《网络安全法－百问百答》读后备忘

政府监管部门

1. 地市、县两级建立网络安全专门工作机构，明确网络安全负责人

• 政府部门安全岗位缺失

2. 县及以上负责️ 监测️ 分析、预警 ️ 风险预警

• 利好 fofa 类监控系统，可能未来每个地市都会有类似需求舆情监控、本地目标网站监控，也为后续约谈网络运营者提供技术支撑

关键基础设施范围：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务《关键信息基础设施安全保护条例》

1. 设置专门安全管理机构和安全管理负责人，并进行安全背景审查

• 行业部门安全岗位缺失

2. 安全人员定期教育、培训、考核

• 利好安全教育，尤其具有考核能力的安全教育公司。例如：i 春秋，嘿嘿

• 两方面教育 安全意识和安全技能

• 意识例如：弱口令、不会用安全模块、管理不规范等

3. 每年必须进行至少一次检测评估

• 利好安全服务公司，无论传统（启明）以及新型（知道创宇），只要有资质，感觉类似保密检查。

4. 重要系统和数据库容灾备份

• 恢复标准主要参考GB/T 20988-2007 《信息安全技术 信息系统灾难恢复规范》

5. 安全应急响应参照《国家网络安全事件应急预案》即可

6. 网络安全审查参考《网络产品和服务安全审查办法》

• 强制安全审查，未审查被检查出来罚款。

• 《关键信息基础设施抽查检测规范和指南》未出台

教育与培训《关于加强网络安全学科建设和人才培养意见》

1. 支持校企合作育人、协同创新

2. 加强网络安全从业人员在职培训

• 均利好安全教育，包括学校、地方、以及企事业单位

网络安全专用产品《网络关键设备和网络安全专用产品目录（第一批）》

• 按逻辑来讲利好传统设备企业，但是好像关于这个目录好像之前就有，只不过本次着重强调而已

网络运营者

1. 保存记录网络运行和安全状况、网络行为等日志文件不少于6个月，不包括个人终端上的日志文件

• 按逻辑来讲就是web日志，防护、监控设备日志，服务器系统日志这样即方面。

• 如果有用户交互的内容还有可能会需求用户登陆日志等信息，这个不太确定。

2. 用户实名制问题，在需要提供发布信息，技术通讯服务情况下才需要

• 手机身份认证即可，一般网站不需要身份证等实名认证

• 前台匿名，后台实名。手机之类敏感信息不要在前台显示

• 也就是说新闻类网站不需要留言等功能不需要实名认证，需要认证也可以通过微博微信等三方认证方式，因为可以确认这些三方原本已经实名认证。（这是我的想法）

3. 安全应急响应参照《国家网络安全事件应急预案》即可

4. 企业支持国家－需要查什么有法可以查就是了

安全从业者或公司

1. 不能夸大危害和影响

• 就类似一个特殊版本幸好的本地替换漏洞，不能上来就说“重大漏洞，会影响百分之99的服务器”这个样子啦。

2. 安全事件分级

• 与上一个工作类似，属于定漏洞标准分级，这样就不会夸大影响了。

• 参考GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》

其他例如个人隐私保护，以及运营者需要遵循规则删除个人信息，就不做记录了，因为实际上这些内容短时间内不会是重要痛点。