网络安全法课件2017

年中华人民共和国网络安全2017法解读目录010203立法背景与意义法律框架与主要内容网络安全等级保护制度探索网络安全法诞生的时代背景梳理法律的整体结构与核心条文理解分级保护的实施要求040506关键信息基础设施保护个人信息与数据安全法律责任与执法案例保障国家核心网络设施安全维护公民数字权益了解违法后果与实际案例网络安全未来展望第一章立法背景与重大意义在全球网络空间日益复杂的背景下中国迎来了网络安全法治建设的历史性时刻这部法律的出台标志着中国网络空间治理进入新纪元为维护国家安,,全、保护公民权益、促进经济社会信息化健康发展提供了坚实的法律保障网络安全的时代挑战全球网络威胁激增中国面临严峻形势年全球网络攻击事件呈爆发式增截至年底中国互联网用户规模已20162016,长经济损失高达数千亿美元勒索软超过亿网络渗透到社会生活的方方,8,件、攻击、数据泄露等安全事件面面与此同时网络安全风险日益凸DDoS,频发对全球经济和社会稳定构成严重显从个人信息泄露到关键基础设施遭,,威胁受攻击安全挑战无处不在,法律保障迫在眉睫在没有完善法律体系的情况下国家安全、公民权益、企业利益都难以得到有效保,护制定一部综合性的网络安全法律成为时代的迫切需求也是国家治理体系现代化,的必然要求立法历程关键节点12016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议审议通过《中华人民共和国网络安全法》标志着中国网络空间法治建设取得重大突破,22017年6月1日网络安全法正式施行成为中国首部全面规范网络空间安全管理的基础性,法律该法的实施体现了总体国家安全观为网络强国战略提供了有力的,法律支撑3里程碑意义这部法律的颁布实施不仅填补了中国网络安全领域的立法空白更推动了,,网络空间法治化进程为构建安全、清朗的网络环境奠定了坚实基础,网络安全威胁无处不在在互联互通的数字世界中每一次点击、每一条信息都可能成为安全隐患的入口网,络安全已不再是技术问题而是关系国家安全和每个人切身利益的重大课题,第二章法律框架与核心内容概览网络安全法构建了一个完整的法律体系从基本原则到具体制度从主体责任到法律后果,,,全方位规范网络安全工作理解这个框架是深入把握法律精神的关键网络安全法七大章节结构总则1明确立法目的、适用范围、基本原则和各方职责,为整部法律奠定基础网络安全支持与促进2规定国家对网络安全的支持政策、标准体系建设、人才培养等促进措施网络运行安全3建立网络安全等级保护制度,明确网络运营者的安全保护义务网络信息安全4保护个人信息,规范网络信息传播秩序,维护网络空间清朗监测预警与应急处置5构建网络安全监测预警和应急处置机制,提升防范和应对能力法律责任6明确各类违法行为的法律后果,包括行政处罚、刑事责任等附则7规定法律的解释权、施行日期等补充性条款重点条文解读一第九条第十条第十二条网络运营者的安全义务网络建设与服务保障保障合法网络使用权利网络运营者开展经营和服建设、运营网络或者通过国家保护公民、法人和其务活动必须遵守法律法网络提供服务应当依照他组织依法使用网络的权,,规尊重社会公德遵守商法律、行政法规的规定和利促进网络接入普及提,,,,业道德诚实信用履行网国家标准的强制性要求升网络服务水平为社会提,,,,络安全保护义务接受政采取技术措施和其他必要供安全、便利的网络服务,,府和社会的监督承担社措施保障网络安全、稳保障网络信息依法有序自,,会责任定运行由流动这一条确立了强调技术措施平衡安全与发运营者作为网与管理措施并展保护公民的,络安全第一责重的安全保障网络权益任人的地位理念重点条文解读二第十四条:举报权利与保护第十五条:标准体系建设第十六条:产业扶持政策任何个人和组织有权对危害网络安全的行为国家建立和完善网络安全标准体系国务院国务院和省、自治区、直辖市人民政府应当向网信、电信、公安等部门举报收到举报标准化行政主管部门和国务院其他有关部门统筹规划加大投入扶持重点网络安全技术,,的部门应当及时依法作出处理不属于本部门根据各自的职责组织制定并适时修订有关网产业和项目支持网络安全技术的研究开发和;,,职责的应当及时移送有权处理的部门络安全管理以及网络产品、服务和运行安全应用推广安全可信的网络产品和服务保护,,,的国家标准、行业标准网络技术知识产权支持企业、研究机构和高,有关部门应当对举报人的相关信息予以保密,等学校等参与国家网络安全技术创新项目保护举报人的合法权益国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定第三章网络安全等级保护制度等级保护制度是网络安全法确立的核心制度之一它根据网络的重要程度和面临威胁的差,异实施分级分类保护确保安全资源的合理配置和高效利用,,等级保护制度简介第一级:自主保护级适用于一般网络被破坏后对公民、法人和其他组织的合法权益有一定影响但不危害国家安全、社会秩序和公共利益,,第二级:指导保护级被破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不危害国家安全,,第三级:监督保护级被破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害大多数重要信息系统属于此级别,第四级:强制保护级被破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害涉及国家重要领,域的核心系统第五级:专控保护级被破坏后会对国家安全造成特别严重损害适用于国家最核心、最敏感的信息系统,实施最严格的安全保护措施不同等级对应不同的安全保护措施要求运营者必须严格落实相应等级的安全责任和技术防护标准确保网络安全稳定运行,,等级保护的具体要求1制定安全管理制度建立健全网络安全管理制度和操作规程,明确网络安全负责人,落实网络安全保护责任管理制度应覆盖人员管理、系统建设、运维管理、应急响应等各个方面2防范病毒与攻击采取防范计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施部署防火墙、入侵检测系统、防病毒软件等安全设备,定期进行安全扫描和漏洞修复3监测日志与留存采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月日志应包括用户行为、系统事件、安全事件等关键信息4数据分类与保护采取数据分类、重要数据备份和加密等措施,确保数据的完整性、保密性和可用性建立数据安全管理制度,防止数据泄露、毁损、丢失网络安全等级保护实施流程从系统定级、备案、建设整改、等级测评到监督检查等级保护制度形成了一个完整的闭,环管理体系确保各级网络系统都能得到与其重要性相匹配的安全保护,第四章关键信息基础设施保护关键信息基础设施是国家经济社会运行的神经中枢一旦遭到破坏、丧失功能或者数据泄,露可能严重危害国家安全、国计民生和公共利益因此法律对其保护提出了更高更严,,的要求关键信息基础设施定义与范围什么是关键信息基础设施公共通信关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、电信网络、互联网基础设施公共服务、电子政务等重要行业和领域的重要网络设施、信息系统能源领域这些设施和系统一旦遭到破坏、丧失功能或者数据泄露可能严重危害国,家安全、国计民生、公共利益电力、石油、天然气系统交通运输铁路、航空、城市交通系统水利设施供水、排水、水利调度系统金融服务银行、证券、保险系统电子政务政府核心业务系统和数据运营者的安全义务专门安全管理机构人员背景审查设立专门安全管理机构配备专职安全管理人员和技术人员负责本单位的网络安对关键岗位的人员进行安全背景审查确保其身份可靠、无安全风险审查内容,,,全工作机构应具有独立的决策权和资源调配权直接向单位主要负责人报告包括个人信用、犯罪记录、社会关系等防止内部威胁,,定期安全培训同步安全建设定期对从业人员进行网络安全教育、技术培训和技能考核提升全员安全意识和在网络规划、设计、建设时同步规划、设计、建设安全技术措施安全投入应,,防护能力培训应覆盖安全政策、操作规范、应急处置等内容与信息化建设投入同步安全系统应与业务系统同步上线运行,典型案例某金融机构遭受网络攻击事件案件经过法律责任追究年某月一家大型商业银行的网上银行系统遭到境外黑客组织的调查发现该银行在安全防护方面存在漏洞部分系统未及时更新安全补丁2017,,:,攻击和渗透入侵攻击者试图窃取客户账户信息和交易数据导致网应急预案演练不足安全监测能力薄弱DDoS,,上银行服务短时中断影响数百万用户,监管部门依据网络安全法对该银行处以警告和罚款责令其限期整改银,银行安全团队迅速启动应急响应预案隔离受攻击系统追溯攻击源头修复行主管安全的副行长和信息科技部负责人受到行政处分同时公安机关,,,,系统漏洞并在小时内恢复正常服务同时向监管部门和公安机关报告追查攻击者最终将涉案的黑客团伙绳之以法,24,情况这一案例警示所有关键信息基础设施运营者网络安全责任重于泰山必须建立健全安全防护体系切实履行法定义务:,,第五章个人信息保护与数据安全在大数据时代个人信息已成为重要资源但信息泄露、滥用问题日益突出网络安全法,,专章规定了个人信息保护和数据安全要求为公民数字权益筑起法律屏障,个人信息保护原则合法、正当、必要原则明示告知与同意原则收集、使用个人信息应当遵循合法、正收集、使用个人信息应当公开收集、使,,当、必要的原则不得收集与其提供的服用规则明示收集、使用信息的目的、方,务无关的个人信息不得违反法律、行政式和范围并经被收集者同意同意应当,,法规的规定和双方的约定收集、使用个人是明确的、自愿的不得采用欺诈、误导,信息等手段获取明确收集目的和用途制定隐私政策并公示••限定收集范围和数量获得用户明确授权••禁止过度收集提供拒绝选项••安全保障原则网络运营者应当采取技术措施和其他必要措施确保其收集的个人信息安全防止信息泄露、,,毁损、丢失发生或者可能发生个人信息泄露、毁损、丢失的情况时应当立即采取补救措,施及时告知用户并向有关部门报告,建立安全管理制度•采用加密等保护技术•建立泄露应急机制•数据安全技术措施数据脱敏与匿名化对于需要用于数据分析、共享的个人信息应进行,脱敏或匿名化处理去除或替换可识别个人身份的,信息常用技术包括数据遮蔽、泛化、置换等数据安全审计与监控数据加密存储脱敏后的数据应经过评估确保无法通过技术手段,建立数据访问审计机制记录数据访问、修改、删除,还原为可识别的个人信息同时保持数据的可用对存储的个人敏感信息和重要数据进行加密处理,,等操作日志,定期进行审计分析,及时发现异常行为性部署数据库审计系统、数据防泄漏系统等专业采用国家认可的商用密码算法数据传输过程中DLP使用等加密协议防止数据在传输中被窃工具SSL/TLS,取或篡改对敏感数据的访问实施细粒度权限控制遵循最小权,密钥管理是加密的关键,应建立严格的密钥生成、限原则,定期审查和调整访问权限存储、使用、更新和销毁机制确保密钥安全,个人信息保护全生命周期管理从信息收集、存储、使用、共享到删除每个环节都需要采取相应的安全防护措施构建,,全流程的个人信息保护体系确保数据安全和用户权益,第六章法律责任与执法案例明确的法律责任是网络安全法威慑力的来源法律规定了从行政处罚到刑事责任的完整责任体系对各类违法行为予以严厉制裁确保法律落到实处,,违法行为及处罚非法侵入网络窃取、篡改数据未经授权侵入他人网络、干扰他人网络正常功能、窃取网络数据等行非法获取、出售或者提供个人信息非法侵入、篡改、破坏数据库等,为可处以警告、罚款情节严重的追究刑事责任行为将受到行政处罚造成严重后果的追究刑事责任,,,,对个人罚款万元以上万元以下没收违法所得•:110•对单位罚款万元以上万元以下罚款并可吊销相关业务许可证•:10100•构成犯罪的依法追究刑事责任对直接责任人员处以罚款••提供恶意程序和技术支持运营者未履行义务设立用于实施违法犯罪活动的网站、通讯群组提供专门用于从事侵网络运营者不履行网络安全保护义务的由有关部门责令改正拒不改,,;入网络、干扰网络正常功能的程序、工具将被追究法律责任正或者导致危害网络安全等后果的将受到严厉处罚,,关闭网站、吊销业务许可证警告、罚款、责令暂停业务••没收违法工具和违法所得对直接负责人员处以罚款••情节严重的追究刑事责任吊销相关业务许可证或营业执照••典型执法案例黑客组织被依法查处企业因数据泄露被罚款整改年下半年公安机关成功侦破一起特大网络攻击案件该黑客组织通某知名互联网企业因安全管理不善导致万用户的个人信息泄露包括2017,,5000,过入侵企业服务器窃取大量公民个人信息和企业商业机密并在黑市上出售姓名、身份证号、手机号、住址等敏感信息泄露事件发生后企业未及时,,,牟利涉案金额达数千万元向监管部门报告也未通知受影响用户,,经过数月侦查公安机关抓获犯罪嫌疑人名查获被盗数据超过亿条主网信部门依据网络安全法对该企业处以万元罚款责令其限期整改暂,15,11000,,犯被判处有期徒刑年并处罚金万元其他成员分别被判处至年有停新用户注册天企业首席信息官被处以万元个人罚款企业随后投10,200373050期徒刑此案对网络犯罪形成了强大震慑入巨资升级安全系统完善管理制度并向受影响用户致歉赔偿,,举报与社会监督机制公民举报权利保障网络安全法明确赋予任何个人和组织对危害网络安全行为的举报权利公民可以通过多种渠道举报:•网信部门设立的举报电话和网站•电信、公安等部门的举报平台•行业监管部门的投诉渠道•互联网企业的违法信息举报系统举报人的相关信息将被严格保密,举报人的合法权益受法律保护对打击报复举报人的行为,将依法追究法律责任快速响应与处理流程有关部门收到举报后,应当及时依法作出处理处理流程包括:接收登记:24小时内登记受理举报信息初步核查:3个工作日内进行初步核实调查处理:根据情况立案调查或移送相关部门结果反馈:在法律允许范围内向举报人反馈处理结果不属于本部门职责的,应及时移送有权处理的部门,不得推诿建立部门协作机制,确保举报事项得到有效处理第七章网络安全未来展望随着人工智能、、物联网等新技术的快速发展网络安全面临新的挑战和机遇我们5G,需要前瞻性思考不断完善法律制度提升技术能力构建适应未来的网络安全体系,,,新技术带来的挑战与机遇人工智能与大数据安全人工智能技术的广泛应用带来了新的安全风险深度伪造Deepfake技术可能被用于制造虚假信息,算法歧视可能侵犯公民权益,大数据分析可能导致隐私泄露同时,AI技术也为网络安全防护提供了新手段智能威胁检测系统可以实时识别异常行为,机器学习算法能够预测潜在攻击,自动化响应系统可以快速处置安全事件我们需要在促进技术发展和防范安全风险之间找到平衡点物联网安全风险物联网设备数量激增,预计到2025年将超过750亿台大量设备存在安全防护薄弱、更新机制不完善等问题,容易成为攻击目标2016年Mirai僵尸网络攻击事件警示我们,物联网安全不容忽视需要建立覆盖设备制造、部署、运行全生命周期的安全管理体系推动物联网安全标准制定,强化设备安全认证,提升厂商安全责任意识,保障物联网健康发展网络安全人才培养战略网络安全人才短缺是全球性难题中国网络安全人才缺口超过百万,高端人才尤其紧缺加强人才培养是提升国家网络安全能力的基础国家实施网络安全人才培养工程,建设一流网络安全学院,设立网络空间安全一级学科,开展网络安全竞赛和实训鼓励企业、高校、研究机构合作培养人才,构建多层次网络安全人才培养体系全民网络安全意识提升企业与个人共同构筑安全防线网络安全不仅是政府和企业的责任,每个网民都是网络安全的参与者和守护者个人应当:•增强安全意识,不轻信不明信息•保护个人信息,谨慎授权•使用强密码,定期更新•及时更新软件,修复漏洞•举报违法行为,维护网络秩序网络安全宣传教育常态化企业应当履行主体责任,加大安全投入,完善防护措施,保护用户权益政府、企业、社会组织、广大网民携手努力,共建共提升全民网络安全意识是构建网络安全防线的基础工程国家网络安全宣传周等活动深入开展,普及网络安全知识,传播治共享网络安全安全防护技能共筑网络安全防线守护数字中国未来法律是基石人人是守护者网络安全法为维护国家安全、保护公民权益、促进信息化发展提供了坚网络安全关系到每个人的切身利益从政府到企业,从组织到个人,我们都实的法律保障,是建设网络强国的重要基石是网络安全的守护者,都有责任维护网络空间的安全与秩序共建清朗空间让我们携手同行,认真学习贯彻网络安全法,自觉遵守法律规定,积极履行安全责任,共同建设一个安全、清朗、繁荣的网络空间,为实现中华民族伟大复兴的中国梦保驾护航没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。