400-099-0376

在线试用
微信扫码联系专属客服
安企神软件官网
首页
下载中心
客户列表
关于安企神

信息安全 (保护个人信息安全,营造人人安心的网络环境)

本文简介:本文主要为大家整理了 “信息安全” 相关的内容,主要有 保护个人信息安全,营造人人安心的网络环境, 数据安全:贯穿始终的网络安全“大动脉”, 网安标委发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》, 筑牢数据安全防线 加强跨境数据流动治理, 弱口令,高风险,速修改!, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。

1、保护个人信息安全,营造人人安心的网络环境

保护个人信息安全,营造人人安心的网络环境

9月9日至15日,2024年国家网络安全宣传周在全国范围统一举行,今年网安周的主题是“网络安全为人民,网络安全靠人民”。其中道出了一个朴素而深刻的道理:人民既是网络安全工作的出发点和落脚点,也是维护网络安全的重要参与主体之一,网络安全离不开我们每一个普通人的参与和行动。

个人信息安全是网络安全不可忽视的重要组成部分。截至今年6月,我国网民规模近11亿人,互联网普及率达78.0%。日常生活中,网络购物、线上支付、远程教学、刷脸识别等,早已深度嵌入人们的日常生活,成为刚需和常态。但万物互联在让我们享受数字化便利的同时,也带来了一些困扰和风险,譬如“大数据杀熟”、恶意软件骚扰、虚假信息满天飞、个人信息被随意采集和使用、网络诈骗横生等,直接关系到我们每个人的隐私、财产甚至生命安全。而这一切,都直指一个核心问题:个人信息保护泄露的普遍性、严重性和危害性。

中国消费者协会曾经的一项调查显示,遇到过个人信息泄露者占比高达85.2%,深受其扰的人们对加强个人信息保护的呼声日益强烈。2021年11月1日,我国首部个人信息保护方面的专门法律——《中华人民共和国个人信息保护法》开始正式实施,并与此前颁布的网络安全法、数据安全法等一并构建起我国信息安全法律保障体系。除此以外,个人信息保护法更独特的意义在于,它更强调“人”的权利价值、更具民生视角,赋予了公民个体对自己个人信息的“自我决定权”和充分的“知情权”,标志着我国个人信息保护立法体系进入新的阶段。

随着个人信息保护法的落地和相关实施细则及配套制度的实施,我国个人信息安全保护工作已取得长足进步,但仍然任重道远。现实中,在不同平台购物遭遇不同价格,进小区和公共场所被要求刷脸,点单强行索取不相干的个人信息,填写一次联系方式第二天收到十几通推销电话等现象仍时有发生。

营造一个安全、安心、舒心的网络环境,首先需要各个网络平台切实承担起守护职责,真正敬畏法律和消费者利益,依法依规使用用户个人信息,坚决摒弃滥用、盗用、骗取个人信息等违法、擦边行为。要做到这一点,平台企业首先要树立正确的价值观和发展观,摆正经济效益和社会责任的关系,绷紧个人信息保护这条红线,认识到在个人信息保护进入法治化轨道后,这已成为对所有互联网企业的基本要求。

同时,徒法不足以自行。相关部门还须继续加大执法力度,确保网络平台在涉个人信息的每一个动作都能感受到法律的“在线”“在场”,将个人信息安全法中对违法违规企业的各项监管措施落实到位,倒逼企业在个人信息保护方面始终在法治轨道上运行。

个人信息保护离不开每个人的积极参与。我们既要提高警惕性、学会必要的网络安全技能,也要在遭遇个人信息被不当使用、个人权益遭受侵害时,有更多点较真精神,敢于且善于拿起法律武器维权。个人的点滴努力,不仅是维护自身权益的有力保障,也是我们共建网络安全、共治网络空间的坚实基石。只有共建、共治,才能实现共享、共惠。

2、数据安全:贯穿始终的网络安全“大动脉”

数据安全:贯穿始终的网络安全“大动脉”

在移动互联时代,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,而贯穿整体的数据成为核心,成为网络安全“大动脉”。在网络高度发达的今天,数据核心的重要性已经凸显,国家不断出台标准规范、各种新的概念理念,来驾驶这辆快速行进的数据列车稳定运行。

数据安全:贯穿始终的网络安全“大动脉”

网络安全的快速发展,给经济和社会带来的基础的必要的条件,习近平总书记强调:“要加快新型基础设施建设,加强战略布局,加快建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施,打通经济社会发展的信息‘大动脉’。” 20多年网络安全的发展,数据安全保护的方面也不断叠加和更新,本次将从以下几个角度讲述数据安全。

讲网络安全或者信息安全,等级保护标准首当其冲,2006年执行以来的等级保护制度经久不衰,等级保护1.0(三级)里对数据安全的描述“应能够检测到系统管理数据、鉴别信息和重要业务数据在传输、存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;应对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据的完整性。应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性;应对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用协议的攻击破坏数据的保密性。 等级保护2.0调整了部分内容,把数据安全的定义宽泛化,分化到不同的环节,更具科学性,并形成了独立的 移动安全模块 ,对移动安全有了进一步的描述。

除了等级保护,我们最近比较关注的关键信息基础设施也成为时代的明星,关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。近年来,数字化、网络化、智能化深入发展,既对维护网络安全提出了更多挑战,也对加强关键信息基础设施建设提出了更高要求。同时配合等级保护的要求,定性为关键基础设施的系统一定为三级,数据安全是关键信息基础设施的重要一环,关键信息基础设施要求的提出,对于网络信息安全企业要提高政治站位、顺应时代趋势、把握发展规律、履行责任担当,不断提升以5G为代表的新一代信息基础设施的建设和服务能力,更好地为实体经济实现数字化、网络化、智能化转型升级贡献力量。

加强网络安全防护水平 ,提高网络安全防护意识。近年来,国家不断加大投入,从2017年陆续出台了《网络安全法》《数据安全法》《密码法》《个人信息保护法》等,结合之前的《刑法》以及《民法典》,数据安全以不同形式在人民心中逐渐树立形象,深化到不同的领域、行业及地区。面对不断变化的安全形势,需加快网络安全、数据安全的新航线新征程布局,推进数字产业化和产业数字化。在完成数字中国的征程中,数据是基础,数据安全是堡垒,加强堡垒,保护好基础,需要数据安全这条“大动脉”不断创新,发光发热。

强化自主可控,加快自身基础研发 。网络成为当下和未来的新战场,以当前的国际形势、国家现状及发展形势,如果没有自己的网络,没有自主可控的安全保障,那必定成为板上钉、俎上肉。没有网络主权,何谈数据安全,切实推动技术融合、业务融合、数据融合,不断提高基础研发水平。

突破技术壁垒,筑牢网络长城 。近年来,数据安全的话题不断发酵,各种网络安全的问题不断升级,各类不可预知的风险层出不穷,电信诈骗、个人隐私、云原生安全、AI黑产等不断融入生活,带来了新的便利和安全问题,我们要分析数据,技术优先,把安全风险较低到最小、最优化,照顾好“大动脉”的每个环节。网络安全是发展的动力和保障,发展是网络安全的基础和目的。数据是网络安全保护的核心,保护好数据,确保数据安全“大动脉”不动摇,我们需要不断推进,不断更新,奋进新时代,践行好网络安全为人民的理念,造福社会、造福人民。

为了坚定不移贯彻总体国家安全观,响应政策法律要求,进一步推动数据安全建设,保障企业数据安全,我司监管合规咨询部特推出 数据安全咨询服务 ,该服务包括数据安全治理体系设计、数据安全风险评估、数据出境安全评估、个人信息保护咨询服务、数据安全认证评估咨询、应用系统数据安全管控咨询服务、数据安全专项检查服务、数据分类分级咨询服务、数据安全应急响应服务、数据安全专业培训服务共计 10大服务类别 ,涉及 23项具体安全服务 ,涵盖数据安全管理、技术、人员、数据处理活动四个维度,以数据安全监管合规为底线,技术防护为核心,数据安全流转为目标,为企业客户提供专业的咨询服务。

3、网安标委发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》

网安标委发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》

日前,为指导大型互联网平台评估发现和防范影响或者可能影响社会稳定、公共利益的网络安全风险,提升平台安全水平,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——大型互联网平台网络安全评估指南》。

网安标委发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》

《指南》从影响或者可能影响社会稳定和公共利益的角度,提出了对大型互联网平台开展网络安全评估的内容和方法,适用于对大型互联网平台开展网络安全评估活动。

《指南》提出,大型互联网平台开展网络安全]评估需要首先设立网络安全评估工作组。其中,工作组由平台主要负责人直接领导,工作组在其领导下制定管理制度和工作程序,工作组各项具体工作由平台主要负责人指定的牵头人组织推动,牵头人需是平台高级管理人员。

《指南》同时对评估工作组的工作内容做了明确划分,要求工作组根据各项业务发生网络安全问题时对社会稳定、公共利益的影响程度,识别核心业务范围,明确网络安全评估范围、组织开展年度网络安全评估、研究制定重要事项网络安全评估工作方案并组织开展相关评估工作。

最终,工作组需根据网络安全评估中发现的安全问题组织开展整改。针对大型互联网平台评估内容方面,《指南》要求工作组从核心业务连续性风险、灾难恢复能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护等七个方面展开。

如果工作组在评估过程中,未发现安全问题与安全风险时,需要记录评估情况,保留相关材料。一旦发现安全问题或安全风险时,需要记录评估情况,并及时组织分析研判,并根据研判结果对发现的问题和风险进行整改,记录整改情况或未整改原因,对突出问题、风险按照有关部门要求上报。

4、筑牢数据安全防线 加强跨境数据流动治理

筑牢数据安全防线 加强跨境数据流动治理

在数字产业化和产业数字化持续深化的背景下,数据与传统生产要素的深度融合,成为数字时代推动高质量发展的强劲动力。

党的十八大以来,党中央、国务院对数据治理工作给予高度重视,相继出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《数据出境安全评估办法》以及《促进和规范数据跨境流动规定》等一系列法律和规定,为跨境数据流动提供了明确的法律遵循和规则指引。

筑牢数据安全防线 加强跨境数据流动治理

明晰数据权属,完善交易规则。目前,世界各国都存在数据要素权属关系不明确、数据交易规则不完备、数据要素利用不足等问题,制约了跨境数据流动的效率。跨境数据流动涉及的数据类型繁多,且各类数据在性质、用途和风险上有着显著差异,亟待依据数据类别制定更为精准、精细的规则体系。

完善治理体系,提升监管效能。跨境数据流动治理作为一项系统工程,与数据产业发展、数据安全保障、电子政务等领域的工作紧密相关。因此,必须构建高效协同的跨境数据流动治理体系,不断提升跨境数据监管效能。

深化国际合作,促进全球协同治理。随着跨境数据流动的日益频繁以及各国相互联系、相互依存程度的空前加深,数据治理逐渐成为具有全球性的复杂议题,并且易与其他全球性问题相互交织。

5、弱口令,高风险,速修改!

弱口令,高风险,速修改!

生活在数字化时代,网络已成为日常工作学习生活中不可或缺的重要部分,我们在不同的网站注册账号、设置密码,搭建虚拟世界中的私人空间。但如果密码过于简单,如连续数字、电话号码、姓名生日等组合形成的“弱口令”,不仅极易被猜中或破解,还有可能遭到境外黑客攻击,成为网络安全防护中最薄弱的突破口。弱口令的风险不止是造成个人隐私的泄露,更有甚者,会给一些重点涉密部门带来泄密风险。

弱口令,高风险,速修改!

现身境外论坛的内部数据

国家安全机关工作发现,在某境外论坛上出现我国某企业的内部数据,数据内容包含该企业多个合作客户姓名、身份证号、家庭住址以及手机号码等个人隐私信息,如落入不法分子手中将造成严重安全隐患。经核查,该数据之所以被窃取,是因为企业网络管理员在开展运维测试后,未及时删除测试账号,而该账号恰好具备管理员权限且口令极易猜解,为“admin+连续数字”,成为该企业信息安全维护的一大漏洞,一些客户的数据由此泄露。

频频异地登录的电子邮箱

某单位在其官方网站公布对外电子邮箱账号用于联络收信,为方便查阅历史邮件,该单位工作人员将所有邮件及附件长期存储于邮箱云空间,未定期进行清理。近期频繁出现异地登录告警,该单位随即向当地国家安全机关反映异常情况。

国家安全机关核查发现,该邮箱为单位公用邮箱,为方便工作人员使用,登录密码为单位对外办公的固话号码且长期未修改,导致邮箱密码被境外黑客猜解,进而邮件数据被窃取。

自动切换视角的监控摄像

某跨境物流公司位于我沿海港口,园区内装有大量摄像头用于监控物流运转情况。该公司员工小李发现,在午休及夜间,摄像头时常自动旋转,寻找并聚焦至停靠、出港的有关船只。小李立即向公司领导汇报,公司同时将此情况向当地国家安全机关报告。

国家安全机关上门查验发现,该公司监控系统的管理员账号密码为出厂默认的弱口令密码,数月前境外黑客开展密码“撞库”攻击,成功登录监控系统,获取了监控系统操控摄像头权限。境外黑客通过高清摄像头监控目标海域情况,给我国家安全带来风险隐患。

弱口令,高风险,速修改!

国家安全机关提示

数字化时代,有关单位和个人应提高信息安全意识,履行网络安全义务,增强网络防护,避免使用弱口令,防止数据被窃取、泄露,影响国家安全。

使用复杂密码: 设置密码长度至少为8位,宜同时包含大小写字母、数字、特殊字符,提高密码的复杂度,不使用设备或账户初始密码及常见的弱口令密码。

定期更改密码: 设置复杂密码后,并非一劳永逸,随着时间的推移,密码仍存在被破译的可能性。重要网络信息系统应定期(至少3个月内)进行密码更改,同时要避免数套密码轮换修改。

避免密码串用: 在不同平台及系统避免使用相同的密码,防止一个密码泄露后其他系统被“撞库”攻击连带攻破,导致泄密面进一步扩大。

定期检查账户状态: 计算机系统及网络账户通常具备安全审计功能,可查询历史异常记录,定期检查日志,及时发现账户异常行为,防止因密码泄露导致内部数据、信息被持续窃取。

加强技术防范措施: 反间谍安全防范重点单位应当按照反间谍技术防范的要求和标准,采取相应的技术措施和其他必要措施,加强对要害部门部位、网络设施、信息系统的反间谍技术防范。

(文章来源:国家安全部)