我国首部网络安全法6月1日实施

6月1日，《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施，未来它将对我们的生活有什么影响？它将怎样保障信息安全、网络安全？为此，昨日记者采访了石家庄市公安局相关业内人士，就《网络安全法》实施后与群众生活密切相关的方面进行了梳理。

假借“提供低价奶源” 电信诈骗15万元

日前，记者从藁城区获悉，当地刑警三中队破获一起电信诈骗案，假借“提供低价奶源”，通过QQ、微信进行电信诈骗的犯罪嫌疑人杨某冬(男，27岁，内蒙古通辽市人)被抓获归案。

藁城区奶制品经销商高某某报警称，一名自称“冬冬”的网友以帮其联系便宜奶源为由，分多次骗取其人民币共计154800元。接警后，藁城区刑侦三中队民警一方面对高某某的银行交易记录进行调查，另一方经过侦查及细致研判，先后发现有多人均对网友“东东”进行相同内容举报。民警通过综合研判最终确定杨某冬为此案的犯罪嫌疑人。随后，藁城警方在藁城区西城街一宾馆内将杨某冬抓获归案。

经讯问得知，犯罪嫌疑人杨某冬，曾经在内蒙古某奶业做过河北区域销售员，后被辞退。无业在家的杨某冬遂打起了歪主意，因之前工作上的便利，他取得了奶业在河北省部分代理商的QQ、微信等联系方式，随后其冒充奶业销售人员，以“提供低价奶源”为借口，在网上多次实施诈骗。犯罪嫌疑人杨某冬目前已被刑事拘留。

“新法”专治电信诈骗社会痛点

昨日，记者就新实施的《网络安全法》采访了石家庄市公安局相关部门的负责人。针对以上案例，这位业内人士表示，电信诈骗案主要是通过电话、QQ、微信和短信的方式实施。此类犯罪在传统的作案手法上利用网络空间，手段不断翻新，诈骗者往往利用人们趋利避害、爱贪便宜的心理，采取广撒网、多捞鱼、重点培养、个个击破的手段进行诈骗，犯罪嫌疑人反侦查能力强，有的异地作案，不易打击。

《网络安全法》第四十六条规定：任何个人和组织不得设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

以上条款中，提及的网站和通讯群组常被用于钓鱼诈骗和电信诈骗。目前网络钓鱼的主要手段是通过伪造网站的方式。为了传播伪造的地址，通常会有几种方式：利用电子邮件传播，以虚假信息引诱用户中圈套，多以中奖、顾问、对账、密码找回等理由，要求用户输入密码，进行购物或转账；利用社交传播，这种信息通常发布在论坛、贴吧，朋友圈，聊天群，多以色情信息、快速赚钱等理由，骗取银行账号密码，然后实施诈骗。今后，类似杨某冬这样的犯罪嫌疑人，《网络安全法》将对其产生震慑效果。

“网络实名制”专治网民“胡言乱语”

近日，李xx(男，38岁，正定县诸福屯街道办事处朱河村人，微信昵称“一切随缘”)在微信群中散布“正定13名男女感染猪病毒死亡”的不实消息，造成不明真相群众的恐慌，影响恶劣。5月24日晚，正定县公安局将其抓获。经询问，李xx如实交代了其在微信群中散布“正定13名男女感染猪病毒死亡”的不实消息。李xx因违反《中华人民共和国治安管理处罚法》二十五条第一项虚构事实扰乱公共秩序，对其处以行政拘留10日的处罚。

近几年，由于网络的普及，网民在网上会经常见到某网友针对某一热点事件发表各种看法，甚至传播谣言等情况。

虽然网络是虚拟的，但使用网络的人是真实的。喜欢在网上“胡言乱语”的人，这回可得注意了。

《网络安全法》以法律的形式对“网络实名制”作出规定：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者将不会为其提供相关服务。这为预防和打击网络犯罪活动提供了有力保障。

个人信息受保护，专打“内鬼”

陈先生的汽车再有一个月保险就到期了，这些天，有不同保险公司的业务员来电，直呼其名，热情推销保险；刘女士怀孕刚6个月，每天就有月嫂公司频繁来电，亲热准确地喊出她的名字；张先生的女儿下学期该上初二，暑假补课班、外语培训班能准确说出他家的住址……想必很多市民都有这样的遭遇，且遭遇此事时都有一个疑惑：他们是怎么知道我的个人信息的。

《网络安全法》第四十四条规定：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

目前，非法获取的公民个人信息已经从简单的身份信息、电话号码、家庭住址等，扩展到手机通讯录和手机短信、网络账号和密码、住宿记录等，受侵害的人员涉及各行各业，立法保护个人信息已刻不容缓。

《网络安全法》第四十三条规定：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。网络运营者应当采取措施予以删除或者更正。

各类网络诈骗，尤其是精准诈骗源头都是个人信息泄露。《网络安全法》特别规定了公民个人信息保护的基本法律制度。通过举报要求网络运营者及时删除被冒用的个人信息，是公民加强个人信息保护的有力武器。

《网络安全法》的正式实施，是我国第一部全面规范网络空间安全管理方面问题的基础性法律，其中重要的一方面，就是要打击、防止公民个人信息数据被非法获取、泄露或者非法使用。正在干这样勾当的行业“内鬼”们，要小心了，只要是有偿出售个人信息，达到一定的数额，今后将会是重点打击对象。

微博、微信被戴上“紧箍咒”

据石家庄市网信办一位同志介绍，6月1日，同样是聚焦网络的《互联网新闻信息服务管理规定》、《网络产品和服务安全审查办法(试行)》也正式施行。这些法律法规对微博、微信、论坛、网络直播等都戴上了“紧箍咒”。

其中，《互联网新闻信息服务管理规定》(以下简称《规定》)自6月1日起施行。《规定》提出，通过互联网站、应用程序、论坛、博客、微博、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务，应当取得互联网新闻信息服务许可，禁止未经许可或超越许可范围开展互联网新闻信息服务活动。

《规定》与《网络安全法》一同生效，同时在具体内容中特别明确和强调了国家和地方互联网信息办公室的执法权，充分体现了《规定》是我国网络基本法——《网络安全法》在互联网内容管理领域的落地与细化，为网信部门依法对网络新闻信息内容进行管理提供了有力支撑。

《网络安全法》今起施行，昨日，国家网信办网络安全协调局负责人就相关问题回答记者提问。针对“《网络安全法》会制造贸易壁垒”的担忧，负责人明确表示，制定和实施《网络安全法》，不是要限制国外企业、技术、产品进入中国市场，不是要限制数据依法有序自由流动。

不会限制数据依法有序自由流动

近期有外国协会和机构建议推迟实施《网络安全法》，担心《网络安全法》会制造贸易壁垒、限制国外企业和技术产品进入中国市场，对此，负责人表示，借鉴国际通行做法，根据本国国情，制定相关法律、行政法规，并依法对网络进行管理，完全是各国主权范围内的事情。

制定和实施《网络安全法》，其目的是要维护国家网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的权益，而不是要限制国外企业、技术、产品进入中国市场，不是要限制数据依法有序自由流动。

数据境内留存并非限制国际贸易

《网络安全法》规定关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储。这种规定会不会限制数据跨境流动，影响国际贸易？

负责人表示，这是对关键信息基础设施运营者提出的要求，而不是对所有网络运营者的要求。此外，只限于个人信息和重要数据，重要数据是对国家而言，而不是针对企业和个人。对于确需出境的数据，法律作了制度上的安排，经过安全评估认为不会危害国家安全和社会公共利益的，可以出境。经个人信息主体同意的，个人信息可以出境。特别要说明的是，拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为，视为已经个人信息主体同意。

《网络安全法》关于数据境内留存和出境评估的规定，不是要阻止数据跨境流动，更不是要限制国际贸易。当今数据跨境流动已经成为经济全球化的前提，是推进“一带一路”建设的必要条件，中国愿同各国就此问题开展交流合作，共同促进数据依法有序自由跨境流动，充分保障个人信息安全和国家网络安全。

“停止传输”不涉及个人通信信息

《网络安全法》规定，“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息”。有质疑声音称，这是否会侵害个人隐私，妨碍网上言论自由？

负责人表示，中国加强互联网管理过程中，充分保障人权和言论自由，充分尊重广大人民群众的知情权、参与权、表达权和监督权。同时，也强调任何人、任何机构都应该对自己在网上的言行负责，个人的自由不应以损害他人的自由和社会公共利益为代价。

这条规定有两点理解：一是针对的是用户公开发布的信息，而不是个人通信信息，不会损害个人隐私。二是要求停止传输的是违法信息，不存在妨碍言论自由问题。北京晨报记者 张璐

中新网6月1日电 网络安全法将加强个人信息保护、微博等未经许可不得提供新闻信息服务、非法获取出售公民个人信息超50条将入罪、民用无人机拥有者须实名网络登记……6月1日起，一批新规将影响我们的生活。

中新社记者 陈骥旻 摄

网络安全法加强个人信息保护

《中华人民共和国网络安全法》自6月1日起施行，这是中国网络领域的基础性法律，明确加强了对个人信息的保护，打击网络诈骗。网络安全法共有7章79条，其中针对个人信息泄露问题规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

微博等未经许可不得提供新闻信息服务

《互联网新闻信息服务管理规定》自6月1日起施行。规定提出，通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务，应当取得互联网新闻信息服务许可，禁止未经许可或超越许可范围开展互联网新闻信息服务活动。

互联网信息内容管理部门执法人员应取得执法证

《互联网信息内容管理行政执法程序规定》自6月1日起施行。《规定》对互联网信息内容管理部门的执法程序作出详细规定和说明。《规定》明确，执法人员应当参加相关的法律知识和业务知识培训，并经行政执法资格考试或者考核合格，取得执法证后才能从事执法工作。行政处罚由违法行为发生地的互联网信息内容管理部门管辖。在调查取证时，执法人员不能少于两人，并应当出示执法证。

关系国家安全重要网络产品应经网络安全审查

《网络产品和服务安全审查办法(试行)》自6月1日起施行。《办法》旨在提高网络产品和服务安全可控水平，防范网络安全风险，维护国家安全。《办法》指出，关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。

中新社记者 陈文 摄

民用无人机拥有者须实名网络登记

《民用无人驾驶航空器实名制登记管理规定》自6月1日起施行。规定指出，民用无人机的拥有者须按要求进行实名网络登记。登记后，拥有者将收到包含登记号和二维码的登记标志图片，拥有者必须确保无人机每次运行期间，均保持登记标志附着其上。

资产评估投诉 15日内书面决定是否受理

《资产评估行业财政监督管理办法》6月1日施行。《办法》规定，资产评估委托人或资产评估报告使用人对资产评估机构或资产评估专业人员的违法开展法定资产评估业务等行为，可以向对该资产评估机构备案的省级财政部门进行投诉、举报，其他公民、法人或其他组织可以向对该资产评估机构备案的省级财政部门举报。财政部门接到投诉、举报的事项，应当在15个工作日内作出是否受理的书面决定。不予受理的，应当说明理由，及时告知实名投诉人、举报人。

新修订《农药管理条例》鼓励逐步减少农药使用量

新修订的《农药管理条例》6月1日起施行。《条例》规定，实行农药生产许可制度，明确农药生产企业应当具备的条件，并规定由省级农业部门核发农药生产许可证，实行农药经营许可制度，对高毒等限制使用农药实行定点经营制度。《条例》还规定，剧毒、高毒农药不得用于蔬菜、瓜果、茶叶、菌类、中草药材的生产。通过推广生物防治、物理防治、先进施药器械等措施，逐步减少农药使用量，对实施农药减量计划、自愿减少农药使用量的给予鼓励和扶持。

非法获取、出售公民个人信息超50条将入罪

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》6月1日起施行。司法解释明确，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法规定的“提供公民个人信息”。司法解释明确，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人信息五十条以上的，即构成犯罪，处三年以下有期徒刑或者拘役，并处或者单处罚金。

水利水电工程建设征地补偿出新规

《国务院关于修改〈大中型水利水电工程建设征地补偿和移民安置条例〉的决定》自6月1日起施行。《决定》将《条例》第二十二条修改为：“大中型水利水电工程建设征收土地的土地补偿费和安置补助费，实行与铁路等基础设施项目用地同等补偿标准，按照被征收土地所在省、自治区、直辖市规定的标准执行。”

“永恒之蓝”勒索病毒感染事件刚刚过去，社会各界对网络安全的关注仍在持续。我国首部网络安全的专门性综合性立法《网络安全法》将于6月1日正式实施，这意味着我国对网络安全的重视和保护已上升至前所未有的高度。

《经济参考报》记者了解到，在此次勒索病毒感染事件中，国内多个关键信息基础设施领域的企事业单位“中招”，只有国内金融企事业单位鲜受到波及。业内人士表示，此次事件给我国关键信息基础设施行业敲响了警钟。《网络安全法》将为这些关键行业的网络安全防控搭建法律框架，并引导和强化这些行业平时就加强对网络安全和可能存在的风险的关注。

威胁 关键行业网络安全警钟再鸣

5月12日晚，全球爆发“永恒之蓝”勒索病毒感染事件，近100多个国家受到感染。此次病毒感染事件突发性强、波及面广，在全球范围内引起巨大恐慌。业内人士表示，此次事件给我国网络信息安全尤其是我国关键信息基础设施行业的网络信息安全敲响警钟。

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，这一领域长期以来就是黑客攻击的重点目标。360威胁情报中心统计数据显示，长期以来，按照机构内设备感染专用木马的数量统计，企业是第一大疑似黑客攻击目标，占比为35.2%。在针对企业的攻击中，攻击者重点关注的领域依次是：通信网络、电子电器、海洋与港口、能源化工、交通运输、航空航天和网络安全，疑似攻击目标的企业以网络运维、工程建设和制造业企业居多。

此次勒索病毒感染事件中，沦陷的企业也多来自于这一领域。据360威胁情报中心监测，我国至少有29372个机构IP遭到攻击，覆盖了我国几乎所有地区，多个政府办事终端及公共服务系统无法正常使用，部分工业设施也“中招”，遍布能源、交通、医疗、教育科研等各大领域。

在诸多关键行业中，金融行业几乎未受此次勒索病毒感染事件波及。《经济参考报》记者了解到，国家信息技术安全研究中心网络金融安全分析室对国内500强金融机构的14573个IP进行了检测，经远程监测、检测、应急响应、数据综合研判以及与360威胁情报中心联动，未发现被检测的金融机构感染“永恒之蓝”勒索病毒案例。

中国人民银行金融信息中心相关负责人也告诉《经济参考报》记者，5月13日凌晨以来实施的组合应急处置措施取得明显效果，至5月15日18时全行计算机正常开机，未发生一例受感染事件，网络和信息系统运行平稳，办公秩序未受到影响。

目前“永恒之蓝”勒索病毒感染事件已经平息。不过，5月24号，国外安全专家又发现了另一种病毒——“永恒之石”开始传播。这种比“永恒之蓝”更加复杂的病毒，利用了NSA（美国国家安全局）泄露的七个漏洞利用工具。据了解，目前“永恒之石”在国内已经有少量感染，还未出现大规模爆发的情况。

“面对‘永恒之蓝’病毒突发事件，网络安全界普遍认为勒索病毒的爆发不是第一次，更不是最后一次，各类新型病毒及变种病毒将以更加隐蔽的方式进行传播，我们不能掉以轻心。”国家信息技术安全研究中心相关负责人表示。

升级 法律重器祭出 护航网络安全

即将于6月1日起正式实施的《网络安全法》被业内人士认为具有里程碑的意义。《网络安全法》是我国第一部网络安全的专门性综合性立法，提出了应对网络安全挑战这一全球性问题的中国方案。

全国人大常委会法工委经济法室副主任杨合庆表示，中国是一个网络大国，也是面临网络安全威胁最严重的国家之一，迫切需要建立和完善网络安全的法律制度，提高全社会的网络安全意识和网络安全的保护水平，使我们的网络更加安全、更加开放、更加便利，也更加充满活力。

值得注意的是，《网络安全法》第三章专门针对关键信息基础设施的运行安全提出了具体要求，这也表明我国对关键信息基础设施安全保护上升至前所未有的高度。《网络安全法》规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

中国信息通信研究院杜霖则表示，关键信息基础设施的安全保护已上升至国家战略高度，与其配套的法规办法等也需进一步制定与完善。他建议，应尽快出台国家关键信息基础设施安全保护条例，作为承上启下的基本行政法规，对上承接网络安全法并将法案中对关键信息基础设施提出的安全保护要求落地，对下统领金融、能源、电力、通信、交通等重要行业的安全保护工作，将更多的操作性制度进行规范和明确。

防护 “风控前置”才可扫除安全盲区

据悉，《网络安全法》特别提出，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

《经济参考报》记者在采访中了解到，此次病毒在部分国内关键行业中快速蔓延的主要原因之一，就是由于部分单位网络安全意识淡薄，平时对于风险的评估和准备明显不足。360企业安全公司一线应急响应处置的100余家机构抽样统计表明，超过一半的单位近一年内未对系统进行过全面风险评估及定期补丁更新工作。此外，所有受影响的主机均未在近三个月内做过补丁升级操作，也未部署终端安全监控与处置工具。业内人士分析称，安全工作存在的盲区为大规模网络安全事件的爆发提供了可乘之机。

而未受感染的行业和企业几乎都是进行了风控前置。中国人民银行金融信息中心连续多年开展重要信息系统等级保护测评和安全检查，探索形成内外部技术资源相结合的互联网应急处置协同工作机制，确保快速落实一系列应急措施，如切断病毒传播的可能渠道，在网络层、客户端层封堵危险端口；实施病毒防护，启用勒索病毒及其若干变种的黑名单防护机制，及时更新病毒定义码；提升源头免疫能力，第一时间自动分发并确认打齐微软操作系统补丁；实施域名内部牵引，避免极端情况下受感染终端的不良后果等。

中国建设银行信息技术管理部资深高级经理郭汉利告诉记者，截至目前，建行全行未发生一起病毒感染事件，各信息系统运行稳定，各业务正常开展。“除了在第一时间组织安全技术团队开展应急措施之外，更重要的是，很多工作都是平时做的。”他表示，实际上，微软在今年3月就发布了此次病毒攻击所利用系统漏洞的补丁，4月初建行就通过终端安全客户端向全行办公终端推送了该补丁。在4月14日网络黑客组织宣布泄露NSA黑客工具后，又立刻部署防控工作，排查、封禁高危端口。

业内人士也表示，除了风控前置外，在进行风险评估时，“网络隔离是解决网络安全问题最有效的方式”这一看法也需要转变。一位网络安全业内人士对记者坦言，有些单位信息安全工作人员仍旧简单地以为，只要隔离就能安全解决问题。但事件证明，隔离不是万能的，内网不是安全的避风港，没有任何安全防护措施的内网一旦被突破，瞬间沦陷的危险更大。

证券时报讯：据经济参考报26日报道，“永恒之蓝”勒索病毒感染事件刚刚过去，社会各界对网络安全的关注仍在持续。我国首部网络安全的专门性综合性立法《网络安全法》将于6月1日正式实施，这意味着我国对网络安全的重视和保护已上升至前所未有的高度。

据了解，在此次勒索病毒感染事件中，国内多个关键信息基础设施领域的企事业单位“中招”，只有国内金融企事业单位鲜受到波及。业内人士表示，此次事件给我国关键信息基础设施行业敲响了警钟。《网络安全法》将为这些关键行业的网络安全防控搭建法律框架，并引导和强化这些行业平时就加强对网络安全和可能存在的风险的关注。

华安证券指出，长期以来，网络安全行业的投资受政策和偶发事件的驱动明显，但行业真实增长要看预算制定，归根到底决定于政府和企业对安全的重视程度。此次事件则对受到影响的相关部门及企业，甚至互联网个人用户都进行了网络安全意识的深刻教育。目前中国网络安全投入占IT投入的比重不到2%，未来政府、企业对网络安全防护需求将逐步提升。网络安全将迎来主题性投资机会。重点推荐：启明星辰（政府业务市占率超过60%）、绿盟科技（服务政府、电信运营商、金融、能源、互联网等领域企业级用户）、美亚柏科（公安业务比重高）、蓝盾股份（拥有教育和石油石化客户）等，关注卫士通、北信源。

东吴证券表示，目前Windows系统在全球的市场占有率超过90%，更是应用于国内的各大国家部门及企业，未来软硬件的安全可控将成为重点党政部门及重要行业企业的刚需；同时，网络安全行业有望迎来全新发展，尤其在数据安全防护领域，将极大受惠于重点党政事业单位的爆发性需求。建议关注网络安全领域：启明星辰、卫士通、南洋股份、美亚柏科、绿盟科技。自主可控国产替代领域：中国长城、中国软件、太极股份、东方通。产业链受益标的还包括北信源、任子行、蓝盾股份、天玑科技、同有科技等。

龙头概念股解析

1、绿盟科技（300369）：公司是我国最早从事网络安全的企业之一，自创立以来专注于信息安全领域，主要业务为信息安全产品的研发、生产、销售及提供专业安全服务。

2、卫士通（002268）：公司是国内最大密码产品供应商和特定敏感行业用户市场最大信息安全厂商，拥有完整信息安全产品研发、制造和检测试验体系，是国内规模最大的信息安全企业之一。

3、北信源（300352）：公司是一家拥有自主知识产权的信息安全企业。在终端安全管理产品、数据安全管理产品、安全管理平台产品及安全服务整体解决方案等方面形成多项核心技术。

4、蓝盾股份（300297）：公司专注于企业信息安全领域，构建了以信息安全为基础，覆盖信息安全集成和信息安全服务的完整业务体系。

5、美亚柏科（300188）：公司是国内领先的电子数据取证与安全产品服务提供商，主营业务包括电子数据取证产品和网络信息安全产品量大产品系列。

6、任子行（300311）：公司是国内领先的网络内容与行为审计和监管整体解决方案提供商。主要从事网络内容与行为审计和监管产品的研发、生产、销售并提供安全继承和安全审计相关服务。

“永恒之蓝”勒索病毒感染事件刚刚过去，社会各界对网络安全的关注仍在持续。我国首部网络安全的专门性综合性立法《网络安全法》将于6月1日正式实施，这意味着我国对网络安全的重视和保护已上升至前所未有的高度。

《经济参考报》记者了解到，在此次勒索病毒感染事件中，国内多个关键信息基础设施领域的企事业单位“中招”，只有国内金融企事业单位鲜受到波及。业内人士表示，此次事件给我国关键信息基础设施行业敲响了警钟。《网络安全法》将为这些关键行业的网络安全防控搭建法律框架，并引导和强化这些行业平时就加强对网络安全和可能存在的风险的关注。

威胁 关键行业网络安全警钟再鸣

5月12日晚，全球爆发“永恒之蓝”勒索病毒感染事件，近100多个国家受到感染。此次病毒感染事件突发性强、波及面广，在全球范围内引起巨大恐慌。业内人士表示，此次事件给我国网络信息安全尤其是我国关键信息基础设施行业的网络信息安全敲响警钟。

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，这一领域长期以来就是黑客攻击的重点目标。360威胁情报中心统计数据显示，长期以来，按照机构内设备感染专用木马的数量统计，企业是第一大疑似黑客攻击目标，占比为35.2%。在针对企业的攻击中，攻击者重点关注的领域依次是：通信网络、电子电器、海洋与港口、能源化工、交通运输、航空航天和网络安全，疑似攻击目标的企业以网络运维、工程建设和制造业企业居多。

此次勒索病毒感染事件中，沦陷的企业也多来自于这一领域。据360威胁情报中心监测，我国至少有29372个机构IP遭到攻击，覆盖了我国几乎所有地区，多个政府办事终端及公共服务系统无法正常使用，部分工业设施也“中招”，遍布能源、交通、医疗、教育科研等各大领域。

在诸多关键行业中，金融行业几乎未受此次勒索病毒感染事件波及。《经济参考报》记者了解到，国家信息技术安全研究中心网络金融安全分析室对国内500强金融机构的14573个IP进行了检测，经远程监测、检测、应急响应、数据综合研判以及与360威胁情报中心联动，未发现被检测的金融机构感染“永恒之蓝”勒索病毒案例。

中国人民银行金融信息中心相关负责人也告诉《经济参考报》记者，5月13日凌晨以来实施的组合应急处置措施取得明显效果，至5月15日18时全行计算机正常开机，未发生一例受感染事件，网络和信息系统运行平稳，办公秩序未受到影响。

目前“永恒之蓝”勒索病毒感染事件已经平息。不过，5月24号，国外安全专家又发现了另一种病毒——“永恒之石”开始传播。这种比“永恒之蓝”更加复杂的病毒，利用了NSA(美国国家安全局)泄露的七个漏洞利用工具。据了解，目前“永恒之石”在国内已经有少量感染，还未出现大规模爆发的情况。

“面对‘永恒之蓝’病毒突发事件，网络安全界普遍认为勒索病毒的爆发不是第一次，更不是最后一次，各类新型病毒及变种病毒将以更加隐蔽的方式进行传播，我们不能掉以轻心。”国家信息技术安全研究中心相关负责人表示。

升级 法律重器祭出 护航网络安全

即将于6月1日起正式实施的《网络安全法》被业内人士认为具有里程碑的意义。《网络安全法》是我国第一部网络安全的专门性综合性立法，提出了应对网络安全挑战这一全球性问题的中国方案。

全国人大常委会法工委经济法室副主任杨合庆表示，中国是一个网络大国，也是面临网络安全威胁最严重的国家之一，迫切需要建立和完善网络安全的法律制度，提高全社会的网络安全意识和网络安全的保护水平，使我们的网络更加安全、更加开放、更加便利，也更加充满活力。

值得注意的是，《网络安全法》第三章专门针对关键信息基础设施的运行安全提出了具体要求，这也表明我国对关键信息基础设施安全保护上升至前所未有的高度。《网络安全法》规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

中国信息通信研究院杜霖则表示，关键信息基础设施的安全保护已上升至国家战略高度，与其配套的法规办法等也需进一步制定与完善。他建议，应尽快出台国家关键信息基础设施安全保护条例，作为承上启下的基本行政法规，对上承接网络安全法并将法案中对关键信息基础设施提出的安全保护要求落地，对下统领金融、能源、电力、通信、交通等重要行业的安全保护工作，将更多的操作性制度进行规范和明确。

防护 “风控前置”才可扫除安全盲区

据悉，《网络安全法》特别提出，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

《经济参考报》记者在采访中了解到，此次病毒在部分国内关键行业中快速蔓延的主要原因之一，就是由于部分单位网络安全意识淡薄，平时对于风险的评估和准备明显不足。360企业安全公司一线应急响应处置的100余家机构抽样统计表明，超过一半的单位近一年内未对系统进行过全面风险评估及定期补丁更新工作。此外，所有受影响的主机均未在近三个月内做过补丁升级操作，也未部署终端安全监控与处置工具。业内人士分析称，安全工作存在的盲区为大规模网络安全事件的爆发提供了可乘之机。

而未受感染的行业和企业几乎都是进行了风控前置。中国人民银行金融信息中心连续多年开展重要信息系统等级保护测评和安全检查，探索形成内外部技术资源相结合的互联网应急处置协同工作机制，确保快速落实一系列应急措施，如切断病毒传播的可能渠道，在网络层、客户端层封堵危险端口；实施病毒防护，启用勒索病毒及其若干变种的黑名单防护机制，及时更新病毒定义码；提升源头免疫能力，第一时间自动分发并确认打齐微软操作系统补丁；实施域名内部牵引，避免极端情况下受感染终端的不良后果等。

中国建设银行信息技术管理部资深高级经理郭汉利告诉记者，截至目前，建行全行未发生一起病毒感染事件，各信息系统运行稳定，各业务正常开展。“除了在第一时间组织安全技术团队开展应急措施之外，更重要的是，很多工作都是平时做的。”他表示，实际上，微软在今年3月就发布了此次病毒攻击所利用系统漏洞的补丁，4月初建行就通过终端安全客户端向全行办公终端推送了该补丁。在4月14日网络黑客组织宣布泄露NSA黑客工具后，又立刻部署防控工作，排查、封禁高危端口。

业内人士也表示，除了风控前置外，在进行风险评估时，“网络隔离是解决网络安全问题最有效的方式”这一看法也需要转变。一位网络安全业内人士对记者坦言，有些单位信息安全工作人员仍旧简单地以为，只要隔离就能安全解决问题。但事件证明，隔离不是万能的，内网不是安全的避风港，没有任何安全防护措施的内网一旦被突破，瞬间沦陷的危险更大。

作者：北京邮电大学互联网治理与法律研究中心 谢永江

在一年前的2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上发表了重要讲话，为我国的网络安全和信息化事业的进一步发展架构了顶层设计，指明了前进方向。在习总书记重要讲话的指导下，这一年来我国在网络安全法治建设、网络治理能力、社会公众的网络安全意识等方面均取得了重大进展。

一年来，我国网络安全法治建设取得突破性进展。习总书记在讲话中指出，要加快网络立法进程，完善依法监管措施，化解网络风险。法律是保障网络空间秩序的重要基本手段，过去一年我国网络立法速度明显加快。2016年11月7日，十二届全国人大常委会第二十四次会议通过了《中华人民共和国网络安全法》，这是我国网络安全领域的第一部基础性法律，填补了法律空白。该法明确了维护网络空间主权和国家安全的立法宗旨，加强了网络运行、关键信息基础设施、网络数据、网络信息安全保障，明确了网络安全监管体制以及监测预警和应急处置制度，强化了网络安全法律责任，成为我国网络空间安全的重要保障。2017年3月15日第十二届全国人民代表大会第五次会议通过的《民法总则》明确对个人信息、数据、虚拟财产予以保护。此外，最高人民法院、最高人民检察院、公安部出台了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》等司法解释。国家互联网信息办公室、工信部、交通运输部、文化部、国家工商行政管理总局、国家食品药品监督管理总局、银监会等部门出台了多个规章，对互联网信息搜索、移动互联网应用程序、网络直播、网约车、网络表演、网络广告、移动智能终端应用软件、网络食品、电信诈骗、网络借贷等领域的网络重点问题及时依法进行规范和治理。未来，我国还将围绕《网络安全法》的实施陆续出台一系列配套法规规章，进一步完善我国网络安全法律体系。

一年来，我国网络治理取得显著实效。习总书记在讲话中指出，我国有7亿网民，这肯定需要管理，而且很复杂、很繁重；“企业要承担企业的责任，党和政府要承担党和政府的责任，哪一边都不能放弃自己的责任。”一年来，网信办、公安部等网络管理部门积极探索网络治理规律，提高网络治理成效，高效处理了“魏则西事件”“百度血友病贴吧事件”“徐玉玉案”、网络直播乱象等网络热点问题，确保了网络空间的风清气正。特别是在处理“魏则西事件”中，政府成立调查组后一周公布调查结果，一个月后国家互联网信息办公室出台《互联网信息搜索服务管理规定》，两个月后国家工商行政管理总局出台《互联网广告管理暂行办法》，可谓用“网络速度”解决网络问题，让网络热点事件迅速回归理性，充分展现了高效的网络治理水平。

一年来，网络安全意识越来越深入人心。过去的一年，国际网络安全事件不断，重大网络安全事件频发，给各国造成了巨大的损失。例如孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击，失窃8100万美元；美国遭史上最大规模DDoS攻击，东海岸网站集体瘫痪；雅虎曝史上最大规模信息泄露，5亿用户资料被窃；等等。而我国同样面临着巨大的网络安全威胁。习总书记在讲话中指出，“没有意识到风险是最大的风险。”“网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任。”一年来，政府主导，企业、社会组织、广大网民共同参与，共筑网络安全防线。在打击电信诈骗活动中，公安部门迅速侦破了徐玉玉案，抓捕了大量的境内外电信诈骗犯罪分子，不但遏制了电信诈骗势头的蔓延，还成为了普及网络安全知识的好教材。网络安全企业及时提供来电标注服务，利用技术手段有效地预防了电信诈骗。同时媒体也开展了大量的网络安全知识宣传，在微信群里不断转发的诈骗预防信息，体现了网民的网络安全意识的显著提高。

互联网的开放性必然伴随着风险性。互联网带来了数字红利的同时也带来了网络安全威胁。我们应当树立正确的网络安全观，不断提高网络安全法治保障水平和网络治理实践能力，增强网络安全防御能力和威慑能力，将网络安全风险控制在可接受的范围内，让网络更好为祖国、为人民、为我们伟大的社会主义事业服务。

习近平总书记指出，没有网络安全就没有国家安全。今年6月1日，《网络安全法》将正式施行，标志着网络空间治理、网络信息传播秩序规范、网络犯罪惩治等方面即将翻开崭新的一页，国家网络安全将拥有更为完善的法律基础和保障。网络安全标准化是网络安全保障体系建设的重要组成部分，在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》对于网络安全标准化工作也提出了更明确的要求。

一、进一步加强网络安全标准体系建设。《网络安全法》第十五条规定，国家建立和完善网络安全标准体系。根据国家标准委授予的职责范围，全国信息安全标准化技术委员会（TC260）承担着组织制定标准和持续完善国家信息安全标准体系的职责，多年来推动国家网络安全保障体系建设所需标准的制修订工作，初步形成了国家网络安全标准体系。中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》指出，建立统一权威的国家标准工作机制，全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批。因此，需要加强网络安全标准战略性、方向性、基础性的研究，既要突出重点，也要拓展覆盖面；既要统筹推进国家标准和行业标准制修订工作，也要适时引进国外有关标准，进而逐步建立起与《网络安全法》相配套的国家网络安全标准体系，以适应新形势对网络安全标准化工作的更高要求。

二、加强强制性国家标准的制定出台。《网络安全法》在多处强调了制定强制性国家标准的重要性。《网络安全法》第十条、第二十二条、第二十三条对建设、运营网络以及通过网络提供产品和服务的行为提出了遵循强制性标准的要求。当前我国已经出台的国家网络安全标准中，多数是推荐性标准，强制性国家标准很少。应根据《网络安全法》的要求和网络安全工作需要，从维护国家安全、用户利益出发，针对网络产品、服务等方面的安全底线要求制定更多的强制性国家网络安全标准，以更加有效地应对不断涌现的各种新的安全风险。

三、加快支撑《网络安全法》实施的推荐性标准制定。国家实施“全面依法治国”战略，这就要求网络安全工作要紧紧围绕《网络安全法》明确的一系列重要制度来开展。其中，《网络安全法》要求建立信息共享、风险评估机制，对网络安全产品也提出技术要求，这些制度的落实都需要配套标准的支撑。这就要求标准制定者通过加强标准制定，使《网络安全法》的相关法律性要求具有更好的可操作性和可执行性。此外，《网络安全法》中部分未展开的内容，也需要通过标准来发挥作用。例如，《网络安全法》中对个人信息保护做了大量规定，如何实现这些要求，使用户条款真正保护个人隐私，这是标准化工作的方向。

四、进一步加强网络安全标准的国际合作。习近平总书记在第39届国际标准化组织（ISO）大会的贺信中提到，中国愿同世界各国一道，深化标准合作，加强交流互鉴，共同完善国际标准体系。与此同时，《网络安全法》第七条规定，国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作。当前，国家非常重视国际交流与合作，通过参与国际标准的制修订，举办中美、中欧等双边或多边网络安全标准化交流合作活动，吸收外国企业参加工作组等方式，有效推动建立了网络安全国际标准化常态化交流机制。今后，应更进一步加强网络安全标准的国际交流合作，充分利用好举办SC27会议等大型国际标准会议的机会，主导相关标准制定方向，不断提高我国在国际网络安全标准领域的权威和影响力。

总而言之，《网络安全法》既对新时期国家网络安全标准化工作提出了更高要求，也为今后相关工作指明了方向，必须以《网络安全法》为核心，逐步构建完善的国家网络安全标准体系，推动我国网络安全标准化工作进入新的阶段。

（中国电子技术标准化研究院 陈舒）