尊敬的各位领导、各位同事：

大家下午好。

今天,非常荣幸能有机会站在这里,与各位共同探讨和学习“网络安全法规与日常防范”这一至关重要的课题。在全社会数字化转型浪潮席卷而来的今天,网络空间已成为与物理世界同等重要的工作与生活领域。对于承担着服务保障广大残疾人朋友神圣职责的残疾人联合会而言,网络安全不仅是保障日常工作平稳运行的技术问题,更是关系到残疾人事业发展大局、关系到每一位服务对象切身利益的战略问题。

本次培训旨在通过对当前网络安全形势的研判、相关法律法规的解读以及日常防范技能的分享,进一步强化全体干部职工的网络安全责任意识,提升风险识别与应急处置能力,共同为残疾人事业在数字化时代行稳致远,筑起一道坚不可摧的网络安全防线。本次交流将主要围绕三个方面展开：首先,认清当前严峻复杂的网络安全形势;其次,学懂弄通国家网络安全法律法规体系;最后,掌握日常工作中必须践行的安全防范要点。

一、认清形势,深刻理解网络安全的极端重要性

网络安全,早已不是一个遥远或抽象的概念,它渗透在工作的每一个环节,潜伏在生活的每一个角落。若缺乏清醒的认识和足够的警惕,其带来的风险与损失将是难以估量的。

(一)全球及我国网络安全态势分析

当前,全球网络空间战略博弈日趋激烈,网络攻击的频次、规模和技术复杂性均呈现出前所未有的增长态势。根据相关网络安全机构发布的报告,高级持续性威胁(APT)攻击活动正变得愈发活跃和猖獗.2023年,监测到的针对我国的APT活动呈现显著增加的趋势,其攻击目标高度集中于政府、国防、科研教育及金融等关键领域。进入2024年,这一态势并未缓解,数据显示,仅上半年我国遭受的各类APT攻击就超过1300次,其中政府机构是被攻击的首要目标,占比高达33%,教育部门紧随其后,占比为20%。这些攻击的来源地覆盖了南亚、东南亚、东亚乃至北美等多个区域,充分说明我国正面临着复杂而多元的外部网络威胁。

除了具有高度针对性的APT攻击,分布式拒绝服务攻击也持续高发.2023年,我国共监测到约146万次DDoS攻击,占全球总量的11.74%,攻击的强度和持续时间都在不断增强。这些攻击不仅会造成网络服务中断,影响正常业务开展,更可能被用作其他更具破坏性攻击的掩护。放眼全球,印度、美国、印度尼西亚和中国是政府部门遭受网络攻击最为频繁的国家,四国合计占到了全球此类攻击事件总数的40%。这组数据清晰地表明,作为全球网络大国,我国始终处于网络攻击的“风暴中心”。

(二)机关事业单位面临的特殊风险与挑战

作为国家治理体系的重要组成部分,各级机关事业单位历来是网络攻击的重点目标。相较于普通商业机构,我们面临的风险更为特殊和严峻。

第一,攻击的意图与情报窃取目的性强。针对政府机构的网络攻击,往往不以直接的经济利益为主要目的,而是为了窃取敏感政务数据、核心工作秘密、重要战略信息,甚至是为了进行网络破坏,影响社会稳定。从全球范围看,2021年至2022年,针对政府部门的网络攻击数量增长了惊人的95%,并且这一增长趋势在2023年得以延续,这背后反映出的是地缘冲突向网络空间的延伸。

第二,数据资产的敏感性与价值极高。机关事业单位在履行职责过程中,会产生和处理海量的数据,包括非公开的政策文件、内部决策信息、人事档案以及大量的公民个人信息。这些数据一旦泄露,其危害是多方面的：轻则损害政府公信力,重则影响国家安全和社会秩序。奇安信集团发布的报告指出,2023年,政府部门的业务专网是攻击者觊觎的主要目标之一其核心动机正是为了窃取其中存储的高价值数据。

第三,防御体系可能存在“木桶效应”。机关事业单位网络系统复杂,既有与互联网连接的门户网站、办公系统,也有相对独立的内部业务专网。任何一个环节,哪怕是一个安全意识薄弱的个人、一台未及时更新补丁的电脑、一个安全性不足的应用程序,都可能成为整个防御体系的“短板”,被攻击者撕开缺口。

(三)残疾人事业数字化转型的安全之基

将视线聚焦到我们所从事的残疾人事业。随着“互联网+政务服务”的深入推进,残疾人事业的数字化、信息化水平正在以前所未有的速度提升。从残疾人证的申领核发、康复需求的在线登记,到辅助器具的线上适配、就业培训信息的精准推送,越来越多的核心业务依托于信息系统和数据平台。这种转型在极大提升服务效率和覆盖面的同时,也带来了新的、不容忽视的网络安全挑战。

我们所管理和维护的信息系统中,存储着海量的残疾人个人信息。这些信息不仅包括姓名、身份证号、联系方式等基本身份信息,更包含了残疾类型、残疾等级、健康状况、家庭经济情况、康复需求等极其隐私和敏感的内容。这些数据是国家法律严格保护的高度敏感个人信息。一旦发生泄露、篡改或滥用,不仅会严重侵犯残疾人朋友的合法权益,使其面临被歧视、被诈骗等风险,更会沉重打击他们对D和政府的信任,动摇残疾人事业发展的群众基础。

虽然公开渠道中难以找到专门针对残疾人事业信息系统的大规模攻击案例,但这绝不意味着可以高枕无忧。恰恰相反,这可能说明此类数据价值极高,攻击者更倾向于采用更为隐蔽的手段进行窃取。同时,全国多地残联系统近年来纷纷组织开展网络安全培训这本身就反映出全行业对潜在风险已有了清醒的认知和高度的警惕。因此,必须将网络安全视为残疾人事业数字化发展的“生命线”和“底线”,任何时候都不能有丝毫麻痹和懈怠。

二、学法懂法,准确把握网络安全法律法规体系

构筑坚固的网络安全防线,不仅需要技术的支撑,更需要法律的保障。只有对国家的法律法规体系有清晰、准确的把握,才能做到依法履职、合规操作,从源头上规避法律风险。

(一)“一法两条例”核心框架解读

近年来,我国网络安全领域的法律法规体系建设取得了长足进步,已经形成了以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》这“三驾马车”为核心,辅以一系列行政法规、部门规章和国家标准的立体化法律框架。

《网络安全法》是我国网络安全领域的基础性法律,于2017年6月1日起施行。它确立了网络安全等级保护、关键信息基础设施安全保护、网络信息安全管理等一系列基本制度,明确了网络运营者、网络产品和服务提供者的安全义务,是所有网络活动参与者都必须遵守的根本大法。

《数据安全法》则聚焦于“数据”这一核心生产要素,确立了数据分类分级管理、数据安全风险评估、监测预警和应急处置等重要制度。它强调对数据进行全生命周期的保护,要求在数据处理活动中履行安全保护义务。

《个人信息保护法》作为一部专门规制个人信息处理活动的法律,确立了“告知-同意”为核心的个人信息处理规则,赋予了个人信息主体充分的权利,并对个人信息处理者的义务作出了极为详尽的规定。对于我们这样处理大量敏感个人信息的单位而言,这部法律是日常工作中必须时刻对照的“高压线”。

值得特别关注的是,为了更好地衔接和落实上述三部法律,国务院于2024年9月24日公布了《网络数据安全管理条例》,并自2025年1月1日起施行。这部条例作为行政法规,对数据处理者的合规义务、数据跨境安全管理、个人信息保护的具体要求等都作出了更具操作性的细化规定,标志着我国网络与数据安全治理进入了更加精细化的新阶段。

(二)《网络安全法》的最新发展与合规要点

法律并非一成不变,而是随着技术发展和社会需求不断演进。据权威信息显示,《网络安全法》正在酝酿新一轮的修订,预计将在2025年推出修正草案,以更好地适应当前的网络安全挑战。虽然最终条文尚未公布,但从已透露的修订方向中,可以预见未来合规要求的几大趋势：

首先,强化法律间的衔接与协调。新修订将更加注重与《数据安全法》、《个人信息保护法》的协同,消除法律适用上的模糊地带,形成更为严密的法规之网。

其次,进一步压实关键信息基础设施(CII)运营者的安全保护责任。对于被认定为关键信息基础设施的单位,其安全要求将更加严格,监管力度也将更大。

再次,法律责任的细化与加重。修正草案预计将明确界定“造成严重危害网络安全后果”和“特别严重危害网络安全后果”的具体情形,并相应调整罚款的幅度和处罚措施。同时,新增了针对销售未经安全认证的网络关键设备、使用未经安全审查的网络产品或服务等行为的处罚条款。这意味着,违法行为的成本将显著提高。

最后,体现“过罚相当”与“包容审慎”的监管理念。草案也新增了从轻、减轻或不予行政处罚的情形,并要求监管部门制定行政处罚裁量基准。这旨在鼓励网络运营者主动报告问题、积极采取补救措施,提高执法活动的科学性和精准性。

这些新动向对我们的工作提出了更高的要求。我们必须密切关注立法进展,提前研究和部署,确保各项工作始终在合法合规的轨道上运行。

(三)机关事业单位工作人员的法律责任与义务