网络安全事关你我他，提高网络安全意识是全社会应尽的义务。当前，维护网络安全不仅仅是防范网络病毒，它已涉及到经济安全、社会安全、国家安全的层面，因此，全社会必须以高度的责任感和历史使命感构筑网络安全防线，增强网络安全意识，提升网络安全防范能力，捍卫网络安全。

网友：网络安全法是什么？

答：《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。该法在保护公民个人信息、打击网络诈骗、保护关键信息基础设施、网络实名制等方面做出了明确规定，为公众普遍关注的一系列网络安全问题，勾画了基本的制度框架。

网友：在日常生活中，如果发现有危害网络安全的行为应该如何进行举报？

答：任何个人和组织发现危害网络安全的行为时，都有权举报。原则上讲，涉及网络犯罪的主要是向公安部门举报，其他类型的，既可以向电信部门举报，也可以向网信等部门举报。无论是哪一类危害网络安全的行为，个人和组织都可以向网信、电信、公安等部门举报。任何一个部门收到举报都应该及时处理，不属于本部门职责的应及时移交相关部门处理。

网友：作为一个网络管理员,什么样的设备和系统应当留存网络日志不少于六个月？

答：《网络安全法》第二十一条要求，网络运营者应按照规定留存相关的网络日志不少于六个月。这里的网络日志主要是指记录网络运行和安全状况、网络行为等的文件，一般不包括个人终端上的日志文件。

网友：网络产品、服务为什么必须符合国家标准的强制性要求？

答：强制性标准是在一定范围内通过法律、行政法规等强制性手段加以实施的标准，具有法律属性，强制性标准可分为全文强制和条文强制两种形式。

目前，我国已经出台的国家网络安全标准，基本上为指导性标准。全国信息安全标准化技术委员会将按照《网络安全法》的要求和网络安全工作需要，从维护国家安全、用户利益出发，对网络产品、服务制定强制性国家网络安全标准。

网友：如果我们提供的网络产品、服务存在安全缺陷、漏洞等风险时， 应该怎么告知用户并向有关主管部门报告？

答：针对近年来网络产品、服务存在缺陷、漏洞并被恶意利用，损害用户利益的情况，《网络安全法》强化了用户知情权。有关产品和服务的提供者应在避免安全缺陷与漏洞被进一步利用的前提下，选择通过电话、短信、邮件、网站公告、媒体广告等合理方式告知用户，并提供相应的风险解决或减轻措施。此外，网络产品、服务提供者应当根据产品、服务的主要使用领域、事件性质等，向网信、 电信、公安等部门报告。

网友：网络运营者怎么报告发生危害网络安全的事件？

答：国家网信部门已经发布了《国家网络安全事件应急预案》，网络运营者应根据国家预案，制定本单位的网络安全事件应急预案。在发生危害网络安全的事件时，网络运营者应立即启动应急预案，采取补救措施，按照《国家网络安全事件应急预案》规定的报告程 序进行报告。

网友：企业为公安机关、国家安全机关提供技术支持和协助，是否会损害个人隐私、侵犯知识产权？

答：出于维护国家安全、保护公民合法权益和打击网络犯罪，特别是打击网络恐怖活动的需要，要求企业为执法部门提供必要的支持和协助是各国的通行做法，也是企业应尽的义务。

《网络安全法》规定，相关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途，并明确规定相关部门及其工作人员不得泄露、出售或者非法向他人提供在履行职责中知悉的个人信息、隐私和商业秘密。在实际执行过程中，对执法部门也会有约束，执法部门要履行严格的审批程序，最大限度地降低可能对企业造成的影响。

网友：什么是关键信息基础设施？

答：关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成严重危害的网络设施和信息系统。《关键信息基础设施安全保护条例》已于2021 年 4 月 27 日国务院第 133 次常务会议通过，自2021年9月1 日起施行。

网友：我国为什么要加强对关键信息基础设施保护？

答：金融、能源、通信、交通等重点行业和领域的关键信息基础设施是经济社会运行的神经中枢，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。当前，关键信息基础设施是网络攻击的重点目标，其安全保护是网络安全的重中之重。面对当前严峻的网络安全形势，各国普遍加强对关键信息基础设施的保护，出台了一系列政策法规。

网友：为什么要求关键信息基础设施安全保护部门编制和组织实施本行业、本领域的关键信息基础设施安全规划？

答：各行业、各领域关键信息基础设施形态各异，支撑的业务千差万别，具体到每一个行业，其保护工作的重点、保护的手段等不尽相同。各行业主管或监管部门对本行业的安全本身负有管理职责，且其对行业内关键信息基础设施情况最为了解，对业务网络安全需求最为明确。因此，由行业主管或监管部门编制和组织实施本行业、本领域的关键信息基础设施安全规划最为合理。

网友：作为关键信息基础设施运营者应该履行哪些责任、义务？

答：关键信息基础设施运营者除了履行网络运营者的责任、义务外，还应履行以下责任、义务。

一是“三同步”的要求，即：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

二是设置专门安全管理机构、培训等五方面要求，即：设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练；法律、行政法规规定的其他义务。

三是国家网络安全审查要求，即：关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

四是签订安全保密协议的要求，即：关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签 订安全保密协议，明确安全和保密义务与责任。

五是数据出境的要求，即：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

六是开展安全检测评估的要求，即：关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。