《网络安全法教程》 6+第六章 网络运行安全一般规定
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪ (二)网络安全等级保护工作具体内容和要求 ▪ 1、定级备案 定级备案是整个网络安全等级保护的首要环节,是开展网络建设、整改、测评、监督检查等后续工作 的重要基础。 ▪ 2、自查、测评与整改 自查、测评和整改是公安机关执行网络安全等级保护检查工作的重要内容,至少每年一次的自查与测 评,也是公安机关实现对网络进行监督管理的重要手段,
▪ (三)法律责任及案例分析
《网络安全法》第六十一条规定,网络运营者违反本法第二十四条第一款规定,未要求用户提供真实 身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正 或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业 整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人 员处一万元以上十万元以下罚款。
网络安全法教程
第六章 网络运行安全一般规定
第六章 网络运行安全一般规定
▪ 【内容提要】本章介绍了网络运营者、网络 设备、产品和服务、其他相关行为主体的网 络运行安全要求,网络安全的支持与协作, 以及涉密网络的安全保护要求,力图使读者 了解《网络安全法》中网络运行安全的一般 规定。
第一节 网络运营者的安全要求
第二节 网络设备、产品和服务的安全要求
▪ 一、网络设备和服务的通用安全要求
▪ (一)网络产品和服务的安全基线
▪ 1、不得设置恶意程序
2、安全风险应对要求
▪ 3、安全维护要求
4、用户信息的收集及保护要求
▪ (二)网络产品和服务安全的审查办法
作为《网络产品和服务安全通用要求》(送审稿)的配套法规,《网络产品和服务安全审查办法(试 行)》首次明确了对“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”进行安全审 查的要求,审查内容是产品和服务的“安全性、可控性”,而“安全、可控”的具体标准又由《信息 技术产品安全可控评价指标》(GB/T 36630-2018)进行规定。
▪ (三)法律责任及案例分析 ▪ 1、约谈 ▪ 2、行政处罚 ▪ 3、暂时或永久关停网站
▪ 案例:湖南某学院及其技术维修提供商湖南某公司未落实网络安全等级保护制度,网站存在严重的 安全隐患漏洞。该单位法人代表及网站系统管理员被约谈,警告并责令限期整改,在未整改落实到 位前,网站系统不得上线运行。
▪ 二、实名制要求 ▪ (一)网络实名制发展历程及具体要求
案例:深圳市某网络科技有限公司未要求用户提供真实身份信息而提供网络电话服务,存在被利用于 从事信息通信诈骗活动的安全隐患,被要求关闭网站、停业整顿、立即整改,罚款五万元。
▪ 三、应急预案与补救措施
▪ (一)应急预案
应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备,以及在事件发生后所采取的措 施。计算机网络安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。 事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击、计算机病毒或蠕虫等。应 急预案对于保障网络安全有着重要的意义。
网站在备案登记时提供详细的基本信息
2004 《关于进一步加强高等学校校园网络管理工作的意见》
高校校园网BBS严格实行用户实名注册制度
2002 《互联网上网服务营业场所管理条例》
网吧实行实名认证制度
▪ (二)网络可信身份认证技术简介
除了实名制认证外,网络可信身份认证技术是解决“线上身份”和“线下身份”统一的另一种方式。 “网络身份的可信”包含两层含义: 一是通过网络身份凭证与现实个体法定身份信息的绑定, 实现网 络主体现实身份真实性认证和追溯;二是通过生物特征识别、大数据行为分析等技术,确保网络行为 的主体就是拥有法定身份信息的现实个体。
▪ 一、网络安全等级保护制度 ▪ (一)网络安全等级保护制度的概念、要求及意义 ▪ 1、概念 网络安全等级保护制度是指国家对在中华人民共和国境内建设、运营、维护、使用的网络,实施分等 级保护、分等级监管的法律制度。 ▪ 2、要求 在2014年,为适应新技术新应用下的等级保护工作开展,国家决定对原标准进行扩展,将重要基础设 施、重要系统以及“云计算、大数据、物联网、移动互联、工业控制系统”纳入等保监管,将互联网 企业纳入等级保护管理。因此,与“等保1.0”时代的计算机信息系统等级保护制度相比,“等保 2.0”时代的网络安全等级保护制度的保护范围更广,保护要求更严。 ▪ 3、意义 上升为法律层面的网络安全等级保护制度的实施为信息系统安全工作开辟了一条可落地操作的道路。
▪ (二)安全事件的应急响应
▪ 1、应急预案的启动与补救措施
2、网络安全事件的报告制度
▪ (三)法律责任
对于应急预案的制定,第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定 期开展网络安全应急演练。除及时记录并留存事件数据信息,向公安机关和行业主管部门报告外,网 络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。
《关于加强网络信息保护的决定》
2012 网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户 提供信息发布服务,应当在与用户签订协议或者确认提供服务时, 《关于网络游戏发展和管理的若干意见》 网络游戏PK类练级游戏实行实名游戏制度
2005.1 《互联网IP地址备案管理办法》
2016 《网络安全法》
第二十四条规定
2015 《互联网用户账号名称管理规定》 这标志着网络实名制全面普及时代的到来
微博等互联网信息服务使用者通过真实身份信息认证后注册账号
2014
首次以立法的形式确立了网络实名制 《即时通信工具公众信息服务发展管理暂行规定》
即时通信工具服务使用者注册账号必须提供真实姓名,简称 微信十条
▪ (三)法律责任及案例分析
《网络安全法》第六十条规定,违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列 行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万 元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: