CONTENTS  我国第一部专门针对网络空间安全综合性法律  我国网络安全从此有法可依  保障我国网络安全、维护国家总体安全 “ 网”国家安全第五个领域（海、陆、空、天、网 ），目标：网际空间自主可控安全可靠 ★ 是落实党中央决策部署的重要举措 , 是维护网络安全、国家安全的迫切需要 ★ 是深化网络安全等级保护制度、保护国家关键信 息基础设施和大数据安全的迫切需要 ★ 是打击网络违法犯罪、维护广大人民群众利益的 国家政策背景 《网络安全 法》 国家网络安全等级保护制度 网络运营者基本责任义务 基础制度、基本国策 上升为法律 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列 安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改  （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；  （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；  （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不 少于六个月；  （四）采取数据分类、重要数据备份和加密等措施；  （五）法律、行政法规规定的其他义务。 网络安全等级保护制度 ( 四 ) 安全保障  严格执行《中华人民共和国网络安全法》等相关法律 法规与文件要求，建立空间网络安全保障机制 

. 30 （一） 学校网络安全和信息化主管领导 ......................................................................31 （二） 学校网络安全和信息化常态化管理、运行机制 ................................................. 32 （三） 学校网络安全和信息化部门的设置情况 .................. 34 （四） 学校网络安全和信息化部门的业务范围 ........................................................... 36 （五） 学校网络安全和信息化发展规划的年度执行情况或年度计划的执行情况.............41 （六） 学校网络安全和信息化建设与管理规范（办法）涵盖内容.......... .......... 42 （七） 学校网络安全和信息化建设与管理规范（办法）执行情况................................ 44 （八） 学校数据标准及应用规范的执行情况.............................................................. 46 （九） 学校网络安全和信息化部门人员数量............

护工作提供了规范保障 2017 网络安全法 第二十一条“国家 实行网络安全等 级保护制度”，深 化等保制度重要 举措。 2003 中办发 27 号文 信息安全保障纲 领性文件； 第二条：实行信 息安全等级保护。 2019 等保 2.0 相关标准系 列 《通用要求》 《测评要求》 。。。 等级保护发展历程 针对日益严峻的网络安全形势，为贯彻落实习主席关于推进全 同体的“五点主张”，经中央网络安全和信息化领导小组批准，国家互联网信息办公室于 2016 年 12 月 27 日发布。 《国家网络空间安全战 略》 由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于 2016 年 11 月 7 日通过，现予公布， 自 2017 年 6 月 1 日起施行。 《中华人民共和国网络安全 法》 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的 ，由有关主管部门责令改正，给予警告；拒不改 正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由 有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负 责的主管人员处一万元以上十万元以下罚款。

号 公 信 安 [2008]736 号 《关键信息基础设施安全 保护条例》（征求意见 稿） 《网络安全等级保护条 例》（征求意见稿） 《中国人民共和国网络安全法》（ 2017 年 6 月 1 日） 开展等级保护的必要性 国家法律法规和政策规范要求开展等级保护工作，如《中国人民共 和国网络安全法》、《信息安全等级保护管理办法》等。 国家要求 各行业监管部门在等级保护方面均有相关的监管要求和政策文件要求，部 展等级保护工作，能够提升信息安全保障能力，保障信息系统安全稳定运行。 安全能力提升 网络安全法落地后，等级保护工作已经上升到法律层面，网络运营者不开展 等级保护工作违法并追究网络运营者及主管人员的法律责任。 04 规避法律风险 Part02 等级保护法律法规 网络安全法之等级保护 第二十一条 • 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护 制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务 的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安 全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五 千元以上五万元以下罚款。 第五十九条（续） • 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十 六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正， 给予警告；

应用投入。通过技术的不断创新和完善，为低空经济的发展提供强有力的支撑。 （6）安全是底线 低空飞行的安全保障是低空经济可持续发展的基础。在无人机飞行过程中， 涉及到空防安全、公共安全、飞行安全以及网络安全等多个层面。因此，必须建 立完善的安全体系，确保低空经济的健康发展。安全体系的建设不仅需要从技术 层面提供保障，还应从法规和标准层面加以完善。只有在确保安全的前提下，低 空经济才能稳步前进，行业才能迎来更大的成长空间。 到 2030 年，以高端化、智能化、绿色化为特征 的通用航空产业发展新模式基本建立，支撑和保 障“短途运输+电动垂直起降”客运网络、“干-支- 末”无人机配送网络、满足工农作业需求的低空 生产作业网络安全高效运行。  强化装备安全技术攻关，重点突破电池失效管 理、坠落安全、数据链安全等技术，提升空域保 持能力和可靠被监视能力。 2023-11-8 中国民 用航空 局 《 中 华 人 民 共 广无人车、无人机运输投递和无人仓建设。  开展网络和数据安全能力提升行动。  实现部三级系统等级测评全覆盖，网络监测预警 系统完成迭代升级。  完善行业网络安全信息通报机制，及时共享漏洞 信息和威胁情报。  加强数据分类分级保护  组织实施网络安全实网攻防演练，加强商用密码 应用推广。  加强邮政快递业重要数据和个人信息保护。 2024-01-01 交通运 输部 《 民 用 无 人 驾

上市，证券代码：300369。绿盟科技在国 内设有 40 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户， 提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日 本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中 国品牌。 3 关于北京交通大学电子信息工程学院 北京交通大学电子信息工程学院成立于 1996 年，前身可溯源至 2017 年，是中央网信办—教育部首批“一流网络安全 学院建设示范高校”，并拥有全国首批网络空间安全一级学科博士点和博士后流动站，于 2021 年 获中央网信办“网络安全先进集体”。学院拥有“空天网络安全工业和信息化部重点实验室”、“区 块链与物联网安全教育部重点实验室”，已被纳入北航“双一流”学科群，在密码前沿理论与应用、 空天地信息网络安全、网络与计算系统安全、人工智能与工控安全方向形成四大特色研究方向。 在第二章中我们总结梳理当前车联网产业发展最新态势。 根据 Upstream 发布的 2023 全球汽车网络安全报告统计[5]，自 2015 年以来，已公开的车联网 领域安全事件高达近千起，且呈现日趋增长形势，智能网联汽车安全不容乐观。因此，在第三章中， 我们对八个具有代表性的安全事件进行分析解读。 如今，汽车行业内资料的不透明，使网络安全厂商很难通过公开资料了解到智能网联汽车的电 子电气架构和零部件设计知识。在不

..............................6 第一章 背景概述 1.1 当前网络安全威胁的趋势 ................................................................................ 8 1.2 网络安全政策法规要求 .......................................... 供） ...........100 7.3 典型案例三 某省电力公司安全运营建设案例（亚信安全提供） .....................103 7.4 典型案例四 某能源头部企业一体化网络安全监管平台（神州泰岳提供） ....... 107 7.5 典型案例五 某电网公司智能安全运营解决方案（碳泽提供） ........................ 110 第八章 推荐厂商（按厂商首字母排序） ，并重视数据治理和人才培养。 6 在全球数字化转型的浪潮中，云计算、大数据、人工智能、物联网等新兴技术正深刻重塑着企业的运营模 式和商业格局。这场变革在释放巨大潜力的同时，也带来了前所未有的网络安全挑战。企业的 IT 环境日益复杂 化，云服务与物联网设备的广泛应用使传统网络边界模糊，扩大了攻击面。与此同时，网络攻击手段不断升级， 高级持续性威胁（APT）、零日漏洞利用、勒索软件攻击以及大

............................. 43 第五章 安全发展基础不断夯实........................................... 48 一、网络安全保障有力有序........................................... 48 二、数据安全治理扎实推进................................ （四）安全发展基础不断夯实。一是网络安全保障有力 有序。网络安全顶层设计持续完善，《互联网政务应用安全 管理规定》发布施行，《人工智能安全治理框架》1.0 版制 定发布。组建全国网络安全标准化技术委员会，发布 36 项 国家标准，推动 3 项强制性国家标准立项、3 项国际标准正 式发布。网络安全教育、技术、产业融合发展，推进建设一 流网络安全学院、网络安全专业院校，2024 年国家网络安全 宣传周成功 生态环境等领域治理信息化建设。 四是坚持系统观念，加快优化完善信息化健康可持续发 展的环境。筑牢网络和数据安全屏障，强化关键信息基础设 10 施安全保护，深化网络安全教育技术产业融合发展，推进网 络和数据安全产业发展，加快研制关键信息基础设施安全、 网络安全产品互联互通、数据分类分级、数据安全风险评估 等方面标准规范，进一步完善数据出境安全管理制度。健全 信息化发展治理体系，加强网络空间法治建设，积极探索新

系统的安全保密。 安全管理需求：自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据 完整性。 安全体系设计要求：根据安全体系规划，整个系统的安全体系建设内容包括物 2 理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安 全和管理安全等方面。 (2)信息安全保护系统：满足信息系统安全等级三级要求的连接云计算平台的信 息安全保护系统，其设备为： 设备名称 技术指标要求 的配套管 理制度和要求，制度相关内容包括安全管理机构、安全管理制度、人员安全管理、 系统建设管理，要求包括对硬件环境和软件环境的要求。 （2） 安全技术体系 根据网络特殊需求和业务流程制定网络安全及安全加固方案，对信息系统内的 操作系统、数据库、安全设备以及中间件的安全配置策略进行加强，降低恶意攻击 者利用安全漏洞威胁系统安全运行的几率，从而有效控制因系统配置不当等因素引 发的业务中 （7） 病毒防范 在服务器安装防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力；在 网络内安装网络版防病毒系统，客户端可以在内网升级病毒库，做到整体防御。 （8） 数据安全交换 在系统安全、网络安全的基础上，实现内网和外网、内网和专网间的数据安全 8 交换。 （9） 系统操作日志 通过操作日志功能，定义和区分操作级别，根据操作级别进行记录，为日志分 析功能提供数据，发现并处理安全问题隐患，增强系统防护性能。

建设国家检察大数据异地灾备中心，进一步提高检察机关核心应用系统数 据安全。 ……… 涉密网络全面通过分级保护测评 开展非涉密信息系统等级保护相关工作 加强不同网络之前的安全防护建设 建立网络安全态势感知防御体系 强化网络信息安全 建设高检院、省级院两级部 署的检务云平台，具备条件的市 级院可以建立检务云平台 司法体制改革 最高检《检察人工智能创新指南（ 2017 － 2022 建设“云、网、端”安全防护体系 • 建立网络安全态势感知监测体系 加强安全体系建设 提高安全保护水平 涉密云 互联网云 检务云 + 分级保护 + 等级保护 + 等级保护 系统建设方向—安全 《关于印发 < 检察工作网安全保障系统建设指导意见 > 的通知》（高检技 ［ 2018 ］ 62 号） 省院网络安全 态势感知系统 系统 最高检网络安全 态势感知系统 市级网络综合监 管预警平台 管预警平台 市级网络综合监 管预警平台 市检院网络安全 态势感知系统 信任服务设施 外部 数据 命令下发 数据上报 命令下发 数据上报 命令下发 数据上报 数据导入 认证 授权 机构信息 人员信息 设备信息 专业管理 系统 专业管理 系统 专业管理 系统 安全管 控前置 系统 设备 数据上报 系统建设方向—网络安全态势感知平台 专有云安全防护 物理和环境安全