四川一网站因高危漏洞遭入侵被罚 宿迁网警成功查处全省首例违反 网络安全法 接入违规网站案 山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 淘宝网 同花顺金融网 蘑菇街互动网等 家网站被责令限期整改 全国人大常委会启动网络安全法 关于加强网络信息保护的决定执法检查新华社北京8月25日电 记者李亚红 为了解网络安全法 全国人大常委会关于加强网络信息保护的决定 简称 一法一决定 实施情况 查找问题 剖析原因 提出建议 着力推进法律实施中重点 难点问题的解决 全国人大常委会将在多个省区市开展 一法一决定 执法检查 在全面检查 一法一决定 实施情况的基础上 执法检查组将重点对以下内容进行检查 开展 一法一决定 宣传教育情况 制定 一法一决定 配套法规规章情况 强化关键信息基础设施保护及落实网络安全等级保护制度情况 治理网络违法有害信息 维护网络空间良好生态情况 落实公民个人信息保护制度 查处侵犯公民个人信息及相关违法犯罪情况等 全国人大法工委经济法室 学习好 宣传好 贯彻好这部法律 是我们当前的重要任务 全国人大常委会已经把网络安全法的实施情况列入2017的执法监督计划 通常的执法检查 一般是在法律施行一年或者若干年后进行 网络安全法施行半年就进行执法检查 体现了全国人大常委会对网络安全法实施情况的重视和关切 领导重视 网络安全法 的出台 充分说明了以习近平同志为核心的党中央对网络安全工作的高度重视 习近平总书记 互联网不是法外之地 利用网络鼓吹推翻国家政权 煽动宗教极端主义 宣扬民族分裂思想 教唆暴力恐怖活动 等等 这样的行为要坚决制止和打击 决不能任其大行其道 利用网络进行欺诈活动 散布色情材料 进行人身攻击 兜售非法物品 等等 这样的言行也要坚决管控 决不能任其大行其道 没有哪个国家会允许这样的行为泛滥开来 我们要本着对社会负责 对人民负责的态度 依法加强网络空间治理 加强网络内容建设 做强网上正面宣传 培育积极健康 向上向善的网络文化 用社会主义核心价值观和人类优秀文明成果滋养人心 滋养社会 做到正能量充沛 主旋律高昂 为广大网民特别是青少年营造一个风清气正的网络空间 要加快网络立法进程 完善依法监管措施 化解网络风险 重大意义 网络安全领域的 基本法 确立了我国网络安全的基本法律框架1 明确了部门 企业 社会组织和个人的权利 义务和责任2 规定了国家网络安全工作的基本原则 主要任务和重大指导思想 理念3 将成熟的政策规定和措施上升为法律 为政府部门的工作提供了法律依据 体现了依法行政 依法治国要求4 建立了国家网络安全的一系列基本制度 这些基本制度具有全局性 基础性特点 是推动工作 夯实能力 防范重大风险所必需 目录 第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则 主要解决的问题 一 明确了 网络空间主权 原则二 明确了国家支持和促进网络安全的主要举措 国家建立和完善网络安全标准体系 国务院和省 自治区 直辖市人民政府应当统筹规划 加大投入 扶持重点网络安全技术产业和项目 国家推进网络安全社会化服务体系建设 国家鼓励开发网络数据安全保护和利用技术 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育 三 明确了网络产品和服务提供者的义务 网络产品 服务的提供者不得设置恶意程序 发现其网络产品 服务存在安全缺陷 漏洞等风险时 应当立即采取补救措施 按照规定及时告知用户并向有关主管部门报告 主要解决的问题 四 明确了网络运营者的责任一是第21条关于网络安全等级保护的要求 二是第24条关于实名制的要求 三是第25条关于网络安全事件处置的要求 四是第28条关于为公安机关 国家安全机关提供技术支持和协助的要求 五是第40条 41条 42条 43条关于用户和个人信息保护的要求 六是第47条关于加强对其用户发布的信息的管理的要求 七是第49条关于投诉举报和配合网信等部门实施安全检查的要求 主要解决的问题 五 建立了关键信息基础设施保护制度关键信息基础设施运营者除了履行网络运营者的责任义务外 还应履行以下责任 义务 一是第33条关于 三同步 的要求 二是第34条提出的人员审查 培训等5方面要求 三是第35条关于国家网络安全审查要求 四是第36条关于签订安全保密协议要求 五是第37条关于数据出境的要求 六是第38条关于每年开展安全检测评估的要求 主要解决的问题 六 明确了个人信息保护规则 网络安全法 体现了个人信息安全保护的下述重要原则责任原则 网络运营者应当对其收集的用户信息严格保密 并建立健全用户信息保护制度目的明确原则 网络运营者收集 使用个人信息 应当遵循合法 正当 必要的原则 最少够用原则 网络运营者不得收集与其提供的服务无关的个人信息同意和选择原则 明示收集 使用信息的目的 方式和范围 并经被收集者同意确保安全原则 网络运营者应当采取技术措施和其他必要措施 确保其收集的个人信息安全质量保证原则 发现网络运营者收集 存储的其个人信息有错误的 有权要求网络运营者予以更正主体参与原则 个人发现网络运营者违反法律 行政法规的规定或者双方的约定收集 使用其个人信息的 有权要求网络运营者删除其个人信息开放透明原则 明示收集 使用信息的目的 方式和范围 主要解决的问题 七 进一步完善了互联网信息内容管理制度一是第24条规定了实名制 二是提出了互联网信息内容禁则 八不准 一是危害国家安全 荣誉和利益 二是煽动颠覆国家政权 推翻社会主义制度 三是煽动分裂国家 破坏国家统一 四是宣扬恐怖主义 极端主义 五是宣扬民族仇恨 民族歧视 六是传播暴力 淫秽色情信息 七是编造 传播虚假信息扰乱经济秩序和社会秩序 八是侵害他人名誉 隐私 知识产权和其他合法权益等活动 三是明确了网络运营者 电子信息发送服务提供者和应用软件下载服务提供者处置违法信息的义务 四是赋予相关主管部门处置违法信息的权力 四 对网络运营者的主要要求 如何看待安全防护的难与易 总书记 网络安全的本质在对抗 对抗的本质在攻防两端能力较量 人家用的是飞机大炮 我们这里还用大刀长矛 那是不行的 攻防力量要对等 要以技术对技术 以技术管技术 做到魔高一尺 道高一丈 要落实网络安全责任制 制定网络安全标准 明确保护对象 保护层级 保护措施 基本要求 网络安全法 规定的网络运营者责任 义务主要包括 一是第二十一条关于网络安全等级保护5方面的要求 即 制定内部安全管理制度和操作规程 确定网络安全负责人 落实网络安全保护责任 采取防范计算机病毒和网络攻击 网络侵入等危害网络安全行为的技术措施 采取监测 记录网络运行状态 网络安全事件的技术措施 并按照规定留存相关的网络日志不少于六个月 采取数据分类 重要数据备份和加密等措施 法律 行政法规规定的其他义务 二是第二十二条关于网络运营者提供产品 服务时的要求 即 如果网络运营者对外提供产品和服务 则应当符合相关国家标准的强制性要求 具体是 不得设置恶意程序 发现其网络产品 服务存在安全缺陷 漏洞等风险时 应当立即采取补救措施 按照规定及时告知用户并向有关主管部门报告 网络产品 服务的提供者应当为其产品 服务持续提供安全维护 在规定或者当事人约定的期限内 不得终止提供安全维护 网络产品 服务具有收集用户信息功能的 其提供者应当向用户明示并取得同意 涉及用户个人信息的 还应当遵守本法和有关法律 行政法规关于个人信息保护的规定 基本要求 网络安全法 规定的网络运营者责任 义务主要包括 三是第二十四条关于实名制的要求 即 网络运营者为用户办理网络接入 域名注册服务 办理固定电话 移动电话等入网手续 或者为用户提供信息发布 即时通讯等服务 在与用户签订协议或者确认提供服务时 应当要求用户提供真实身份信息 用户不提供真实身份信息的 网络运营者不得为其提供相关服务 四是第二十五条关于网络安全事件处置的要求 即 网络运营者应当制定网络安全事件应急预案 及时处置系统漏洞 计算机病毒 网络攻击 网络侵入等安全风险 在发生危害网络安全的事件时 立即启动应急预案 采取相应的补救措施 并按照规定向有关主管部门报告 基本要求 网络安全法 规定的网络运营者责任 义务主要包括 五是第二十八条关于提供技术支持和协助的要求 即 网络运营者应当为公安机关 国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助 六是第四十条 四十一条 四十二条 四十三条关于用户和个人信息保护的要求 七是第四十七条关于信息发布的要求 即 网络运营者应当加强对其用户发布的信息的管理 发现法律 行政法规禁止发布或者传输的信息的 应当立即停止传输该信息 采取消除等处置措施 防止信息扩散 保存有关记录 并向有关主管部门报告 八是第四十九条关于投诉举报和配合网信等部门实施安全检查的要求 即 网络运营者应当建立网络信息安全投诉 举报制度 公布投诉 举报方式等信息 及时受理并处理有关网络信息安全的投诉和举报 网络运营者对网信部门和有关部门依法实施的监督检查 应当予以配合 关键信息基础设施安全要求 关键信息基础设施运营者除了履行网络运营者的责任义务外 还应履行以下责任 义务 一是第三十三条关于 三同步 的要求 即 建设关键信息基础设施应当确保其具有支持业务稳定 持续运行的性能 并保证安全技术措施同步规划 同步建设 同步使用 二是第三十四条提出的设置专门安全管理机构 培训等5方面要求 即 设置专门安全管理机构和安全管理负责人 并对该负责人和关键岗位的人员进行安全背景审查 定期对从业人员进行网络安全教育 技术培训和技能考核 对重要系统和数据库进行容灾备份 制定网络安全事件应急预案 并定期进行演练 法律 行政法规规定的其他义务 关键信息基础设施安全要求 关键信息基础设施运营者除了履行网络运营者的责任义务外 还应履行以下责任 义务 三是第三十五条关于国家网络安全审查要求 即 关键信息基础设施的运营者采购网络产品和服务 可能影响国家安全的 应当通过国家网信部门会同国务院有关部门组织的国家安全审查 四是第三十六条关于签订安全保密协议要求 即关键信息基础设施的运营者采购网络产品和服务 应当按照规定与提供者签订安全保密协议 明确安全和保密义务与责任 关键信息基础设施安全要求 关键信息基础设施运营者除了履行网络运营者的责任义务外 还应履行以下责任 义务 五是第三十七条关于数据出境的要求 即 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储 因业务需要 确需向境外提供的 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估 六是第三十八条关于每年开展安全检测评估的要求 即 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估 并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门 要点阐释 网络安全等级保护制度与关键信息基础设施保护制度是什么关系 网络安全等级保护以前称为信息安全等级保护制度 这是我国网络安全保障的重要制度 体现了分等级保护的风险管理思路 近年来 网络安全等级保护制度在国家网络安全保障体系中发挥了重要作用 但这项制度也需要随着形势的发展不断完善 网络安全法 提出了 实行网络安全等级保护制度 明确了网络安全等级保护制度的基本要求 标志着等级保护制度进入了一个新的阶段 网络安全法 明确 关键信息基础设施保护要 在网络安全等级保护制度的基础上 实行重点保护 指的是关键信息基础设施保护首先要满足网络安全等级保护的基本要求 主要是 网络安全法 第21条提出的要求 同时还要采取更加完善的措施来确保其安全 关键信息基础设施保护制度是我国新设立的重大制度 第三十一条国家对公共通信和信息服务 能源 交通 水利 金融 公共服务 电子政务等重要行业和领域 以及其他一旦遭到破坏 丧失功能或者数据泄露 可能严重危害国家安全 国计民生 公共利益的关键信息基础设施 在网络安全等级保护制度的基础上 实行重点保护 关键信息基础设施的具体范围和安全保护办法由国务院制定 国务院拟以行政法规形式发布 关键信息基础设施安全保护条例 近期已公开征求意见 要点阐释 为什么提出 关键信息基础设施安全保护工作部门 第三十二条按照国务院规定的职责分工 负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业 本领域的关键信息基础设施安全规划 指导和监督关键信息基础设施运行安全保护工作 1 负责关键信息基础设施安全保护工作的部门是哪些部门 各行业 各领域的主管或监管部门依据职责分工 负责本行业 本领域关键信息基础设施的安全保护工作 国家网信部门将加强对关键信息基础设施安全保护工作的统筹和指导监督 2 为什么要求关键信息基础设施安全保护部门编制和组织实施本行业 本领域的关键信息基础设施安全规划 各行业各领域关键信息基础设施形态各异 支撑的业务千差万别 具体到每一个行业 其保护工作的重点 保护的手段等不尽相同 各行业主管或监管部门对本行业的安全本身负有管理职责 且其对行业内关键信息基础设施形态最为了解 对业务网络安全需求最为明确 因此由行业主管或监管部门编制和组织实施本行业 本领域的关键信息基础设施安全规划最为合理 要点阐释 如何理解对关键信息基础设施的一些重点安全要求 第34条 1 如何对关键信息基础设施安全管理机构负责人和关键岗位的人员进行安全背景审查 原则上由关键信息基础设施的运营者自己组织审查 国家网信部门会同有关部门加强指导 2 如何理解定期对关键信息基础设施从业人员进行网络安全教育 技术培训和技能考核 这里的 从业人员 不仅限于网络安全岗位上的专业人员 是全员教育 培训和考核 关于网络安全技术培训和技能考核 目前全国信息安全标准化技术委员会正抓紧制定有关标准 关键信息基础设施的运营者不履行本法第三十三条 第三十四条 第三十六条 第三十八条规定的网络安全保护义务的 由有关主管部门责令改正 给予警告 拒不改正或者导致危害网络安全等后果的 处十万元以上一百万元以下罚款 对直接负责的主管人员处一万元以上十万元以下罚款 要点阐释 如何理解对关键信息基础设施的一些重点安全要求 3 如何促进网络安全信息共享 国家网信部门将会同有关部门建立网络安全信息共享机制 制定网络安全信息共享相关技术标准 合法合理共享网络安全风险 威胁等信息 4 如何与产品和服务提供者签订安全保密协议 安全保密协议应当明确双方的责任义务 包括供应方不非法获取数据 控制关键信息基础设施运转 不无正当理由停止技术支持 未经许可不得泄露 转让关键信息基础设施的敏感数据等 目前 全国信息安全标准化技术委员会正在制定相关标准 包括安全保密协议模板等 要点阐释 如何理解 在发生危害网络安全的事件时 立即启动应急预案 采取相应的补救措施 并按照规定向有关主管部门报告 国家网信部门已经发布了 国家网络安全事件应急预案 对事件的处置和报告作出了规定 各行业 各部门 各级政府应制定对应的应急预案 各部门 行业 单位的网络安全事件应急预案应在网络安全事件分级分类 预警分级等方面与 国家网络安全事件应急预案 保持一致 并在事件处置流程上与 国家网络安全事件应急预案 等上级预案保持衔接 此外 预案中还应明确组织机构与职责 确立本部门 本行业 本单位范围内的预警监测 预警研判和发布 预警响应 预警解除等流程 对事件报告 应急响应 应急结束等程序作出规定 对调查 评估等事项作出安排 并对预案演练 宣传 培训等工作进行规划 此外还应落实技术支撑队伍 专家队伍 社会资源 经费等保障措施 必要时 还应考虑跨部门 跨行业合作以及国际合作等问题 各部门 行业 单位的网络安全事件应急预案与 国家网络安全事件应急预案 的重要区别是 后者比较原则 但各部门 行业 单位的网络安全事件应急预案应尽可能具体 例如明确到具体的热线联系方式 操作流程细化到每一个动作 此外 在符合 国家网络安全事件应急预案 中网络安全事件分级分类标准的前提下 各部门 行业 单位可以对每一级的事件进一步细分 并针对每一个细分级别的事件制定不同的处置措施 由谁对关键信息基础设施进行抽查检测和应急演练 第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施 一 对关键信息基础设施的安全风险进行抽查检测 提出改进措施 必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估 二 定期组织关键信息基础设施的运营者进行网络安全应急演练 提高应对网络安全事件的水平和协同配合能力 三 促进有关部门 关键信息基础设施的运营者以及有关研究机构 网络安全服务机构等之间的网络安全信息共享 四 对网络安全事件的应急处置与网络功能的恢复等 提供技术支持和协助 关键信息基础设施保护工作部门应该履行指导督促关键信息基础设施运行安全保护的职责 组织对本行业 本领域的关键信息基础设施开展抽查检测 以及组织开展本行业 本领域的网络安全应急演练 国务院电信主管部门 公安部门和其他有关部门 在各自职责范围内可以对关键信息基础设施进行抽查检测 国家网信部门将出台关键信息基础设施抽查检测规范和指南 指导有关部门开展抽查检测 统筹抽查检测计划 避免重复上门 给运营单位带来不必要的负担 并汇总共享抽查检测结果 要统筹开展抽查检测活动 这是今后重要方向 五 今后会发生哪些变化 主要制度设计 网络安全法 提出了哪些行为禁则 网络安全法 明确禁止了八类活动 七种行为 任何个人和组织不得利用网络从事以下八类活动 一是危害国家安全 荣誉和利益 二是煽动颠覆国家政权 推翻社会主义制度 三是煽动分裂国家 破坏国家统一 四是宣扬恐怖主义 极端主义 五是宣扬民族仇恨 民族歧视 六是传播暴力 淫秽色情信息 七是编造 传播虚假信息扰乱经济秩序和社会秩序 八是侵害他人名誉 隐私 知识产权和其他合法权益等活动 以下七种行为都是法律明确禁止的 一是非法侵入他人网络 干扰他人网络正常功能 窃取网络数据等危害网络安全的活动 二是提供专门用于从事侵入网络 干扰网络正常功能及防护措施 窃取网络数据等危害网络安全活动的程序 工具 三是明知他人从事危害网络安全的活动的 为其提供技术支持 广告推广 支付结算等帮助 四是窃取或者以其他非法方式获取个人信息 非法出售或者非法向他人提供个人信息 五是设立用于实施诈骗 传授犯罪方法 制作或者销售违禁物品 管制物品等违法犯罪活动的网站 通讯群组 六是利用网络发布涉及实施诈骗 制作或者销售违禁物品 管制物品以及其他违法犯罪活动的信息 七是发送的电子信息 提供的应用软件 设置恶意程序 含有法律 行政法规禁止发布或者传输的信息 什么是 安全可信 的网络产品和服务 第十六条国务院和省 自治区 直辖市人民政府应当统筹规划 加大投入 扶持重点网络安全技术产业和项目 支持网络安全技术的研究开发和应用 推广安全可信的网络产品和服务 保护网络技术知识产权 支持企业 研究机构和高等学校等参与国家网络安全技术创新项目 安全可信 自主可控以及安全可控有着相同的基本要求 这些要求包括但不限于以下方面 一是产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据 损害用户对自己数据的支配权 二是产品或服务提供者不应通过网络非法控制和操纵用户设备 损害用户对自己所拥有和使用设备的控制权 三是产品和服务提供者不应利用用户对产品和服务的依赖性牟取不正当利益 实施垄断经营 包括停止提供合理的安全技术支持 迫使用户更新换代 提出安全可信的要求主要是为了保障用户利益 无论是国外产品还是国内产品 都应该符合安全可信的要求 不得损害用户利益 关于 网络关键设备 和 网络安全专用产品 强制认证制度第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求 由具备资格的机构安全认证合格或者安全检测符合要求后 方可销售或者提供 国家网信部门会同国务院有关部门制定 公布网络关键设备和网络安全专用产品目录 并推动安全认证和安全检测结果互认 避免重复认证 检测 国家网信部门会同有关部门制定了 网络关键设备和网络安全专用产品目录 对网络关键设备和网络安全专用产品作出了具体规定 网络安全法 规定 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求 由具备资格的机构安全认证合格或者安全检测符合要求后 方可销售或者提供 同时具备以下两个条件的产品 需要进行上述认证检测 一是列入了目录 二是国家标准有强制性要求 在目录内的产品 且国家标准有强制性要求的 如果有关部门已经在 网络安全法 实施前对其进行了认证检测 在有效期内无需再进行认证检测 产品目录已发布 机构名录近日发布 产品目录 如何理解 实名制 第二十四条网络运营者为用户办理网络接入 域名注册服务 办理固定电话 移动电话等入网手续 或者为用户提供信息发布 即时通讯等服务 在与用户签订协议或者确认提供服务时 应当要求用户提供真实身份信息 用户不提供真实身份信息的 网络运营者不得为其提供相关服务 国家实施网络可信身份战略 支持研究开发安全 方便的电子身份认证技术 推动不同电子身份认证之间的互认 目的意义 网络空间行为可追溯前台匿名 后台实名 不影响网民上网体验和隐私就互联网上活动而言 主要指的是信息发布 即时通信的实名真实身份查验方式不限于身份证 怎样理解开展网络安全认证 向社会发布网络安全信息等应当遵守国家有关规定 第二十六条开展网络安全认证 检测 风险评估等活动 向社会发布系统漏洞 计算机病毒 网络攻击 网络侵入等网络安全信息 应当遵守国家有关规定 开展网络安全认证 向社会发布网络安全信息等对行业和社会影响较大 对这类服务应该进行规范 例如 在发布系统漏洞 计算机病毒 网络攻击 网络侵入等网络安全信息时 应当确保发布信息的权威性 准确性 维护行业秩序 保护有关方面的合法权益 目前 国家网信部门正会同有关部门制定网络安全信息发布相关管理办法 指导规范信息发布行为 今后 类似于 黑客大会 上 现场表演攻击智能设备等活动会受到限制 如何看待数据出境安全评估有关要求 第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储 因业务需要 确需向境外提供的 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估 法律 行政法规另有规定的 依照其规定 1 网络安全法 要求数据留存在境内 会不会限制数据跨境流动 影响跨国贸易 法律没有要求所有数据都留在境内 只是对个人信息和重要数据提出了要求 对个人信息而言 经个人明示同意后可以出境 法律中的重要数据是对国家而言属于重要的 不是针对企业和个人 2 数据出境评估如何实施 国家网信部门会同有关部门制定了 个人信息和重要数据出境评估办法 以及 重要数据识别指南 对有关问题作出了明确规定 交通运输行业的 重要数据 重要数据识别指南 15交通运输主管部门 国家交通战备办公室 交通运输部 国家铁路局 中国铁路总公司 重要数据包括但不限于 15 1含有下列内容 或通过汇聚分析能印证 推论出下列信息的数据交通运输相关的信息通信系统部署信息 无线电频谱 有公开标准 依照国家公约 国内法律法规规定的除外 15 2以下各个具体领域的属性数据单点可被测定或公开 但集中批量的数据泄露可能会危害国家安全 军事行动或反恐安全a 关键铁路线路图 车站布局 轨道分布 仓储数据等资料 b 涉外交通运输工程施工建设过程中的地理 水文 技术资料 统一口径等数据 法律规定 关键信息基础设施的运营者采购网络产品和服务 可能影响国家安全的 应当通过国家网信部门会同国务院有关部门组织的国家安全审查 如何判定影响国家安全 怎么审查 第三十五条关键信息基础设施的运营者采购网络产品和服务 可能影响国家安全的 应当通过国家网信部门会同国务院有关部门组织的国家安全审查 是否影响国家安全 主要是看产品和服务使用后 是否会危害国家政权和主权安全 是否会危害广大人民群众利益 是否会影响国家经济可持续发展及国家其他重大利益 国家网信部门会同有关部门制定了 网络产品和服务安全审查办法 对有关流程 机构等作出了明确规定 金融 电信 能源 交通等重点行业和领域主管部门 根据国家网络安全审查工作要求 组织开展本行业 本领域网络产品和服务安全审查工作 公共通信和信息服务 能源 交通 水利 金融 公共服务 电子政务等重要行业和领域 以及其他关键信息基础设施的运营者采购网络产品