服务器安全防护软件 全国人民代表大会常务委员会执法检查组
关于检查《中华人民共和国网络安全法》
《全国人(4)

????????（三）网络安全风险和隐患突出

????????为了解网络运行情况，执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施(60个门户网站和60个业务系统)进行了远程渗透测试和漏洞扫描。该中心出具的报告显示，本次远程测试的120个关键信息基础设施中，共存在30个安全漏洞，包括高危漏洞13个，其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞，严重威胁了系统及服务器安全，也存在严重的用户信息泄露风险。远程检测还发现，多个设区的市政府门户网站存在页面被篡改风险。执法检查组现场抽查时发现，许多单位没有依照法律规定留存网络日志，这可能导致发生网络安全事件时无法及时进行追溯和处置；有的单位从未对重要信息系统进行风险评估，对可能面临的网络安全态势缺乏认知。检查还发现，在许多单位，内网和专网安全建设没有引起足够重视，有的单位对内网系统未部署任何安全防护设施，长期不进行漏洞扫描，存在重大网络安全隐患。随着各地区各领域信息化建设的推进，各行业各领域数据化、化、远程化趋势更加明显，对网络安全提出了更高要求。

????????（四）用户个人信息保护工作形势严峻

????????“万人”显示，“一法一决定”关于用户个人信息保护的多项制度落实得并不理想：有52.1%的受访者认为，法律关于“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，必须明示收集、使用信息的目的、方式和范围”的规定执行得不好或者一般；有49.6%的受访者曾遇到过度收集用户信息现象，其中18.3%的受访者经常遇到过度采集用户信息现象；有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息，如果不接受就不能使用该产品或接受服务的“霸王条款”；有52.5%的人认为执法部门保护用户信息的成效一般或者不好，不少人反映，在发现本人信息被泄露或者被滥用后，举报难、投诉难、立案难现象比较普遍。许多受访者反映，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题，但几乎没有受到任何监管和惩处。检查发现，有的互联网公司和公共服务部门存储了大量公民个人信息，但安防技术严重滞后，容易被窃取和盗用。一些单位内控制度不完善或不落实，少数“内鬼”为牟取不法利益铤而走险，致使用户信息泄露。当前在一些地方，利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。从部门近期破获的看，用户信息泄露呈现渠道多、窃取成本低、追查难度大等特点，而且违法分子使用的手段不断升级，因用户信息泄露引发的“精准诈骗”增多，给人民群众财产安全造成严重危害。

????????（五）网络安全执法体制有待进一步理顺

????????网络安全监管“九龙治水”现象仍然存在，权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决，法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出，但在发生信息泄露、滥用用户个人信息等信息安全事件后，用户又经常遇到投诉无门、部门之间推诿扯皮的问题。“万人”显示，有18.9%的受访者反映，在遇到网络安全问题后，他们不知该向哪个部门举报和投诉，即使举报了也往往不予处理或者没有结果。参加座谈的多数网络运营单位反映，行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题，不同法律实施主管机关采集的数据还不能实现“互联互通”，经常给网络运营商增加额外负担。不少人认为，如果不能合理定位，准确厘清部门之间的职责，等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。另外，检查发现，城市轨道交通控制系统等工控系统网络安全管理责任边界不清，运营单位落实网络安全责任制存在困难；通信行业监管和行政执法力量严重不足，执法力量与当前网络安全事件频发多发的严峻形势不相适应。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-55611-4.html