文章目录
第六章也发不出来,蜜汁审核
网络安全法律法规-尚方宝剑
公安部82号令
公安部151号令
网络安全法
等保2.0
先介绍前面三个,等保2.0后面专门分一章讲
公安部82号令
简介
■全称《互联网安全保护技术措施规定》,共19条
■由周永康部长批准,于2005年11月23日公安部部长办公会议通过,自2006年3月1日起实行,执法单位是公安机关公共信息网络安全监察部门
■检查对象是互联网服务提供者(ISP)、联网使用单位、提供互联网上网服务的单位(网吧)、提供互联网数据中心服务的单位(IDC)和提供互联网信息服务的单位(ICP)
■违反规定的单位将依法受到处罚(罚款、断网、关闭网站等)
互联网安全保护技术措施简介
■互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法
■互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准
■.技术设施一般包括防火墙、防病毒、入侵检测、入侵阻拦、抗DoS攻击、内容过滤、用户认证、日志审计等设备或软件——不仅仅是信息过滤或日志审计
互联网服务提供者(ISP、ICP、IDC、网吧)和联网使用单位注意事项
■应当落实以下互联网安全保护技术措施(第七条):
(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;
(二)重要数据库和系统主要设备的冗灾备份措施;
(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;
(四)法律、法规和规章规定应当落实的其他安全保护技术措施。
■并且,所采用的记录留存技术措施,应当具有至少保存六十天记录备份的功能。(最早的日志留存要求)
提供互联网接入服务的单位(ISP)
■除落实第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施(第八条):
(一)记录并留存用户注册信息;
(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系(保存NAT日志);
(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。
提供互联网信息服务的单位(ICP)
■除落实第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施(第九条):
(一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;
(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;
(四)开办电子公告服务的,具有用户注册信息和发布信息审计功能;
(五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。
提供互联网数据中心服务的单位(IDC)和联网使用单位
■除落实第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施(第十条):
(一)记录并留存用户注册信息;
(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
提供互联网上网服务的单位(网吧)
■除落实本规定第七条规定的互联网安全保护技术措施外,还应当(第十一条):
安装并运行互联网公共上网服务场所安全管理系统
网吧安管系统:任子行、美亚柏科
相关技术措施
ISP的技术措施
■根据第七条及第八条规定,ISP应该具备:
防病毒
防火墙
入侵检测与阻拦
抗DoS攻击
用户认证
包过滤、NAT、DNS日志审计
状态监控
法律、法规和规章规定应当落实的其他安全保护技术措施
ICP的技术措施
■根据第七条及第九条规定,ICP应该具备:
防病毒
防火墙
入侵检测与阻拦
抗DoS攻击
用户认证
包过滤、NAT、DNS日志审计
内容过滤
数据备份及审计
网页防篡改
法律、法规和规章规定应当落实的其他安全保护技术措施
IDC的技术措施
■根据第七条及第十条规定,IDC应该具备:
防病毒
防火墙
入侵检测与阻拦
抗DoS攻击
用户认证
包过滤、NAT、DNS日志审计
内容过滤
数据备份及审计
防垃圾邮件及短信(针对服务器)
法律、法规和规章规定应当落实的其他安全保护技术措施
网吧的技术措施
■根据第七条及第十一条规定,网吧应该具备:
防病毒
防火墙
入侵检测与阻拦
抗DoS攻击
用户认证
包过滤、NAT、DNS日志审计
安装并运行互联网公共上网服务场所安全管理系统
法律、法规和规章规定应当落实的其他安全保护技术措施
联网使用单位的技术措施
■根据第七条及第十条规定,联网使用单位应该具备:
防病毒
防火墙
入侵检测与阻拦
抗DoS攻击
用户认证
包过滤、NAT、DNS日志审计
内容过滤
数据备份及审计
法律、法规和规章规定应当落实的其他安全保护技术措施
公安部151号令
《公安机关互联网安全监督检查规定》政策解读
2018年9月5日公安部部长办公会议通过,自2018年11月1日起实施。
框架性内容
第二条本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。
第三条互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。
上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。
具体内容
第九条公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对下列互联网服务提供者和联网使用单位开展监督检查:
(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;
(二)提供互联网信息服务的;
(三)提供公共上网服务的;
(四)提供其他互联网服务的;
对开展前款规定的服务去满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。
解读:
■监督检查对象覆盖客户群体,如:
高校、普教、政府:互联网接入服务、数据中心服务、互联网信息服务(门户网站、论坛、留言板等)
医疗:互联网接入、互联网信息服务、公共上网(院区病患无线上网)
景区、场馆等公共场所:互联网信息服务、公共上网服务
运营商:互联网接入服务、数据中心服务、互联网信息服务、公共上网服务
■重点监督检查对象:新开展服务的、有前科的单位会被“重点关照”
第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;
(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;
解读:以上两条是指被监管单位应按公安部门要求进行备案,并落实安全管理制度。
(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;(行为审计/日志审计)
(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;(行为审计/日志审计)
(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;(行为审计对内容关键字审计过滤)
(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;(该怎么配合检查就怎么配合,态度要端正)
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。(该做等保的必须得做,咨询服务来一套)
第十一条 除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:
(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;
(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;(实名认证+日志审计)
(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;
(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;
(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;
(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。(是否按照等级保护标准规范及相关行业主管部门文件要求,采取防攻击,防病毒,防篡改,防泄密等安全措施,以及是否进行定期风险评估及漏洞整改)
第十二条 在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:
(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;(渗透测试及安全检测评估服务)
(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;(重点要制定应急预案并组织演练)
(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;(常规网络安全防护设备建议都上,重点考虑网站防篡改及一键下线)
(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。
对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。
■内容很具体,不再做—详细解读,针对以上内容,厂商安服中心都可以为用户提供对应的安全咨询、整改、加固服务,帮助用户平安度过重保时期。
第二十一条公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:
(一)未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(二)未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
第二十七条互联网服务提供者和联网使用单位违反本规定,构成违反治安管理行为的,依法予以治安管理处罚;构成犯罪的,依法追究刑事责任。
■主要处罚依据仍是基于《网络安全法》,视条款和情节不同处以罚款、关停、吊销执照甚至追究刑事责任等处罚。
小结
■公安部151号令《公安机关互联网安全监督检查规定》在《网络安全法》的基础上,进一步明确了公安部门的执法范围和依据,给《网络安全法》的落地执行提供了具体的执法依据
■法规颁布之后,各地公安机关必将开始一轮执法检查行动,我司主要客户群体基本都属于执法对象范围,建议大家都尽快向客户传达沟通到位,做好迎接检查的各项准备,避免成为执法行动的“杀鸡儆猴”对象
■法规全文详见公安部网站:
https://www.mps.gov.cn/n6687680/c6696416/content.html
网络安全法
典型事件
7月20日,汕头网警支队对全市网络安全等级保护重点单位进行执法检查,发现汕头市某信息科技有限公司的三级信息系统未按规定定期开展等级测评。依法对该单位给予警告处罚并责令其改正。
8月1日消息,重庆网安总队在日常检查中发现,重庆市首页科技发展有限公司自2017年6月1日后,在提供互联网数据中心服务时,未依法留存用户登录相关网络日志,给予该公司警告处罚,并责令限期十五日内进行整改。
7月25日消息,忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。
8月9日,京津网信办开展联合执法专项行动,就BOSS直聘发布违法违规信息、用户管理出现重大疏漏等问题,依法联合约谈BOSS直聘法人,并下达行政执法检查记录,责令网站立即整改。
8月11日消息,国家网信办指导北京市、广东省网信办分别对腾讯微信、新浪微博、百度贴吧立案,并依法展开调查。根据网民举报经北京市、广东省网信办初查,3家网站的微信、微博、贴吧平台分别存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息。3家网站平台涉嫌违反《网络安全法》等法律法规,对其平台用户发布的法律法规禁止发布的信息未尽到管理义务。
8月11日,四川省公安厅网络安全保卫总队官方微信公众号“四川网警巡查执法”发布消息称,该省依法查处违反《网络安全|法》第一案:宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。
关键内容
网络运营者
法律责任
关键信息基础设施
个人信息保护
网络安全法框架
共七章七十九条
第一章 总则(1-14条)
第二章 网络安全支持与促进(15-20条)
第三章 网络运行安全(21-39条)
第一节 一般规定(21-30条)
第二节 关键信息基础设施的运行安全(31-39条)
第四章 网络信息安全(40-50条)
第五章 监测预警与应急处置(51-58条)
第六章 法律责任(59-75条)
第七章 附则(76-79条)
网络运营者及义务
网络运营者:网络运营者,是指网络的所有者、管理者和网络服务提供者。
1.应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
2.为用户办理网络接入、域名注册等等服务时,应当要求用户提供真实身份信息。
3.网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
4.应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
5.网络运营者不得泄露、篡改、毁损其收集的个人信息。
6.网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
关键信息基础设施
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
·公共通信和信息服务(电信、移动)
·能源(汽油、电力)
·交通(空管)
·水利
·金融
·公共服务
·电子政务
一般三级等保
2017年7月10日网信办发布《关键信息基础设施安全保护条例(征求意见稿)》
第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
第四条 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。
第六条 关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。
第十一条 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。
关键信息基础设施运营者义务
1.确保关键信息基础设施具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
2.应当按照网络安全等级保护制度的要求,履行安全保护义务。
3.履行下列安全保护义务:
√(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
√(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
√(三)对重要系统和数据库进行容灾备份;
√(四)制定网络安全事件应急预案,并定期进行演练;
4.采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
5.采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
6.在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
7.应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
网络产品和服务提供者义务
·网络产品、服务应当符合相关国家标准的强制性要求。
·不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
·应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
·网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
法律责任
■第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
■第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
■上述条目明确规定了对网络运营者、网络产品或者服务的提供者,以及关键信息基础设施运营者的处罚措施,包括暂停业务、停业整顿、吊销相关业务许可证或者吊销营业执照等,最高处罚金额可达人民币100万元。
网络安全法要点与解决方案
| 安全法要求 | 应对措施 | 适应对象 | |
|---|---|---|---|
| 1 | 保障网络安全稳定运行 | 安全咨询服务、渗透测试服务、风险评估服务、漏洞扫描服务、RG-WMS(网站防护)、RG-BDS(大数据分析态势感知)、RG-Scan(漏扫) | 网络运营者、关键信息基础设施运营者 |
| 2 | 防止数据泄露或被窃取、篡改 | RG-Wlock、RG-DBS(数据库防护)、WAF、防泄密产品 | 网络运营者、关键信息基础设施运营者 |
| 3 | 制定内部安全制度流程,确定安全责任人 | 安全咨询服务 | 网络运营者 |
| 4 | 制定内部安全制度流程,设置专门安全管理机构和责任人,并对关键人员做背景调查 | 安全咨询服务 | 关键信息基础设施运营者 |
| 5 | 采取防病毒、防攻击的技术措施 | RG-WALL(防火墙)、RG-IDP(入侵检测)、RG-BDS、RG-OAS、RG-DBS、RG-WG(WAF)、RG-WMS、RG-Wlock | 网络运营者、关键信息基础设施运营者 |
| 6 | 监测记录网络运行状态,并留存日志不少于六个月 | RG-BDS、UAC/EG/eLog | 网络运营者、关键信息基础设施运营者 |
| 7 | 制定应急预案 | 安全咨询服务、应急响应服务 | 网络运营者 |
| 8 | 制定应急预案并定期演练 | 安全咨询服务、应急响应服务 | 关键信息基础设施运营者 |
| 9 | 定期进行网络安全教育、技术培训和考核 | 安全培训服务 | 关键信息基础设施运营者 |
| 10 | 每年至少进行一次检测评估 | 风险评估服务 | 关键信息基础设施运营者 |
这10个要点和等保的分不开的,其中3.4.7.8.9.10属于等保的管理规范方面;
5.6属于技术规范方面。