长篇鬼故事 - 网络安全法全文 《网络安全法》2017年6月1日正式实施

网络安全法背景自2017年6月1日起，《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施。从宏观角度来看，这意味着网络安全与国土安全和经济安全是一样的。成为国家安全的重要组成部分；从微观层面来看，这意味着网络运营商(网络所有者、管理者和网络服务提供商)必须承担执行网络安全的责任 《网络安全法》是我国第一部全面规范网络间安全管理的基本法空，对“赛博”进行了重新定义，是指“由计算机或其他信息终端及相关设备按照一定的规则和程序对信息进行收集、存储、传输、交换和处理的系统”，含义更广。 作为一部基本法，它与以前看到的各部门的规定有着根本的不同，它明确规定，不履行相应的责任和义务，将受到法律的惩罚 刑罚也从不同角度进行了细化和澄清。特别是负责人或直接负责人会受到处罚。构成犯罪的，依法追究刑事责任 网络安全管理趋势近年来，我国网络安全形势发生了很大变化。中国是一个名副其实的网络强国，拥有世界上最多的互联网用户，积极的网络创新，越来越多的企业以互联网为基础，网络已经融入经济和社会生活的各个方面。 但与此同时，中国也是网络安全事件的重灾区。网络攻击越来越频繁，个人信息泄露也越来越频繁 因此，《网络安全法》的颁布对我们每个网络服务提供商和网民都有非常积极的帮助 接下来，我们重点分析《网络安全法》的关键章节及相关规定 1.网络安全法“不止于此” 《网络安全法》是我国网络安全管理的基本法。后续还有一系列细则，需要根据企业本身的整体行业来执行。总体而言，国家将加大网络安全管理力度 2.信息安全改变网络安全 很多企业往往只注重信息安全或内容安全，而对网络安全缺乏重视。两者虽然有一定的交集，但在范围、管理模式、技术手段等方面存在较大差异 3.强调保护个人信息和隐私 《网络安全法》实施后，个人信息的收集和使用将得到规范，使企业关注的焦点从简单的“数据安全”扩展到影响更广的“个人隐私保护” 4.对违规行为的处罚更加严厉 对拒不履行安全责任的网络经营者，明确处罚措施，包括暂停经营活动、严重违法行为将导致停业整顿或吊销执照、罚款最高100万元、对直接责任人罚款等。 《网络安全法》解读与应对网络运营的基本安全要求涉及行业:事业单位、国有企业、媒体、金融电商游戏、社交网站...《网络安全法》第二十一条规定，国家实行网络安全等级保护制度 网络经营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保护网络不受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被盗、篡改:1 .制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；2.采取技术措施，防范计算机病毒、网络攻击、网络入侵等危及网络安全的行为；3.采取技术措施监控和记录网络运行状态和网络安全事件，并按规定保存相关网络日志不少于六个月；4.采取数据分类、重要数据备份、加密等措施；法律、行政法规规定的其他义务 条款解释:本条款所称网络安全等级保护系统是公安部运营多年的信息系统安全等级保护系统。《网络安全法》的出台也加强了对实施点对点保险的要求。做这种保险是违法的。 1.安全管理:网络运营商需要明确企业内部网络安全的责任，通过完善的规章制度和操作流程，为网络安全提供制度保障；2.技术层面:网络运营商应采取事前防范、事中应对、事后跟进等多种技术手段应对网络攻击，降低网络安全风险 值得注意的是，博客的保留期已明确要求不少于六个月；3.数据安全:网络运营商需要备份和加密重要数据，以确保数据的可用性和保密性 如何根据自身实际情况建立有效的安全管理体系，如何在技术层面选择合理的技术解决方案，如何加强自身的数据保护能力，将成为网络运营商关注的关键问题 对策:以此方案为基础，从主机层、网络层和应用层形成整体的防入侵措施 网络层具有抵御大流量DDoS攻击和CC攻击的能力，避免网络攻击造成的业务中断或无法访问 实现安全监控和安全分析，实时发现网络入侵行为 处罚:网络经营者拒绝执行本条款要求，造成网络安全损害的，处以1万元以上10万元以下罚款，对直接负责的主管人员处以5000元以上5万元以下罚款 应急计划和响应要求涉及行业:公共机构、国有企业、媒体、金融电子商务游戏、社交网站...《网络安全法》第二十五条规定，网络经营者应当制定网络安全事件应急预案，及时应对系统漏洞和计算机病毒。网络攻击、网络入侵等安全风险；一旦发生危及网络安全的事件，立即启动应急预案，采取相应的补救措施，并按规定向相关主管部门报告 说明:该条款的提出也是完善安全技术体系的一个非常重要的部分，应对能力的建设是当前网络运营商的一个普遍弱点 缺乏事件危害评估、应急预案、处置措施、报告流程等一系列规范，或者有规范，但当出现网络安全事件时，发现应急预案根本无法发挥作用 在公有云或运营型政府云上，有完整的安全运营体系。当发生大规模网络安全事件时，安全运营团队会在第一时间处理相关问题 或者使用云盾管家服务为网络运营商的业务制定应急计划和定期演练 应对策略:基于阿里巴巴云多年的安全最佳实践经验，建立云用户应急预案，及时处理网络安全问题，确保用户业务安全 它可以在您的系统受到黑客攻击时提供快速、专业的应急响应，包括入侵行为调查、病毒木马查杀、入侵原因分析和入侵影响评估，帮助客户正确应对黑客攻击，减少攻击造成的安全损失。 处罚:网络经营者拒绝执行本条款要求，造成网络安全损害的，处以1万元以上10万元以下罚款，对直接负责的主管人员处以5000元以上5万元以下罚款 政府安全治理涉及行业:政府机构和事业单位的公共服务职能部门...《网络安全法》第三十四条规定，除本法第二十一条规定外，重点信息基础设施运营者还应当履行以下安全保护义务:1 .设立专门的安全管理机构和安全管理领导，对领导和关键岗位进行安全背景检查；2.定期对员工进行网络安全教育、技术培训和技能考核；3.重要系统和数据库的容灾备份；4.制定网络安全事件应急预案，并定期进行演练；法律、行政法规规定的其他义务 解读:关键基础设施的安全风险极具破坏性和致命性。《网络安全法》对关键信息基础设施的运行安全以及建立网络安全监测、预警和应急系统作出了明确规定 应对策略:阿里政府云是针对政府行业量身定制的、安全合规的政府专用云资源服务平台，提供比公共云更高级别的安全保障。已获得认证，免费为政府云用户提供WAF、Knight、态势感知、DDOS10G防护等7项高级安全服务。 处罚:未履行本法有关规定的网络安全保护义务，拒不改正或者造成危害网络安全等后果的，处以10万元以上100万元以下罚款，对直接负责的主管人员处以1万元以上10万元以下罚款。 个人信息保护涉及行业:事业单位、通信媒体、金融医疗电商游戏...《网络安全法》第四十一条、第四十二条、第四十三条规定:第四十一条:网络经营者收集、使用个人信息。应当遵循合法性、正当性和必要性原则，公开收集和使用规则，明确标明收集和使用信息的目的、方法和范围，并经被收集人同意。 网络经营者不得违反法律、行政法规的规定和双方的约定，收集与其提供的服务无关的个人信息，收集和使用个人信息的，应当按照法律、行政法规的规定和与用户的约定处理其存储的个人信息 第四十二条:网络经营者不得泄露、篡改或者损害其收集的个人信息；未经被收集者同意，不得向他人提供个人信息 但是，经过处理后，无法识别特定的个人，也无法恢复。 网络经营者应当采取技术措施和其他必要措施，确保其收集的个人信息的安全，防止信息泄露、损坏或者丢失 当个人信息被泄露、损坏或丢失时，应立即采取补救措施，并及时通知用户，按规定向有关主管部门报告 第四十三条个人发现网络经营者违反法律、行政法规的规定或者双方约定收集、使用个人信息的，有权要求网络经营者删除其个人信息；如果发现网络运营商收集和存储的个人信息有误，有权要求网络运营商予以纠正 网络运营商应采取措施删除或纠正它们 解读:从这三条可以看出，《网络安全法》侧重于个人信息的披露，明确了网络产品服务提供者和经营者的责任 严厉打击个人信息的出售和销售，将对保护公众个人信息安全起到积极作用 除了严格防止个人信息泄露，《网络安全法》还规定，任何个人或组织不得建立用于实施欺诈、教授犯罪方法、生产或销售违禁物品和受管制物品等非法和犯罪活动的网站和通信团体。不得利用互联网发布、实施欺诈，不得制作、销售违禁物品、管制物品等违法犯罪活动信息 应对策略:阿里巴巴云提供从数据传输安全、数据存储加密到数据使用安全三位一体的个人信息保护局面 个人隐私敏感数据的检测和识别出现在网站页面上，并给出预警和屏蔽敏感信息等进一步的保护措施，以避免网站业务数据的泄露 处罚:违反本法第二十二条第三款、第四十一条至第四十三条规定，侵犯个人信息依法受保护的权利的，由有关主管部门责令改正，可以给予警告，没收违法所得，并处违法所得一倍至十倍的罚款。没有违法所得的，处以一百万元以下的罚款，对直接负责的主管人员和其他直接责任人员处以一万元以上十万元以下的罚款；情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关营业执照或者吊销营业执照 同等保险评估涉及行业:政府、J机构、媒体公共服务部门、金融……网络安全法第38条规定，重点信息基础设施运营者每年至少一次自行或委托网络安全服务机构对其网络的安全性和可能存在的风险进行检查评估。将测试评估情况及改进措施提交负责关键信息基础设施安全保护的相关部门进行解读:确定关键基础设施单元，每年至少需要对其网络的安全性和可能存在的风险进行一次测试评估。等级保护评估至少在技术上可以满足这一要求，等级保护评估是对本单位重要信息系统的安全测试和评估。 应对策略:阿里巴巴云帮助重点基础设施运营商，提供综合等级评估服务，快速通过公安部要求的“信息系统安全等级保护”评估 阿里巴巴云的合作伙伴——省市保险检测中心为您提供专业服务 处罚:不履行本条款网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者造成危害网络安全等后果的，处以10万元以上100万元以下罚款，对直接负责的主管人员处以1万元以上10万元以下罚款