Lmmso-Loser 官方论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 122|回复: 0

网络安全法学习整理笔记

[复制链接]
  • TA的每日心情
    无聊
    昨天 18:58
  • 签到天数: 22 天

    [LV.4]偶尔看看III

    177

    主题

    22

    回帖

    1541

    积分

    管理员

    积分
    1541
    发表于 2023-1-17 10:38:39 | 显示全部楼层 |阅读模式 来自 重庆
    网络安全法

    一、背景

    概念


    • 网络:是指由计算机或者其他信息终端及相干设备构成的按照一定的规则和步伐对信息进行收集、存储、传输、交换、处理的体系。
    • 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、粉碎和非法利用以及不测事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
    • 网络运营者:是指网络的所有者、管理者和网络服务提供者。
    • 网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。
    • 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
    • 关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到粉碎、丧失功能或者数据泄露,可能严峻危害国家安全、国计民生、公共长处的设施
    • 网络安全=运行安全+信息安全=(安全评估+产品服务+预警响应+职员)+(个人信息+出镜安全+有害处置)
    特点


    • 全面性:明确各个主体的义务与责任;确定了各方面的基本制度
    • 针对性:从国情出发,坚持问题导向,总结实践履历
    • 协调性:注意主体的权益,保障网络信息依法有序流通,促进技术创新。安全与发展并重
    目标


    • 保障网络安全,维护网络空间主权和国家安全、社会公共长处,保护公民、法人和其他构造的正当权益,促进经济社会信息化康健发展
    范围


    • 在中华人民共和国境内建设、运营、维护和利用网络,以及网络安全的监督管理
    原则


    • 主权原则:国家主权在网络空间中的延伸和表现

      • 管辖:依自己的法律管辖事物的权利
      • 独立:不被其他国家干预的权利
      • 防卫:保障网络正常运行,不因攻击而停止
      • 平等:国际管理方面平等参与

    • 网络安全与信息化发展并重原则

      • 没有网络安全就没有国家安全,没有信息化就没有现代化;安全是发展的条件,发展是安全的保障;相辅相成,同步推进
      • 发展人才、美满战略、境外监测处置、提高意识、网络管理、未成年环境

    • 共同管理原则

      • 国家网信部门:统筹协调
      • 国务院电信主管部门、公安部门和其他有关构造:依法在职责范围内负责
      • 县级以上地方人民政府有关部门:依规定确定
      • 网络运营者:守法、推行义务、接受监督
      • 服务提供者:保障网络安全、稳定运行、防范攻击、维护数据安全
      • 相干行业构造:自律、指定规范、指导会员、促进行业发展
      • 个人:举报危害网络安全的行为。相干部门保密、保护举报人正当权益

    • 责权同等原则

      • 保护个人、构造依法利用网络的权利,保障网络信息依法有序自由流动
      • 个人和构造利用网络应当服从宪法法律,不得危害网络安全、利用网络实行违法行为、侵害他人权益

    • 对于境外适用环境:

      • 境外的风险和威胁:监测、防御、处置
      • 境外的违法信息:采取措施阻断传播
      • 境外危害我国关基的运动:追究法律责任

    二、支持与促进

    创建和美满网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,构造订定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
    国家支持企业、研究机构、高等学校、网络相干行业构造参与网络安天下家标准、行业标准的订定
    统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
    推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
    开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。创新网络安全管理方式,运用网络新技术,提拔网络安全保护水平。
    网络安全宣传教诲,并指导、督促有关单位做好网络安全宣传教诲工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教诲。
    学校等教诲培训机构开展网络安全相干教诲与培训,采取多种方式培养网络安全人才,促进网络安全人才交换。
    三、六大亮点

    3.1 主权

    国家主权在网络空间中的延伸和表现


    • 管辖:依自己的法律管辖事物的权利
    • 独立:不被其他国家干预的权利
    • 防卫:保障网络正常运行,不因攻击而停止
    • 平等:国际管理方面平等参与
    3.2 网络产品和服务提供者的安全义务



    • 强制标准义务:不得设置恶意步伐,符合国家强制性要求,关键、专用产品检测、及格后才可以提供
    • 告知补救义务:发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立刻采取补救措施,按照规定及时告知用户并向有关主管部门陈诉。
    • 安全维护义务:网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的限期内,不得终止提供安全维护。
    • 个人信息保护义务:网络产品、服务具有收集用户信息功能的,其提供者应当向用户昭示并取得同意;涉及用户个人信息的,还应当服从本法和有关法律、行政法规关于个人信息保护的规定。
    3.3 网络运营者义务



    • 等保制度:订定制度和规程,确认安全负责人+背调,防范措施,监测状态事件,数据分类备份加密,其他
    • 身份认证:要求用户提供真实身份信息。国家推动不同电子身份认证之间的互认。
    • 应急预案:订定应急预案,及时处置漏洞、病毒、攻击、侵入等安全风险;定期演练;发生事件时,启动预案,采取补救措施,并按规定向有关主管部门陈诉。
    • 协助机制:为公安构造、国家安全构造依法维护国家安全和侦查犯罪的运动提供技术支持和协助。
    • 协作机制:创建健全协作机制,提高安全保障能力,加强安全风险应对能力。
    3.4 个人信息保护规则



    • 收集:告知并同意、公开目的、最小化收集
    • 处理:不得泄露、窜改、销毁收集的个人信息
    • 保护:采取措施保障防止信息泄露、毁损、丢失;如发生,立刻补救并按规定告知用户和部门
    • 举报:个人有权要求运营者删除、更正信息
    • 正当:不得非法获取或提供个人信息
    3.5 关键信息基础设施安全保护制度

    基础等保


    • 订定制度和规程,确定负责人,落实网络安全保护责任
    • 防范措施抵御病毒、攻击、侵入
    • 技术措施监测、记录网络运行状态,相干日志大于六个月
    • 数据分类、重要数据备份、加密
    关基


    • 设置专人专岗,相干职员背调
    • 定期教诲、培训、考核
    • 重要体系和数据库容灾备份
    • 应急预案、定期演练
    3.6 关键信息基础设施重要数据跨境传输规则



    • 境内运营中收集和产生的信息数据存储与境内
    • 需向境外提供的,应按照网信部和国务院订定的办法进行安全评估
    • 境外对境内关基攻击、侵入、干扰、粉碎造成严峻后果的,追究法律责任,冻结资产、制裁
    四、九大制度

    4.1 品级保护制度

    网络运营者应当按照网络安全品级保护制度的要求,推行下列安全保护义务,保障网络免受干扰、粉碎或者未经授权的访问,防止网络数据泄露或者被窃取、窜改:


    • 指定制度和规程,确定负责人,落实保护责任
    • 采取技术防范病毒、攻击、侵入等
    • 监测记录网络状态,日志不少于六个月
    • 数据分类、重要数据备份、加密
    4.2 网络产品和服务安全制度



    • 强制标准义务:符合相干国家标准的强制性要求。不得设置恶意步伐;网络关键设备和网络安全专用产品应当按照相干国家标准的强制性要求,查验后才可销售
    • 告知补救业务:发现产品或服务存在安全缺陷、漏洞等风险时,应当立刻采取补救措施,按照规定及时告知用户并向有关主管部门陈诉。
    • 安全维护义务:应当为产品、服务持续提供安全维护;在规定或约定的限期内,不得终止提供安全维护。
    • 个人信息保护:具有收集用户信息功能的,应当向用户昭示并取得同意;涉及用户个人信息的,还应当服从本法和有关法律、行政法规关于个人信息保护的规定。
    4.3 运行制度

    4.3.1 一般



    • 认证利用机制:网络关键设备和网络安全专用产品安全认证及格后,方可销售或者提供。网信部订定目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
    • 安全信息发布:开展网络安全认证、检测、风险评估等运动,按规定向社会发布体系漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。
    • 克制危害行为:不得非法入侵、干扰、窃取;不得提供相干工具;不得技术支持,广告推广等
    • 信息利用规则:推行网络安全保护职责中获取的信息,只能用于维护网络安全的必要,不得用于其他用途。
    4.3.2 关基

    界说


    • 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,
    • 一旦遭到粉碎、丧失功能或者数据泄露,可能严峻危害国家安全、国计民生、公共长处
    特别


    • 在网络安全品级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院订定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
    分工


    • 负责关基保护工作的各部门负责实施本行业、本领域的关基保护工作
    • 国家网信部门统筹协调有关部门

      • 抽查检测,提出改进措施,可以委托网络安全服务机构对进行检测评估
      • 定期应急演练,提高应对网络安全事件的水平和协同配合能力;
      • 促进部门、运营者以及研究机构、服务机构等之间的网络安全信息共享
      • 对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

    原则


    • 具有支持业务稳定、持续运行的性能
    • 保证安全技术措施同步规划、同步建设、同步利用
    义务:除等保规定的义务外,还需


    • 职员安全管理:设置管理机构和负责人;安全背景检察;定期教诲、培训和考核;
    • 数据境内留存:境内收集产生的境内存储;如需向境外提供需评估;对重要体系和数据库进行容灾备份;

      • 出境范围:50万人+、1000G+、7大领域

    • 应急预案机制:订定网络安全事件应急预案,并定期进行演练;
    • 安全采购措施:有关部门检察+提供者保密协议

      • 检察目标:提高网络安全产品和服务安全可控水平,防范网络安全风险,维护国家安全
      • 检察对象:关系国家安全的网络和信息体系采购的重要网络产品和服务
      • 检察方法:社会监督,实行室,现场,在线,背调,供应链
      • 检察结果:好坏名单
      • 检察内容:自身风险,被控制风险;关键部件生产测试交付技术支持供应链风险;非法收集数据风险;利用用户依赖损害用户长处风险;

    • 风险评估机制:每年检测评估并报送
    4.4 网络安全风险评估制度



    • 订定预案:创建网络安全风险评估和应急工作机制,订定网络安全事件应急预案,定期演练
    • 信息公开:按规定开展网络安全认证、检测、风险评估等运动,向社会发布漏洞、病毒、攻击、侵入等信息
    • 每年评估:对网络安全性和可能存在的风险每年评估一次,并将陈诉和改进措施报送相干部门
    • 分级标准:危害程度+影响范围
    4.6 网络安全事件应急预案制度



    • 发生前:

      • 订定应急预案,创建风险评估和应急工作机制。定期演练;
      • 及时处置,降低风险。漏洞、病毒、攻击、侵入等;
      • 安全事件分级:危害程度+影响范围。不同级别指定相应的应急措施

    • 可能发生时:

      • 各部门及时收集陈诉信息,加强风险检测
      • 对风险信息进行评估,分析可能性、危害程度、影响范围
      • 向社会发布风险预警,防范措施

    • 发生时:

      • 立刻启动应急预案,调查+评估,采取措施消除安全隐患,及时公布警示信息
      • 可以参照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》
      • 经国务院决定或者批准,可以在特定区域对网络通信采取限制等暂时措施。

    4.7 网络安全监测和预警制度



    • 国家创建网络安全监测预警和信息通报制度。加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
    • 关键信息基础设施安全保护工作的部门创建健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
    • 省级以上人民政府有关部门在监管过程中,发现较大风险或发生安全事件,可以对该网络的运营者进行约谈。
    4.8 用户信息保护制度



    • 实名:办理部分业务时,网络运营者应要求用户提供真实身份信息。
    • 规则:正当、正当、必要的收集,告知并取得同意、公开目的、最小化收集;不得泄露、窜改、销毁收集的个人信息;个人有权要求运营者删除、更正信息;采取措施保障防止信息泄露、毁损、丢失;如发生,立刻补救并按规定告知用户和部门;
    • 管理:对用户发布的信息管理,立刻停止、消除、防扩散并陈诉;泉源境外的采取措施阻断传播
    • 投诉:创建投诉制度,公开投诉方式,并处理收到的投诉和举报
    • 电诈:电子邮件不得设置恶意步伐, 不得包含违法信息。采取措施消除并陈诉;不得设立违法网站、群组。不得利用网络诈骗、销售违法物品或信息;不得非法获取或向他人提供个人信息。
    • 配合:运营者配合网信和有关部门的依法监督检查
    构建网络安全体系

    五项举措
    一是推动美满网络安全法律法规和制度标准体系,同步美满伤害监测处置、数据保护、新技术、新业务安全评估等行业配套政策;
    二是持续强化信息通信行业网络安全的防护能力部署和监督落实;
    三是加大网络环境的管理力度,每年不定期开展网络安全威胁的专项管理举措;
    四是推进信息行业大数据安全的监管能力建设;
    五是推动网络安全产业的发展和人才队伍建设,强化基础支撑的保障能力。
    Lmmso-Loser 论坛免责声明
    论坛总版规:
    https://bbs.lmmso.loserc.com/thread-2-1-1.html
    免责声明:
    Lmmso-Loser 论坛发布的一切破解补丁、注册机和注册信息及软件的解密分析文章和网络工具及网络安全分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
    该会员没有填写今日想说内容.
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Loading...

    QQ| 举报中心| 小黑屋| Lmmso-Loser 官方论坛 ( 渝ICP备:2023000236号-1 ) 渝公网安备 XXXXXXXXXXXXXXX号

    GMT+8, 2023-2-9 21:13 , Processed in 0.144801 second(s), 31 queries .

    Powered by Lmmso-Loser Discuz! X3.5 Licensed

    Copyright © 2023-2025, Tencent Cloud.

    快速回复 返回顶部 返回列表