在「攻与防」中洞察如何建设切实可靠的安全保障原创

各位线上的小伙伴们，大家晚上好，我们的直播将于19点准时开始，在此等候期间大家可以将我们的直播间转发到您的朋友圈，让更多的业内同仁看到我们一会儿见。

各位线上的小伙伴们，大家晚上好，欢迎参加腾讯云中小企业在线学堂，我是今天的主持人景怡。

中小企业在线学堂围绕中小企业业务需求，聚焦企业经营管理、应用工具、技术创新、安全底座四大需求场景，推出系列直播课程，全面助力中小企业数字化升级。以攻促防，以防驱攻，在攻防中不断演练和实践，在对抗中不断识别威胁，依靠这样的循环往复，才能不断提升安全建设的水平，做出让业务觉得切实可靠的安全保障。本期课程呢，我们有幸邀请了四位嘉宾，将分别从安全法规、安全合规、安全防护与业务驱动安全的角度，为大家一一解析网络安全的技术干货和实践。

好的，首先让我们请出今天的第一位讲师，高登科技信息安全专家王凯。王凯老师在企业安全合规建设和企业信息化建设领域从业多年，有着完整的解决方案和落地经验。让我们欢迎王凯老师带来基于资产与价值的企业安全合规体系的实践与探索分享，有请。呃，大家好，我叫王凯，来自高登科技，今天呢，我们基于从资产与价值的角度来探讨一下企业安全合规体系的实践与探索，然后我本人呢，也是在安全领域从业，大概有七到八年的时间，从我们之前的IDC的一个安全，再到我们云生的一个安全，以及我们现在混合运营的安全，全都是实践过，也搭建过不同的相应的安全体系。

高登科技是一家以发票数字化为基础，通过构建去人工化、在线化、科技合规的行业专业云设施，面向企业和监管提供财税服务的这样一个平台。然后我们的合作对象包括我们的各大的一些运营商，以及我们相关的一些地铁运行等等。然后在讲之前，我们先讲一下六月份国家市场监督局互联网信息办发布的关于数据安全管理认证工作的公告和网络数据处理。安全要求，这已经是我们现在相关的安全从业者的一个具备法律效应的一个标准。然后在这个标准下面呢，它不是针对某个产品的或服务的单独的认证，而是基于我们国标的一个标准规范，从数据处理的生命周期的安全技术要求以及安全管理要求两个维度来分析数据处理的一个行为和安全合规，这个也是我们高登在目前的数字化转型过程中的一个重点工作。

对于数据安全管理认证工作的开展啊，充分体现了国家对数据安全的一个高度的一个重视的一个情况，也将敦促广大的政企单位在相关的标准下面去开展网络安全数据处理的这样一个工作。然后通过这样的一个安全治理的一个体系建设，实现数据安全防护、敏感信息管理与合规的重要目标。呃，所以呢，今天呢，呃，课件呢，从大概从四个方向，一个是我们的安全风险应对机制，呃人员的安全，数据安全，以及我们现在在用的联系人架构的一个实践来讲解。呃，首先呢，安全风险以应对机制，目前的整个在我们的社会生活中啊，安全已经是呃，充实到我们整个生活的各个方面，呃，简单举几个例子，比如说今年四月份的时候，北京健康宝这边遭受到了一个境外的攻击，在使用高峰的时候。

然后六月份呢，我们有一个叫做超星学习通的这样的一个工具，它的数据库里面有1亿7000万多条的数据，造成一个泄露，其中有1000多万条的密码，然后同时啊，也是在六暂可能行业行业里面，或者说社会面比较传播比较广的西北工业大学遭受境外攻击这样的一个事件，给我们造成了一个很严重的损失。所以说呢，在整个的安全领域里面，我们一般会把安全的事件分为三个性质，一个是好的，一个是坏的，另外一个是中性的坏的，比如说我们刚才讲的黑灰产的一些攻击，或者说我们行业的一些数据挖掘，或者说一些竞争。对于我们企业来说，可能相对来说就是不利的，因为它会给我们造成一个损失，而且这个损失是没有上限的，可能会很小，也可能会让你倾家荡产。然后右上角的数据资产呢，它对于我们来说可能就是一个好的一个面，怎么说呢，就是说我们企业可以利用数据去创造我们的一个价值，进行我们收益的一个最大化，尤其是互联网企业，其实数据资产可能就是它的一个命脉。

比如我们常提到的一个大数据的生活是吧，或者说我们大数据出行等等等等，最后一个呢，呃，行业监管它是一个中性的，所谓的行业监管呢，你做好了，那就可以对你的呃，企业或者说你的合规层面有一个注意，如果你做不好的话，可能就是你的绊脚石，也可能是一个致命的风险。所以呢，我们高。跟科技在转型的过程中来说啊，我们呃，结合我们自己的自身的一些问题，以及这几年我接受自身比较多的几个方面，我大概整理了一下，因为安全威胁来说，呃还是比较多的，这里的话我们简单就这四个方面来讲。左边两个呢，内外部威胁也是我们工作里面提到最多的，或者最常见的内外部威胁，对于我们来说，比如说呃，外部的一些攻击手段，以及企业内部的一些校验啊，缺失啊，或者说我们的一些转入做的不好等等等等，都会给我们造成相关的一些损失，呃。

右边的话，这两个的话，一个是账号权限。在实际的生产过程中啊，账号权限是导致安全事故发生的一个集中地，集中点啊，真的是比较多，在而且在实际生产过程中啊，内部安全隐患相对来说对企业造成的危害更大。比如说我们的系统比较多啊，服务比较杂，管理不规范，或者说有一些企业的。人比较少，他根本就管不过来。所以说呢，最后我们呃，安全意识这一点的话，是落到人上面去。也就是说人员已经成为全球网络攻击的这样的一个主要的一个媒介，以及在以及在我们那个相关的一些报告里面可以看到，包括国际上的一些报告，现在对企业成最大风险的是人，而是技术。

非恶意用户的失误啊，或者或者说用户的一些，呃，敏感性缺失啊，是我们网络安全事件的一些主要的原因，其次才是第三方的一些漏洞啊，以及我们未修复的一些漏洞或软件，以及相关的一些软件供应链造成的一些泄露。呃，比如前几天，呃，丰田这边又为开发人员的一个失误，把云代码放在get上面，导致他一个相关一个30万客户的一个数据信息泄露，然后根据SNS202安全意识报呢，安全专业人员最关心的三大风险。呃，一个是网络钓鱼，一个是商业电子邮件。的一个泄露，一个是落后软件，其实这三个点啊，都我们的人员的行为密切相关，或者说全部都最最终啊，都是落到了人的身上。所以说安全意识计划不再仅仅是应对我们合规这样的一个工作计划，更多的是我们公司有效管理人的风险的至关重要的一个工作，也是我们所有的威胁点的一个趋势。

呃，在我们开展安全工作的时候，首先不管是我们的安全的一个从业人员一样，还是我们的管理人员，都应该把我们的法律法规做我们作为我们最核心的，同时呢，它也是我们的红线。这里我简单列了几个，比如说我们的个保法，网络安全法，数据安全法，以及下面的互联网账号信息管理办法，这个是今年新布的等等等等，这些我们都应该去了解，而且去深入了解里面相关的一些条款，比如数据安全法里面提到的。嗯。呃，第45条，相应的一些处罚条款，第29条，以及我们应该做哪些措施，来我们的有关主管部门报告等等等等，政策合规是网络安全行业发展。来说一个驱动因素，随着国际局势不确定性，网络安全现在目前已经明确是国家的一个安全策略了，我们国家现在出台的这些安全法律法规呢，不光有。

呃，不光对我们的那个蒸汽啊。对于我们相关的关员啊，都有详细的一个要求，规范出来的时候，那我们一定要去遵守，以数据安全法为例呢，写在法律里，写在法律里面的，当你发生损失定责的时候，做不好的话，就是定性的一个标准，可能对个人的同意，或者说对企业的未来的一个发展都会造成一个呃不太好的影响。所以说基于上述我们讲的这些问题啊，高登在实际的生产运营过程中，我们就尝试从人员和数据这两个角度开展动。动态梳理是从已知做起，从人的主动性来做起，而不是盲目的在系统边界上去做安全的投入。因为在传统的安全架构上呢，呃，我们更多的是基于边界来，还有系统是吧，这种情况下的话，我们投入是比较多的，因为你要买的东西很多，投入高，扩展性会比较低，同时呢，你不好去量化。

也不好去验证度量，这就造成一个安全投入呢，跟着我们企业的业绩呢，可能不成正比，这样的一个尴尬的一个局面。呃，当然这个也是相。同时呢，在新的监管要求下呢，又逐步的将安全规则逐渐的细化到数据业务以及人员。所以高端开展网络安全与功能一体化安全治理架构的时候，我们就基于数据和人员的治理，同时呢，我们也引入了腾讯的零性能架构，来做一个整体的一个安全防护。呃，最后呢，声明一点，就是说刚才提到的传统架构的问题。这个不是说传统的架构都是不好的，这个也是要区分使用场景，事物的存在一定有它的合理性，就现在很多厂商可能会大力吐槽传统的架构，呃，有问题啊，或者说不方便，这个我觉得大家要根据自己的实际的使用需求来判定，来选取合自身合适的一个架构。传统的边界和系统的模型在特定的场景下面，比如说隔离度比较高的场景下面，它还是有价值和沿用用，呃，它还是有沿用价值的，我们不能一概而论。

呃，基于我们人员和数据来治理呢，我这里列了一个安全治理大纲。呃，第一条呢，首先我们从数据角度追下去的话，我们可以把我们的工作方向很明确的梳理出来，就是说你企业里面有哪些数据，存在哪些经营活动。所呃，通过我们相关的法律法。法规的一些合规界限点，存在哪些风险点，那我们是可以列出来了。是吧，所以首先呢，在这个规划阶段，我们要完成资产的识别和梳理，这里的资产啊，我不单单指的是服务器啊，数据库，这个后面我会展开来讲，我们把人机系统、网络、权限、转入流程全部放进去，这才是我们核心的所有的资产，也就是说有风险的点都应该列入我们的资产里面去计算。

然后明确我们的安全需求，然后制定好我们初步的安全规划，第二条线呢，就是我们根据我们相关的一些机械。呃，相关的合规期限，制定我们企业内部的期限，比如说根据我们的安全需求，我们的外部管理要求，以及啊，像有监管的，有行业监管的企业呢，那我们就根据这些相应的条款，制定我们企业内部的基线和红线，建立规则和部署各类安全防护措施，这个阶段就可以上系统啊，比如说人工或者说自动化。实现。我们安全管理规划的要求，然后通过呢，你制定的期限和规则呢，建立自动或者半自动的一个安全管理体系，能做到这一步，相对来说就比较完善了。但随着我们能力的进一步提升呢，我们可以通过内外部的一个安全扫描、安全测评、安全评估。去进一步发现问题，通过我们的安全运营平台或者说人员，然后验证安全体系是否科学，是否满足你当前的合规性，然后持续去补充完善，有条件和能力的，我们在联动安全管理平台，建立态势感知体系和自动化编排响应体系，这种是最好的。

强调一点啊，基础建设虽然看起来会比较简单，但是真正想做好其实还是比较难的，还是需要投入比较比较多的一个精力的，很多时候呢，从上呃，制约上层发展的往往就是我们的一个基础建设了。呃，首先第一个呢，基于资产统筹呢，这里讲。一下，因为我在外面去给一些我们的兄弟公司讲课的时候，经常会发现一些问题，他们做资统筹的时候会怎么做呢？他们往往是以数据库为点东。盘点好。那就行了，其实这里的资产统筹啊。我指的是资产的整体的一个安全发现能力，它不光包括我们的服务器、数据库，以及我们的系统、平台、域名、终端，甚至我们的API都应该包含进去。我这里把人列为资产的一个。

为什么呢？不是对人的不尊重啊，而是纯粹的从安全风险节点来看的话，人员也是安全资产的一部分，通过这些资产的梳理呢，可以协助我们进行全风险优先级评估的一个能力的建设，比如我们自动化安全评估漏洞优先级V那个V技术的使用，是吧？这种情况下的话，你一定要明确你有哪些资产，因为我经常见到很多企业或者说我们的组织啊。他甚至不知道我们有哪些域名，我们哪些系统平台，更别说API，可能自己都不知道有哪些A。所以说资产梳理是很重要的一步，当你梳理好以后，不管是我们后面对接SOC也好，这些也好，或者日志归集告警也好，这些前期的工作对我们来说都很重要。所以说高的安全治理体系第一步转型呢，我们也就是从呃人员来开始了，从最小特权的一个访问来进行的。

因为攻击面我们可以看到，刚才也讲到，就是说大多分布在物理面和数字面，从资产的管理者角度和攻击者视角，都是我们做安全这些应该去关注的，就是说不要光关注你有哪些物理资产，你应该去关注你哪些所有的信息资产，以及这些信信息资产所能带来的一些利用和一些威胁，这种情况下才可以真正完善的一个系统资产的一个梳理。第三个方面，我们的一个人员安全高，这边刚才也讲我们从最小特权开始做，从人员的一个限梳理开始做，所以说我开始我们因为最初的始的实现一些相关的一些，呃，设备认证啊，或者说做一些那个特权，特权账号的一些识别，这是不好做的，所以说我们就通过识别用户。

呃，协作账号，关联账号以及访问的目的系统，建立账号的一个访问模型，基于这个访问模型呢，建立我们账号的一个机械，当然这里的账号相关的连的一些信息啊，比如说他的岗位，部门状态，系统权限等等等等，都要有一个明确的记录，呃，这里要强调一点，二面这里不。人的账户也包含我们一些机器账户，或者说我们的一些子的一个功能账户。怎么说呢，就是说我们的研发在日常的，呃，开发过程中啊，或者说我们运维管理过程中，会有很多相关的这种机器账号，它是没有人员授权的，或者说他也不能访问控制台，但是它可以调用你的数据接口，可以调用你的程序接口，这种情况下的话，你一定要识别它的权限，它有哪些。

动作可以做，比如说他是要下载还是要修改，还是要删除。很重要，因为很多企业发生安全问题的时候，都是在这种子账号上面出了问题。然后基于我们的这一，呃，基于我们这一段呢。人员管理明确以后呢，我们就开始建立我们的一个审计模型，开展了我们的身份管理检测与审计系统。它就是基于身份认证管理的一个延伸啊。嗯，在这里我们前文提到的一个合规机线，他就呃，实实在在派上了用场。也就是说我把我们相关的身份识别，登录验证，行为合规这些等等等等，所有的管理机线全部做成一个识别识别表，同时呢，结合我们日常呃，日常的工作里面的一个安全攻击检测，比如说我们的账户攻击，缓慢攻击帮你破解这些等等等等，形成一个完整的管理层面和技术层面的一个安全基线。

同时呢，在我们的用户数据、岗位数据、组织数据、应用数据这些完善的情况下，结合我们的数据字典的标签，最终形成我们的一个安全风险模型。这个系统的话，可以在用户访问阶段就完成简单的攻击检测与审计，基本上它可以作为一个微型的防火墙来做，呃来用，当用户这边登录到系统以后去再从后台系统做交互的时候，我们会投入第二层、第三层的一个防火墙，这种情况下的话，它的整个防护层面会有三个层次。我们的应用负载来说的话，压力会比较小，同时安全性会更高。呃，后面的话我们讲了第四，呃，下一方面我们讲我们的数据安全，数据安全体系呢，刚才我们也讲高登在进行数据安全体系化设的时候，参照的就是C9这样的一个具体要求，其实当年我们做的时候，一九年的时候，当时M这个能力已经。

整个能力模型已经出了，已经出了，当时我们参考的就是这个DM的一个能力模型来做的。呃，首先呢，它的第一个层次呢，是对我们现有的企业里面的数据做一个分类分级，也就是说基于数据资产分类分级的话，关键技术我们都要去掌握和使用，基于数据分类分级完成以后呢，再做我们的资产的一个分类分级，这个可能会有有些同学会问，为什么不先做资产，而是而是先做数据。因为数据，我们管控和保护的对象。而资产是我们数据的，可能我们数据的一个载体。所以说当我们资产这边，比如说我们的服务器、数据库去承载应用这些关键数据的时候，它本身就是跟我们的数据标签是同一个行为来的，这种情况下的话，我们对于我们的资产的分类分级的话，可以保证我们的数据分类分级一个维度。然后第三个层面就是建立我们自己的合规期限，当你当你的数据跟你的资产全部分类分级，以及打好标签以后呢，你就可以把你的相关的一些管理体系和数据安全技术体系上面的所有的一些合规机，以及你的安全管控要求做成一个呃识别段，这种情况下的话，所有的那个工作信息呢，都可以得到一个有效的识别，和我们进行我们下一步的一个风险的一个防控。

这种情况下，当你的所有的信息都可以识别到的时候，你就可以把你的防控精确到业务和主体，然后持续的去发现和纳入管控。最终呢防控，下一步呢，就是我们的一个安全审计和追溯。审计一审计一定是必要的，而且审计的记录一般我们是要保存六到，呃六个月以上，六个月到一年，呃，像我们高呢，我们是保留了所有的审计记录，就是我们所有的操作，所有的信息安全事件，都有一个详细的一个审计审计清单。基于上述的五个层面全部做完成以后呢。

呃，就我们就可以基本上可以做到一个精细化的一个动态管控，就是说比如说一些未发现的一些数据风险，或者说我们新增的一些数据字段，就可以有效的做一个实时发现，然后数据，呃另外一个在那个化动态广场景啊，我们也可以做一些数据的数据库的一些透明，呃，透明加密啊，或者说做一些相关的一些整合。当然，这些我们这里就不展开细讲。呃，这里给大家重点介绍一下我们那个DM模型啊，这个现在是，呃，可能做的企业不多，或做的认证企业的不多，呃，它整个整个下来跟我们的DCMM可能会有点像，如果做过DCM的一般会知道它是包含四个能力维，五个能力承受度模型，然后这个跟DCM相似。另外一个会有七个数据安全过程维度，以及30个数据安全过程，这里面从数据的整个生命周期啊，从分类分到采集，一直到我们的后面的审计响应都写的很详细，会有一个详细的标准，如果说你把这些所有的30个过程全部做完的话，基本上可以实现合规性，呃，可以满足我们所有的一个合规性了。

呃，这里给大家讲了一下我们整个数据资产的一个安全建设流程啊，从动态静态以及到我们的评估监测以及风险管控措施，这个是比较简单，就那个市面上所有的书籍也好，或者相关的课程里面也好，都会提到，呃，这里就不展开讲，大家去看一下就。可以。呃，最后一点呢，提一下我们的零的一个架构，呃，高登科技呢，我们也是在一九年正式引入零架构，然后也是同时在一九年呢，我们开展了我们的数据整个安全过程的一个治理。呃，我们采用的是零的，呃，腾讯的零这样一个解决方案，目前的零架构不光是在云里面，或者说在私有化，私有云里面都是。

安全的一个态势吧，或者说整个安全的一个基础。呃，零星任呢，属于多因素的一个安全验证，然网络分析和工作负载治理微隔离啊，一般会放在那个的后期来做，你像我们高登啊，类似于我们高登的实践方案呢，就是说从最小特权访问与份管理I'm开始做起，以及我们特权访问管理PM相结合，最终形成我们一个用户的一个账管体系，账号的用，这就是我们开始啊，开始做管。审计的原因。然后呢，我们高登呢，也是优先实施了这样多因素认证啊，网络分析啊，微隔离啊，相关的这些模块的一个上线，上线完成以后呢，根据我们的相关的一些强身份验证啊，自动风险检测，然后形成了我们的一个rds风险监控平台，然后企业的领星人的架构啊，基本上越成熟啊，或者说就越能保证我们相关的一个成本，它不光在你的工作上面会带来一些便捷性，对应的整个管理层面，或者说你的整个的数据安全流程的可视化层面来说会有一个质的提升。

也就是说通过我们的安全一体化，或者说我们的网络隐身啊权限等手段来实现我们连线的四个的可信安全系统，这个对于我们的云环境，或者说对于我们的整个的一个稳定高效的一个企业资源的管理层面，或者说对于我们的人机功效这个层面有一个非常大的提升，整个提升呃比例我们当时算过超过50%的。然后高端的离线介绍模型。行呢，我们也是走了三期，第一期的话，我们是代替了传统的一个那个V或者相关的一些A的这样一个网络界，然后第二期的建设呢，就是我们真正的把我们的呃系模型啊，构建到我们的业务系统里面去，第三步的话就是说我们完成了一个终端的箱啊呃网络转入这里，呃就不展开介绍。

关于网络安全这一块的话，其实零呢也是比较好用的，就是说通过刚才我们讲的替换一些V，或者说建立我们终端的一体化，或者说我们屏幕水印管控审计这些可能表面上我们看来是一些办公场景的，但是说对于办公场景的管理和业务管理的联动，对于我们来说是有一个非常有效的一个帮助。呃，零的方案对于我们企业来说带来的价值啊，大概有三个层面，一个是提高组织的一个捷性。一个是比较安全的一个云的安全，比较安全性的一个云迁移，就是说云上的一些服务，我们不管怎么去改动和变更，只要我们联系的网关在这里，那对于我们来说的话，相对来说的话，我们就可以更快捷的去做一些我们相关的一些服务的迁移。然后可以更好的。这是我们的企业的一个数字化的一个转型，现在的话高这边的话，我们员工去访问我们的后台系统也好，访问我们相关的一些，呃，业务系统也好。

或者说我们相关对外的一些商用系统，大家都可以通过临时一个网关去快捷的去。然后当我们所有的基于数据和人员的体系建立完成以后的话，我们就可以做一个查漏补缺了，就是说最后的一个能力补充，比如说再看一下我们物理终端这边缺乏哪一些相关的一些措施，在我们的访问控制这边有没有相关的权限的一些没有跟进，然后数据加密，然后企业的相关的一些网络隔离，以及其他的一些措施，比如说容错冗余啊，或者三高。高可用、高性能。呃，以及高发这样的一个能力，下面的一个安全管控等等等等这种场景的话，这种场景下的话，对于我们企业的整个的管理角度来说的话，我们的安全可能会实现更高的一个价值，也会提高安全的一个透明度。就是说让管理者真正的能看得到，摸得到我们安全相关的一些整个的一些制度流程，到管理，以及到我们最终的结果展示这个层面。

呃，今天就讲到这边，感谢大家。好的，感谢王凯老师让我们关注到了高端科技的技术落地经验。如今很多企业服务都需要云端的支持，那业务上云面临哪些的安全风险呢？如何构建安全防御体系成为企业上云的一门必修课程。下面我们有请今天的第二位嘉宾，腾讯基础安全资深架构师张飞张飞老师，他将带来关于面向实战化攻防视角下的云上基础安全防护架构的分享，大家欢迎。嗯，哈喽，大家好，我叫张飞，嗯，欢迎线上的老师参加今天的在线学堂，今天给大家分享的内容是面向实战化攻防视角下云上基础安全建设防护架构。今天将从以下三个内容开启今天的分享，云上业务上云将面临哪些安全风险，如何构建云上基础安全防御体系，云上安全建设价值和优秀实践。

数字化转型是企业生产力变革的重要战略。业务上，云是企业数字化转型的首选。据IDC调研报告显示，企业在业务上游过程中所面临的挑战中，安全问题排在首位。另一方面，疫情催生史上最大规模的远程办公。据IDC数据调研显示，企业在近几年不断增加远程办公方面的投入，提供安全方面的投资是最快的。接下来我们从攻防的视角来去看众多的安全事件，我们会发现，黑客启动攻击的时间和数据窃取的时间往往是分钟级甚至是秒级。而企业入侵发现的时间和应急响应的时间一般是天级、周级、月级甚至是年级黑客。在整个攻击过程中，黑客的分工写作越来越体系化、流程化和工具化，在整个攻防不对等的背景下，这也提醒我们的企业要花费更多的精力关注云上安全。

避免企业因为挖矿木马而导致主机的CPU、内存消耗殆尽而使业务宕机，避免企业的关键数据被加密勒索而遭受经济损失，避免企业的关键数据被泄露而影响企业的股价声誉的。云上的安全分为s pass s等三个层面。包含主机安全、网络安全、应用应用安全和数据安全等多个维度，同时在国家监管层面也要求企业满足网络安全法等等募捐安全法等法律法规，共筑国家层面的网络空间安全。这里给大家分享两个真实的案例，第一个是游戏行业某头部客户黑客其供应链系统，黑客通过其供应链系统窃取了该企业大量的游戏代码，然后甚至放到暗网上去进行一个售卖，导致该企业的股价大幅度的下跌。第二个是企是一个企业客户，他的信息化安全架构是采用混合融的一个架构。

但由于网络边界并没有去去做精细化的防控控制，导致黑客拿下了IDC某一个业务系统的权限，通过横向扩散，黑客公有云上窃取了大量的个人隐私数据，立马相关的数据在案网上售卖。这是两个很真实公寓房的一个案例，那安全没有小事，那企业在面临真实的安全事件的时候，会发现遭受大量的经济损失，甚至影响企业的声誉。整个云上安全是由腾讯和企业共同承担，共同建设，腾讯云主要提供云服务基础设施方面的安全。企业需要围绕着自身业务系统进行数据安全、应用安全、平台配置安全、网络安全和主机安全等方面的建设，面临云上更多的安全风险，我们希望能够为企业提供全面化的、一体化的安全解决方案，从而延迟和阻止黑客的攻击。腾讯安全通过一个中心三道防线为企业构建高效的云上安全防御体系。第一道防线是指以道高防包云防火墙为核心的网络边界防线，物防出入口扼守战略要道，聚集于门外，压倒防线是以主机安全零信任为核心的资产护卫队，通过身份安全和主机安全的互动。

针对云上关键资产进行贴身防护。第三道防线是应用安全，以外面应用防火墙为核心，针对企业核心外部应用进行安全防护，避免遭受黑产攻击的一个中心是指安全运营中心，安全运营中心可以围绕企业涌上资产网络安全进行定期体检，实现威胁全局可视，并且提高企业云上安全运营效率。通过一个中心三道防线，可以帮助企业解决以下场景安全问题，第一，挖矿、勒索等安全事件的防护，第二，企业围绕着云上关键的核心业务资产，会购买更多的安全设备，如何提升企业整体云上的安全运营效率和项的，第三，在疫情下面临常态化的远程办公需求，如何兼顾用户体验。

同时又能够保障后端业务安全。最后，在没有网络安全就没有国家安全的大环境下，企业如何快速满足监管合规，形成常态化的安全保护？接下来将通过这四个场景为大家进行一一介绍。在勒索挖矿已经实现产业化的今天，黑客的攻击门槛是越来越低，攻击目标更加精确，攻击工具、攻击工具愈发先进。脂肪先知工黑客主要先通过自动化扫描工具进行边界嗅探，利用互联网上暴露资产的脆弱性和暴露面进行网络边界突破，从而获得内网主机权限，以该内网主机为跳板进行横向扫描扩散勒索病毒、勒索病毒、挖矿病毒等投放，从而进行获利。从黑客整个攻击过程中，我们会发现，黑客的攻击会涉及网络和终端两个层面，要想有效的解决挖矿、勒索等热点事件，我们是需要通过网的防线和端的防线进行紧密联动，建立纵向安全防御体系。互联网上非必要的。

磁场和端口不暴露，主机、应用系统等层容器等层面的漏洞要及时的修复，针对实现和受控主机的外联行为、横向扫描行为要及时的拦截和阻止，云上的资产要形成常态化的体检，以形成预防、防御、检测和处置的安全闭环。非必要不暴露是指以融防火墙为核心，针对互联网暴露面进行排查和梳理，一键登录和拦截不必要的IP和端口。主漏洞包含主机和网络两个层面，主机层面是以主机安全和容器安全为核心，针对主机漏洞、系统漏洞、业务漏洞等方面进行一键排查和修复，在网络层面以外边用防火墙和云防火墙为核心，针对网络层面的漏洞利用行为进行实时检测和拦截。同时，云防火墙能够为企业提供入侵防御和虚拟补丁等功能，也就说是企业在业务不需要停机的情况下，云防火墙就可以进行安全防护。

管外联是主要针对事件和受控主机横向扫描行为及恶意IP域名通信行为，主要通过主机安全进行恶意文件、木马等一些隔离，通过防火墙针对CD通信的连接行为去进行阻断、隔离和告警。长地建以安全运营中心为核心，针对云上资产进行梳理、配置、检查、风险评估，实现云上安全问题早发现、早处置。越来越多的企业将自己的核心业务系统外部化，并且通过外部应用。网站H5页面等进行活动的促销、活动的宣传，若相关的活动遭受黑客的攻击，则会给企业带来经济损失和声誉影响。腾讯安全以外B应用防火墙为核心，为企业提供业务应用安全和业务运营安全。业务应用业务应用安全能够有效的抵御外部入侵漏洞应用数据泄密、网页防篡来等网络攻击行为，业务应用安全基于规则加AI引擎，能够有效的识别防御恶意机器人或爬虫域名劫持CC攻击的同时，那边用防火墙基于中间人代理的方式，可以代理前端的用户进行后端的业务系统访问，从而避免企业关键的外部应用系统直接暴露在公网上。简单的来说，外部应用防火墙是更懂客户业务的风险管理的安全助手。

通过前面场景的介绍，我们会发现云上安全建设是需要购买主机安全、云防火墙等安全组件，但实际上企业的安全运营人员就一个人，对于众多的安全组件是南京通难管理。另一方面，若发生安全事件，我们会发现关键的安全日志和数据是散落在云防火墙、主机安全等动作的组件上，企业是很难还原黑客，它是它的一个完整的攻击过程和流程的。比如说我是不知道黑客是什么时候进入到我的网络当中的，恶意程序在我的主机上既执行了什么样的一个动作，缺少全局的视角对整个的威胁进行跟踪分析和处置。

能源安全基于安全运营中心构建云上安全大脑，它能够将散落在云防火墙上、ma安全组、主机安全上面的日志进行统一收集和分析，基于事件威胁运营的角度，帮助企业寻找高价值的告警，以完整的时间线还原黑客整个攻击过程和内路。同时，安全运营中心基于剧本和自动化响应技术，能够联动云防火墙进行恶意IP域名的分录，能够联联动主机安全进行恶意文件、木马的隔离。以前企业事件恢复的时间往往需要180分钟以上，现在仅仅需要两到五分钟。安全运营中心支持云上配置检查、数据泄密分析、用户异常行为建模等，能够帮助企业的安全运营更加全面、更加丰富。企业数字化转型，5G云计算的新技术应用，导致企业的网络边界越来越模糊。另一方面，疫情催生史上最大规模的远程办公，其中安全成为防护短板，如何兼顾用户体验，又能够保障后端业务的安全，成为所有企业关注的重点。

腾讯安全以零信任架构为核心，为企业提供安全办公接入方案。信任从零开始，企业员工无论什么时间、什么地点、什么网络，都可以访问到自己所属权限的业务系统。林信任将终端安全、身份安全和业务安全进行有效紧密的集成。同时，林信任支持企业员工通过轻量的客户端、浏览器、企业微信等便捷的方式接入访问后端的业务系统。零信任原生架构是控制中心和接入网端分离的。它能够确保用户接入防我后端的业务系统的链路是加密的、安全的，它同时又能够避免传统VPN漏洞频发、多云接入等限制的问题。这里做了很详细的零信任和传统VPN的功能对比，我们会发现无论从系统上线部署、用户体验、弹性扩容、运维管理、多元接入还是交付周期，领先生相比较传统的VPN，它都有很大的提升，甚至在一些功能上进行了重构。我们以用户接入业务系统为例，以前用户访问我的业务系统是需要输入VPN的域名、VPN的账号名、密码、业务系统的账号名、密码才可以访问我后的业务系统。现在领先任仅仅需要输入业务系统的域名、账号名、密码，并以最小授权的方式并可以访问后端的业务系统。林先生，他是以身份为边界，重塑企业的网络办公边界，他既能够兼顾用户体验，又能够保障后端业务权限的安安全。

满足监管合规是每一个企业应尽的义务。网络安全等级保护条例为企业信息化建设提供了安全建设的标尺。企业获等保释包含了系统定级、系统备案、建设整改、等级测评和监督检查五个过程。其中系统定级备案是指确定企业被保护业务系统的安全等级，同时企业需要向行业主管部门、公安机关提交定级备案材料。在拿到备案号后，企业可进行等保预测评和建设整改工作。由于等保涉及技术和管理两个维度，其中等保二级通用测试条例共135项，等保三级通用测试条例共一两百一十一项，企业在整个建设过程当中会消耗巨大的精力，甚至需要找一些第三方等保服务机构去进行一个协助，在企业完成了整个技术和管理两个方面的建设整改工作后，测评机构去进行测评。

以70分为及格线，进行优、良、中、差等级评分的一个判定，最后公安机关对整个过程进行监管、审核和检查。通过前面的流程介绍，我们会发现。

通过前面的流程介绍，我们会发现企业过等保的时候，会涉及到和腾讯云等保服务咨询商，测评机构玩公安机关去进行一个对接沟通，这对于企业来说是巨大的精力的一个消耗。腾讯安全可以为企业提供一站式等保服务，包括了云上安全产品售前售后，产品配置优化管理和技术建设整改测评机构对接的。企业只需要对接腾讯云项目经理即可以轻松的通过担保满足监管合规的需求，这里放了一张云原生安全防御体系最佳实践的拓扑。我们通过这张拓扑。再来回顾一下刚才介绍到的四个关键场景，首先，通过D到斯高防暴云防火墙主机安全构建网端联动的安全防御体系，它是能够有效的防御摸索、挖矿等安全攻击。其次，通过那B应用防火墙，针对企业核心那B业务进行安全防护，能够有上的避免企业相关业务被薅羊毛、恶意注册等等等等。然后，安全运营中心为企业构建云上的安全运营大脑，它能够帮助企业梳理云上的安全资产，进行风险评估，以全局的视角展现整体的威胁运营，同时它能够联动云防火墙主机安全进行事件的响应和处置，能够极大的提升了企业业务云上安全运营的效率和效能。最后，以等保合规为企业信息化建设的安全标识，围绕云上资产形成常态化的保护，在这张PPT的右边也放了企业过等保所需要的一个。

安全产品的清单，提供云防火墙、挖5G安全云堡垒机、数据审计安全、运营中心为过等保的必选项。通过这张最佳实践的拓扑企业是能够抵御大部分网络层面和黑客的攻击，同时又能够满足监管合规的需求。腾讯安全基于多年的沉淀和积累，已经服务了众多行业的客户，包括金融、游戏、视频、出行、电商、文创、物流等等。以电商行业某头部客户为例，我们已经为该客户提供了双11、618。

等大部活动的安全，安全解决方案，确保其业务系统在活动期间的安全，避免被黑客攻击、遭受恶意注册、薅羊毛等。在整个活动期间，其客户的安全问题是零零问题，比如说没有发生任何的安全事故，我们收到了该客户的好评，还有感谢信。最后给大家介绍一下腾讯安全的核心优势，首先腾讯安全基于腾讯自身海量业务在安全方面运营的一个沉淀，是能够更好的理解客户真实的一个安全方面的诉求，同时将基于自身最佳的一个安全实践提供分享给更多的企业。腾讯安全成立了七大安全实验室，拥有众多经验丰富的安全专家，同时腾讯安全斩获了国际权威报告，打断多项领域专利申请量排行业第一，截止目前为止，腾讯安全已经服务了18大行业，不达客户百万量级，腾讯同时也建立开放合作的生态体系。腾讯安全是。

希望成为企业数字化转型升级的安全战略观，呃，我这边的内容分享就到这，谢谢大家的观看。好的，感谢张飞老师为我们带来云上安全的相关实践。接下来有请我们今天的第三位嘉宾，他是来自腾讯业务安全资深架构师王翔老师。王强老师负责腾讯云业务安全解决方案，先后呢为数家饭户头部客户构建过业务安全整体风控体系，下面有请他为大家带来业务驱动安全，业务安全的感与控，有请。我是腾讯业务安全的log，那今天很荣幸跟大家分享我的这个主题是啊，业务驱动安全，然后整体业务安全的港与控，那我本次的分享呢，会分为三个部分，从热点事件看被忽略的业务安全，也可以让大家更多的理解什么是业务安全，那包括在政策当下以及合规体系下，我们如何去建立整体的安全合规，以及完成整体的企业降本增效，那最后呢，也会跟大家分享业务安全的一些典型的案例和一些经验的布控。

那针对第一个部分呢，其实我可以跟大家聊一下近期的发现一些热点事件，那我这边罗列了三个盘子，那第一个就是关于生活，那像刚刚结束的这个电商618，包括抖音这个717的这种活动，它其实会出现非常多这种薅羊毛，包括在疫情期间出现一些这种这种高手啊，通过这种刷脚本去做这个抢菜这些动作，那这里面呢，其实我们会发现在这类的黑灰铲作恶的时候，会把整体的平台里面打，打入非常多的这种脏数据，那这个时候呢，用户他去推送做这种数据运营的时候，数据的剥离是非常不精准的，也导致了整体的线上黑禅堆积的这样的一个问题，那包括在疫情期间会出现一些，呃，整体的敏感信息的这种传输，包括有些造谣啊等等，那以及我们近期看到这种啊，周杰伦老师发的这个音乐版权需要去做一些保护，包括小满事件这种超袭事件，去做针对高价值内容这种保护，去做一些敏感信息的这个传输。

那在居家办公的这段期间，非常多的这个未成年人去做这种，呃，游戏的这种打赏啊，包括直播这种打赏，那我们通过关于下一代的这个保护，推出了一些未成年人保护的相对一些安业务安全这类机制，那其实通过上述的一些热点事件分析，非常可以清晰的看到我们当前业务安全的一些痛点，那右侧呢，是非常直观的中国移动社交用户的数据规模，以及以及整体的这个预测，那可以看到在呃一六年到二二年，它整体的用户规模是不断提高的，那当然在这个规模不断提高的过程中呢，也伴随着一些合规体系的法律出台。

那应运而生的就是导致了内容包括整体的黑产不可控，导致平台以及企业整体运营的商业化成本非常高，那针对上述的三个问题呢，我们也可以看到当下的一些政策，那这边是给大家罗列的是一个用户增长的一个趋势报告，那非常清晰的可以看到整体的互联网增长周期之内呢，当用户的获客成本是非常高的，那包括整体的用户规模增长的这个率是逐年递减的，那我们看到非常多的这个厂家出了这种抢红包啊，做任务啊，用户拉新注册有奖等等拼团这类活动，去拉非常多的客户获取，那在这个环节里面呢，会出现非常多的黑产去做这种欺诈手段，完成薅羊毛，实现变现跟逃利，那所以说对于我们这个平台运营是非常痛的。那以及在一些互联网监管政策下，我们去整顿了一些这些行业的一些乱象，比如说我们定期会配合这种网信网安去做一些清朗系列的这种专项整治，针对一些网络直播，包括短视频的一些呃领域，去针对色丑怪、假俗赌等一些各类违法违规的一些直播以及短视频去禁止遏制未成年人牟利，包括一些劣鸡人的这个付出，以及整体的违规账号去等等啊这种割韭菜的一些行为，包括非常多这种擦边前往去做一些呃明令遏制的这种违规行为，那其实伴随着内容形态的这种多元化，我们需要通过一些安全产品去针对这些内容的一些呃宏观的一个整治，那以及在未成年人保护当下呢，会有非常多种黑灰产，借着这个口号，借着这个帽子去做未成年人的这个打赏，回头平台充了钱之后呢，以这种恶意退退款的这种形式，去做这种冒充的这种动作。那针对上述。

提到这三个问题，我们可以根据我们，呃，我接下来这个分享这一趴，去看我们如何针对上述的一些热点事件去做一系列这个解决方案的一些应用。

那首先呢，我们整体的业务安全，它其实基于我们非常庞大的这个生态体系，那通过这张图可以看到，呃，我们自己的这个生态的社交数据，包括工具生活以及整体的支付生态里面，它有非常多种场景拟合，以及一些自建的一些能力在这里面的，那基于这些场景呢，我们把业务安全罗列成了三个大，三个大的板块，那其实也是根据综合场景的应用，从营销场景以及社交场景入手去完成企业的降本增效，那它的底层逻辑，它其实也是配合着我们整体的呃，这个政策去做相对一些合规要求，那在业务安全里面非常有意思的，就是说我所有的这种业务形态，它都是配合着用户去做这样一些合规整治，比如说我在这个APP上架之前，我需要去做一系列的这隐私合规，防止频繁调取用户的这样的一些呃，违规行为，或者一些违规数据，那有了这样的APP上架之后呢，我需要导入不同的这个客户去做这类的广告推广，那这个时候会有这个渠道反作弊的这个需求去。

这笔无效流量，那在用户进来之后，他有非常多的这种下沉的业务事件，比如说他有注册啊，登录啊，提现啊，领券等等，那在这个环节呢，我们其实也引入了非常多的这种无感验证验证码，包括下行的一些息的这种短信，去做这一类的这种安全赋能。那伴随着用户涌入到我们这个整体的生态里面，它会去做一些这种内容的分发，那针对这一块的我们会去做一些内容合规，内容审核，那再到下一层它的这些提现，包括一些具体的这种打赏环节，我们会注入我们的多因子身份认证，去做这样的一个合规，然后再在下一层我们再完成整体的这种内容变现，一个是我们针对平台的这种高价值的内容，以及up主去做这种版权保护，那这是一个全场景的业务安全解决方案和它的一个整体需求场景。那我们可以具体看一下，那比如说在前期我们在APP上架之前，我们会去做这样的一个隐私合规的一个检测，那可以看到整体的数据啊，每年的这个工信部它都会去做对应的这类隐私合规的一个检测，那其实合规这一块一旦发现问题，我们是要在短期内在一周完成整改，那否则的话APP会被应用商店下架，那下架的这个呃，重要性呢，就非常可见，包括你后续的这个平台运营，包括之前的这个用户广告，那都是打水漂了。

那针对这一块呢，其实我们会从三个方面去做这个深度的剖析，比如说从这个行为啊，然后去根据的这个搜集隐私行为，去做一定的这个合规检测，以及不同的这个权限合规的检测，那这里面呢，它其实会对APP的敏感权限，以及它的这个使用情况去做一些玻璃合规的一个检测。以及我们现在很多这个呃APP啊，包括小程序，它会里面录入非常多的这个SDK，那针对三方的SDK的这个行为权限，以及通信等内容，我们也会去做对应的这个合规检测，那整体的它的这个识别逻辑就是呃，您这边给我们整体的这个APK，我们去做这种打包的，就隐性分析，然后会给您一个非常完备的隐私合规的一个报告，协助您去做这些整改，然后配合您去落实，快速恢复上下。

那伴随着用户涌入到我们这个生态平，呃，这个生态平台里面之后呢，我们会去配合您根据不同的业务形态，下沉的业务事件去做不同黑产的买点，那比如说我这个用户，他在注册登录的时候，发现非常多的用户在做这种养号啊，观望，包括设备多开这种账号风险的这个动作，那我们有这个二层的这个通用策略体系，以及底层的兜底模型策略，配合着去做一系列的这个分布，那我举个例子，比如说呃，我会针对这个用户设备层面，比如说多开啊模拟器去做一定的这个深度剖析，包括在用户的这个IP，包括手机号去做一定的这个域的联，那包括我还可以根据这具体的这个属性啊，这个聚商去做一定的啊关联分析，以及它的后续在业务行为里面的一些频度行为去做更深度的风险画像，那配合着我们整体的有监督跟无监督算法以及风险传播的算法，去完成一整套的用户画像体系。

那其实呃，这一块。诶，不好意思。啊，那其实在这一块的场景里面，在今年我们其实呃有配合着这个自己的生态部门去做一些广告场景的这个产品迭代，那在这块场景迭代里面，我们联合了这咱们的这个广告平台去做了一系列的广告场景的这个赋能，通过双向的这个联动解决了网站类的这个客户，比如说呃平被平台封禁变现啊，比较被薅羊毛，包括这个买量渠道参假的这类黑产渠道的问题，去做了一系列这个量化封禁，那在广告场景在我们整体的账号画画展这个体系里面，也达到了非常高的呃好的这个R这个转化。

那在用户涌入到我们具体的内容生态平台里面呢，我们通过这样一个API的对接方式，接入我们内容审核，去判定平台内的用户是不是有一定的违规，那其实针对内容板块，我们会把整体的内容生态分为图文、音视频四个板块，那通过API这种对接方式呢，我们会决到我们的这个数据链引擎，根据不同的模块能力，比如说我这个设黄色孔去过这样的一个决策引擎啊，风险会输出给您一个违规时间，违规类型，以及对应的这样的一个违规处置建议，那伴随着这个风险评分，您可以根据我们的这个一级二级标签给业务去做一定的这个判别逻辑，那其实在文本这一块，我们核心会注入我们比较庞大这个语识别能力，通过不同的素材解决了一些题，然后子形镜子等一系列的这种文本复杂问题，那包括现在图像这类的话，我们其实自己的生态系统也在用这样的一个，呃，天域的这个算法能力，那它里面它其实会录入非常多的。

的，比如说用户的这个动作广告的二维码，包括一些实时的场景的一些定制的这些图片，包括一些呃，有效的这种logo，我们都可以去做一些实质的分析，那针对音频这一块，我们会把它剥离成两个部分，那第一部分就是整体的asr音转文，那它这个asr音转文之后呢，会走这个文本的模型，那另一部分的这个音轨，他还还会还，他还会去分析整体的这个低俗场景的这个声音啊，比如说这种声音啊，娇喘之类的，会去做一些二次的这个判定。那其实针对这一块产品，我们也去做了一些云上的集成，在我们这种cos对象存储，包括云点播，云直播，以及g me tr TC一系列的这决策引擎上面，那也协助企业去做一键开启审核，包括我们可以配合着整体的这个用户去做不同的储的这个清洗啊，然后也在我们自己的内部生态，包括去做这种通信审计的这种协作工具，去做一一体化的这个整体的运营。针对内容审核的这个链路结束之后呢，它需要对整体的生态内部高价值内容去做这样的一个保护确权，那这一块是我们自己自的一块版权内容的这个审核，那里面它会有伴，呃，伴随着非常多的这种生态能力，这个赋能，也可以看到下下面的这个链，有我们自己的这个QQ音乐，包括企业号，腾讯视频，腾讯游戏文集团，包括腾讯新闻去做这样的一些链关联，那在这一类的这个授权关系库里面呢，我们会把它分析以及加入我们整体的IP库识别，以及录入整体的内容生态里面这种图片指纹，长视频指纹，短视频指纹去做一些整体的分析，那针对版权这一块，我们会把它分为三个链，那从第一个链大家可以看啊，它是一个确的一个动作，那针对用户上传的这个作品们首先会去过这个内容审核，判定它这个内容是没有违规的，那然后我会呃，走到我们内部的这个流转数据库里面去分析这样的一个版权是不是查重啊，是不是有这样的一些，呃。

不是自研呃自写的这样的一些功能，那这那在这一块的时候呢，我们会去做这样的一个确权的这个存证，那这一块它其实是跟呃，我们北京方正功能输出中心去做这样的一个缺陷认证的，那这一块其实也是跟广州北京互联网法院去做了一些双向认证，那这一块也解决了之前我们需要线下去做这样的一些确权作品的这种传输，以及呃资料的这个传输，我们现在只需要一体化上云，直接解决了这种确权的这个动作。

那在版权确权之后，我们需要去做整体的版权监测，那流转到我们整体的腾讯安全监测中心之后呢，我们会有公网的检索以及监管的检索，那这块用了我们整体的腾讯安全网址联盟的能力，去做一定的这个维权取证，那一旦发现有维权内容，我们会通过静态故障跟动态故障的方式去做到我们整体的数据录入，那静态故障的话，就是我会去截取一个，呃截图去证明这部分它是有做一定的这个侵权，那动态呃，这个故障的话，我们会去把它以视频的形式，从前端的链到确权到维权的这个查证都是一体化的，这样的一个视频保保存在我们这个云上的，那伴随着最后一个链维权呢，我们可以配合着用户侧去做这种发函处理，也会给您分析整体的维权比对，然后配合着这个监管去做整体的监监管的这个下架，然后最后的话，直到这个维权结束，那是我们整体的腾讯版权保护的一个全景图。

啊，那其实最后一个板块，可以通过非常一个详细的一个板块，可以看到我们业务安全是如何在业务体系在企业里面如何搭建的，那首先呢，在大家可以从左可以看从前端的用户，在包括程规上线之后呢，我会去做两个动作，那首先我们会把这个API接入，这个内容审核，包括API接入我们的这个天域这个RC全式风控引擎，包括还有一些这个呃，身份认证的这个要素的SDK，这个集成。那这个部分呢，它是属于一个数据输入端，由企业的中去做这样的一个头搭建，那在这里面它可以根据不同的业务场景，比如说我是称啊，还是头像啊，还社交板块去根据不同的模块分为这个图形视频进行打入之后呢，我们会返回各个产品的拟合标签，比如说针对内容审核这一块，我们会返反，呃，这个回调给他这种不同的一二级的这个色征啊，色情的这种标签，那以及这个设备风险画像，他是不是有这个账号环境行为的这些策略规则，这种风险，那在企业中台内部，他会去做这样的一系列的这个策略体系，分析不同的这个标签是不是要配合的他的这个业务逻辑去做这种二次关联，那在结果输出这一部分呢，我们会可以看到有通过审核和拒绝，那针对通过这一部分，我会通过人工审核去做一些抽检，看是不是有这种漏审，那一旦这里的用户啊，他是个内容没问题的话，他会浏转到下一步，比如说我这个内容是高价值的，这个up主发的，他会发起高价值的内容。

产权保护，那针对review就审核的这一部分的。

用户或者是用户内容，他会通过验证码或者一些实名认证，二次拉起去做同步的人工校验，那针对拒绝这一这一部分，他们去在他们会去做一些啊过滤用户业务属性，比如说做一些二次改判，通过一些内容标记，以及把用户关到小黑屋的这种降级处理，以及账号拉黑的这种方式去做到一些用户的这种软着陆，那通常来说我们呃，通常一个企业它会在一个某个领域垂直领域做的非常好的时候呢，它会去部件呃，一个赛道里面的多款APP，那像这边呃，给大家展示的是某社交客户，他们的这样的一个多平台多APP的这种全项公司内的这种业务联动，那可以看到他在这个用户流入之后呢，他会有非常多的这个AAPP，比如说他他有这APA2，他通过自己的用户画像去做一些中些常警体内景数据通。

全和自己的生态安全的这样的一个多方联控的这种动作。啊，那最后呢，就是给大家再分享一个关于内容审核的紧急清洗快速扩容的这样的一个案例，那其实通常来说，我每都会接到这种客户有监管指令，比如说在期内需要对过三年内内容去做的一个内容清洗的一个溯源，那其实针对这类的这种现象的一些案例呢，它主要有几个的量非常大，对的整体的线上的这个期成本是非常高的，那通过我们的一些内容审核的API接口，包括云上资源的这种布控，那一些这个优势一下就快速出来了，那作为云厂商，我们的这个云资源它是可以做快速扩容的，那整体的话可以给用户开放到高达2000 PS那还有一个原因就是之前也提到我们整体的内容审核，它其实集实在非常多的云组件里面，比如说我存在这个cos里面，我一旦在cos里面开启这个存储，在它的这个下行。

下载的这个费用里面，它是可以直接啊内部流转，这样的话就可以给客户节省25%的这样的一个流量审核成本，那包括配合着用户去做一定的这种准确和召回的。杠杆平衡，然后也可配合着配合着这个客户去做不同的业务标签的这个确立，去做到这个cos一键开启审核，做到快速介入，快速审核，快速流转，快速清洗的这样的一些落地，那其实可以看到在整体的这个方案里面，我们完成了快速接入，以及高效的配合客户去调对应的这个QPS，以及节省对应的流量成本，内网成本，那这样的一体化成本，最终配合着客户完成了这种督查的这个整治啊，那其实整体的业务完全是有上述的几个部分搭建，那回头如果大家还有兴趣的话，可以通过下私聊我这种方式去给您做一些实时的这种解答啊，那这就是我本期的这个分享啊，非常感谢大家。

感谢王老师分享业务安全方面的干货实践。最后我们有请今天的第四位嘉宾，中国信息通信研究院互联网法律研究中心数据安全立法研究团队负责人刘耀华。刘耀华老师长期从事数据安全、个人信息保护、跨境数据流动研究，有着资深的立法执法工作经验。下面有请他带来关于网络安全法规解读的分享，有请。大家好，接下来我跟大家介绍一下我国的网络安全法律制度，同时重点介绍一下我国网络数据网络安全法的一些重点的一个规定。那么我国网络安全法，我国网络安全法律体系的构成呢，其实还是比较丰富的，那么可能涉及到法律法规、部门规章、地方性法规等等各个层级，同时涉及到专门立法和众多一般性或者是相关性的立法。在专门性立法当中，我们有专门的网络安全法，也有一些关于呃，计算机信息系统的规定，个人信息保护的规定等等，同时在一般立法性规定当中，虽然是一般的立法，但其中呢，也会涉及到和我们网络安全相关的一些重点的内容，比如说内容管理，信息安全，还有我们的数据安全，还有我们的个人信息保护等等制度，在这些一般性或者相关性的立法当中都有所体现。那么从整体上看呢，我国网络安全法律体系呈现出一些比较鲜明的一个特点，那么第一呢，主要是以网络安全法为基本法的一个统领，覆盖到了呃各个领域当中。那么在法律层。

记上刚才我们已经说到，它是涉及到法律、行政法规、部门规章，地方性法规和一些地方规章以及规范性文件等等多个层次的一些法律性的一个规范，那么第二个是涵盖了行政法、民法、刑法、经济法等等多个法律部门，那么第三个呢，是涉及到网络资源应用产业等等网络的各个物理架构的一个层面，同时呢，最高人民法院和最高人民检察院有关网络安全的一个问题呢，都有一些相关的司法解释，那么这也是我们网络安全法律体系的一些重要补充，那么第二个大大大特，呃，第二个大的特点呢，就是部门规章以及以下的文件，其实从整体的一个体系来看呢，还是占大多数的，而且涉及到多个行业管理部门。

那么数量上呢，其实是以部门规章和规范性文件为主，这样的一个制度呢，其实是保证了上位法的一个具体的一个落实，那么部门职责上呢，也会涉及到网信办、工信部、公安部、广电总局等等各个部门，与内容行业、治安管理都是非常相关的各个领域。那么第三个特点呢，就是内容呢，是涵盖到了网络安全管理、保障责任等等各个方面，那么从内容上看，专门性立法和一般性立法其实是共同协同的，这样构成了我们的一个网络安全总体的一个制度，那么从呃具体的一个规定的一个范围，呃方面呢，其实是囊括了计算机信息系统安全保护、内容管理、互联网资源管理、关键信息基础设施保护、个人信息保护、数据安全，还有网络违法犯罪打击等等各个方面，那么相关的规定呢，其实是非常全面，而且针对性也是比较强的。

那么从责任呃上面看到，我们可以看到我国的网络安全法律制度呢，是确立了民事、行政和刑事责任三位一体的一个网络安全责任体系框架。那么我国网络安全法律，呃，呃以及所有的一个相关的一个制度呢，呃，规定到了主要的内容，主要涵盖以下几个方面吧，第一个就是关于这个计算机信息系统安全保护制度，那么这是我们传统的一个网络安全的一个重要的一个呃领域和层层面吧，在24，呃在20世纪90年代初呢，我国互联网发展的一个初期，其实就已经开始了网络安全的一个相关的一个立法，当时的一个主要立法呢，其实还是呃聚焦于这个保护计算机信息系统的一个安全，比如说在1994年制定的我国的计算机信息系统安全保护条例，还有1996年制定了计算机信息网络国际联网管理暂行规定，九七年制定了计算机信息网络国际联网安全保护管理办法，那么这是公安部制定的，在2000年呢，保密局也制定了一个计算机信息网络国际联网保密管理规定。那么这。

底部相关的一个立法呢，建立了计算机信息系统安全的一个等级的，我们就是传统上的一个等级保护的一个制度，明确了从事国际联网业务的一些单位，互联单位、接入单位等等相关主体的一些安全责任，同时具体明确了公安部门安全监督的一个职责。

那么网络安全制度的第二大部分的主要内容呢，就是我们的网络运行安全的一个保障。从2000年开始，全国人民代表大会常务委员会就已经开始制定关于维护互联网安全的一个决定，在这个决定当中呢，将互联网安全划分为互联网运行安全和互联网应用安全。在2010年呢，通信网络安全防护管理办法当中，也是建立了电信业务经营者和互联网域名服务提供者，公用电信网和互联网安全防护的一个机制，建立建全了通信网络安全的一个防护体系，在这个呃办法当中呢，是实行通信网络单元分级和备案，建设和运行通信网络安全监测的一个系统。

那么网络安全的第三块大的内容呢，也是我们非常重要的一块，就是我们的这样的一个，呃，信息管，信息安全内容管理的一个相关的一个要求，那么在电信条例和互联网信息服务管理办法当中，就有行为相关的一些规定，在这两个立法当中呢，我们是明确了我们广为人知的九不准的一个要求，九不准的一个要求呢，对于网上发布的一些信息做了一些非常底线和原则性的一些规定，禁止性规定，那么同时呢，也明确了企业停止传输保存记录的一些相关的一个要求。另外在互联网新闻信息服务管理规定、互联网著作权行政保护办法，互联网视听节目服务管理规定以及网络出版服务管理规定等等相关立法当中呢，是明确了具体行业领域的一些内容管理的一些要求，每个立法都针对一些具体的一个领域和重点的一些行业进行了一些各自特色的一些规定。

那么第四个网络安全领域比较重要的一个内容，就是我们的一个个人信息保护的一些相关的一个规定。在网络安全法出台之前，我们在2012年就已经出台了全国人民代表大会常务委员会关于加强网络信息保护的一些决定，那么在这个决定当中呢，我们明确网络服务提供者等主体在收集使用公民个人电子信息的一些相关的一个要求，而且对接入服务的一些实用要求，商业型电子信息管理要求等等都做出了一些明确的一个规定，那么这可以说是我们最早的一个关于个人信息保护的一个法律层面的一个规定，那么同时呢，在呃，为了落实这个全国人民代表大会的一个决定呢，我们工信部是在2013年出台呢，工信领域的一个个人信息保护的部门规章，就是我们熟知的这个电信和互联网用户个人信息保护规定，在这个部门规章当中呢，是完善了电信和互联网领域个人信息收集和使用规范，建立防止个人信息泄露、毁损、篡改或者丢失的一个安全保障的一个机制。

那么在，呃，除了这个我们后续后面要讲到的这个网络安全法，我们也也知道，我们在去年的时候，也就是2021年11月的时候，我们的专门的一个个人信息保护法是已经生效实施了，那么我们的这个个人信息保护法也是适应我们这个国际形势的一个需要，适应我们实践需求的一个需要出台的一部关于个人信息保护的一个统领性和专门性统一性的一部立法，那么这个个人信息保护法是完成了我们个人信息保护的一个顶层制度设计。这就是我们的第四块个人信息保护的一个要求，那么除此之外，我们网络安全还会涉及到一些数据安全管理的一些具体的一个内容，比如说我们有一些管理数据留存和数据跨境流动管理的一些规定，都会体现在我们呃有关网络安全的一些一般性立法和专门性立法当中，这个我就不再具体的去赘述了。

那么第六个网络安全法律的一个主要规范内容呢？就是我们在打击危害网络安全违法犯罪行为方面的一些具体的一个规定。目前我国规定网络安全违法犯罪的法律包括了治安管理处罚法，刑事法律规范中刑法专门的罪行条款，还有全国人民代表大会常务委员会的一些有关决定，还有一些相关的一个司法解释，那么在两个人大决定当中呢？我们对网络安全，呃，我们对网络空间的一个违法犯罪行为，是进行了接听，明确将计算机系统入侵，制作传播中病毒擅自中断网络等等的一些违法的一个行为呢，是纳入到了危害网络信息安全的一个呃罪名当中，那么在刑法当中呢，我们是对侵入计算机系统，破坏计算机系统的一个犯罪，以及利用计算机实施金融诈骗、盗窃、贪污、挪用公公款等等犯罪行为，是做了定罪处罚的一个规定，那么后来呢，我们还对刑罚做出了几次的这样一个呃更新和修修订也是对，也是会涉及到有关呃计算机网络或者说网络安全的一些立法的一些罪名，那么第三个是治安管理处罚法。

那么在治安管理处罚法当中呢？我们是对于违反国家规定，侵入计算机信息系统、破坏计算机信息系统，以及在出版物、计算机信息网络中刊载民族歧视、侮辱内容的行为，规定了处罚的措施。那么刚才呢，我们就是整体性的介绍了一下我们的一个网络安全法律制度的一些具体的内容，那么接下来呢，我们可以看一下，在这个整体的网络安全法律制度当中呢，最重要的当然就是我们的网络安全法，那么网络安全法呢，是在2016年11月7号，第12届全国人民代表大会成员会中通过的，那么这部法呢，是我国网络安全领域的第一步综合性的一个法律，也是信息网络专项立法规划当中明确的五加二立法框架中的首部立法，那么所以呢，学习宣传和贯彻实施这个网络安全法，对于推进我们整个网络空间的一个法制化，加强网络空间的一个治理，对于我们整个网络安全行为的一些回归呢，也是具有非常重要的一个意义的。

我们的网络安全法其实从整体来看，嗯，它其实制定过程和它的制定效率都是比较高的，网络安全法从草案发布到正式出台，一共是经历了三次审议，两次公开征求意见，那么出台网络安全法其实主要是考虑到了三个主要的一个方面，第一个就是要落实我国的一个国家总体安全观的一个重要举措，那么18大以来呢？

对加强网络安全法制建设提出了一个明确的一个要求。那么我们的一个国家安全观呢，其实在以前的时候，它可能还是聚焦于一些传统的一些安全领域，比如说我们的军事安全，还有我们的领土安全等等，但是随着我们对于整个网络形式和我们的一个整个我们发展的一个深入的一个认识呢，我们的国家总体安全观逐步形成了包括16种安全在内的一个总体安全观，那么其中呢，网络安全就是涉及到的非传统领域的安全当中非常重要的一项。那么第二个是维护网络安全的一个客观需要，那么当前，呃，就是从当时立法这个形式出发吧，可以看到我们是非常迫切需要来建立一个完善网络安全的一个法律制度的，因为我们没有一部非常统一性一个网络安全领域的一部法律，大家刚才也看到了，就很多的关于网络安全的一个内容呢，其实是呃。

呃，非常非常分散的规定，到了各个立法当中，那么我们非常需要来出台一部统一性一个网络安全的一个立法，呃，通过这部立法呢，可以提高全社会的一个网络安全意识和网络安全的保护水平，同时也可以统一我们各个不同立法当中的一些具体的一个内容。那么第三个呢，是网络安全法的出台，其实也是维护我们人民群众切身利益的一个保全需要。那么。随着网络在人们的日常生活当中的普及率越来越高，同时呢，网络侵权行为也是严重侵害了我们公民、法人和其他组织的一些合法权益，广大人民群众也是非常迫切的呼吁加强网络空间法制建设，净化网络环境。那么网络安全法是经历了三审，那么三审当中呢，都对一些重点的内容做出了一些重要的一个完善和修改，那么在第一次当中呢，第一次审议当中呢，是明确了网络空间的一个主权原则。

第二次是明确了重要数据境内存储和跨境安全评估的一个制度，那么第三次呢，是对于我国关键信息基础设施等等的一些规定进行一个完善。从整个网络安全法来看呢，它呈现出三个呃，非常突出的一个特色和亮点，那么第一个呢，就是网络安全法是一个非常全面性的一个立法，它确定了各个相关主体在网络安全保护中的一个义务和责任，涉及到个人，也涉及到了相关的一个组织，还有还有所有的这样的一个网络运营者。那么第二个是确定了网络信息安全各方面的一个基本制度，比如说个人信息保护在里面有所体现，利用管理仪在里面有所体现，同时我们还有关于网络运行安全的一些基本的一个要求，那么第二个特点就是它的针对性，那么这部立法是从我们的国情出发，也是从当时我们所面临的一个国内和国际的一个形式出发，坚持问题导向，总结实践经验，而且在借鉴其他国家的一些做法，一个基础上呢，嗯，重在管用和解决实际问题，这样的一个嗯，特特点。

那么第三个特点呢，就是它的一个协调性，那么网络安全法是注重保护网络主体的一个合法权益，保障网络信息的一个依法、有序、自由的一个流动，那么最终以呃，最终实现以安全来促发展，发展来促安全，那么在具体内容当中呢，有一些突出的一个亮点也是值得我们关注的，比如说明确明确了一个明确提出了我们空间主权的一个原则，那么是呃，第二个是呃，首次在这样的一个法律，专门的一个法律当中，完善了个人信息保护的一个规则，那么第三个是明确了网络产品和服务提供者的一个安全义务，第四个是建立了我国关键信息基础设施的一个安全保护制度，那么第五个是明确了网络运营者的一个安全因素，那么第六个是确立了重要数据跨境传输的一个规则。

那么它的主要内容呢，也是涉及到国家的一个总体规划，运行安全、关节保护、信息保护以及应急预警、法律责任等等相关的几个方面。那么首先呢，我们可以来看一下，在总则当中，网络安全法其实是确立了网络空间主权的一个原则，在第一条的立法目的当中，就开宗明义的明确规定要维护我国的一个网络空间的一个主权。那么第二个呢，是明确了网络安全管理体制的一个职责分工。其中呢，是明确国家网信部门要对网络安全来呃想呃，国家网信部门对于网络安全是要负有一个统筹协调的一个职责，同时国务院电信主管部门，公安部门和其他有关机关是要在依法在这个职责范围内，要负责各个领域，各行业的一些网络安全的一些职责，那么在地方呢，就是县级以上地方人民政府有关部门，那要就要依相关的规定来确定各自相关的一个职责，其实还是坚持了我们这样的一个统筹协调加呃分业监管的这样的一个原则。

那么第三个呢，是明确特定情况下的一个域外适用的一个效应，主要涉及到有三个方面吧，第一个就是对于来源于境外的一个网络安全风险和威胁，我们要进行监测、防御和处置，那么第二个是对于来源于境外的一些违法信息，我们要采取措施来主动的进行阻断传播，那么第三个是对境外危害我国的一个关键信息基础设施的一个活动，则要相应的追究相关的一个法律责任。那么同时在我们的网络安全法第四条当中呢，我们还引入了网络安全的一个战略管理体制，而是明确规定国家制定并且要不断完善网络安全战略，明确保障网络安全的一个基本要求和主要目标。

网络运行安全制度是我们网络安全法当中非常重要的一个章章节，在网络运行安全制度当中，网络安全法是明确了网络运营者各个相关的一个安全义务，网络运营者在网络安全当中承担的主要义务主要涉及到以下几个方面，第一个就是要实行一个内部安全管理，也就是要在你的组织内部要制定相关的一些安全管理的制度、操作规范，而且要确定一个专门的网络安全负责人。那么第二个是安全技术措施方面，网络运营者要采取防范网络安全行为的一些技术措施。而且要监测记录网络运行状态、网络安全事件的一些基础措施。对于网络日志要留存的时间是要求不少于六个月。那么第三个义务是相关的数据安全的一个管理义务，那么网络安全法明确提出了要采取数据分类、重要数据备份和加密等措施，要防止网络数据泄露或者被窃取篡改。

第四个义务是网络身份管理。网络运营者应当要办理网络接入域名注册服务。或者是固定电话，移动电话等等入网手续的时候呢，是要按照规定为用户提供真实身份信息登记的一个服务。那么第五个是关于应急预案的一个机制，是明确规定网络运营者要制定网络安全事件的一个应急预案，那对于呃，系统出现的一些漏洞，还有计算机病毒等等，网络侵入等等的一些安全风险，要采取及时的一个处置措施，而且在发生危害网络安全的事件的时候，应当立即启动应急预案，而且要向有关部门来进行报告。第六个义务是安全协助的一个义务。网络运营者是负有向公安机关和国家安全机关依法维护国家安全和侦查犯罪的活动，是要求要提供技术支持和协助的，是具有这样的一个提供协助的一个义务。

在网络运行安全制度当中呢，我们网络安全法还明确了网络产品服务提供者的一些安全义务，那么主要涉及到以下几个方面，第一个就是强制标准义务，也就是说网络产品和服务的一个叫提供者呢，应当确保它的产品和服务是符合相关的一些呃强制性国家标准的。那么同时呢？只有只有按照这个国家标准，呃，来由有关的一些具有资格的机构进行安全认证合格之后呢，才可以来对外进行销售或者是提供，那么第二个义务是告知补救的一个义务，也就是说网络产品和服务提供者如果发现他的产品和服务存在安全缺陷，漏洞等等的一些安全风险的时候呢，应当立即采取补救措施，除了向有关部门进行报告之外呢，还要应当及时告知用户，呃，由用户来采取一些相应的一个措施。

那么第三个义务是安全维护的一个义务，网络产品和服务提供者应当为产品服务持续提供安全维护，在规定或者当事人约定的期限内，是不得终止相关的一个安全维护的一个义务的。那么第四个是个人信息保护的一个义务，网络产品和服务提供者在提供完产品和服务之后呢，可能有一些产品是具有收集用户信息的一些功能的，那么这样的一个功能呢，呃，是必须要提前向用户明示，而且要取得用户的一个同意的，如果涉及到用户的一些个人信息呢，他应当遵守相关的一个法律，行政法规当中有关个人信息保护的一个规定。那么除此之外，我们网络运行安全章节呢，还规定了几项其他的一个义务，第一个是安全信息发布的一个业务，也就是说在开展网络安全认证、检测、风险评估等等活动的时候，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全风险，是应当遵守国家有关规定的。第二个是禁止危害的一个行为啊，在这个行为当中呢，是规定了涉及到任何个人和组织都不得从事的一些违违法的一个行为，比如说非法侵入他人网络，干扰他人网络，然后提供专门用于从事侵入网络、干扰网络的。

一些工具程序等等，那么第三个是关于信息使用的一些规则，呃，这这个说的是网信部门和有关部门在履行网络安全保护职责当中获取的信息呢，是只能用于网络安全的需要，是不得用于其他的一个用途的，这就是我们整个网络运行安全的一个章节。那么同时呢，专门针对这个关键信息基础设施呢，我们还明确了一个专门的一个保护制度，那么关键信息基础设施的一个保护，呃，应当是首次在我们网络安全法这样的一个立法当中进行，嗯，法律法法律上的一个规定的，那么在这个网络安全法当中呢，我们是初次明确了关机的一个内涵。

那么关机呢，指的是一些公共通信和信息服务，能源、交通、水利、金融、公共服务，电子政务，重要行业和领域的一些关键信息基础设施，以及其他一旦遭到破坏，丧失功能或者数据泄露，可能严重危害国家安全、国际民生、公共利益的一些设施。那么这个内涵呢，其实是采取了一个列举加兜底的这样的一个呃规定，那么后续在我们的数据安全法当中，还有一些关关系条例当中呢，其实也是延续了这样的一个内涵的一个固定基本上。那么关于关键信息基础设施的一个外延呢？网络权法当中并没有明确规定，只是说它的一个具体范围呢，应当由国务院来制定。而且鼓励关机以外的一个网络运营者来自愿参与到我们这个，呃，关机的一个保护体系当中，那么第三个是关于关机的一个管理机制，那么按照我们这个国务院规定的一个职责分工呢？

负责关键性基础设施安全保护工作的一个部门呢，是呃，具体负责实施等行业本领域的一个关键性基础设施保护工作，那么国家网信部门是统筹协调有关部门对关键性基础设施采取了一些安全保护措施。同时关于这个关键性基础设施的一个建设要求，网络安全法也是规定的一个业务稳定持续运行的一个性能，以及三同步的一个要求，那么关于这个关机的一个保护制度，我们除了在网络安全法当中有一个原则性的一个规定之外呢，我们现在也是出台了关键信息基础设施的一个保护条例，就是我们的一个行政法规，呃，里面呢，是对这个关节保护有更加详细的一个进一步的一个要求。那么在网络安全法当中呢，我们针对关键信息基础设施运营者明确了一些具体的一个安全保护义务，比如说人员安全的一个管理，是明确规定关机运营者要设置专门的一个安全管理机构和安全管理负责人，而且要进行背景审查和相关的一个培训和考核，那么第二个是数据原则上是要境内留存的。

这条，呃，网络安全法的这条呢，就是我们这个，呃，数据跨境流动当中非常原则性，非常基础性的一条规定，那么我们的后续的个人性保护法和我们的数据安定法都在这一条的一个基础之上有了进一步的一个完善，那么这一条指的是在我国境内运营中收集和产生的一个个人信息和重要数据关系的运营者是应当把这些是要在境内存储的，如果确续向境外提供，是需要经过国家安全评估的。那么第三个是应急预案的一个机制，是要求制定网络安全事件的一个应急预案，而且要定期进行演练。那么第三个是安全采购的一个措施。这明确规定关机是要采购我们的产品和服务，如果采购产品和服务可能影响到国家安全的，是应当通过国家安全审查的，而且呢，签订一个安全保护协议，那么关于这个制度呢，我们的网络安全审查办法当中已经做出了更为细致，更为具体的一些要求的一个规定。

那么第五个是关于风险评估机制，是规定自行或者委托网络安全服务机构对网络安全的一个呃，一个性能不可能存在的风险，有一个呃，每年进行一次检测评估的这样的一个规定，而且应当将这个检测评估情况和改进措施报送相关的一个部门。那么在网络信息安全这一章呢，我们是有一些个人信息保护的一些，呃，原则性的一个要求。首先总体的一个原则呢，我们呃，网络权法当中的第41条是明确的一个合法、正当和必要的一个要求，基本上是在原则和规则方面呢，都吸收了一些国际通行的一个规定。

比如说网络运营者的一个信息安全保障义务，受及到了严格保密呃，相关的一个保护制度健全，合规收集和使用绿色透明目的限制等等，那么用户的一个保障权利也是涉及到删除权，公用权等等，而且同时针对个呃，针对一些非法的个人信息活动呢，也是做出了一些禁止性的一个规定。那么我们这个网络天法现在正在修订，那么在修订过程当中呢，关于个人信息保护法的这个，关于个人信息保护的这些呃要求呢，基本上是进行了一个整治性的一个规定，主要还是以我们的个人信息保护法为止。那么在网络安全法当中呢，它规定的就规范的一个主体，主要是涉及到网络运营者，呃，可能还有一些会涉及到我们所谓的一个个人和组织，比如说不得窃取，不得非法出售个人信息等等，就是任何人都需要遵守的，那们可能还对监监负有安网络安全监督管理职责的一些部门和工作人员，也有一些相关的一个要求，比如说也能履行保密和不得泄露出售个人信息的一个相关的一个义务。

那么同时我们对于违反。犯罪信息的一个管理，也是做出了一个非常系统性的一个规定。那么在这个制度当中呢，我们的规制对象主要涉及到了四类的一个行为，第一个主要是设立一些网站通讯群组，群组，那么这样的一个行为呢。受到了我们的一个监管，第二个是利用网络发布信息的一个行为，那么第三个是发送电子信息的一个行为，那么第四个是提供应用软件的一个行为，针对这几类行为，我们网络安全法当中都有一些明确的一个规定。那么第二个方面是关于主体方面，我们是针对不同的一个主体有一些不同的一些管理要求。

那么在市场主体方面，可能会涉及到应用软件的一个下载服务提供者，网络运营者啊，电子信息发送服务者，另外还有一些业务可能会涉及到所有的个人和组织，那么同时也会涉及到我们的一个监督主体的一些相关的一个规定。那么具体来看，个人和组织涉及到的一些禁止性行为，主要包括发布、传输违法信息，制作、销售违禁物品，传授犯罪方法呃，设置恶意软件，实施诈骗，那么这几类行为，它的一个主要的工具都是要通过网络来进行的，这就是涉及到所有个人和组织的一个非法行为的一个规定。那么涉及到网络运营者呢，它主要是对于自身发布的发现的一些违法信息的一个，呃，配合管理的一个义务，比如说网络运营者在发现这样的一个违法信息之后呢，首先他要做的是中断传输，同时对于相关的一个报告要进行一个保存。

那么之后呢，对于对于一些相关的一个投诉来进行处理，同时要配合监管部门的一个管理员的一个要求。那么针对电子信息发送服务者和应用软件下载服务提供者的规定，嗯具有一致性，首先他们是在行为发现违法行为之后，就是要立即来停止呃服务的，而且要采取一些呃消除违法行为的一些措施，那么对于这样的整个的一个事件的一个相关的一个呃数据或者说日志相关的一个报告，要有一个保存的一个义务。那么另外一个主体就是我们的一个监监督部门，监督部门在发现一些违法行为的时候呢，首先要通知我们运营者。如果发现违法的一个境外的一个来源，也要通知相关的一个机构。那么另外一个，我们对于监测预警和监督和相关的一个处置工作，也进行了一些制度化和法制化的一个规定，那么监测预警的一个制度，它的一个责任主体，然后涉及到国家网信部门，负责关机保护的一个工作部门，以及省级以上人民政府有关部门的相关的一个网络运营者，那么对于每个责任主体，他所要履行的义务是不一样的，那么网信部门主要是要统筹网络安全信息收集和分析通报的一个义务。

那么关机的一个保护工作部门呢，应当是要建立健全等行业等领域的一个网络安全监测预警、信息通报的一个制度等等，那么省级以上人民政府有关部门应当在网络安全事件发生的风险增大时，要采取信息报送、网络安全风险信息评估，向社会预警等等相关的一个措施，那么涉及到网络运营者则是要采取技术措施和其他的一些必要的一个措施，来消除一些安全的一个引爆，防止网络安全的危害来进一步扩大。而且呢，要及时向社会发布与公众有关的一个警示信息，要按照省级和省级以上人民政府的一个要求来进行整改，消除相关的网络安全隐患，这是关于监测预警方面的一些具体的一个要求。

那么我们的网络安全法为了确保网络安全，呃，规定的一个具体的一个，呃具体的一个落实呢，我们在法律责任章节呢，是规定了涉及到民事责任，行政责任和刑事责任的一个全方位的一个责任制度，首先在民事责任当中呢，我们第74条当中是明确规定，违反公法规定与他人造成损害的，是应当依法承担民事责任的。那么在行政责任当中呢，我们的网络安全法的规定其实是最为丰富和最为全面的，对于情节较轻的一些网络安全法违法行为呢，我们，呃，将来们可以责令改正啊，进行警告，那么对于情节严重呢，可以通过罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等种方式来进行惩处。

那么还有一些可能会涉及到不管你违法行为是轻还是还是重的各个方面，比如说可以没收违法所得，也可以对相关的这样的一个违法主体进行一个拘留，那么另外对于一些呃违法行为，那我们可以呃可能还会采取记入信用档案并且公示的这样的一个惩罚的一个制度。那么关于刑事责任当中，我们也是在74条当中明确规定，如果违法，呃，如果危害网络安全的一个不法行为，一个构成犯罪，我们是应当追究刑事责任的，那么在我们刚开始提到的网络安全管理制度当中，也可以看到，我们刑事立法也是比较完善的，所以我们刑事责任的一个追究呢，也是比较严格的。这就是我们网络安全法律制度和网络安全法的一些具体的一个内容，谢谢大家。

感谢刘老师带来精彩的分享，让我们了解了网络安全法规的精彩解读。好的，今天我们直播间的四个分享在此告一段落，接下来腾讯云将以最优产品和解决方案助力企业建设切实可靠的安全保障。最后让我们再次感谢四位老师的精彩演讲。本期中小企业在线学堂到此结束，感谢大家的关注和观看，期待与您在后续的更多直播中相见，大家再见。