《国家网络安全法解读共45页》由会员分享,可在线阅读,更多相关《国家网络安全法解读共45页(45页珍藏版)》请在金锄头文库上搜索。
1、Slide title :40-47pt Slide subtitle :26-30ptColor:whiteCorporate Font :FrutigerNext LT MediumFont to be used by customers and partners : Arial中华人民共和国网络安全法解读信息管理部信息管理部20172017年年 55月月 2525日日第2页内容提纲国内外安全态势国内外安全态势国家政策及相关标准国家政策及相关标准21网络安全法解读网络安全法解读3第3页国外国内2014年3月22日,携程网安全支付日志下载漏洞被黑客利用,导致大量用户银行卡信息泄露;2015年
2、5月28日,携程网站和APP全线瘫痪,从瘫痪到修复,携程“宕机”近12小时,创下国内互联网公司系统瘫痪新纪录。2015年4月22日,重庆、上海、沈阳、贵州等超30个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息被泄露,包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。2015年6月中石化“内鬼”事件,系统内部技术人员,通过提供给中石化华东公司的SCADA系统(油管监控系统)对应开发了一套病毒程序,病毒爆发导致系统无法运行。信息安全事件2011年4月12日,韩国最大农协银行遭遇黑客,导致客户三天无法提款、转账、使用信用卡,大约540万名信用卡客户的交易记录被删除。2015年12
3、月3日,乌克兰电网遭黑客攻击,黑客使用后门程序BlackEnery(黑暗力量)攻击了在发电站和多家能源公司,在寒冷冬天数百万家庭供电被迫中断。2015年12月31日,由于严重的“分布式拒绝服务”攻击(DDOS),英国广播公司(BBC)网站和iPlayer服务被迫下线。该攻击导致网站瘫痪数小时。第4页信息安全事件 5月12日, “比特币勒索病毒”在全球爆发,至少有150个国家受到网络病毒攻击,大量组织机构受害严重包括金融、能源、医疗、教育等行业。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,大量实验室数据和毕业设计被锁定加密。 “勒索病毒”主要利用Windows操作系统漏洞,通
4、过网络植入病毒程序,对电脑中的docx、pdf、xlsx、jpg等110种文件进行加密,并提示支付价值相当于300美元的比特币后方可解锁。加密文件几乎覆盖全部类型的文档和图片,使其无法正常打开。黑客使用的加密技术运用了超级复杂的4096位算法,超级电脑破解所需时间也得按年计算,国内外目前尚无有效破解方法。 “勒索病毒”属于主动攻击型病毒,传播速度快,破坏力强。第5页信息安全事件目标明确隐蔽性强破坏严重信息安全事件大多为敌对国家或利益集团为达到某种目的而发起的网络攻击。往往是向指定的目标发起特定的网络攻击,具有极强的针对性。攻击工业控制系统的病毒和黑客,异常熟悉工业控制系统的网络情况,攻击方法独
5、特导致无法及时发现,具有极强的隐蔽能力,可以长时间隐藏于工业控制系统中。电力、能源、金融等系统如果遭到破坏,轻则造成经济损,重则会造成人身伤亡,甚至会影响地区和国家的安定,乃至国家战略和重大计划的执行都会受到阻挠。安全事件特点第6页内容提纲国家政策及相关标准国家政策及相关标准国内外安全态势国内外安全态势1网络安全法解读网络安全法解读32第7页网络空间安全顶层设计“没有网络安全就没有国家安全”“加快构建关键信息基础设施安全保障体系”“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”第8页中国应对网络安全威胁之道我国政府和相关部门高度重视,分别在法规、政策及标准等方面积极采
6、取行动。2014年成立中央网络安全和信息化领导小组,将信息安全提升到国家战略高度,习近平亲自担任组长。2016年11月,第十二届全国人大常委会第二十四次会议审议通过中华人民共和国网络安全法,并于2017年6月1日起正式实施2016年10月工信部印发了工业控制系统信息安全防护指南,指导工业企业开展工控安全防护工作;2012年国务院发布关于大力推进信息化发展和切实保障信息安全的若干意见;2013年国家发改委关于组织2013年国家信息安全专项有关事项的通知,将工控安全纳入重点信息安全领域;2016年6月,由中央网信办牵头组织,首次全国范围的关键信息基础设施网络安全检查工作已经启动,这是落实习近平总书
7、记重要讲话精神的重要举措,也是在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。2017年2月4号成立了网络安全审查委员会;在十八大三中全会上,习近平总书记提出“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战”。第9页2016年5月13号,国务院发布关于深化制造业与互联网融合发展的指导意见(国发201628号)。意见明确指出“以建设制造业与互联网融合“双创”平台为抓手,发展智能制造与互联网融合新模式,提高工业信息系统安全水平”2016年11月3号工信部下发工业控制系统信息安全防护指南,指南指出“工业控制系统应用企业应从安全软件选择与管理、配置
8、和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面做好工控安全防护工作”。2016年7月全国范围关键信息基础设施网络安全检查工作启动,习近平总书记指出:“金融、能源、电力、通信、制造等领域是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”,要求“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”。网信办网信办国务院国务院工信部工信部国家高度重视第10页2017年网络安全检查网信办统筹规划及监督管理抽查、约谈,偏向符合性检查222公安国安安全检查配合监察
9、及执法抽查,偏向脆弱性检查关注重点境外攻击及执法木马、病毒、APT攻击安全检查u中华人民共和国网络安全法u工业控制系统信息安全防护指南u信息安全等级保护基本要求u工业控制系统评估规范u各行业规范依据经信委134第11页集团公司信息安全总体框架设计 “十三五”期间,继承和发展现有成果,管理、技术并重,并结合纵深防御、大数据安全分析等先进理念,逐步实现“责任明确、统一策略、全程管控、协同防御”的信息安全体系。第12页内容提纲国家政策及相关标准国家政策及相关标准2国内外安全态势国内外安全态势1网络安全法解读网络安全法解读3第13页一、迫切性和必要性u落实党中央决策部署的重要举措,是维护网络安全、国家
10、安全的迫切需要u维护网络空间国家主权的迫切需要u打击网络违法犯罪、维护广大人民群众利益的迫切需要u参与互联网国际竞争和国际治理的迫切需要u深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要第14页二、网络安全法概述l保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织合法权益,促进经济社会信息化健康发展l在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。l2016年11月7日发布l2017年6月1日起施行范围总览定位l是互联网领域、网络安全的基础性法律。l是党的十八大以来的又一部重要法律。第15页三、网络安全法整
11、体框架共7章79条网络安全法第二章至第五章分别从网络安全支持与促进、网络运行安全一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置五个方面,对网络安全有关事项进行了规定,勾勒了我国网络安全工作的轮廓:以关键信息基础设施保护为重心,强调落实运营者责任,注重保护个人权益,加强动态感知快速反应,以技术、产业、人才为保障,立体化地推进网络安全工作。7 71 12 24 45 56 63 3第16页u网络四、网络安全法术语定义计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。通过网络收集、存储、传输、处理和产生的各种电子数据。通过
12、采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络的所有者、管理者和网络服务提供者。网络运营者除了传统通过网络提供服务、开展业务活动的企业及机构如电信运营商、互联网企业外,还可能包括:银行、保险、证券基金等收集公民个人信息,同时又提供线上服务的金融机构;网络安全服务和安全产品的提供者;拥有网站并提供网络服务的企业等以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。u网络安全u网
13、络运营者u网络数据u个人信息u保密存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。第17页五、条款解读第18页五、条款解读第一条-第三条,明确了网络安全法的目的和适用范围以及国家所应承担的责任义务。第19页条款解读第八条,给出了国家相关监管部门的分工,本法与其他法律的关系。第十条,强调了网络数据为保护重点。第20页条款解读第十二条,明确了国家在保障网络安全中的任务和目标,同时对个人及组织使用网络也提出了要求。第21页条款解读第22页条款解读第十五条,主要强化标准体系建设。第十六条,针对目前国家和企业在安全投入不足的问题提出了解决办法。第23
14、页条款解读第十九条,要求政府或相关部门通过多种形式对企业和公众开展网络安全宣传教育,提高安全意识。第二十条,鼓励企业、高校等单位加强对网络安全人才的培训和教育,解决目前网络安全人才严重不足问题。第24页条款解读第25页条款解读第二十一条,明确了企业网络安全保护的义务和具体内容。网络安全保护的义务和具体内容。第26页条款解读第二十一条,主要是对我国网络产品厂商和服务提供商及他们所提供的产品和服务提出了具体的强制要求;第二十二条,主要是对网络关键设备和网络安全专用产品提出了强制性要求,相关企业在采购过程中要严格审核。第27页条款解读第二十四条,提出了上网用户必须实名制。第二十五条,要求企业必须制定
15、安全应急预案。第28页条款解读第三十一条,定义了关键信息基础设施范围,以及实行重点保护要求。第三十三条,强调了企业在建设关键基础设施的三同步原则。第29页条款解读第三十四条,对关键基础设施企业的具体安全保护内容提出了具体要求。第30页条款解读第三十五条,要求采购方在采购的所有跟关键信息基础设施有关的产品及服务必须通过国家安全审查。第三十六条,采购方需要与供应商签订保密协议。第31页条款解读第三十七条,对关键信息基础设施的数据存储办法给了明确定义,第三十八条,要求关键基础设施行业和业主每年必须做检测评估,并明确要求了评估方式和次数。第32页条款解读第33页条款解读以上三条都是强调对个人信息的保护
16、。要求网络运营者对个人信息要进行保护,任何人不得非法获取个人信息。第34页条款解读第四十九条,要求网络运营者建立多种处理网络信息安全的投诉和举报方式及配合监管单位的义务。第五十条,赋予网信办等监管部门的的职责。第35页条款解读第36页条款解读第五十一条,要求网信部门会统筹网监、国安、经信委及行业主管部门加强网络安全态势收集、分析、通报,并将通报机制上升为法律层面。第五十二条,要求关键信息基础设施业主设立安全保护部门,建立信息安全通报制度。第37页条款解读第五十三条,行业、业主及部门需按要求建立健全风险评估和应急工作机制,同时按照信息安全事件分级制度制定相应的应急预案及应急处置措施,并组织演练、
17、修正与持续改进工作。第38页条款解读第五十六条,本条款的关键是“约谈”,提出了网络运营者要承担的义务。第39页条款解读第五十七条,主要是明确发生事件和事故时,与其它相关法律的关系。第五十八条,特定区域、特定时间实行通信管制。第40页条款解读第41页条款解读第五十九条,网络运营者和关键信息基础设施运营者拒不整改而造成的安全事件或事故,将对整个组织和事件直接责任人将处以罚款。加大了对关键信息基础设施的运营者处罚力度。第42页条款解读第六十六条,关键信息基础设施运营者需要按照法律要求将数据境内存储,若业务需要需向境外传输的需国家网信部门会同国务院有关部门进行安全评估。第43页条款解读第六十七条,对设立非法网站、通讯群组,发布违法信息进行处罚。第七十四条,对与违法将承担民事和刑事责任第44页综述Slide title :40-47pt Slide subtitle :26-30ptColor:whiteCorporate Font :FrutigerNext LT MediumFont to be used by customers and partners : Arial谢谢 谢!谢!
