国家网络安全法解读.ppt

中华人民共和国网络安全法解读,信息管理部2017年5月25日,内容提纲,国内外安全态势,国家政策及相关标准,2,1,网络安全法解读,3,国外,信息安全事件,2011年4月12日，韩国最大农协银行遭遇黑客，导致客户三天无法提款、转账、使用信用卡，大约540万名信用卡客户的交易记录被删除。2015年12月3日，乌克兰电网遭黑客攻击，黑客使用后门程序BlackEnery(黑暗力量）攻击了在发电站和多家能源公司，在寒冷冬天数百万家庭供电被迫中断。2015年12月31日，由于严重的“分布式拒绝服务”攻击（DDOS)，英国广播公司（BBC)网站和iPlayer服务被迫下线。该攻击导致网站瘫痪数小时。,信息安全事件,5月12日，“比特币勒索病毒”在全球爆发，至少有150个国家受到网络病毒攻击，大量组织机构受害严重包括金融、能源、医疗、教育等行业。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，大量实验室数据和毕业设计被锁定加密。“勒索病毒”主要利用Windows操作系统漏洞，通过网络植入病毒程序，对电脑中的docx、pdf、xlsx、jpg等110种文件进行加密，并提示支付价值相当于300美元的比特币后方可解锁。加密文件几乎覆盖全部类型的文档和图片，使其无法正常打开。黑客使用的加密技术运用了超级复杂的4096位算法，超级电脑破解所需时间也得按年计算，国内外目前尚无有效破解方法。“勒索病毒”属于主动攻击型病毒，传播速度快，破坏力强。,信息安全事件,内容提纲,国家政策及相关标准,国内外安全态势,1,网络安全法解读,3,2,网络空间安全顶层设计,“没有网络安全就没有国家安全”“加快构建关键信息基础设施安全保障体系”“全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”,中国应对网络安全威胁之道,我国政府和相关部门高度重视，分别在法规、政策及标准等方面积极采取行动。,2014年成立中央网络安全和信息化领导小组，将信息安全提升到国家战略高度，习近平亲自担任组长。,2016年11月，第十二届全国人大常委会第二十四次会议审议通过中华人民共和国网络安全法，并于2017年6月1日起正式实施,2016年10月工信部印发了工业控制系统信息安全防护指南，指导工业企业开展工控安全防护工作；,2012年国务院发布关于大力推进信息化发展和切实保障信息安全的若干意见；,2013年国家发改委关于组织2013年国家信息安全专项有关事项的通知，将工控安全纳入重点信息安全领域；,2016年6月，由中央网信办牵头组织，首次全国范围的关键信息基础设施网络安全检查工作已经启动，这是落实习近平总书记重要讲话精神的重要举措，也是在网络安全新形势下，针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。,2017年2月4号成立了网络安全审查委员会；,在十八大三中全会上，习近平总书记提出“网络和信息安全牵涉到国家安全和社会稳定，是我们面临的新的综合性挑战”。,2016年5月13号，国务院发布关于深化制造业与互联网融合发展的指导意见（国发201628号）。意见明确指出“以建设制造业与互联网融合“双创”平台为抓手，发展智能制造与互联网融合新模式，提高工业信息系统安全水平”,2016年11月3号工信部下发工业控制系统信息安全防护指南，指南指出“工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面做好工控安全防护工作”。,2016年7月全国范围关键信息基础设施网络安全检查工作启动，习近平总书记指出：“金融、能源、电力、通信、制造等领域是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”，要求“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”。,网信办,国务院,工信部,国家高度重视,2017年网络安全检查,网信办,统筹规划及监督管理抽查、约谈，偏向符合性检查,2,22,公安,国安,安全检查配合,监察及执法抽查，偏向脆弱性检查,关注重点境外攻击及执法木马、病毒、APT攻击,安全检查,中华人民共和国网络安全法工业控制系统信息安全防护指南信息安全等级保护基本要求工业控制系统评估规范各行业规范,依据,经信委,1,3,4,集团公司信息安全总体框架设计,“十三五”期间，继承和发展现有成果，管理、技术并重，并结合纵深防御、大数据安全分析等先进理念，逐步实现“责任明确、统一策略、全程管控、协同防御”的信息安全体系。,内容提纲,国家政策及相关标准,2,国内外安全态势,1,网络安全法解读,3,一、迫切性和必要性,落实党中央决策部署的重要举措,是维护网络安全、国家安全的迫切需要,维护网络空间国家主权的迫切需要,打击网络违法犯罪、维护广大人民群众利益的迫切需要,参与互联网国际竞争和国际治理的迫切需要,深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要,二、网络安全法概述,保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织合法权益，促进经济社会信息化健康发展,在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。,2016年11月7日发布2017年6月1日起施行,范围,总览,定位,是互联网领域、网络安全的基础性法律。是党的十八大以来的又一部重要法律。,三、网络安全法整体框架,共7章79条网络安全法第二章至第五章分别从网络安全支持与促进、网络运行安全一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置五个方面，对网络安全有关事项进行了规定，勾勒了我国网络安全工作的轮廓：以关键信息基础设施保护为重心，强调落实运营者责任，注重保护个人权益，加强动态感知快速反应，以技术、产业、人才为保障，立体化地推进网络安全工作。,7,1,2,4,5,6,3,网络,四、网络安全法术语定义,计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。,通过网络收集、存储、传输、处理和产生的各种电子数据。,通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。,网络的所有者、管理者和网络服务提供者。网络运营者除了传统通过网络提供服务、开展业务活动的企业及机构如电信运营商、互联网企业外，还可能包括：银行、保险、证券基金等收集公民个人信息，同时又提供线上服务的金融机构；网络安全服务和安全产品的提供者；拥有网站并提供网络服务的企业等,以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。,网络安全网络运营者网络数据个人信息保密,存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。,五、条款解读,五、条款解读,第一条-第三条，明确了网络安全法的目的和适用范围以及国家所应承担的责任义务。,条款解读,第八条，给出了国家相关监管部门的分工，本法与其他法律的关系。第十条，强调了网络数据为保护重点。,条款解读,第十二条，明确了国家在保障网络安全中的任务和目标，同时对个人及组织使用网络也提出了要求。,条款解读,条款解读,第十五条，主要强化标准体系建设。第十六条，针对目前国家和企业在安全投入不足的问题提出了解决办法。,条款解读,第十九条，要求政府或相关部门通过多种形式对企业和公众开展网络安全宣传教育，提高安全意识。第二十条，鼓励企业、高校等单位加强对网络安全人才的培训和教育，解决目前网络安全人才严重不足问题。,条款解读,条款解读,第二十一条，明确了企业网络安全保护的义务和具体内容。,条款解读,第二十一条，主要是对我国网络产品厂商和服务提供商及他们所提供的产品和服务提出了具体的强制要求；第二十二条，主要是对网络关键设备和网络安全专用产品提出了强制性要求，相关企业在采购过程中要严格审核。,条款解读,第二十四条，提出了上网用户必须实名制。第二十五条，要求企业必须制定安全应急预案。,条款解读,第三十一条，定义了关键信息基础设施范围，以及实行重点保护要求。第三十三条，强调了企业在建设关键基础设施的三同步原则。,条款解读,第三十四条，对关键基础设施企业的具体安全保护内容提出了具体要求。,条款解读,第三十五条，要求采购方在采购的所有跟关键信息基础设施有关的产品及服务必须通过国家安全审查。第三十六条，采购方需要与供应商签订保密协议。,条款解读,第三十七条，对关键信息基础设施的数据存储办法给了明确定义，第三十八条，要求关键基础设施行业和业主每年必须做检测评估，并明确要求了评估方式和次数。,条款解读,条款解读,以上三条都是强调对个人信息的保护。要求网络运营者对个人信息要进行保护，任何人不得非法获取个人信息。,条款解读,第四十九条，要求网络运营者建立多种处理网络信息安全的投诉和举报方式及配合监管单位的义务。第五十条，赋予网信办等监管部门的的职责。,条款解读,条款解读,第五十一条，要求网信部门会统筹网监、国安、经信委及行业主管部门加强网络安全态势收集、分析、通报，并将通报机制上升为法律层面。第五十二条，要求关键信息基础设施业主设立安全保护部门，建立信息安全通报制度。,条款解读,第五十三条，行业、业主及部门需按要求建立健全风险评估和应急工作机制，同时按照信息安全事件分级制度制定相应的应急预案及应急处置措施，并组织演练、修正与持续改进工作。,条款解读,第五十六条，本条款的关键是“约谈”，提出了网络运营者要承担的义务。,条款解读,第五十七条，主要是明确发生事件和事故时，与其它相关法律的关系。第五十八条，特定区域、特定时间实行通信管制。,条款解读,条款解读,第五十九条，网络运营者和关键信息基础设施运营者拒不整改而造成的安全事件或事故，将对整个组织和事件直接责任人将处以罚款。加大了对关键信息基础设施的运营者处罚力度。,条款解读,第六十六条，关键信息基础设施运营者需要按照法律要求将数据境内存储，若业务需要需向境外传输的需国家网信部门会同国务院有关部门进行安全评估。,条款解读,第六十七条，对设立非法网站、通讯群组，发布违法信息进行处罚。第七十四条，对与违法将承担民事和刑事责任,综述,谢谢！,