【行健中桥】网络安全法解读

网络安全法解读

《网络安全法》人大常委会 2017.6.1

《网络关键设备和网络安全专用产品目录（第一批）》四部门 2017.6.1

《互联网信息内容管理行政执法程序规定》网信办 2017.6.1

《互联网新闻信息服务管理规定》网信办2017.6.1

《区块链信息服务管理规定》网信办2019.2.15

《关键信息基础设施安全保护条例（征求意见稿）》网信办

《网络安全等级保护条例（征求意见稿）》公安部

《关键信息基础设施确定指南》

一、网络安全的重要性

二、行政机关的主要职责和法律责任

三、了解关键信息基础设施

四、《网络安全法》的主要内容

一、网络安全的重要性

网络安全

网络运行安全

网络信息安全

网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

伊朗离心机感染病毒事件

提炼浓缩铀，全国估计8000台西门子的WINCC系统。2010年，美国国家安全局和以色列合作研制了“震网病毒”，得到法德帮助。攻击人员通过公开信息搜集伊朗从事核设施的工作人员及其家属的个人邮箱，发送含有病毒的邮件，点开邮件后病毒自动下载并感染个人电脑及移动存储设备。导致伊朗损坏了20%的离心机，因找不出原因，全部停机逐一排查，伊朗的核计划至少推迟了两年。

乌克兰断电事件

2015年平安夜，乌克兰多家电厂被黑客组织利用Killdisk恶意软件感染，该组件可以破坏计算机硬件的某些零件、破坏工业控制系统的功能，导致成百上千用户居民家中停电，城市陷入恐慌，损失惨重。

2017年5月12日，一种名为“想哭”的勒索病毒，从乌克兰和俄罗斯爆发，迅速蔓延到全球，袭击150多个国家和地区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。

2018年2月，中国发生的多起勒索病毒攻击事件，经腾讯企业安全分析发现正是之前某种勒索病毒的变种。

2018年9月2日，山东多地不动产登记系统遭到病毒入侵，山东省国土资源专网受到影响，已波及山东十多个市，不动产登记系统因此无法正常使用，山东多地发布暂停受理不动产业务登记的通告。据悉，系统遭到勒索病毒GlobeImposter的攻击。

徐玉玉案

2016年8月21日，山东大学生徐玉玉因被诈骗电话骗走上大学的费用9900元，伤心欲绝，郁结于心，最终导致心脏骤停，经医院抢救不幸离世。

  2018年3月，某法院审理了某地方公务员窃取信息案件。朱某任职于某机关单位，经统计，2010年4月至2016年9月，朱某向刘某提供公民个人信息70余万条，2011年11月至2016年7月，朱某向王某提供公民个人信息12余万条。

2018年4月，朱某从一个QQ群中得知可以利用网站漏洞进入服务器后台，从而得到管理员权限，修改余额并提现的方法。而且QQ群给出了具体的链接，几乎不需要多少专业知识，一学就会。所以，朱某在网上注册成为北京某教育科技公司网上商城的会员，利用网站漏洞进入服务器后台，对余额进行修改，打开提现功能。从2016年11月至2017年3月这几个月间，他多次从商城提现，共窃取7万余元。

据国家互联网应急中心(CNCERT)的数据显示，中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现，仅仅两个月的时间，境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机；其中位于美国的2194台控制服务器控制了中国境内128.7万台主机，无论是按照控制服务器数量还是按照控制中国主机数量排名，美国都名列第一。

二、行政机关的主要职责和法律责任

综合主管和行业主管部门

网信：统筹协调

电信、公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

网信办

互联网新闻信息服务、区块链信息服务的监督管理执法工作

《互联网新闻信息服务管理规定》

第四条 国家互联网信息办公室负责全国互联网新闻信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网新闻信息服务的监督管理执法工作。 

第二十七条 本规定所称新闻单位，是指依法设立的报刊社、广播电台、电视台、通讯社和新闻电影制片厂。

    第二十八条 违反本规定，同时违反互联网信息服务管理规定的，由国家和地方互联网信息办公室根据本规定处理后，转由电信主管部门依法处置。

    国家对互联网视听节目服务、网络出版服务等另有规定的，应当同时符合其规定。

《区块链信息服务管理规定》

    第三条 国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作

智能合约

▪ 证券交易

▪ 电子商务

▪ 物联网

▪ 社交通讯

▪ 文件存储

▪ 存在性证明

▪ 身份验证

▪ 股权众筹

《网络安全法》：有关主管部门

1、网络安全宣传教育

19条：各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。

4、指导和监督关键信息基础设施运行

23、35（安全审查）网信部门会同有关部门

5、保密义务

第45条 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

6、处理应急事宜

第55条 发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

7、处罚违法

第57条 因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

法律责任

行政责任

第73条 网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。

网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

刑事责任

玩忽职守罪

滥用职权罪

徇私舞弊罪

泄露公民个人信息罪

民事责任

第74条 违反本法规定，给他人造成损害的，依法承担民事责任。

一般行政机关（包括所有机关）

对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任

第21条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第34条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

    安全管理负责人的职责

网信办《关键信息基础设施安全保护条例（征求意见稿）》第25条 运营者网络安全管理负责人履行下列职责：

    （一） 组织制定网络安全规章制度、操作规程并监督执行；

    （二）组织对关键岗位人员的技能考核；  

（三）组织制定并实施本单位网络安全教育和培训计划；

    （四）组织开展网络安全检查和应急演练，应对处置网络安全事件；

    （五）按规定向国家有关部门报告网络安全重要事项、事件。

归纳为以下最重要的两点

聘用专业技术人员专门负责

严格保密

行政责任

第72条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

刑事责任

《刑法》253之一侵犯公司个人信息罪

286之一拒不履行信息网络安全管理义务罪

第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的；

(二)致使用户信息泄露，造成严重后果的；

(三)致使刑事案件证据灭失，情节严重的；

(四)有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

民事责任

第74条 违反本法规定，给他人造成损害的，依法承担民事责任。

三、了解关键信息基础设施

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

范围

关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

幻灯片47

涉及政府部门的，主要是

信息公开

面向公众服务

办公业务系统

《网络安全法》第31条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

 网信办《关键信息基础设施安全保护条例（征求意见稿）》

第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

  （一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；   

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

 （三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

 （四）广播电台、电视台、通讯社等新闻单位；

 （五）其他重点单位。

二者基本一致，仍然是“领域识别和风险识别”双重识别模式：

1. 领域识别：（1）国防科工、政府机关、公共事业和大型装备研发、能源、金融、交通、水利、卫生医疗、新闻、教育、社保、环境保护、化工研发、食品药品研发等行业领域；（2）电信网、广播电视网、互联网等通信网络；（3）提供云计算、大数据和其他大型公共信息网络服务的行业。

2. 风险识别：一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络。

基本与网安法第31条规定一致。唯一变化的、也是业界最为关注的是，首次明确将“提供云计算、大数据和其他大型公共信息网络服务的行业”明确纳入CII范围。

但是，条例并未明确细化何为“其他大型公共信息网络服务”，这就使网安法一审稿提及的“用户数量众多的网络服务”（例如电商、网游等行业）是否纳入CII范围成为了又一个“未解之谜。

稍微欣慰的是，条例第19条授权相关综合主管部门和行业主管部门“制定关键信息基础设施识别指南”。    

第19条 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。

    国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，并按程序报送识别结果。

发布主体，为什么是网信办呢？

一种观点认为，是经国务院根据国发〔2014〕33号文授权制定的条例。但是，国发〔2014〕33号文仅授权CAC负责“内容管理”，而条例的很多内容显然已经超越了“内容管理”，更多的却是“服务管理”。

限制——境内存储 境内运维

网安法第37条规定的运营者收集的个人信息与重要数据应当在境内存储，若需要向境外提供的，应当依法开展安全评估。条例第29条再次重申了数据跨境转移安全评估的政策。

条例第34条还首次规定了CII应当境内运维的要求，即“关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门”。这一条严重突破了网安法的规定，对运营者及很多还不确定是否会被纳入CII范围的企业来说，影响巨大。

网安法37条规定，仅需要满足个人信息与重要数据的存储服务器放置在境内即可。但依照条例，对CII的全部运营、维护、技术支持都必须在境内实施，若需要境外远程访问、维护、调试等操作的，都必须要履行事前报备。对于很多跨国公司而言，是选择网络安全法合规满足“境内存储 境内运维”，还是选择电信业务经营许可合规满足“境内具有服务器并境内运维的应当依法办理增值电信业务经营许可证”，这或许是个两难的选择。

网络关键设备和网络安全专用产品

网安法第23条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

国家互联网信息办公室 、工业和信息化部、
公安部 、国家认证认可监督管理委员会四部门发布了《网络关键设备和网络安全专用产品目录（第一批）》

网络关键设备

1.路由器

整系统吞吐量（双向）≥12Tbps

整系统路由表容量≥55万条

2.交换机

整系统吞吐量（双向）≥30Tbps

整系统包转发率≥10Gpps

3. 服务器（机架式）

CPU数量≥8个

单CPU内核数≥14个

内存容量≥256GB

4. 可编程逻辑控制器（PLC设备）

控制器指令执行时间≤0.08微秒

四、《网络安全法》的主要内容

第一章 总 则

第二章 网络安全支持与促进

第三章 网络运行安全

第一节 一般规定

第二节 关键信息基础设施的运行安全

第四章 网络信息安全

第五章 监测预警与应急处置

第六章 法律责任

第七章 附 则

主要亮点

1、提出个人信息保护基本要求

2、对网络产品和服务提供者提出要求

3、反恐法基础上实名制，前台匿名后台实名

4、规范重要网络安全信息的发布服务

5、明确网络运营者的执法协助义务

6、清理网上非法信息

7、关键信息基础设施保护制度

8、网络安全监测预警、信息通报和应急处理体系

9、建立通讯管制制度，以支持重大突发事件的处置，国务院限制

10、理顺网络安全工作体制，网信办统筹协调

网络安全法解读.docx

网络安全法解读.ppt