① 《网络安全法》中明确了四大主体的责任义务,四大主体具体是()
四大主体具体是国家、主管部门、网络运营者、网络使用者。
1、出台《草案》,并且在未来在这部高规格法律下完善相应的配套体系和制度,并体现其可操作化和可执行性。除此之外,还需要若干的细则出台,比如建立网络安全标准体系,由国务院哪些部门组织制定,牵涉哪些行业;网络产品、服务应当符合哪些国家标准和行业标准需要予以明确等等。
3、“网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护”“并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息”。企业更要树立一定的责任感,积极按照法律条款建立用户信息保护制度。
4、网络使用者即任何个人和组织使用网络应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得危害网络安全。具体条款细化为不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动、不得出售或者非法向他人提供公民个人信息等,还要增强法律意识。
② 国家实施网络安全什么的保护制度
《网络安全法》规定国家实行网络安全等级保护制度,标志着从1994年的国务院条例(国务院令第147号)上升到国家法律;标段纤塌志着国家实施十余年的信息安全等级保护制度进入2.0阶段;标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。网络安全等级保护制度是国家网络安全的基本制度、基本国策(等级保护2.0)。
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。由公安部牵头,经过十多年的探索和实践,网络安全等级保护的政策、标准体系已经基本形成,并已在全国范围内全面实施。
网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。网络安全等级保护制度的核心内容是:国家制定统一的政策、标准;各单位、各部门依法开展等级保护工作;有关职能部门对网络安全等级保护工作实施监督管理。
网络安全等级保护制度是新时期国家网络安全的基本制度、基本国策,我们将构建网络安全等级保护新的法律和政策体系、新的标准体系、新的技术支撑体系、新的人才队伍体系、新的教育训练体系和新的保障体系。
网络安全等级保护制度进入2.0时代,其核心内容:
一是将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综竖芹治考核等重点措施全部纳入等级保护制度并实施;
二是将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互握圆联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;
三是将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。
法律依据
《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
③ 电子数据信息安全管理制度是怎样的
第一条折叠
为了促进我省电子政务的发展,保障我省电子政务健康运行,根据《国家信息化领导小组关于我国电子政务建设指导意见》,并结合我省实际情况,制定本办法。
第二条折叠
电子政务信息安全工作应遵循注重实效、促进发展、强化管理和积极防范的原则。
第三条折叠
省信息化工作领导小组办公室根据省信息化工作领导小组关于电子政务信息安全工作的决策,负责组织协调全省电子政务信息安全工作,并对执行情况进行检查监督。省直各有关部门根据各自握判职能分工负责电子政务信息安全的具体工作。各市电子政务主管部门负责本市电子政务信息安全工作。
第四条折叠
由省信息化工作领导小组办公室牵头,会同省信息产业厅、保密局、公安厅、科技厅组成省电子政务信息安全工作小组,负责制定全省电子政务信息安全策略和工作规范,建立全省电子政务信息安全风险评估体系。各单位要制定本单位电子政务信息安全措施,定期进行安全风险评估,落实信息安全工作责任制,建立健全信息安全工作规章制度,并于每年6月份书面报本级电子政务主管部门备案。
第五条折叠
电子政务网络由政务内网和政务外网构成,两网之间物理隔离。电子政务内网是政务部门的办公专网,连接包括省四套班子和省直各部门。电子政务内网信息安全管理要严格执行国家有关规定。
第六条折叠
电子政务外网是政府的业务专网。全省建设一个统一的电子政务外网,凡是不涉及国家秘密的、面向社会的专业性服务业务系统和不需在内网上运行的业务系统必须接入或建在电子政务外网上,并采用电子政务外网上所要求的信息安全措施。
第七条折叠
电子政务外网必须与国际互联网和其他公共信息网络实行逻辑隔离。全省统一管理电子政务外网的国际互联网出口。凡接入电子政务外网的电子政务应用系统,不得擅自连接到国际互联网。在国际互联网上运行的政府网站,要采取必要的信息安全措施方可接入电子政务外网。
第八条折叠
在电子政务外网上建立统一的数字证书认证体系,建立电子政务安全信任机制和授权管理机制。凡接入电子政务外网的应用系统必须采用省电子政务认证中心发放的数字证书。各市可直接采用省电子政务认证中心提供的数字证书注册服务,也可根据实际应用情况建立本市数字证书注册服务中心,负责本市范围内数字证书的登记注册。
第九条折叠
各级电子政务外网网络管理单位负责本级电子政务外网的公共安全工作,建立信息网络安全责任制。要对陵皮和所管理的本级外网网络进行实时监控,定期进行安全性能检测,定期向主管部门通报网络安全状况信息,并向其网络用户单位提供安全预警服务。
第十条折叠
电子政务外网要建立应急处理和灾难恢复机制。应急支援中心和数据灾难备份中心要制定数据备份制度,制定事故应急响应和支援处理措施,制定数据灾难恢复策略和灾难恢复预案,并报本级电子政务信息安全主管部门备案。全省性电子政务应用系统的主要数据库和重要的基础性数据库,必须在应急支援中心和数据灾难备份中心实现异地备份。
第十一条折叠
各单位要根据国家有关信息安全保护等级的保护规范,明确本单位电子政务应用系统的安全等级,并按照保护规范进行安全建设、安全管理和边界保护。各单位负责其应用系统接入电子政务外网之前的所有安全工作,并配合网络管理单位进行网络安全管理和检查工作。
第十二条折叠
各单位要明确信息采集、发布、维护的规范程序,确保其电子政务应用系统运行的数据信息真实准确、安全可靠。各单位要按照"谁上网谁负责的原则,保证其在电子政务外网上运行的数据信息真实可靠,且不得涉及国家秘密。
第十三条折叠
各单位的电子政务应用系统要建立数据信息的存取访问控制机制,按数据信息的重要程度进行分类,划分访问和存储等级,设立访问和存储权限,防止越权存取数据信息。
第十四条折叠
各单位的电子政务应用系统要建立信息审计跟踪机制,对用户每次访问系统的情况尺盯以及系统出错和配置修改等信息均应有详细记录。
第十五条折叠
各单位的电子政务应用系统应当建立计算机病毒防范机制,要定期使用经国家有关部门检测认可的防病毒软件进行检测。
④ 哪个部门负责统筹协调网络安全工作和相关监督管理工作
1.国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
2.国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
3.县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。明确了网络安全的监管责任,解决了谁来负责的问题。将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。
4.网信部门负责统筹协调网络安全工作和相关监督管理工作,电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作,这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
_网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
法律依据:
《中华人民共和国网络安全法》
第七条_
国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
第八条_
国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定
⑤ 如何提高政府电子政务网的安全性
提高政府电子政务网的安全性的方法:
1.加强政府网站安全工作组织领导,提高责任意识
从哈尔滨市每年开展的政府网站绩效考核工作可以看出,有相当数量部门领导没有把政府网站建设和安全管理工作作为一项重要工作来抓,存在重建设轻管理的问题。借鉴全国其他省(市)的先进经验,一是建议市政府将政府网站纳入地方政府和部门绩效考核体系,作为领导班子综合考核评价的内容之一,作为领导干部选拔任用的依据。二是要按照谁主管谁负责、谁运行谁负责的原则,强化管理和明确责任,确保政府网站安全管理工作落实到人,一层抓一层,做到网站管理不缺位,信息安全有保障。
2.建立健全政府网站安全管理制度,认真贯彻执行。
一是建立政府网站的安全管理制度体系,指导和制约网站安全建设和管理工作。网站出现相关问题时,工作人员要快速向网站相关负责人反映,以便及时得到处理;二是建立网站日常巡检制度,指定人员每日检查网站运行情况,及时发现并妥善解决存在的问题;三是建立具体负责人制度,对网站的网络管理、数据库服务维护、信息处理等实行谁主管谁负责;四是建立节假日值班制度,做到信息及时更新,保证网站不间断运行;建立日志记录备案制度,对网站日常工作要如实记录,并作为技术管理档案保存。
3.加强人才队伍的培养,统筹建立哈尔滨市应急处理体系
一是加强政府网站安全管理培训。通过参加信息安全、信息技术、信息管理等方面的培训,进一步提高网站工作人员整体建设网站、管理网站的能力。二是强化技术支撑保障工作。成立哈尔滨市信息安全测评中心,为哈尔滨市党政机关、企事业单位网站提供技术保障和技术支撑服务。三是建立政府网站专项应急预案,以保证政府网站在事故发生时得到快速、及时处理。四是建立信息安全检查监督机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。
4.统筹规划政府网站群建设,实施集约化管理。
积极推进云模式下政府网站群的集约化建设。一是按照哈尔滨市电子政务建设的总体要求,进行统筹规划,统一网站运行载体,避免分散、重复建设,即:利用哈尔滨市信息中心平台的基础环境作为哈尔滨市政府网站运行载体;由哈尔滨市信息中心平台的技术队伍,承担哈尔滨市政府网站的建设及日常运行的技术维护工作;对于缺乏建设、维护网站能力的单位或部门,不再建设独立网站,由哈尔滨市信息中心平台代为承载其应向社会公众提供的政府信息公开等政务公共服务功能。二是确立统一标准,完善政府信息公开和政务信息资源共享机制,规划“中国哈尔滨”门户网站群及内容管理系统建设,进一步整合各部门政府网站,按照统一规划、分步实施的原则,建立统一的站群管理平台,将哈尔滨市各政府机构网站整合到站群平台上运行,形成以市政府门户网站为核心,以政府机构网站为群体的,资源共享、协调联动的网站群体系,全面提高政府网站公共服务水平。三是加强网站群建设管理,强化安全保障,建立应急响应机制,依托由哈尔滨市信息中心平台现有技术、人才优势,为哈尔滨市政府网站建设单位提供安全技术支持、信息技术培训、网络安全风险评估等服务。
5.加大安全技术体系建设
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作。
一是要加强网络环境安全。首先要安装网站防火墙(WAF)、网站防篡改系统、网络防火墙和入侵检测系统等,在传统的网络防火墙基础上,网站防火墙(WAF)从网络的应用层面提高网站安全防护能力,利用入侵检测系统识别黑客非法入侵、恶意攻击以及异常数据流量, 通过对网站防火墙(WAF)和网络防火墙进一步优化配置来阻断黑客非法入侵、恶意攻击。网站防篡改系统是网站最后一道防护屏障,一旦防护失效时,网站首页或内容被篡改,防篡改系统可立即恢复网站被篡改的内容,不至于造成政治事件和影响,同时给网站管理人员短暂喘息时间,及时修改和完善网站安全配置文件,确保网站安全稳定运行。
二是加强网站平台安全管理。在现有中心平台的基础上,进一步优化完善网络结构、合理配置网络资源,配置下一代防火墙、病毒防护体系、网络安全检测扫描设备和网络安全集中审计系统等设备,从边界防护、访问控制、入侵检测、行为审计、防毒防护、安全保护等方面不断完善哈尔滨市信息化中心平台的安全体系建设,确保在哈尔滨市信息中心平台基础环境下,大数据平台、大工业体系信息化辅助决策平台和云模式下政府网站群平台安全稳定建设运行。
三是加强网站代码安全。一个安全的网站,不但要有良好的网络环境,更要有高质量的应用系统,现时期由于网站代码不严密、安全性差引起的网络安全事件屡见不鲜,这就要求网站技术开发人员在开发应用系统过程中,要养成良好的代码编写习惯,尽量不要使用来历不明的代码和插件,编写程序时要严格过滤敏感的字符,并且在系统开发完成后,要有相应的代码检测机制和手段,及时更新漏洞补丁,从源头上遏制网站挂马、SQL注入和跨站点脚本攻击等行为。要部署网页防篡改系统,网页防篡改系统具备实时阻断非法修改和对非法修改的文件进行恢复的能力,在其他防护措施失效的情况下,能够有效地解决网页被篡改的问题,实现针对网站信息的保护。
四是加强数据安全。要加强数据库的安全,采用正版数据库系统,通过网络安全域划分,数据库被隐藏在安全区域,同时通过安全加固服务对数据库进行安全配置,并对数据库的访问权限做最为严格的设定,最大限定保证数据库安全;部署数据灾备系统,对网站和关键应用系统数据进行定期备份,利用市政府大楼机房环境,将这些数据进行异地备份,确保关键数据安全,防止造成无法挽回的损失。
随着信息技术的飞跃发展,黑客、木马等攻击和入侵手段也随之变化多样且层出不穷,给政府网站的安全管理带来极大的威胁,各级政府、各部门要切实增强政府网站安全责任意识,加强对政府网站安全工作的领导,进一步强化监督管理,明确责任分工,加强安全防范措施,以安全为己任,为哈尔滨市政府网站和重要信息系统安全稳定运行创造一个良好的环境。
⑥ 构建电子政务系统安全体系的原则有哪些
参照我国电子政务建设指导意见并结合电子政务安全体系方面的研究,构建电子政务系统安全体系应当遵循以下原则:
1、全面设计、整体部署:电子政务系统安全体系设计要全面,应充分考虑到电子政务系统环境各个方面的风险,从物理、网络、数据、应用系统等多个方面进行综合考虑和设计并作整体部署,同时加强安全制度建设和教育培训。只有做到不忽视或漏掉电子政务系统中任何一个安全环节,才能够保证整个系统的安全性。
2、统一标准,加强管理:电子政务系统安全体系设计应遵循统一的技术标准和管理标准,除了采用国际标准和我国自主研究的算法之外(包括数据加密解密算法、数据摘要算法、数字签名算法、密钥管理算法等),还要考虑到安全体系将来的扩展性和系统接口要求,采用通用的数字证书标准、统一的接口规范、统一的数据包格式等。
3、需求主导,重点突出:安全体系设计应该以需求为主导,切合电子政务系统对安全的要求,突出安全体系的重点,比如网络安全方面的防火墙设置、入侵监测等、统一的安全管理平台、安全认证平台、统一的日志管理、安全审计等,同时根据数据的安全级别、业务系统的安全层次等采取有区别的安全措施以兼顾系统的性能和效率。
4、灵活配置、动态部署:安全相关的技术发展迅速,电子政务系统的安全需求也在不断变化,因此电子政务系统安全体系设计也需要能够根据变化易于调整和改变。安全体系设计应该提供多种安全策略和方法,并支持灵活的配置方式以允许用户进行选择和动态部署。
5、制度建设、安全培训:电子政务系统用户的安全意识及其掌握的安全相关技术知识是整个安全体系高效、有效运行和正常管理、维护的前提。在电子政务系统安全体系实施过程中,要注意加强安全制度建设,制定安全操作规范,同时定期或不定期对系统用户进行安全相关教育和培训。
⑦ 网络安全责任制是有信息化建设的单位才制定吗
1 不是
2 虽然信息化建设的单位更需要网络安全责任制来保障信息安全,但是根据相关法律法规和政策,所有单位都应该制定网络安全责任制,无论是否谨碧存在轮晌孝信息化建设。
3 此外,网络安腊稿全责任制的制定不仅仅是为了保障单位信息安全,更是为了建立起一种全员参与、全员负责的安全意识和文化,提高整个社会的网络安全水平。
⑧ 中华人民共和国网络安全法的草案全文
第一章总则
第二章网络安全战略、规划与促进
第三章网络运行安全
第一节一般规定
第二节关键信息基础设施的运行安全
第四章网络信息安全
第五章监测预警与应急处置
第六章法律责任
第七章附则 第一章总则
第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。
第四条国家倡导诚实守信、健康文明的网络行为,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第五条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间。
第六条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责按照国家有关规定确定。
第七条建设、运营网络或者通过网络提供服务,应当依照法律、法规的规定和国家标准、行业标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第八条网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员依法加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
第九条国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、宣扬恐怖主义和极端主义、宣扬民族仇恨和民族歧视、传播淫秽色情信息、侮辱诽谤他人、扰乱社会秩序、损害公共利益、侵害他人知识产权和其他合法权益等活动。
第十条任何个人和组织都有权对危害网络安全的行为向网信、工业和信息化、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
第二章网络安全战略、规划与促进
第十一条国家制定网络安全战略,明确保障网络安全的基本要求和主要目标,提出完善网络安全保障体系、提高网络安全保护能力、促进网络安全技术和产业发展、推进全社会共同参与维护网络安全的政策措施等。
第十二条国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门应当依据国家网络安全战略,编制关系国家安全、国计民生的重点行业、重要领域的网络安全规划,并组织实施。
第十三条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业参与网络安全国家标准、行业标准的制定,并鼓励企业制定严于国家标准、行业标准的企业标准。
第十四条国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目。
第十五条各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第十六条国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全技术人才,促进网络安全技术人才交流。
第三章网络运行安全
第一节一般规定
第十七条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;
(三)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
网络安全等级保护的具体办法由国务院规定。
第十八条网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
第十九条网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
第二十条网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证技术之间的互认、通用。
第二十一条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第二十二条任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
第二十三条为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。
第二十四条国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
第二节关键信息基础设施的运行安全
第二十五条国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
第二十六条国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门(以下称负责关键信息基础设施安全保护工作的部门)按照国务院规定的职责,分别负责指导和监督关键信息基础设施运行安全保护工作。
第二十七条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第二十八条除本法第十七条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期组织演练;
(五)法律、行政法规规定的其他义务。
第二十九条关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十条关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查。具体办法由国务院规定。
第三十一条关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的从其规定。
第三十二条关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送相关负责关键信息基础设施安全保护工作的部门。
第三十三条国家网信部门应当统筹协调有关部门,建立协作机制。对关键信息基础设施的安全保护可以采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托专业检验检测机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高关键信息基础设施应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与恢复等,提供技术支持与协助。
第四章网络信息安全
第三十四条网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护。
第三十五条网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的公民个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息。
网络运营者收集、使用公民个人信息,应当公开其收集、使用规则。
第三十六条网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
第三十七条公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
第三十八条任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
第三十九条依法负有网络安全监督管理职责的部门,必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第四十条网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十一条电子信息发送者发送的电子信息,应用软件提供者提供的应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,发现电子信息发送者、应用软件提供者有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第四十二条网络运营者应当建立网络信息安全投诉、举报平台,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
第四十三条国家网信部门和有关部门依法履行网络安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断信息传播。
第五章监测预警与应急处置
第四十四条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第四十五条负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第四十六条国家网信部门协调有关部门建立健全网络安全应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第四十七条网络安全事件即将发生或者发生的可能性增大时,县级以上人民政府有关部门应当依照有关法律、行政法规和国务院规定的权限和程序,发布相应级别的预警信息,并根据即将发生的事件的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全事件发生、发展情况的监测;
(二)组织有关部门、机构和专业人员,对网络安全事件信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布与公众有关的预测信息和分析评估结果;
(四)按照规定向社会发布可能受到网络安全事件危害的警告,发布避免、减轻危害的措施。
第四十八条发生网络安全事件,县级以上人民政府有关部门应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
第四十九条因网络安全事件,发生突发事件或者安全生产事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律的规定处置。
第五十条因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施。
第六章法律责任
第五十一条网络运营者不履行本法第十七条、第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第二十七条至第二十九条、第三十二条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
第五十二条网络产品、服务的提供者,电子信息发送者,应用软件提供者违反本法规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)其产品、服务具有收集用户信息功能,未向用户明示并取得同意的;
(三)对其产品、服务存在的安全缺陷、漏洞等风险未及时向用户告知并采取补救措施的;
(四)擅自终止为其产品、服务提供安全维护的。
第五十三条网络运营者违反本法规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十四条网络运营者违反本法规定,侵害公民个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法规定,窃取或者以其他方式非法获取、出售或者非法向他人提供公民个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处五十万元以下罚款。
第五十五条关键信息基础设施的运营者违反本法第三十条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十六条关键信息基础设施的运营者违反本法规定,在境外存储网络数据,或者未经安全评估向境外的组织或者个人提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十七条网络运营者违反本法规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二万元以上二十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,未履行本法规定的安全义务的,依照前款规定处罚。
第五十八条发布或者传输法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
第五十九条网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)未将网络安全风险、网络安全事件向有关主管部门报告的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不提供必要的支持与协助的。
第六十条有本法第二十二条规定的危害网络安全的行为,尚不构成犯罪的,或者有其他违反本法规定的行为,构成违反治安管理行为的,依法给予治安管理处罚。
第六十一条国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第六十二条依法负有网络安全监督管理职责的部门的工作人员,玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予行政处分。
第六十三条违反本法规定,给他人造成损害的,依法承担民事责任。
第六十四条违反本法规定,构成犯罪的,依法追究刑事责任。
第七章附则
第六十五条本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)公民个人信息,是指以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。
第六十六条存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
第六十七条军事网络和信息安全保护办法,由中央军事委员会制定。
第六十八条本法自年月日起施行。
⑨ 湖南省网络安全和信息化条例
第一章总则第一条为了保障网络安全,促进信息化发展,提高数字化水平,推进经济社会高质量发展,根据有关法律、行政法规,结合本省实际,制定本条例。第二条本省行政区域内的网络安全保障和信息化促进等活动适用本条例。第三条网络安全和信息化工作应当贯彻总体国家安全观,遵循统筹规划、创新引领、开放共享、保障安全的原则。第四条省网络安全和信息化议事协调机构负责研究制定本省网络安全和信息化发展战略、宏观规划和重大政策,统筹协调本省网络安全和信息化重大事项和重要工作,推进本省网络安全和信息化法治建设。第五条县级以上负责网络安全和信息化工作的部门(以下简称网信部门)负责本行政区域网络安全和信息化统筹协调、督促落实和相关监督管理工作。
县级以上人民政府工业和信息化、发展改革、科技、公安、财政、政务等部门和国家安全机关、省通信管理机构按照各自职责做好网络安全和信息化相关工作。第六条县级以上人民政府应当将网络安全和信息化发展纳入国民经济和社会发展规划,安排网络安全和信息化专项资金,引导和支持社会资金投资网络安全和信息化建设。
鼓励企业、科研机构、高等院校、行业组织和个人参与网络安全共同治理与信息化发展工作。第七条县级以上网信部门应当根据上一级网络安全和信息化发展规划以及本行政区域国民经济和社会发展规划,编制本行政区域网络安全和信息化发展规划,经本级人民政府批准后发布实施,并报上一级网信部门备案。
县级以上人民政府有关部门应当根据实际需要,编制本系统、本部门的网络安全和信息化专项规划,并与本行政区域网络安全和信息化发展规划相衔接。第八条编制网络安全和信息化发展规划、专项规划,应当组织专家论证,广泛征求意见,坚持安全可控、合理前瞻、科学布局、绿色集约、开放共享的原则,防止重复建设和资源浪费。第九条省人民政府标准化部门应当会同有关部门制定完善本省网络安全和信息化地方标准并监督实施。
鼓励有关单位参与制定修订网络安全和信息化国际标准、国家标准、行业标准、地方标准,自主制定高于国家强制性标准的团体标准、企业标准。第十条县级以上人民政府应当加强网信人才的培养和引进。
省人民政府及其有关部门应当支持高等院校建设计算机科学与技术、网络空间安全、集成电路科学与工程等学科,建设重点网络安全和信息化研究基地,支持建设国家一流网络安全学院和网信人才培养基地,加强高等院校与实务部门的人才交流。
省人民政府人力资源和社会保障部门应当会同有关部门,建立健全网信人才职称评价制度和职称评聘制度。第十一条县级以上人民政府应当组织有关部门、教育机构、公众传媒、村(居)民委员会开展网络安全和信息化宣传活动,提高全社会网络安全意识和信息技术应用能力。
县级以上人民政府及其有关部门应当将网络安全教育和信息化内容纳入国家工作人员培训和普法考核,普及中小学信息技术教育,发展信息技术职业教育。第十二条县级以上人民政府应当将网络安全和信息化工作纳入经济社会发展考核体系,建立绩效评估指标,对本行政区域各部门和下级人民政府进行网络安全和信息化工作考核。第二章网络安全保障第十三条县级以上人民政府及其有关部门应当按照谁主管谁负责、属地管理原则,落实网络安全责任制,建立健全网络安全保障体系,提升网络安全保护能力,实现网络、关键信息基础设施、重要信息系统和数据的安全可控。第十四条县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机关、省通信管理机构依照有关法律、行政法规的规定,在各自职责范围内负责网络安全、数据安全、个人信息保护和相关监督管理工作。第十五条省人民政府对本省行政区域内未列入关键信息基础设施的重要信息系统,在网络安全等级保护制度的基础上,实行重点保护。
重要信息系统的具体范围和识别指南由省网信部门会同公安等部门制定。第十六条重要信息系统的行业主管或者监督管理部门指导和监督本行业、本领域的重要信息系统运行安全保护工作,负责编制和组织实施本行业、本领域重要信息系统安全规划,建立健全网络安全监测预警和网络安全事件应急预案,定期组织开展网络安全检查监测、应急演练,对重要信息系统进行识别并向省网信部门、公安机关报送识别结果。
⑩ 谈谈我国平台化模式建设中,如何加强电子政务网络安全系统的建设
答:网络安全建设是一个系统工程,该区电子政务网网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合
任何网络的安全都不单靠先进的安全技术或安全产品来实现的,必须结合管理。尤其是当前我国发生的网络安全问题中,管理问题占相当大的比例。因此,在建立网络安全技术设施体系的同时,必须建立相应的制度和管理体系,才能保证网络持续和整体的安全
答:如何进一步加强电子政务的安全建设
(1) 安全保障为先
安全是应用的保障。在电子政务建设之初,有关部门就应该考虑电子政务安全体系建设。不管是构架在政务内网还是在政务外网的电子政务平台,都必须把安全保障作为首要任务。事实上,没有绝对安全的网络,因此,做好安全保障工作,是需要所有电子政务建设者思考和探索的问题。现阶段,有些人片面地认为电子政务平台构架在政务内网就绝对安全,这样的极端认识造成目前一些内网建设出现不分级保护、简单口令或低级技术的软盘登陆、不设防的网络构架、无任何管理制度等问题,给电子政务的安全带来隐患。
而构架于互联网的电子政务建设,在信息安全方面存在更大的风险,这也给电子政务建设带来了挑战和考验,因此在安全上不能有丝毫松懈,在规划和建设过程中必须有更高的标准和要求
(2) 根据需求做好安全保障
电子政务安全体系建设必须从实际出发,做到适度安全,通过综合防范、构建有效的安全体系,使电子政务既安全又实用才是其目的所在
(3)全方位构建电子政务安全保障体系
电子政务建设如果没有完备的安全保障体系,将举步维艰
1), 网络构架的安全。政务内网和外网建设都必须严格按照国务院文件要求,按内外网物理隔离的方式进行建设。同时,网络安全设备合理划分、限级访问、软硬件安全防范、信息安全传输策略等都是安全保障工作的基础。玉林市通过对安全等级和安全域的划分,对不同等级信息系统和安全域的安全保护采取管理与技术相结合的手段,实现了适度的安全保障,提高了信息系统的整体防御能力
2), 信息分级管理与防护。在电子政务建设中,必须高度重视信息安全。但是一味地强调安全,从而忽视对政府信息资源的充分公开,必然对电子政务的应用造成许多人为的障碍,电子政务的价值也会大打折扣。同样,不能因为片面强调安全,而把所有应用系统建设在内网上,使一些可以公开的公众数据封闭在内网,造成资源的严重浪费。实际上,不同的电子政务系统,对于信息安全的要求也有所不同。玉林市电子政务建设在风险分析的前提下合理定级,对信息进行分域防控和分级防护。在分域防控方面,将信息分为公开信息处理区和敏感信息处理区,根据其不同特点分别进行防护;在分级防护方面,将信息分为完全公开、内部公开和部分授权三类,采取不同的安全措施,合理有效地保障了信息安全
3), 完善网络安全基础设施。网络安全基础设施,是为信息系统应用主体和网络安全执法主体提供网络安全公共服务和支撑的一种社会基础设施。目前我国网络安全基础设施的建设还处于起步阶段,如网络监控中心、安全产品评测中心、网络安全应急响应中心、计算机病毒防治中心、系统灾难恢复中心、电子交易安全证书授权中心、密钥监管中心等网络安全基础设施尚未建设完全。目前,部分电子政务应用系统只能依靠口令和软盘登陆,带来了重大安全隐患。玉林市电子政务则建立了有效的身份认证、数字签名、授权管理、责任认定机制,并通过用户分级授权保证等级保护的分类实施,保证了系统使用的灵活性。同时,玉林市加强了信息安全监察,如统一威胁管理系统、入侵检测系统、防篡改系统等,健全了电子政务应急响应和灾备建设,通过制度和技术手段,保证系统的正常运行
4), 从管理体制上落实安全责任制。利用先进的技术手段,是电子政务安全建设的保障。但技术不是万能的,技术与管理的并重才能事半功倍。因此,必须健全网络安全的法律法规,强化电子政务信息安全的法制管理。电子政务应用系统的操作者都必须提高自身素质,因为内部人员是否对网络进行恶意操作和是否具有一定程度的网络安全意识,在很大程度上决定着网络的安全等级系数和防护能力。要落实各项安全保障制度,如所有信息的定密制度(为信息的公开提供可行性依据)、网络区域的有限划分制度(划分不同的网络区域,针对不同的安全级别制定不同的安全策略,采用不同的网络安全设备)、完善的内部监控与审核制度、公钥(私钥)管理体系、灾难响应及应急处理制度等等。此外,还应加大执法力度,严格执法。玉林市在电子政务建设过程中,由市信息办会同公安、保密等部门对该市的电子政务系统进行了安全等级评估和风险评估,并制定了电子政务应急预案。
电子政务信息安全保障工作不是一成不变的,它是一个动态发展的过程。随着安全攻击和防范技术的发展,电子政务的安全保障措施也要因时因势分阶段调整,这样才能把风险降到最低