新技术论坛
搜索
查看: 385|回复: 0

[学习资料] 《网络安全法》正式开始实施了,快来看看你有没有违法

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    发表于 2017-6-1 09:47:27 来自手机 | 显示全部楼层 |阅读模式
    《中华人民共和国网络安全法》在2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,明天终于开始正式实施了。以前网络安全工作没做好,可能只是工作做的不到位,从明天开始,网络安全工作没做好,可不仅是工作没做到位,很可能就是违法了,违反了网络安全法。不得不等今天罗列下一些和我们工作息息相关的条款,看看大家是否落实了,落实了就继续保持并不断完善,没落实的需要抓紧落实,安全工作需要做在前,不要等到出事再去补救,那样会很被动。

    一、关于网络安全的要求
    第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。


    第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

    (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

    (四)采取数据分类、重要数据备份和加密等措施;

    (五)法律、行政法规规定的其他义务。

    不得不等解析:第十条说的非常泛而抽象但是实际内容不少,第一,我们要采取必要的技术措施和其他必要措施,保障网络安全。这样的话可以做很多事但是又得有选择的做,记住是必要的,哪些是必要的,大家看完文章可以自己去领会总结;第二,要维护网络数据的完整性、保密性和可用性。这里面涉及大量工作要做,完整性和保密性是不是要考虑数据的加密和操作审计?可用性是不是要考虑系统的安全、数据的备份和系统的应用容灾?第二十一条说的就很具体,操作性比较强,首先国家实行网络安全等级保护制度,重要的系统需要做等保工作,不做等保就是网络安全义务履行不到位,这条必然是不满足;其次还需要有自己的管理制度,明确网络安全责任人,落实网络安全责任,目前看来不少单位面临着管理制度不全,网络安全责任人不明确的问题;另外要有应对计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。这里必须要有杀毒软件、防毒墙类似的防病毒措施,防止网络攻击和网络侵入等危害必须要有防火墙,入侵防御或入侵检测类安全设备,网站类应用需要有Web应用防火墙设备,这是必要必须的,其他一些技术措施也是可以防止网络攻击和网络侵入,如漏扫、APT、堡垒机、数据库审计等等;再其次,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;这里明确了要有技术措施能够监测、记录相关日志且保留不少于6个月,不得不等认为日志审计类设备是很好地满足了这个要求,单靠服务器、网络安全设备及应用自身日志只能部分满足这个要求;最后,采取数据分类、重要数据备份和加密等措施;这里明确的是数据的安全防护,数据备份系统是肯定需要做的。

    二、关于关键信息基础设施的要求

    第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

    第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

    (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

    (二)定期对从业人员进行网络安全教育、技术培训和技能考核;

    (三)对重要系统和数据库进行容灾备份;

    (四)制定网络安全事件应急预案,并定期进行演练;

    (五)法律、行政法规规定的其他义务。

    第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

    不得不等解析:画了一个大框,罗列了一些重要的行业是存在关键信息基础设施的,关键信息基础设施是建立在网络安全等级保护制度基础之上的,必须要做等保,目前主流的观点是三级及以上系统才有可能是关键信息基础设施,当然一些定级偏低实际很重要的系统也会包含在内。关键信息基础设施除了第二十一条要求之外还需要做到:1、需要有专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;对从业人员进行定期培训,技术考核;这里明确了安全管理机构和责任人,需要进行背景审查,防止敌对分子或者别有用心的人潜入有关键信息基础设施单位;2、重要系统和数据库进行容灾备份;这里不仅仅是数据备份了,还需要做到应用及数据库的容灾备份,这里没有说是本地还是异地容灾备份,不都不等建议先有了再说,有条件的就做异地容灾备份;3、制定网络安全事件应急预案,并定期进行演练;这里明确了要有网络安全事件应急预案,就像前段时间的“wannacry”勒索病毒,好多单位都要求周一上班,先断网检查,确定没问题后再接入网络,这也是应急内容的一部分。提醒各位朋友,网络安全应急预案一定要有,要重视。网络安全法不只一处提到了应急预案,如25、53、55等条款都有。出了安全事件处置不恰当不及时导致事情更严重或者损失比较大时,就明白应急预案的重要性和必要性了。

    三、关于个人信息安全的要求

    第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

    第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

    不得不等解析:关于个人信息安全的条款其实还有不少,就不一一罗列了,挑了一部分,需要注意的是要有相关管理制度对用户信息管理维护进行规范,要有技术措施和其他必要措施确保个人信息安全,防止泄露、毁损、丢失,安全措施可以参照之前的21条和34条进行防护,重点强调一点做好数据备份很重要,再拿这次的“wannacry”勒索病毒来说,要是真中了,数据无法恢复了,是不是就是没有保管好个人信息安全,造成了数据的毁损和丢失?另外发生了相关安全事件后,要采取补救措施,并进行报告,这里既有技术措施也有应急预案的一些要求,所以应急预案一定要有。补充一点应急预案在等保里是有明确要求的,如果你们单位等保认真做了,应急预案不是事。

    四、如何处罚

    第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

      关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

    第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

    第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

    第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

    第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

    不得不等总结:具体如何执行、如何确定是否违法、处罚多少目前不能确定,但是肯定会有单位会被依据网络安全法进行处罚,处罚的大概方式有:1、单位罚款1-100万元,主管人员和其他直接责任人员罚款0.5-10万元;2、对个人信息造成损害有违法所得的,处违法所得一倍以上十倍以下罚款,没有违法所得的,参照之前的罚款标准;3、记入个人信用档案并进行公示;4、国家机关政务单位有不履行网络安全保护义务的,上级主管部门责令进行改正,并对相关责任人员进行处分;5、除民事责任外,违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。看看这些处罚措施还是比较严的,大家务必做好自己的工作,不要以身试法。




    这是今天在群里看到的信息,人民网呼声被黑,刚刚试了下网站目前还是打不开,估计还在处理这事,这是在网络安全法正式实施前夕发生的事,这是在向网络安全法挑战吗??人民网啊,你都敢黑?人民网啊,都能被黑?有多少单位敢说我的网站比人民网更重要,我们的安全工作比人民网做的还好?所以,同志们,网络安全工作任道重远,对比今天不得不等列出的一些条款,看看哪些还没做,分清重点,抓紧落实,踏实做好自己应该做的工作,防患于未然,保护网络安全就是保护国家安全,没有网络安全就没有国家安全。
    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|新技术论坛由 中国讯网 版权所有 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2018-1-20 13:08 , Processed in 0.316565 second(s), 20 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表