网络安全法及安全意识培训

网络安全法及安全意识交流目录立法的背景、目的01法律框架与条款解读02网络安全威胁&事件03网络安全法–国际背景网络冲突和攻击成为国家间对抗的主要形式。网络空间战略和政策升级调整注重安全保障与攻击能力双向提升加强对数据资源跨境传输的管控2015年以来，国家行为体实施的大规模网络监控和网络攻击造成了国家间的严重不信任情绪，对国际局势的稳定带来不良影响。冲突与对抗网络安全法–国内背景3、网络安全人才建设滞后4、我国信息化建设的突飞猛进2、地下黑产不断扩大，网络攻击越来越多5、大量的网络安全事件和经济损失1、新技术的持续发展与应用网络安全法–国内背景（续）6、法律法规条文的分散和监管的滞后7、早在2003年的27号文就呼吁立法，但时机不成熟8、遗留问题导致多头执法，与境外网安组织没有适合的对口部门立法进程网络安全法–颁布执行《中华人民共和国网络安全法》2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过。2017年6月1日正式实施国务院及相关的部门会制定和颁布一系列的配套法律法规，例如：网络安全等级保护制度、关键信息基础设施的认定和保护办法、数据跨境传输的安全评估办法、网络产品和服务的国家安全审查制度等。构成我国网络空间安全管理的基本法律网络安全法–颁布执行-跟进的法律法规2017年4月11日，国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法（征求意见稿）》公开征求意见的通知。针对个人信息和重要数据出境的场景提出了明确的管理要求，办法既是对网络安全法的一种延伸，又对网络安全法进行了相应的补充。办法中，第八条对数据出境安全评估的重点内容进行了明确，第九条对必须由监管部门进行评估的情况进行了界定，此外，还对评估周期、评估时间等内容都做出详细规定。办法将网络安全法对数据出境的条款进行了具体化，延伸成为可执行落地的规章。（一）数据出境的必要性；（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险目录立法的背景、目的01法律框架与条款解读02网络安全威胁&事件03网络安全法定位及管辖范围境外管辖范围国内管辖范围法律定位互联网领域网络安全的基础性法律中华人民共和国境内建设、运营、维护和使用的网络，以及网络安全的监督管理攻击行为管辖权攻击行为防御权攻击行为惩治权攻击行为制裁权条文结构（共7章79条）第一章总则网络安全支持与促进网络运行安全——第一节一般规定第二节关键信息基础设施的运行安全网络信息安全监测预警与应急处置法律责任附则第二章第三章第四章第五章第六章第七章网络安全法–内容解读010203国家及监管机构做什么，政策支持什么？产品商、关键基础设施运营者、网络运营者、组织与个人应该做什么，应该怎样做？违法违规之后的法律追责是什么？几个亮点网络安全法共有七章79条，有六方面突出亮点：1.网络安全法明确了网络空间主权的原则。2.明确了网络产品和服务提供者的安全义务。3.明确了网络运营者的安全义务。4.进一步完善了个人信息保护规则。5.建立了关键信息基础设施安全保护制度。6.确立了关键信息基础设施重要数据跨境传输的规则。几个关键定义网络运营者—是指网络的所有者、管理者和网络服务提供者。网络数据—是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息—是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。关键信息基础设施—国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。网络安全法国家和监管机构顶层设计承担任务支持鼓励国家战略与标准制定公民与关键基础设施保护人才培养技术与产业创新合作与自律国际合作建设投入等保制度入法通报机制与制度网络安全法网络运营者等级保护制度制定内部管理制度及操作规程，确定安全责任人。采取数据分类、重要数据备份和加密等措施。采取技术措施防范网络攻击入侵及病毒。采取监测、记录网络运行状态、网络安全事件的技术措施，留存网络日志不少于六个月。解读：信息系统安全等级保护制度已经实施多年，网络安全等级保护制度应当会与目前的信息系统安全等级保护制度相衔接和融合，而不会成为两个并行的制度体系。网络安全法网络运营者（续）法律义务个人信息保护办理网络接入、域名注册、信息发布时，要求用户提供真实身份。对收集的用户信息严格保密，不得收集与提供服务无关的个人信息，不得非法使用个人信息。对其用户发布的信息进行管理，采取停止传输、消除并保留记录。建立网络信息安全投诉、举报制度，并及时受理应采取必要措施确保收集的个人信息不被泄露、篡改、毁损。个人信息主体发现网络运营者违法，有权要求其删除（保护使用不当）、更正个人信息（有误）。制订网络安全事件应急预案，及时处理系统漏洞、网络攻击。发生危害事件时，采取补救措施，并向有关部门报告。应配合公安机关维护国家安全及侦查犯罪活动提供支持。网络安全法关键基础设施运营者保密与审查人员与培训建设与运维建设要求——应保证安全技术措施同步规划、同步建设、同步使用。保密要求——采购网络产品及服务，应与提供者签订安全保密协议，明确义务与责任。应委托安全服务机构，每年至少一次进行检测评估。境内存储——在中国境内运营中收集产生的信息应当在境内存储，确实需要向境外提供的，应进行评估。安全审查——采购网络产品及服务，可能影响国家安全的，应通过国家网信部门进行安全审查。设置专门管理机构及责任人，关键岗位背景调查。定期对从业人员进行网络安全教育、技术培训。重要系统和数据库的容灾备份要求。制定网络安全事件应急预案，并定期演练。网络安全法网络产品和服务提供者服务义务关键设备检测要求提供的网络产品及服务应符合国家标准强制要求。不得设置恶意程序、发现安全缺陷或漏洞及时补救，并告知用户并向主管部门报告。在规定的服务期限内，应持续提供安全维护服务。网络产品、服务具有收集用户信息功能的，应当向用户明示并取得同意。按照国家标准的强制性要求，在获得具备资质的检测机构的安全检测后，方可销售或提供服务。国家网信部门会同国务院有关部门，制定并公布安全产品名录。网络安全法组织与个人不得提供便利行为规范不得从事非法入侵他人网络、干扰他人网络正常功能、窃取网络数据活动。任何个人或组织发送的电子信息、提供的应用软件、不得设置恶意程序。应当对使用的网络行为负责，不得设立用于实施诈骗、传授犯罪方法、制作销售违禁物品的网站、通信群组。不得利用网络发布各种违法犯罪活动的信息。不得提供专门用于从事入侵、干扰他人网络正常功能、窃取网络数据的工具。明知他人从事危害网络安全活动的，不得为其提供技术支持、广告推广、支付结算等帮助。不得窃取或以其他非法方式获取个人信息，不得非法出售或者向他人提供个人信息。负有安全监管的工作人员（管理部门），必须对履职中知悉的个人信息、隐私及商业秘密进行保密。网络安全法个人信息保护预防损害原则使用原则安全管理原则告知原则搜集原则自主选择原则访问及更正原则完整性原则责任原则（第四十二条）网络运营者不得泄露、篡改、毁损其搜集的个人信息（第四十三条）个人发现网络运营者违反法律、行政法规的规定或双方约定收集、使用个人信息的，有权要求删除其个人信息，发现有错误的有权要求网络运营者更正。（第四十一条）网络运营者收集、使用个人信息，应经被搜集者同意；（第四十二条）未经被搜集者同意，不得向他人提供个人信息（第四十一条）网络运营者收集、使用个人信息，应公开搜集、使用规则，明示搜集、使用信息的目的、方式和范围并经被搜集者同意（第四十九条）网络运营应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉与举报（第四十一条）网络运营者收集、使用个人信息，应当遵循合法、正当、必要原则；不得搜集与其服务提供无关的个人信息（第四十二条）网络运营者不得泄露、篡改、毁损其搜集的个人信息（第四十条）网络运营者对其搜集的用户信息严格保密，建立健全用户信息保护制度（第四十二条）未经被搜集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外；（第四十四条）不得非法出售或非法向他人提供个人信息网络安全法法律追责与处罚违规行为单位负责人未实施等保，未设定安全应急预案0.5-5万1-10万网络运营者关键基础设施产品/服务提供者网络运营者网络运营者未执行三同步，未履行安全义务，未每年开展至少1次安全评估1-10万10-100万未提供入网实名验证，或未验证也提供服务的5-50万严重吊销执照1-10万违法开展网络安全认证、检测，或向社会发布漏洞病毒1-10万严重吊销执照0.5-5万设置恶意程序，或未及时修补，或没有履行维护义务5-50万1-10万主体网络安全法法律追责与处罚(续)违规行为单位负责人非法入侵他人网络、提供恶意工具或技术支持5-50万五日以下刑拘五年内不得从事网络安全运营组织或个人运营、服务商关键基础设施运营关键基础设施运营个人或组织违法收集、使用、篡改、出售公民信息，未妥善保护公民信息1-10万50万以下严重吊销执照采购安全产品导致安全风险采购金额1-10倍1-10万数据存储国外或向国外提供数据5-50万严重吊销执照1-10万主体协助实施犯罪未构成犯罪的，发布与实施犯罪相关信息的1-50万1-15日拘留10-50万网络安全法法律追责与处罚网络运营者网络运营者未及时上报，未按要求采取措施，未配合国家机关5-50万1-10万未及时阻止违规信息发布，消除及记录保存10-50万严重吊销执照1-10万违规行为单位负责人网络安全法客户需要注意的多个关键1、等级保护正式成为法律要求（21条，31条，59条）6、机构必须定期开展培训与演练（34条）3、IT建设三同步（33条）7、安全产品/服务尽可能选择国内具备相关安全服务资质的厂商（35条、65条）2、等级保护的检查工作谁来主导，目前未定（59条）5、安全评估必须每年一次并需要报送（38条，59条）8、对于互联网业务系统，例如APP需要更关注其安全性（22条第一款，60条）9、安全岗位的人员要进行无治安和犯罪记录审查（63条）10、负责人要负连带责任4、重要数据存储与提供（37条）网络安全法执法案例-（1）事件时间违法行为执法机构执法依据违法处罚汕头某公司未按规定定期开展等级测评7月20日未按规定履行网络安全等级测评义务广东汕头网警支队：《网络安全法》第21条、第59条第1款警告并责令其改正宜宾市翠屏区“教师发展平台”网站发生被黑客攻击入侵的网络安全事件7月22日未落实网络安全等级保护制度，未履行网络安全保护义务宜宾网安部门《网络安全法》第21条、第59条对直接负责的主管人员罚款5千，机构罚款1万元山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚7月25日未按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施山西忻州市、县两级公安机关网安部门《网络安全法》第21条、第59条警告并责令其改正重庆市某科技发展有限公司未依法留存用户登录相关网络日志8月2日未依法留存用户登录相关网络日志重庆公安局网安总队《网络安全法》第21、第59条警告并责令其改正网络安全法执法案例-（2）事件时间违法行为执法机构执法依据违法处罚江苏宿迁市华睿科技有限公司服务器内接入一违法网站8月10日提供互联网接入服务的服务器内存在涉及法律、行政法规禁止传输的信息宿城公安分局《网络安全法》第47、第68条警告并责令其改正BOSS直聘被网信办责令整改8月11日为未提供真实身份信息的用户提供信息发布服务；未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散北京市网信办、天津市网信办《网络安全法》第24条、61条、47条、68条责令改正腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查8月11日未加强对用户发布的信息的管理，网站中存在法律、行政法规禁止发布或者传输的信息北京市、广东省网信办《网络安全法》第47、第68条

仍在调查中黑龙江方正县农业技术推广中心

“方正农业社会化服务平台”遭入侵造成恶劣影响9月14日未落实网络安全等级保护制度，未履行网络安全保护义务哈尔滨市公安局网安支队《网络安全法》第21条、第59条责令改正并处两万元罚款网络安全法执法案例-（3）事件时间违法行为执法机构执法依据违法处罚广州荔支网络技术有限公司用户利用其荔枝FM网络平台发布和传播违法有害信息9月未加强对用户发布的信息的管理，网站中存在法律、行政法规禁止发布或者传输的信息广东省通信管理局《网络安全法》第47条、第68条，《互联网信息服务管理办法》第16条、第23条等规定责令整改，并给予警告处罚深圳市三人网络科技有限公司未核实用户信息存在被利用于从事信息通信诈骗活动的安全隐患9月为未提供真实身份信息的用户提供信息发布服务；未采取有效措施对用户发布传输的信息进行严格管理,导致发生信息通信诈骗活动广东省通信管理局依据《网络安全法》第24条第(一)款、第61条，《电话用户真实身份信息登记规定》(工业和信息化部令第25号)第17条立即整改，罚款五万元，并责令停业整顿，关闭网站广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险且未及时修补并被用于传播违法信息9月产品未能及时全面检测和修补，被被用于传播违法有害信息，造成不良影响广东省通信管理局《网络安全法》第22条第1款立即整改，并要求其开展通信网络安全防护风险评估，建立新业务上线前安全评估机制和已上线业务定期核查机制，对已上线网络产品服务进行全面检查阿里云计算有限公司未落实真实身份信息登记和网站备案相关要求，导致用户假冒其他机构名义获取网站备案主体资格9月为未提供真实身份信息的用户提供网络接入广东省通信管理局《网络安全法》第24条第(一)款、第61条责令该公司立即整改目录立法的背景、目的01法律框架与条款解读02网络安全事件&威胁03全球DDoS攻击态势全球DDoS攻击年度峰值（单位：Gbps）DDoS攻防态势发展网游公司之间互相DDOS攻击导致六省断网中国人民银行遭受DDOS攻击导致官网无法访问汇丰银行网上银行一月内遭遇DDoS攻击两次被迫下线黑客组织针对全球多家银行、金融机构发动DDOS攻击导致网络瘫痪五家俄罗斯银行遭受DDOS攻击并勒索1万美元黑客攻击成本很低，已经形成了产业链，一些黑客明码标价。如，打1G的流量到一个网站一小时，网上报价只需50块钱。竞争优势恶意报复追名逐利未知原因勒索钱财钓鱼网站（示例）正常网站（示例）安全事件导致的用户信息泄漏2015年Q1中国公民已经泄漏的个人信息多达11.27亿条

据统计，仅2011年至2014年底，已被公开，并被证实已经泄漏的中国公民个人信息就多达11.27亿条，内容包括账号密码、电子邮件、电话号码、通信录、家庭住址，甚至是身份证号码等信息。邮件加密勒索事件2015年5月1日，一种名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播，该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户文件只能在支付赎金后才能打开。反病毒专家称，目前国内外尚无法破解该病毒。邮件加密勒索事件攻击流程：邮件加密勒索事件为了避免受到勒索软件的威胁，对于PC和智能手机用户，建议：

1．及时备份重要文件

2．及时安装更新补丁，避免一些勒索软件利用漏洞感染计算机

3．给信任网站添加书签并通过书签访问

4．对非可信来源的邮件保持警惕，避免打开附件或点击邮件中的链接

5．定期用反病毒软件扫描系统威胁无处不在黑客病毒木马后门钓鱼攻击APT攻击隐私泄密DDoS攻击物联网攻击工商间谍失窃泄密移动互联网攻击不良信息人肉搜索信息对抗信息资产物联网云计算工控大数据社会工程学攻击黑客攻击黑客可以轻易地施行跨网、跨国攻击“黑客”对网络的袭击方法已有几千种，而且大多数是致命的全世界现有20多万个“黑客”网站。每当一种新的“黑客”袭击手段产生，一周内便可传遍全世界在不断扩大的计算机网络空间中，几乎到处都有“黑客”的身影，无处不遭受“黑客”的攻击对PC的攻击比率越来越高♦网上游戏、网上银行和电子商务的增加♦针对pc设计的黑客工具个木马♦补丁与升级不够及时♦缺乏安全防范意识社会工程学攻击以《欺骗的艺术》为基础，结合互联网提供的定义、常见应用与手段：利用人的心理弱点（本能反应、好奇心、同情心、信任、贪婪、虚荣懒惰），规章与制度甚至物理环境的漏洞，进行诸如欺骗、伤害等手段，以期获取所需要的信息（如计算机口令、银行账户）。社会工程学在黑客技术中的发展：20世纪80s-90s社会工程学应用于信息窃取黑客社会工程学应用的早期代表人物：Kevin-Mitnick1964年生于美国加州的洛杉矶。3岁时，其父母离异。13岁的米特尼克（上小学）就用学校的计算机闯入了其他学校的网络。从此，小米特罗克离开了学校。入侵的成功，令米特罗克兴奋不已。已远远超出其年龄的耐心和毅力，闯入了神秘的黑客世界。社会工程学一般黑客攻击社会工程攻击攻击对象攻击方法网络设备主机服务器应用程序网络服务人对人只对人扫描暴力破解溢出攻击注入攻击拒绝服务……欺骗诱导社会工程学搜集足够多的信息，以便于伪装成一个合法的雇员、合作伙伴、执法官员，或者攻击者期望的任意角色。寻找组织、员工的明显弱点，寻求突破。采集信息选择目标建立信任实施攻击我就是我所声称的那个人！让人无处藏身的信息查询与人肉搜索虚拟性与隐蔽性一去不返，“给我一个网络ID，我能发现整个家庭”让人无处藏身的信息查询与人肉搜索■定义▶网民（包括知情人）人工参与，提纯搜索引擎提供的信息▶类似于知识搜索（百度知道、知乎），强调搜索结果的处理、信息互动■过程▶攻击者提供账号到某个网站或网络社区，如猫扑网，网民（比较寂寞，有点聪明和分析能力，不同阶层，不同知识背景），使用搜索引擎，加上判断分析，追查某事某物，最终曝光事物真相或隐私。■定性▶人肉搜索有“毒”，不道德▶导致对当事人的侵害，如“铜须门”

几点忠告■寂寞的网友是中国的福尔摩斯■人肉搜索确实强大■不要轻易在网上晒

令人无法察觉的工商间谍窃密工商窃密事件◆2001年，保洁雇佣间谍向联合利华员工谎称是市场分析员，并从后者垃圾箱中获取多项商业机密

◆2007年，合肥某公司工程师陈阳骗取小灵通系统维护平台密码，实施话费窃取◆2009年，Zynga公司告Playdom利用4名原Zynga公司职员盗窃机密文档◆纽约、东京、深圳、上海等地每年都有工商间谍事件发生♦最开放的城市每天都上演商业无间道♦商业无间道：包括假冒在内的一些社会工程学手段

垃圾搜寻、信息调查公司废弃材料可能泄露很多信息♦电话薄：可确定目标与模仿对象♦会议日历：事务处理安排、雇员初查规律♦员工手册：公司安全环境♦计算机硬盘：数据恢复处理◆宝洁联合利华情报纠纷案，有数十份文件来自垃圾箱◆商业间谍可能直接付费购买某个公司的垃圾

◆信息调查表、简表、调查问卷、个人基本信息表◆一些调查策略：先赠送礼品；要求提供个人联系方式用于调查后的抽检

良好的物理安全习惯良好的办公安全习惯外部环境安全公共场所免费Wi-Fi“不免费”针对全国8万个公共wifi热点进行的抽样调查，有21%的公共热点存在风险，其中绝大多数wifi热点加密方式不安全，包括黑客在内的任何一个人都可以侦听到该局域网内的数据通信，如账号、密码、个人信息等。免费Wi-Fi“不免费”免费Wi-Fi的利弊制造拒绝服务的陷阱■攻击者先制造问题，之后以解决问题的身份出现♦打电话到网络中心请求暂时中断网络，造成网络故障♦放置手机屏蔽器，造成手机无法连接网络♦向员工发送大量垃圾邮件，谎称可能遭到黑客攻击◆人民寻求或得到帮助时，对提供帮助者不怎么怀疑

电话窃听窃听在商业、政治、军事领域相当流行♦通过短信给目标手机安装窃听木马♦“商务通防盗手机”，本身是装有窃密软件的手机♦“X卧底”窃密软件

恶意代码—病毒/木马/后门计算机病毒传播：1988年11月Morris蠕虫事件；1999年4月26日，CIH病毒大爆发，梅丽莎病毒2000年爱虫病毒2001年，GodeRed，Niuda病毒2003年，SQL蠕虫、冲击波病毒等；2007年熊猫烧香病毒2008年机器狗病毒2009年木马下载器病毒伊朗不什尔核电站工厂病毒案例木马病毒目前境外有数万个木马控制端紧盯着中国大陆被控制的电脑，数千个僵尸网络控制服务器也针对这大陆地区，甚至有境外间谍机构设立数十个网络情报据点，对我进行网络抢解密和情报渗透。多媒体木马的危害——家庭生活直播钓鱼攻击/信息欺骗从目的来