Slidetitle:40-47ptSlidesubtitle:26-30ptColor::whiteCorporateFont:FrutigerNextLTMediumFonttobeusedbycustomersandpartners:Arial《中华人民共和国网络安全法》解读信息管理部2017年5月25日第2页内容提纲国内外安全态势国家政策及相关标准21网络安全法解读3第3页国外国内2014年3月22日,携程网安全支付日志下载漏洞被黑客利用,导致大量用户银行卡信息泄露;2015年5月28日,携程网站和APP全线瘫痪,从瘫痪到修复,携程“宕机”近12小时,创下国内互联网公司系统瘫痪新纪录。2015年4月22日,重庆、上海、沈阳、贵州等超30个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息被泄露,包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。2015年6月中石化“内鬼”事件,系统内部技术人员,通过提供给中石化华东公司的SCADA系统(油管监控系统)对应开发了一套病毒程序,病毒爆发导致系统无法运行。信息安全事件2011年4月12日,韩国最大农协银行遭遇黑客,导致客户三天无法提款、转账、使用信用卡,大约540万名信用卡客户的交易记录被删除。2015年12月3日,乌克兰电网遭黑客攻击,黑客使用后门程序BlackEnery(黑暗力量)攻击了在发电站和多家能源公司,在寒冷冬天数百万家庭供电被迫中断。2015年12月31日,由于严重的“分布式拒绝服务”攻击(DDOS),英国广播公司(BBC)网站和iPlayer服务被迫下线。该攻击导致网站瘫痪数小时。第4页信息安全事件5月12日,“比特币勒索病毒”在全球爆发,至少有150个国家受到网络病毒攻击,大量组织机构受害严重包括金融、能源、医疗、教育等行业。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,大量实验室数据和毕业设计被锁定加密。“勒索病毒”主要利用Windows操作系统漏洞,通过网络植入病毒程序,对电脑中的docx、pdf、xlsx、jpg等110种文件进行加密,并提示支付价值相当于300美元的比特币后方可解锁。加密文件几乎覆盖全部类型的文档和图片,使其无法正常打开。黑客使用的加密技术运用了超级复杂的4096位算法,超级电脑破解所需时间也得按年计算,国内外目前尚无有效破解方法。“勒索病毒”属于主动攻击型病毒,传播速度快,破坏力强。第5页信息安全事件目标明确隐蔽性强破坏严重信息安全事件大多为敌对国家或利益集团为达到某种目的而发起的网络攻击。往往是向指定的目标发起特定的网络攻击,具有极强的针对性。攻击工业控制系统的病毒和黑客,异常熟悉工业控制系统的网络情况,攻击方法独特导致无法及时发现,具有极强的隐蔽能力,可以长时间隐藏于工业控制系统中。电力、能源、金融等系统如果遭到破坏,轻则造成经济损,重则会造成人身伤亡,甚至会影响地区和国家的安定,乃至国家战略和重大计划的执行都会受到阻挠。安全事件特点第6页内容提纲国家政策及相关标准国内外安全态势1网络安全法解读32第7页网络空间安全顶层设计“没有网络安全就没有国家安全”——“加快构建关键信息基础设施安全保障体系”“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”第8页中国应对网络安全威胁之道我国政府和相关部门高度重视,分别在法规、政策及标准等方面积极采取行动。2014年成立中央网络安全和信息化领导小组,将信息安全提升到国家战略高度,习近平亲自担任组长。2016年11月,第十二届全国人大常委会第二十四次会议审议通过《中华人民共和国网络安全法》,并于2017年6月1日起正式实施2016年10月工信部印发了《工业控制系统信息安全防护指南》,指导工业企业开展工控安全防护工作;2012年国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》;2013年国家发改委《关于组织2013年国家信息安全专项有关事项的通知》,将工控安全纳入重点信息安全领域;2016年6月,由中央网信办牵头组织,首次全国范围的关键信息基础设施网络安全检查工作已经启动,这是落实习近平总书记重要讲话精神的重要举措,也是在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。2017年2月4号成立了网络安全审查委员会;在十八大三中全会上,习近平总书记提出“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战”。第9页2016年5月13号,国务院发布《关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)。《意见》明确指出“以建设制造业与互联网融合“双创”平台为抓手,发展智能制造……与互联网融合新模式,……提高工业信息系统安全水平……”2016年11月3号工信部下发《工业控制系统信息安全防护指南》,指南指出“工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面做好工控安全防护工作”。2016年7月全国范围关键信息基础设施网络安全检查工作启动,习近平总书记指出:“金融、能源、电力、通信、制造等领域是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”,要求“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”。网信办国务院工信部国家高度重视第10页2017年网络安全检查网信办•统筹规划及监督管理•抽查、约谈,偏向符合性检查222公安国安•安全检查配合•监察及执法•抽查,偏向脆弱性检查•关注重点境外攻击及执法•木马、病毒、APT攻击安全检查中华人民共和国网络安全法工业控制系统信息安全防护指南信息安全等级保护基本要求工业控制系统评估规范各行业规范依据经信委134第11页集团公司信息安全总体框架设计“十三五”期间,继承和发展现有成果,管理、技术并重,并结合纵深防御、大数据安全分析等先进理念,逐步实现“责任明确、统一策略、全程管控、协同防御”的信息安全体系。第12页内容提纲国家政策及相关标准2国内外安全态势1网络安全法解读3第13页一、迫切性和必要性落实党中央决策部署的重要举措,是维护网络安全、国家安全的迫切需要维护网络空间国家主权的迫切需要打击网络违法犯罪、维护广大人民群众利益的迫切需要参与互联网国际竞争和国际治理的迫切需要深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要第14页二、网络安全法概述目标保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织合法权益,促进经济社会信息化健康发展在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。2016年11月7日发布2017年6月1日起施行范围总览范围总览定位定位是互联网领域、网络安全的基础性法律。是党的十八大以来的又一部重要法律。第15页三、网络安全法整体框架共7章79条《网络安全法》第二章至第五章分别从网络安全支持与促进、网络运行安全一般规定、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置五个方面,对网络安全有关事项进行了规定,勾勒了我国网络安全工作的轮廓:以关键信息基础设施保护为重心,强调落实运营者责任,注重保护个人权益,加强动态感知快速反应,以技术、产业、人才为保障,立体化地推进网络安全工作。总则网络安全支持与促进网络运行安全网络信息安全监测预警与应急处置法律责任附则7124563第16页网络四、网络安全法术语定义计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。通过网络收集、存储、传输、处理和产生的各种电子数据。通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络的所有者、管理者和网络服务提供者。网络运营者除了传统通过网络提供服务、开展业务活动的企业及机构如电信运营商、互联网企业外,还可能包括:•银行、保险、证券基金等收集公民个人信息,同时又提供线上服务的金融机构;•网络安全服务和安全产品的提供者;•拥有网站并提供网络服务的企业等以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络安全网络运营者网络数据个人信息保密存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。第17页五、条款解读第一章总则解读概述第一章(共14条),主要描述制定网络安全法的目的和适用范围,保障网络安全的目标以及各部门、企业、个人所承担的责任义务,并强调将大力宣传普及,加快配套制度建设,加强基础支撑力量建设,确保网络安全法有效贯彻实施。第18页五、条款解读第一章总则第二节关键信息基础设施的运行安全第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。第一条---第三条,明确了网络安全法的目的和适用范围以及国家所应承担的责任义务。第19页条款解读第一章总则第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第八条,给出了国家相关监管部门的分工,本法与其他法律的关系。第十条,强调了网络数据为保护重点。第20页条款解读第一章总则第十二条国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。第十二条,明确了国家在保障网络安全中的任务和目标,同时对个人及组织使用网络也提出了要求。第21页条款解读第二章网络安全支持与促进解读概述第二章(共6条),要求政府、企业和相关部门通过多种形式对企业和公众开展网络安全宣传教育,提高安全意识。鼓励企业、高校等单位加强对网络安全人才的培训和教育,解决目前网络安全人才严重不足问题。另外鼓励和支持通过创新技术来提升安全管理,保护企业和个人的重要数据。第22页条款解读第二章网络安全支持与促进第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理和运行安全的国家标准、行业以及网络产品、服务标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。第十六条国务院和省、自治区、直辖市人民