工信部网络安全所

㈠ 未及时上报安全漏洞 阿里云被工信部通报 业内人士：错在没有重视流程

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究， 现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位 。

据了解，Apache Log4j2作为阿帕奇软件基金会旗下的一款日志纪录工具，是基于Java语言的开源日志框架，被广泛用于业务系统开发。

工信部网络安全管理局曾在17日发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。其中指出， 阿里云在近日发现阿帕奇Log4j2组件存在远程代码执行漏洞 ，并将漏洞情况告知阿帕奇软件基金会。 12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告 ，阿帕奇Log4j2组件存在严重安全漏洞。

随后，工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

“目前来看，是阿里更早发现了这个漏洞，并将问题反馈给了Apache基金会，之后Apache为Log4j发布了新版补丁修复。但是，阿里云没有及时去向工信部申报。主要错误在于没有重视上报流程和申报漏洞。”有业内人士表示。

根据今年9月1日施行的工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》， 网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息 ，并及时进行修补，将修补方式告知可能受影响的产品用户。

据此前报道，阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。而根据公告，工信部是12月9日才收到上述漏洞的报告，距离阿里云首次发现已经过去了2个星期。

㈡ 工信部为综合治理网络环境所确定的三谁原则不包括

工信部为综合治理网络环境所确定的三谁原则包括：谁主管，谁负责，谁经营，谁负责，谁接入，谁负责。不包括谁获利，谁负责。在提高传递信息效率的同时，网络文明和网络安全问题也备受人们关注 互联网大大提高了传递信息和搜索信息的效率，已成为信息社会的基本工具。
与此同时，网络文明和网络安全问题也越来越多地受到人们的关注。使用网络办公要本着节省资源的原则，不能私自挪用公用的网络。在网络上不能违反法律法规和有关规定，不能在网上侮辱、谩骂他人，不能传播谣言、散布虚假信息，不能制作、传播网络病毒和“流氓”软件。
《中华人民共和国网络安全法》第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。
第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。

㈢ 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。

㈣ 在移动的个人客户信息被泄漏可以投诉到工信部吗工信部投诉很严重吗

可以。
工信部的职责是承担通信网络安全及相关信息安全管理的责任，负责协调维护国家信息安全和国家信息安全保障体系建设，指导监督政府部门，重点行业的重要信息系统与基础信息网络的安全保障工作，协调处理网络与信息安全的重大事件。
你不主动撤销会一直升级到解决为止，不会给你挂着或者不管，出售员工个人信息，情节严重的则可能构成侵犯公民个人信息罪。

㈤ 工业和信息化部网络安全产业发展中心待遇

工业和信息化部网络安全产业发展中心待遇好。业和信息化部网络安全产业发展中心属于国家机关单位，享受国家公务员待遇，晋升空间大，招聘门槛也很高。

㈥ 网络属于哪个部门管

法律分析：互联网是归工信部管理。

法律依据：《中华人民共和国网络安全法》

第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络袭塌败安衫搜全人才，建立健全网络安全保障体系，提高网络安全保护能力。

第四条 国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。

第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全拍颤和秩序。