1. 關鍵信息基礎設施安全保護條例時間
《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行。
《關鍵信息基礎設施安全保護條例》旨在建立專門保護制度,明確各方責任,提出保障促進措施 ,保障關鍵信息基礎設施安全及維護網路安全,根據《中華人民共和國網路安全法》,制定的條例。
關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
【法律依據】
《中華人民共和國網路安全法》第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。《關鍵信息基礎設施安全保護條例》第五條 國家對關鍵信息基礎設施實行重點保護,採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。
任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。
2. 〈_公共網路監察制度》是什麼時間公布實施的
2021年8月17日發布,9月1日起實施。
發布和實施時間是由國務院決定並發布的。
根據《條例》,國家網信部門統籌協調有關部門建立網路安全信息共享機制,及時匯總、研判、共享、發布網路安/全威脅、漏/洞、事件等信息,促進有關部門、保護工作部門、運營者以及網路安全服務機構等之間的網路安全信息共享。
3. 安全工信部通報阿里雲,未及時上報重大漏洞,國資雲建設刻不容緩
中科院雲計算中心分布式存儲聯合實驗室特訊: 近期,工信部網路安全管理局通報,暫停阿里雲公司作為工信部網路安全威脅信息共享平台合作單位6個月。此次事件源自阿里雲發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患報告不及時, 再次為國家數據安全敲響警鍾,國資雲建設刻不容緩、勢在必行。
近期,工業和信息化部網路安全管理局通報稱,阿里雲計算有限公司(簡稱「阿里雲」)是工信部網路安全威脅信息共享平台合作單位。近日,阿里雲公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。經研究,現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
Apache Log4j 史上最大安全漏洞
先梳理一下阿帕奇嚴重安全漏洞的時間線:
11月24日
阿里雲在阿帕奇(Apache)開放基金會下的開源日誌組件Log4j2內,發現重大漏洞Log4Shell,然後向總部位於美國的阿帕奇軟體基金會報告。
獲得消息後,奧地利和紐西蘭官方計算機應急小組立即對這一漏洞進行預警。紐西蘭方面聲稱,該漏洞正在被「積極利用」,並且概念驗證代碼也已被發布。
12月9日
中國工信部收到有關網路安全專業機構報告,發現阿帕奇Log4j2組件存在嚴重安全漏洞,立即召集阿里雲、網路安全企業、網路安全專業機構等開展研判,並向行業單位進行風險預警。
12月9日
阿帕奇官方發布緊急安全更新以修復遠程代碼執行漏洞,漏洞利用細節公開,但更新後的Apache Log4j2.15.0-rc1版本被發現仍存在漏洞繞過。
12月10日
中國國家信息安全漏洞共享平台收錄Apache Log4j2遠程代碼執行漏洞;阿帕奇官方再度發布log4j-2.15.0-rc2版本修復漏洞。
12月10日
阿里雲在官網公告披露,安全團隊發現Apache Log4j2.15.0-rc1版本存在漏洞繞過,要求用戶及時更新版本,並向用戶介紹該漏洞的具體背景及相應的修復方案。
12月14日
中國國家信息安全漏洞共享平台發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》,供相關單位、企業及個人參考。
12月22日
工信部通報,由於阿里雲發現阿帕奇嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理,決定暫停該公司作為工信部網路安全威脅信息共享平台合作單位6個月。
在伺服器的組件中,日誌組件是應用程序中不可缺少的部分。而其中Apache(阿帕奇)的開源項目log4j是一個功能強大的日誌組件,被廣泛應用。
由於Apache Log4j存在遞歸解析功能,未取得身份認證的用戶,可以從遠程發送數據請求輸入數據日誌,輕松觸發漏洞,最終在目標上執行任意代碼。即 攻擊者只要提交一段代碼,就可以進入對方伺服器,而且可以獲得最高許可權,控制對方伺服器。通俗說,黑客通過這個普遍存在的漏洞,可以在伺服器上做任何事。
有關報道顯示,黑客在72小時內利用Log4j2漏洞,向全球發起了超過84萬次的攻擊。利用這個漏洞,攻擊者幾乎可以獲得無限的權利——比如他們可以 提取敏感數據、將文件上傳到伺服器、刪除數據、安裝勒索軟體、或進一步散播到其它伺服器。
國外網友以漫畫說明Log4j2的重要性
該漏洞CVSS評分達到了滿分10分,IT 通信(互聯網)、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及,全球互聯網大廠、 游戲 公司、電商平台等都有被影響的風險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、網路,網易、新浪以及特斯拉等全球大廠,悉數中招,眾多媒體將這個漏洞形容成「史詩級」「核彈級」漏洞,可以說相當貼切。
據工信部官網消息,今年9月1日,工業和信息化部網路安全威脅和漏洞信息共享平台正式上線運行。其中提到,根據《網路產品安全漏洞管理規定》,網路產品提供者應當及時向平台報送相關漏洞信息,鼓勵漏洞收集平台和其他發現漏洞的組織或個人向平台報送漏洞信息。
此次事件中,作為我國雲計算服務的頭部供應商的阿里雲,11月24日發現計算機史上最大的漏洞,是先向國外的Apache基金會報告,而未及時向主管部門報送漏洞信息。工信部得知情況,已經是12月9日,中間已經過了15天。這十五天,中國的互聯網簡直是在裸奔。這期間已經有黑客掌握了這個漏洞,在利用這個漏洞進行網路攻擊。作為新基建重要一環的雲計算平台,更加應以謹慎的心態承擔起保障網路安全的責任。
國資雲建設 安全自主可控為上
互聯網時代,國家安全自然延伸到了網路。各個國家,都在想辦法堵自己漏洞,找別人家的漏洞,甚至是隱藏的後門。同樣的漏洞,那就是看誰率先掌握。國外的開源軟體層出不窮的漏洞,隱沒難尋的後門,應用於國家重要機構或事關 社會 民生的部門,其潛在危害難以估量。我們除了想方設法被動收集修復漏洞,還要大力發展和利用自主安全可控的技術,才能在互聯網領域尋求戰略平衡,保障國家安全。
所以說,阿里雲的這次行動足以為戒,忽視國家各項數據安全法律法規,國家安全責任意識淡漠,將國家網路安全置於巨大的危機之中。試問這樣的第三方雲服務商,如何讓國家機構、央企國企放心將數據業務託管?
風險就在那裡,警告從未缺席。國資雲以安全自主可控、平穩可靠運行為上,才能確保國家安全,盡到 社會 責任。第三方雲服務商難以超越企業自身的穩健盈利,更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資雲的建設將第三方雲服務商排除在外,是互聯網競爭環境的使然,也是數據安全責任的擔當,更是時代賦予的使命。
「國資雲」建設 大勢所趨
經過深入研究分析,北京交通大學信息管理理論與技術國際研究中心(ICIR)認為, 「國資雲」建設是大勢所趨,原因主要有以下三方面:
一是「國資雲」建設是國有資產管理的需要。國企數據資源屬於國有資產,應納入國資監管和統一管理,保護國有數據資產安全是建設國資雲的核心目的;
二是「國資雲」建設是保障國家重要數據安全的需要。近期,《關鍵信息基礎設施安全保護條例》、《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》相繼頒布實施,將數據安全提升到前所未有的高度,而國有企業的許多數據事關國家關鍵信息基礎設施安全;
三是「國資雲」建設是信創工程落地的重要抓手。在「國資雲」數據中心逐步加大CPU、操作系統、存儲、資料庫、中間件等國產信創產品比重,並鼓勵國產信創業務系統與「國資雲」數據中心基礎設施適配應用,從基礎到應用全方位推進信創工程步伐。
因此,「國資雲」建設的重要意義在業界已達成高度共識。
國資雲賦能雲上安全 G-Cloud增強國企競爭力
國有企業是中國特色 社會 主義的重要物質基礎和政治基礎,是我們黨執政興國的重要支柱和依靠力量,國有企業不僅具有鮮明的政治屬性,也具有強烈的經濟屬性和物質屬性,堅定不移地將國有企業做強做大做優是黨和人民對國有企業的基本要求。因此,國有企業更需要資產不斷保值增值,規模不斷發展壯大,盈利水平不斷提高,這就要求國有企業必需使用最先進的生產工具,創造出最先進的生產力,保持在國際國內市場中的競爭力。
而雲計算平台就是當前最先進的生產工具。雲計算平台中除了計算、存儲、網路、虛擬化等Iaas服務相對比較成熟外,在Paas、Saas層面的技術創新速度非常快,產品迭代周期不斷縮短,不同的廠商提供的雲平台服務在技術領先性、服務穩定性、用戶覆蓋面等方面具有非常大的差異。
在激烈的市場競爭中,企業選擇了什麼類型、什麼廠商的雲服務,在一定程度上意味著企業使用了什麼工具和武器,在很大程度上決定了企業的生產效率、管理效率和市場效率,也就決定了企業的競爭力。
國資雲賦能雲上安全,打造排除第三方雲服務商的行業專屬私有雲。 中科院雲計算中心自主研發的G-Cloud雲操作系統,首要勝在安全。 其次G-Cloud在智慧城市、智慧醫療、智慧教育、智慧交通等領域的成功案例,將有助於充分激活國企強勁的競爭力、影響力、帶動力。
2021年11月, 國資雲平台中科雲(東莞) 科技 有限公司正式成立,由中科院、東莞市政府等多方投資的上市企業國雲 科技 控股,國資背景加持,官方認可,國內頂尖 科技 機構技術背書,使用國內首個自主產權、安全可控的G-Cloud雲操作系統,建設「國資雲」, 賦能千行百業數字化轉型升級,最大化優化國有資本布局,提高國有資本運營效能、產業互聯和商業創新!
中科雲凝聚服務政企信息化、數字化建設的核心團隊, 聯合產學研用各方力量,融合大數據、雲計算、物聯網等新一代信息技術,在政府、醫療、教育、交通、智能製造等多行業、多領域提供新型基礎設施建設、數據分布式存儲服務,助力國資國企規模和實力的持續增長,實現高質量發展。
4. 數據安全法是哪一年頒布
數據安全法開始實施的時間2021年9月1日起。2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》。
《中華人民共和國數據安全法》是為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定的法律。
請點擊輸入圖片描述(最多18字)
2021年9月1日正式實施的《中華人民共和國數據安全法》(以下簡稱《數據安全法》)是中國實施數據安全監督和管理的一部基礎法律,其根本目的就是要提升國家數據安全的保障能力和數字經濟的治理能力。《數據安全法》與已實施的《網路安全法》、《密碼法》及同時實施的《個人信息法》相輔相成,共同構成了中國數據安全的法律保障體系,成為推動我國數字經濟持續健康發展的堅實「防火牆」。
近年來,中國數字經濟快速發展。相關數據顯示,2020年中國數字經濟規模已達到39.2萬億元人民幣,佔GDP的38.6%,居世界第二位,已成為中國經濟增長的重要引擎。因此,防範數據安全風險、構建數據安全保護體系、完善數據安全治理機制的重要性日益凸顯。《數據安全法》的實施,將改變長期以來對數據的「重搜集、輕保護」現象,樹立全民數據安全保護理念,為企業數據安全「保駕護航」,全面提升政府數據安全保護和數字經濟治理能力,推動數字經濟的國際合作和高質量發展,更好服務構建新發展格局,保障國家經濟安全。
【法律依據】
《中華人民共和國數據安全法》第一章第一條 為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。第一章第五十五條 本法自2021年9月1日起施行。
5. 中華人民共和國網路安全法施行時間
網路安全法施行五周年:守護百姓網路家園
6月1日
「9月5日至9月11日,2022年國家網路安全宣傳周在全國范圍內統一舉辦,主題為「網路安全為人民,網路安全靠人民」。 今年6月1日,《中華人民共和國網路安全法》正式施行五周年。這部我國網路安全領域的基礎性法律,對我國網路空間法治化建設具有重要意義。
「9月5日至9月11日,2022年國家網路安全宣傳周在全國范圍內統一舉辦,主題為「網路安全為人民,網路安全靠人民」。 今年6月1日,《中華人民共和國網路安全法》正式施行五周年。這部我國網路安全領域的基礎性法律,對我國網路空間法治化建設具有重要意義。
「9月5日至9月11日,2022年國家網路安全宣傳周在全國范圍內統一舉辦,主題為「網路安全為人民,網路安全靠人民」。 今年6月1日,《中華人民共和國網路安全法》正式施行五周年。這部我國網路安全領域的基礎性法律,對我國網路空間法治化建設具有重要意義。
6. 聚焦關鍵信息基礎設施,網路安全保護迎新政
鑒於此,網路安全保護勢在必行且刻不容緩。通過對硬體、軟體和數據的保護,讓網路系統運行安全,網路服務正常提供,成為我國發展的關鍵所在。在此背景下,此前我國已經出台了《網路安全漏洞管理規定》、《密碼法草案》等多部法規,給予網路安全重視、鼓勵和引導,為發展提供法律保障與護航。
而近日,我國也是再度發布《關鍵信息基礎設施安全保護條例》,將網路安全保護推向新階段。據悉,這是我國首部專門針對關鍵信息技術設施安全保護工作的行政法規。其主要從范圍定義、責任義務歸屬、實施落地以及追責等方面,對我國網路安全保障的核心要素及關鍵戰略性資源進行了明確規定與部署。
根據條例表示,所謂關鍵信息基礎設施,主要是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防 科技 工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
從《條例》看,關鍵信息基礎設施的認定,行業主管部門有重要決定權,是否屬於關鍵信息基礎設施,核心在於業務是否重要。關鍵信息基礎設施的范圍會隨著業務的影響而改變,隨著信息化潮流的發展而擴展。因此《條例》明確,要通過一個國家統籌的多級立體化協同綜合防控體系來有效保護。
在《條例》中,重點強調了運營商的責任和義務。《條例》明確,運營者應當建立健全網路安全保護制度和責任制,保障人力、財力、物力投入。運營者應當設置專門安全管理機構,並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。此外,運營者應當優先採購安全可信的網路產品和服務。
若運營者有任何違規行為的,有關主管部門可依據職責責令改正,或給予警告;若拒不改正或者導致危害網路安全等後果的,可處10萬元以上100萬元以下罰款,並對直接負責的主管人員處1萬元以上10萬元以下罰款。同時,有關部門未能履行關保護監督職責的,也將依法對主管人員給予處分。
而針對實施危害關鍵信息基礎設施安全活動的個人和組織,《條例》也作出相應規范。其特別強調,任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全;對基礎電信網路實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告,否則違法必究。
總的來看,《關鍵信息基礎設施安全保護條例》作為網路安全法的重要配套立法,對國內外網路安全保護的主要問題和發展趨勢進行了積極應對,為下一步加強關鍵信息基礎設施安全保護工作提供了重要法治保障。按照計劃,《條例》將自2021年9月1日起正式施行,屆時我國網路安全保護將邁入全新階段。