打造网络安全法治时代

1、打造网络安全法治时代CONTENTS目录PA R T0 1网 络 安 全 威 胁 与 形 势PA R T0 2网 络 安 全 法 治 时 代 、 网络安全威胁与形势网络安全形势严峻 、 网络安全威胁与形势系统数量多教育系统网站超过20万个；的系统网站11万个；涉及超过100万人数据的系统超过 500个。掌握数据多政务数据资源数量达10624条；教师数据超过4000万；累计学生数据超过5亿。涉及人员多教育机构60万个；专职教师1800万人；各级各类学生3.5亿。三个三分之一：三分之一的人口，三分之一的系统，三分之一的安全事件教育系统基本情况主要安全事件数据数据网站页面 泄露篡改瘫痪篡改 、 网络

2、安全威胁与形势某省中小学籍信息泄露1000万个人信息，大量高度敏感信息的泄露。 系统的管理不规范？敏感信息的保护制度不健全？ 、 网络安全威胁与形势 、 网络安全威胁与形势 、 网络安全威胁与形势教育类APP应用泛滥、平台垄断、强制使用有害信息传播、广告传播超纲教学 、 网络安全威胁与形势FG黑客“教育月” 、 网络安全威胁与形势2017年7月22日，宜宾市翠屏区“教师发展平台”网站因网络安全防护工 作落实不到位，导致网站存在高危漏洞，造成网站发生被黑客攻击入侵的网络 安全事件。宜宾网安部门在对事件进行调查时发现，该网站自上线运行以来，始终未 进行网络安全等级保护的定级备案、等级测评等工作，未

3、落实网络安全等级保 护制度，未履行网络安全保护义务。根据网络安全法第五十九条第一款之规定，决定给予翠屏区教师培训 与教育研究中心法定代表唐某某行政处罚决定，对翠屏区教师培训与教育研究 中心处一万元罚款，对法人代表唐某某处五千元罚款。 、 网络安全威胁与形势教育系统违反网络安全法第一案2017年9月28日，淮南职业技术学院系统存在高危漏洞，系统存储的4000 余名学生身份信息已经造成泄露。经过现场勘验和调查，确认淮南职业技术学院招生信息管理系统存在越权 漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络安全 防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和 加密

4、措施，致使系统存储的4353名学生的身份信息泄露。淮南市公安局网安支队确认该学校因未落实网络安全等级保护制度造成数 据泄露，依法对淮南职业技术学院处以立即整改和行政警告的处罚措施。 、 网络安全威胁与形势高等学校违反网络安全法第一案二、 网络安全法治时代网络安全法网络安全等级保护制度网络安全等级保护条例等保2.0系列标准关键信息基础设施保护 条例用户信息保护制度个人信息保护法个人信息保护标准网络安全监测预警和信 息通报制度网络安全信息通报机制 管理办法网络安全监测预警信息 管理办法网络安全监测预警分级 标准二、 网络安全法治时代刑法修正案(九)、 最高人民法院. 最高人民检察院关于办理侵犯公民

5、个 人信息刑事案件适用法律若干问题的解释：致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一 的规定，以拒不履行信息网络安全管理义务罪定罪处罚。【三年以下有期徒刑】非法获取. 出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百 五十三条之一【侵犯公民个人信息罪】规定的“情节严重”。【踪轨迹信息. 通信内容. 征信信息. 财产信息五十条以上】信息安全等级保护管 理办法公安部等四部委关 于信息安全等级保护 工作的实施意见等级保护2.0标准正式发布：基本要求GB/T22239- 2019”测评要求安全设计要求网络安全法 国家实行网络安全 等级保护制度1994.

6、022017.06（公通字 200743号）2019.5.13（公通字 200466号）国务院147号令： “计算机信息系统全面实行信息安全等级 保护”等保1.0标准发布 “基本要求-GB/T22239-2008”2008后续：等级保护条例 关基保护条例二、 网络安全法治时代教育行业信息系统安 全等级保护定级工作 指南（试行）教育系统网络安全 事件应急预案教办厅函 200980号教技厅函 201474号教办厅函 201183号2019教育部办公厅关于开 展信息系统安全等级 保护工作的通知教育部 公安部全面 推进教育行业信息 安全等级保护工作 的通知教技 20152号后续：教育关基认定数据安全管

7、理办法教育部办公厅关于 进一步加强网络信 息系统安全保障工 作的通知教技 20188号党委党组网络安全 责任制二、 网络安全法治时代1.0：信息系统 安全等级保护2.0：网络安全 等级保护与网络安全法保持一致覆盖全行业、全社会覆盖全对象：基础网络、信息系统、 云计算、物联网、工控、移动互联移动APP需要测评吗？托管在云平 台，是否还 要测评？民营互联网公司，需要 开展等级保护吗二、 网络安全法治时代二、 网络安全法治时代1.基础网络安全等级保护条例（征求意见稿）2.定级备案网络安全等级保护定级指南 GA/T1389-2017 -（公安行标，待形成 国标稿）3.建设整改网络安全等级保护基本要求

8、（GB/T22239-2019）2019年12月1日正 式实施GB/T25070-2019网络安全等级保护安全设计技术要求4.等级测评网络安全等级保护测评要求网络安全等级保护测评过程指南GB/T28448-2019 GB/T28449-2018三重防护一个中心、三重防护安全通信网络安全区域边界安全计算环境一个中心安全管理中心、网络结构、网络带宽、网络传 输、可信验证边界防护、访问控制、入侵防 范、安全审计、恶意代码防范 可信验证身份鉴别、访问控制、安全审 计、入侵防范、恶意代码防范 可信验证；数据完整性、保密性、数据备 份恢复、个人信息保护等安全管理、系统管理、安全审 计、集中管控二、 网络安全法治时代通用要求+安全扩展要求安全通 用要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理安全扩 展要求云计算安全移动互联安全物联网安全工业控制系统 安全大数据安全*二、 网络安全法治时代可信计算3.0-主动免疫三级要求：可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和 应用程序等进行可信