前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全法征求意见范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络空间是亿万民众共同的精神家园,不是法外之地,不能成为违法犯罪的温床。清朗网络空间,要牢固坚持人民主体地位不动摇。
构建网络生态需要人人参与
互联网是人类的新家园,已成为国家全力捍卫的“第五空间”。网络强则国强,一个清朗、正能量充沛、主旋律高昂的网络空间,是公众所需。
近年来,我国依靠广大网民、发动社会力量,连续开展一系列专项行动,有效遏制网上违法违规行为,取得显著成效。但当前,网络生态治理任务依然复杂艰巨,人民群众对打击网络有害信息和不法行为的呼声非常强烈,清朗网络空间迫在眉睫、刻不容缓。主动回应社会和公众关切,进一步巩固治理成果,深入整治网络顽疾,驱散网络“雾霾”,修复网络生态,关系重大。
发生在前不久的两个案例无疑给公众和网络媒体上了生动一课。百度长期因竞价排名而众议鼎沸,近期又因“魏则西事件”被推至舆论风口浪尖。被查出患有“滑膜肉瘤”罕见病的大学生魏则西,辗转多家医院,病情仍不见好转,后通过百度搜索找到武警北京总队第二医院,在花光东凑西借的20多万元后,不幸离世。就在今年1月初,百度曾因“卖吧”事件而成众矢之的。本是病友们自助平台的贴吧,被百度卖掉,病友痛失交流平台,甚至上当受骗。
再如,任志强通过新浪和腾讯微博账号持续公开违法信息,违反“九不准”“七条底线”,影响极其恶劣。经网民举报,国家互联网信息办公室于今年2月底责令新浪、腾讯等网站依法依规关闭任志强微博账号。
此类事件不一而足,成为一股股负能量,恣意侵害威胁着国家、社会和个人。因此,加强网络空间治理,让这个精神家园清新爽朗,人人都应是参与者,都应当战士斗士,而不应做看客绅士。
充分认识人民主体地位内涵
坚持人民主体地位,不是一个抽象的概念,不能只停留在口头上、止步于思想环节,而要见行动、出实招、求实效。具体而言,就是做到“三个坚持”。
坚持网络治理为人民。要把人民利益放在网络生态治理的最高位置,走好网上群众路线。党的十以来,党和政府依法管网治网,陆续出台相应的管理政策,先后开展一系列网络治理行动,规范网络有序运行在法治轨道上。2015年以来,我国陆续开展“依法整治网络敲诈和有偿删帖”“护苗2015”“打击网上有害信息工作”等专项整治工作,加强对“滴滴打车”被刷单、王健林“被署名”等网络侵权的打击力度,有效捍卫了公众、企事业单位的合法权益,震慑了不法分子。
坚持网络治理靠人民。互联网的开放性、互动性等特点,决定了互联网管理在依法规范、道德约束的同时,要紧紧依靠和发动广大人民群众、打一场“人民战争”。经过广泛宣介、动员、引导,公众参与网络治理的主动性不断提高,全国各地涌现出一大批网络义务监督员。如首都互联网协会组建的“妈妈评审团”,在为青少年安全上网“保驾护航”方面发挥了巨大作用。同时,在浙江、广东、河北等地,公众也踊跃参与到网络空间“大扫除”的活动中来。
坚持网络治理成果由人民共享。清朗网络空间,最终要落脚在让人民共享治理成果。在首届世界互联网大会上,明确提出“让互联网发展成果惠及13亿中国人民”。让网络治理成果普惠人民,也是题中应有之意。目前,在线教育、大型开放式网络课程、开放大学蓬勃发展,互联网医疗、数字健康客户端方兴未艾……净化、清朗后的互联网正让人民群众的生活服务便捷化、精准化和个性化。
全面建构共治共享崭新格局
实现“使网络空间清朗起来”的目标,需要全国各族人民心往一处想、劲往一处使,需要充分尊重人民主体地位、发挥人民主动性、捍卫人民网上权益,形成网络空间治理同心圆。为此,要做到“五个注重”。
注重制度完善。本立而道生,在网络空间治理中,强化制度建设是一项根本性任务。只有以科学的制度为根本遵循,形成依法治网、有效保障公民合法权益的长效机制,才能避免形式主义和短期行为。我国立足国情,充分总结近年来网络安全工作经验,针对实践中存在的突出问题,大力推进网络空间法治化,加快互联网领域立法进程。《网络安全法(草案)》《互联网新闻信息服务管理规定(修订征求意见稿)》已经完成向社会征求意见程序。
注重体系建设。我国互联网起步虽晚,但起点高,过去22年来积累了丰富的互联网治理中国经验,贡献了中国智慧。但长期以来行政监管投入的精力过多,有些方面重视程度、投入力量不够,需要好好补课。今后,要从顶层设计和整体战略的高度,进一步加强网络治理体系建设,使网络有害信息治理有法可依。
注重奖惩并举。奖励和惩罚是网络治理激励手段一体之两翼、驱动之双轮。一方面,对于公众举报的网络有害信息,符合条件的要给予相应奖励。对于积极受理公众举报、自觉处置有害信息的网站,要予以表彰。另一方面,对于消极对待公众举报、不能自觉承担信息“把关人”“守门员”责任的网站,要严格依法惩处,并加大曝光谴责力度。
注重宣介引导。尽管近年来网络举报知晓度、认知度有了较大提升,公众举报网上有害信息的积极性有了一定提高,但与国家和人民的期待、与我国网络发展水平、与有害信息总量相比,网络举报还没有达到应有的层次和水平。各地、各网站要采取群众喜闻乐见的方式,创新宣传形式,加强网络举报品牌包装,吸引公众广泛参与网络有害信息打击、治理工作,同时有效捍卫自身合法权益。
1现状与问题
1.信息安全现状
随着信息化建设的推进,我校信息化建设初具规模,软硬件设备配备完成,运行保障的基础技术手段基本具备。网络中心技术力量雄厚,承担网络系统管理和应用支持的专业技术人员达20余人;针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力|6];日常运行管理规范,按照信息基础设施运行操作流程和管理对象的不同,确定了网络系统运行保障管理的角色和岗位,初步建立了问题处理的应急响应机制。由网络中心进行日常管理的主要有六大业务应用系统,即网络通信平台、认证计费系统、校园一卡通、电子校务系统、网站群、邮件系统。
网络通信平台是大学各大业务平台的基础核心,是整个校园网的基础,其他应用系统都运行在高校的基础网络环境上;认证计费系统是针对用户接入校园网和互联网的一种接入认证计费的管理方式;校园一卡通系统建设在物理专网上,主要实现学生校园卡消费管理,校园卡与大学网络有3个物理接口;电子校务系统是大学最重要的业务应用系统,系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息;大学主页网站系统为大学校园的互联网窗口起到学校对外介绍宣传的功能;邮件系统主要为大学教师与学生提供邮件收发服务,目前邮件系统注册用1.2面临的主要问题
通过等级保护差距分析和风险评估,目前大学所面临的信息安全风险和主要问题如下:
(1)高校领域没有总体安全标准指引,方向不明确,缺少主线。
(2)对国际国内信息安全法律法规缺乏深刻意识和认识。
(3)信息安全机构不完善,缺乏总体安全方针与策略,职责不够明确。
(4)教职员工和学生数量庞大,管理复杂,人员安全意识相对薄弱,日常安全问题多。
()建设投资和投入有限,运维和管理人员的信息安全专业能力有待提高。
(6)内部管理相对松散,缺乏安全监管及检查机制,无法有效整体管控。
(7)缺乏信息安全总体规划,难以全面提升管理
(8)缺乏监控、预警、响应、恢复的集中运行管理手段,无法提高安全运维能力。
2建设思路
2.1建设原则和工作路线
学校信息安全建设的总体原则是:总体规划、适度防护,分级分域、强化控制,保障核心、提升管理,支撑应用、规范运维。
依据这一总体原则,我们的信息安全体系建设工作以风险评估为起点,以安全体系为核心,通过对安全工作生命周期的理解从风险评估、安全体系规划着手,并以解决方案和策略设计落实安全体系的各个环节,在建设过程中逐步完善安全体系,以安全体系运行维护和管理的过程等全面满足安全工作各个层面的安全需求,最终达到全面、持续、突出重点的安全保障。
2.2体系框架
信息安全体系框架依据《信息安全技术信息系统安全等级保护基本要求》GBT22239-2008、《信息系统等级保护安全建设技术方案设计要求》(征求意见稿),并吸纳了IATF模型[7]中“深度防护战略,,理论,强调安全策略、安全技术、安全组织和安全运行4个核心原则,重点关注计算环境、区域边界、通信网络等多个层次的安全防护,构建信息系统的安全技术体系和安全管理体系,并通过安全运维服务和itsm[8]集中运维管理(基于IT服务管理标准的最佳实践),形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构(见图2),从而实现并覆盖了等级保护基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求,以满足信息系统全方位的安全保护需求。
(1)安全策略:明确信息安全工作目的、信息安全建设目标、信息安全管理目标等,是信息安全各个方面所应遵守的原则方法和指导性策略。
(2)安全组织:是信息安全体系框架中最重要的
各级组织间的工作职责,覆盖安全管理制度、安全管理机构和人员安全管理3个部分。
(3)安全运行:是信息安全体系框架中最重要的安全管理策略之一,是维持信息系统持续运行的保障制度和规范。主要集中在规范信息系统应用过程和人员的操作执行,该部分以国家等级保护制度为依据,覆盖系统建设管理、系统运维管理2个部分。
(4)安全技术:是从技术角度出发,落实学校组织机构的总体安全策略及管理的具体技术措施的实现,是对各个防护对象进行有效地技术措施保护。安全技术注重信息系统执行的安全控制,针对未授权的访问或误用提供自动保护,发现违背安全策略的行为,并满足应用程序和数据的安全需求。安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。该部分以国家等级保护制度为依据,覆盖物理层、网络层、主机层、应用层和数据层5个部分。
()安全运维:安全运维服务体系架构共分两层,实现人员、技术、流程三者的完美整合,通过基于ITIL[9]的运维管理方法,保障基础设施和生产环境的正常运转,提升业务的可持续性,从而也体现了安全运3重点建设工作
3.1安全渗透测试
2009年4月,学校对38个网站、2个关键系统和6台主机系统进行远程渗透测评。通过测评,全面、完整地了解了当前系统的安全状况,发现了20个高危漏洞,并针对高危漏洞分析了系统所面临的各种风险,根据测评结果发现被测系统存在的安全隐患。渗透测试主要任务包括:收集网站信息、网站威胁分析、脆弱性分析和渗透入侵测评、提升权限测评、获取代码、渗透测评报告。
3.2风险评估和安全加固
2009年5月,依据安全渗透测试结果,对大学的六大信息系统进行了安全测评。根据评估结果得出系统存在的安全问题,并对严重的问题提出相应的风险控制策略。主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。通过风险评估最终得出了威胁的数量和等级,表1、表2为威胁的数量和等级统计。2009年6月和9月,基于风险评估结果,对涉及到的网络设备(4台)和主机设备(14台)进行了安全加固工作。
3.3安全体系规划
根据前期对全校的网络、重要信息系统及管理层面的全面评估和了解整理出符合大学实际的安全需求,并结合实际业务要求,对学校整体信息系统的安全工作进行规划和设计,并通过未来3年的逐步安全建设,满足学校的信息安全目标及国家相关政策和标准学校依据国际国内规范及标准,参考业界的最佳实践ISMS[10](信息安全管理体系),结合我校目前的实际情况,制定了一套完整、科学、实际的信息安全管理体系,制定并描述了网络与信息安全管理必须遵守的基本原则和要求。
通过信息安全管理体系的建立,使学校的组织结构布局更加合理,人员安全意识也明显提高,从而保证了网络畅通和业务正常运行,提高了IT服务质量。通过制度、流程、标准及规范,加强了日常安全工作执行能力,提高了信息安全保障水平。
4未来展望和下一步工作
4.1安全防护体系
根据网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求,可以考虑使用逻辑隔离技术(VLAN或防火墙技术)将整个学校的网络系统划分为3个层次的安全域:第一层次安全域包括整个学校网络信息系统;第二层次安全域将各应用系统从逻辑上和物理上分别划分;第三层次安全域主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统。
公钥基础设施包括:CA安全区:主要承载CAServer、主从LDAP、数据库、加密机、OCSP等;KMC管理区:主要承载KMCServer、加密机等;RA注册区:主要承载各院所的RA注册服务器,为各院所的师生管理提供数字证书注册服务。
应用安全支撑平台为各信息系统提供应用支撑服务、安全支撑服务以及安全管理策略,使得信息系统建立在一个稳定和高效的应用框架上,封装复杂的业务支撑服务、基础安全服务、管理服务,并平滑支持业务系统的扩展。主要包括:统一身份管理、统一身份认证、统一访问授权、统一审计管理、数据安全引擎、单点登录等功能。
4.2安全运维体系
ITSM集中运维管理解决方案面对学校日益复杂的IT环境,整合以往对各类设备、服务器、终端和业务系统等的分割管理,实现了对IT系统的集中、统一、全面的监控与管理;系统通过融入ITIL等运维管理理念,达到了技术、功能、服务三方面的完全整合,实现了IT服务支持过程的标准化、流程化、规范化,极大地提高了故障应急处理能力,提升了信息部门的管理效率和服务水平。
根据终端安全的需求,系统应建设一套完整的技术平台,以实现由管理员根据管理制度来制定各种详尽的安全管理策略,对网内所有终端计算机上的软硬件资源、以及计算机上的操作行为进行有效管理。实现将以网络为中心的分散管理变为以用户为中心集中策略管理;对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态定期安全检测,内容包括定期的安全风险评估、安全加固、安全应急响应和安全巡检。
4.3安全审计体系