网络安全保障会议上的讲话7篇

网络安全保障会议上的讲话7篇网络安全保障会议上的讲话 网络安全保障工作总结 为切实做好G20杭州国际峰会网络安全保障工作,根据市网信办和市城管委的部署,按照《杭州市城管委G20杭州峰会网络下面是小编为大家整理的网络安全保障会议上的讲话7篇,供大家参考。

网络安全保障会议上的讲话7篇

篇一:网络安全保障会议上的讲话

安全保障工作总结

 为切实做好 G20 杭州国际峰会 网络安全 保障工作, 根据市网信办和市城管委的 部署 ,按照 《杭州市城管委 G20 杭州峰会网络安全工作方案》和《杭州市城管委 G20 杭州峰会重大网络安全事件应急处置预案》 ( 杭城管委 ﹝ 201 6 ﹞ 204 号 )文件 要求 ,我中心高度重视,立即行动,抓紧落实网络安全工作,现将有关情况汇报如下:

 一、 高度重视,落实责任 。

 中心成立网络安全领导小组, 由中心一把手任小组组长,领导班子成员及各科室负责人分别担任副组长及组员。根据市城管委要求, 7 月 15 日 将责任领导、联络员名单、安全责任承诺书和网络安全自查表报送委网络安全组,要求网络安全 责任 领导及 联络员 24 小时开机,做好随时解决网络安全问题的准备工作。

 二、 提升安全理念,健全制度建设 。

 中心 结合 网络 安全管理现状,在充分调研的基础上,制定了《 固废中心网络安全子方案 》 、《 固废中心网络安全应急预案 》 及《 固废中心 网络信息安全演练方案 》 ,以公文的形式下发执行,把安全教育发送到每一个岗位和人员。

 三、着力堵塞漏洞 , 开展安全隐患自查和 安全演练。一是 积极联系委信息中心, 开展 网络安全自查自纠和风险评估 工作,并根据

 评估结果及时 落实 问题整改。

 二是 根据江干区 网警大队的要求,完成中心网站在“公安机关互联网站安全管理服务平台”上的备案工作,并 按要求 在7月30日之前,暂时关闭中心门户网站。

 三是 按照 《 固废中心 网络信息安全演练方案 》 要求,在 8 月中旬开展信息安全演练,开展以解决办公网络遭受不法软件攻击等突发事件为主的实战演习。

 四是 做好 固废 在线监测系统 关闭的准备工作。

 四、 规范流程操作,养成良好习惯 。

 中心 要求全 体 工作人员都应该了 网络 安全形势,遵守安全规定,掌握操作技能,努力提高 中心网络安全 保障能力,提出人人养成良好 网络 安全习惯 的七项规定 。

 1 . 禁止用非涉密机处理涉密文件。

 2. 禁止在外网上处理和存放内部文件资料。

 3.禁止在 工作网络 计算机中安装游戏等非工作类软件。

 4. 所有工作机须要设置开机口令。口令长度不得少于 8 位,字母数字混合 , 并要求 口令 做到“一周一更” 。

 5. 所有工作机均应安装防病毒软件。软件必须及时更新,定期进行全盘扫描查杀病毒,系统补丁需及时更新。

 6. 禁止在工作网络设置无线路由等无线设备。

 7. 严格做到人离开工作电脑即断网断电。

 篇二 通信网络安全防护工作总结 为提高网络通讯防护水平,从网络结构安全、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络安全稳定,总结如下:

 ( 1 )网络冗余和备份 使用电信和网通双城域网冗余线路接入 , 目前电信城域网的接入带宽是 20M, 联通城域网的接入带宽是 20M. 可根据日后用户的不断增多和务业的发展需求再向相关网络服务提供商定购更大的线路带宽。

 ( 2 )路由器安全控制 业务服务器及路由器之间配置静态路由,并进行访问控制列表控制数据流向。

 Qos 保证方向使用金 (Dscp32), 银 (Dscp8), 铜 (Dscp0) 的等级标识路由器的 Qos 方式来分配线路带宽的优先级 , 保证在网络流量出现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送。

 ( 3 )防火墙安全控制

 主机房现有配备有主备 juniper 防火墙 和深信服 waf 防火墙, juniper 防火墙具备 ips 、杀毒等功能模块,深信服 waf 防火墙主要用于网页攻击防护,可防止 sql 注入、跨站攻击、黑客挂马等攻击。

 防火墙使用 Untrust,Trunst 和 DMZ 区域来划分网络 , 使用策略来控制各个区域之间的安全访问。

 ( 4 )

 IP 子网划分 / 地址转换和绑定 已为办公区域 , 服务器以及各个路由器之间划分 IP 子网段 , 保证各个子网的 IP 可用性和整个网络的 IP 地址非重复性。使用 NAT,PAT,VIP,MIP 对内外网 IP 地址的映射转换 , 在路由器和防火墙上使用 IP 地址与 MAC 地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分 IP 子网划分 :172.16.0.0/16 ( 5 )网络域安全隔离和限制 生产网络和办公网络隔离,连接生产必须通过连接 vpn 才能连接到生产网络。在网络边界部署堡垒机 , 通过堡垒机认证后才可以对路由器进行安全访问操作 , 在操作过程中堡垒机会将所有操作过程视频录像,方便安全审计以及系统变更后可能出现的问题,迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机 IP 地址对其登陆操作 , 在路由器中配置 3A 认证服务 , 通过 TACAS 服务器作为认证 , 授权。

 ( 6 )网络安全审记 网络设备配置日志服务 , 把设备相关的日志消息统一发送到日志服务器上作记录及统计操作 . 日志服务器设置只允许网管主机的访问 , 保证设备日志消息的安全性和完整性。

 logging buffered 102400 logging trap debugging logging source-interface Loopback0 logging XX.XX.XX.XX( 日志服务器 IP) ( 7 )内外网非法连接阻断和定位 交换机划分 Vlan 方式隔离开内外网区域.关闭空闲没有使用的网络设备端口 , 防止非授权设备的私自接入网络 . 如发现非授权设备接入网络 , 可在日志服务器匹配端口关键字对其跟踪记录。内部网络用户则采用 MAC 地址绑定进行有效阻断。已为办公网络划分IP子网并做MAC地址绑定,部署有深信服上网行为管理设备,防止非受权设备私自接入网络 ( 8 )网络 ARP 欺骗攻击

 主机与服务器安装防火墙软件 , 将网关 IP 与 MAC 之间作 ARP 绑定 , 防止因 ARP 欺骗攻击导致设备无法连接网络.在PC上安装杀毒软件,使用上网行为管理防止非法连接外网, Arp 192.168.100.100 AAAA.BBBB.CCCC ( 9 )

 DOS/DDOS 攻击 已在防火墙部著 DOS/DDOS 攻击防范措施,具体有 ICMP,UDP,SYN 洪水攻击保护 ,SYN-ACK-ACK 代理保护,会话数据流源地址和目标地址条目限制等。另外我们建立网络流量监控系流,可以即时反映流网实时流量,并与电信与联通网络服务提供商建立良好的沟通渠道,发现线路流量异常即时联系相关网管部请求协助检查.如防火墙无法解决的需人工干预查出受攻击的主机地址后配置访问列表过滤掉非法的异常流量。

 ( 10 )网络设备最小化配置 所有网络设备(包括但不限于防火墙、路由器、交换机)一律要求最小化配置,关闭无用的协议,如 RPC 协议、 ftp 协议等, 只开放使用端口,非使用一律关闭。

 (11)

 漏洞扫描

 定期使用 nessus 漏洞扫描攻击对网络设备进行漏洞扫描,若扫描发现漏洞并进行漏洞修补。

 篇三 络与信息安全工作总结 农业局络与信息安全检查 情况报告 今年以来,我局大力夯实信息化基础建设,严格落实信息系统安全机制,从源头做起,从基础抓起,不断提升信息安全理念,强化信息技术的安全管理和保障,加强对包括设备安全、络安全、数据安全等信息化建设全方位的安全管理,以信息化促进农业管理的科学化和精细化。

 一、提升安全理念,健全制度建设 我局结合信息化安全管理现状,在充分调研的基础上,制定了《保密及计算机信息安全检查工作实施方案》,以公文的形式下发执行,把安全教育发送到每一个岗位和人员。进一步强化信息化安全知识培训,广泛签订《保密承诺书》。进一步增强全局的安全防范意识,在全农业系统建立保密及信息安全工作领导小组,由书记任组长,局长为副组长,农业系统各部门主要负责同志为成员的工作领导小组 , 下设办公室,抽调精兵强将负责对州农业局及局属各事业单位保密文件和局上机、工

 作机、中转机以及络安全的日管管理与检查。局属各单位也相应成立了络与信息安全领导 小组。

 二、着力堵塞漏洞,狠抓信息安全 我局现有计算机 37 台,其中 6 台为工作机, 1 台中转机, 每个工作人员使用的计算机按涉密用、内用、外用三种情况分类登记和清理,清理工作分为自我清理和检查两个步骤。清理工作即每个干部职工都要对自己使用的计算机(含笔记本电脑)和移动存储介质,按涉密用、内用、外用进行分类,并进行相应的信息清理归类,分别存储。检查组办公室成员对各类计算机和移动存储介质进行抽查,确保所有计算机及存储设备都符合保密的要求。

 定期巡查,建立安全保密长效机制。针对不同情况采用分类处理办法(如更 新病毒库、重装操作系统、更换硬盘等),并制定相应制度来保证长期有效。严肃纪律,认真学习和严格按照《计算机安全及保密工作条例》养成良好的行为习惯,掌握安全操作技能,强化安全人人有责、违规必究的责任意识和机制。

 三、规范流程操作,养成良好习惯

  我局要求全系统工作人员都应该了解信息安全形势,遵守安全规定,掌握操作技能,努力提高全系统信息保障能力,提出人人养成良好信息安全习惯“九项规范”。

 1 、禁止用非涉密机处理涉密文件。所有涉密文件必须在涉密计算机上处理(包括编辑、拷贝和打印),内外计算机不得处理、保 存标密文件。

 2 、禁止在外上处理和存放内部文件资料。

 3 、禁止在内计算机中安装游戏等非工作类软件。

 4 、禁止内计算机以任何形式接入外。包括插头转换、私接无线络、使用 3G 上卡、红外、蓝牙、手机、 wifi 等设备。

 5 、禁止非内计算机未经检查和批准接入内。包括禁止外计算机通过插拔线的方式私自连接内。

 6 、禁止非工作笔记本电脑与内连接和工作笔记本电脑与外连接。

 7 、禁止移动存储介质在内、外机以及涉密机之间交叉使用。涉密计算机、内机、外机使用的移动存储介质都应分开专用,外向内复制数据须通过刻录 光盘单向导入。

 8 、所有工作机须要设臵开机口令。口令长度不得少于 8 位,字母数字混合。

 9 、所有工作机均应安装防病毒软件。软件必须及时更新,定期进行全盘扫描查杀病毒,系统补丁需及时更新。

 四、检查发现的问题及整改 在对保密工作和计算机安全管理检查过程中也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。

 1 、安全意识不够。工作人员信息安全意识不够,未引起高度重视。检查要求其要高度保持信息安全工作的警惕

  性,从政治和大局出发,继续加强对机关干部的安全意识教育,提高做好安全工 作的主动性和自觉性。

 2 、缺乏相关专业人员。由于单位缺乏相关专业技术人员,信息系统安全方面可投入的力量非常有限,下一步要加强相关技术人员的培训工作。

 3 、安全制度落实不力。要求加强制度建设,加大安全制度的执行力度,责任追究力度。要强化问责制度,对于行动缓慢、执行不力、导致不良后果的个人,要严肃追究相关责任人责任,从而提高人员安全防护意识。

 4 、工作机制有待完善。络与信息安全管理混乱,要进一步创新安全工作机制,提高机关络信息工作的运行效率,进一步规范办公秩序。

 5 、计算机病毒问题较为严重。部分 计算机使用的是盗版杀毒软件,有的是上下载的,有的是已过期不能升级的。今后对此项工作加大资金投入,确保用上正版杀毒软件。

 6 、计算机密码管理重视不够。计算机密码设臵也过于简单。要求各台计算机至少要设臵 8-10 个字符的开机密码。

 7 、由于缺少计算机,由于工作原因部分工作机存在 U 盘交叉使用现象,我局将联系州保密局,采用物理隔离的方法杜绝类似问题的发生。

 五、对信息安全检查工作的建议和意见 1 、组织建立和健全各项信息和信息络安全制度,实现制度和管理上的安全保证;规范日常信息化管理和检查制度。包 括:软件管理、硬件管理、和维护管理、络管理等,提出各系统配臵和标准化设臵,便于安全的维护和加固,实现基础管理上的安全保证; 2 、组织好各单位推广应用与分管领导和工作人员的培训等工作,确保信息化的实施成效,实现规划和应用上的安全保证。

篇二:网络安全保障会议上的讲话

 / 2016.122016.12

 / 31Cyberspace Strategy Forum网络空间战略论坛——学习贯彻《中华人民共和国网络安全法》网络安全法:保障网络安全的根本举措 孙佑海2016年 11月 7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,自 2017年 6月 1日起施行。网络安全法是统领国家网络安全工作的基础法律,对于保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,影响深远。孙佑海,天津大学法学院院长,教授、博士生导师;天津大学法学院网络政策与法律研究中心主任;天津大学数据科学研究院学术委员;最高人民法院研究室原副主任、最高人民法院中国应用法学研究所原所长;最高人民法院互联网法律适用研究中心原主任;一级高级法官;撰写的“中国网络安全的十大问题与对策”论文,荣获中国法学会主办的第八届中国法学家论坛二等奖;主持起草了《中华人民共和国网络安全法》专家建议稿;主持互联网与法律适用问题重点课题并结项,发表高水平互联网法律问题科研论文多篇。

 封面人物Cover Feature封面人物Cover Feature2016.12

 / 31一、深刻认识制定网络安全法的重大意义,依法维护网络安全所谓网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。当前,网络和信息技术迅猛发展,已经深度融入我国经济社会的各个方面,极大地改变和影响着人们的社会活动和生活方式,在促进技术创新、经济发展、文化繁荣、社会进步的同时,网络安全问题也日益凸显。自 2000年以来,我国陆续发布了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律,同时在《刑法》、《国家安全法》中都写入了网络安全相关内容,在维护网络安全方面发挥了重要作用。但是,由于缺乏网络安全领域基础法,导致权责不清晰,监管主体不明确,诸多问题得不到解决,离党中央全面依法治国的要求,离广大人民群众的期盼有很大差距。党的十八大以来,以习近平同志为核心的党中央对加强网络安全工作做出重要部署,党的十八届四中全会明确提出制定完善网络安全法律法规。《网络安全法》正是在此背景下出台。在当前形势下,我国制定网络安全法意义十分重大。首先,制定网络安全法是落实国家总体安全观的迫切需要。党的十八大以来,党中央从总体国家安全观出发,对加强国家网络安全工作作出了战略部署,对加强网络安全法制建设提出了明确的要求,制定网络安全法是适应我国网络安全工作新形势、新任务,落实党中央决策部署,保障网络安全和发展的重大举措。其次,制定网络安全法是维护我国网络安全的迫切需要。中国是一个网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立完善网络安全的法律制度,提高我国网络安全的保护水平。再次,制定网络安全法是维护广大人民群众切身利益的有力武器。当前网络上的侵权行为、违法的信息,严重损害了公民、法人和其他组织的合法权益,广大人民群众强烈呼吁加强网络空间法制建设、净化网络环境,使网络空间清朗起来。制定网络安全法顺应了广大人民群众的呼声和期待,是维护国家和人民利益的非常重要的立法行动。网络安全法集中反映了多年来尤其是近年来我国在网络安全领域的政策法律研究和制度建设的最新成果,是指导和规范我国网络安全工作的一部综合性、全局性、基础性的十分重要的法律。我们一定要认真学习好,宣传贯彻好。二、贯彻实施网络安全法,必须全面把握起草网络安全法的指导思想和方针、原则我国制定网络安全法的指导思想是:坚持以总体国家安全观为指导,全面落实党的十八大和十八届三中、四中全会决策部署,坚持积极利用、科学发展、依法管理、确保安全的方针,充分发挥立法的引领和推动作用,针对当前我国网络安全领域的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。网络安全法的总则部分,规定了维护网络安全的方针和原则,需要我们重点把握。坚持网络安全与信息化发展并重。当前,我们必须坚持安全和信息化并重的原则,切实协调好安全与发展之间的关系,做到协调一致、齐头并进。为此,网络安全法规定,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。坚决维护网络空间安全和秩序。我国是主权国家、

 32

 / 2016.122016.12

 / 33Cyberspace Strategy Forum网络空间战略论坛法治国家,必须坚决维护国家的网络空间和秩序。为此,网络安全法规定,国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。全社会共同参与促进网络安全。维护网络安全,涉及的方面十分广泛,需要全社会的共同努力,才能完成这一重要使命。为此,网络安全法规定,国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。构建和平、安全、开放、合作的网络空间。维护网络安全,我们既要稳步做好国内的工作,也要积极开展正常的国际合作。为此,网络安全法规定,国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。三、贯彻实施网络安全法,必须牢牢把握网络安全法的基本要求网络安全法共 7章,79条,分别从总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任、附则等七个方面对网络各主体的行为进行了规范。如下的重点部分,尤其需要用心把握。维护网络空间主权。网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此,网络安全法明确,凡是在我境内建设、运营、维护和使用网络,以及网络安全的监督管理,都适用《网络安全法》,宣示对我境内相关网络活动的管辖权;对攻击、破坏我国关键信息基础设施的境外组织和个人,如造成严重后果将依法追究法律责任,并提出了可采取冻结财产等制裁措施,充分体现了我维护网络安全的决心;明确关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储,确需向境外提供的应当进行安全评估,解决了长期以来跨境数据流动管理要求不明的问题;明确对来源于我境外的,我法律、行政法规禁止发布或者传输的信息,有权进行阻断传播,充分体现我保护网络主权不受侵犯,维护网络空间秩序的坚定立场。保障网络产品和服务的安全。维护网络安全,首先要保障网络产品和服务的安全。对此,网络安全法规定:明确网络产品和服务提供者的安全义务,包括:不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务;强化网络关键设备和网络安全专用产品的安全认证和安全检测制度;建立关键信息基础设施运营者采购网络产品、服务的安全审查制度。关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查。明确网络运营者的基本义务。保障网络运行安全,必须落实网络运营者第一责任人的责任。据此,网络安全法将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。强化个人信息保护。当前,个人信息被泄露的问题十分突出,需要明确网络产品服务提供者、运营者的责任,严厉打击出售贩卖个人信息的行为,以保护公众个人信息安全。为此,网络安全法做出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律

 封面人物Cover Feature封面人物Cover Feature2016.12

 / 33责任。严格防范打击网络诈骗。当前网络诈骗呈多发态势,广大人民群众深受其害,迫切希望加大惩治力度。为此,网络安全法规定:任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。该法还从强化网络实名制的角度作出新规范:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。完善关键信息基础设施安全保护制度。随着信息化的深入推进,关键信息基础设施已经成为社会运转的神经系统。保障这些关键信息系统的安全,不仅仅是保护经济安全,更是保护社会安全、公共安全乃至国家安全,保护国家关键信息基础设施也是国际惯例。为此,网络安全法专门单列一节,对关键信息基础设施的运行安全进行明确规定,指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。强化预警和应急措施。在当前全社会都普遍使用信息技术的情况下,网络通信管制作为重大突发事件管制措施中的一种,重要性越来越突出。比如在暴恐事件中,恐怖分子越来越多地通过网络进行组织、策划、勾连、活动,这个时候可能就要对网络通信进行管制。为此,网络安全法对建立网络安全监测预警与应急处置制度专门列出一章作出规定,明确了发生网络安全事件时,有关部门需要采取的措施。特别规定:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。四、提高全民网络安全意识,制定网络安全法配套法规加快制定网络安全法配套法规。网络安全法是国家网络领域的基础性法律,涵盖了网络安全各个领域的内容,规定了网络安全的主要任务和相关制度。从立法内容上看,这部立足全局、统领网络安全各领域工作的综合性法律,涵盖了网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等内容,确立了保障网络安全的基本制度框架,解决了一些长期以来无法可依的重要问题,有利于中国特色网络安全法律制度体系的建立,并为维护网络安全提供坚实的法律制度保障。但是,由于网络安全问题涵盖的领域十分广泛,本法不可能涵盖网络安全领域的所有方面。因此,需要国务院及其部门尽快组织起草配套的行政法规和政府规章,增强该法各项重要制度的可操作性,形成原则性和可操作性相结合、针对性和有效性兼备的网络安全法律法规体系。切实提高维护网络安全的能力。首先要加强学习。建议社会各界尤其是与网络运营、管理相关的单位和个人都要认真学习《网络安全法》,了解立法目的、指导思想和方针原则,掌握法律的各项内容和精神实质。明晰合法行为和违法行为的界限,做依法维护网络安全的践行者,并学会利用法律维护合法权益。其次要加强培训,要将网络安全教育纳入国家教育培训体系,通过多种形式开展网络安全宣传教育活动。再次,切实提高依法保障网络安全的能力。要加大对网络安全建设的投入,保障网络安全工作所需的经费,使各项保障措施真正到位。

篇三:网络安全保障会议上的讲话

育局党委书记、局长宋杰在全市教育 督导工作会议上的讲话

 同志们:

 前不久,我市召开了全市教育工作会议,对全年教育重点工作 进行了安排部署,市政府领导到会做了重要讲话,提出了更高要求。

 为深入贯彻落实教育工作会议精神,今天在这里召开全市教育督导 工作会议,总结交流教育督导工作经验,分析当前教育督导面临的 形势任务,研究新形势下教育督导如何发挥好“监督、检查、评估、

 指导”职能作用,切实履行好“督政、督学、质量监测”三大任务,

 以保障我市教育工作稳中求进、公平优质发展。

 2016

 年,我市教育督导工作围 绕中心,服务大局、突出重点、 知难而进,充分发挥了教育督导的监督保障作用,较好地完成了全 年教育督导任务。在推动我市义务教育均衡发展顺利通过国检验收 的基础上,县市区全面改薄工作有序推进,县级政府督导、中小学校随机督导、中等职业教育督导以及各类专项督导工作取得突出成 绩,高质量完成了国家

 6 6

 项督导和

 4 4

 项省级督导,各项工作走在全 省前列。在肯定成绩的同时,我们也应清醒地看到,全市教育督导 工作发展还很不平衡,总体上还不能够完全适应我市教育改革发展

 的需要。在一些地方,教育督导工作还没有引起足够重视,没有被

 摆上 应有的位置;部分县市区的政府教育督导机构还不健全,出现

 反弹,专职专业督学配备不到位,兼职督学作用不明显,尤其少数 县市区在事业单位清理过程中撤销了督导室机构编制,人员分流到 后勤管理中心,必须引起重视;另外教育督导体制机制、制度建设

 需要进一步健全完善,对学校开展督导评估和对专兼职督学的培训

 需要进一步加强。下面,我就科学有效开展教育督导工作谈三点意

 见。

 一、进一步认清新形势下教育督导工作的重要性

 今年及未来几年,是我市推进教育公平优质发展的关键年份,

 也是我们实施教育“十三五”规划改革发展的重要时 期。为推动我

 市教育事业的发展,市委、市政府出台了一系列加快教育改革发展 的政策措施,取得了较好成效,但目前仍存在部分地方在教育经费 投入、教师队伍建设等政策落实不到位,城乡、区域、学校之间发 展不均衡,优质教育资源与教育公共产品供给不足、师德师风等诸多问题。新时期人民群众对高质量教育需求越来越高,办人民满意 的教育压力也越来越大,这就需要我们进一步强化教育督导工作,

 充分发挥教育督导的职能作用,督促、引导各级政府、各有关部门把教育优先发展的各项政策措施落到实处。

 过去我们常说,一个好校长就是一所好学校,一个好 局长就有

 一方好教育。现在看来,有一个好的机制更重要,有一个健全的督 导机构和一批好督学才会有一方好教育的保障。了解美国教育督导 制度的同志们都知道。美国的各州、县和学区的教育行政首长兼任 视导长,下

 设助理视导长、视导员等,其主要职责就是抓教育督导。

 他们把教育立法、教育督导、教育经费视为教育行政管理的三大支柱,他们认为有什么样的视导员就有什么样的教师;有什么样的视 导就有什么样的学校。美国的教育之所以如此发达和成功,除了与 美国经济基础好、投入大、资源丰富有关外,其中一个重要的经验 就是美国特别强调教育督导,特别重 视发挥教育督导部门作用。近 年来,随着我国教育改革发展的迫切需要,从中央到地方教育督导 工作不断加强。

 2012

 年,国务院成立了教育督导委员会,刘延东副 总理亲自担任主任,国务院教育督导委员会办公室 (国家教育督导局)

 设在教育部,国务院制定颁布了《教育督导条例》,从国家立 法的高度,明确规范了教育督导职责、督导内容、督导实施、督导 结果运用以及督学任职条件、督导机构经费保障等行为。可以说,

 教育督导工作有法可依,有了法治保障。国家还先后配套下发了《督 学管理暂行办法》、《关于进一步加强中小学校督导评估工作的意 见》以及中 小学校责任督学挂牌督导等

 10

 多部规章、办法,力度 非常大。从现实情况看,特别是“两基”迎“国检”、义务教育均 衡发展评估认定等实践证明,教育督导机制对教育改革发展的推动 作用是很大的。国家之所以建立相对独立的教育督导机构,目的就 是要突出督导在教育管理体系中的地位,强化督导的功能和作用。

 在国家教育管理构架中,教育行政和教育督导是教育管理“车之两 轮、鸟之双翼”。教育行政的职责是定标准、定规划、定政策,教 育督导的职责是监督、检查、指导、评价,两个方面相互依赖、相 辅相成。教育行政重在“管”,教育督导部门重在“评” ,但两者的 目标是一致的,也是紧密地联系在一起的,在经常性工作中有明显 的合力优势。希望我们大家要带头重视教育督导,多为教

 育督导创

 造好的工作条件,切实解决好督导部门在经费、人员等方面的困难,

 加大投入,配强队伍,提供必要的工作环境,依靠教育督导实现对教育工作的监督检查,使督导成为加强教育管理的重要抓手,成为促进教育改革发展的重要推动力。

 二、进一步创新教育督导的体制机制

 虽然教育督导工作开展多年,但现阶段我们的教育督导仍处在发展和探索过程中,督导活动的范围、内容和方式等仍受到某种局 限,必须适应现代信息时代 发展的需要,进一步解放思想、更新观

 念,有所改革有所创新。

 一是要认真抓好督导的基础性工作。督政、督学和质量监测是 当前教育督导三大基础性工作。其一,要进一步创新督政工作机制。

 多 年来我们推进县市区“教育重点工作目标管理责任制”,影响大、 效果好,这是具有开拓意义的成功实践。要进一步拓宽工作思路,

 采 取多种途径和方式,扩大督政工作格局和影响,提高督政的权威性 和实效性。如,可以联合人大、政协的有关机构,包括邀请各级人大代表和政协委员共同开展教育方面的督政活动;还可以与市

 委、市政府督查室开展的工作绩效考核结合起 来;还可以将对县

 (市)区政府教育工作的督导评估报告依法提交市人大专门委员 会;综合督导评估结果呈报市委市政府主要领导、市政府教育督导

 委员会及成员单位,作为评价县市区政府政绩的重要依据。今年全

 市将启动教育经费投入、城乡义务教育一体化、学前教育、改薄工

 程以及县级政府职业教育工作督导评估,这是对督政工作体系的进

 一步完善,必须开

 好头、抓好落实。其二,要进一步拓展督学工作

 领域。目前重点开展规范化办学、实施素质教育的督导评估,建立

 了规范的督导评估工作方案和工作细则,取得了较好效果。市直学 校目标管 理责任制评估指标体系已经下达,既然是目标管理,就要 始终绷紧目标任务这根弦,强化过程管理,强化指标任务高质量完成。今后市直学校目标管理责任制考核评估结果将作为学校优秀班 子评定的重要依据,希望引起各学校足够重视,要在学校班子中明 确分管教育督导工作的领导,明确中层干部承担教育督导工作室工 作,积极健全完善针对学校内部督导的各项制度。今年将继续重点 抓好规范中小学办学行为的随机督导,解决好中小学办学过程中存 在的突出问题;积极推广永吉县责任督学挂牌督导经验,完善制度,

 落实责任督学责任、权力和工作保障。其三,要加快建立 教育质量 监测制度。要逐步建立和完善质量监测体系,掌握科学的质量监测 方法,努力探索教学质量、办学水平实时监测和跟踪反馈机制,这 也是开展教育评价、教育督导的必要手段和基础性工作。今年国家抽查昌邑区、蛟河市样本县完成相关学科质量监测工作,希望认真对待,高质量完成这次质量监测工作。

 二是要科学设定督导评估内容与标准。教育督导评估指标,集

 中体现了督导评估的内容和标准,是开展各项督导评估活动的标

 尺,如果这个标尺本身不够科学合理,整个督导评估就失去了科学

 性,评估结果就不可能客观、公正。事实上,对教育的评价、监测

 是一门非常专业的教育科学,需要用专业知识和科学态度来加强督

 导评估的指标体系建设。针对现阶段的教育发展状况,如何构建科

 学合理的督导评估指标体系,大家可以开拓思路,大胆探索,但我

 想有三个问题应该引起大家的关注和思考:其一,评估标准的高低

 问题。标准定得太高,即

 使努力争取仍难以实现,这会挫伤工作积

 极性,也达不到“以评促建、以评促改”的目的。标准定得太低,

 又失去了督导评估的意义。因此,督导评估的标准有一个适中、适度的问题,既要体现法律法规和政策性要求,又要坚持实事求是;

 既要体现教育发展的先进 性要求,又要考虑教育发展的合格性要

 求。其二,评估指标的选择问题。在教育评估的指标体系中,指标 选项不宜太繁杂,否则实际操作困难,评估结果还不一定科学客观。

 我认为应选择某些一般性指标,要求能够基本合格;再选择某些关 键性指标,要求必须达到一定标准,否则就视为不合格。这次县市区教育重点工作目标管理责任制指标体系,就突出了政府投入,城乡义务教育一体化、教育信息化等重要指标。其三,评估对象的差异性问题。不同区域、不同经济状况和不同社会文化背景下的教育 发展各不相同,用同一把尺子去衡量,就如同用一个标准去评价学 生一 样,会模糊或者忽视被评估对象的个性和特色。因此,应当分区域、分类型构建督导评估指标体系,实施分类督导评估。比如,

 今年县市区教育重点工作目标管理责任制评估指标体系,就按照县域、城区、开发区分成三个组别赋分、评价。

 三是要创新督导运行机制。从总体上看,当前我们的教育督导

 实践还较为单一,督导的功能与形式需要更加丰富、更加灵活。其 一,从督导目的来看,要推行监督与指导并重的工作机制。督导工 作不能是只查问题,只抓整改,同时还要发现、总结和推介好的典 型经验,引导教育的科学发展。既要“督”,更要“导”;既要查问 题、抓整 改,改进工作;又要树典型、抓推广,推进工作。其二,

 从督导的任务来看,要落实督政与督学并重的工作要求。现阶段,

 督政仍是教育督导的重要责任,只能加强不

 能削弱。但随着教育发

 展更加注重内涵、注重质量,督学的工作职责必须得到加强,教育 督导最终还是要体现督学为本的要求,下一步,我们要建立一支熟悉教育管理、精通教育业务,懂专业的兼职督学队伍。其三,从督 导的形式来看,要建立定期专项督导与经常性随机督导并重的工作 制度。目前开展的教育督导大多是定期规划好的集中督导,规模大、

 时间长、覆盖面广,可以全面了解情况,有 利于作出整体评估判断。

 但这种督导评估的时间间隔较长,期间必须开展经常性的随机督

 查,实现督导工作常态化,防止督导部门的监督出现缺失。今后将 加快开发吉林市教育督导评估平台,使专兼职督学和校内督导员用 手机终端完成督导工作成为现实,实现督导管理现代化、督导检查 智能化、报送反馈同步化、档案积累数据化,逐步实现市、县、校数据共享。这是一项创新性的工作,一定要抓出成效。

 三、进一步增强教育督导的工作实效

 不同时期不同阶段,教育发展有不同的要求和中心工作,教育

 督导部门要围绕发展大局,不断调整思路,切实增强教育督导 工作

 的针对性、预见性和实效性。

 一是要抓住关键问题开展督导。目前,教育经费投入不足仍然是制约教育发展的瓶颈,督促各级政府依法依规保障教育投入,仍

 是现阶段教育督导工作的重点。近几年的“义务教育均衡发展”督

 导评估,督促各地追补、返还了大量的教育经费,较好地发挥了督

 政工作的效果。今后要继续严格按照均衡发展的督导评估做法,对 于 教育经费未实现“三个增长”,截留、平调、挪用教育经费的政 府 和部门,要限期整改到位,在全市进行通报接受全社会监督;限

 期 整改不到位的,要向其上级党

 委政府和组织部门反映情况,提出

 处理建议。同时,要继续关注中小学教师队伍建设问题,要把师资

 队伍建设纳入督导评估的重要内容,凡是教师队伍建设存在严重问

 题的,督导评估一律不能合格。

 二是要抓住重大问题开展督导。促进教育公平,实施义务教育优质均衡发展,已成为当前教育事业发展的重大任务。我市开展城 乡义务教育一体化建设评估认定以及对全面改薄的专项督导,目的 就在于办好每一所学校,缩小学校之间、区域之间的办学差距,提 高义务教育均衡优质发展水平。督导部门在评估认定过程中,一定 要坚持标准,从严要求,决不能流于形式或走过场。国家已提出要 把义务教育 整体水平、均衡发展、优质资源共享的评估检查结果,

 作为评价地方教育水平的重要指标,作为上级政府督导下级政府教 育工作的重要内容。希望督导室认真做好迎接国家和省专项督导的 准备工作,做好先期督导以及自查整改工作。要积极推进义务教育 大学区改革,做好随机督导,抓优质带动薄弱,抓典型促进优质均衡发展。

 三是要抓住普遍性问题开展督导。多年来,我们在规范办学行

 为方面做了大量工作,但实际上办学行为不规范的现象仍相当普

 遍。关键在于一些地方和学校办学思想不端正,教育教学管理不到

 位,政令不畅,有禁不止。督导部门要切实担负 起督学的责任,要

 大力开展规范办学行为以及学期初等专项督导检查,发现问题及时

 处理。对于督导检查中发现的问题,可以采取下发督导通报、限期

 整改、约谈、社会公布等方式,深入开展监督,树立起政府督导机

 构的威信。

 同志们,加强教育督导工作,对于加快教育发展、实现富民强

 市,具有十分重要的意义。让我们不忘初心,履职尽责,不断提高

 教育督导工作水平,为促进教育公平、服务教育科学发展作出新贡

 献。

篇四:网络安全保障会议上的讲话

人民共和国网络安全法 (2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过)

  第一章

 总则 第一条

 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。

  第二条

 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

  第三条

 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。

  第四条

 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。

  第五条

 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。

  第六条

 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。

  第七条

 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。

  第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

  县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。

 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

  第十条

 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

  第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。

  第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

  任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

  第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

  第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

  有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。

  第二章

 网络安全支持与促进

 第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

  国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

  第十六条

 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

  第十七条

 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

 第十八条

 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

 国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。

 第十九条

 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。

 大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

 第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

 第三章

 网络运行安全 第一节 一般规定 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

 (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

 (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。

 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。

 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

 第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。

 第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

 国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

 第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

 第二十六条

 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

 第二十七条

 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

 第二十八条

 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

 第二十九条

 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。

 有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。

 第三十条

 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

 第二节 关键信息基础设施的运行安全 第三十一条

 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

 第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。

 第三十三条

 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。

 第三十四条

 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

 (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。

 第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

 第三十六条

 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。

 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

 第三十八条

 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

 第三十九条

 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:

 (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估; (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力; (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享; (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

 第四章

 网络信息安全

 第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

 第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

 第四十二条

 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

 第四十三条

 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

 第四十四条

 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

 第四十五条

 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

 第四十六条

 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及...

篇五:网络安全保障会议上的讲话

保护新标准(2.0)介绍

 12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析

 等保1.0时代 等保2.0工作 展望等级保护发展历程与展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。• 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。• 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。

 等保1.0时代 等保2.0工作 展望等级保护发展历程与展望• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。• 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。• 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。• 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。重要标志2.0系列标准编制工作

 等保1.0时代 等保2.0工作 展望等级保护发展历程与展望等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。 等级保护上升为法律《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。 等级保护对象将不断拓展随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。 等级保护工作内容将持续扩展在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。 等级保护体系将进行重大升级2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。

 12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析

 等保1.0 等保2.0等级保护2.0标准体系GB 17859-1999 《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统等级保护安全设计技术要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评过程指南》《信息系统安全等级保护测评要求》

 等保1.0 等保2.0等级保护2.0标准体系 正式更名为网络安全等级保护标准; 横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求; 纵向扩展了对等保测评机构的规范管理。(注:基于2017年等级保护标准系列征求意见稿)未变化修订内容新增

 等保1.0 等保2.0等级保护2.0标准体系 GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》 公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求》等4个行业标准。 GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》 GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》 GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。

 定级要求等级保护2.0定级要求解析注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程 定级对象① 定级要求 重新对部分内容的顺序作了调整,从整体显得更加的合理。 增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;定级一般流程;1.0要求2.0要求更名为“定级方法流程”。新增“定级工作一般流程”。

 定级要求等级保护2.0定级要求解析注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程 定级对象原标准新标准

 定级要求等级保护2.0定级要求解析注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程 定级对象② 新增“定级流程”包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。

 定级要求等级保护2.0定级要求解析注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。新增定级流程 定级对象③ 定级对象 重新对定级对象进行调整,并进行相应的介绍。2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。信息系统一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。基础信息网络对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。1.0要求2.0要求工业控制系统工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。云计算平台在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。物联网物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。采用移动互联技术的信息系统采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。大数据应将具有统一安全责任单位的大数据作为一个整体对象定级, 或将其与责任主体相同的相关支撑平台统一定级。其他信息系统作为定级对象的其他信息系统应具有如下基本特征:a) 具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;b) 承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用, 完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象;c) 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、 设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。

 12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0通用要求解析4等级保护2.0扩展要求解析

 整体变化等级保护2.0通用要求解析注:基于《网络安全保护基本要求 第一部分:通用安全要求》征求意见稿及GB/T 22239《信息安全等级保护基本要求》三级要求对比分析。 安全控制域划分上有较大变化,原有十个安全域整合为八个,定义上更精确,内涵更为丰富。物理安全网络安全主机安全应用安全数据安全安全制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全系统运维管理技术管理技术1.02.0技术 管理

 整体变化 技术等级保护2.0通用要求解析注:基于《网络安全保护基本要求 第一部分:通用安全要求》征求意见稿及GB/T 22239《信息安全等级保护基本要求》三级要求对比分析。 安全控制要求的部分条款被合并,部分条款被删除,同时也有部分新增要求,整体数量有较大降低。总体安全要求数量对比(以三级系统为例)各控制域安全要求数量对比(以三级系统为例)管理

 整体变化等级保护2.0通用要求解析注:基于《网络安全保护基本要求 第一部分:通用安全要求》征求意见稿及GB/T 22239《信息安全等级保护基本要求》三级要求对比分析。 整体内容上,对过于细节内容进行精炼或合并,对部分要求进行了删减,同时也新增了部分要求。 在操作落实方面更灵活,同时与1.0相比整体安全要求有所降低。例:整合的内容网络安全——身份鉴别a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;网络与通信安全——身份鉴别a) 应对登录的用户进行身份标识和鉴别, 身份标识具有唯一性, 鉴别信息具有复杂度...

篇六:网络安全保障会议上的讲话

电子政务 E-GOVERNMENT

  2017年第2期(总第170期)从《国家安全法》明确提出维护网络空间安全,到《网络安全法》明确规定相关主体的法律责任,再到《国家网络空间安全战略》明确指出网络安全的战略任务,在实现建设网络强国的道路上,我们迈出了坚实的步伐。网络空间正在深刻影响人类社会历史发展的进程,网络安全形势也日益严峻,全力保障网络安全是建设网络强国的核心任务。人是网络安全保障体系的重要一环,提升人们网络安全意识至关重要。《网络安全法》明确要求采取措施增强全社会网络安全意识,《国家网络空间安全战略》进一步明确增强全社会网络安全意识的举措。增强全社会网络安全意识,应特别重视风险意识、全局意识、责任意识的提升。一、增强风险意识是提升网络安全保障能力的当务之急“没有意识到风险是最大的风险。”当前,很多网络安全保障从业人员的风险意识还很薄弱,表现为不清楚威胁在哪里,不了解基本的风险常识,不知道如何应对常见风险。导致的结果是“一念之差就把敌人引进家门,一项误操作就进入别人设下的圈套,出了大事还在火上浇油”。国家标准GB/T 20984-2007《信息安全技术 信息安全风险评估规范》将信息安全风险定义为:“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。”在网络空间的国际竞争方兴未艾、网络渗透和网络恐怖不断加剧、网络攻击和网络犯罪日益严重的复杂形势下,我们面临的外部威胁也在不断增加。2015年12月14日,俄罗斯《生意人报》报道称普华永道会计师事务的报告显示遭受网络攻击的增幅高达517%,一次攻击增强网络安全意识,全力保障网络安全张会平(电子科技大学政治与公共管理学院)给企业造成的经济损失平均约为260万美元。信息系统自身的脆弱性是难以避免的,尤其是管理体系的脆弱性。在所有信息安全事件中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄密造成的。世界头号黑客凯文·米特尼克(Kevin Mitnick)曾提到:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话,信息就有可能被无意泄露。”增强网络安全保障人员的风险意识已经迫在眉睫。增强风险意识的关键在于定期对信息系统进行风险评估,对关键信息基础设施尤其要重视,让从业人员清楚知道风险在哪里,出了问题又该如何应对。《网络安全法》规定,网络运营者应当制定网络安全事件应急预案,及时处置安全风险;关键信息基础设施运营者每年至少开展一次风险评估。国家互联网应急中心(CNCERT)发布的《2015年我国互联网网络安全态势综述》显示,由于开展互联网网络安全威胁治理行动,我国被篡改政府网站月均下降了44%。通过全天候全方位感知网络安全态势,让网络安全保障人员知道风险在哪里,什么时候会发生,发生后怎么办。具有很强的网络安全风险意识,保障网络安全就有了最坚实的基石。二、增强全局意识是统筹网络安全与信息化发展的关键“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络空间为我们提供了信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带。同时,国家政治、经济、文化、社会、国防安全及公民在网络空以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读

 32电子政务 E-GOVERNMENT

  2017年第2期(总第170期)间的合法权益也面临着严峻风险与挑战,必须统一谋划、统一部署、统一推进、统一实施网络安全和信息化工作,深刻认识到两者是一体之两翼、驱动之双轮。以智慧城市建设为例,在大力发展的同时,一定要加强网络安全管理工作。目前,我国有超过500个城市在进行智慧城市试点,计划投资超万亿。新型智慧城市建设是落实国家新型城镇化发展战略、提升人民群众幸福感和满意度、促进城市发展方式转型升级的系统工程。有人指出,未来的智慧城市可能会比现如今的智能手机和电脑更容易受到黑客侵袭。环球网2016年12月14日题为《看黑客是如何“攻陷”欧洲智慧城市的》的报道称,欧洲兴盛的黑客文化让创客和黑客每天都在摸索攻击智慧城市的各种应用系统。智慧城市网络安全不容忽视。正因如此,2016年11月22日,国家发展改革委、中央网信办、国家标准委发布的《新型智慧城市评价指标(2016年)》将“网络安全”列为一级指标,权重占8%。国家十分重视网络安全和信息化的统筹协调发展。2014年2月27日,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;2016年1月1日起施行的《反恐怖主义法》首次将“网信部门”写入法律;将于2017年6月1日起施行的《网络安全法》明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”。在地方层面,网络安全和信息化领导小组也相继成立,由“一把手”担任组长;相应的网信部门随之成立,自上而下的“网信系统”业已成形。我们也发现,在地方层面,尤其是地市级和县级层面,由于网信部门的工作人员主要从现有部门借调,对网络安全工作本身不熟悉,对从区域层面整体推进网络安全和信息化发展还缺乏深刻认识,对从信息系统全生命周期保障网络安全还缺少专业知识,因此,增强相关人员的全局意识至为关键。三、增强责任意识是落实网络安全战略任务的基本保障“踏石留印、抓铁有痕。”维护网络空间安全、实施网络安全战略的关键在于落实,《网络安全法》不仅明确规定了网信部门和有关部门履行网络安全保护职责,而且清晰规定了网络运营者、关键信息基础设施运营者以及个人的网络安全保护义务。增强相关主体的网络安全责任意识、依法依规推进网络安全保障工作,是落实网络安全战略任务的基本保障。除国家网信部门外,国务院电信主管部门、公安部门和其他有关机关也必须在各自职责范围内负责网络安全保护和监督管理工作;县级以上地方人民政府有关部门应切实履行网络安全保护和监督职责。国务院和省(自治区、直辖市)人民政府应扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务;各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作;大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。网络运营者应当采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施运营者应当在网络安全等级保护制度的基础上,进一步加强保护措施,包括设置专门安全管理机构和安全管理负责人,对该负责人和关键岗位的人员进行安全背景审查,对重要系统和数据库进行容灾备份,制定网络安全事件应急预案并定期进行演练等方面。另外,还应明确规定任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德。“安全是相对的,不安全是绝对的。”保障网络安以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读

 33电子政务 E-GOVERNMENT

  2017年第2期(总第170期)全永远在路上。正如《国家网络空间安全战略》所指出的,“网络空间机遇和挑战并存,机遇大于挑战”,只要全社会具有高度的网络安全意识,能够认清风险、谋划全局、坚守责任,相信在网络安全保障这场“持久2016年11月7日,全国人大常委会颁布《网络安全法》,同年12月27日,国家互联网信息办公室颁布《国家网络空间安全战略》(以下简称《战略》)。《网络安全法》和《战略》的出台,改变了我国网络空间安全治理领域缺少基本法律和政策文件的窘境,有助于网络空间安全治理制度化、规范化,也有助于稳定预期、促进发展。“徒法不足以自行”,如果网络空间法律规制能力得不到相应提升,则《网络安全法》和《战略》只能沦为具文。当前,我国网络空间法律规制尚存在一些不适应互联网发展的问题,也存在一些规制误区,这些都制约着我国网络空间法律规制能力的提升。因此,必须深化改革,通过转变网络空间规制思维,完善网络空间法律规制体制,从而提升网络空间规制能力,使得《网络安全法》和《战略》真正落到实处。一、我国当前网络空间法律规制存在的问题我国当前网络空间法律规制存在以下三方面突出问题:第一,规制力量分散。我国网络空间安全治理的一个突出问题是规制机关条块分割严重、规制力量分散,无法形成合力。网络空间活动的一个特征是“一点上线、无界扩展”,网络空间侵犯公民个人隐私信息的活动也是“一点泄露、全网扩散”,一位公民的信息在教育领域被泄露,很可能立即就在金融领域被滥用;一战”中,我们一定能够取得一个又一个胜利。(张会平,博士,电子科技大学政治与公共管理学院副教授,区域公共管理信息化研究中心副主任)通过完善网络空间法律规制确保网络空间安全张效羽(国家行政学院法学部)位公民的信息在山东被泄露,很可能立即就在福建被滥用。而我国有关网络空间个人信息保护规制仍旧是以地域和行业进行条块分割,相关规制力量分散在各个行业和地区,无法应对网络犯罪活动的侵袭。比如,在山东徐玉玉遭受电信诈骗自杀案件中,徐玉玉的个人信息泄露就是当地县教育部门网站被黑客攻破所致。在互联网世界,黑客可以在全国范围内寻找薄弱网站实施攻击,而县教育部门自身的规制能力既无力打击黑客也无力防范黑客。实际上,徐玉玉遭受诈骗之后报案的当地派出所,也缺乏侦破此类全国性甚至跨国性犯罪活动的能力。网络空间不安全事件在全国网络空间中的薄弱环节发生,而全国缺乏有机统一的规制力量予以防范。第二,规制工具欠缺。我国网络空间规制手段仍旧是行政处罚、行政许可、行政强制措施等行政措施为主,主要是事前设置准入门槛、事中发现责令制止、事后施以行政处罚。但这“三板斧”在网络空间治理中效果不佳。当前,网络空间活动大多集中在几大平台,而这些平台大多已经具备规制机关设置的准入门槛,而符合准入门槛与积极执行相关法律之间也缺乏正相关性。规制机关缺乏事中第一时间发现相关网络空间不安全事件的能力,事中采取行政强制措施则无从谈起。由于网络空间侵害活动具有损害结果不可逆性和损害范围不可测性,使得相关行政处罚力度难以确定、效果有限。比以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读

篇七:网络安全保障会议上的讲话

范例本文仅供参考请各申办单位根据本单位的实际情况制定相应的措施。

 网络与信息安全保障措施 一、网站情况介绍 单位名称

 主体备案号 附工业和信息化部网站备案管理系统备案号打印页 网站开设内容及栏目 服务内容是指具体在网站上提供什么方面的信息。凡是在网站上提供的信息信息的类别、内容都要详细列表说明。

 网站名称

 IP 地址 可例多项 网站域名 可例多项并附本单位名称所有的域名注册证书 互联网前置审批项目 新闻□ 出版□ 教育□ 医疗保健□ 药品□ 医疗器械□ 视听□ 文化□ 其他□ 附前置审批文件 服务器所在机房地址及机房情况

 接入单位、 接入方式及接入速率 附;IDC、ISP 专线接入/主机托管/虚拟主机的协议书及提供接入IDC、ISP 的经营许可证复印。

 当主机完全托管时可以不提供网络拓扑图但应有文字说明。

 主要设备及网络拓扑图 信息安全管理人员 含姓名、职务、学历、可附通信行业从业资质3 人以上含 3 人 备注

  二、信息安全监控制度 1、信息安全联络制度。相应的信息安全管理组织机构配备一定数量并且具有相应资质的专职信息安全管理人员。

 对于信息安全联络员或者联系方式有变动的 申请者应承诺在两个工作日内主动想申请机关书面报告。可附“从业资质测评”证书。

 填写从事互联网信息服务业务网络与信息安全责任书正本一式两份法人签名并盖红色齐缝章 包括信息安全责任人(第一〈法人〉 、二、三责任人)的姓名、职务、联系电话及手机无手机的需提供住宅电话 要求有专人对网站所发布的信息进行检查安全责任人有删除各栏目的权限并在全天 24 小时均能与之联系。

 2、信息安全管理制度。完整的企业内部信息安全管理制度。包括建立以单位法人代表为主的信息安全管理机制信息安全管理责任制有害信息发现处置机制有害信息投诉受理处置机制重大信息安全事件应急处置和报告制度信息安全管理政策和业务培训制度等。互动式栏目的管理详见《互联网信息服务管理办法》第十四条。

 3、信息安全技术手段建设。采取有效技术手段落实在有害信息发现和过滤、用户日志留存等方面的管理要求。考虑到准入审查阶段如部分申请单位尚未进行实质性系统建设申请单位需要做出同步配套建设信息安全技术手段的承诺报送建设方案和实施计划等材料。

  4、信息安全保密制度。建立用户个人信息保护制度对用户信息进行保密。

 5、信息安全审核制度。包括相关责任人定期或不定期检查网站信息内容实施有效监控

  2 不得利用国际互联网制作、复制、发布和传播《互联网信息服务管理办法》中第十五条所列信息进行日常检测工作和系统漏洞测试。

 三、 网络安全保障措施 1、 查等。

 2、 侵检测系统、VPN 等、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。

 3、 4、 5、 服务器系统安全策略等。

 6、 7、 志记录的审计、对安全技术发展的跟踪等。

 物理安全包括环境安全、设备安全、人员的访问控制、审计记录、异常情况的追网络安全包括网络拓扑结构、网络设备的管理、网络安全访问措施防火墙、入数据备份包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。

  病毒防护包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。

  系统安全包括 WWW 访问策略、数据库系统安全策略、邮件系统安全策略、应用事故处理、紧急响应包括响应小组、联系方式、事故处理计划、控制过程等。

 复查审计包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日

推荐访问:安全保障 讲话 会议上 网络