网络安全法与等级保护幻灯片
合集下载
网络安全法与等级保护ppt课件
对于违反《网络安全法》的处罚视情节严重,处罚措施分为: 1、责令改正,给予警告; 2、拒不改正或者导致危害网络安全等后果的,对企业处1-100万罚款,对直接负 责的主管人员和其他直接责任人员处1-10万罚款; 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊 销营业执照。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。
网络安全等级保护-主打PPT
✓ 有效抵御未知病毒、勒索病毒
本地化智能-页面展示
Web应用防护-业务自学习、自适应
数据库特征模型
源IP地址、应用程序 操作系统主机名、用户名 数据库与schema 表格与数据查询等表操作 特权操作 学习偏好选项
Web特征模型
URL模式 Cookie模式 HTTP方法与参数
SOAP 关联查询 已学习的主机
黑客开始成为产业
防攻击、防僵木蠕……
高强度、极具耐心
防社工、 防高强度定向渗透……
2005
间谍软件
2005–Today
2010
渗透攻击
Today +
2015
社工攻击
Today +
2020
APT网络攻击
Today +
未知威胁横行于网络空间
未知威胁
未知威胁
0day 漏洞
…
0day 漏洞
0day 漏洞
…
网端联动-威胁闭环处置
深信服AF产品系列
1600W 800W
AF-2000-J448
2U,8个接口扩展槽位,双电源 吞吐:80Gbps 并发:1600万
AF-2000-J444
2U,8个接口扩展槽位,双电源 吞吐:40Gbps 并发:1200万
AF-2000-I482
2U,4个接口扩展槽位,双电源 吞吐:20Gbps 并发:800万
97.85%
病毒检出率 病毒误报率
61.4%
32%
0.1%
Sangfor SAVE 引擎
0.04%
开源 杀毒引擎
0.09%
业界厂商
本地化智能-SAVE引擎
传 统引擎
特征
1. 固定算法 2. 人工提取特征 3. 样本收集受限
本地化智能-页面展示
Web应用防护-业务自学习、自适应
数据库特征模型
源IP地址、应用程序 操作系统主机名、用户名 数据库与schema 表格与数据查询等表操作 特权操作 学习偏好选项
Web特征模型
URL模式 Cookie模式 HTTP方法与参数
SOAP 关联查询 已学习的主机
黑客开始成为产业
防攻击、防僵木蠕……
高强度、极具耐心
防社工、 防高强度定向渗透……
2005
间谍软件
2005–Today
2010
渗透攻击
Today +
2015
社工攻击
Today +
2020
APT网络攻击
Today +
未知威胁横行于网络空间
未知威胁
未知威胁
0day 漏洞
…
0day 漏洞
0day 漏洞
…
网端联动-威胁闭环处置
深信服AF产品系列
1600W 800W
AF-2000-J448
2U,8个接口扩展槽位,双电源 吞吐:80Gbps 并发:1600万
AF-2000-J444
2U,8个接口扩展槽位,双电源 吞吐:40Gbps 并发:1200万
AF-2000-I482
2U,4个接口扩展槽位,双电源 吞吐:20Gbps 并发:800万
97.85%
病毒检出率 病毒误报率
61.4%
32%
0.1%
Sangfor SAVE 引擎
0.04%
开源 杀毒引擎
0.09%
业界厂商
本地化智能-SAVE引擎
传 统引擎
特征
1. 固定算法 2. 人工提取特征 3. 样本收集受限
等保2.0详细解读PPT课件
2021/6/4 Nhomakorabea7
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
网络安全等级保护定级流程ppt
• 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安 全造成严重损害;
• 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
确定保护对象定级
受侵害的客体
一般损害
公民、法人和其他组织的合 法权益
社会秩序、公共利益
第一级 第二级
国ห้องสมุดไป่ตู้安全
第三级
对客体的侵害程度 严重损害 第二级 第三级 第四级
再会
网络安全等级保护定级流程
目录
必知的专业术语 等级分类 定级对象确定 定级流程 定级变更
参考附件
对客体造成侵害的客观外在表现,包括侵 害方式和侵害结果等。
客观方面
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息系统 (例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系 统以及其他信息系统)和大数据等。
等级保护对象
基础信息网络
为信息流通、信息系统运行等起基础支撑 作用的信息网络,包括电信网、广播电视 传输网、互联网、业务专网等网络设备设 施。
客体
受法律保护的、等级保护对象受到破坏时所 侵害的社会关系
信息系统
由计算机和类计算机的软硬件及其相关的和 配套的设备、设施构成的,按照一定的应用 目标和规则进行信息处理或过程控制的资源 集合
等级分类
• 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益;
• 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国家安全;
• 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害, 或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
• 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
确定保护对象定级
受侵害的客体
一般损害
公民、法人和其他组织的合 法权益
社会秩序、公共利益
第一级 第二级
国ห้องสมุดไป่ตู้安全
第三级
对客体的侵害程度 严重损害 第二级 第三级 第四级
再会
网络安全等级保护定级流程
目录
必知的专业术语 等级分类 定级对象确定 定级流程 定级变更
参考附件
对客体造成侵害的客观外在表现,包括侵 害方式和侵害结果等。
客观方面
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息系统 (例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系 统以及其他信息系统)和大数据等。
等级保护对象
基础信息网络
为信息流通、信息系统运行等起基础支撑 作用的信息网络,包括电信网、广播电视 传输网、互联网、业务专网等网络设备设 施。
客体
受法律保护的、等级保护对象受到破坏时所 侵害的社会关系
信息系统
由计算机和类计算机的软硬件及其相关的和 配套的设备、设施构成的,按照一定的应用 目标和规则进行信息处理或过程控制的资源 集合
等级分类
• 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益;
• 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国家安全;
• 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害, 或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
新版《网络安全等级保护定级指南》解读.ppt
…
产厂商等因素
… 划分为多个定
级对象。
…
146 SP 800-
IaaS组件栈和控制范围
GB/T 31168 : 2014
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
? 运维服务系统 ? 业务运营系统 ? 安全系统 ? 集成 ? 开发
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
等级保护对象基础Leabharlann 息网络信息系统大数据
传统信息系统
工业控制系统
云计算平台
物联网系统
采用移动互联 技术信息系统
基础信息网络
? 为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信播网电、视广 传输网、互联网、业务专网等网络设备设施。
信息系统
? 由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。
数据资源类定级方法
? 单一设备(如服务器、终端、网络设备等)不单独定级。
层 级 4 企 业 资 源 层 该 层 级 主 要 通 过 ERP 系 统 为 企 业决策层及员工提供 决策运行手段。 层 级 3 生 产 管 理 层 该 层 级 主 要 通 过 M ES 系 统 为 企业提供包括制造数 据管理、计划排程管理、 生产调度管理等管理模 块。
? 应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
? 业务处理类定级方法
? 适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技术的信息系统等定级对象。
? 数据资源类定级方法:适用于大数据等定级对象。 ? 基础支撑类定级方法
等级保护2.0讲解PPT课件
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严 重损害,或者对国家安全造成严重损害
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
网络安全法ppt课件
10
详解网络安全法的六大方面:
1 《网络安全法》确立了网络安全法的基本原则
网络空间主权原则。 网络安全与信息化发展并重原则。 共同治理原则。
11
详解网络安全法的六大方面:
2 提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全 政策的透明度
3 进一步明确了政府各部门的职责权限,完善了网络安全监管体制 4 《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
THANKS
谢谢观赏
36
适用范围
在中华人民共和国境 内建设、运营、维护 和使用网络,以及网 络安全的监督管理, 适用本法。
目标
国家保护公民、法人和其 他组织依法使用网络的权 利,促进网络接入普及, 提升网络服务水平,为社 会提供安全、便利的网络 服务,保障网络信息依法 有序自由流动。
部门举报
任何个人和组织有权对 危害网络安全的行为向 网信、电信、公安等部 门举报。收到举报的部 门应当及时依法作出处 理;不属于本部门职责 的,应当及时移送有权 处理的部门。
网络DOS 混合威胁(蠕虫+ 病毒+木马) 广泛的系统黑客 攻击
下一代
基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDos 破坏有效负载的病 毒和蠕虫
20世纪80年代
20世纪90年代
今天
未来
6
维护网络安全就是维护自身安全
网络发展,还需要网络安全保驾护航
7
8
中华人民共和国网络安全法
——面向网络时代的“安全伞”
29
06
法律责任
30
法律责任
民事责任 违反《网络安全法》规定,给他人造成损害的,依法承担民事责任。 刑事责任 构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法
详解网络安全法的六大方面:
1 《网络安全法》确立了网络安全法的基本原则
网络空间主权原则。 网络安全与信息化发展并重原则。 共同治理原则。
11
详解网络安全法的六大方面:
2 提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全 政策的透明度
3 进一步明确了政府各部门的职责权限,完善了网络安全监管体制 4 《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
THANKS
谢谢观赏
36
适用范围
在中华人民共和国境 内建设、运营、维护 和使用网络,以及网 络安全的监督管理, 适用本法。
目标
国家保护公民、法人和其 他组织依法使用网络的权 利,促进网络接入普及, 提升网络服务水平,为社 会提供安全、便利的网络 服务,保障网络信息依法 有序自由流动。
部门举报
任何个人和组织有权对 危害网络安全的行为向 网信、电信、公安等部 门举报。收到举报的部 门应当及时依法作出处 理;不属于本部门职责 的,应当及时移送有权 处理的部门。
网络DOS 混合威胁(蠕虫+ 病毒+木马) 广泛的系统黑客 攻击
下一代
基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDos 破坏有效负载的病 毒和蠕虫
20世纪80年代
20世纪90年代
今天
未来
6
维护网络安全就是维护自身安全
网络发展,还需要网络安全保驾护航
7
8
中华人民共和国网络安全法
——面向网络时代的“安全伞”
29
06
法律责任
30
法律责任
民事责任 违反《网络安全法》规定,给他人造成损害的,依法承担民事责任。 刑事责任 构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法
《等级保护培训》课件
意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
网络安全法与等级保护培训教材(ppt 共34页)
(5)信息与数据境内存储及跨境数据传输的安全评估要求 ①具体内容:境内运营中收集和产生的个人信息和重要数据应当 在境内存储;需向境外提供的,应当按照国家网信部门会同国务 院有关部门制定的办法进行安全评估。 ②法律责任:责令改正,给予警告,没收违法所得;处 5-50万 罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相 关业务许可证或者吊销营业执照;对直接负责主管和直接责任人 处1-10万罚款。
网络安全等级保护制度(上升为法律)
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金 融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、 丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利 益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重 点保护。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检 测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设 施安全保护工作的部门。(等级测评)
网络安全法要求及处罚
(6)应急预案要求 ①具体内容:制定网络安全事件应急预案;在发生危害网络安全 的事件时,立即启动应急预案;按照规定向有关主管部门报告。 ②法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万。
二、信息安全等级保护
信息安全等级保护定义
• 《信息安全等级保护管理办法(试行)》:信息安全等级保护是指 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息 和存储、传输、处理这些信息的信息系统分等级实行安全保护,对 信息系统中使用的信息安全产品实行按等级管理,对信息系统中发 生运营者:是指网络的所有者、管理者和网络服务提供 者。 网络数据:是指通过网络收集、存储、传输、处理和产生 的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者 与其他信息结合识别自然人个人身份的各种信息,包括但 不限于自然人的姓名、出生日期、身份证件号码、个人生 物识别信息、住址、电话号码等。
网络安全等级保护制度(上升为法律)
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金 融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、 丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利 益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重 点保护。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检 测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设 施安全保护工作的部门。(等级测评)
网络安全法要求及处罚
(6)应急预案要求 ①具体内容:制定网络安全事件应急预案;在发生危害网络安全 的事件时,立即启动应急预案;按照规定向有关主管部门报告。 ②法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万。
二、信息安全等级保护
信息安全等级保护定义
• 《信息安全等级保护管理办法(试行)》:信息安全等级保护是指 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息 和存储、传输、处理这些信息的信息系统分等级实行安全保护,对 信息系统中使用的信息安全产品实行按等级管理,对信息系统中发 生运营者:是指网络的所有者、管理者和网络服务提供 者。 网络数据:是指通过网络收集、存储、传输、处理和产生 的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者 与其他信息结合识别自然人个人身份的各种信息,包括但 不限于自然人的姓名、出生日期、身份证件号码、个人生 物识别信息、住址、电话号码等。
《中华人民共和国网络安全法》解读PPT课件
《中华人民共和国网络安全法》
简介
《网络安全法》是我国第一部网络安全领域的法 律,是保障网络安全的基本法。网络安全法不是 网络安全立法的终点,相反,是网络安全立法的 起点。与《网络安全法》相关的法律有《国家安 全法》,《保密法》,《反恐怖主义法》,《反 间谍法》,《刑法修正案》(九),《治安管理 处罚法》,《电子签名法》等。这些法律与网络 安全法不是上位法和下位法的关系,同属同一法 律位阶。网络安全法是我国网络安全管理的基础 法律,与其它相关法律在相关条款和规定上互相 衔接,互为呼应,共同构成了我国网络安全管理 的综合法律体系。一共7章79条
中国传媒大学教授、政治与法律学院副院长王四新 网络安全法是对国家互联网信息办公室在互联网治理
层面的权力、职责予以最全面、最集中规定的最高层级的立法文件,对于解决网信部门和其他部门的执
法地位、执法权限问题,将. 产生积极影响。
2
目录
CONTENTS
01 立法背景及进程 02 全方位解读 03 我们需要做点啥
的责任和义务
明确了网络运营者的安全义务
3
网络安全法明确规定网络运营者应接受社会监督、受理公
众举报
。”
4
进一步完善了个人信息保护规则
网络安全法聚焦个人信息安全保护
5
建立了关键信息基础设施安全保护制度
6
监测预警与应急处置.措施制度化、法制化
10
网络空间主权原则
第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益, 保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展, 制定本法。
.
8
02
全方位解读
南京邮电大学信息产业发展战略研究院院长王春晖 :六大亮点
网络安全等级保护2.0解读 PPT精品课件
网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别, 设备存在弱口令、应用系统
身份标识具有唯一性,身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换;
在弱口令
b)应具有登录失败处理功能,应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施;
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别,且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指 具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
信息网络安全等级保护31页PPT
信息网络安全等级保护
11、战争满足了,或曾经满足过人的 好斗的 本能, 但它同 时还满 足了人 对掠夺 ,破坏 以及残 酷的纪 律和专 制力的 欲望。 ——查·埃利奥 特 12、不应把纪律仅仅看成教育的手段 。纪律 是教育 过程的 结果, 首先是 学生集 体表现 在一切 生活领 域—— 生产、 日常生 活、学 校、文 化等领 域中努 力的结 果。— —马卡 连柯(名 言网)
13、遵守纪律的风气的培养,只有领 导者本 身在这 方面以 身作则 才能收 到成效 。—— 马卡连 柯 14、劳动者的组织性、纪律性、坚毅 精神以 及同全 世界劳 动者的 团结一 致,是 取得最 后胜利 的保证 。—雨果
16、业余生活要有意义,不要越轨。——华盛顿 17、一个人即使已登上顶峰,也仍要自强不息。——罗素·贝克 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、自己活着,就是为了使别人过得更美好。——雷锋 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃
END
11、战争满足了,或曾经满足过人的 好斗的 本能, 但它同 时还满 足了人 对掠夺 ,破坏 以及残 酷的纪 律和专 制力的 欲望。 ——查·埃利奥 特 12、不应把纪律仅仅看成教育的手段 。纪律 是教育 过程的 结果, 首先是 学生集 体表现 在一切 生活领 域—— 生产、 日常生 活、学 校、文 化等领 域中努 力的结 果。— —马卡 连柯(名 言网)
13、遵守纪律的风气的培养,只有领 导者本 身在这 方面以 身作则 才能收 到成效 。—— 马卡连 柯 14、劳动者的组织性、纪律性、坚毅 精神以 及同全 世界劳 动者的 团结一 致,是 取得最 后胜利 的保证 。—雨果
16、业余生活要有意义,不要越轨。——华盛顿 17、一个人即使已登上顶峰,也仍要自强不息。——罗素·贝克 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、自己活着,就是为了使别人过得更美好。——雷锋 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃
END
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/3/22
6
制定网络安全法的意义
➢ 确立了网络安全法律规范的基本原则 ➢ 明确了网络安全工作的重点 ➢ 提出制定网络安全战略,明确网络空间治理目标 ➢ 完善了网络安全监管体制 ➢ 强化了网络运行安全,重点保护关键信息基础设施 ➢ 完善了网络安全义务和责任 ➢ 将监测预警与应急处置措施制度化、规范化
罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚,
也有行政处罚。
对于违法问题有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一
万元以上一百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关
闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检 测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设 施安全保护工作的部门。(等级测评)
2020/3/22
10
网络安全法要求及处罚
(1)安全风险评估要求 ①具体内容:应当自行或者委托网络安全服务机构对其网络的安 全性和可能风险每年至少1次检测评估;检测评估情况和改进措 施报送相关负责部门。 ②法律责任:由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处10-100 万罚款,对直接负责的主管人员处1-10万罚款。
2020/3/22
15
网络安全法要求及处罚
(6)应急预案要求 ①具体内容:制定网络安全事件应急预案;在发生危害网络安全 的事件时,立即启动应急预案;按照规定向有关主管部门报告。 ②法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万。
2020/3/22
16
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处
3/22/2020
9
网络安全等级保护制度(上升为法律)
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金 融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、 丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利 益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重 点保护。
附则
2020/3/22
5
2、定位 是互联网领域、网络安全的基础性法律。
是党的十八大以来的又一部重要法律。
3、制定过程
2013年下半年提上日程,2014年形成草案,15年初 形成征求意见稿,15年6月一审,16年6月二审、10月 31日三审、11月7日人大通过,2017年6月1日起施行。
154票赞成、0票反对、1票弃权。
2020/3/22
8
➢ 网络运营者:是指网络的所有者、管理者和网络服务提供 者。
➢ 网络数据:是指通过网络收集、存储、传输、处理和产生 的各种电子数据。
➢ 个人信息:是指以电子或者其他方式记录的能够单独或者 与其他信息结合识别自然人个人身份的各种信息,包括但 不限于自然人的姓名、出生日期、身份证件号码、个人生 物识别信息、住址、电话号码等。
2020/3/22
11
网络安全法要求及处罚
(2)网络安全等级保护要求 ①具体内容:制度建设与负责人;安全防范技术措施;不少于6 个月的安全日志;数据分类与备份加密。 ②法律责任:责令改正及警告;警告不改罚款公司1-10万,主管 5千-5万。
2020/3/22
12
网络安全法要求及处罚
(3)安全技术措施同步要求 ①具体内容:建设关键信息基础设施应当确保其具有支持业务稳 定、持续运行的性能,并保证安全技术措施同步规划、同步建设 、同步使用。 ②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
《网络安全法》将近年来一些成熟的好做法制度化,并为 将来可能的制度创新做了原则性规定,为网络安全工作提供 切实法律保障。
2020/3/22
4
(一)综述
1、总体框架 共7章79条。
第二章 第三章
第四章 第五章 第六章 第七章
第一章 总 则 网络安全支持与促进 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 网络信息安全 监测预警与应急处置 法律责任
2020/3/22
7
5、有关概念 ➢网络:是指由计算机或者其他信息终端及相关设备组成的 按照一定的规则和程序对信息进行收集、存储、传输、交换、 处理的系统。
➢网络安全:是指通过采取必要措施,防范对网络的攻击、 侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳 定可靠运行的状态,以及保障网络数据的完整性、保密性、 可用性的能力。
2020/3/22
13
网络安全法要求及处罚
(4)采购安全保密要求 ①具体内容:采购网络产品和服务,应当按照规定与提供者签订安
全保密协议,明确安全和保密义务与责任。 ②法律责任:责令改正,给予警告;拒不改正或者导致危害网络安
全等后果的,处10-100万罚款,对直接负责的主管人员处1-10万 罚款。
2020/3/22
14
网络安全法要求及处罚
(5)信息与数据境内存储及跨境数据传输的安全评估要求 ①具体内容:境内运营中收集和产生的个人信息和重要数据应当 在境内存储;需向境外提供的,应当按照国家网信部门会同国务 院有关部门制定的办法进行安全评估。 ②法律责任:责令改正,给予警告,没收违法所得;处 5-50万 罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相 关业务许可证或者吊销营业执照;对直接负责主管和直接责任人 处1-10万罚款。
网络安全法与等级保护
2020/3/22
1
目录
一、网络安全法
二、信息安全等级保护
3/22/2020
2
一、网络安全法
3/22/2020
3
制定网络安全法的意义
《网络安全法》是我国第一部全面规范网络空间安全管理 方面问题的基础性法律,是我国网络空间法治建设的重要里 程碑,是依法治网、化解网络风险的法律重器,是让互联网 在法治轨道上健康运行的重要保障。