网络安全法律法规

• 相关法律：公安部82号令、公安部151号令、网络安全法、等保2.0
  • 公安部82号令（共19条，颁布于2005年，实行于2006年，执行单位是公安机关公共信息网络安全监察部门）
    • 检查对象：互联网服务提供商（ISP）——常见为运行商、联网使用单位、提供互联网上网服务的单位（网吧）、提供互联网数据中心服务的单位（IDC）、提供互联网信息服务的单位（网站）
    • 违反规定的单位将依法收到处罚（罚款、断网、关闭网站、停业整顿）
    • 互联网安全保护技术措施指：保障互联网网络安全和信息安全，防范违法犯罪的技术设施和技术方法
      • 常见的技术设施：防火墙、防病毒、入侵检测、入侵阻拦、抗DOS攻击、内容过滤、用户认证、日志审计等设备或软件——不仅仅是信息过滤或日志审计
    • 法律条款要求
      • 对ISP的要求:（其他与ISP相似）
        • 1、82号令第一次提出要将上网的记录进行留存，且至少保存60天。——通过日志审计设备记录
        • 2、记录并留存用户注册信息
        • 3、使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系
        • 4、ISP应当具备：防病毒、防火墙、入侵检测与阻拦、抗DOS攻击、用户认证、包过滤、NAT、DNS日志审计、状态监控、法律法规和规章规定应当落实的日他安全保护技术措施。（ICP新增内容过滤、数据备份和审计、网页防篡改等功能；IDC新增数据审计备份和防垃圾邮件及短信功能；网吧和联网单位相对较少）
        • 总结：公安部82号令重点提出的是对上网信息的记录、审计的行为。
  • 公安部151号令（依法对互联网服务提供者和联网使用单位进行检查）
    • 检查工作实施部门：县级以上地方政府公安机关网络安全保卫部门
    • 第九条规定对下列互联网服务提供者和联网使用单位开展监督检查工作：
      • 提供互联网接入、互联网数据中心、内容分发、域名服务的；
      • 提供互联网信息你服务的；
      • 提供公共上网服务的；
      • 提供其他互联网服务的；
      • 对开展前款规定（82号令）的服务未满一年的，两年内曾发生过网络安全事件、违法犯罪案件的，或因未履行法定网络安全义务被公安机关予以行政处罚的，应开展重点监督检查。
    • 监督检查对象覆盖的客户群体：
      • 高校、普教、政府：互联网接入服务、数据中心服务、互联网信息服务（门户网站、论坛、留言板等）
      • 医疗：互联网接入、互联网信息服务、公共上网（院区病患无线上网）
      • 景区、场馆等公共场所：互联网信息服务、公共上网服务
      • 运营商：互联网接入服务、数据中心服务、互联网信息服务、公共上网服务
      • 重点检查对象：新开站服务的、有前科的单位会被重点关注
    • 检查内容：
      • 第十条：
        • 按公安部门要求进行备案，并落实安全管理制度：是否办理联网单位备案手续，并报送接入单位和用户基本信息及其变更情况;是否制定并落实网络安全管理制度和操作规程，确定网络安全负责人;
        • 行为审计/日志审计：是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;
        • 防火墙、IPS、WAF等防护手段：是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;
        • 行为审计对内容关键字审计过滤：是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;
        • 积极配合，态度端正：是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;
        • 等保：是否履行法律、行政法规规定的网络安全等级保护等义务。
      • 第十一条
        • 实名认证+日志审计：对提供互联网接入服务的，监督检查是否记录并留存网络地址及分配使用情况;
        • 对提供互联网数据中心服务的（IDC），监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;
        • 对提供互联网域名服务的，监督检查是否记录网络域名申请、变动信息，是否对违法域名依法采取处置措施;
        • 对提供互联网信息服务的，监督检查是否依法采取用户发布信息管理措施，是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施，并保存相关记录;
        • 对提供互联网内容分发服务的，监督检查是否记录内容分发网络与内容源网络链接对应情况;
        • 对提供互联网公共上网服务的，监督检查是否采取符合国家标准的网络与信息安全保护技术措施。（是否按照等级保护标准规范及相关行业主管部门文件要求，采取防攻击，防病毒，防篡改，防泄密等安全措施，以及是否进行定期风险评估及漏洞整改）
      • 第十二条
        • 在国家重大网络安全保卫任务期间，公安机关会开展专项安全监督检查：
        • (一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
        • 渗透测试及安全检测评估服务：是否组织开展网络安全风险评估，并采取相应风险管控措施堵塞网络安全漏洞隐患;
        • 重点要制定应急预案并组织演练：是否制定网络安全应急处置预案并组织开展应急演练，应急处置相关设施是否完备有效;
        • 常规网络设备防护设备建议都上，重点考虑网站防篡改以及一键下线：是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
        • 是否按照要求向公安机关报告网络安全防范措施及落实情况。
        • 对防范恐怖袭击的重点目标的互联网安全监督检查，按照前款规定的内容执行。
        • 内容很具体，不再做一一详细解读，针对以上内容，厂商安服中心都可以为用户提供对应的安全咨询、整改、加固服务，帮助用户平安度过重保时期。
      • 151号令的主要处罚依据仍是基于《网络安全法》，视条款和情节不同处以罚款、关停、吊销执照甚至追究刑事责任等处罚。
  • 网络安全法
    • 四部分：网络运营者、关键信息基础设施、个人信息保护、法律责任
    • 网络安全法共7章79条
      • 网络运营者：网络的所有者、管理者和网络服务提供者
      • 1.应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改∶
        • (一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;
        • (二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
        • (三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;
        • (四）采取数据分类、重要数据备份和加密等措施;
      • 2．为用户办理网络接入、域名注册等等服务时，应当要求用户提供真实身份信息。
      • 3.网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
      • 4．应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
      • 5.网络运营者不得泄露、篡改、毁损其收集的个人信息
      • 6．网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报
      • 关键信息基础设施
        • 第三十一条：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
        • 2017年7月10日网信办发布《关键信息基础设施安全保护条例(征求意见稿）》
        • 第十八条：单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围︰
        • (一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
        • (二)电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位;
        • （三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
        • (四)广播电台、电视台、通讯社等新闻单位;
        • (五)其他重点单位。
        • 第四条：县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。第六条关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。
        • 第十一条：地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划，加大投入，开展工作绩效考核评价。
        • 关键信息基础设施运营者义务
          • 1. 确保关键信息基础设施具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。
          • 2.应当按照网络安全等级保护制度的要求，履行安全保护义务。
          • 3.履行下列安全保护义务∶
            • √(一)设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查;
            • √(二）定期对从业人员进行网络安全教育、技术培训和技能考核;
            • √(三）对重要系统和数据库进行容灾备份﹔
            • √(四)制定网络安全事件应急预案，并定期进行演练;
          • 4.采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
          • 5.采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。
          • 6.在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估﹔法律、行政法规另有规定的，依照其规定。
          • 7．应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
        • 网络产品和服务提供者义务
          • 网络产品、服务应当符合相关国家标准的强制性要求。
          • 不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
          • 应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内，不得终止提供安全维护。
          • 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
        • 法律责任
          • 第六十四条：网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
          • 第六十八条网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得;拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
          • 上述条目明确规定了对网络运营者、网络产品或者服务的提供者，以及关键信息基础设施运营者的处罚措施，包括暂停业务、停业整顿、吊销相关业务许可证或者吊销营业执照等，最高处罚金额可达人民币100万元。