网络安全等级保护网(中国网络安全等级保护网)

一、网络安全等级保护网

数据泄露事件

疑似超2亿国内个人信息在国外暗网论坛兜售

1月5日，国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据，经分析可能来自微博、QQ等多个社交媒体，本次发现的几个帖子中与中国公民有关的记录总数超过2亿。

全国首例适用民法典的个人信息保护案宣判

1月8日，杭州互联网法院公开审理并宣判全国首例适用民法典的个人信息保护案。被告孙某未经他人许可，在互联网上公然非法买卖、提供个人信息4万余条，导致相关人员信息长期面临受侵害风险，被判处赔偿违法所得34000元，并公开道歉。

国内某银行疑似发生数据泄露 高达1679万条

1月8日，有人在某国外论坛中发帖售卖国内某银行1679万笔数据，并放出部分数据样本，数据包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。

网贷公司侵犯个人信息被罚320万

1月15日，中国裁判文书网公布一份判决书，北京智借公司、贤某某等在未取得受害人同意的情况下，向下游多家公司出售包含姓名、身份证号、手机号等个人信息，因犯侵犯公民个人信息罪，被判处罚金320万元。买房涉及平安普惠、拍拍贷、你我贷等多家知名公司。

镇江丹阳30人贩卖6亿条个人信息获利800余万

1月24日，镇江丹阳警方侦破一起公安部督办的侵犯公民个人信息案，涉及10多个省市，抓获犯罪嫌疑人30名。该团伙采用境外聊天工具和区块链虚拟货币收付款，共贩卖个人信息6亿余条，违法所得800余万元。

央视曝App偷听隐私 语音发出后录音还在继续

1月31日，央视节目中专家用模拟“App偷听测试程序”发送一个2秒的语音，当手松开后，录音仍在继续，并生成一条120秒的语音，证实了当测试程序置于前台运行时，偷听是可以实现的。此外经过对比实验，发现在测试程序退至后台或在手机锁屏时，录音依然可持续一段时间。

西山居旗下逍遥网遭攻击致数据泄露

3月2日，西山居游戏发公告称，西山居旗下产品屡遭不法分子DDos攻击、服务器入侵，导致部分用户账号和加密后的非明文密码等信息外泄，官方建议第一时间修改安全等级偏低的短位密码。

全国首例利用微信清粉软件获取个人信息案宣判

3月3日，南通通州公安对全国首例利用微信“清粉”软件非法获取微信用户信息案进行宣判。被害用户扫描“清粉”二维码为了给微信通讯录“瘦身”，不料个人信息泄露。八名被告人则以刷阅读量、售卖微信群聊二维码等方式非法获利200多万元。

315曝光人脸信息滥用、简历泄露等乱象

3月15日，央视315曝光三个涉及个人信息安全案例：商家安装摄像头捕捉记录顾客人脸信息，多门店共享并进行综合报价；智联招聘、猎聘等平台简历给钱就可随意下载，大量简历流入黑市；许多针对老年人开发的手机清理App背地里不断获取手机信息，并推送带有欺骗套路的内容。

中信银行因泄露客户信息被罚450万元

3月19日，银保监会消保局公布的罚单显示中信银行被处以450万元罚款。有消息称，该罚单疑似为2020年5月，脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。

网络攻击事件

多个行业感染incaseformat病毒

1月13日，国内多家安全厂商检测到蠕虫病毒incaseformat在国内大范围爆发，涉及政府、医疗、教育、运营商等多个行业，且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除，对用户造成不可挽回的损失。

针对农信社和城商行的短信钓鱼攻击

自春节起，全国多地市连续发生通过群发短信方式，以手机银行失效或过期等为由，诱骗客户点击钓鱼网站链接而盗取资金的安全事件。天际友盟检测发现大批钓鱼网站在2月9日后被注册并陆续投入使用，钓鱼网站域名为农信社、城商行等金融机构客服电话+字母，或与金融机构网站相似域名的形式，多为境外域名注册商注册并托管。

春节期间DDoS攻击事件激增

2月22日，奇安信羲和实验室发布春节期间DDoS攻击报告，报告显示，春节期间奇安信星迹DDoS观测系统累计观测到反射放大DDoS 攻击事件 65912 个，涉及被攻击 IP 57096 个。与春节前一周相比，DDoS 攻击事件数增加约 25%，被攻击 IP 数增加 37%。

App侵害用户权益专项整治行动

针对App侵害用户隐私安全的问题，工信部已建立全国App技术检测平台，对国内上架的热门App进行技术检测。如果App不符合规定，会先要求其整改。整改后仍不通过或未按照要求整改的App，直接进行下架处理。

1月19日，工信部下架12款App，包括学宝、红人直播等，涉及违规收集用户信息、过度索取用户权限、欺骗误导用户下载问题。（2020年12月21日，工信部通报63款违规App，此12款未按照要求完成整改）

1月22日，工信部通报2021年第一批157款侵害用户权益行为APP，包括芒果TV、永辉生活、花椒等，涉及违规收集个人信息、强制频繁过度索取权限、强制用户使用定向推送等问题。2月3日，工信部下架其中未完成整改的37款App，艺龙酒店、东风出行、易企秀等均在其中。

2月5日，工信部通报2021年第二批26款App存在违规行为，包括QQ输入法、UC浏览器、墨迹天气等，涉及违规收集个人信息、过度索取权限、欺骗误导用户下载等问题。2月10日，10款未完成整改的App被下架，包括小智同学、声吧、kk键盘等。

3月12日，工信部通报2021年第三批136款侵害用户权益行为App，包括猎豹清理大师、悦跑圈、天涯社区等，涉及频繁自启动和关联启动、违规收集使用个人信息等问题。

3月16日，工信部严厉查处315晚会曝光“APP违规收集老年人个人信息”违规行为，要求主要应用商店予下架内存优化大师、智能清理大师、超强清理大师、手机管家pro四款App。

二、中国网络安全等级保护网

有防火墙过滤功能的路由器，都有网络防护作用啦。通过安全设置，就具有基本的网络安全防护功能了。

三、网络安全等级保护网站

信息系统，通信网络设施，云计算环境，

四、网络安全等级保护网 关键信息基础设施 等级保护

关键信息基础设施如何完成等级保护测评

1.

组织认定关键信息基础设施：及时将认定结果通知运营者，并报公安部。

2.

明确关键信息基础设施安全保护工作职能分工：设置专门安全管理机构，组织开展关保工作。

3.

落实关键信息基础设施重点防护措施和实战措施：加强安全保护和保障，并进行安全检测评估。

五、网络安全等级保护网工资大概有多少

我是印刷学院印刷工程专业的大四学生，今年招聘会看了一下，大多数人选择的不是印刷厂，大多数是一些公司的印务部门或者做产品运营这些，北京的公司待遇还可以转正之后基本7k+。如果去印包企业，应该也不是从底层做起，能踏实呆下来应该也不会差

六、网络安全等级保护测评

在校或刚毕业的大学生、

已经工作过1-2年的职场新人、

已经摸爬滚打N年的职场老手、

企事业单位的网络安全部门人员、

对等级保护感兴趣的人员等。

需获得AA级注册网络安全等级测评助理工程师认证、

熟悉思科/华为的路由交换设备、

熟悉Linux操作系统的常用命令、

熟悉Oracle/MySQL/msSQL数据库的基本命令。

七、网络安全等级保护2.0

等保2.0新标准会对网络安全带来重要改变，等级保护工作也面临显著的变化，可从定级对象范围与可信计算的强化两方面了解，具体如下：

1、“等保2.0”新标准中，每一级都新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全5个扩展要求，以应对新兴技术安全需求。

2、相比“等保1.0”将定级对象统一定义为信息系统，《网络安全等级保护定级指南》对定级对象的具体范围根据扩展要求进行了细化，云计算平台方面，定级对象将区分为服务的提供方和租户方；物联网方面，感知、网络传输和处理应用等特征因素不单独定级，将作为一个整体进行评定；移动互联方面，移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级；大数据方面，安全责任主体相同的平台和应用将整体定级，除此之外为单独定级。

3、网络运营者在实施定级工作时，应当确定自身作为定级对象应当满足的基本特征，若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的，还应符合相应的要求。

4、《网络安全等级保护基本要求》中强化了可信计算，充分体现一个中心、三重防御的思想，由被动防御变成主动防御，并强化可信计算安全技术要求的使用；具体表现为在安全通信网络、安全区域边界、安全计算环境三个分类中，均增加了可信验证控制点。

八、网络安全等级保护条例

网络安全等级条例将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象，并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

九、网络安全等级保护定级备案流程

2017 年，《网络安全法》首次提出 “网络安全等级保护制度” 的概念，并明确相关具体要求。

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

2018 年，《网络安全等级保护条例（征求意见稿）》提出 “国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管”，并阐述了相关工作原则、网络等级、技术要求等内容。《等级保护条例》更新了由《信息安全等级保护管理办法》建立的信息安全等级保护制度，标志着国家对信息安全技术与网络安全保护迈入 2.0 时代。

作为《网络安全法》的重要配套法规，《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑。

2019 年，若干国家标准陆续出台，推动了安全等级保护制度的建设。

等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

十、如何保护网络安全

（一)网络主权和战略规划

网络主权是国家主权在网络空间的体现和延伸，网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此，草案将“维护网络空间主权和国家安全”作为立法宗旨，规定：在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。同时，按照安全与发展并重的原则，设专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定。

(二)网络产品和服务安全

维护网络安全，首先要保障网络产品和服务的安全。草案主要作了以下规定：

一是，明确网络产品和服务提供者的安全义务，包括：不得设置恶意程序，及时向用户告知安全缺陷、漏洞等风险，持续提供安全维护服务等。

二是，总结实践经验，将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范。

三是，建立关键信息基础设施运营者采购网络产品、服务的安全审查制度，规定：关键信息基础设施的运营者采购网络产品或者服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安全审查。

(三)网络运行安全

保障网络运行安全，必须落实网络运营者第一责任人的责任。据此，草案将现行的网络安全等级保护制度上升为法律，要求网络运营者按照网络安全等级保护制度的要求，采取相应的管理措施和技术防范等措施，履行相应的网络安全保护义务。

为了保障关键信息基础设施安全，维护国家安全、经济安全和保障民生，草案设专节对关键信息基础设施的运行安全作了规定，实行重点保护。范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。并对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。

(四)网络数据安全

随着云计算、大数据等技术的发展和应用，网络数据安全对维护国家安全、经济安全，保护公民合法权益，促进数据利用至为重要。为此，草案作了以下规定：

一是，要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改。

二是，加强对公民个人信息的保护，防止公民个人信息数据被非法获取、泄露或者非法使用。

三是，要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的，应当按照规定进行安全评估。

(五)网络信息安全

2012年全国人大常委会关于加强网络信息保护的决定对规范网络信息传播活动作了原则规定。草案坚持加强网络信息保护的决定确立的原则，进一步完善了相关管理制度。

一是，确立决定规定的网络身份管理制度即网络实名制，以保障网络信息的可追溯。

二是，明确网络运营者处置违法信息的义务，规定：网络运营者发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

三是规定，发送电子信息、提供应用软件不得含有法律、行政法规禁止发布或者传输的信息。

四是规定，为维护国家安全和侦查犯罪的需要，侦查机关依照法律规定，可以要求网络运营者提供必要的支持与协助。

五是，赋予有关主管部门处置违法信息、阻断违法信息传播的权力。

(六)监测预警与应急处置

为了加强国家的网络安全监测预警和应急制度建设，提高网络安全保障能力，草案作了以下规定：

一是，要求国务院有关部门建立健全网络安全监测预警和信息通报制度，加强网络安全信息收集、分析和情况通报工作。

二是，建立网络安全应急工作机制，制定应急预案。

三是，规定预警信息的发布及网络安全事件应急处置措施。

四是，为维护国家安全和社会公共秩序，处置重大突发社会安全事件，对网络管制作了规定。

第一条为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

第二条在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

十一、网络安全等级保护

信息安全等级保护就是分等级保护、分等级监管，是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级，逐级增高)；等级确定后，第二级(含)以上信息系统到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据信息系统安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度：备案单位选择符合国家规定条件的测评机构开展等级测评；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查。

根据《信息安全等级保护管理办法》的规定，等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查。其中定级是信息安全等级保护的首要环节，通过定级，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。而安全建设整改是落实信息安全等级保护工作的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，通过开展等级测评，可以检验和评价信息系统安全建设整改工作的成效，判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等信息安全职能部门，通过开展监督、检查和指导，维护重要信息系统安全和国家安全。