政府监管部门
- 地市、县两级建立网络安全专门工作机构,明确网络安全负责人
- 政府部门安全岗位缺失
- 县及以上负责️ 监测️ 分析、预警 ️ 风险预警
- 利好 fofa 类监控系统,可能未来每个地市都会有类似需求舆情监控、本地目标网站监控,也为后续约谈网络运营者提供技术支撑
关键基础设施
范围:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务
《关键信息基础设施安全保护条例》
- 设置专门安全管理机构和安全管理负责人,并进行安全背景审查
- 行业部门安全岗位缺失
- 安全人员定期教育、培训、考核
- 利好安全教育,尤其具有考核能力的安全教育公司。例如:i 春秋,嘿嘿
- 两方面教育 安全意识和安全技能
- 意识例如:弱口令、不会用安全模块、管理不规范等
- 每年必须进行至少一次检测评估
- 利好安全服务公司,无论传统(启明)以及新型(知道创宇),只要有资质,感觉类似保密检查。
- 重要系统和数据库容灾备份
- 恢复标准主要参考GB/T 20988-2007 《信息安全技术 信息系统灾难恢复规范》
- 安全应急响应参照《国家网络安全事件应急预案》即可
- 网络安全审查参考《网络产品和服务安全审查办法》
- 强制安全审查,未审查被检查出来罚款。
- 《关键信息基础设施抽查检测规范和指南》未出台
教育与培训
《关于加强网络安全学科建设和人才培养意见》
- 支持校企合作育人、协同创新
- 加强网络安全从业人员在职培训
- 均利好安全教育,包括学校、地方、以及企事业单位
网络安全专用产品
《网络关键设备和网络安全专用产品目录(第一批)》
- 按逻辑来讲利好传统设备企业,但是好像关于这个目录好像之前就有,只不过本次着重强调而已
网络运营者
- 保存记录网络运行和安全状况、网络行为等日志文件不少于6个月,不包括个人终端上的日志文件
- 按逻辑来讲就是web日志,防护、监控设备日志,服务器系统日志这样即方面。
- 如果有用户交互的内容还有可能会需求用户登陆日志等信息,这个不太确定。
- 用户实名制问题,在需要提供发布信息,技术通讯服务情况下才需要
- 手机身份认证即可,一般网站不需要身份证等实名认证
- 前台匿名,后台实名。手机之类敏感信息不要在前台显示
- 也就是说新闻类网站不需要留言等功能不需要实名认证,需要认证也可以通过微博微信等三方认证方式,因为可以确认这些三方原本已经实名认证。(这是我的想法)
- 安全应急响应参照《国家网络安全事件应急预案》即可
- 企业支持国家-需要查什么有法可以查就是了
安全从业者或公司
- 不能夸大危害和影响
- 就类似一个特殊版本幸好的本地替换漏洞,不能上来就说“重大漏洞,会影响百分之99的服务器”这个样子啦。
- 安全事件分级
- 与上一个工作类似,属于定漏洞标准分级,这样就不会夸大影响了。
- 参考GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》
其他例如个人隐私保护,以及运营者需要遵循规则删除个人信息,就不做记录了,因为实际上这些内容短时间内不会是重要痛点。
