網路安全重點保障系統

A. 如何保障網路信息安全

保障網路安全的幾點做法
1、保障硬體安全
常見的硬體安全保障措施主要有使用UPS電源，以確保網路能夠以持續的電壓運行；防雷、防水、防火、防盜、防電磁干擾及對存儲媒體的安全防護。

2、保障系統安全
安裝防病毒軟體並及時對系統補丁進行更新，對於不必要的服務及許可權盡可能的關閉，對於外來的存儲介質一定要先進行病毒查殺後再使用。

3、防禦系統及備份恢復系統
利用防火牆可以對不同區域間的訪問實施訪問控制、身份鑒別和審計等安全功能。入侵檢測系統（IPS）是防火牆的合理補充，能幫助系統對付網路攻擊，提高了信息安全基礎結構的完整性。

4、安全審計與系統運維
對監控網路內容和已經授權的正常內部網路訪問行為，可以實時了解網內各客戶機及伺服器出現的情況，存在的異常進程及硬體的改變，系統漏洞補丁的修復情況等等。

5、人員管理與制度安全
加強計算機人員安全防範意識，提高人員的安全素質以及健全的規章制度和有效、易於操作的網路安全管理平台是做好網路安全工作的重要條件。

B. 網路安全法制注重哪三個層面安全

是指操作系統安全，網路實體安全，數據與資料庫安全三個層次，還是指安全技術、安全管理和安全法規三個層次。

第五條國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動，維護網路空間安全和秩序。

第六條國家倡導誠實守信、健康文明的網路行為，推動傳播社會主義核心價值觀，採取措施提高全社會的網路安全意識和水平，形成全社會共同參與促進網路安全的良好環境。

第一條為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。

第二條在中華人民共和國境內建設、運營、維護和使用網路，以及網路安全的監督管理，適用本法。

第三條國家堅持網路安全與信息化發展並重，遵循積極利用、科學發展、依法管理、確保安全的方針，推進網路基礎設施建設和互聯互通，鼓勵網路技術創新和應用，支持培養網路安全人才，建立健全網路安全保障體系，提高網路安全保護能力。

第四條國家制定並不斷完善網路安全戰略，明確保障網路安全的基本要求和主要目標，提出重點領域的網路安全政策、工作任務和措施。

C. 《網路安全法》對網路安全應急預案有哪些要求

《網路安全法》第25條規定：網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病 毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。
《網路安全法》第53條規定：國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制，制定網路安全事件應急預案，並定期組織演練。
負責關鍵基礎信息設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案，並定期組織演練。網路安全事件應急預案應當按照事件發生後的危害程度、影響范圍等因素對網路安全事件進行分級，並規定相應的應急處置措施。
網路安全應急預案應立足安全防護，加強預警，重點保護重要信息網路和關系社會穩定的重要信息系統， 在預防、監控、應急處理、應急保障等方面採取多種措施，構築網路與信息安全保障體系。加強計算機信息網 絡安全的宣傳和教育，提高工作人員的信息安全意識。 要對機房、網路設備、伺服器等設施定期開展安全檢查, 密切關注互聯網信息動態，及時獲取充分而准確的信息， 跟蹤研判，果斷決策，迅速處置，最大限度地減少危害和影響。
希望可以幫到您，謝謝！

D. 網路安全保障的體系有那些

在當今網路化的世界中，計算機信息和資源很容易遭到各方面的攻擊。一方面，來源於Internet，Internet給企業網帶來成熟的應用技術的同時，也把固有的安全問題帶給了企業網；另一方面，來源於企業內部，因為是企業內部的網路，主要針對企業內部的人員和企業內部的信息資源，因此，企業網同時又面臨自身所特有的安全問題。網路的開放性和共享性在方便了人們使用的同時，也使得網路很容易遭受到攻擊，而攻擊的後果是嚴重的，諸如數據被人竊取、伺服器不能提供服務等等。隨著信息技術的高速發展，網路安全技術也越來越受到重視，由此推動了防火牆、人侵檢測、虛擬專用網、訪問控制等各種網路安全技術的蓬勃發展。 企業網路安全是系統結構本身的安全，所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次，從高到低分別是企業安全策略層、企業用戶層、企業網路與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術防範系統，常見的企業網安全技術有如下一些。 VLAN(虛擬區域網)技術 選擇VLAN技術可較好地從鏈路層實施網路安全保障。VLAN指通過交換設備在網路的物理拓撲結構基礎上建立一個邏輯網路，它依*用戶的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網，劃分的依據可以是設備所連埠、用戶節點的MAC地址等。該技術能有效地控制網路流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN埠實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網路的信息。 網路分段 企業網大多採用以廣播為基礎的乙太網，任何兩個節點之間的通信數據包，可以被處在同一乙太網上的任何一個節點的網卡所截取。因此，黑客只要接人乙太網上的任一節點進行偵聽，就可以捕獲發生在這個乙太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。網路分段就是將非法用戶與網路資源相互隔離，從而達到限制用戶非法訪問的目的。 硬體防火牆技術 任何企業安全策略的一個主要部分都是實現和維護防火牆，因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣，這使得內部網路與Internet之間或者與其他外部網路互相隔離，並限制網路互訪從而保護企業內部網路。設置防火牆的目的都是為了在內部網與外部網之間設立唯一的通道，簡化網路的安全管理。 入侵檢測技術 入侵檢測方法較多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。 不知道你找的是不是這些

E. 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

F. 急：網路與信息安全保障措施如何寫

可以先分析目前的現狀，哪些做的好哪些需要完善，然後對完善的重點寫。
可以從管理措施和技術措施兩大部分寫。
管理可以從組織機構、管理制度、監督檢查措施等方面寫。
技術從物理層、網路層、系統層、應用層、數據層等方面一一描述。
另外，還可以補充應急方面的措施，比如說應急預案、預案演練等。估計應該也差不多了。

G. 信息網路安全的什麼是信息系統安全等級保護

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

H. 網路安全防範的重點是什麼

在當今網路化的世界中，計算機信息和資源很容易遭到各方面的攻擊。一方面，來源於Internet，Internet給企業網帶來成熟的應用技術的同時，也把固有的安全問題帶給了企業網；另一方面，來源於企業內部，因為是企業內部的網路，主要針對企業內部的人員和企業內部的信息資源，因此，企業網同時又面臨自身所特有的安全問題。網路的開放性和共享性在方便了人們使用的同時，也使得網路很容易遭受到攻擊，而攻擊的後果是嚴重的，諸如數據被人竊取、伺服器不能提供服務等等。隨著信息技術的高速發展，網路安全技術也越來越受到重視，由此推動了防火牆、人侵檢測、虛擬專用網、訪問控制等各種網路安全技術的蓬勃發展。 企業網路安全是系統結構本身的安全，所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次，從高到低分別是企業安全策略層、企業用戶層、企業網路與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術防範系統，常見的企業網安全技術有如下一些。
VLAN(虛擬區域網)技術 選擇VLAN技術可較好地從鏈路層實施網路安全保障。VLAN指通過交換設備在網路的物理拓撲結構基礎上建立一個邏輯網路，它依*用戶的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網，劃分的依據可以是設備所連埠、用戶節點的MAC地址等。該技術能有效地控制網路流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN埠實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網路的信息。
網路分段 企業網大多採用以廣播為基礎的乙太網，任何兩個節點之間的通信數據包，可以被處在同一乙太網上的任何一個節點的網卡所截取。因此，黑客只要接人乙太網上的任一節點進行偵聽，就可以捕獲發生在這個乙太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。網路分段就是將非法用戶與網路資源相互隔離，從而達到限制用戶非法訪問的目的。
硬體防火牆技術 任何企業安全策略的一個主要部分都是實現和維護防火牆，因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣，這使得內部網路與Internet之間或者與其他外部網路互相隔離，並限制網路互訪從而保護企業內部網路。設置防火牆的目的都是為了在內部網與外部網之間設立唯一的通道，簡化網路的安全管理。

I. 想要確保網路的安全性，關鍵在於網路是否得到有效的控制，請問採取什麼防護措施才能確保網路信息安全呢

【熱心解答】

網路安全是個系統工程，不可能只是採取單一措施即可解決，需要網路安全保障體系共同綜合措施。通常，企事業機構需要先對網路系統進行風險評估，確定各類潛在風險和等級，並針對各類風險確定相應的策略和方案。經過有效的安全控制降低風險發生的可能性，殘留風險將通過監控和分析，並在意外發生時作出應急響應和災難恢復，最終實現業務的持續運行。

實際上，原有的一些傳統網路安全技術，通常可以使企事業機構在檢測攻擊、發現漏洞、防禦病毒、訪問控制等方面取得較為滿意的效果，然而，卻無法從根本上徹底解決網路信息系統整體防禦的問題。面對新的網路環境和新的威脅，促使各國為具體的安全技術建立一個以深度防禦為重點的整體網路安全平台——網路安全保障體系。

如我國某金融機構的網路網路安全保障體系總體框架，如圖所示。網路網路安全保障體系框架的外圍是風險管理、法律法規、標準的符合性。

註：摘自清華大學出版社《網路安全實用技術》賈鐵軍教授主編。

J. 專家解讀2019年《網路安全法》草案

一、重大歷史進步

網路安全不是今天才重要，網路安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務，可見決心之巨。只是網路安全立法之路實在艱辛，時國務院信息辦審時度勢，由信息安全條例角度入手，並連續數年推動其列入國務院法制辦二類立法計劃，之後未能再進一步。2008年後，國務院信息辦職能整體劃轉至工業和信息化部，有關方面意識到制定條例未必就比人大立法容易，且國務院行政法規無力調整現行上位法的法律規定，遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法，國家立法資源有限，每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法，還要考慮工業立法，一半指標已不得用，而信息化方向還有一部歷史更為悠久的電信法望眼欲穿，信息安全法終究連個隊都沒排上。期間，人大建議、政協提案不計其數，社會公眾翹首以盼，均無果。

此次草案公開徵求意見，表明這項工作進入了實質性立法程序，這是一個重大歷史進步。歡欣鼓舞之所在，不是因為草案具體內容，而源於徵求意見本身的象徵意義。時至今日，我們對網路安全立法不是搞清楚、看明白了，而是問題更多、更復雜了，很多觀點分歧可能更大了，網路安全立法難度不降反升，但突破恰恰在此時。中央網路安全和信息化領導小組成立後，中央領導同志英明決策，切實將網路安全提升到了國家安全和發展的高度，不但作出「網路強國」的全局戰略部署，更扎實推進各項工作取得積極進展。網路安全宣傳周、網路空間安全一級學科等，無一不歷經多年論證而蹉跎，今朝方開花結果。

誠然，網路安全立法工作十分艱巨，草案肯定有這樣那樣的問題，但今天的一小步，是國家網路安全工作的一大步。我們應該寬容它、呵護它，使其不斷成熟、更加科學，成長為護佑國家網路安全和信息化發展的參天大樹。

二、彰顯國家意志，確立基本原則

草案在「總則」和「網路安全戰略、規劃與促進」部分提出的宣示性條款遠較其他法律為多，還設立一條倡導性條款(即「倡導誠實守信、健康文明的網路行為」)。作為我國網路安全的基本法，這些「軟性」法律規定確有必要，其意在於宣示國家網路安全工作的基本原則，明確建設網路安全保障體系的主要舉措，從而為整體推進保障體系建設提供法律依據。

一是堅持網路安全和信息化發展並重原則。網路安全和信息化是一體之兩翼，驅動之雙輪，要堅持以安全保發展、以發展促安全，不能簡單地通過不上網、不共享、不互聯互通來保安全，或者片面強調建專網。要努力實現技術創新和體制機制創新，不斷增強維護網路安全的新思路、新方法、新舉措、新本領，而不是因噎廢食、自甘落後。

二是提出了網路空間主權。網路空間主權是國家主權在網路空間的體現和延伸，網路空間主權原則是我國維護國家安全和利益、參與網路空間國際合作所堅持的重要原則。草案雖未作解釋，且一筆帶過，然猶有石破天驚之意。

三是開展國際合作。網路安全是全球面臨的共同問題，中國對廣泛開展國際合作持積極態度，合作重點包括但不限於網路治理、技術與標准、打擊違法犯罪等，目標是推動構建和平、安全、開放、合作的網路空間。

四是建立統籌協調、分工負責的網路安全管理體制。多年 實踐 和各國經驗表明，網路安全工作離不開統籌協調。隨著中央網路安全和信息化領導小組的成立，有必要通過立法增強領導小組及其辦公室的權威性。草案規定，國家網信部門負責統籌協調網路安全工作和相關監督管理工作。具體包括，對監測預警和信息通報、網路安全應急、關鍵信息基礎設施安全防護等跨部門工作，由網信部門統籌協調;對網路安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作，由網信部門會同國務院有關部門制定辦法或組織實施。由此，政府向解決分散、多頭和重復管理邁出了關鍵一步。

五是加強行業自律。要充分發揮行業組織作用，指導行業組織成員加強網路安全防護，促進行業健康發展。

六是強化網路安全頂層設計。頂層設計至關重要，首先是要制定網路安全國家戰略，對外宣示主張，對內指導工作;其次要由行業主管部門、其他有關部門制定重點行業、重點領域網路安全規劃，確保戰略落地，確保這些行業和領域的網路安全工作有目標、有任務、有舉措、有監督。

七是建立和完善網路安全標准體系，充分發揮標准在網路安全建設中的指導性、規范性作用。

八是加大財政投入，以加快產業發展，深化技術研發，提升網路安全創新能力。

九是做好宣傳教育和 人才 培養工作。首先，要開展經常性的網路安全宣傳教育;其次，要通過學歷教育和在職培訓，採取多種方式培養網路安全人才。

三、關鍵信息基礎設施保護工作進入正軌

關鍵信息基礎設施保護(CIIP)是各國的通行舉措。雖然關鍵基礎設施保護(CIP)涉及物理設施安全，與前者不完全一致，但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網路安全戰略的重點，有的國家甚至以CIIP/CIP戰略代指國家網路安全戰略。我們國家在2003年時已經要求「重點保障基礎信息網路和重要信息系統安全」，並且在實踐中明確了基礎信息網路是廣電網、電信網、互聯網，重要信息系統是銀行、證券、保險、民航、鐵路、電力、海關、稅務等行業的系統，即俗稱的「2+8」，相關保護工作也常抓不懈。但整體而言，我們與國外差距很大，已是國家安全的軟肋，草案為此設立了「關鍵信息基礎設施的運行安全」一節。

一是擴展了保護范圍。縱觀世界各國，凡是已經開展了網路安全建設的國家，其關鍵基礎設施的范圍幾乎都遠超過我們，例如美國有17類，而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍，包括基礎信息網路、重點行業信息系統、公共服務領域重要信息系統、軍事網路、地市級以上國家機關政務網路、用戶數量眾多的網路服務商系統。最後一類系統中很多由私企運營，運營者可能對其列為國家關鍵信息基礎設施不適應，但當網路服務商的用戶達到一定規模時，其安全已經不再是企業自身問題，而成為一個公共問題、社會問題甚至國家安全問題，理應承擔更多責任。一些國外機構可能會拿這個做文章，但事實上美國的關鍵基礎設施有87%受私營企業控制。

二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度，其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用，這個要求只能是基線(即基本要求)，其有必要但並不足夠，特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外，保護關鍵信息基礎設施涉及很多工作，不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單，還包括一系列的管理工作和公共平台建設，不能由一項制度取代其他制度，理應對此建立專門制度。草案提出，關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求，如網路安全審查、風險評估等，草案則在具體條款中進行了明確。

三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務，解決了其保護責任模糊不明的問題。他們有必要從國家安全形度承擔防護責任，但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了，也關心自身的權利如何保障。對很多重點行業的信息技術或網路安全部門來說，這不僅僅是免責的需要，也是推動工作的需要，因為這些內設機構如果沒有強制性依據，很難得到業務部門的配合。此外，以前我國重點行業的網路安全監管責任也很不明確。似乎誰都可以進入機房檢查，但誰都不用負責，重點行業往往無所適從、疲於應付。為此，草案明確了行業主管部門的監督指導職責，這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門，草案授權國家網信部門統籌協調有關部門，建立協作機制。特別是在網路安全檢查工作中，要杜絕某個部門前腳走，另一部門後腳來的現象。

四、兼具綜合法與專門法的特點

網路安全包含的內容太多，當前需要立法規范的事項也很多，於是就有了綜合法與專門法的爭議。一個基本事實是，目前世界上鮮見網路安全的綜合法，有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護，近幾年美國國會討論的《網路安全法》或《網路安全增強法》則主要解決關鍵基礎設施的安全保護問題。

作為第一部網路安全法(《電子簽名法》不應該計算在內)，草案首先要體現綜合性，其側重點應該在以下四個方面：

一是要明確部門、企業、社會組織和個人的權利、義務和責任。

二是規定國家網路安全工作的基本原則和理念。

三是將成熟的政策規定和措施上升為法律，為政府部門的工作提供法律依據，體現依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網路通信管制等);其次，這些規定和措施往往經過了實踐檢驗，部門間爭議較小，有利於提高立法效率。

四是建立國家網路安全的一系列基本制度、形成制度框架，這些基本制度帶有全局性、基礎性，是推動基礎性工作、夯實基礎能力所必需。

此外，為了突出實用性，草案還應部分體現專門法的特點。這應從三個方面去考慮：

一是實施重點防護，對關鍵信息基礎設施、網路信息內容等重點安全關注予以優先考慮。

二是防範重大威脅。例如，信息系統安全受控於人是我們面臨的心腹大患，斯諾登事件使我們進一步看清風險所在，這就要對供應鏈安全進行規范。

三是對普遍性、長期存在的社會訴求予以響應。

總體看，草案比較好地處理了綜合法與專門法的關系問題，但個別條款還是過於糾結細枝末節(如網路運營者的分項安全保護義務不必展開)，或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法，原有條款似可刪減後將重心轉向規范信息內容安全)。除了個人信息外，草案沒有突出對公民個人權益的更多保護，如對危害網路安全行為的舉報並不是為了解決公民作為受害者「報案無門」的困窘，這不能不說是小的遺憾。

五、「網路安全」的定義還可以更為妥帖

「網路」和「網路安全」是「網路安全法」的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色，效果有雲泥之別。近年的工作中，我們用過「信息安全」，也用過「網路安全」，學者們各抒己見，一些部門也喜歡朝向有利於自身職能的角度去解釋，這些自不待言。但中央網路安全和信息化領導小組成立後，已經基本將其統一為「網路安全」。當然，國安委還是使用「信息安全」，《國家安全法》使用的是「網路與信息安全」，但這些已不會造成工作上的障礙。

只是這個「網路安全」實是「CyberSecurity」之譯，非「NetworkSecurity」。這裡面的「網路」其實指的是「網路空間」(Cyberspace)。因此，當草案試圖從「網路空間」的內涵上去解釋「網路」時，便挑戰了大眾的科技常識底線，且出現了「網路是指網路和系統」的尷尬。當然，如果就這么用下去，倒也自成一脈，但草案轉眼就去使用狹義的「網路」了，如「建設、運營、維護和使用網路」、「網路基礎設施」、「網路數據」、「網路接入」等，這里都是指的「network」。由此，草案中頻繁出現自己與自己打架的情況。

而草案中的「網路安全」定義也需修改。現有定義不但丟掉了信息內容安全，更是與「網路空間主權」沒有關聯。

解決這個問題的途徑是，網路就是網路，不要讓網路去包括信息系統。即，自始至終使用傳統意義上的「Network」概念。對於「網路安全」，則按「網路空間安全」去解釋即可。

另外，草案的起草堅持問題導向，對一些確有必要，但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益，但對於什麼是「原則性規定」則要仔細琢磨。