网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

解读：本条款明确了网络运营者除了要依法外，还要依照国家标准，在国家标准中分为强制性要求和推荐性要求，这里特别强调的是要依照强制性要求执行。同时强调了网络数据的完整性、保密性和可用性。

【第21条】 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

解读：本条规定了网络运营者必须履行的义务之一。和“等级安全保护制度”相关。重点在于：

1)确定网络安全责任人，以落实保护责任。这里需要注意的是作为责任人，相应的承担着法律责任。

2)技术层面需要采取防病毒、入侵检测等手段保护网络安全。(建议采用专门的网络安全产品：云盾、WAF等)

3)采用数据库审计、网络审计等手段，采集并记录、分析日志，日志留存不少于六个月。(建议采用专门的安全审计产品：数据库监控与审计系统、网络日志审计系统)

4)在数据安全方面，再次强调了数据分类和数据加密;数据分类的重点是能够帮助责任人自动的识别发现系统中的个人敏感信息和行业敏感信息，和这些信息存储的位置、数据库表和字段，以确定需要保护的内容;数据加密则一直以来就是个难点，其中的关键是在满足保密性的同时还要满足可用性，比较理想的技术手段是“透明数据加密(TDE)”。(建议采用专门的数据加密产品：数据库透明加解密(TDE)系统)

特别提醒网络运营者和安全责任人：不履行本条义务的，要承担法律责任(违法啦)

适用法律责任：【第五十九条】

【第24条】 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

解读：本条规定了网络运营者必须履行的义务之一，核心是实名制，通过实名制最大程度的实现信息真实化、可靠化，可以说是国家网络安全的一个重要基础。本条在电信用户实名制基础上,规定了信息发布、即时通讯等服务的实名制要求，而为了不影响用户的隐私，这里的实名指的是“前台匿名，后台实名”(很人性化，充分显示了对个人隐私保护的决心)。

另一方面，实名制也是一把双刃剑，对于网络运营者来说，一旦收集的个人信息发生大批量的泄漏，将产生无法预期的数据安全风险;因此，在本网络安全法中的“网络信息安全”章节相应的规定了“网络运营者对个人信息保护的责任”条款，强化了个人信息保护，这里有义务提醒网络运营者请务必关注本篇后面的“网络信息安全条款和法律责任解读”。

特别提醒网络运营者和安全责任人：不履行本条第一款规定的，要承担法律责任(违法啦)

适用法律责任：【第六十一条】

【第25条】 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

解读：本条规定了网络运营者必须履行的义务之一，核心是应急预案和应急处置、应急响应。

建议网络运营者，通过部署网站和系统漏洞监测、扫描类的产品或服务，及时的发现漏洞，并在第一时间通过升级补丁或完善应用系统来补救。(建议采用专门的网络安全产品：网站漏洞监测、漏洞扫描等)

特别提醒网络运营者和安全责任人：不履行本条义务的，要承担法律责任(违法啦)

适用法律责任：【第五十九条】

【第28条】 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。