第三章 运行安全

核心内容

1．网络安全等级保护

2．网络产品和服务提供者的安全保障义务

3．网络关键设备、网络安全专用产品认证、检测

4．网络实名制与可信身份战略

5．网络运营者的应急处置

6．网络安全服务活动和网络安全信息发布规范

7．禁止从事危害网络安全的活动

本章综述

运行安全是《网络安全法》的重要制度设计。网络安全等级保护是网络安全的基础性制度设计，是强化网络运营者内在安全能力的基础。目前，网络安全等级保护已形成法律、行政法规、部门规章和标准等相对完善的法律体系。《网络安全法》要求网络运营者制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月，采取数据分类、重要数据备份和加密等措施，以保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。网络产品和服务提供者的安全保障义务是网络安全的重要保障，《网络安全法》明确网络产品、服务应当符合相关国家标准的强制性要求，网络产品、服务的提供者不得设置恶意程序，发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络关键设备和网络安全专用产品作为特殊物品，其生产和销售有着特殊的要求，《网络安全法》明确网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。网络实名制是互联网治理的基础性制度设计，《网络安全法》明确要求网络运营者在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。网络安全认证、检测、风险评估等服务在保障网络产品、服务安全性方面发挥着重要作用，但实践中网络安全服务行业存在网络安全机构能力不足、网络安全服务不规范等诸多问题，鉴于此，《网络安全法》明确上述活动应当遵守国家有关规定。运行安全既需要网络运营者通过合规而提升自身的安全保障能力，同时也需要对危害网络安全的活动予以打击，因此，《网络安全法》明确禁止从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动，提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具，明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助，并明确上述违法行为的法律责任。