【字体:大  中  小】 【进入论坛】 | ||
订江西手机报:电信、联通用户发短信JX到10626655,移动用户发短信JXP到10658000,3元/月
第一展区(A区): 习近平总书记关于网络安全工作重要论述摘编 【习近平总书记关于网络安全工作重要论述摘编】 网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。 ——在中央网络安全和信息化领导小组第一次会议上的讲话 (2014年2月27日) 要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。企业要重视数据安全。如果企业在数据保护和安全上出了问题,对自己的信誉也会产生不利影响。 ——在网络安全和信息化工作座谈会上的讲话 (2016年4月19日) 网络安全是国家安全的重要组成部分。维护国家网络安全需要整体设计、加强合作,在相互学习、相互切磋、联合攻关、互利共赢中走出一条好的路子来。 ——在黑龙江考察调研时的讲话 (2016年5月23日-25日) 要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护。 ——《把维护国家安全的战略主动权牢牢掌握在自己手中》 (2017年2月17日) 加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间。 ——在中国共产党第十九次全国代表大会上的报告 (2017年10月18日) 网络空间不是法外之地,要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众合法权益。 ——在全国网络安全和信息化工作会议上的讲话 (2018年4月20日) 没有网络安全就没有国家安全;过不了互联网这一关,就过不了长期执政这一关。 ——在十九届中央政治局第十二次集体学习时的讲话 (2019年1月25日) 举办网络安全宣传周、提升全民网络安全意识和技能,是国家网络安全工作的重要内容。国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。要坚持网络安全教育、技术、产业融合发展,形成人才培养、技术创新、产业发展的良性生态。要坚持促进发展和依法管理相统一,既大力培育人工智能、物联网、下一代通信网络等新技术新应用,又积极利用法律法规和标准规范引导新技术应用。要坚持安全可控和开放创新并重,立足于开放环境维护网络安全,加强国际交流合作,提升广大人民群众在网络空间的获得感、幸福感、安全感。 ——对国家网络安全宣传周作出的指示 (2019年9月) 要坚持以人民为中心,统筹发展和安全,强化系统观念、法治思维,注重源头治理、综合治理,坚持齐抓共管、群防群治,全面落实打防管控各项措施和金融、通信、互联网等行业监管主体责任,加强法律制度建设,加强社会宣传教育防范,推进国际执法合作,坚决遏制此类犯罪多发高发态势,为建设更高水平的平安中国、法治中国作出新的更大的贡献。 ——对打击治理电信网络诈骗犯罪工作作出的指示 (2021年4月) 数字经济事关国家发展大局,要做好我国数字经济发展顶层设计和体制机制建设,加强形势研判,抓住机遇,赢得主动。各级领导干部要提高数字经济思维能力和专业素质,增强发展数字经济本领,强化安全意识,推动数字经济更好服务和融入新发展格局。要提高全民全社会数字素养和技能,夯实我国数字经济发展社会基础。 ——在十九届中央政治局第三十四次集体学习时的讲话 (2021年10月18日) 要激发数字经济活力,增强数字政府效能,优化数字社会环境,构建数字合作格局,筑牢数字安全屏障,让数字文明造福各国人民。 ——在中央全面深化改革委员会会议上的讲话 (2022年4月) 网络空间关乎人类命运,网络空间未来应由世界各国共同开创。中国愿同国际社会一道,以此为重要契机,推动构建更加公平合理、开放包容、安全稳定、富有生机活力的网络空间,让互联网更好造福世界各国人民。 ——致世界互联网大会国际组织成立的贺信 (2022年7月12日) 要以新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,深入贯彻党中央关于网络强国的重要思想,切实肩负起举旗帜聚民心、防风险保安全、强治理惠民生、增动能促发展、谋合作图共赢的使命任务,坚持党管互联网,坚持网信为民,坚持走中国特色治网之道,坚持统筹发展和安全,坚持正能量是总要求、管得住是硬道理、用得好是真本事,坚持筑牢国家网络安全屏障,坚持发挥信息化驱动引领作用,坚持依法管网、依法办网、依法上网,坚持推动构建网络空间命运共同体,坚持建设忠诚干净担当的网信工作队伍,大力推动网信事业高质量发展,以网络强国建设新成效为全面建设社会主义现代化国家、全面推进中华民族伟大复兴作出新贡献。 ——习近平总书记对网络安全和信息化工作作出重要指示 (2023年7月) 第二展区(B区): 党的二十大报告提及的网信工作 【党的二十大报告提及的网信工作】 过去五年的工作和新时代十年的伟大变革 机场港口、水利、能源、信息等基础设施建设取得重大成就。 一些关键核心技术实现突破,战略性新兴产业发展壮大,载人航天、探月探火、深海深地探测、超级计算机、卫星导航、量子信息、核电技术、新能源技术、大飞机制造、生物医药等取得重大成果,进入创新型国家行列。 网络生态持续向好,意识形态领域形势发生全局性、根本性转变。 互联网上网人数达十亿三千万人。 新时代新征程中国共产党的使命任务 建成现代化经济体系,形成新发展格局,基本实现新型工业化、信息化、城镇化、农业现代化。 新一轮科技革命和产业变革深入发展,国际力量对比深刻调整,我国发展面临新的战略机遇。 加快构建新发展格局,着力推动高质量发展 加快建设现代化经济体系,着力提高全要素生产率,着力提升产业链供应链韧性和安全水平。 加强反垄断和反不正当竞争。 推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。 支持专精特新企业发展,推动制造业高端化、智能化、绿色化发展。 推动战略性新兴产业融合集群发展,构建新一代信息技术、人工智能、生物技术、新能源、新材料、高端装备、绿色环保等一批新的增长引擎。 加快发展物联网。 加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。 优化基础设施布局、结构、功能和系统集成,构建现代化基础设施体系。 打造宜居、韧性、智慧城市。 发展数字贸易。 实施科教兴国战略,强化现代化建设人才支撑 必须坚持科技是第一生产力、人才是第一资源、创新是第一动力,深入实施科教兴国战略、人才强国战略、创新驱动发展战略,开辟发展新领域新赛道,不断塑造发展新动能新优势。 推进教育数字化。 坚持面向世界科技前沿、面向经济主战场、面向国家重大需求、面向人民生命健康,加快实现高水平科技自立自强。 以国家战略需求为导向,集聚力量进行原创性引领性科技攻关,坚决打赢关键核心技术攻坚战。 加快实施一批具有战略性全局性前瞻性的国家重大科技项目,增强自主创新能力。 坚持全面依法治国,推进法治中国建设 加强重点领域、新兴领域、涉外领域立法。 推进文化自信自强,铸就社会主义文化新辉煌 牢牢掌握党对意识形态工作领导权,全面落实意识形态工作责任制,巩固壮大奋进新时代的主流思想舆论。 加强全媒体传播体系建设,塑造主流舆论新格局。 健全网络综合治理体系,推动形成良好网络生态。 实施国家文化数字化战略。 加强国际传播能力建设,全面提升国际传播效能,形成同我国综合国力和国际地位相匹配的国际话语权。 增进民生福祉,提高人民生活品质 支持和规范发展新就业形态。 加强灵活就业和新就业形态劳动者权益保障。 推动绿色发展,促进人与自然和谐共生 协同推进降碳、减污、扩绿、增长,推进生态优先、节约集约、绿色低碳发展。 加快发展方式绿色转型。 推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定 我们要坚持以人民安全为宗旨、以政治安全为根本、以经济安全为基础、以军事科技文化社会安全为保障、以促进国际安全为依托,统筹外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全,统筹维护和塑造国家安全,夯实国家安全和社会稳定基层基础,完善参与全球安全治理机制,建设更高水平的平安中国,以新安全格局保障新发展格局。 完善重点领域安全保障体系和重要专项协调指挥体系,强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设。 坚定维护国家政权安全、制度安全、意识形态安全,加强重点领域安全能力建设,确保粮食、能源资源、重要产业链供应链安全。 提高防范化解重大风险能力,严密防范系统性安全风险,严厉打击敌对势力渗透、破坏、颠覆、分裂活动。 加强个人信息保护。 完善网格化管理、精细化服务、信息化支撑的基层治理平台 实现建军一百年奋斗目标,开创国防和军队现代化新局面 坚持机械化信息化智能化融合发展。 研究掌握信息化智能化战争特点规律。 打造强大战略威慑力量体系,增加新域新质作战力量比重,加快无人智能作战力量发展,统筹网络信息体系建设运用。 促进世界和平与发展,推动构建人类命运共同体 共同培育全球发展新动能,反对保护主义,反对“筑墙设垒”“脱钩断链”。 中国积极参与全球治理体系改革和建设,践行共商共建共享的全球治理观,坚持真正的多边主义,推进国际关系民主化,推动全球治理朝着更加公正合理的方向发展。 坚定不移全面从严治党,深入推进新时代党的建设新的伟大工程 加强新经济组织、新社会组织、新就业群体党的建设。 第三展区(C区): 当前网络安全面临的风险挑战 网络安全事件大盘点 【当前网络安全面临的风险挑战】 境外敌对组织网络攻击对我威胁不断加大。随着互联网向政治、经济、文化、社会、国防等方方面面的渗透,国际网络空间安全博弈更加激烈,全球网络空间军备竞赛持续升级,特别是美国将我国列为网络安全领域最大对手进行全面遏制,严重威胁我国重要领域关键信息基础设施安全和云计算、大数据、物联网等新技术新应用健康发展。 关键信息基础设施网络安全隐患突出。随着数字化改革不断深入,金融、能源、电力、交通、通信、教育、公共卫生等关键信息基础设施网络化趋势明显,大量关键信息基础设施完全暴露于互联网,同时这些系统还存在安全责任落实不到位、数据分级分类不精准、防控策略不完善、网络边界不清晰等问题以及弱口令、默认口令、远程维护端口未及时关闭等低级错误,难以有效应对有组织、大规模、高强度的网络攻击。 电子政务网络安全防护存在薄弱环节。提升服务效率,推行电子政务,实现政府工作的全面信息化是时代要求,是大势所趋。但由于电子政务架构复杂、涉及面广、协同性强,与应用建设相比,网络安全建设相对滞后。电子政务外网与互联网之间边界接入管理存在缺陷,违规外联情况突出,不同地区、不同单位之间网络逻辑隔离不严密,存在较大隐患。 网络违法犯罪案件数量居高不下。非法入侵计算机信息系统、电信网络诈骗、网络盗窃等违法犯罪活动层出不穷。据统计,我国涉网犯罪案件数量以每年30%的速度快速增长,已占犯罪总数的1/3以上,网上非法提供买卖黑客工具程序、非法获取网站控制权限、贩卖网民身份认证数据等利益链条已形成,为犯罪分子实施涉网违法犯罪活动提供了便利条件。 网络安全支撑保障能力有待进一步强化。安全漏洞、勒索软件、云平台安全防护、有组织有目的的APT攻击等风险加剧,给网络安全防护带来新的风险挑战。据统计,我省受计算机恶意程序攻击的IP地址、木马和僵尸程序控制服务器和受控主机IP地址、被篡改网页等数量不断增多,而网络安全基础相对薄弱,网络安全产业规模较小,高端网络安全人才缺乏,网络安全保障能力有待提升。 【网络安全大事件盘点】 国外事件 “史诗级”漏洞——阿帕奇远程代码执行漏洞 2021年12月,国内多家机构监测到阿帕奇存在任意代码执行漏洞,并紧急通报相关情况。该漏洞的CVSS(通用漏洞评分系统)评分达到10.0分,影响全球一大半的互联网企业,包括百度、苹果等企业都被爆出存在该漏洞。此次漏洞是由提供的lookup功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在处理数据时,并未对输入进行严格的判断,从而造成注入类代码执行。 美医疗中心数据泄露,超130万人受影响 2022年1月,美国Broward Health公共卫生系统公布了一起大规模数据泄露事件,超130万人受到该事件影响。该系统是位于佛罗里达州的医疗系统,有三十多个地点提供广泛的医疗服务,每年接收超过6万名入院病人。调查显示,入侵网站的黑客可获取到病人的个人信息,其中包括病人的出生日期、家庭住址、电话号码及银行信息等。 俄罗斯胜利日当天电台系统被黑 2022年5月,俄罗斯总统普京在“胜利日”阅兵式上发表讲话期间,黑客组织破坏了俄罗斯在线电视节目表页面,以显示反战信息,大量通过智能电视访问电视节目表的俄罗斯公民阅读了指责克里姆林宫的信息。俄罗斯主要电视频道、最大搜索网站Yandex、最大视频网站RuTube均受到类似网络攻击的影响。 网约车巨头Uber再遭黑客攻击 2022年9月,美国网约车巨头Uber再一次爆出攻击事件,陷入了网络安全的泥潭。这是继2016年该公司发生重大黑客攻击事件后,再一次发生网络攻击事件。一名黑客获得了Uber一位员工的Slack账号,并获取了该公司在亚马逊和谷歌云计算平台的访问权限。 德国机场遭遇大量DDOS攻击 2023年1月以来,德国最大的航空公司汉莎航空遭遇DDOS攻击,导致大约200架航班停飞,数千名乘客被滞留。之后,杜塞尔多夫、纽伦堡和多特蒙德的热门机场网站也相继宕机。此波攻击造成超过2300次航班被取消,整个德国的国际空中交通被切断。一个自称“Anonymous Russia”的黑客组织声称对德国七个机场的网络攻击负责。 美国移动电信公司遭黑客入侵,泄漏约3700万客户信息 2023年1月19日,美国移动电信公司(T-Mobile)表示,有黑客入侵该公司系统并获取了约3700万名客户的数据,包括客户出生日期和账单地址。 澳大利亚金融贷款机构Latitude发生大量数据泄露 2023年3月,澳大利亚个人金融贷款机构Latitude宣布,一名网络犯罪分子窃取了一名员工的登录信息,入侵了该公司两家持有客户数据的服务提供商。受影响的客户数量实际上高达1400万,至少可以追溯到2005年的约610万条记录也在数据泄露中被泄露,这610万条记录包括姓名、地址、电话、出生日期、驾照号码以及护照号码等。 加拿大石油巨头遭到网络攻击导致全国加油服务中断 2023年6月,加拿大石油公司Suncor遭受网络攻击,其遍布全国的加油站受到影响,导致客户无法使用信用卡或奖励积分付款。 日本最大港口因勒索软件攻击停摆 2023年7月,日本最大港口名古屋港遭遇勒索软件攻击,其“名古屋港统一码头系统”NUTS(控制该港所有集装箱码头的中央系统),港口所有使用拖车在码头进行的集装箱装卸作业均已取消,这给港口造成了巨大的财务损失,并严重扰乱了进出日本的货物流通。 国内事件 西北工业大学遭美国国家安全局网络攻击 2022年4月,西北工业大学报警称遭遇网络攻击。9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)使用了40余种不同的专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。 滴滴公司违反《网络安全法》等被罚80.26亿 2022年7月,国家互联网信息办公室对滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为处以人民币80.26亿元罚款,对该公司董事长、总裁分别各处人民币100万元罚款。 蔚来汽车公司内部数据泄露并遭勒索 2022年12月20日,蔚来首席信息安全科学家、信息安全委员会负责人在蔚来官方社区发布公告,蔚来公司收到外部邮件,声称拥有蔚来内部数据,包括蔚来内部员工数据22800条、车主用户身份证数据399000条,并以泄露数据勒索225万美元(约1570.5万元人民币)等额比特币。 美光公司未通过我国网络安全审查 2023年3月31日,国家网络安全审查办公室按照《网络安全审查办法》,对美光公司(Micron)在华销售的产品实施网络安全审查。5月20日,网络安全审查办公室发文表示,美光公司在华销售的产品未通过网络安全审查。按照《网络安全法》等法律法规,我国内关键信息基础设施的运营者应停止采购美光公司产品。 国内首例虚构数据干扰算法推荐构成不正当竞争案宣判 2023年4月25日,杭州互联网法院公开宣判了首例涉及虚构数据干扰算法推荐引发的不正当竞争案。涉案刷量的软件是一款名为“抖竹”的APP,可以模拟人工操作养号、批量点赞和评论、随机转发、批量关注加好友、自动私信粉丝和关注的人等。法院经审理认定,抖竹软件应赔偿抖音经济损失及合理费用共计100万元。 武汉市地震监测中心网络设备被植入后门程序 2023年7月26日,武汉市应急管理局地震监测中心报警称,该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序。目前,国家计算机病毒应急处理中心和360公司组成的联合调查组,已经在受害单位的网络中发现了技术非常复杂的后门恶意软件,符合美国情报机构特征,具有很强的隐蔽性,并且通过恶意软件的功能和受影响的系统判断,攻击者的目的是窃取地震监测相关数据,而且具有明显的军事侦察目的。 第四展区(D区): 当前数据安全面临的风险挑战 数据安全制度 数据分类分级原则 数据安全管理 【当前数据安全面临的风险挑战】 随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。当前数据安全形势十分严峻,维护数据安全的责任重大。 (一)政务大数据 各政务部门在开展业务的过程中积累了大量数据,通过对政务大数据进行开发、利用、挖掘,能够为政府提供智能办公、智能监管、智能服务、智能决策等大数据服务,提高政府办公、监管、服务、决策的智能化水平,推动社会治理体系和治理能力现代化。 1.平台安全。大数据平台由于自身架构要根据政府业务需求和安全要求变化不断改进,因而产生传统的身份认证、数据加密手段适用性问题。 2.服务安全。便捷的互联网应用环境下,需要应对基于Web的攻击、Web应用程序攻击、注入攻击、拒绝服务攻击、网络钓鱼、用户身份盗窃等威胁,抵御信息泄露、网络瘫痪、服务中断等安全风险。 3.数据安全。政府部门数据公开、行业间以及行业内部数据平台化共享时,涉及数据生命周期各阶段相关的数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等活动的数据安全,是迫切需要解决的问题。 4.数据确权问题。政务数据的所有权、使用权、管理权涉及多个部门,特别是政府授权社会资本方搭建的公共服务系统所产生的数据,涉及个人隐私、国家经济命脉,在进行大数据分析中,必须做到权责分明,厘清数据权属关系,防止数据流通过程中的非法使用,保障数据安全流通。 5.APT攻击防御。APT攻击以窃取核心资料为目的,对政府部门大数据应用产生重大安全威胁,因此必须在政务大数据中高度防范此类攻击。 (二)健康医疗大数据 作为典型的实践科学,医学中有很多知识来源于经验积累,而目前经验积累的最直接、最客观的体现就是数据,诊疗过程中产生海量健康医疗大数据。 1.数据权属问题。健康医疗大数据起源于患者本身,那么数据权属到底是属于个人、还是产生数据的医疗机构一直没有定论;另外,第三方机构在原始数据基础上挖掘延伸出的新数据,其归属权也没有明确规定。 2.应用复杂性高。目前各地区和机构在进行健康医疗领域信息化建设时大都根据自身需求建立独立的信息系统,这些信息系统架构各异、数据格式不同,导致数据在安全共享、交换和处理时的复杂度大幅提升。 3.个人隐私保护难。健康医疗数据中包含特别敏感的个人隐私信息,必须依法进行管控和保护;对涉及健康医疗数据的管理要以相应的法律法规做指导,在进行健康医疗数据的收集、存储、挖掘等应用时,需要解决个人隐私保护的难题。 (三)电商行业大数据 电商行业积累了大量商家数据、买家数据、商品数据,在交易过程中产生大量订单数据、交易数据和用户行为数据。 1.数据权属问题。电商业务的开展主要包括电商平台、商家和消费者三方,电商业务产生的数据如何划分其所有权、控制权和使用权,是在电商业务中合理使用数据的前提。 2.大数据聚合分析风险。电商业务的大数据应用涉及对消费者相关的数据分析,在对大数据加工计算的过程中,如何保障不会因为大数据的聚合分析而实现“去匿名化”,依然是亟待解决的难题。 3.数据跨境安全。目前国家大力支持跨境电商业务,而跨境电商业务必然涉及数据的跨境问题。 (四)电信行业大数据 电信运营商拥有大量的数据资源,如网络信息、用户终端信息、用户位置信息等,同时电信行业近年来利用大数据进行深度挖掘分析,将丰富的网络、用户等数据资源加工抽取后封装为服务,向客户提供。 1.供应链安全。通信数据在移动网络设备中产生,在特定阶段,部分设备的操作权在供应商手中,这意味着供应链的各环节存在安全风险。 2.数据集中管理。在大数据业务应用发展的驱动下,大数据资源的安全风险更加集中,一旦发生安全事件将涉及海量客户信息及公司数据资产。 3.平台组件开源。大数据平台多使用开源软件,这些软件设计初衷主要考虑高效数据处理,缺乏安全性保障,滞后于电信业务发展的安全防护能力,存在安全隐患。 4.敏感数据共享。在电信运营商内部,信息系统建设相对分散,敏感数据跨部门、跨系统共享留存比较常见,一旦存在系统安全防护措施不当,极可能发生敏感数据泄漏,造成“一点突破、全网皆失”的严重后果。 (五)车联网数据 未来智能网联汽车产业链各环节之间必然会通过自采或数据交互等方式来获取相关各类数据,如何构建智能网联汽车产业数据安全监管体系,以保障数据交互过程中的产业安全,如何建设安全、健康、可持续发展的汽车产业数据生态将是汽车产业必须解决的重要课题。 1.对行车安全的影响。网联化增加了车辆网络安全风险威胁,使黑客有机会篡改车辆数据甚至获得控制车辆的控制权,给行车安全带来危险。 2.用户隐私安全的泄露风险。智能网联汽车上装载的传感器会持续获取车上用户和车外的行人的相关信息。 3.对国家安全的影响。智能网联汽车上大量的视觉传感器、毫米波雷达、激光雷达传感器在行驶的过程中会不断扫描路面和周围的交通环境,获取大量地理位置信息,这些信息一旦泄露将会对国家安全造成威胁。 (六)云平台安全 云存储(Cloud Storage)是一种将数据保存在第三方提供的远程服务器上,通过互联网进行访问和管理的数据存储服务。与传统的本地存储相比,云存储具有低成本、高可扩展性、易于管理和维护等优势。 1.云平台资产不清、暴露面不明。多数云服务商缺乏有效手段对云平台各类软硬件资产进行管理,对云平台构成缺乏全面清晰的了解;针对云平台暴露面也缺乏有效梳理和评估,导致一些存在漏洞的资产直接暴露在互联网。 2.安全基线机制不健全、未定期开展全面安全检测。部分云服务商未建立安全基线机制,在新设备、系统部署前未按照安全基线进行安全加固,未开展上线前安全检测,导致设备或系统带病上线。未定期对云平台进行全面的安全检测,一些陈年老“洞”依然存在,成为威胁云平台安全的不定时炸弹。 3.运维人员安全意识不强、运维管理不规范。云平台内部存在各种弱口令、通用口令,运维人员将各类运维账号密码明文存放在运维终端且在内部共享,未采取技术手段对运维终端安全状态进行检测及集中管控,运维人员可随意在运维终端上安装非运维软件,并可以直接连接互联网。运维变更不规范,运维人员可不经审批随意变更云平台安全配置,私自开通远程运维通道连接内网,且运维操作不经过堡垒机等受控环境,对云平台安全带来极大威胁。 4.安全产品不安全、配而不用形同摆设、审计监督措施缺位。多数云服务商部署了各类安全产品,但很多安全产品授权过期、特征库陈旧、防火墙规则过宽或过期,安全产品未配置安全规则或安全规则不合理等问题;堡垒机、综合审计平台、态势感知系统等安全产品配而不用,未开启相关设备的审计功能或未配置审计策略,同时未对收集的审计日志集中进行分析以发现安全异常和隐患 【数据安全制度】 1.数据分类分级保护制度。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。 2.数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 3.数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 4.数据安全审查制度。国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。 5.出口管制。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。 6.贸易采取措施。任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。 【数据分类分级原则】 数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分: 1.合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。 2.分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。 3.分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。 4.就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。 5.动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。 【数据安全管理】 1.数据分级框架 按照《中华人民共和国数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。 2.数据分类框架 数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。 3.个人信息识别与分类 通过分析特定自然人与信息之间的关系,符合下述情形之一的信息,可判定为个人信息。 (1)可识别特定自然人:即从信息到个人,依据信息本身的特殊性可识别出特定自然人,包括单独或结合其他信息识别出特定自然人。按照个人信息标识特定自然人的程度,可分为直接标识信息、准标识信息。 (2)与特定自然人关联:即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、网页浏览记录等),可识别为个人信息。个人信息分类按照涉及的自然人特征可分为个人基本资料、个人身份信息等16个类别。 4.公共数据识别 符合以下任一情形的数据,可识别为公共数据。 (1)各级政务机关在依法履行公共管理和服务职能过程中收集和产生的数据; (2)具有公共管理和服务职能的企事业单位和社会团体,在依法履行公共管理和服务职能过程中收集和产生的数据; (3)提供公共服务的组织,在开展公共服务(如供水、供电、供热、供气、教育、医疗、公共交通、通信、邮政、养老、环保等)过程中收集和产生的数据; (4)在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据。 5.分级要素 数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素进行分级。 (1)影响对象:指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后受到危害影响的对象,包括国家安全、公共利益、个人合法权益、组织合法权益四个对象。 (2)影响程度:指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后,所造成的危害影响大小。危害程度从低到高可分为轻微危害、一般危害、严重危害。 第五展区(E区): 网络安全政策法规 网络安全技术标准 【前言】 随着数字技术的发展和应用,相关法律法规及行业技术标准作为贯穿各领域间的技术规则,其重要性日益凸显。近年来,我国已经构建起以《中华人民共和国网络安全法》等法律为核心,包括《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规在内的科学合理完备的网络安全法律规范体系。生成式人工智能、人脸识别等新业态的出现,及时出台了管理规定。 网络安全法、数据安全法已经列入《领导干部应知应会党内法规和国家法律清单》,要求领导干部带头尊法学法守法用法。 在国家标准化管理委员会及网信办、工信部、公安部、国家密码管理局、国家认监委等部委的指导和支持下,网络安全标准化工作取得了极大的进展,相继发布了大量网络安全政策及相关标准,涉及数据出境、数字经济、自动驾驶、关键信息基础设施等众多领域。 总体来看,国内网络安全领域合规环境的规范性更进一步,为筑牢数据安全防线、构建网络强国提供了根本遵循。 【网络安全政策法规】 《中华人民共和国网络安全法》 《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法规。 2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,自2017年6月1日起施行。 《中华人民共和国网络安全法》是我国网络安全领域的基础性法律,是我国第一部网络安全领域的法律,也是我国第一部保障网络安全的基本法。 一是明确了网信部门及其他相关网络监管部门、企业、社会组织和个人的权利、义务和责任; 二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想和理念; 三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求; 四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,为混乱的网络环境打下了一剂强心针,更彰显我国建立法治网络的决心。 《中华人民共和国数据安全法》 《中华人民共和国数据安全法》是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定的法律。 2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。 《数据安全法》作为数据安全的基础性法律,与2017年6月1日起施行的《网络安全法》共同完善了《国家安全法》框架下的安全治理法律体系。 《数据安全法》作为数据领域的基础性法律,明确了政府、企业、社会相关管理者、运营者和经营者的数据安全保护责任,消除了数据要素交易中的灰色地带,对各行各业都形成了制约机制。 《数据安全法》更全面地保障了国家安全在各行业、各领域保障的有法可依,势必驱动相关部门和有关企业在数据安全领域加大投入,完善安全防护体系,从而推动信息安全行业在数据安全领域的技术研发方面加快迭代,助力产品及服务不断创新。 《中华人民共和国个人信息保护法》 《个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定的法律。 2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。 整体来看,《个人信息保护法》构建了完整的个人信息保护框架。其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程,确认了与个人权利相对应的个人信息处理者的义务及法律责任,对个人信息出境问题、个人信息保护的部门职责、相关法律责任进行了规定。 一是确认了广义的个人信息范围; 二是提出了处理个人信息需要遵循的原则和要求; 三是制定了个人信息处理的规则; 四是明确了个人信息处理活动过程中的权利和义务; 五是规定了履行个人信息保护职责部门的职责; 六是规定了相关法律责任。 《党委(党组)网络安全工作责任制实施办法》 《党委(党组)网络安全工作责任制实施办法》是为了进一步加强网络安全工作,明确和落实党委(党组)领导班子、领导干部网络安全责任,根据《中国共产党问责条例》《中央网络安全和信息化委员会工作规则》等有关规定制定的办法。 2017年8月15日,经中共中央批准,由中共中央办公厅发布《党委(党组)网络安全工作责任制实施办法》,自2017年8月15日起施行。2021年8月4日,《中国共产党党内法规汇编》由法律出版社公开出版发行,该书正式解密公开了《党委(党组)网络安全工作责任制实施办法》,《实施办法》的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。 《实施办法》所划定的责任主体,具有各自责任范围,形成职责明确的责任体系,覆盖地区、行业领域、主管监管部门、运营单位。 承担网络安全工作的责任主体主要有以下三类: 1.各级党委(党组)。按照“谁主管谁负责、属地管理”的原则,对本地区本部门网络安全工作负主体责任。领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。 2.行业主管监管部门。对本行业本领域的网络安全负指导监管责任,没有主管监管部门的,由所在地区负指导监管责任。 3.各地区各部门网络安全和信息化领导机构。具有分析研判网络安全信息、统筹协调网络安全检查、组织通报网络安全信息等职责。 《关键信息基础设施安全保护条例》 2021年4月27日,经国务院第133次常务会议通过,2021年7月30日,对外公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。 《关键信息基础设施安全保护条例》旨在建立专门保护制度,明确各方责任,提出保障促进措施,保障关键信息基础设施安全及维护网络安全。 《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 《网络安全审查办法》 《网络安全审查办法》是为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》所制定的。 2021年11月16日,《网络安全审查办法》经国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,于2022年2月15日起正式施行。 1.网络安全审查范围:关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查;掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 2.网络安全审查部门:网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 3.网络安全审查的时间:网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,若情况复杂,可以延长15个工作日;特别审查程序一般应当在90个工作日内完成,情况复杂的可以适当延长。 4.违反本办法规定:《中华人民共和国网络安全法》第六十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 《数据出境安全评估办法》 2022年5月19日,国家互联网信息办公室主任庄荣文签发《国家互联网信息办公室令第11号》,通过《数据出境安全评估办法》,自2022年9月1日起施行。《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。 适用范围:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。 主要情形:应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。 具体要求:规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。 《个人信息出境标准合同办法》 《个人信息出境标准合同办法》经2023年2月3日国家互联网信息办公室2023年第2次室务会议审议通过,自2023年6月1日起施行。 出台背景:近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长,个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定,目的是为了保护个人信息权益,规范个人信息出境活动。 适用情形:《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,《办法》明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 主要原则:应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。 个人信息处理者通过订立标准合同的方式向境外提供个人信息的应当符合一定条件。个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。 《生成式人工智能服务管理暂行办法》 《生成式人工智能服务管理暂行办法》经2023年5月23日国家互联网信息办公室2023年第12次室务会会议审议通过,并经国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局同意,自2023年8月15日起施行。 出台目的:该《办法》是我国促进生成式人工智能健康发展和规范应用的专门立法,界定了生成式人工智能技术的基本概念,规定了生成式人工智能服务提供者的制度要求,为生成式人工智能的健康发展指明了方向。 服务规范:提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务。涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。 监督管理:网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。 《个人信息保护认证实施规则》 为贯彻落实《个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,国家市场监管总局、国家网信办于2022年11月4日发布《个人信息保护认证实施规则》,鼓励个人信息处理者通过认证方式提升个人信息保护能力。 适用范围:本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 认证依据:个人信息处理者应当符合GB/T 35273《信息安全技术个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 实施程序: 认证委托,认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理; 技术验证,技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告; 现场审核,认证机构实施现场审核,并向认证委托人出具现场审核报告。 认证结果评价和批准,认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 获证后监督,认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 认证时限,认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 《人脸识别技术应用安全管理规定(试行)(征求意见稿)》 根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规起草,于2023年8月8日向社会公开征求意见的管理规定,意见反馈截止时间为2023年9月7日。 基本要求:使用人脸识别技术应当遵守法律法规,遵守公共秩序,尊重社会公德,承担社会责任,履行个人信息保护义务,不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动。 重要条款:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识。在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,防止违规查阅、复制、公开、对外提供、传播个人图像等行为,防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。 【网络安全技术标准】 (一)网络安全标准化概况 标准类型:标准分为强制性国家标准、推荐性国家标准、行业标准、地方标准、团体标准、企业标准。 1.强制性国家标准。由国家有关行政主管部门依据职责负责项目提出、组织起草、征求意见和技术审查,对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求。 2.推荐性国家标准:由国务院标准化行政主管部门组织制定,对满足基础通用、与强制性国家标准配套对各有关行业起引领作用等需要的技术要求。 3.行业标准。对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求;行业标准不与国家标准相抵触,有关行业标准之间应保持协调、统一,不得重复;行业标准由国务院有关行政主管部门制定,报国务院标准化行政主管部门备案。 4.地方标准。为满足地方自然条件、风俗习惯等特殊技术要求。地方标准由省、自治区、直辖市人民政府标准化行政主管部门报国务院标准化行政主管部门备案。 5.团体标准。社会团体协调相关市场主体共同制定,满足市场和创新需要。国务院标准化行政主管部门会同国务院有关行政主管部门对团体标准的制定进行规范、引导和监督。 6.企业标准。企业可以根据需要自行制定企业标准,或者与其他企业联合制定企业标准。 行标、地标、团标、企标的技术要求不得低于强制性国家标准的相关技术要求。 标准作用:标准可以规范社会的生产活动,引领经济社会发展,推动建立最佳秩序。其作用具体可体现在支撑法律法规、规范产品市场、支撑重点工作、指导产业发展等方面。 标准概况:截至目前,信安标委研制并发布358项网络安全国家标准,在研制修订103项。涵盖密码、鉴别与授权、信息安全评估、通信安全、信息安全管理、大数据安全等领域,初步建成较为完备的网络安全国家标准体系。 重要成效: 1.网络安全等级保护(30余项)个人信息识别与分类 推动了网络安全等级保护制度贯彻实施,全国有十几万个信息系统依据标准确定了安全保护等级、开展系统安全建设整改、等级测评等各项工作,提升了系统安全保护能力,促进了国家信息安全保障体系的构建。标准主要有: ▲《信息安全技术网络安全等级保护基本要求》 ▲《信息安全技术网络安全等级保护测评要求》 ▲《信息安全技术网络安全等级保护安全设计技术要求》 ▲《信息安全技术网络安全等级保护定级指南》 ▲《信息安全技术网络安全等级保护实施指南》 ▲《信息安全技术网络安全等级保护测评过程指南》 ▲《信息安全技术网络安全等级保护测试评估技术指南》 2.网络安全产品认证(40余项) 包括网络安全产品政府采购强制性认证、计算机信息系统安全专用产品销售许可检测、网络关键设备和网络安全专用产品检测认证。标准主要有: ▲《信息安全技术网络产品和服务安全通用要求》 ▲《信息安全技术防火墙安全技术要求和测试评价方法》 ▲《信息安全技术网络入侵检测系统技术要求和测试评价方法》 ▲《信息安全技术路由器安全技术要求》《信息安全技术网络交换机安全技术要求》 ▲《信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法》 3.关键信息基础设施保护(9项) 4.云安全评估(8项) 为云计算服务安全评估、党政机关网站上云试点、云防护系统产品检测等工作提供技术支撑、为《云计算服务安全评估办法》落地提供标准依据。目前全国已有69个云计算服务平台通过安全审查/评估。标准主要有: ▲GB/T 31168《信息安全技术云计算服务安全能力要求GB/T 》 ▲31167《信息安全技术计算服务安全指南》 使用对象: 1.从网络安全标准类型维度,可分为管理类标准、技术类标准、系统类标准、服务类标准; 2.从网络安全标准对象维度,可分为产品类标准、工程类标准、通信类标准、数据类标准等; 3.标准用户可依据不同维度,结合具体应用场景选取不同类别标准使用。 (二)数据安全标准 标准作用:标准是保障数据安全的有效手段。标准作为国家数据安全治理体系的重要组成,能够细化法律法规和政策文件,支撑部门重点工作,规范产业实践,引导新技术新应用健康发展,推动数据安全规则国际交流合作。 ◆《数据安全法》提出“国家推进数据开发利用技术和数据安全标准体系建设”。 ◆《个人信息保护法》指出国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准。 ◆数据二十条、数字中国建设布局要求深入参与国际高标准数字规则制定,探索完善数据要素产权、定价、流通、交易使用、分配、治理、安全的政策标准和体制机制。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。 现有标准: 1.TC260已发布7项数据安全国家标准,正在制修订11项涉及数据分类分级、数据安全能力、数据安全风险评估、汽车数据安全等方面 2.2023年即将新立项3项数据安全国家标准 3.国家标准支撑《数据安全法》落地。2022年9月发布”国家标准支撑《数据安全法》落地实施一周年”,目前已有30余项标准可为《数据安全法》21项条款落地实施提供支撑,涉及全流程数据安全治理、数据分类分级保护、数据安全评估认证等。 (三)个人信息保护标准 现有标准: 1.目前,TC260制定发布20项个人信息保护国家标准,正在制定9项标准,覆盖个人信息处理要求、敏感个人信息处理要求、个人信息保护影响评估、App个人信息安全、生物特征识别信息安全等内容。 国家支撑落实 2. 2023年即将立项3项个人信息保护标准 3.国家标准支撑《个人信息保护法》落地。 2022年11月发布“国家标准支撑《个人信息保护法》落地实施一周年”,目前已有37项标准可为《个人信息保护法)42项条款落地实施提供支撑,涉及个人信息处理规则、App个人信息安全、生物特征识别信息安全等。 第六展区(F区): 网络安全知识普及 网络安全防护建议 【网络安全知识普及】 在工作和生活中,常见的网络安全威胁主要有: 1.勒索软件 勒索软件是一种常见计算机病毒,它可以控制受害者计算机并且对数据进行加密,然后向受害者索要赎金,受害者在没有获得密钥的情况下无法进行解密。 2.挖矿病毒 挖矿病毒是非法获取虚拟货币的计算机病毒,挖矿病毒会大量占用受害者服务器CPU、内存资源,并且强行关闭正在运行的其他软件,导致受害者服务器不能提供其他服务。 3.蠕虫病毒 蠕虫病毒是一种常见的计算机病毒,蠕虫病毒不需要附着在别的程序内、不需要用户介入操作也能够在网络中进行自我复制或者运行。 4.僵尸网络 僵尸网络是指采用一种或多种传播手段,使大量联网设备感染僵尸程序,通过控制信道接收攻击者的指令,从而在攻击者和被感染设备之间形成可一对多控制的网络。攻击者可利用僵尸网络发起分布式拒绝服务攻击、发布海量垃圾邮件等。 5.木马程序 木马程序是由攻击者安装在受攻击设备上并秘密运行的恶意程序,由控制端和被控端组成,具有很强的隐蔽性,可能长期“潜伏”,并根据攻击者指令突然发起攻击。 6.拒绝服务攻击 拒绝服务攻击(DDoS攻击)是指攻击者利用网络上多个“肉鸡”(发动DDoS等相关网络攻击的设备)作为主机,向目标计算机发送大量看似正常的业务请求,消耗或占用计大量网络或系统资源,导致目标计算机无法处理正常业务,正常用户无法访问。 7.后门病毒 在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统,攻击者通常会使用免杀的程序留下后门通道。 8.网络钓鱼 网络钓鱼是指攻击者利用欺骗性的电子邮件或伪造的Web站点进行的网络诈骗活动。诈骗者通常会将自己伪装成电子银行、在线零售商或信用卡公司等可信机构,骗取用户的私人信息,如信用卡号、银行卡账户、身份证号等。 9.数据篡改 黑客通过信息系统的漏洞,对信息系统的正常通信数据或者保存在信息系统上的关键数据进行修改,破坏数据的完整性,损害他人权益。 10.网页篡改和暗链 网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现攻击者插入的非正常网页内容。暗链是网页篡改的一种形式,攻击者插入的内容在被攻击网站一般不会直接显示,但能够通过搜索引擎获取。因此,暗链攻击常被用于通过非正常途径实现高效提升网站在搜索引擎中排名等目的。 【网络安全防护建议】 对单位的防护建议 1.摸清资产底数。对网络资产须了如指掌,包括终端设备、传输设备、存储设备、网络资源等,做到设备位置、设备型号、设备端口、IP地址、MAC地址等一一对应,准确无误,可追溯,可检查。定期对网络资产进行自查,及时更新资产变化情况,对不再使用的网络系统,应及时予以断网下线。 2.加强基础防护。加强网络安全基础设施建设,正确配置防火墙、设置物理隔离,部署冗余线路等。严格执行运维管理制度,合理分配操作权限。定期自查系统漏洞,进行必要灾备,定期升级软件补丁。 3.开展合规保护。按照《网络安全法》《关键信息基础设施安全保护条例》等要求,对重点网站、重要系统和平台及时开展等保测评、密码测评和风险评估检测。 4.加强终端防护。积极部署入侵监测系统,定期进行网络安全监测。 及时更新终端杀毒软件病毒库,杜绝“弱口令”。 5.开展应急演练。将应急演练作为检验预案、磨合机制、锻炼队伍、普及应急知识的重要手段,每年至少举行一次网络安全应急演练,同时不断拓展网络安全应急演练的方式,提升应急演练的直观性和实效性。 对个人的防护建议 1.电脑安装必要的安全防护软件,定期进行系统补丁升级,定期进行电脑病毒查杀。 2.电脑和各类互联网账号密码不要设置弱口令,建议密码采用数字、大小写字母及特殊字符的无规律混排方式,要注意定期修改账号密码。 3.对于经常访问的网站可以收藏备用,不要轻易点击别人传送的网址,不要轻易扫描不明二维码,不要轻易接收并点击不明文件。 4.电脑应关闭远程访问功能,关闭无权限的文件共享服务,防止文件被窃取。 5.电脑应设置开机密码,设置在人员离开后的锁屏密码保护。 6.不要在微信等社交软件发布、传播涉密工作资料。 7.涉密电脑严禁外接互联网,严禁插拔U盘拷贝资料。 8.严禁将工作信息、重要文件、核心数据(敏感项目、个人信息等)上传至互联网存储空间,如网盘、云共享文件夹等。 9.重要文件通过网络、邮件等方式传输时,应进行文件加密处理。 10.尽可能少使用不明WIFI上网,避免上网信息被劫持。 第七展区(G区): 江西省各地市网络安全工作成效 【南昌市】“四个三”筑牢网络安全“防火墙” 落实“三个同步”,打牢信息化项目网络安全“根基” 根据《南昌市政务信息化项目网络安全审查办法(试行)》,2023年以来,对全市14个政务信息化项目开展了网络安全审查工作,累计资金8301万余元,其中网络安全预算753万余元,占项目总预算比重约9.08%(较审查前提高约5%),全市政务信息化项目网络安全“同步规划、同步建设、同步使用”比例提升至100%。 建强“三支队伍”,夯实网络安全和信息化专业支撑 一是强化执法队伍。南昌市培养了一批网信执法队伍。2023年上半年,依据相关法律法规有效处置各类网络安全、数据安全、个人信息保护案事件42起,行政处罚12起,罚款75万元;二是强化技术支撑队伍。南昌市遴选了网络安全应急技术支撑单位,2023年以来,各支撑单位向网信部门报送各类安全事件线索30余个,3个线索转为立案调查;三是强化专家队伍。南昌市网信专家库专家目前扩充至67人,在网络安全审查和课题研究评审等工作中充分发挥了理论支撑和智力支持作用。 拓宽“三个渠道”,织密织牢网络安全防护网 一是用好“CS”平台。2023年以来,利用平台共通报各类关键信息基础设施事件44个,APP收集个人信息合规性检测事件19个;二是搭好“态感”系统。搭建并上线“南昌市网络安全态势感知系统”。2023年以来,蜜罐系统共发现全市各类安全线索25个,3个线索转为立案调查;三是加强统筹协作。南昌市各部门强化自主监测,压实责任、主动上报,截至目前,主动报送网络安全事件线索10余个。 做好“三个专项”,全面筑牢网络安全屏障 一是抓专项检查。围绕重要节点开展了网络安全督导检查工作等4次专项行动,发现并及时化解了一批重大网络安全风险。二是抓应急演练。开展网络安全应急演练,构建网页篡改等事件,进一步提升了全市网络安全协同应急处置能力。三是抓安全宣传。成功举办了南昌市第九届国家网络安全宣传周,通过开展网络安全“大篷车”等活动广泛宣传,营造了浓厚网络安全宣传氛围。 【九江市】聚焦“三力”全面维护网络安全和数据安全 一、以“学”为主动力,加大网络安全宣传力度 一是用心开展网上宣传。全市各级新闻网站、客户端通过网络直播、微博、微信、微视频发布网络安全海报、短视频、动漫等作品3万余条,推送公益短信815万余条。二是精心开展线下互动。会同宣传、教育、工信等部门,大力推动《网络安全法》《个人信息保护法》等法律法规宣传教育进企业、进校园、进社区、进园区、进乡镇,累计开展各类活动162个,发放各类宣传手册5万余份。三是全心开展专业培训。邀请网络安全专家、学者以及从业人员,围绕网络安全发展的新趋势、新任务、新挑战,开展专业化、多样化主题培训30余次。 二、以“稳”为策动力,增强网络安全防护意识 一是强化网络安全秩序。今年以来,累计开展网络安全检查121次,编发网络安全通报37期,下发限期整改通知书23次,处罚违法信息突出的网站2家,督促企业落实网络安全主体责任。二是强化政务网络保障。建设电子政务中心机房,构建整体安全防护体系,在网络边界部署防火墙、防DDOS攻击、入侵防御等安全系统,实行政务信息化项目云上安全管理,运用IPV6、SSL证书、区块链+可信身份认证等技术进一步加强数据安全。 三是强化企业服务质量。成立了网络环境专项整治工作专班,定期对我市星火有机硅、善水科技、赛得利等重点企业开展网络安全检查,组织企业开展《工业领域核心数据和重要数据目录备案》工作,整理重要数据目录29条。 三、以“治”为潜动力,提升个人信息保护能力 一是健全个人信息管理制度。督促各相关单位建立健全个人信息保护的管理制度,明确相关部门收集所必需的个人信息应坚持最小范围原则。 二是加大个人信息执法力度。加大对属地网络平台的巡查力度,积极受理处置网民对于属地网络平台违规违法收集、使用、公开个人信息行为的举报,受理处置违法违规账号3个,约谈整改房地产营销公司1家。三是提升个人信息检查维度。联合公安等部门深入医保、卫健等涉民生部门,开展个人信息保护检查工作,要求采取严格的管理和技术防护措施,防止被窃取、被泄露。 【景德镇市】筑牢网络安全之基护航瓷都高质量发展 一、完善网络安全体制机制 一是严格落实“一把手”负责制。市委主要领导每年至少组织召开1次专题会议,并在常委会、网信委会专题研究网络安全工作。二是建立网络安全统筹协调工作机制。扎实协调相关工作,构建了网信牵头、部门履职、协同联动的大网安格局。三是健全督察考核机制。将网络安全纳入年度综合考核、督查和审计范围,发现并督促整改网络安全问题96个。 二、提升网络安全防护能力 一是建设一个基地。成立网络信息安全联合创新实验基地,打造学习培训、应急演练、产业引进等中心,助力网络安全建设。二是搭建一个平台。建设网络安全协调指挥平台,对全市140多个重点系统进行7×24小时监测,发现并督促修复中高危漏洞246个。三是建强一支队伍。招录网安相关专业人员1名、聘任技术人员1名,并与高校合作,长期接收相关专业大学生开展社会实践。四是办好一份刊物。创办了《网络安全态势》,报送市委主要领导及其他常委,目前已编发6期。 三、巩固网络安全防线屏障 一是强化执法力度。依法约谈景德镇陶瓷职业技术学院等6家单位,处置违规收集个人信息APP3个。二是开展网络安全检查。联合公安、国安等单位开展检查,发现并督促整改各类问题946个,压实主体责任。三是开展网络安全事件处置。近两年来及时高效处置各类事件78起,做到重大网络安全事件0发生。 四、强化网络安全防范意识 一是组织网络安全培训。每年至少举办2场全市性网络安全专题培训,做到属地单位全覆盖。二是开展网络安全普法。聘任普法志愿者开展普法“七进”活动120多场次,发放网络安全资料5万份。三是举办网络安全宣传周。组织开展有关活动147次,获得2022年全省“百万网民学法律”专场知识竞赛活动优秀组织奖。 【萍乡市】打好构筑网络安全屏障“组合拳” 一、用好一个结果,压紧压实网络安全工作责任 发挥考核“指挥棒”作用,将考核结果纳入领导班子和领导干部综合考核评价内容以及高质量发展等年度考评工作,有力推进了网络安全工作责任制落实,经验做法被中央网信办《网信动态》刊发。 二、建强一支队伍,夯实网络安全技术支撑和保障能力 一是持续优化和建强网络安全专业和网信执法人才队伍,有效防范处置了网络安全事件和依据相关法律法规对违反网络安全和数据安全的案件进行了处置,罚款58万元。二是面向社会公开遴选了9家网络安全技术支撑单位。三是组建了网络安全和信息化专家库,遴选了30余名网络安全专家。进一步充实了网络安全技术支撑和保障人才队伍。 三、搭好一个平台,织密织牢网络安全“防火墙” 在全省率先建成网络安全协调指挥平台,形成了全市网络安全监测、预警和处置的闭环,有效提升了网络安全态势感知和协调处置能力。2023年以来,共发现并处置全市各类网络安全事件56起。 四、把好一个关口,打牢信息化项目网络安全“根基” 按照《萍乡市政务信息化项目网络安全审查办法》,开展政务信息化项目常态化网络安全审查工作,今年以来对“数字萍乡一期工程”“萍乡市城市运行管理服务平台项目”等7个项目进行了审查,严格落实“三同步”要求。 五、做好一系列活动,全面筑牢网络安全屏障 一是开展专项检查。针对全市政务网络、公共通信和信息服务、教育、文旅、交通、医疗和向民众提供水、电、油、气等重点单位信息系统开展了网络安全和数据安全专项检查,及时发现并处置了一批网络安全风险。二是开展实战演练。通过网络安全应急演练,构建演练科目,检验评估各级各部门网络安全防护水平,进一步提高了网络安全队伍实战能力和技术水平。三是开展网络安全宣传。成功举办了萍乡市第九届国家网络安全宣传周,开展“七进”活动广泛宣传,形成人人参与网络安全、人人宣传网络安全的良好态势。 【新余市】精准施策筑牢网络安全防线 一、高位推动完善工作体系 将网络强国重要思想列入各级党委(党组)理论中心组学习、党员理论学习教育计划,组织在市委理论中心组专题学习会、市委网信委会议上传达学习,引导全市网信系统始终把政治建设摆在首位。充分发挥市委网信委抓总作用,市委书记主动担当第一责任人职责,其他市领导各司其职,政法、统战、公安、工信等网信委成员单位立足实际认真履职。 二、不断夯实网站平台主体责任 聚焦构建一体化网络安全服务保障体系,印发《新余市网络安全事件应急预案》等文件,建立健全了由市委统一领导、职能部门分工负责的网络安全管理格局。认真加强公众账号分级分类管理,目前全市1000余家新媒体实行了备案登记。建立属地网络平台涉政负面信息监测处置情况台账,发现问题即时通知整改。 三、扎实推进网络安全保障工作 将全市200余个网络系统资产按市直单位、中央省属单位、重要行业、重要企业、县区等分类,通过“定格、定人、定责”,建立责任到人、职责到位、全面覆盖的网络安全网格化管理体系。组织开展了党的二十大网络安全服务保障、全国两会期间网络安全检查和涉疫信息系统网络安全检查等专项行动,妥善消除网络安全隐患300余次。从全市遴选了20名技术骨干组建第一批网络安全专家库,对各类新建信息项目进行了前置安全审查。每年组织开展了网络安全应急演练和网络安全技能大赛,服务保障党的二十大网络安全经验做法被中央《网信动态》刊发推介。 四、全力推动网络生态综合治理 常态化加强网络信息巡查检查,针对网络领域存在的乱象常态化开展“清朗”“净网”“护苗”等系列专项治理行动。依托属地新闻媒体开设不良信息举报平台5个,向社会开辟举报窗口、公布举报热线,积极动员网民群众参与网上有害信息举报监督。深入实施网信系统“八五”普法规划,依托网络安全宣传周,认真抓好数据安全法、个人信息保护法等宣传普及,持续开展网络文明“五进”行动。组织参加2022年全省“百万网民学法律”知识竞赛,获全省优秀组织奖。 【鹰潭市】多措并举筑牢网络安全防线 网络安全风险防范化解有力 在市委网络安全和信息化委员会的统一领导下,建立网信部门统筹协调、相关部门协同联动、全社会共同参与的“大网信”工作格局。常态化开展网络安全实地检查、实网检测,相继开展APP违法违规收集使用个人信息排查、数据安全排查和算法滥用治理等专项行动,有效防范化解网络安全隐患;创新开展“鹰盾”网络安全攻防应急综合演练,不断检验和完善网络安全应急预案体系,提高应急处置能力,各项重大活动网络安全保障到位。全市至今未发生一起较大以上网络安全事件。 网络安全意识持续提升 举办网络安全宣传周、全民数字素养与技能提升月等活动,合力打造“鹰网同心”特色品牌,构建网络安全常态化宣传机制。创新借助“榜样力量、明星效应”,邀请鹰潭籍全国劳动模范、全国先进工作者、影视演员等作为公益代言人开展网络安全宣传活动;在全国率先开通“网络安全400服务热线”,365天“不打烊”为广大群众提供网络安全在线答疑和违法违规举报服务;探索依托公共文化科技场馆和新时代文明实践中心(所、站),打造市、县、乡全覆盖宣教阵地,深入基层开展网络安全宣教活动,营造网络安全人人有责、人人参与的良好氛围。 网络安全生态进一步优化 以高新区为载体,打造国家网络安全“高精尖”技术示范区,以物联网带动物联网安全发展,以企业数智化驱动工业互联网安全,加快构建产学研用一体化创新体系,加快促进产业协同创新发展,培育具有鹰潭特色的物联网安全产业生态。建设鹰潭泰尔物联网研究中心、北航研究院鹰潭分院等一批研究机构,设立物联网安全院士实验室,引进绿盟科技、中科智鹏、恒安嘉新、智慧云测等网络安全骨干企业。 【赣州市】筑牢网安防线助推赣州发展 一、高位推动上下联动铸造网络安全防护“金钟罩” 赣州市委、市政府高度重视,高位推动网络安全工作,每年召开专门会议,研究网络安全领域重大事项。先后印发《党委(党组)网络安全工作责任制责任清单》《赣州市政务信息化项目网络安全审查办法(试行)》等一系列文件,建立健全网络安全前置审查、监测预警、情况通报、统筹协调等工作机制;将网络安全工作纳入全市高质量发展考核、巡察监督检查等,压紧压实网络安全工作责任;构筑起“横向到边、纵向到底”网络安全工作责任体系。 二、守正创新担当实干织密网络安全“防护网” 加强网络安全监测能力,全面梳理全市网络资产和信息系统,网络资产台账明晰、信息系统清单完整。提升网络安全防护能力,开展全市的网安“大普查”“大体检”“大演练”,排查隐患,防范重大安全风险;连续举办三届全市网络信息安全技能大赛。强化网络安全处置能力,遴选12家网络安全应急技术支撑单位,增强技术力量,加强网络安全漏洞和隐患处置。增强网络安全风险意识,成功承办2022年江西省“国家网络安全宣传周”活动,每年开展网络安全知识线上竞答、“网络安全进课堂”等,营造全社会共筑网络安全防线浓厚氛围。 三、解放思想深耕赛道培育网络安全产业“生态圈” 坚持以产业为抓手,着力打造网络安全高地,推动网络安全产业全面发展。实行“链长+链主+联盟”机制,组建110余家企业参与的江西省信息安全产业信创联盟,江西省信息安全产业园落地赣州。成功引进航天科工706所、奇安信、安恒信息等一批网络安全领域龙头企业。国家工业信息安全发展研究中心江西分中心落户赣州,赣州获评全国信息技术应用创新优秀实践单位。赣州“信创+网安”产业集群正朝百亿产业阔步迈进,构建起网络安全产业创新发展“生态圈”。 【宜春市】“三个强化”筑牢网络安全防线 一、强化队伍建设,提升网络安全保障能力 一是充实自身力量,市委网信办先后引进相关专业博士1人、硕士7人,配齐配强网络安全专业队伍;二是组建网络安全专家库,充分发挥专家在课题研究、项目评审等方面的作用,三是遴选网络安全应急支撑单位,利用社会力量建立起一支市县两级全覆盖的应急响应队伍,有效解决基层技术支撑力量不足的问题;四是打造精兵队伍,从各单位选拔十余名优秀专业技术人才,制定长期培养规划,建设一支有战斗力的机动队伍。 二、强化技术支撑,夯实网络安全工作基础 投入986万元,高标准建设宜春市网络安全应急综合指挥平台,实现对全市所有党政机关及重点单位、重要系统网络安全态势感知、预警监测,技术管网治网能力实现层级跃升,通过采购服务的形式对现有技术能力进行进一步完善补充,确保对全市网络安全形势的全面把控。宜春市委网信办首批入选全国地市级应急指挥中心规范化建设全国示范单位。 三、强化安全管理,压实网络安全工作责任 一是摸清网络资产底数,将全市所有党政机关和上百家重点工业企业1450个网络资产纳入监测预警范围,做到网络安全风险及时发现、及时处置;二是推进部门协作,充分发挥统筹协调机制作用,联合公安、国安、保密、工信等部门定期开展网络安全检查、网络安全应急实战演练,提升安全防范和应急处置能力。针对交通、医疗、民生等重点行业领域开展专项检查,及时发现处置网络安全风险隐患;三是推进行政执法,打造典型案例,提升网络运营者对网络安全保护义务的重视程度。上半年处置网络安全案件一起,罚款2.5万元,在行政执法领域实现突破。 【上饶市】扛稳压实网络安全责任筑牢网络安全防护屏障 持续强化网络安全工作责任落实 制定完善《网络安全工作责任制落实工作指标》《上饶市关键信息基础设施安全保护工作规定》等制度性文件,进一步理顺治网管网部门权责。开展网络安全责任制落实指标年度考核,考核结果作为干部考核作用、综治考核评先和审计工作的重要依据,倒逼网络安全工作责任落实。 二、持续推进关键信息基础设施防护 制定《上饶市关键信息基础设施安全保护工作规定》,明确关键信息基础设施保护范围及责任部门。发挥网络安全检查发现问题、解决问题的重要作用,不断提升以查促改、以查促管、以查促建水平。加强信息化项目审核工作,严格落实“三同步”要求,做到关口前移,防患于未然。 三、持续提升态势感知和应急协同处置能力 大力推进技术治网,加强网络安全风险和事件监测发现,及时协调组织有关部门开展应急处置和反馈。加强网络安全应急防范体系建设,组织开展跨部门跨行业网络安全应急演练,不断提升网络安全事件应急处置能力。 四、持续加强数据安全管理 出台《上饶市公共数据管理办法》《上饶市数据中心云资源集约化使用管理办法(试行)》,切实加强数据安全管理。组织开展数据安全自查检查,重点整治违法违规、超范围收集个人信息行为,及时消除数据安全风险隐患,切实做好个人信息保护工作。 五、持续深化网络安全宣传教育 广泛开展网络安全知识宣传教育和技能培训,办好上饶市国家网络安全宣传周活动,积极推进宣传教育常态化。在“2022全国互联网法律法规知识云大赛”中,我办被中央网信办评为“2022全国互联网法律法规知识云大赛”优秀组织单位。 【吉安市】全力打造“三张网”,筑牢“网安吉安”坚固屏障 一、高位推动,落实“责任网” 以考核压责。将网络安全工作责任制落实情况纳入全市高质量发展综合考评、平安建设考核等内容,并注重结果运用,以考核压实网络安全主体责任。以巡察落责。将网络安全工作责任制纳入意识形态巡察的重点内容,与意识形态巡察工作同部署、同落实。以机制明责。建立网络安全统筹协调机制,每年召开统筹协调机制联席会议,协同发力推动网络安全重点工作。 二、守正创新,扩宽“宣传网” 网安宣传有声有色。创新打造“网安吉安·七进”品牌,以云上宣传、流动课堂、视频轮放、节目汇演、志愿服务等形式,开展网络安全线上线下宣传活动120余场次,引导30万余名群众参与。网安普法走深走实。以网络安全宣传周为契机,不断创新形式和内容,开展网络安全知识云直播、网络安全知识线上竞答、网络安全进课堂等宣传普及网络安全法、数据安全法和个人信息保护法,增强全民网络安全法律意识。专项竞赛出新出彩。积极组织参与全省“百万网民学法律”网络安全法律法规专场竞赛以及“赣政杯”技能大赛,连续两年获全省优秀组织奖。 三、多措并举,织密“防护网” 以训促防通过多种形式,分层级、分类别开展网络安全培训26场次,参训人员达5000余人,不断提升各级领导干部网络安全防护意识和能力。以检促防。做实日常巡查,将全市1100余个党政机关网站、重要系统纳入监测范围,去年下发网络安全风险提示24个、网络安全通告单170件,全力消除网络安全隐患;做精专项检查,联合公安、工信等部门开展数据安全检查、涉疫系统网络安全督查等10余项专项检查,有力提升防护水平。以练促防。组建全市网络安全专家库和技术支撑队伍,搭建网络安全态势感知平台,创新演练形式,开展以事件处置为核心的跨地区、跨部门、跨行业网络安全实战应急演练,检验各地各单位应急处置能力。 【抚州市】奋力推进网络安全工作高质量发展 充分运用网络安全统筹协调工作机制 定期召开统筹协调机制工作会议,汇聚各成员单位工作合力,做好全市网络安全工作。制定印发了服务保障党的二十大网络安全工作文件,对网络安全自查、督导检查、应急演练、应急值守等工作进行具体部署,市委网信中心统筹协调各地各单位,夯实责任、落实举措,将部署的工作逐项落实落地,圆满地完成服务保障党的二十大网络安全工作任务。 着力营造人人参与的网络安全宣传氛围 努力打造国家网络安全宣传周品牌,市、县两级举办宣传周启动仪式12场;制作宣传视频8个、发放宣传材料7.6万份;组织开展网络安全宣传“七进”线下活动832次;基础电信运营商集中发送公益短信260万条。不断创新工作方式,常态化开展网络安全宣传。2022年,依托12个市县级融媒体中心,刊发网络安全宣传稿件3698条;利用全市新时代文明实践中心2000余个场所,党建宣传员1877名,结合新时代文明实践活动开展网络安全宣传1235场,3.9万余人次参与。 不断夯实网络安全工作基础 逐步完善网络安全预警监测机制。2022年,依托预警监测平台,发现处置网络安全事件87起。市大数据中心组织开展了对全市200余个政务信息系统网络安全风险排查,排查发现各类风险漏洞13656个,各问题均及时得到整改。市委网信中心、市公安局、市大数据中心联合印发了《关于做好2022年政务信息系统网络安全等级保护工作的通知》,全面开展政务信息系统网络安全等级保护测评工作。 始终抓实网络安全重点工作 市公安局督促2家关键基础设施运营单位履行了网络安全保护义务,开展风险评估、专项检查。市委网信中心对市大数据中心、市人社局等关键基础设施保护单位进行了网络安全现场督导检查,发现并督促整改网络安全和数据安全问题,消除网络安全隐患。市邮政管理局、市公安局、市委网信中心联合开展了全市邮政快递领域个人信息安全治理专项行动,市公安局加强对APP违法违规收集个人信息行为执法,有效维护了全市广大人民群众个人信息安全。 | ||
|
||
相关新闻
|
||
大江网(中国江西网)版权与免责声明 |
1、本网所载的文/图等稿件均出于为公众传播有益资讯信息之目的,并不意味着赞同其观点或证实其内容的真实性,我们不对其科学性、严肃性等作任何形式的保证 。如其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
2、本网站内凡注明“来源:大江网(中国江西网)”的所有文字、图片和音视频稿件均属本网站原创内容,版权均属“大江网(中国江西网)”所有,任何媒体、网站或个人未经本网站协 议授权不得转载、链接、转贴或以其他方式复制发表。本网站原创内容版权归本网站所有,内容为作者个人观点,本网站只提供参考并不构成任何商业目的及应用建议。 已经由本网站协议授权的媒体、网站,在下载使用时必须注明稿件来源:“大江网(中国江西网)”,违者本网将依法追究法律责任。
3、凡本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本网站采用的非本站原创文章及图片等内容无法一一和版权者联系,如果本网 所选内容的文章作者及编辑认为其作品不宜上网供大家浏览,或不应无偿使用,请及时用电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济 损失。
4、对于已经授权本站独家使用提供给本站资料的版权所有人的文章、图片等资料,如需转载使用,需取得本网站和版权所有人的同意。
※联系方式:大江网(中国江西网) 电话:0791-86849032
|