第一篇:《网络安全法》解读系列之四——关键信息基础设施安全要求
《网络安全法》解读系列之四--关键信息基础设施安全要求
本系列针对关键信息基础设施安全条款和法律责任加以解读。这部分条款,提出了关键信息基础设施的范围,明确了与网络安全等级保护制度的关系,规定了关键信息基础设施保护的主要内容,以及在数据留存和提供方面的要求。
【第三十一条】
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。解读
本条款定义了关键信息基础设施的范围,强调了必须落实网络安全等级保护制度,并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。【第三十二条】
按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。解读
本条款说明了要制定关键信息基础设施安全规划,和谁来负责制定规划。【第三十三条】
建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。解读:
本条款说明了如何建设关键信息基础设施,强调了安全技术实施的三同步原则。适用法律责任:【第五十九条】 【第三十四条】
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。解读:
本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求;同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。
适用法律责任:【第五十九条】 【第三十五条】
关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。解读
本条款规定了采购网络产品和服务的非常态的国家安全审查要求。适用法律责任:【第六十五条】 【第三十六条】
关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。解读
本条款的核心是明确外包服务安全,强调签订安全保密协议。适用法律责任:【第五十九条】 【第三十七条】
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。解读
本条款是关键信息基础设施的一项核心条款,其关键是个人信息和重要数据境内存储和对数据跨境提供的专门要求;目标是解决个人信息和重要数据的数据安全问题,而对重要数据的解读虽然目前还没有明确的分类,相信未来会有相应的规定出台。
适用法律责任:【第六十六条】 【第三十八条】
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。解读
本条款的关键词是等级测评,风险评估,渗透测试。适用法律责任:【第五十九条】 【第三十九条】
国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。解读
本条款规定了国家网信部门关于承担统筹协调的工作要求。
具体法律责任条款
【第五十九条】 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。【第六十五条】 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【第六十六条】 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第二篇:关键信息基础设施安全保护条例
关键信息基础设施安全保护条例
(征求意见稿)
第一章 总则
第一条 为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。
第二条 在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。
第三条 关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。
第四条 国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。
国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。
县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。
第五条 关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第六条 关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第七条 任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。
收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章 支持与保障
第八条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。
第九条 国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。
第十条 国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。
第十一条 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。
第十二条 国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。
第十三条 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。
第十四条 能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第十五条 公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。
第十六条 任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:
(一)攻击、侵入、干扰、破坏关键信息基础设施;
(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;
(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;
(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;
(五)其他危害关键信息基础设施的活动和行为。
第十七条 国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。
第三章 关键信息基础设施范围
第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
第十九条 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。
国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。
关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。
第二十条 新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。
国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。
第四章 运营者安全保护
第二十一条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十二条 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。
第二十三条 运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;
(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密认证等措施。
第二十四条 除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:
(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;
(四)制定网络安全事件应急预案并定期进行演练;
(五)法律、行政法规规定的其他义务。
第二十五条 运营者网络安全管理负责人履行下列职责:
(一)组织制定网络安全规章制度、操作规程并监督执行;
(二)组织对关键岗位人员的技能考核;
(三)组织制定并实施本单位网络安全教育和培训计划;
(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;
(五)按规定向国家有关部门报告网络安全重要事项、事件。
第二十六条 运营者网络安全关键岗位专业技术人员实行执证上岗制度。
执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。
第二十七条 运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
第二十八条 运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。
运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。
第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。
第五章 产品和服务安全
第三十条 运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。
第三十一条 运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。
第三十二条 运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。
第三十三条 运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。
第三十四条 关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
第三十五条 面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。
具体要求由国家网信部门会同国务院有关部门制定。
第六章 监测预警、应急处置和检测评估
第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。
第三十七条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。
国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。
第三十八条 国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进网络安全信息共享。
第三十九条 国家网信部门按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。
国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织演练,提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案组织应对,并及时报告有关情况。
第四十条 国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测,提出改进措施,指导、督促运营者及时整改检测评估中发现的问题。
国家网信部门统筹协调有关部门开展的抽查检测工作,避免交叉重复检测评估。
第四十一条 有关部门组织开展关键信息基础设施安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。
运营者应当对有关部门依法实施的检测评估予以配合,对检测评估发现的问题及时进行整改。
第四十二条 有关部门组织开展关键信息基础设施安全检测评估,可采取下列措施:
(一)要求运营者相关人员就检测评估事项作出说明;
(二)查阅、调取、复制与安全保护有关的文档、记录;
(三)查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况;
(四)利用检测工具或委托网络安全服务机构进行技术检测;
(五)经运营者同意的其他必要方式。
第四十三条 有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第四十四条 有关部门组织开展关键信息基础设施安全检测评估,不得向被检测评估单位收取费用,不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。
第七章 法律责任
第四十五条 运营者不履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的网络安全保护义务的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第四十六条 运营者违反本条例第二十九条规定,在境外存储网络数据,或者向境外提供网络数据的,由国家有关主管部门依据职责责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十七条 运营者违反本条例第三十一条规定,使用未经安全审查或安全审查未通过的网络产品或者服务的,由国家有关主管部门依据职责责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条 个人违反本条例第十六条规定,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款;构成犯罪的,依法追究刑事责任。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本条例第十六条规定,受到刑事处罚的人员,终身不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。
第四十九条 国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接负责人员依法给予处分。
第五十条 有关部门及其工作人员有下列行为之一的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)在工作中利用职权索取、收受贿赂;
(二)玩忽职守、滥用职权;
(三)擅自泄露关键信息基础设施有关信息、资料及数据文件;
(四)其他违反法定职责的行为。
第五十一条 关键信息基础设施发生重大网络安全事件,经调查确定为责任事故的,除应当查明运营单位责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。
第五十二条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门、国家安全机关和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
第八章 附则
第五十三条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。
第五十四条 军事关键信息基础设施的安全保护,由中央军事委员会另行规定。
第五十五条 本条例自****年**月**日起施行。
第三篇:信息安全技术关键信息基础设施安全保障指标体系-全国信息安全
国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
2017年8月
第四篇:2020年关键信息基础设施网络安全检查自查报告
2020年关键信息基础设施网络安全检查自查报告范文(精选4篇)
难忘的工作生活已经告一段落了,回看这段时间的工作,有着一些问题,为此一定要做好总结,写好自查报告喔。相信许多人会觉得自查报告书很难写吧,以下是小编精心整理的2020年关键信息基础设施网络安全检查自查报告范文(精选4篇),供大家参考借鉴,希望可以帮助到有需要的朋友。
关键信息基础设施网络安全检查自查报告1根据《关于转发<关于开展20xx年六安市网络安全检查工作的通知>的通知》(区宣字〔20xx〕23号)的要求,椿树镇党委、政府高度重视并迅速开展检查工作,现将检查情况总结报告如下:
一、成立领导小组
为进一步加强网络信息系统安全管理工作,我镇成立了网络信息工作领导小组,由镇长任组长,分管副书记任副组长,下设办公室,做到分工明确,责任具体到人,确保网络信息安全工作顺利实施。
二、网络安全现状
目前我镇共有电脑32台,均采用防火墙对网络进行保护,并安装了杀毒软件对全镇计算机进行病毒防治。
三、网络安全管理措施
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
针对计算机保密工作,我镇制定了《椿树镇镇信息发布审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度,并定期对网站上的所有信息进行整理,未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》,确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理,并及时存档备份;此外,在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:
一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强干部职工在计算机技术、网络技术方面的学习,不断提高机关干部的计算机技术水平。
关键信息基础设施网络安全检查自查报告2根据《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》精神,9月10日,由市电政办牵头,组织对全市政府信息系统进行自查工作,现将自查情况自查如下:
一、网络与信息安全自查工作组织开展情况
9月10日起,由市电政办牵头,对各市直各单位当前网络与信息安全进行了一次全面的调查,此次调查工作以各单位自查为主,市电政办抽查为辅的方式进行。自查的重点包括:电政办中心机房网络检修、党政门户网维护密码防护升级,市直各单位的信息系统的运行情况摸底调查、市直各单位客户机病毒检测,市直各单位网络数据流量监控和数据分析等。
二、信息安全工作情况
通过上半年电政办和各单位的努力,我市在网络与信息安全方面主要完成了以下工作:
1、所有接入市电子政务网的系统严格遵照规范实施,我办根据《常宁市党政门户网站信息发布审核制度》、《常宁市网络与信息安全应急预案》、《常宁党政门户网站值班读网制度》等制度要求,定期组织开展安全检查,确保各项安全保障措施落实到位。
2、组织信息安全培训。面向市直政府部门及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3、加强对党政门户网站巡检。定期对各部门子网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4、做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保十八大期间信息系统安全。
三、自查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前还存在的一些问题:
1、部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。
2、少数单位的工作人员安全意识不够强,日常运维管理缺乏主动性和自觉性,在规章制度执行不严、操作不规范的情况。
3、存在计算机病毒感染的情况,特别是U盘、移动硬盘等移动存储设备带来的安全问题不容忽视。
4、信息安全经费投入不足,风险评估、等级保护等有待加强。
5、信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量。
四、改进措施和整改结果
在认真分析、自查前期各单位自查工作的基础上,9月12日,我办抽调3名同志组成检查组,对部分市直机关的重要信息系统安全情况进行抽查。检查组共扫描了18个单位的门户网站,采用自动和人工相结合的方式对15台重要业务系统服务器、46台客户端、10台交换机和10台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
五、关于加强信息安全工作的意见和建议
针对上述发现的问题,我市积极进行整改,主要措施有:
1、对照《衡阳市人民政府办公室关于开展全市重点领域网络与信息安全检查的通知》要求,要求各单位进一步完善规章制度,将各项制度落实到位。
2、继续加大对机关全体工作人员的安全教育培训,提高信息安全技能,主动、自觉地做好安全工作。
3、加强信息安全检查,督促各单位把安全制度、安全措施切实落实到位,对于导致不良后果的安全事件责任人,要严肃追究责任。
4、继续完善信息安全设施,密切监测、监控电子政务网络,从边界防护、访问控制、入侵检测、行为审计、防毒防护、网站保护等方面建立起全方位的安全防护体系。
5、加大应急管理工作推进力度,在全市信息安全员队伍的基础上组建一支应急支援技术队伍,加强部门间协作,完善应急预案,做好应急演练,将安全事件的影响降到最低。
关键信息基础设施网络安全检查自查报告3根据县政府办公室《xx县人民政府办公室转发县经信委关于开展信息网络安全专项检查的`工作方案和安徽省政府的网站安全事件信息报告制度的通知》(x政办[20xx]140号)的文件精神,我局高度重视,认真组织相关人员对我局的办公网络系统进行了全面检查,现将检查的情况报告如下:
一、自查情况
(一)信息网络安全组织落实情况。
成立了县卫生局信息网络安全工作领导小组,局长任组长,分管副局长任副组长,各医疗卫生单位主要负责人为成员,并设臵了专职信息安全员,做到了分工明确、责任到人。
(二)信息网络安全管理规章制度的建立和落实情况。
为确保信息网络安全,我局实行了网络专管员制度、计算机安全保密制度、网络安全管理制度、网络信息安全突发事件应急预案等以有效提高管理人员的工作效率。同时我局结合自身情况制定网络信息安全自查工作制度,做到四个确保:一是信息安全员于每周五定期检查单位计算机系统,确保无隐患问题;二是制定安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由信息安全员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习网络知识,提高计算机使用水平,加强安全防范。(三)技术防范措施落实情况。
一是制定了网络信息安全突发事件应急预案,并随着信息化程度的深入,结合我局实际,不断加以完善;二是严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员严格管理;三是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复;四是计算机由专业公司定点维修,并商定其给予应急技术支持,重要系统皆为政府指定的产品系统;五是涉密计算机经过了保密技术检查,并安装了防火墙。同时配臵安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。安装了针对移动存储设备的专业杀毒软件;六是涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机不和其它计算机之间相互共享。对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(四)执行计算机信息系统安全案件、事件报告制度情况。
严格按照《安徽省政府的网站安全事件信息报告制度》要求,由专职人员及时向有关部门报告。(五)有害信息的制止和防范情况。
截至目前,暂未发现我局门户网站及政府信息公开平台存在散播不当政治言论等有害信息的现象,并安排信息安全人员定期浏览排查,及时发现问题。加强对卫生系统工作人员的信息安全宣传教育,提高信息安全防范意识和应急处理能力。
(六)党政机关保密工作。
制定了县卫生局计算机及网络的保密管理制度。办公系统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(七)重要信息系统等级保护工作开展情况。
按照国家信息安全等级保护有关要求,全面开展卫生系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改。各单位对本单位信息系统进行定级,对二级以上的信息系统办理备案手续,对三级以上信息系统开展信息安全等级测评,根据测评结果,不符合要求的,制定了整改方案进行整改,并加强日常信息系统安全等级保护监督检查工作。
二、存在问题
根据《通知》的具体要求,在自查过程中也发现了一些不足,一是信息管理技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖信息系统安全的所有方面;三是个别职工保密意识还不够高,要加强防范意识;四是遇到计算机病毒侵袭等突发事件处理不够及时。
三、整改措施
针对以上自查中发现的隐患与不足,为进一步加强信息网络系统安全,应围绕信息系统安全综合治理的工作目标,重点在完善规章制度、丰富技术手段上下功夫,认真开展整改工作。
(一)强化应急响应机制建设。
制定周密的应急预案,加强应急技术支援队伍建设,认真做好应急演练、重大信息安全事故处臵、重要数据和业务系统备份等各项工作,确保信息系统安全正常运行。(二)强化制度保障。
一是以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;二是不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。(三)加强信息安全教育培训。
建议举办信息安全技术培训班,对信息安全管理人员进行集中培训,以增强安全防范意识和应对能力,进一步提高政府信息系统安全管理水平。(四)加强对单位干部的安全意识教育。
加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性,增强对计算机信息系统安全的防范和保密意识。关键信息基础设施网络安全检查自查报告4按照《关于组织开展非涉密网络保密管理专项检查的通知》(港北保发〔20xx号)文件要求,我局对非涉密网络保密管理工作十分重视,成立了专门的检查领导小组,制定了非涉密网络安全保密管理制度,并严格落实有关非涉密网络安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,现将开展检查工作汇报如下:
一、基本情况
我局非涉密网络属局域网类型,网络终端数量10台,网络使用部门有3个,即:局长办公室1台;党组书记、副局长办公室4台;局办公室5台。
二、保密管理情况
(一)是否对非涉密网络处理信息类别进行了明确规定,即:明确不允许存储、处理涉密信息。
检查情况:我局对非涉密网络处理信息类别进行了明确规定。
(二)是否制定了非涉密网络安全保密管理制度,制度内容是否符合国家有关保密法律法规。
检查情况:我局制定有非涉密网络安全保密管理制度,制度内容符合国家有关保密法律法规。
(三)是否对非涉密网络定期开展保密检查。
检查情况:我局定期组织对非涉密网络开展保密检查。
三、保密制度落实情况
(一)是否与涉密网络连接,连接控制措施是否符合保密要求。
检查情况:我局与互联网连接采用物理隔离,与其他涉密网络无连接。
(二)是否介入计算机及移动存储介质。
检查情况:我局无介入计算机及移动存储介质。
(三)是否在非涉密应用系统中存储、处理、传递涉密文件信息资料。
检查情况:我局没有在非涉密应用系统中存储、处理、传递涉密文件信息资料。
(四)是否在非涉密服务器和计算机终端上存储、处理涉密文件信息资料。
检查情况:我局没有在非涉密服务器和计算机终端上存储、处理涉密文件信息资料。
(五)是否落实政务公开保密审查制度。
检查情况:我局有落实政务公开保密审查制度。
第五篇:互联网 网络信息安全之关键 - 中国人民公安大学
校党委书记、校长程琳在国际大数据产业博览会暨全球大数据时代贵阳峰会上所作的主题报告: 互联网+网络信息安全之关键
——技术安全+管理安全
(校党委书记、校长程琳)
自互联网诞生以来,经过几十年时间出现了飞跃式的发展,互联网已不再是什么‚虚拟社会‛,现实社会的许多活动目前都需要通过互联网来实现,互联网已是现实社会的重要组成部分。它与现实社会既高度紧密相连交织又具有自己鲜明的特点,并形成了独具特色的网络社会。总书记提出了‚没有网络安全就没有国家安全,没有信息化就没有现代化‛的重要论断,指出了从网络大国走向网络强国的宏伟目标,使国家网络社会治理进入一个全新时期。
信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。李克强总理在政府工作报告中提出,‚制定‘互联网+’行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场。‛‚互联网+‛代表一种新的经济形态。
面对网络时代这个难得的历史机遇,我们必须保持战略清晰,始终清楚地看到,网络空间蕴含着新的生产力、文化力和
—1—
国防力,必须紧紧抓住并用好这个历史机遇。同时,也要清醒地认识到,网络空间的安全风险与国家安全和人民利益息息相关,网络攻击等安全问题严重影响国家关键基础设施正常运行,危害社会和谐稳定。必须高度重视网络安全问题,积极主动应对风险挑战,网络社会单靠技术做安全保障是远远不够的,安全技术是一种工具,是为安全管理服务的,必须同时加强管理来保障,坚持以依法治网为基础,加强技术安全和管理安全双轮驱动,实现网络信息安全的有力保障。
一、我国网络信息存在的主要安全问题
当前,我国互联网面临严峻的安全挑战,突出体现在基础设施受制于人、民族网络产业落后、网络犯罪预警体系尚未完善、网络应急保障不力、网络泄密频繁发生、网上谣言屡禁不止、网络恐怖活动猖獗、网络犯罪活动取证打击困难、网络社会安全管理顶层设计缺位等等。
网络信息的安全问题突出表现在以下七个方面:
(一)信息采集的安全问题
网络社会中网络服务商通过网站或客户端软件对网民个人的信息采集是一种普遍现象和行为,突出存在信息采集范围和内容没有有效约束,采集信息无法得到有效保护,缺乏法律制度保障。大量互联网应用在利用网络进行信息采集时覆盖过于广泛,无论是否应该采集,有没有权限,用户是否知情,采集都在进行。如淘宝、拍拍等在线商城理所当然地存储了大量用户的银行账户信息。采集个人信息的应用服务商主体缺少相
—2—
关安全意识,必要的安全技术措施、人员和经费的投入,无法有效保障采集信息的安全。
(二)网络信息传输的安全问题
网络信息在传输过程中存在信息被窃取和篡改的问题,尤其是在无线网络的传输环境下,网络传输中的信息安全问题更为突出。斯诺登事件表明在网络传输中进行数据窃听是一种现实威胁,而且窃听范围与内容非常广泛,与每位网民切身利益息息相关。
(三)网络信息存储的管理安全问题
随着云计算和大数据技术的发展与应用,网络信息存储的管理安全问题突出体现在网络存储的信息已经使网络信息成为‚巨无霸‛,信息的权限管理和访问控制及存储部位不详等面临的风险。网络信息的存储不可能无限扩大,同时有大量的无效、无用的垃圾信息占用了存储空间,网络信息存储的有效和安全管理存在重大困难和风险。网络信息的管理首先需要在存储设备的所有权和使用权分离的情况下确保对所存储信息的存储具体部位和权限的管理,即如何确保信息所有权、访问权的合法保护,如网络信息客服公司及技术人员利用维护服务职权窃泄信息。
(四)网络信息应用的安全问题
网络中存储着海量的信息,通过大数据分析可以发现和应用许多敏感信息。针对网站等网络应用的攻击与漏洞利用正在向批量化、规模化的方向发展,主要表现在撞库攻击越演越烈、—3—
全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击等。政府、企业信息及个人隐私得不到有效保护。据奇虎360相关数据统计表明,2014年全年扫描发现网站高危漏洞462.1万次,平均每天约13836次,拦截各类网站漏洞攻击7.0亿次,平均每天拦截漏洞攻击209.6万次。
(五)芯片、操作系统等核心技术被国外控制的问题 网络核心技术设备被美国等极少数国家掌握,我国没有掌控权。芯片、服务器、操作系统、搜索引擎等核心技术基本上都由美国等外国公司掌控。国外的技术和产品的漏洞使我国自主可控性差,这使得网络和系统更易受到攻击,面临着敏感信息泄露,发生系统停运等重大安全事件的安全风险。
(六)网络信息管理存在的安全问题
网络信息管理存在的安全问题主要有两个方面:一是网络社会管理的法律体系还不完善。对网络信息安全的依法管理缺少一个总法,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,相互衔接少,缺乏系统性和全面性。二是网络系统管理人员和网站管理人员的安全防范意识薄弱。大量案例表明网站与管理系统的主要安全问题一方面是安全管理不到位,出现疏漏,内部监管机制不健全;另一方面是一些比较低级的技术错误或人为的失误造成安全问题。日前,《经济参考报》对全球最大的漏洞响应平台——补天平台的数据梳理发现:近一年来,该平台显示的高校网站漏洞多达3495个,—4—
涉及高校网站1088个,其中至少有384个漏洞可能造成师生个人信息泄露。在被告知网站有漏洞后,96.8%高校网站无视安全漏洞的存在,94.6%的高校网站安全漏洞未被修复。
(七)网络信息安全专门人才缺乏问题
信息安全的管理保障和技术创新主要依靠专门人才,社会对网络信息安全专门人才有迫切需求,但目前在人才培养和选拔方面存在机制、体制和学科等问题。在网络信息安全人才培养方面,我国存在着很大缺口。人才培养数量与社会的需求极不适应。公安大学成立了网络安全保卫学院,在校的网络安全与执法专业本科生共960人,研究生60人,这与公安工作和队伍建设需求很不适应。网络信息安全人才紧缺的问题已经成为当前严重制约信息安全产业发展的瓶颈。
二、网络信息发生安全问题的主要原因
网络社会的安全问题成因非常复杂,从不同角度看都有其深层次的原因,综合而言,主要可以从社会、技术和管理三个角度进行系统分析。
(一)国家利益方面的原因
网络经济蓬勃兴起,网络安全环境挑战不断,网络空间国际交流更加频繁,网络博弈更加激烈,网络安全已成为国家安全的重要组成部分,网络空间军事化趋势明显,已经成为陆海空天之外的第五大主权领域。近年来,全球的网络攻防演习如火如荼,产业界也不甘落后,已有多场次技术性攻防演练,这对网络安全产生的影响引发不少业内人士和社会的关
—5—
注。
(二)政治宗教和民族方面的原因
民族分裂势力、宗教极端势力、暴力恐怖势力这‚三股势力‛疯狂地利用网络进行蛊惑宣传、文化渗透、教唆犯罪、勾联作案、资金流转、网络攻击、信息窃密等威胁网络安全的违法犯罪活动。
(三)为达到特定目标的有组织犯罪原因
互联网由于其自身的便捷性和隐蔽性,已经成为有组织犯罪的主要场所和工具,主要用于走私毒品、洗钱、网络犯罪等。有组织犯罪‚转战‛互联网的组织数量激增,互联网犯罪成为‚主流‛。
(四)为获取商业经济利益的原因
在巨大商业利益的驱动下,越来越多的商业利益集团或犯罪分子利用互联网获取商业经济利益,DDoS、信息窃密等各类攻击越来越频繁。现在的DDoS攻击小组大多都有很专业的网络安全知识,他们通过挖掘攻击目标的网络协议漏洞、网络产品服务特点等,使攻击越来越具专业性和针对性,也使得攻击的防护难度越来越大。
(五)追逐个人名利的原因
大部分的媒体习惯将‚黑客‛指作电脑侵入者,早期的黑客主要以‚炫耀‛技术为主。而近些年,黑客们日益将注意力聚焦到网络安全存在的重大隐患和解决方案上。黑客中的许多人不再满足于‚独行幽灵‛的身份,而是更多介入商业利益或
—6—
被政府吸纳,投入网络攻防战。
(六)网络信息在规划、设计、建设、应用和运行管理等环节存在漏洞等原因
过去政府部门、行业、企业、事业单位等在建设网络系统时往往重建设、轻应用、少安全,缺乏在规划设计网络系统时将建设、应用、安全、管理等统筹考虑、顶层设计,以致出现在运行中不断增加新的应用功能,对出现的问题不断打补丁等,形成了葡萄串,出现漏洞多,网速慢,不安全等。
(七)网民缺乏信息安全意识以及没有采用有效保护技术和方法等原因
目前,一些网民虽有一定的认知网络安全知识,但大多数网民对网络信息安全的防范意识和技术防范能力差,更没有将网络安全知识有效转化为安全防范意识,更少落实在网络信息安全的行为上。网民对电脑系统、运行体验、经济损失等实实在在可以感受体验的可见安全危害更加关注,而对网络信息隐私等不可见或危害具有潜伏期危险的感知较低。而且,大部分人只有在涉及金钱等重要信息时,才会有将安全意识转化为实实在在的防范行为。
(八)专门人才的培养不够的原因
我国信息安全学科的人才培养计划、课程体系和教育体系还不完善,信息安全学科的院校的实验条件落后,信息安全学科专业人才数量不足、水平不高。目前我国信息安全人才队伍建设还不够系统化、规模化、体系化,各自为战,没有形成合—7—
力。
三、从技术安全方面保障好网络信息安全
(一)规划设计具有中国特色的自主可控的下一代互联网,将无线网络和有线网络有机融合
抓紧制定国家网络空间战略规划和顶层设计,维护国家网络空间主权,保障网络信息安全,充分利用网络社会的优势和特点,为国家全面深化改革,实现中华民族伟大复兴的中国梦服务。注重移动网络与有线网络的有机融合技术和能力。新一代网络需要注重通信终端在异构网络之间的无缝快速移动,支持丰富多样的终端接入,支持大规模的分布式泛在服务的能力研究,使网络就在用户身边。
(二)将网络信息建设、应用、管理和安全统筹规划,同步做好顶层设计
当前的安全技术是伴生技术,信息技术出现在前,安全技术通常伴随着安全问题的出现而产生。在规划设计新一代互联网、大数据、云计算、物联网时,一定要把‚建设、应用、安全‛三位一体进行顶层规划设计,同步构建安全性框架,在各种网络组件中架构安全性平台。
(三)将涉及互联网的相关核心技术的研发等作为国家重大工程来抓
解决互联网的信息安全和其他负面问题,不能依赖国外技术,唯有依靠自主创新才能取得主动、主导和自主权利。通过实施国家科技重大专项,在网络信息软、硬件技术领域通
—8—
过核心技术突破和资源集成,开展未来网络技术发展的原创性研究,争取在网络基础理论、高速传输技术、安全体系及监控、网络实名、预警技术体系、网络犯罪侦查取证关键技术、服务模型和管理等新一代网络核心技术领域竞争中掌握更多核心技术及话语权。
(四)以密码技术为核心做好网络信息安全的系统性研究
强化密码技术在网络信息安全保密中的支撑作用。应大力推动新型安全密码算法、高速密码算法、数据加密、密钥安全管理等密码技术在重要信息系统安全保密中的应用,保证网络信息在采集、传输、应用、存储等方面的安全。强化密码在保障电子政务、电子商务和保护公民个人信息安全等方面的支撑作用。
(五)加强网络信息安全系统综合技术研发,构建安全保障天网
加强网络信息安全预防、预警、控制、处臵和电子数据鉴定的关键技术研发。提高应对网络安全新风险的技术预防能力,加强协同联动的网络安全主动防御体系的技术能力研究;通过对异常动态和异常活动轨迹的分析,形成网络空间威胁实时检测、全局感知、预警防控技术能力;实现对我国互联网安全态势的整体技术控制把握;掌控准确定位、及时有效应对网络安全问题的处臵技术;研制网络犯罪侦查取证和电子数据鉴定综合技术平台,为侦查和证明犯罪提供线索和证据。
—9—
四、从加强管理方面保障网络信息安全
网络信息安全按照‚管理安全与技术安全并重‛的指导思想,安全管理与安全技术在网络信息安全领域中具有同等重要的地位。为切实提升我国网络与信息安全管理能力和水平,应突出加强以下几个方面的工作:
(一)加强国家法律保障
从我国网络社会安全形势出发,要落实中央提出的‚总体国家安全观‛,建议制定《国家网络信息安全法》。面对日趋复杂和严峻的国际国内网络安全形势,党的十八届三中全会提出了‚加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全‛的要求,网络空间安全的立法需进一步加速。需尽快研究制定《国家网络信息安全法》,确定网络信息安全法制的总体框架,成为统领我国网络信息安全的综合性法律。迫切需要加强网络社会法学研究,切实提高立法质量和水平,加大法律宣传,创建‚依法建网、依法用网、依法管网‛的网络法治社会,保证网络社会依法、规范、有序、通畅、安全、文明运行。
(二)国家有关部门法规保障
进一步明确网络信息安全管理责任,逐步实现网络社会管理有法可依、有章可循、依法治理、依法处罚、权责明晰的目标。进一步加强国家和各级政府部门对网络安全的领导和协调职责,建立运转顺畅、协调有力、分工合理、责任明确的网络信息安全管理体制。进一步坚持政府主导,行业自律的原
—10—
则,明确运营商、电商、网站服务商等企业在网络信息安全方面应负的社会和法律责任。
(三)国家重点系统、部门特殊保障
对于国家重点系统、重要部门的网络信息系统和基础设施要严格执行等级保护的有关规定,加强监督检查,实行更为严格的信息安全等级保护管理制度保障。比如军队、公安、金融等领域的网络信息安全要从物理上同外界进行完全隔离,杜绝从外部入侵的威胁。要制定严于一般行业的内部管理制度,加强从业人员的教育和管理,防止内部防御力的瓦解。要采取更高规格的信息安全等级保护措施,给予不同人员相应的权限,加强监督制约,达到层层管控,时刻严密关注网络信息安全动态,及时有效处臵和保障网络信息安全。
(四)运营商、电商、网站等网络社会主体责任保障 加强网络社会综合治理,通过制定法律和规章,明确政府相关部门、企业、行业、网民等在网络社会要承担的法律和社会责任,各负其责,齐抓共管,动员网民参与网络社会的管理监督,共同参与网络治理。
(五)网络社会主体部门内部管理制度保障
在网络信息安全管理过程中应建立重点岗位和重要人员的特殊管理保障制度。在国家机关、涉及国计民生的行业以及数据信息大量集中的互联网企业范围内,确定网络信息安全保护的重点岗位和重要人员,明确重点岗位和重要人员的保密义务和责任,明确规定他们在网络信息安全管理中应用处理信息
—11—
的管理权限,实施不同强度的监督管理,如加强对网络信息客服公司及技术人员的监督管理,签订诚信保密责任书等。
(六)网民的自律保障
加强网民网络信息安全的法治和安全意识教育及养成。要切实增强广大网民的法治意识,普及网络信息安全法律知识,使广大网民懂得上网要遵守法律和社会公德,网络社会不能想怎么说就怎么说,想怎么干就怎么干,要守法遵规,不能以自己的自由侵犯他人的权利,网民要善于运用网络法律武器保护自身权益,同各种网络信息违法犯罪行为作斗争。
(七)网络信息安全特殊人才的保障
要切实加强网络信息安全人才队伍建设,要把造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队作为国家的战略任务来抓,切实把人才资源汇聚起来,建设一支政治强、业务精、作风硬的强大队伍。教育部门应树立与时俱进的教育观念,尽早启动网络和信息安全教育计划,加大网络信息安全人才培养,加强网络信息安全理念和知识的宣传,要从中小学学生抓起,从最根本处着手,提升网络和信息时代的国家安全。
五、总结
我国互联网具有网民最多、发展最迅速等特点,如何不断加强网络信息安全,建立具有中国特色的网络社会治理途径和方法的探索将是一个长期实践和不断完善的过程。当前网络社会与现实社会相互交织和相互影响,我国的社会治理改革进入
—12—
深水区,面临转型发展的机遇和挑战,网络社会的治理迫切需要勇于创新发展。在我国的网络社会治理的实践探索中应始终高举中国特色社会主义的伟大旗臶,利用互联网等信息技术的优势服务‚四个全面‛,立足我国实际,同时又兼具全球视野,通过技术安全和管理安全的‚双轮‛保障,建设国家网络与信息安全保障体系,提升网络与信息安全保护能力,维护网络社会和谐稳定,保卫国家网络空间主权安全。
—13—