网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　非关键信息系统产品采购需要符合国家资格的机构安全认证合格或安全检测符合要求。比如说像目前的公安部颁发的安全产品销售许可证是最基本的产品认证要求。

　　第二十一条中明确指出用户网络需要采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;

　　这里需要关注的是必须保留网络日志不少于六个月，对不同数据的重要性需要加密和备份。对于这个要求，一些客户单位执行的并不是很到位。

　　第三十三条规定了关键信息网络需要考虑业务持续问题，防止单点故障的解决方案必须采用。

　　两地三中心到分布式多活的异地多活技术将受到更广泛行业的需求。同时这也是对设备厂商的稳定性、使用年限、成熟度都提出更高的要求。

　　第三十五条规定关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。这条笔者理解，在最终采购决策上，法律会做出解释，但设备国产化或者会有优先权。

　　建议客户在关键信息基础设施领域，尤其是可能影响到国家安全的问题上，尽早淘汰国外产品，既然写入了法律规定就不是建议或指引了。在第六十五条对违反的单位和负责人将处以重罚，并可责令停止使用。

　　第二十五和第三十四条要求网络运营者需要制定安全事件应急预案(点赞)。建议用户与安全运维专业团队保持紧密联系以确保应急预案的完善和到位。

　　第二十四条规定网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

　　这里要重点关注对于一些ICP提供用户信息发布、即时通讯等服务时候需要有足够的技术手段来保证用户真实身份。这里需要着重注意，目前技术和业务模式尚不能很好的解决这个问题，即便是在新用户注册的时候采用手机认证，也存在不少的漏洞。

　　第三十八条规定关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

　　这里规定了安全评估的必须性。

　　三、个人信息使用要明示 高压线不能碰

　　本法用不少篇幅的条文来规定网络产品、服务提供商对用户信息资料的收集和使用。

　　第二十二条 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;涉及公民个人信息的，应当遵守本法和有关法律、行政法规关于公民个人信息保护的规定。

　　第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者收集、使用个人信息，应当公开其收集、使用规则。网络运营者应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

　　第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息;网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

　　第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

　　第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。