当前位置: 首页 > 解读回应 > 新闻发布会

推进网络安全等级保护 提升网络安全防护能力

来源: 南通市公安局 发布时间:2021-08-13 字体:[ ]

在线访谈.jpg

内容简介:当前,随着网络应用的发展和普及,互联网已经和国家安全、人民生活都息息相关,网络空间已经成为国与国之间最激烈的战场。互联网已经成为我国最复杂、最现实、最严峻的非传统安全之一。《中华人民共和国网络安全法》的出台,将网络安全等级保护纳入法律范畴,展示了国家提升网络安全防护的决心,也为今后的网络安全管理工作明确了方向。

文字实录

主持人:各位网友,下午好!感谢大家关注南通市人民政府网站“在线访谈”栏目,今天我们很高兴邀请到南通市公安局党委副书记、常务副局长陈兵做客节目现场,就“推进网络安全等级保护 提升网络安全防护能力”与网友进行在线交流,欢迎大家踊跃参与。

主持人:陈局长好,欢迎做客南通市人民政府网在线访谈。

陈兵:主持人好,各位网友好!很高兴通过南通市人民政府网站“在线访谈”平台和大家进行线上交流。

主持人:首先我们想请陈局长给我们介绍一下网络安全等级保护的内容、意义是什么?

陈兵:网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监督管理,对网络中使用的网络安全产品实行按等级管理,以及对网络中发生的安全事件分等级响应、处置。这里的“网络”是广义上的网络,包括网络设施、信息系统和数据资源等。

陈兵:网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,是我国网络安全的基本制度和基本方法,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大举措,是维护国家关键信息基础设施的重要手段,也是网络运营者促进网络安全的重要指标和抓手。

主持人:我们国家层面,以及我们南通地区网络安全目前面临着什么样的形势?

陈兵:从国家层面来看,我国一直是网络攻击的受害国。近年来,境外敌对势力、黑客组织对我国境内网络设施攻击不断加剧。据国家互联网应急中心通报,仅今年上半年,我国境内受计算机恶意程序攻击的IP地址就达3,048万个,占我国IP地址总数的7.8%,被境外控制的主机410万台,同比增长了46.8%。此外,有1.4万个网站被植入后门,3.4万个网站遭纂改。

陈兵:就我市而言,安全形势同样不容乐观。今年上半年,市公安局组织开展了网络安全远程检查,检查发现共有223家单位存在各类重大网络安全隐患509个,这些隐患可导致这些单位网络系统和相关设备被黑客控制和破坏。应该说网络安全意识不强、安全管理制度落实不到位、安全管理技术措施不落实等现象在我市还一定程度存在。

主持人:我们刚看到已经有网民在提问,我们来看一下这位网民的问题。

网友:网络安全等级保护的对象主要有哪些?

陈兵:网络安全等级保护的对象在2017年有了一个比较大的调整。在2017年以前,我们称之为等级保护1.0标准,当时,等级保护的对象为狭义的信息系统;随着信息技术的发展,2017年等级保护2.0标准正式施行,等级保护对象从狭义的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等等。

网友:网络安全等级保护是必须要做的吗?有没有相应的法律依据?

陈兵:2017年6月1日,《中华人民共和国网络安全法》正式实施,其中第二十一条规定,国家实行网络安全等级保护制度;第三十一条规定,对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。依法履行网络安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,是每一个网络运营者的法定职责,必须严格执行。

网友:单位没有落实网络安全等级保护制度会被处罚吗?处罚对象是谁?

陈兵:不落实网络安全等级保护制度,是要承担相应法律责任的。《中华人民共和国网络安全法》第五十九条规定,网络运营者不履行本法第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

陈兵:关键信息基础设施的运营者不履行《中华人民共和国网络安全法》规定的相应网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

陈兵:对于构成刑事犯罪的,还要依法追究刑事责任。《中华人民共和国刑法》第二百八十六条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节。

网友:网络安全等级保护具体要做点什么工作?有哪些流程?

陈兵:网络安全等级保护工作分为五个步骤,分别为:定级、备案、建设整改、等级测评、监督检查。作为网络安全的责任单位,应做好四项工作:定级、备案、安全建设、等级测评,如果等级测评出现问题,还须进行安全整改,在日常运营中要自觉接受公安机关的监督检查。

主持人:您前面说过我市网络安全形势不容乐观,请问我市网络安全等级保护工作的薄弱环节具体表现在哪些方面?

陈兵:从今年公安机关的检查情况来看,我市网络安全防护能力较以往有了较大提升,但是仍然存在不少问题,主要有这三个方面:一是网络安全工作开展不平衡,企事业单位网络安全隐患相对突出;二是专业的网络安全人才匮乏,有的单位安全设备比较齐全,但日常技术维护力量跟不上,大部分依赖第三方公司,导致弱口令等低级错误仍然严重;三是部分单位责任人认识不到位,重建设、轻安全的现象还是比较普遍,导致有些单位在网络安全隐患整改工作上进展缓慢。

网友:我自己经营了一家几十个人的公司,我们公司建了一个内部使用办公系统,用于考勤和文件流转,如果遭到攻击的话对公司影响不会很大,这个系统也需要开展网络安全等级保护吗?

陈兵:所有的网络运营者都需要按照《中华人民共和国网络安全法》规定开展网络安全等级保护工作。网络运营者包括网络所有者、网络服务提供者、网络管理者。根据您的描述,对照网络安全等级保护定级标准,我们建议您单位的办公系统按照一级的标准进行定级,并不需要到公安机关备案,但也要按照相应要求做好自主保护工作。

网友:等级保护测评一定要委托第三方测评机构测评吗?

陈兵:《信息安全等级保护管理办法》第十四条规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合该办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第二级信息系统我们建议每两年委托测评机构进行一次等级测评,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

网友:南通地区有哪些符合规定的测评机构?相关单位委托第三方测评机构有没有限制或其他要求?

陈兵:我们南通地区对单位委托第三方测评机构没有特殊要求,大家可以登录“江苏网络安全等级保护网”(www.jsdjbh.gov.cn)“测评机构”栏目,在江苏省网络安全等级保护工作协调小组办公室推荐测评机构名单中选择。 如果需要选择省外测评机构的,需通知该测评机构提前到江苏省网络安全等级保护工作协调小组办公室进行等级测评报备。

网友:等级保护测评的费用是多少?是按照单位计算,还是按照信息系统来计算的?

陈兵:首先,测评的费用不是以单位计算,而是按照网络系统来进行计算的;其次,不同等级的测评费用是不一样的,等级越高费用也越高;第三,测评的费用也和信息系统的资产规模相关,规模越大相应的测评费用也会高些;第四,测评费用每个省市具体情况不一样,通常每个省市都有自己的一套价格体系,二级和三级系统的测评费用相对都是固定的,具体可以向江苏省网络安全等级保护工作协调小组办公室推荐名单中的测评机构咨询。

[ 李* ]:网络非法外之地,如果有人为了个人利益恶意攻击和破坏他人声誉,发布错误言论,由于执法的难度较大,时间成本较高,作为受害者如何通过合法途径要求行为人停止侵害,如何提升网络净化?

陈兵:如果碰到网上恶意诽谤,可以通过保存网页、截屏等方式来固定证据,然后可以向网站投诉,要求网站删除相关帖文;或者根据《中华人民共和国治安管理处罚法》第四十二条之规定,向属地派出所报案,由派出所依法查处;另外,您也可以依据《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第二条之规定,就名誉权、肖像权、隐私权等人身权益遭他人侵害,直接向法院提起诉讼。

主持人:网络安全对现实社会的影响越来越大,你认为当前企事业单位应当如何加强网络安全工作,做到防患于未然?

陈兵:随着网络技术的深度应用,我们有很多企事业单位的生产经营活动已经离不开网络。为切实维护网络安全,确保单位生产经营活动正常进行,我认为各相关单位应做到以下三点。

陈兵:一是立即对本单位包括软硬件、网络系统在内的网络资产,进行全面的排摸和梳理,做到底数清、情况明,全部纳入管理视线。对正常运行的网络系统,要对照网络安全等级保护所划分标准确定保护等级。符合第二级以上的网络系统,要按照要求准备备案材料,并向市网络安全等级保护领导小组办公室申请专家评审,最终确定系统等级。对停用的系统或设备要立即下架,防止被黑客利用攻击。

陈兵:二是设立网络安全管理岗位,明确专人负责本单位网络安全,制定本单位网络安全管理制度,定期对本单位的网络设施和网络系统进行自查,及时发现和整改各类网络安全隐患。重点要加强本单位网络安全员培训,增强全体员工网络安全意识,坚决杜绝“弱口令”、违规使用移动介质等低级违反网络安全管理的行为,严防“堡垒”被从内部攻破。

陈兵:三是制定网络安全应急处置预案,常态化开展应急演练。要针对不同网络攻击的特点,经常性的开展网络攻防演练,切实提升网络突发事件的应急处置能力。对于体量不大,没有网络安全专业人员的单位,一方面可以通过向网络安全企业购买服务的方式,对本单位进行网络安全自查、整改和应急响应。另一方面可以通过搜索微信公众号,申请加入“南通市信息网络安全协会”,协会建有专门的网络安全技术支撑队伍,免费为会员单位提供7×24小时网络安全支撑。

主持人:感谢陈局长来到“在线访谈”节目现场。今天的访谈到此结束,谢谢大家的参与,下期再见!