重庆百变王牌直播观看|重庆百变王牌彩票网

您好,歡迎訪問中保天和!

今天:2019年11月23日

咨詢熱線:010 - 84264757

首頁
專項服務
解決方案
新聞中心
政策規范
技術前沿
專家視角

我司通過各種資源,力邀行業內的權威專家對時代熱點和相關政策法規進行解讀,站在信息行業的制高點,描繪行業的宏偉藍圖,促進行業的健康發展。 以專家的視角,用事實說話,力求前瞻性和權威性,為企業和個人的發展提供參考依據

關于我們

咨詢熱線:

010-84264757

中保天和1
中保天和2

關注中保天和官方微信

我們的位置

地址:北京市東城區和平里7區16號樓1231室
公司電話:010-84264757/01084264758
傳真 :010-84264087 

安全風險評估

您的位置:首頁 > 我們的服務 > 安全風險評估

云計算、物聯網帶來的業務轉型是網絡安全預算的催化劑

企業紛紛加速其云計算、在線服務的使用,準備好進行物聯網的部署,卻突然發現自己在招募網絡安全人才和安全工具上捉襟見肘。2017全球信息安全狀態調查(GSISS)——由普華永道、CIO和CSO聯手進行的世界范圍調查,其中最重要的結論之一就是如此。

GSISS調查顯示:59%的受訪者稱,因為數字技術使用的增加,以及為給客戶、員工和合作伙伴提供更多的數字服務和應用而革新業務模式,他們在安全方面的開銷也在飛速增長。這些安全工作包括在云計算環境、數據挖掘和托管安全服務上所增加的投資。該調查自2016年4月4日起,到2016年6月3日,在網上進行。

調查發現,受訪者打算在接下來1年里投注到網絡安全開支上的優先度是相當可觀的:企業內部的協作改進(51%),保護不斷變化的業務模式(46%),捍衛IoT部署(46%)。

軟件開發和IT之外的云計算的廣泛采納還將強勢持續。而IT,毫不意外,是在云端執行各種功能的主力業務部門,占63%;其他諸如財務(32%)、市場和銷售(34%)、客戶服務(34%)和運營(35%)等部門,則在有多少業務職能運行在云環境上這方面奮起直追。

隨著這些企業對云、移動和IoT的采納趨勢不斷加速,這些技術對安全開支上的影響也在顯現。SANS研究所新興安全趨勢主管約翰·佩斯卡托稱:“安全開支傾向于在短期內受威脅改變的影響,業務技術上的改變需要更長的時間才會影響到開支,而云使用的增長將會產生最大的影響。”

賈瓦德·馬利克,AlienVault安全倡導者,前 451 Research 安全分析師。他補充道,即將到來的部分趨勢包括使用云、移動、API和數據以直觀的方式改善客戶體驗。因此,IT安全運營模型必須要改變,或者調試成將這一新現實納入考慮的模式。或許,已發生的最大改變,就是從技術上抽取安全控制,更重要的是,讓安全控制遠離客戶。

這是怎么做到的?在監視、行為分析和意識工具上增加投入!想讓企業持續創新,不受安全瓶頸影響,就得這么干——而且安全還能隨時注意運營情況,給公司業務運營上保險。調查發現,63%的企業將IT服務運行在云端,62%采用托管安全服務,超過半數企業正在使用安全分析。

重大安全轉變

到混合遺留云、公共云和私有云環境的過渡,企業做得怎么樣?受調查對象毫無二致地回答:不是太好。

Northside Hospital IT安全經理兼 Southern Fried Security 播客主持馬丁·費舍認為,IT運營團隊正在分裂成不同的群體,分別關注內部托管的各個系統,其他人則將精力投放到自身業務中各種不同形式的云計算環境。“這些運營的集成非常困難,我不確定除獨角獸初創公司之外,有誰是完全解決了該問題的,至少,醫療行業還沒有。”

SANS的佩斯卡托同意此觀點:“軟件即服務(SaaS)和基礎設施即服務(IaaS)在使用上的增長,絕對導致了安全方法上的分裂。投向安全軟件和硬件的資金,被轉向了安全人員方面的實際技術增長。”大型企業遭遇此類挑戰很常見。原因在于,SaaS意味著你不能使用安全代理或應用,除非是像Outlook365、谷歌工作、Salesforce之類的大SaaS服務。這些服務具備安全功能和可用于擴展安全策略到SaaS應用的API——就是對安全人員的技術水平要求更高了點兒。同樣地,IaaS中你也能使用軟件和虛擬設備。

這些具備更高技術水平,或者說幾乎無所不能的網絡安全人才,是很難遇到的——讓企業IT安全更難管理了。很多企業試圖通過托管安全服務來彌合自身技術缺口。據該項調查顯示,62%的受訪者使用安全服務提供商來運營和強化他們的IT安全項目。他們外包的服務包括:身份驗證(64%)、數據遺失預防(61%)、身份和訪問管理(61%)、實時監視和分析(55%)、威脅情報(48%)。

企業也越來越習慣于外包安全方面的工作。對云安全性的不合理恐懼正在被更審慎的態度取代。不過,技術缺口問題依然存在。大多數內部安全團隊不堪重負,沒有時間來監視和響應所有警報。因此,將某些此類任務轉給托管安全服務提供商,可以減輕些負擔。

有3個主要趨勢在驅動轉向外包:

招聘和留住合格員工的極端困難性;

很多企業的運營預算難以應付復雜的基礎設施管理;

托管安全服務提供商已經成熟到更加靈活的程度,比如說,混合安全提供商就能管理你屋里的SIEM,這在之前是不行的。

不能被輕易商品化的功能才留在內部。比如,ICS/SCADA和生物醫學安全就非常特殊,很多人都覺得不能外包。但身份和訪問管理是可以交給合格合作伙伴的。商品與否的界限一直在改變,是動態的。因而,作為CISO,在接下來一系列的更新周期中做出正確決策,就十分具有挑戰性了。

關注威脅情報和數據共享

威脅情報、數據和信息共享是今年的熱議話題。51%的受訪者稱自己使用安全數據分析,來建模網絡安全威脅和標定正在進行的攻擊。這一對數據的饑渴,就是為什么企業轉向云和外包的另一個原因。依賴托管安全服務的受訪者中,55%在安全監視和數據分析上依賴他們的提供商。這些提供商的另一大好處,是他們能訪問安全運營和威脅情報融合中心。

邁克爾·埃克爾斯,認證信息共享與分析組織國際聯盟執行董事兼CEO,前美國國土安全部網絡聯合項目管理辦公室主任。他認為,企業越來越熱衷于網絡安全信息共享。通過企業間數據共享,有機會分攤開銷。數據共享可使企業享用到共享合作伙伴的專業知識,或者所屬利益社區、地區或行業有人可用;如果有事發生在他們身上,同樣的事件也可能發生在你身上。數據共享能使你擁有極具價值的威脅情報。

這毫無疑問,且考慮到企業采納技術創新的加速,以及當今攻擊者的決心和毅力,CISO們需要所能找到的方方面面的優勢。

國家網絡安全宣傳周將啟 聚焦大數據安全


國家網絡安全宣傳周將啟

網絡安全技術高峰論壇將聚焦大數據安全

記者9月7日從中央網信辦獲悉,2016年國家網絡安全宣傳周將于9月19日至25日在湖北省武漢市舉行。今年網絡安全宣傳周的主題是“網絡安全為人民,網絡安全靠人民”。

中央網信辦網絡安全協調局局長趙澤良在今天的新聞發布會上介紹說,今年上半年,經中央網絡安全和信息化領導小組同意,中央網信辦、教育部、工信部、公安部、新聞出版廣電總局、共青團中央六部門聯合印發了《國家網絡安全宣傳周活動方案》。

方案明確,從今年開始,網絡安全宣傳周于每年9月第三周在全國各省區市統一舉行,目的是通過廣泛開展網絡安全宣傳教育,增強全社會網絡安全意識,提升廣大網民的安全防護技能,營造健康文明的網絡環境。

據介紹,今年宣傳周活動主要內容包括:一是舉辦網絡安全博覽會。近百家國內外的知名互聯網企業、網絡安全企業將參加展覽,這些企業是從眾多報名參賽企業中按照突出知識性、互動性、體驗性、趣味性的要求,由專家評審確定的。

二是首次舉辦網絡安全技術高峰論壇。論壇圍繞網絡安全人才培養、大數據安全技術、智慧城市建設及安全保障、網絡安全標準與技術、工業控制系統安全等主題交流討論。國內知名院士專家、大型互聯網和網絡安全企業的高管、相關部門的負責同志,以及來自俄羅斯、美國、英國、以色列、南非、新西蘭和中國香港的企業領袖和專家將參會并演講。

三是首次舉辦網絡安全電視知識競賽。前期,在各省區市選拔賽的基礎上,來自28個省區市的代表隊在武漢市參加了復賽暨青少年網絡安全夏令營活動。通過復賽選出了8支代表隊進入決賽。決賽將在武漢市舉行。

四是表彰網絡安全先進典型。為加快網絡安全人才培養,中央網信辦、教育部指導中國互聯網發展基金會網絡安全專項基金組織開展了網絡安全優秀人才、優秀教師等評選活動。經過中央有關部門和院士推薦、專家評審、公示,評選出網絡安全杰出人才1名、優秀人才10名、優秀教師8名。中國互聯網發展基金會網絡安全專項基金決定獎勵網絡安全杰出人才100萬元、優秀人才每人50萬元、優秀教師每人20萬元。

五是公開征集網絡安全公益廣告。在全國范圍內共征集近兩萬件公益廣告作品,經專家評審,最終評選出優秀微視頻10個、卡通漫畫9件、口號標語22條、公益廣告12幅。這些公益廣告作品將在全國范圍播放。

據介紹,目前各省區市都已結合各地實際,制定了網絡安全宣傳周實施方案,各項籌備工作進展順利。(余瀛波)


可視化 給網絡安全擦亮眼睛

傳統的網絡安全只有專業人員才看得懂,普通人常常看不見、摸不著、抓不住——

可視化,給網絡安全擦亮眼睛


網絡安全具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏幾年都發現不了,結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”,長期“潛伏”在里面,一旦有事就發作了。

習近平總書記今年4月在網絡安全和信息化工作座談會上的這段講話,被中國科學院信息工程研究所信息安全國家重點實驗室主任林東岱在日前召開的全國首屆可視化網絡安全技術論壇上引用。

“這‘三個不知道’,正是由于網絡安全通常看不見、摸不著、抓不住。”林東岱說,解決這“三個不知道”,需要可視化技術。這一技術的本意,便是讓網絡安全“能感知、可體驗、好追溯”。

看得見才是“真安全”

讓網絡安全看得見,就要建立可視化平臺,讓不懂安全的人看懂安全、體驗安全、維護安全

何為可視化?

“有賊我知道,你倒是抓一個出來看看。我們做網絡安全的,最常聽到客戶這樣抱怨。”北京安博通科技股份有限公司CEO蘇長君說,安全設備常常買、安全事件常發生、出了事兒一頭霧水——客戶對于網絡安全不可控、不可知,就是因為缺少一個基于安全視角的可視化網絡平臺。

所謂可視化,就是把網絡管理中人員準入、帶寬流量等關鍵信息,以圖形化方式展現出來,通過數據、配置、策略、效果的可視,使管理者全面掌握網絡狀態。

簡而言之,可視化針對可疑的流量、數據,目的是讓不懂安全的人看懂安全、體驗安全、維護安全。

蘇長君對可視化的關注,始于一次安博通“內賊”事件。

2014年,安博通遭受了一次網絡攻擊。一個員工賬號總是遠程登錄,而登錄地址又很陌生。“這位員工沒有出差,為什么要遠程登錄呢?”蘇長君試著用一些可視化的手段追蹤,發現該賬號一直在拷貝技術代碼,對登錄地址做了溯源后,追查到是一家市場上的競爭對手。最終,被證實是一名跳槽去了競爭對手公司的離職員工,仿冒在職員工的賬號遠程登錄。

抓賊經歷讓蘇長君開始反思:傳統的網絡防護還能適應新時期的安全需要么?

他說,傳統的網絡安全還大部分停留在網絡邊界防護、漏洞檢測和特征補丁與日志分析上,這些手段都相對孤立和靜態,只有專業人員看得懂,客戶則很茫然。

打個比方,企業自身的內網與互聯網之間有一道門,傳統網絡安全好比請門衛看守大門。一旦有人帶著槍炮前來,就會被門衛攔住。但現在,網絡安全開始向著“高級持續潛伏”轉變,敵人打入內部,一開始完全不具備“槍炮”特征,就是個正常人,通過很長一段時間,甚至3到5年的潛伏才逐步實現自己的目的。

“當門衛不再能辨別出風險時,最好的方法就是在大樓的每一個角落安裝攝像頭,每個人訪問了什么路徑、下載了什么資源、登錄了什么網站,都被攝像頭一一記錄,通過全網可視化盯梢持續性和潛伏性的威脅。”蘇長君說。

可視化平臺就像是管控一個車站,先劃分出不同區域,然后在進站區安裝檢測儀器、在站內區域和不同位置安裝攝像頭、重點區域有民警手動核查身份證、售票區域有執法人員打擊黃牛、車站周邊嚴防治安問題,共同構成一個防御體系。

最近,安博通與中科院信息工程研究所合作研發的SG-8000系列深度安全網關正式發布,這款采用了多媒體內容安全識別技術的產品,能夠廣泛應用于國防、公安、平安城市等不同場景。

“我們必須推進國產化戰略,在對網絡安全起重大作用的信息基礎設施和信息關鍵核心技術方面,實行國產化替代,其中可視化安全領域就是一個重要方面。”中國工程院院士倪光南說,在“互聯網+”這一挑戰與機遇并存的新時代,信息化已成為全面推動產業升級的支柱力量,而與信息化相輔相成的網絡安全,是發展的前提、也是發展的保障。

學老中醫治“未病”

治“未病”強調事前安全,增強企業自身的網絡免疫能力,將防御模式從被動轉為主動

“圣人不治已病治未病,不治已亂治未亂,此之謂也。”郭峰引用了《黃帝內經》中的這句話來闡明自己的觀點。

作為太極股份信息安全事業部總經理,郭峰認為,國內的信息安全圈注重攻防多于防御,過分聚焦外部的攻擊和威脅,卻忽視了企業信息安全自身防御體系情況。

“不治已病治未病,這一理念同樣適用信息安全領域,企業對于安全的認識通常是在安全事件發生后,屬于事后安全,而‘治未病’強調事前安全,增強企業自身的網絡免疫能力,將防御模式從被動轉為主動。”郭峰說。

他說,作為行業風向標,全球最具權威的IT研究與顧問咨詢公司Gartner公布了關于2016年十大信息安全技術的研究成果,其中自適應體系的核心強調了可視化監控,讓可視化在整個信息安全領域中得到了極大的關注。通過提高網絡自身免疫力,讓業務系統兼具自適應的防御和修復風險的能力,讓業務安全可視、可管、可控,是可視化網絡安全技術的核心理念。

“就像人體免疫系統隨時處于戰備狀態,一旦有病菌侵入身體,就會迅速發現并作出反應。”蘇長君說:“當我們設置好網絡基線或策略時,這張網就具備了自身免疫力。”

他解釋說,這相當于事先規定一棟大樓哪兩道門之間不能走、哪兩層樓之間不通、哪些人不能去哪些地方。一旦財務部人員的電腦訪問研發部的代碼服務器,就好比一個人進了不該進的辦公室,可視化系統就會及時響應、觸發報警、消滅外部入侵。不但敵人潛伏路徑易被發現、內部的安全弱點更易暴露、入侵之后的追蹤和取證也容易得多。

“這是智慧城市治理的關鍵技術。”在首屆可視化網絡安全技術論壇上,中國電子科技集團首席專家董貴山作出如下判斷:基于電子政務,依托可視化技術構建的智慧城市是未來的發展趨勢。

他說,通過網絡空間本身的可視化,能實現網絡治理的可視化;通過信息化,又能在網絡空間實現社會治理的可視化。

“在未來智慧城市和網絡治理中對接各類數據和應用,這一技術能為城市管理者、城市服務者、公眾等智慧城市主體提供直觀、科學、全面的數據資源分析結果展示和未來預判,是基于大數據和電子政務實施智慧治理的關鍵支撐技術,將為智慧城市的構建提供有力的網絡安全保障。”董貴山說。(記者 陳瑩瑩)


必須高度重視網絡安全和信息化工作

王金龍同志介紹了中央網信辦對開展網絡安全檢查工作的部署和要求,對全校網絡安全和信息化的有關工作做了說明布置,大家可以體會到中央及中央網信辦對網絡安全和信息化工作高度重視。近年來,隨著信息化的快速發展和廣泛應用,網絡安全問題日益突出,黨校信息化也面臨同樣的形勢。從最近幾年我校開展網絡安全檢查的情況看,一些同志對網絡安全的重要性認識還不太到位,安全措施還不夠有力,我校的網絡安全工作還沒有達到中央網信辦的要求。這里,圍繞中央的要求,我談兩點意見。

深入學習領會習近平總書記關于網絡安全的重要論述

黨的十八大以來,習近平總書記高度重視網絡安全和信息化工作,強調網絡安全和信息化事關國家長治久安,特別是2014年成立了中央網絡安全和信息化工作領導小組,習總書記親自擔任組長,將維護網絡安全上升為國家戰略。從中央網絡安全和信息化工作領導小組第一次會議以來,習近平總書記發表了一系列重要講話,提出一系列新思想、新觀點、新論斷,體現了我們黨對互聯網發展治理規律的深刻認識和準確把握,為我國網絡安全和信息化發展指明了方向,我們要認真學習領會習總書記重要講話精神。

要充分認識網絡安全的極端重要性。當今世界,網絡已經成為陸、海、空、太空空間外的第五大戰場。隨著信息化的快速發展,網絡正在改變人民群眾的工作生活方式,正在催生“誰控制網絡空間誰就能控制一切”的法則,網絡安全已經成為信息時代國家安全的戰略基石。習總書記多次強調沒有網絡安全就沒有國家安全,網絡安全事關我國國家安全和社會穩定,事關人民群眾的切身利益。有人說,中國共產黨執政成功與否,很重要的就是能否成功引領、管控互聯網。國外勢力一直沒有放棄對我們的網絡攻擊,通過網絡竊取我國機密、攻擊我國網站等活動日益頻繁,已經深深地嵌入我們的工作和生活,和我們密切相關。我校也發生過多起網絡安全事件,所以大家一定要在思想上高度重視,充分認識網絡安全的極端重要性,要時刻繃緊網絡安全這根弦。

要樹立正確的網絡安全觀。有些人認為,既然網絡存在這么大的安全隱患,那么我們是不是可以一封了之,在日常工作中不用信息化手段。習總書記多次強調這種觀點是錯誤的,是不符合時代潮流和發展規律的,也不是解決問題的辦法。互聯網發展是世界潮流,信息化發展大大提高了我們的工作效率,促進了社會文明高速發展,我們一定要順應時代潮流,正確認識網絡安全和信息化相鋪相成的辯證關系。不要把網絡發展與網絡安全對立起來,安全是發展的前提,發展是安全的保障,安全和發展只有同步推進才能更好地服務人民、造福人民。國家網絡安全要靠我們每個單位、每個人來維護,不單是信息部門的責任,因此,我們要共同參與、共筑網絡安全防線。

要樹立做好網絡安全工作的信心。我國是有七億多網民的互聯網大國,網絡內容魚龍混雜,既有積極的正能量,也有西方國家和敵對勢力對我國網民的輿論誤導,對我黨執政理念的惡意丑化和誹謗,對重要基礎設施的網絡攻擊,尤其是隨著大數據、云計算技術的迅猛發展,很多敏感信息都已經在互聯網中存在,管理任務復雜而繁重。面對如此艱巨的任務,以習總書記的重要講話為指導,充分調動全社會的力量,大力發展信息化的核心技術、提高競爭力,堅持互聯網發展治理的原則和主張,我們一定能夠做好我國的網絡安全工作。所謂道高一尺,魔高一丈。

采取切實措施做好我校網絡安全工作

認識是先導,關鍵在落實。維護好我校網絡安全是個系統工程,要齊抓共管,人人守責。

第一,加強組織領導,強化部門責任。維護全校網絡安全是一項系統工程,不是哪一家單位自己就可以做好的,必須全員參與。要進一步健全我校網信工作領導體系和工作機制,按照中央網信辦要求,明確各直屬單位領導責任和工作責任。信息中心作為網絡安全的技術保障部門,要做好網絡安全的頂層設計和技術防護工作,各直屬單位要加強責任意識、保密意識,認真做好網絡安全的日常工作,包括網絡安全檢查的各項工作,將網絡安全當做部門的大事來抓。

第二,完善網絡安全管理制度,加強網絡安全事件應急演練。信息中心要按照國家有關網絡和信息安全的要求,結合我校實際,建立并完善網絡安全管理的各項規章制度,重點是按照國家有關信息安全等級保護工作要求,進一步做好我校重要應用系統和網站信息安全等級保護的評測、整改和制度完善等工作。細化我校網站和應用系統的應急預案,建立重大網絡與信息安全事件處置和報告制度,加強網絡安全的應急演練工作,發生事件后要立即采取措施降低損害程度,保存好相關記錄,并按照應急處置程序及時向有關部門報告,不斷提高網絡安全事件應對能力。

第三,加強督促檢查,提高監管水平。要建立定期督促檢查的工作機制,在校網絡安全和信息化領導小組的領導下,定期開展全校各直屬單位的網絡與信息安全監督檢查工作,通過自查、抽查和安全檢測等形式,做到盡早發現、提前防范、及時補救。信息中心要加強對我校各類網站和應用系統的監督管理工作,對于托管在外的網站和系統要對托管單位的資質進行檢查,要通過技術手段對我校的網站和應用系統進行安全掃描,及時發現問題,及時消除隱患。

第四,確保必要的資金和人才投入,提高做好網絡安全工作的能力。建立穩定的網絡安全與信息化經費保障機制,重點支持信息安全等級保護、安全防護能力建設、信息安全服務、人員培訓等工作。加強對信息工作人才隊伍的培養,形成培養、選拔、吸引和使用網絡安全人才的良性機制。研究建立多層次網絡與信息安全技術防護體系,配置完善網絡與信息安全防護設備和軟件,不斷提高信息安全能力。(徐偉新)

淺談對推動網絡安全和信息化工作的認識

5月16日,黃委黨組書記、主任岳中明主持召開2016年黃委網絡安全和信息化工作領導小組第一次全體(擴大)會議(以下簡稱“516會議”),明確指出實現黃河治理體系和治理能力的現代化,根本途徑是信息化,必須以信息化倒逼管理的規范化和現代化。他強調“著力‘數字黃河’向‘智慧黃河’升級發展”,并對2016年信息化工作提出了“六個一”的要求。筆者經認真學習思考,現與讀者分享一些認識和理解,以期有助于治黃信息化工作。

一、珍惜機遇,奮發作為

目前,中央圍繞實施國家信息化發展戰略,已密集啟動了系列重大行動,包括“互聯網+”、大數據、云計算、智能制造等。經濟社會及新一代ICT快速發展的雙驅動,引發了“數字化”向“智慧化”的發展,以大數據應用為核心的智能化、智慧化已成為趨勢,信息化正面臨著轉型發展的新機遇。

在新的發展形勢和發展機遇下,黃委網絡安全和信息化工作呈現出新特征。一是與其他先進行業和地方的信息化相比,近年來治黃信息化的精準推動較弱,發展速度相對變緩,行業影響力變弱。對此,我們已經有了深刻分析和清醒認識。二是“516會議”提出了推動“數字黃河”向“智慧黃河”轉型發展的目標,治黃信息化正處在新一輪大發展的起點。三是新目標必將要求我們創新發展理念、激活新的發展動力。治黃信息化要遵循信息化發展普遍規律,以提升服務治黃業務能力為核心,加強信息化基礎支撐能力和網絡信息安全;要強化大數據思維,提升管理的前瞻性、主動性、協同性及決策智能性;要深刻理解“互聯網+”內涵及物聯網帶來的思維變革,有效加大治黃水利工程建設對治黃信息化建設的帶動。

推動治黃信息化發展及其與業務的深度融合,需“用萬物之能而獲利其上”。信息化建設與管理的各級力量和各級治黃業務單位的力量,需互聯協作、主動作為,奮發作為、綜合發力,相互轉換、形成合力。

二、統籌謀劃,重點帶動

年初,黃委黨組提出了今后5年治黃工作的總體目標,對網絡安全和信息化工作也提出了相應要求,“516會議”又進一步做出部署。為使上述精神真正落到實處,必須進一步統籌謀劃,深入細致地研究分析,提出指向清晰、可理解、可實施的行動方案,重點帶動。

關于“十三五”發展規劃。一要認真總結以往的規劃及其實際作用,吸取經驗、分析不足,全面研判新形勢、新需求、新發展,編制好黃委網絡安全和信息化發展“十三五”規劃。二要認真分析研究國家推動“互聯網+”、物聯網、云計算、大數據、寬帶通信、地理測繪信息技術、北斗導航、衛星遙感技術和無人機技術等新一代信息通信技術的戰略部署和實施計劃,緊抓水利部推動“數字水利”向“智慧水利”發展的機遇,充分利用公共資源,借力發展。三要準確把握實現黃河治理體系現代化和治理能力現代化的現實需求和發展需要,堅持應用至上、實用為本,堅持以新發展理念為指導。四要圍繞向“智慧黃河”升級發展、全面提升治黃體系和治黃能力現代化、更好支撐流域水資源最嚴格管理、信息資源整合共享以及網絡信息安全等,與全國水利信息化發展“十三五”規劃相銜接。五要注重技術進步和創新應用,廣泛吸收先進經驗,著力關鍵點突破、短板瓶頸突破。

關于信息化資源整合共享。習近平總書記4月9日在網絡安全和信息化工作座談會上明確提出,要打通信息壁壘,構建全國信息資源共享體系,更好用信息化手段感知社會態勢、暢通溝通渠道、輔助科學決策。對照這個要求,治黃信息化首先要感知黃河水沙及相關的經濟社會態勢,充分采集和收集數據,暢通數據信息傳輸,開放共享的渠道,實現智能化的科學決策。其次要打通信息壁壘,實現治黃信息化資源整合、共享、開放。“516會議”提出的“六個一”要求,本質上是治黃信息化資源整合共享。信息化資源整合共享、公共信息化服務能力的建設等,是各項業務應用系統能夠高水平、可持續科學發展的必要前提和基礎。

治黃信息化資源整合共享,是當前的短板,在不同的場合,水利信息化的有關領導和專家曾多次提醒。必須看到,黃河水資源管理調度項目、國家水資源監控能力項目、中小河流和山洪災害預警項目以及國家防汛指揮二期項目等國家直管重點項目,由于建設管理體制的條塊性,致使項目帶動治黃信息化資源整合共享的潛能沒有充分發揮出來,一定程度上還產生了資源整合共享的新問題。在資源整合共享方面,長江委、珠江委、上海水務局、北京水務局、廣東省、浙江省及寧夏自治區等,走在了黃委前面。當然,黃委也積極開展了許多工作,取得了一定進展,具備了較好的發展基礎和條件。

信息資源整合共享只有起點、沒有終點,只要有新的信息資源產生,就要解決其共享問題;同時,資源整合又涉及各個業務方面和環節,面廣、量大,工作極為細致復雜。因此,需要進一步完善、細化、豐富有關辦法和標準規范,對資源整合共享做出統一規劃。在體制完善、制度制定和管理落實上,要避免新建信息資源的重復和分散問題。根據水利部確定的有關工作原則和要求,要從有利于落實資源整合共享的角度,進一步統籌提煉,形成針對資源整合共享的重點項目,如黃河水信息基礎平臺。同時,要充分利用當前在建的相關項目和即將開展的項目,有效帶動《黃委信息資源整合共享實施方案》中所列任務,處理好項目建設和資源整合共享的關系。要把資源整合共享作為剛性要求,貫徹到規劃、設計、開發、驗收、運行以及維護的各個環節,盡快解決信息資源整合共享這個短板,提升信息化建設成果的綜合應用價值。

關于網絡和信息安全。網絡和信息安全已提升到國家安全的戰略高度,習近平總書記在4月19日的座談會上針對網絡安全和信息化發展,提出了四個方面的要求。岳中明主任在“516會議”上強調,把網絡安全和信息化工作放在更加突出的位置。網絡安全威脅和風險日益突出,黃委還有不少薄弱環節、有很多課需要補。近年來,有關網絡和信息安全的事件時有發生,黃委每年都收到來自國家和河南省有關部門的問題通報。產生問題的主要原因有幾個方面:一是重視不夠,喊得多、硬措施少、抓得不夠狠,存在個別單位沒有把網絡和信息安全作為大事看待的現象;二是安全管理體系和技術體系不完善,制度和標準不夠細致,落實不扎實;三是安全應急防護和應對管理水平不能充分滿足需要;四是日常安全督察和檢查力度弱、不到位;五是安全防護對象分散,專業人員隊伍不足。

黃委網絡和信息安全涉及的層級多、線長,涉及管理、制度、組織、人才隊伍和技術條件等方方面面,覆蓋物理環境、通信、計算機網絡、軟件系統、數據和應用等。為進一步做好網絡和信息安全工作,需認真梳理分析以往發生的安全事件,剖析原因、總結經驗、吸取教訓,進行專題治理,著力構建和完善網絡和信息安全防護體系。同時,黃委要加強大數據技術在網絡安全方面的應用。要一邊加強技術防護手段和措施,一邊突出管理制度、管理流程及人的作用,強化內部的安全督察、檢查以及安全信息通報。對于新建信息系統,要把網絡和信息安全與規劃、設計、建設和運行相同步。各級要把網絡和信息安全作為重要抓手,進一步促進治黃信息化建設和管理規范化,帶動信息化資源整合與共建共享等工作。

三、同心同力,踏石留印

黃委網絡安全和信息化目標、重點工作已經明確,完成“六個一”要求之后,治黃信息化必將達到一個新高度。但是,工作人員要充分認識到,當前的任務大多是“硬骨頭”,是信息化發展過程中都要面臨的難題。從行業發展來看,誰先解決這些難題,誰就領先一步。

解決這些難題,必須加強統籌管理,樹立大局意識;需要上下同欲、同心同力、踏石留印,將釘釘子精神和工匠精神融入日常工作中。首先,網信辦要以貫徹黃委網絡安全和信息化工作領導小組的要求為根本宗旨,站位治黃信息化全局,加強自身建設,不斷提升統籌各方、綜合管理的能力,團結和充分調動各方積極性;對于領導小組提出的工作要求,要在第一時間制訂工作方案,迅速部署;對已部署的工作、已頒布的管理辦法和標準規范,要抓好跟蹤、監督及評估等工作;要把面向全局的管理作為服務項目,發揮優勢,以問題為導向,主動出主意、想辦法,有效作為。按照“一竿子到底”的工作要求,綜合管理和業務部門要樹立基層意識,在推進所承擔的正常業務工作時,充分發揮自身對業務信息化應用熟悉、理解深的優勢,主動指導基層業務信息化應用,幫助基層信息化應用發展明確新方向、注入新動力、開辟新空間,通過提升基層信息化應用而達到治黃信息化的整體聯動。各層級信息化建設和管理技術單位要立足服務治黃網絡安全和信息化工作主戰場,加強內部管理和專業技術隊伍建設,主動提供優質、高效、滿意的服務。按照管理規范化和現代化的新要求,政務管理部門要進一步研究梳理政務工作流程,在管理工作流程規范化的基礎上,不斷提出利用信息化提高工作效率和公共服務能力的新需求。

長風破浪正當時,直掛云帆濟滄海。在黃委黨組的正確領導下,只要齊心協力,踏準時代發展的節拍,充分利用當前信息化發展的大好形勢,創新思維、務實篤行,“日日行,不怕千萬里;常常做,不怕千萬事”,治黃信息化工作一定能夠實現既定目標。

(作者簡介:寇懷忠,黃河數學模擬系統研發首席專家,教授級高級工程師,法國科學院(CNRS)重點實驗室博士,國家信息和自動化研究院(INRIA)博士后,研究領域為數據挖掘與語義網絡、智慧流域。)


張明:當前是謀求網信工作戰略優勢的重要契機

信息化專家張明:當前是謀求網信工作戰略優勢的重要契機


 編者按

4月19日,網絡安全和信息化工作座談會在京召開。會議的內容您都看懂了嗎?由國家互聯網信息辦公室網絡評論工作局指導,光明網出品的【學習時刻】欄目,今天連線中國現代國際關系研究院信息與社會發展研究所副研究員張明,言簡意賅,帶您分分鐘讀懂這次高大上的會。

【學習時刻】信息化專家張明:當前是謀求網信工作戰略優勢的重要契機

記者手記

作為一名研究信息與社會發展的學者,張明屢有相關理論文章刊發,對于這次網信工作座談會,他也全程保持高度關注。收到“學習時刻”節目的錄制邀請,他專門準備了細致的發言提綱,為了出鏡效果,還特意用一盞小臺燈給自己的面部補了光哦。

連線成功后,張明略顯羞澀。當他發現有身后有半個電熨斗闖入畫面時,更是羞澀地迅速將其藏了起來,并不好意思地向小編表達歉意。

準備工作結束,Action!錄制正式開始,張明立刻進入侃侃而談模式。

當前是謀求網信工作戰略優勢的重要契機

Q:會議背景知多少?

A:這次會議的召開可以從國內和國際兩方面考慮。從國內來看,通過兩年來的工作摸索和實踐,我國網絡安全信息化工作的機制建設和法治建設已經取得了一定的進展,現階段需要對此進行總結和回顧。從國際層面來講,當前國際信息化進程不斷加快,網絡安全形勢日趨復雜。面對日益嚴峻的網絡安全形勢和大數據發展帶來的信息化安全問題,中央決定召開這次座談會。這正是對當前國際國內網絡安全形勢和信息化發展態勢的積極響應。

Q:會議議題都有啥?

A:這次座談會的內容很廣泛,也是我們一直以來網絡工作的重點、難點和熱點。首先我們從這次座談會的參與者來看,有來自政府、企業、軍方、學界的代表,有學技術的,有學管理的,有學法律的,也有學國際關系出身的。從參與的成員來看,決定了這次座談會的議題是很廣泛且很重要的。議題內容涵蓋了網絡生態建設,技術創新,互聯網企業發展,網絡安全,人才教育培養等重要問題。

Q:核心指導思想是什么?

A:我們不僅要探討每個議題下習總書記的論述和具體觀點,而且更要看到這次會議的核心指導思想。十八屆五中全會提出了五大發展理念,強調“創新、協調、綠色、開放、共享”,而網信工作正是五大發展理念先行的實踐主體。我想,這也正是因為中央考慮到網信工作自身的特點,包括它與技術的緊密聯結、以及在技術方面的飛速發展,讓網信工作成為五大發展理念的先行者。

Q:會議的重要意義是什么?

A:這次會議的意義是很重大的。此前,我國的網信工作已經進行了機構調整和法治建設,但還沒有出臺一個整體的網絡安全戰略。習總書記這次的講話,正是我們將來實現網絡安全信息化戰略并謀求網絡安全工作戰略優勢的重要契機。從國際層面來看,當前中國正從網絡大國向網絡強國邁進,中國的網絡決策不僅僅是對中國網絡工作的指導,對國際層面的網絡安全進程和信息化發展態勢也會產生重要影響。

(光明網記者康慧珍 李貝 陳城整理 剪輯:趙文月 趙偉露)


2014年我國互聯網絡安全形勢分析

2014年,“寬帶中國”戰略繼續推進實施,我國基礎網絡建設不斷升級完善,安全防護水平進一步提升,但基礎網絡相關設備仍存在安全風險,日益普及的云服務經常發生因系統故障、網絡攻擊導致的安全問題,影響業務運行和用戶使用。

基礎網絡安全防護水平進一步提升。2014年,工業和信息化部重點圍繞網絡安全防護措施落實、網絡數據安全、用戶個人電子信息保護等內容,繼續推進基礎通信網絡安全防護工作。基礎電信企業不斷加大網絡安全投入,加強體系、制度和手段建設,推動工作系統化、規范化和常態化。根據抽查結果,各企業符合性測評平均得分均達到90分以上,風險評估檢查發現的單個網絡或系統的安全漏洞數量較2013年下降72%,檢查發現問題的難度也逐年加大。

截至2014年底,各企業已對80%以上的漏洞完成修復,并對其余漏洞采取了應急措施,制定了整改計劃。基礎網絡設備仍存在較多安全漏洞風險。隨著基礎網絡安全防護工作的深入推進,發現和處置的深層次安全風險和事件逐漸增多。2014年,CNCERT協調處置涉及基礎電信企業的漏洞事件1578起,是2013年的3倍。

CNVD7收錄與基礎電信企業軟硬件資產相關的漏洞825個,其中與路由器、交換機等網絡設備相關的漏洞占比66.2%,主要包括內置后門、遠程代碼執行等類型,這些漏洞將可能導致網絡設備或節點被操控,出現竊取用戶信息、傳播惡意代碼、實施網絡攻擊、破壞網絡穩定運行等安全事件。

互聯網醫療移動互聯網互聯網+二手市場互聯網+食品互聯網+外貿互聯網+家居互聯網+家電互聯網+超市互聯網+購物中心互聯網+百貨互聯網+新聞互聯網+娛樂云服務日益成為網絡攻擊的重點目標。我國基礎電信企業和許多大型互聯網服務商紛加快云平臺部署,大型互聯網服務商紛加快云平臺部署,大力推廣云服務,大量金融、游戲、電子商務、電子政務等政務等業務遷移至云平臺。

2014年先后發生了多起因電力、機房線路和網絡故障導致的云服務宕機務宕機務宕機事件,針對云平臺的攻擊事件也逐年增多也逐年增多,僅由CNCERTNCERT協助處置的大規模攻擊事件就達攻擊事件就達十余起,涉及UCloudloudloud公司、浙公司、浙江寧波某江寧波某IDC機房等國內云國內云平臺。

據有關單位報告關單位報告,2014年12月中旬,中旬,某大型互聯網服務商的云平臺上一家知名游戲公司遭受拒絕服務攻擊,攻擊峰值流量超過450Gbps。云平臺運行的穩定性直接影響業務的可用性和連續性和連續性,而且針對云平臺上某一目標的攻擊,還可能導致其它業務受到牽連,造成大面積用戶無法訪問或使用。


加快我國網絡安全與信息化法制建設

習近平總書記在主持召開中央網絡安全和信息化領導小組第一次會議時要求,“要抓緊制定立法規劃,完善互聯網信息內容管理、關鍵基礎設施保護等法律法規,依法治理網絡空間,維護公民合法權益”。黨的十八屆四中全會決定要求,加強互聯網領域立法,完善網絡信息服務、網絡安全保護、網絡社會管理等方面的法律法規,依法規范網絡行為。新的形勢,要求加快我國網絡安全與信息化法制建設步伐,促進依法管網、依法上網、依法用網,維護國家安全,建設網絡強國。

一、我國網絡安全與信息化法制建設面臨的主要挑戰

我國網絡安全與信息化法制伴隨國家信息化發展,初步形成了覆蓋網絡與信息安全、電子商務、電子政務、互聯網治理、信息權益保護等信息社會核心領域的規范體系,網絡安全與信息化相關爭議與問題能夠通過行政執法與司法機制加以解決,市場與各種社會主體的信息化法治意識初步確立。

但是,我國網絡安全與信息化立法主要是由低層級的規章或者規章以下規范性文件構成,高位階的立法非常少,一些重要領域規范缺乏,網絡與信息安全面臨巨大挑戰;一些立法制定的時間較久,明顯已經不適應網絡社會快速發展的現實;一些立法更多考慮的是建設、安全、秩序與管理等需要,未能對應用、創新、權利與發展等給予同等考慮,不利于提升國家整體競爭能力,不利于構建創新型國家;一些立法質量不高,制定后不能用、不管用、難執行、難適用、難遵守,個別立法甚至形同虛設;網絡安全與信息化行政執法部門職責權限邊界不明確,普遍重事前審批、輕事中監管,簡單照抄照搬現實社會管理方法,裁量權過大,程序制約缺失,加大市場主體守法成本,違法行為難以得到及時遏制,執法有效性與公信力均不足;對于網絡安全與信息化相關爭議與各種新問題,現行司法制度在審判體制、人員素質、審理程序、裁判依據等方面面臨現實制約,司法裁判功能不得到充分實現;網絡空間不正當競爭現象時有發生,網絡違法犯罪行為屢禁不止,少數網民守法意識不強,網絡社會秩序亟待規范。

二、明確立法重點,夯實網絡安全基礎

網絡安全是推進信息化法制建設的基礎,在整個工作中占據最為重要的地位。通常而言,網絡安全(或者信息安全)有最廣義、廣義與狹義三種理解。最廣義的網絡安全包括作為基礎設施的網絡以及網絡上所傳輸的信息安全,實際上等于網絡與信息安全;廣義上的理解不包括信息內容,只是指作為基礎設施的網絡空間,包括基礎傳輸網絡、重要的信息系統以及業務系統;狹義的理解只是指廣電、電信、互聯網等基礎傳輸網絡,不包括重要信息系統與業務系統。由于我國過去的文件并未嚴格界定概念的含義,加之缺乏高位階網絡安全立法,不同方面對于網絡安全含義的理解一直非常混亂。

對網絡安全應采用統一的廣義理解,避免理解上的含糊或者歧義。這是因為:(1)科學界定立法的范圍,有助于法律的實施,也有利于配置社會資源,降低守法成本。如果采用最廣義的界定,會使性質截然不同的基礎設施安全與信息內容安全混合到一起,難以制定具有統一適用性的制度,既加大立法的難度,也加大執法的難度,還會導致整個社會的守法成本高企。反之,如果采用狹義的理解,將網絡安全局限在傳輸網絡范疇,在網絡社會與現實社會已經高度融合的今天,不僅在邊界界定上幾乎不可能,而且由于范圍過小無法真正實現維護網絡信息安全的立法目的。因此,只有采用廣義理解,才符合網絡環境下網絡安全的本質特征,有利于實現立法目的,維護國家和社會的根本利益。(2)從國外網絡安全法的立法經驗看,幾乎全部聚焦在關鍵基礎設施方面,因為在高度互聯的環境下,關鍵基礎設施一旦被攻破,就會造成整個網絡系統和建立在網絡之上的各種信息系統的癱瘓,會危及整個國家安全、公共安全與社會秩序,因此,網絡安全的首要任務都是保護這些關鍵基礎設施的安全,防范系統性風險。至于傳輸系統的構建以及競爭秩序等,大多都由傳統的電信法解決;互聯網信息內容安全,則由內容規制方面的法律解決。(3)根據互聯網的特點分門別類進行相應的立法,構建有效的互聯網法律結構,也已經被我國決策部門所采納,反映在國家互聯網專項立法規劃中。

三、全面推進網絡安全與信息化法制建設

十八屆四中全會明確提出了科學立法、嚴格執法、公正司法、嚴格守法的新十六字法治建設方針,要求形成完備的法律規范體系、高效的法治實施體系、嚴密的法治監督體系、有力的法治保障體系,形成完善的黨內法規體系。四中全會的這些要求,對于網絡安全與信息化法制建設有非常重要的現實意義。可以看到,目前網絡安全與信息化法制建設面臨的問題分別體現在立法、執法、司法、守法、法律監督等不同環節,制度建設因而必須系統設計,全面推進。

第一、根據全面推進依法治國新形勢,應該從戰略上進一步明確網絡安全與信息化法制建設的總目標。在中央網絡安全與信息化領導小組的統一部署下,堅持發展是第一要務,加快制定網絡安全與信息化基本法律,優化執法體制與機制,大力加強執法能力建設,開展網絡社會自覺守法意識宣傳與教育,實現科學立法、嚴格執法、公正司法、全民守法基本要求,全面發揮網絡安全與信息化法制在全面深化改革與信息化發展中的引領、推動、規范與保障作用。

第二、確立網絡安全與信息化法制建設的指導思想。根據近年來的經驗,為保證網絡安全與信息化法制建設的順利推進,應堅持:(1)以建設網絡強國為目標,堅持發展是第一要務,以發展的思路和標準解決和評判網絡安全與信息化過程中面臨的各種矛盾與問題,處理好安全與發展之間的關系,以發展促安全,以安全保發展。(2)堅持依法治國、依法執政、依法行政共同推進,法治國家、法治政府、法治社會一體建設,實現科學立法、嚴格執法、公正司法、全民守法的網絡安全與信息化法制建設基本要求。(3)準確認識和把握網絡社會與信息化本身客觀規律,提高制度建設的有效性和科學性,著力構建多元的信息化推動機制,充分發揮政府、市場、社會、法治與競爭機制在推動信息化過程中的不同作用,實現網絡安全與信息化治理體系與治理能力的現代化。

第三、明確網絡安全與信息化法制建設的主要任務。根據目前面臨的問題,主要任務應該包括以下四個方面:(1)加快制定信息化基本法律。加快制定《網絡安全法》、《電信法》、《電子商務法》、《個人信息保護法》、《政府數據開放條例》等法律法規,研究制定《信息化推進基本法》、《電子政務法》、《互聯網信息內容服務與管理法》、《密碼法》等信息化基本法律,實現信息化法律關系主要依靠基本法律支撐的結構性改變。同時,加快對不適應信息化發展的現行法律法規的修改與廢止,提高信息化立法的質量,推動信息化立法的不斷完善。(2)優化信息化執法體制與機制。改革與完善信息化執法體制,推進政府職能整合,著力解決執法權交叉、執法權限模糊、管轄權不明確等問題;加大違法行為的法律責任,改變違法成本過低現象;建立快速處理各類爭議的行政執法與司法裁判程序,迅速處理與處置各種法律爭議問題;充分利用市場機制、私法執法、信息披露等多元化執法方式,處理好行政執法與刑事執法的有效銜接,提高執法效果,形成執法合力;大力培育行業自律等社會治理機制,形成網絡社會多元治理格局。(3)大力加強信息化執法能力建設。加強現行法律在信息化環境下的立法、執法與司法解釋,充分利用好現有立法資源;加強對國家機關工作人員信息化知識培養與教育,培養復合型人才,提高信息化應用能力;推廣負面清單管理方式,將不增設新的行政許可或者其他事前管理機制作為電子商務的基本原則,為互聯網產業與電子商務發展提供寬松的制度環境;通過執法方式改革與手段創新,建立實時風險監測、預警與預測,推行過程監管,加強部門信息共享與執法合作;擴大信息化執法國際交流與合作,推動建立公正、透明國際互聯網治理體系;規范執法程序,明確裁量基準,強化執法監督,并通過嚴格的行政執法責任追究,切實解決執法不作為、亂作為與執法謀私等現象。(4)開展網絡社會自覺守法意識宣傳與教育。以多種形式開展信息化法律宣傳教育,弘揚法治價值,促進社會公平正義,處理好維穩與維權的關系;提倡文明上網、理性上網、公平競爭、合法經營、規范執法,減少或杜絕選擇性執法現象;全面樹立“網絡無邊界、法律無死角”觀念,提高全社會自覺守法意識。

第四、盡快啟動制定《網絡安全與信息化法制建設實施綱要》。網絡安全與信息化法制建設覆蓋范圍廣、涉及部門多、相關問題復雜,需要統籌規劃,系統設計,穩步實施。我國網絡安全與信息化法制建設目前存在的各種問題,與缺乏統籌協調有很大的關系。為此,應盡快啟動制定《網絡安全與信息化法制建設實施綱要》,明確時間表、路線圖與任務分工等基本內容,作為中央網絡安全與信息化領導小組推動網絡安全與信息化法制工作的綱領性文件。(作者單位:中國社科院法學所研究員)

我們的客戶

客戶正在跟進中

我們的研究

信息系統安全問題單憑技術是無法得到徹底解決的,它的解決涉及到政策法規、管理、標準、技術等方方面面,任何單一層次上的安全措施都不可能提供真正的全方位的安全,信息系統安全問題的解決更應該站在系統工程的角度來考慮。在這項系統工程中,信息系統安全風險評估占有重要的地位,它是信息系統安全的基礎和前提。
安全評估作為信息系統安全工程重要組成部分,已經不僅僅是個別企業的問題,而是關系到國民經濟的每一方面的重大問題,它將逐漸走上規范化和法制化的軌道上來,國家對各種配套的安全標準和法規的制定將會更加健全,評估模型、評估方法、評估工具的研究、開發將更加活躍,信息系統及相關產品的風險評估認證將成為必需環節。


幫助您實現的價值

 了解系統目前與未來的風險所在,評估這些風險可能帶來的安全威脅與影響程度,為安全策略的確定、信息系統的建立及安全運行提供依據。同時通過第三方權威或者國際機構評估和認證,也給用戶提供了信息技術產品和系統可靠性的信心,增強產品、單位的競爭力。

我們為您提供的服務

對信息系統進行風險評估,首先應確保風險分析的內容與范圍應該覆蓋信息系統的整個體系,應包括:系統基本情況分析、信息系統基本安全狀況調查、信息系統安全組織、政策情況分析、信息系統弱點漏洞分析等。
風險評估具體評估過程如下:
確定資產
安全評估的第一步是確定信息系統的資產,并明確資產的價值,資產的價值是由對組織、供應商、合作伙伴、客戶和其他利益相關方在安全事件中對保密性、完整性和可用性的影響來衡量的。資產的范圍很廣,一切需要加以保護的東西都算作資產,包括:信息資產、紙質文件、軟件資產、物理資產、人員、公司形象和聲譽、服務等。資產的評估應當從關鍵業務開始,最終覆蓋所有的關鍵資產。              
脆弱性和威脅分析。
對資產進行細致周密的分析,發現它的脆弱點及由脆弱點所引發的威脅,統計分析發生概率、被利用后所造成的損失等。
制定及評估控制措施
在分析各種威脅及它們發生可能性基礎上,研究消除/減輕/轉移威脅風險的手段。這一階段不需要做出什么決策,主要是考慮可能采取的各種安全防范措施和它們的實施成本。制定出的控制措施應當全面,在有針對性的同時,要考慮系統地、根本性的解決方法,為下一階段的決策作充足的準備,同時將風險和措施文檔化。
決策
這一階段包括評估影響,排列風險,制定決策。應當從3 個方面來考慮最終的決策:接受風險、避免風險、轉移風險。對安全風險決策后,明確信息系統所要接受的殘余風險。在分析和決策過程中,要盡可能多地讓更多的人參與進來,從管理層的代表到業務部門的主管,從技術人員到非技術人員。
溝通與交流
由上一階段所做出的決策,必須經過領導層的簽字和批準,并與各方面就決策結論進行溝通。這是很重要的一個過程,溝通能確保所有人員對風險有清醒地認識,并有可能在發現一些以前沒有注意到的脆弱點。
監督實施
最后的步驟是安全措施的實施。實施過程要始終在監督下進行,以確保決策能夠貫穿于工作之中。在實施的同時,要密切注意和分析新的威脅并對控制措施進行必要的修改。另外,由于信息系統及其所在環境的不斷變化,在信息系統的運行過程中,絕對安全的措施是不存在的:攻擊者不斷有新的方法繞過或擾亂系統中的安全措施;系統的變化會帶來新的脆弱點;實施的安全措施會隨著時間而過時等等,所有這些表明,信息系統的風險評估過程是一個動態循環的過程,應周期性的對信息系統安全進行重評估。


您目前可能的困惑

在過去的幾十年時間里,信息技術已經翻天地覆地改變了整個世界。信息在人們的生產、生活中扮演著越來越重要的角色,人類越來越依賴基于信息技術所創造出來的產品,以信息技術為基礎的信息產業已經成為世界經濟的重要支柱產業,信息產業的發達程度已經成為一個國家的綜合國力和國際競爭力強弱的重要標志。然而人們在盡情享受信息技術帶給人類巨大進步的同時,也逐漸意識到它是一把雙刃劍,在該領域“潘多拉盒子”已經不止一次被打開,近年來,由于信息系統安全問題所產生的損失、影響不斷加劇,信息系統的安全問題越來越受到人們的普遍關注,它已經成為影響信息技術發展的重要因素。然而,傳統的事后、被動、單一,針對出現的問題,采用一些安全防護措施,并以某個問題的暫時解決為過程結束標志的信息系統安全建設已經遠不能適應信息系統安全防護的發展要求。這種模式往往缺少系統的考慮,就事論事,帶有很大盲目性,經常是花費不少、收效甚微,造成資金、人員的巨大浪費。

業務簡介

依據《GB/T 20984-2007 信息安全技術信息安全風險評估規范》,通過風險評估項目的實施,對信息系統的重要資產、資產所面臨的威脅、資產存在的脆弱性、已采取的防護措施等進行分析,對所采用的安全控制措施的有效性進行檢測,綜合分析、判斷安全事件發生的概率以及可能造成的損失,判斷信息系統面臨的安全風險,提出風險管理建議,為系統安全保護措施的改進提供參考依據。

公安部關于《網絡安全等級保護條例(征求意見稿)》 公開征求意見的公告

公安部關于《網絡安全等級保護條例(征求意見稿)》 公開征求意見的公告


來源:admin 發布日期:2018-06-27

為貫徹落實《中華人民共和國網絡安全法》,深入推進實施國家網絡安全等級保護制度,經廣泛征求意見,反復研究修改,公安部會同有關部門起草了《網絡安全等級保護條例(征求意見稿)》。為保障公眾知情權和參與權,凝聚各界共識和智慧,提高立法質量,現向社會公開征求意見。

公眾可登陸公安部網站(網址:http://www.mps.gov.cn)查閱征求意見稿,有關建議可在2018727日前通過電子郵件方式發送至[email protected],或傳真至010-66262319

公安部

2018年627

 

《網絡安全等級保護條例(征求意見稿)》

 

第一章     

第二章  支持與保障

第三章  網絡的安全保護

第四章  涉密網絡的安全保護 

第五章  密碼管理

第六章  監督管理

第七章  法律責任

第八章     

 

第一章    

第一條【立法宗旨與依據】為加強網絡安全等級保護工作,提高網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,依據《中華人民共和國網絡安全法》、《中華人民共和國保守國家秘密法》等法律,制定本條例。

第二條【適用范圍】在中華人民共和國境內建設、運營、維護、使用網絡,開展網絡安全等級保護工作以及監督管理,適用本條例。個人及家庭自建自用的網絡除外。

第三條【確立制度】國家實行網絡安全等級保護制度,對網絡實施分等級保護、分等級監管。

前款所稱“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

第四條【工作原則】網絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則,建立健全網絡安全防護體系,重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。

網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。

涉密網絡應當依據國家保密規定和標準,結合系統實際進行保密防護和保密監管。

第五條【職責分工】中央網絡安全和信息化領導機構統一領導網絡安全等級保護工作。國家網信部門負責網絡安全等級保護工作的統籌協調。

國務院公安部門主管網絡安全等級保護工作,負責網絡安全等級保護工作的監督管理,依法組織開展網絡安全保衛。

國家保密行政管理部門主管涉密網絡分級保護工作,負責網絡安全等級保護工作中有關保密工作的監督管理。

國家密碼管理部門負責網絡安全等級保護工作中有關密碼管理工作的監督管理。

國務院其他有關部門依照有關法律法規的規定,在各自職責范圍內開展網絡安全等級保護相關工作。

縣級以上地方人民政府依照本條例和有關法律法規規定,開展網絡安全等級保護工作。

第六條【網絡運營者責任義務】網絡運營者應當依法開展網絡定級備案、安全建設整改、等級測評和自查等工作,采取管理和技術措施,保障網絡基礎設施安全、網絡運行安全、數據安全和信息安全,有效應對網絡安全事件,防范網絡違法犯罪活動。

第七條【行業要求】行業主管部門應當組織、指導本行業、本領域落實網絡安全等級保護制度。

 

第二章  支持與保障

第八條【總體保障】國家建立健全網絡安全等級保護制度的組織領導體系、技術支持體系和保障體系。

各級人民政府和行業主管部門應當將網絡安全等級保護制度實施納入信息化工作總體規劃,統籌推進。

第九條【標準制定】國家建立完善網絡安全等級保護標準體系。國務院標準化行政主管部門和國務院公安部門、國家保密行政管理部門、國家密碼管理部門根據各自職責,組織制定網絡安全等級保護的國家標準、行業標準。

國家支持企業、研究機構、高等學校、網絡相關行業組織參與網絡安全等級保護國家標準、行業標準的制定。

第十條【投入和保障】各級人民政府鼓勵扶持網絡安全等級保護重點工程和項目,支持網絡安全等級保護技術的研究開發和應用,推廣安全可信的網絡產品和服務。

第十一條【技術支持】國家建設網絡安全等級保護專家隊伍和等級測評、安全建設、應急處置等技術支持體系,為網絡安全等級保護制度提供支撐。

第十二條【績效考核】行業主管部門、各級人民政府應當將網絡安全等級保護工作納入績效考核評價、社會治安綜合治理考核等。

第十三條【宣傳教育培訓】各級人民政府及其有關部門應當加強網絡安全等級保護制度的宣傳教育,提升社會公眾的網絡安全防范意識。

國家鼓勵和支持企事業單位、高等院校、研究機構等開展網絡安全等級保護制度的教育與培訓,加強網絡安全等級保護管理和技術人才培養。

第十四條【鼓勵創新】國家鼓勵利用新技術、新應用開展網絡安全等級保護管理和技術防護,采取主動防御、可信計算、人工智能等技術,創新網絡安全技術保護措施,提升網絡安全防范能力和水平。

國家對網絡新技術、新應用的推廣,組織開展網絡安全風險評估,防范網絡新技術、新應用的安全風險。

 

第三章  網絡的安全保護

第十五條【網絡等級】根據網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素,網絡分為五個安全保護等級。

(一)第一級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益的一般網絡。

(二)第二級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全的一般網絡。

(三)第三級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害,或者會對社會秩序和社會公共利益造成嚴重危害,或者對國家安全造成危害的重要網絡。

(四)第四級,一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害的特別重要網絡。

(五)第五級,一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網絡。

第十六條【網絡定級】網絡運營者應當在規劃設計階段確定網絡的安全保護等級。

當網絡功能、服務范圍、服務對象和處理的數據等發生重大變化時,網絡運營者應當依法變更網絡的安全保護等級。

第十七條【定級評審】對擬定為第二級以上的網絡,其運營者應當組織專家評審;有行業主管部門的,應當在評審后報請主管部門核準。

跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級,統一組織定級評審。

行業主管部門可以依據國家標準規范,結合本行業網絡特點制定行業網絡安全等級保護定級指導意見。

第十八條【定級備案】第二級以上網絡運營者應當在網絡的安全保護等級確定后10個工作日內,到縣級以上公安機關備案。

因網絡撤銷或變更調整安全保護等級的,應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續。

備案的具體辦法由國務院公安部門組織制定。

第十九條【備案審核】公安機關應當對網絡運營者提交的備案材料進行審核。對定級準確、備案材料符合要求的,應在10個工作日內出具網絡安全等級保護備案證明。

第二十條【一般安全保護義務】網絡運營者應當依法履行下列安全保護義務,保障網絡和信息安全:

(一)確定網絡安全等級保護工作責任人,建立網絡安全等級保護工作責任制,落實責任追究制度;

(二)建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;

(三)落實機房安全管理、設備和介質安全管理、網絡安全管理等制度,制定操作規范和工作流程;

(四)落實身份識別、防范惡意代碼感染傳播、防范網絡入侵攻擊的管理和技術措施;

(五)落實監測、記錄網絡運行狀態、網絡安全事件、違法犯罪活動的管理和技術措施,并按照規定留存六個月以上可追溯網絡違法犯罪的相關網絡日志;

(六)落實數據分類、重要數據備份和加密等措施;

(七)依法收集、使用、處理個人信息,并落實個人信息保護措施,防止個人信息泄露、損毀、篡改、竊取、丟失和濫用;

(八)落實違法信息發現、阻斷、消除等措施,落實防范違法信息大量傳播、違法犯罪證據滅失等措施;

(九)落實聯網備案和用戶真實身份查驗等責任;

(十)對網絡中發生的案事件,應當在二十四小時內向屬地公安機關報告;泄露國家秘密的,應當同時向屬地保密行政管理部門報告。

(十一)法律、行政法規規定的其他網絡安全保護義務。

第二十一條【特殊安全保護義務】第三級以上網絡的運營者除履行本條例第二十條規定的網絡安全保護義務外,還應當履行下列安全保護義務:

(一)確定網絡安全管理機構,明確網絡安全等級保護的工作職責,對網絡變更、網絡接入、運維和技術保障單位變更等事項建立逐級審批制度;

(二)制定并落實網絡安全總體規劃和整體安全防護策略,制定安全建設方案,并經專業技術人員評審通過;

(三)對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度;

(四)對為其提供網絡設計、建設、運維和技術服務的機構和人員進行安全管理;

(五)落實網絡安全態勢感知監測預警措施,建設網絡安全防護管理平臺,對網絡運行狀態、網絡流量、用戶行為、網絡安全案事件等進行動態監測分析,并與同級公安機關對接;

(六)落實重要網絡設備、通信鏈路、系統的冗余、備份和恢復措施;

(七)建立網絡安全等級測評制度,定期開展等級測評,并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;

(八)法律和行政法規規定的其他網絡安全保護義務。

第二十二條【上線檢測】新建的第二級網絡上線運行前應當按照網絡安全等級保護有關標準規范,對網絡的安全性進行測試。

新建的第三級以上網絡上線運行前應當委托網絡安全等級測評機構按照網絡安全等級保護有關標準規范進行等級測評,通過等級測評后方可投入運行。

第二十三條【等級測評】第三級以上網絡的運營者應當每年開展一次網絡安全等級測評,發現并整改安全風險隱患,并每年將開展網絡安全等級測評的工作情況及測評結果向備案的公安機關報告。

第二十四條【安全整改】網絡運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。

第二十五條【自查工作】網絡運營者應當每年對本單位落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自查,發現安全風險隱患及時整改,并向備案的公安機關報告。

第二十六條【測評活動安全管理】網絡安全等級測評機構應當為網絡運營者提供安全、客觀、公正的等級測評服務。

網絡安全等級測評機構應當與網絡運營者簽署服務協議,并對測評人員進行安全保密教育,與其簽訂安全保密責任書,明確測評人員的安全保密義務和法律責任,組織測評人員參加專業培訓。

第二十七條【網絡服務機構要求】網絡服務提供者為第三級以上網絡提供網絡建設、運行維護、安全監測、數據分析等網絡服務,應當符合國家有關法律法規和技術標準的要求。

網絡安全等級測評機構等網絡服務提供者應當保守服務過程中知悉的國家秘密、個人信息和重要數據。不得非法使用或擅自發布、披露在提供服務中收集掌握的數據信息和系統漏洞、惡意代碼、網絡入侵攻擊等網絡安全信息。

第二十八條【產品服務采購使用的安全要求】網絡運營者應當采購、使用符合國家法律法規和有關標準規范要求的網絡產品和服務。

第三級以上網絡運營者應當采用與其安全保護等級相適應的網絡產品和服務;對重要部位使用的網絡產品,應當委托專業測評機構進行專項測試,根據測試結果選擇符合要求的網絡產品;采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

第二十九條【技術維護要求】第三級以上網絡應當在境內實施技術維護,不得境外遠程技術維護。因業務需要,確需進行境外遠程技術維護的,應當進行網絡安全評估,并采取風險管控措施。實施技術維護,應當記錄并留存技術維護日志,并在公安機關檢查時如實提供。

第三十條【監測預警和信息通報】地市級以上人民政府應當建立網絡安全監測預警和信息通報制度,開展安全監測、態勢感知、通報預警等工作。

第三級以上網絡運營者應當建立健全網絡安全監測預警和信息通報制度,按照規定向同級公安機關報送網絡安全監測預警信息,報告網絡安全事件。有行業主管部門的,同時向行業主管部門報送和報告。

行業主管部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,按照規定向同級網信部門、公安機關報送網絡安全監測預警信息,報告網絡安全事件。

第三十一條【數據和信息安全保護】網絡運營者應當建立并落實重要數據和個人信息安全保護制度;采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復等技術措施,保障重要數據的完整性、保密性和可用性。

未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息;不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息;不得泄露、篡改、損毀其收集的數據和個人信息;不得非授權訪問、使用、提供數據和個人信息。

第三十二條【應急處置要求】第三級以上網絡的運營者應當按照國家有關規定,制定網絡安全應急預案,定期開展網絡安全應急演練。

網絡運營者處置網絡安全事件應當保護現場,記錄并留存相關數據信息,并及時向公安機關和行業主管部門報告。

公安機關和行業主管部門應當向同級網信部門報告重大網絡安全事件處置情況。

發生重大網絡安全事件時,有關部門應當按照網絡安全應急預案要求聯合開展應急處置。電信業務經營者、互聯網服務提供者應當為重大網絡安全事件處置和恢復提供支持和協助。

第三十三條【審計審核要求】網絡運營者建設、運營、維護和使用網絡,向社會公眾提供需取得行政許可的經營活動的,相關主管部門應當將網絡安全等級保護制度落實情況納入審計、審核范圍。

第三十四條【新技術新應用風險管控】網絡運營者應當按照網絡安全等級保護制度要求,采取措施,管控云計算、大數據、人工智能、物聯網、工控系統和移動互聯網等新技術、新應用帶來的安全風險,消除安全隱患。

 

第四章  涉密網絡的安全保護

第三十五條【分級保護】涉密網絡按照存儲、處理、傳輸國家秘密的最高密級分為絕密級、機密級和秘密級。

第三十六條【網絡定級】涉密網絡運營者應當依法確定涉密網絡的密級,通過本單位保密委員會(領導小組)的審定,并向同級保密行政管理部門備案。

第三十七條【方案審查論證】涉密網絡運營者規劃建設涉密網絡,應當依據國家保密規定和標準要求,制定分級保護方案,采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉管控、電磁泄漏發射防護、病毒防護、密碼保護和保密監管等技術與管理措施。

第三十八條【建設管理】涉密網絡運營者委托其他單位承擔涉密網絡建設的,應當選擇具有相應涉密信息系統集成資質的單位,并與建設單位簽訂保密協議,明確保密責任,采取保密措施。

第三十九條【信息設備、安全保密產品管理】涉密網絡中使用的信息設備,應當從國家有關主管部門發布的涉密專用信息設備名錄中選擇;未納入名錄的,應選擇政府采購目錄中的產品。確需選用進口產品的,應當進行安全保密檢測。

涉密網絡運營者不得選用國家保密行政管理部門禁止使用或者政府采購主管部門禁止采購的產品。

涉密網絡中使用的安全保密產品,應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產品應當選用取得計算機信息系統安全專用產品銷售許可證的可靠產品,密碼產品應當選用國家密碼管理部門批準的產品。

第四十條【測評審查和風險評估】涉密網絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估,并經設區的市級以上保密行政管理部門審查合格,方可投入使用。

涉密網絡運營者在涉密網絡投入使用后,應定期開展安全保密檢查和風險自評估,并接受保密行政管理部門組織的安全保密風險評估。絕密級網絡每年至少進行一次,機密級和秘密級網絡每兩年至少進行一次。

公安機關、國家安全機關涉密網絡投入使用的管理,依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規定執行。

第四十一條【涉密網絡使用管理總體要求】涉密網絡運營者應當制定安全保密管理制度,組建相應管理機構,設置安全保密管理人員,落實安全保密責任。

第四十二條【涉密網絡預警通報要求】涉密網絡運營者應建立健全本單位涉密網絡安全保密監測預警和信息通報制度,發現安全風險隱患的,應及時采取應急處置措施,并向保密行政管理部門報告。

第四十三條【涉密網絡重大變化的處置】有下列情形之一的,涉密網絡運營者應當按照國家保密規定及時向保密行政管理部門報告并采取相應措施:

(一)密級發生變化的;

(二)連接范圍、終端數量超出審查通過的范圍、數量的;

(三)所處物理環境或者安全保密設施變化可能導致新的安全保密風險的;

(四)新增應用系統的,或者應用系統變更、減少可能導致新的安全保密風險的。

對前款所列情形,保密行政管理部門應當及時作出是否對涉密網絡重新進行檢測評估和審查的決定。

第四十四條【涉密網絡廢止的處理】涉密網絡不再使用的,涉密網絡運營者應當及時向保密行政管理部門報告,并按照國家保密規定和標準對涉密信息設備、產品、涉密載體等進行處理。

 

第五章  密碼管理

第四十五條【確定密碼要求】國家密碼管理部門根據網絡的安全保護等級、涉密網絡的密級和保護等級,確定密碼的配備、使用、管理和應用安全性評估要求,制定網絡安全等級保護密碼標準規范。

第四十六條【涉密網絡密碼保護】涉密網絡及傳輸的國家秘密信息,應當依法采用密碼保護。

密碼產品應當經過密碼管理部門批準,采用密碼技術的軟件系統、硬件設備等產品,應當通過密碼檢測。

密碼的檢測、裝備、采購和使用等,由密碼管理部門統一管理;系統設計、運行維護、日常管理和密碼評估,應當按照國家密碼管理相關法規和標準執行。

第四十七條【非涉密網絡密碼保護】非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。

第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。

第四十八條【密碼安全管理責任】網絡運營者應當按照國家密碼管理法規和相關管理要求,履行密碼安全管理職責,加強密碼安全制度建設,完善密碼安全管理措施,規范密碼使用行為。

任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動,或者從事其他違法犯罪活動。

 

第六章  監督管理

第四十九條【安全監督管理】縣級以上公安機關對網絡運營者依照國家法律法規規定和相關標準規范要求,落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處置、重大活動網絡安全保護等工作,實行監督管理;對第三級以上網絡運營者按照網絡安全等級保護制度落實網絡基礎設施安全、網絡運行安全和數據安全保護責任義務,實行重點監督管理。

縣級以上公安機關對同級行業主管部門依照國家法律法規規定和相關標準規范要求,組織督促本行業、本領域落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處置、重大活動網絡安全保護等工作情況,進行監督、檢查、指導。

地市級以上公安機關每年將網絡安全等級保護工作情況通報同級網信部門。

第五十條【安全檢查】縣級以上公安機關對網絡運營者開展下列網絡安全工作情況進行監督檢查:

(一)日常網絡安全防范工作;

(二)重大網絡安全風險隱患整改情況;

(三)重大網絡安全事件應急處置和恢復工作;

(四)重大活動網絡安全保護工作落實情況;

(五)其他網絡安全保護工作情況。

公安機關對第三級以上網絡運營者每年至少開展一次安全檢查。涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,公安機關可以委托社會力量提供技術支持。

公安機關依法實施監督檢查,網絡運營者應當協助、配合,并按照公安機關要求如實提供相關數據信息。

第五十一條【檢查處置】公安機關在監督檢查中發現網絡安全風險隱患的,應當責令網絡運營者采取措施立即消除;不能立即消除的,應當責令其限期整改。

公安機關發現第三級以上網絡存在重大安全風險隱患的,應當及時通報行業主管部門,并向同級網信部門通報。

第五十二條【重大隱患處置】公安機關在監督檢查中發現重要行業或本地區存在嚴重威脅國家安全、公共安全和社會公共利益的重大網絡安全風險隱患的,應報告同級人民政府、網信部門和上級公安機關。

第五十三條【對測評機構和安全建設機構的監管】國家對網絡安全等級測評機構和安全建設機構實行推薦目錄管理,指導網絡安全等級測評機構和安全建設機構建立行業自律組織,制定行業自律規范,加強自律管理。

非涉密網絡安全等級測評機構和安全建設機構具體管理辦法,由國務院公安部門制定。保密科技測評機構管理辦法由國家保密行政管理部門制定。

第五十四條【關鍵人員管理】第三級以上網絡運營者的關鍵崗位人員以及為第三級以上網絡提供安全服務的人員,不得擅自參加境外組織的網絡攻防活動。

第五十五條【事件調查】公安機關應當根據有關規定處置網絡安全事件,開展事件調查,認定事件責任,依法查處危害網絡安全的違法犯罪活動。必要時,可以責令網絡運營者采取阻斷信息傳輸、暫停網絡運行、備份相關數據等緊急措施。

網絡運營者應當配合、支持公安機關和有關部門開展事件調查和處置工作。

第五十六條【緊急情況斷網措施】網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。

第五十七條【保密監督管理】保密行政管理部門負責對涉密網絡的安全保護工作進行監督管理,負責對非涉密網絡的失泄密行為的監管。發現存在安全隱患,違反保密法律法規,或者不符合保密標準保密的,按照《中華人民共和國保守國家秘密法》和國家保密相關規定處理。

第五十八條【密碼監督管理】密碼管理部門負責對網絡安全等級保護工作中的密碼管理進行監督管理,監督檢查網絡運營者對網絡的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統每兩年至少開展一次監督檢查。監督檢查中發現存在安全隱患,或者違反密碼管理相關規定,或者不符合密碼相關標準規范要求的,按照國家密碼管理相關規定予以處理。

第五十九條【行業監督管理】行業主管部門應當組織制定本行業、本領域網絡安全等級保護工作規劃和標準規范,掌握網絡基本情況、定級備案情況和安全保護狀況;監督管理本行業、本領域網絡運營者開展網絡定級備案、等級測評、安全建設整改、安全自查等工作。

行業主管部門應當監督管理本行業、本領域網絡運營者依照網絡安全等級保護制度和相關標準規范要求,落實網絡安全管理和技術保護措施,組織開展網絡安全防范、網絡安全事件應急處置、重大活動網絡安全保護等工作。

第六十條【監督管理責任】網絡安全等級保護監督管理部門及其工作人員應當對在履行職責中知悉的國家秘密、個人信息和重要數據嚴格保密,不得泄露、出售或者非法向他人提供。

第六十一條【執法協助】網絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協助。

第六十二條【網絡安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網絡安全等級保護監督管理職責中,發現網絡存在較大安全風險隱患或者發生安全事件的,可以約談網絡運營者的法定代表人、主要負責人及其行業主管部門。

 

第七章  法律責任

第六十三條【違反安全保護義務】網絡運營者不履行本條例第十六條,第十七條第一款,第十八條第一款、第二款,第二十條、第二十二條第一款,第二十四條,第二十五條,第二十八條第一款,第三十一條第一款,第三十二條第二款規定的網絡安全保護義務的,由公安機關責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。

第三級以上網絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規定、第二十八條第二款,第三十條第二款,第三十二條第一款規定的,按照前款規定從重處罰。

第六十四條【違反技術維護要求】網絡運營者違反本條例第二十九條規定,對第三級以上網絡實施境外遠程技術維護,未進行網絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的,由公安機關和相關行業主管部門依據各自職責責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。

第六十五條【違反數據安全和個人信息保護要求】網絡運營者違反本條例第三十一條第二款規定,擅自收集、使用、提供數據和個人信息的,由網信部門、公安機關依據各自職責責令改正,依照《中華人民共和國網絡安全法》第六十四條第一款的規定處罰。

第六十六條【網絡安全服務責任】違反本條例第二十六條第三款,第二十七條第二款規定的,由公安機關責令改正,可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓,直至通知發證機關吊銷相關業務許可證或者吊銷營業執照。

違反本條例第二十七條第二款規定,泄露、非法出售或者向他人提供個人信息的,依照《中華人民共和國網絡安全法》第六十四條第二款的規定處罰。

第六十七條【違反執法協助義務】網絡運營者違反本條例規定,有下列行為之一的,由公安機關、保密行政管理部門、密碼管理部門、行業主管部門和有關部門依據各自職責責令改正;拒不改正或者情節嚴重的,依照《中華人民共和國網絡安全法》第六十九條的規定處罰。

(一)拒絕、阻礙有關部門依法實施的監督檢查的;

(二)拒不如實提供有關網絡安全保護的數據信息的;

(三)在應急處置中拒不服從有關主管部門統一指揮調度的;

(四)拒不向公安機關、國家安全機關提供技術支持和協助的;

(五)電信業務經營者、互聯網服務提供者在重大網絡安全事件處置和恢復中未按照本條例規定提供支持和協助的。

第六十八條【違反保密和密碼管理責任】違反本條例有關保密管理和密碼管理規定的,由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正,拒不改正的,給予警告,并通報向其上級主管部門,建議對其主管人員和其他直接責任人員依法給予處分。

第六十九條【監管部門瀆職責任】網信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業主管部門及其工作人員有下列行為之一,對直接負責的主管人員和其他直接責任人員,或者有關工作人員依法給予處分:

(一)玩忽職守、濫用職權、徇私舞弊的;

(二)泄露、出售、非法提供在履行網絡安全等級保護監管職責中獲悉的國家秘密、個人信息和重要數據;或者將獲取其他信息,用于其他用途的。

第七十條【法律競合處理】違反本條例規定,構成違反治安管理行為的,由公安機關依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

 

第八章    

第七十一條【術語解釋】本條例所稱的“內”、“以上”包含本數;所稱的“行業主管部門”包含行業監管部門。

第七十二條【軍隊】軍隊的網絡安全等級保護工作,按照軍隊的有關法規執行。

第七十三條【生效時間】本條例由自  年 月 日起施行。

 

信息安全風險評估簡要介紹

信息安全風險評估

      信息安全風險評估是參照風險評估標準和管理規范,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用于IT領域時,就是對信息安全的風險評估。

      風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法,充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

風險評估相關

       資產,任何對組織有價值的事物。

       威脅,指可能對資產或組織造成損害的事故的潛在原因。例如,組織的網絡系統可能受到來自計算機病毒和黑客攻擊的威脅。

      脆弱點,是指資產或資產組中能背威脅利用的弱點。如員工缺乏信息安全意思,使用簡短易被猜測的口令、操作系統本身有安全漏洞等。

      風險,特定的威脅利用資產的一種或一組薄弱點,導致資產的丟失或損害餓潛在可能性,即特定威脅事件發生的可能性與后果的結合。

      風險評估,對信息和信息處理設施的威脅、影響和脆弱點及三者發生的可能性評估。

      風險評估也稱為風險分析,就是確認安全風險及其大小的過程,即利用適當的風險評估工具,包括定性和定量的方法,去頂資產風險等級和優先控制順序。

信息安全現狀

      伴隨著信息技術的飛速發展,我國高校信息化建設不斷取得新的成果,高校信息的安全是學校正常運行的保證。據統計,100%的一類重點本科高校擁有校園網,10%以上的高校已經開始建設數字化校園。各個院校對網絡和信息系統的依賴程度越來越大,同時面臨的信息安全問題也更加復雜化,如何在有限的人力、物力、財力條件下最大限度保障信息安全是每個院校面臨的共同問題。因此,對高校進行信息安全風險評估勢在必行。

風險評估目的

      風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能的危害,為系統最終安全需求的提出提供依據。準確了解組織的網絡和系統安全現狀。

風險評估工作組織管理

       為了更好的了解信息安全狀況,根據《信息安全風險評估指南》和GB/T 20984-2007 《信息安全技術 信息安全風險評估規范》要求,總體評估信息化建設風險。

風險評估工作過程



風險評估步驟

風險評估依據標準及法規

      《信息安全風險評估指南》

      《信息系統安全等級保護測評準則》

      《信息系統安全等級保護基本要求》

      《信息系統安全保護等級定級指南》(試用版v3.2)

      《計算機機房場地安全要求》(GB9361-88)

      《計算機信息系統安全等級保護網絡技術要求》(GA/T387-2002) 《計算機信息系統安全等級保護操作系統技術要求》(GA/T388-2002)

      《計算機信息系統安全等級保護數據庫管理系統技術要求》(GA/T389-2002)

《計算機信息系統安全等級保護通用技術要求》(GA/T390-2002) 《計算機信息系統安全等級保護管理要求》(GA/T391-2002)

      《計算機信息系統安全等級保護劃分準則》(GB/T17859-1999)

綜合評價和建議

       綜合評價

       (一)應用科學的方法,針對確定的對象,進行認真仔細的風險分析,同時進 行合理的風險判斷。盡管機房運行風險的基本情況已在附表中羅列,但是在實際工作中必須進行具體的風險分析,才能制定出切合實際的防范對策。

       (二)確立風險預先處置理念。通過分析機房運行風險可以發現,對機房運行風險要區別對待,因此筆者提出機房運行風險預先處置的理念,即通過科學的防范措施,盡可能避免一級風險的發生,減少二、三級風險的發生。

防范建議

      風險轉移。將一些可以預見但發生概率較低的風險,通過購買保險、設備維修外包等形式,轉移給保險公司和機房設備服務商。如購買財產保險,可將機房風險(機房建筑物風險、火災風險等)轉移給保險公司;通過機房設備外包的方式,可將UPS、精密空調等設備故障風險轉移給設備維修服務公司。

      科學監控。機房保障系統的運行故障大部分有一個從量變到質變的過程,機房設備的使用壽命也有一定的規律可循,而且機房設備的運行故障必定有其特定的原因。因此,通過健全科學的實時監控措施,對發生故障隨機性強的機房保障系統進行長期實時檢測,通過對采集的運行參數進行有機分析,可以及時采取有效的規避風險的措施。由實時監控系統組成的預警系統,可以對其監控的設備進行運行狀態檢測、運行異常警告、運行故障原因分析,從而達到防范運行故障和及時處置風險的目的。

      制訂應急方案。應對運行風險的目標,是盡可能避免發生運行風險,一旦發生風險就要做到快速反應、快速恢復。要制訂一整套科學有效的機房運行風險應急方案,包括如何啟動風險處置的報告體系、組建負責人力資源調動和現場協調指揮的組織機構、安排負責處置風險的各方面專業技術人員等內容。制訂應急方案時要特別注意實用性,其基本原則是方案要分門別類、描述要直觀明確、處置方法要準確詳盡,以確保方案能起到較好應急的效果。

      總之,高度重視機房運行保障的重要性,客觀地認知機房運行規律,科學地應對機房運行風險,不斷探索和掌握機房運行維護技術,有效提高機房保障管理水平,就能最大限度地規避機房運行風險,為各種計算機應用系統提供可靠保證。

重庆百变王牌直播观看 二人扑克牌可以玩什么 足彩胜负彩14场 电子投注单怎么兑换 七星开奖结果 足彩半全场胜平负27号 000046股票行情 决胜21点游戏规则 江苏十一选五和值走势 yy小公会赚钱吗 防腐老板赚钱么 澳洲幸运10免费计划软件下载 类似必富大宝的游戏平台 龙腾计划 快3计划软件免费 体彩排列三开奖号码 期期买30码必赚方法