1、網絡安全法與等級保護,一、網絡安全法,二、信息安全等級保護,目 錄,一、網絡安全法,制定網絡安全法的意義,網絡安全法是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，是依法治網、化解網絡風險的法律重器，是讓互聯網在法治軌道上健康運行的重要保障。 網絡安全法將近年來一些成熟的好做法制度化，并為將來可能的制度創新做了原則性規定，為網絡安全工作提供切實法律保障,1、總體框架 共7章79條。 第一章總則 第二章網絡安全支持與促進 第三章網絡運行安全 第一節一般規定 第二節關鍵信息基礎設施的運行安全 第四章網絡信息安全 第五章監測預警與應急處置 第六章法律責任

2、 第七章附則,一）綜述,2、定位 是互聯網領域、網絡安全的基礎性法律。 是黨的十八大以來的又一部重要法律。 3、制定過程 2013年下半年提上日程，2014年形成草案，15年初形成征求意見稿，15年6月一審，16年6月二審、10月31日三審、11月7日人大通過，2017年6月1日起施行。 154票贊成、0票反對、1票棄權,確立了網絡安全法律規范的基本原則 明確了網絡安全工作的重點 提出制定網絡安全戰略，明確網絡空間治理目標 完善了網絡安全監管體制 強化了網絡運行安全，重點保護關鍵信息基礎設施 完善了網絡安全義務和責任 將監測預警與應急處置措施制度化、規范化,制定網絡安全法的意義,5、有關概念

3、網絡：是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。 網絡安全：是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力,網絡運營者：是指網絡的所有者、管理者和網絡服務提供者。 網絡數據：是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。 個人信息：是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等,第二十一條

4、 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務。 第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。 第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。（等級測評,網絡安全等級保護制度（上升為法律,1

5、）安全風險評估要求 具體內容：應當自行或者委托網絡安全服務機構對其網絡的安全性和可能風險每年至少1次檢測評估；檢測評估情況和改進措施報送相關負責部門。 法律責任：由有關主管部門責令改正， 給予警告；拒不改正或者導致危害網絡安全等后果的，處10-100萬罰款，對直接負責的主管人員處1-10萬罰款,網絡安全法要求及處罰,2）網絡安全等級保護要求 具體內容：制度建設與負責人；安全防范技術措施；不少于6個月的安全日志；數據分類與備份加密。 法律責任：責令改正及警告；警告不改罰款公司1-10萬，主管5千-5萬,網絡安全法要求及處罰,3）安全技術措施同步要求 具體內容：建設關鍵信息基礎設施應當確保其具有支

6、持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。 法律責任：由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款,網絡安全法要求及處罰,4）采購安全保密要求 具體內容:采購網絡產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。 法律責任：責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處10-100萬罰款，對直接負責的主管人員處1-10萬罰款,網絡安全法要求及處罰,5）信息與數據境內存儲及跨境數據傳輸的安全評估要求 具體內容:境內

7、運營中收集和產生的個人信息和重要數據應當在境內存儲；需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。 法律責任：責令改正，給予警告，沒收違法所得；處 5-50萬罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責主管和直接責任人處1-10萬罰款,網絡安全法要求及處罰,6）應急預案要求 具體內容：制定網絡安全事件應急預案；在發生危害網絡安全的事件時，立即啟動應急預案；按照規定向有關主管部門報告。 法律責任：責令改正及警告；警告不改罰款 公司1-10萬，主管5千-5萬,網絡安全法要求及處罰,根據網絡安全法第六章-法律責任相關

8、條款解釋：本法律處罰力度空前嚴格，處罰不僅涉及到企業，而且涉及到法人、管理人員、一般員工等多個層面；既有經濟處罰，也有行政處罰。 對于違法問題有關主管部門責令改正，給予警告；拒不改正或者情節嚴重的，處一萬元以上一百萬元以下罰款，并可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五千元以上十萬元以下罰款。 尚不構成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以并處五萬元以上五十萬元以下罰款；情節較重的，處五日以上十五日以下拘留，可以并處十萬元以上一百萬元以下罰款。 受到治安管理處罰的人員，五年內不得從事網絡

9、安全管理和網絡運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。 依照有關法律、行政法規的規定記入信用檔案，并予以公示,網絡安全法自2017年6月1日正式實施，網絡安全等級保護制度已經上升為法律規定的強制義務，這是我國自1994年發布實施中華人民共和國計算機信息系統保護條例將“等級保護”明確為我國計算機安全保護的根本制度以來，首次將其寫入法律。 從實施以來已經處罰騰訊微信、新浪微博、百度貼吧、boss直聘、京東、淘寶網、蝦米音樂網、蘑菇街互動網等上百家的企事業單位。 對于違反網絡安全法的處罰視情節嚴重，處罰措施分為： 1、責令改正，給予警告； 2、拒不改

10、正或者導致危害網絡安全等后果的，對企業處1-100萬罰款，對直接負責的主管員和其他直接責任人員處1-10萬罰款； 3、并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,二、信息安全等級保護,信息安全等級保護定義,信息安全等級保護管理辦法（試行）：信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。 信息安全等級保護管理辦法國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和

11、其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理,第一級為自主保護級，適用于一般的信息和信息系統，其受到破壞后，會對公民、法人和其他組織的合法權益造成一定損害，但不損害國家安全、社會秩序和公共利益,第二級為指導保護級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全,劃分準則-GB 17859-1999,第三級為監督保護級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害,第四級為強制保護級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴

12、重損害,第五級為專控保護級，適用于涉及國家安全的重要信息和信息系統的核心子系統，其受到破壞后，會對國家安全造成特別嚴重損害,實施指南GB/T 25058-2010,等級保護實施過程,基本原則,主要過程及其活動,角色、職責,基本流程,等級變更,局部調整,信息系統定級,總體安全規劃,安全設計與實施,安全運行維護,信息系統終止,國家管理部門,信息系統主管部門,信息系統運營、使用單位,信息安全服務機構,信息安全等級測評機構,信息安全產品供應商,22,等級保護之十大標準,基礎類 計算機信息系統安全保護等級劃分準則GB 17859-1999 信息系統安全等級保護實施指南GB/T 25058-2010 應用

13、類 定級：信息系統安全保護等級定級指南GB/T 22240-2008 建設：信息系統安全等級保護基本要求GB/T 22239-2008 信息系統通用安全技術要求GB/T 20271-2006 信息系統等級保護安全設計技術要求GB/T 25070-2010 測評：信息系統安全等級保護測評要求GB/T 28448-2012 信息系統安全等級保護測評過程指南 GB/T 28449-2012 管理：信息系統安全管理要求GB/T 20269-2006 信息系統安全工程管理要求GB/T 20282-2006,23,7、系統服務安全等級,等級保護定級指南GB/T 22240,等級保護定級方法,保護對象,對客

14、體的侵害程度,客體：社會關系,受侵害的客體,信息系統安全,系統服務安全,業務信息安全,3、綜合評定對客體的侵害程度,2、確定業務信息安全受到破壞時所侵害的客體,6、綜合評定對客體的侵害程度,5、確定系統服務安全受到破壞時所侵害的客體,4、業務信息安全等級,8、定級對象的安全保護等級 8MAX（4，7,1、確定定級對象（系統邊界,一般流程,等級確定,24,基本保護要求（最低,保護能力,對抗能力恢復能力,技術要求管理要求,物理、網絡、主機、應用、數據,制度、機構、人員、建設、運維,縱深防御、互補關聯、強度一致、 平臺統一、集中安管,業務信息安全類要求 S,系統服務保證類要求 A,通用安全保護類要求

15、 G,整體安全保護能力,關鍵控制點,安全類,具體要求項,控制強度,基本要求GB/T 22239,基本保護要求（最低,保護能力,對抗能力恢復能力,物理、網絡、主機、應用、數據,制度、機構、人員、建設、運維,縱深防御、互補關聯、強度一致、 平臺統一、集中安管,通用安全保護類要求 G,關鍵控制點,安全類,等級保護的內容十個方面,業務安全,物理安全,技術要求,管理要求,基本要求,網絡安全,主機安全,應用安全,數據安全,安全管理機構,安全管理制度,人員安全管理,系統建設管理,系統運維管理,控制項,28,基本要求GB/T 22239,物理位置的選擇,基本防護能力,高層、地下室,物理訪問控制,基本出入控制,

16、分區域管理,在機房中的活動,電子門禁,防盜竊和防破壞,存放位置、標記標識,監控報警系統,防雷擊,建筑防雷、機房接地,設備防雷,防火,滅火設備、自動報警,自動消防系統,區域隔離措施,防靜電,關鍵設備,主要設備,防靜電地板,電力供應,穩定電壓、短期供應,主要設備,冗余/并行線路,備用供電系統,電磁防護,線纜隔離,接地防干擾,電磁屏蔽,防水和防潮,溫濕度控制,物理安全的整改要點,結構安全,關鍵設備冗余空間,主要設備冗余空間,訪問控制,訪問控制設備（用戶、網段,應用層協議過濾,撥號訪問限制,會話終止,安全審計,日志記錄,審計報表,邊界完整性檢查,內部的非法聯出,非授權設備私自外聯,網絡安全的整改要點,

17、子網/網段控制,核心網絡帶寬,整體網絡帶寬,重要網段部署,路由控制,帶寬分配優先級,端口控制,最大流量數及最大連接數,防止地址欺騙,審計記錄的保護,定位及阻斷,入侵防范,檢測常見攻擊,記錄、報警,惡意代碼防范,網絡邊界處防范,網絡設備防護,基本的登錄鑒別,組合鑒別技術,特權用戶的權限分離,身份鑒別,基本的身份鑒別,訪問控制,安全策略,管理用戶的權限分離,特權用戶的權限分離,安全審計,服務器基本運行情況審計,審計報表,剩余信息保護,空間釋放及信息清除,主機安全的整改要點,組合鑒別技術,敏感標記的設置及操作,審計記錄的保護,入侵防范,最小安裝原則,重要服務器：檢測、記錄、報警,惡意代碼防范,主機與

18、網絡的防范產品不同,資源控制,監視重要服務器,最小服務水平的檢測及報警,重要客戶端的審計,升級服務器,重要程序完整性,防惡意代碼軟件、代碼庫統一管理,對用戶會話數及終端登錄的限制,身份鑒別,基本的身份鑒別,訪問控制,安全策略,最小授權原則,安全審計,運行情況審計（用戶級,審計報表,剩余信息保護,空間釋放及信息清除,應用安全的整改要點,組合鑒別技術,敏感標記的設置及操作,審計過程的保護,通信完整性,校驗碼技術,密碼技術,軟件容錯,自動保護功能,資源控制,資源分配限制、資源分配優先級,最小服務水平的檢測及報警,數據有效性檢驗、部分運行保護,對用戶會話數及 系統最大并發會話數的限制,審計記錄的保護,

19、通信保密性,初始化驗證,整個報文及會話過程加密,敏感信息加密,抗抵賴,數據完整性,鑒別數據傳輸的完整性,備份和恢復,重要數據的備份,數據安全及備份恢復的整改要點,各類數據傳輸及存儲,異地備份,網絡冗余、硬件冗余,本地完全備份,硬件冗余,檢測和恢復,數據保密性,鑒別數據存儲的保密性,各類數據的傳輸及存儲,每天1次,備份介質場外存放,合理分域，準確定級,信息系統等級保護以系統所處理信息的最高重要程度來確定安全等級 在合理劃分安全域邊界安全可控的情況下，各安全域可根據信息的最高重要程度單獨定級，實施“分域分級防護”的策略，從而降低系統建設成本和管理風險 信息系統安全域之間的邊界應劃分明確，安全域與安全域之間的所有數據通信都應安全可控 對于不同等級的安全域間通信，應實施有效的訪問控制策略和機制，控制高密級信息由高等級安全域流向低等級安全域,安全域 （第3級,安全域 （第2