学习网络安全法提升学校网络安全

学习《网络安全法》提升学校网络安全Cybersecurity1/2401网安法出台背景目录02网安法介绍03提升学校网络安全04总结2/24《网安法》在第一条就明确指出，“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其它组织正当权益，促进经济社会信息化健康发展，制订本法”。背景1网安法出台背景3/241994年，《中华人民共和国计算机信息系统保护条例》（国务院令第147号）第九条计算机信息系统实施安全等级保护。安全等级划分标准和安全等级保护详细方法，由公安部会同相关部门指定。各级《非经营性互联网信息服务立案管理方法》已经1月28日中华人民共和国信息产业部第12次部务会议审议经过，现予公布，自3月20日起施行。由大由全国人民代表大会常务委员会于11月7日公布，自年6月1日起施行。中华人民共和国主席令（第五十三号）公布。，《信息安全等级保护管理方法》（公通号【】43号）公安部牵头，国家保密局、国家密码管理总局等共同组织信息安全等级保护工作，。公安机关负担监督、检验和指导工作。1发展历程1994年4/24国家涵盖了网络空间主权、关键信息基础设施保护条例，有效维护了国家网络空间主权和安全。个人明确加强了对个人信息保护，打击网络诈骗，从法律上保障了广大人民群众在网络空间利益。1网安法出台意义企业对怎样强化网络安全管理、提升网络产品和服务安全可控水平等提出了明确要求，指导着网络产业安全、有序运行。5/2401网安法出台背景目录02网安法介绍03提升学校网络安全04总结6/242网安法框架第二章网络安全支持与促进第六章法律责任第七章附则第一章总则第三章网络安全运行第21条网络安全总体要求第22-28条网络运行者安全职责第33-38条关键基础设施运行者安全职责第31、32和39条国家对于关键信息基础设施运行者监管第一节普通要求第二节关键信息基础设施运行安全国家实施网络安全等级保护制度。网络运行者应该按照网络安全等级保护制度要求，推行安全保护义务。供给链安全、漏洞管理、实名认证、网络安全事件应急预案第四章网络信息安全第40~42条个人信息保护第43、44和46条个人与组织信息安全职责第47条内容安全网络运行者应该对其搜集用户信息严格保密，并建立健全用户信息保护制度网络运行者应该加强对其用户公布信息管理，发觉法律、行政法规禁止公布或者传输信息，应该马上停顿传输该信息，采取消除等处置办法，预防信息扩散，保留相关统计，并向相关主管部门汇报。第五章监测预警与应急处置第五章监测预应急处置（8条要求）定义网络安全监测预警与汇报机制民事处罚、刑事处罚7/242第一章总则（1-14）目强调为了维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其它组织正当权益。安全是发展前提，发展是安全保障，网络安全与信息化发展并重。范围中华人民共和国境内建设、运行、维护和使用网络，以及网络安全监督管理。网络空间主权，就是一国国家主权在网络空间中自然延伸和表现。对内：网络主权指是国家独立自助地发展、监督、管理本国互联网事务；对外，网络主权指预防本国互联网受到外部入侵和攻击。8/242第二章网络安全支持与促进（15-20条）推荐网络安全社会化服务体系建设；勉励开发网络数据安全保护和利用技术。.建立完善网络安全标准体系，支持企业、研究机构、高等学校、网络相关行业组织参加网络安全国际标准、行业标准制订。进行网络安全宣传教育；开展网络安全相关教育与培训。.扶持重点网络安全技术产业和项目；支持网络安全技术研究开发和应用；推广安全可信网络产品和服务助推产学研究一体化9/24网络全部者、管理者和网络服务提供者。经过网络提供服务、开展业务活动企业及机构，都可能被视为“网络运行者”。网络运行者经过信息网络向公众提供信息或者为获取网络信息等目标提供产品和服务机构，包含网络上一切提供设施、信息和中介、接入等技术服务个人用户、网络服务商以及非营利组织。网络接入服务提供商：电信运行商网络平台服务提供者；各大网站网络产品服务提供者：互联网企业、设备、服务供给商网络产品和服务提供者2第三章第一节网络安全运行普通要求（21-30条）10/242第三章第一节网络安全运行普通要求（21-30条）网络产品与服务网络安全运行网络安全等级保护制度落实网络安全责任安全管理制度和操作规程网络攻击和入侵防范网络运行状态监控与统计数据分类备份与加密漏洞修补安全维护强制认证安全检测信息公布技术支持风险评定应急预案可信身份安全保障11/242第三章第一节网络安全运行关键信息基础设施（31-39条）经过国家安全审查在中国境内运行中搜集和产出个人信息和主要数据应该在境内存放设置专门安全管理机构和管理责任人定时进行安全教育技术培训和技能考评数据容灾备份应急预案与演练每年一次风险评定关键信息基础设置管理要求12/24重点1规范信息搜集

《网络安全法》做出专门要求

1.网络产品、服务含有搜集用户信息功效，其提供者应该向用户明示并取得同意。2.网络运行者不得泄露、篡改、毁损其搜集个人信息；未经被搜集者同意，不得向他人提供个人信息。3.任何个人和组织不得窃取或者以其它非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。VS重点2打击电信诈骗

《网络安全法》针对层出不穷新型网络诈骗犯罪要求。

任何个人和组织应该对其使用网络行为负责，不得设置用于实施诈骗，传授犯罪方法，制作或者销售违禁品、管制物品等违法犯罪活动网站、通讯群组，不得利用网络公布包括实施诈骗，制作或者销售违禁物品、管制物品以及其它违法犯罪活动信息。2第四章网络信息安全（40-50条）13/2401信息搜集和使用正当、正当、必要，并搜集者同意02信息保密性建立健全用户信息保护制度03信息完整性不得泄露、纂改、毁损信息04信息管理禁止公布或者传输违法信息05监督检验建立投诉与举报制度2第四章网络信息安全（40-50条）网络运营者14/242第五章预警与应急处置（51-58条）01国家网信部门统筹协调相关部门加强网络安全信息搜集、分析和通报工作。02省级以上人民政府加强对网络安全风险检测；对网络安全风险信息进行分析评定，预测事件发生可能性、影响范围和危害程度；向社会公布网络安全风险预警。04紧急情况处置因维护国家安全和社会公会秩序，处置重大突出社会安全事件需要，经国务院决定或同意，能够在特定区域对网络通信采取限制等暂时办法。03关键信息基础设施安全部门建立健全本行业、本事域网络安全检测预警和信息通报制度，并安装要求报送网络安全监测预警信息。制订本行业、本事域网络安全事件应急预案，并定时组织演练。15/24民事责任刑事责任2第六章法律责任（59-75条）网信部门和相关部门网络运行者关键基础设施运行者网络产品服务提供者信息软件公布服务提供者罚款16/242第六章法律责任（59-75条）

第五十九条网络运行者不推行本法第二十一条（等级保护）、第二十五条（应急预案）要求网络安全保护义务，由相关主管部门责令更正，给予警告；拒不更正或者造成危害网络安全等后果，处一万元以上十万元以下罚款，对直接负责主管人员处五千元以上五万元以下罚款。……，处五万元以上五十万元以下罚款，对直接负责主管人员处一万元以上十万元以下罚款：

（二）对其产品、服务存在安全缺点、漏洞等风险未马上采取补救办法，或者未按照要求及时通知用户并向相关主管部门汇报；第六十条……，未要求用户提供真实身份信息，或者对不提供真实身份信息用户提供相关服务，由相关主管部门责令更正；拒不更正或者情节严重，处五万元以上五十万元以下罚款，并能够由相关主管部门责令暂停相关业务、停业整理、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责主管人员和其它直接责任人员处一万元以上十万元以下罚款。第六十一条网络运行者、网络产品或者服务提供者违反本法第二十二条第三款、第四十一条至第四十三条要求，侵害个人信息依法得到保护权利，由相关主管部门责令更正，能够依据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得，处一百万元以下罚款，对直接负责主管人员和其它直接责任人员处一万元以上十万元以下罚款；情节严重，并能够责令暂停相关业务、停业整理、关闭网站、吊销相关业务许可证或者吊销营业执照。第六十四条网络运行者违反本法第四十七条要求，对法律、行政法规禁止公布或者传输信息未停顿传输、采取消除等处置办法、保留相关统计，由相关主管部门责令更正，给予警告，没收违法所得；拒不更正或者情节严重，处十万元以上五十万元以下罚款，并能够责令暂停相关业务、停业整理、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责主管人员和其它直接责任人员处一万元以上十万元以下罚款。第六十八条违法成本高昂17/2401网安法出台背景目录02网安法介绍03提升学校网络安全04总结18/243提升学校网络安全CDN、SLB、WAF、SSL加密数据加密WAF主机安全（安骑士、安全狗、360天擎）防黑客入侵个人信息保护19/24堡垒机、数据库审计、态势感知内控和审计主机漏洞：安骑士应用漏洞：态势感知漏洞管理和应急响应内容识别、实名认证内容安全3提升学校网络安全20/24