工業(yè)和信息化部關于加強電信和互聯網行業(yè)網絡安全工作的指導意見
工信部���!2014〕368號
各省、自治區(qū)�、直轄市通信管理局,中國電信集團公司��、中國移動通信集團公司��、中國聯合網絡通信集團有限公司�����,國家計算機網絡應急技術處理協調中心��,工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導中心�����,中國通信企業(yè)協會�����、中國互聯網協會���,各互聯網域名注冊管理機構,有關單位:
近年來��,各單位認真貫徹落實黨中央��、國務院決策部署及工業(yè)和信息化部的工作要求����,在加強網絡基礎設施建設、促進網絡經濟快速發(fā)展的同時����,不斷強化網絡安全工作,網絡安全保障能力明顯提高�。但也要看到�,當前網絡安全形勢十分嚴峻復雜��,境內外網絡攻擊活動日趨頻繁�,網絡攻擊的手法更加復雜隱蔽,新技術新業(yè)務帶來的網絡安全問題逐漸凸顯��。新形勢下電信和互聯網行業(yè)網絡安全工作存在的問題突出表現在:重發(fā)展��、輕安全思想普遍存在�,網絡安全工作體制機制不健全,網絡安全技術能力和手段不足�,關鍵軟硬件安全可控程度低等。為有效應對日益嚴峻復雜的網絡安全威脅和挑戰(zhàn)��,切實加強和改進網絡安全工作��,進一步提高電信和互聯網行業(yè)網絡安全保障能力和水平���,提出以下意見�。
一�、總體要求
認真貫徹落實黨的十八大、十八屆三中全會以及中央網絡安全和信息化領導小組第一次會議關于維護網絡安全的有關精神�����,堅持以安全保發(fā)展、以發(fā)展促安全���,堅持安全與發(fā)展工作統一謀劃��、統一部署�����、統一推進�、統一實施����,堅持法律法規(guī)����、行政監(jiān)管、行業(yè)自律�、技術保障、公眾監(jiān)督�����、社會教育相結合�,堅持立足行業(yè)����、服務全局����,以提升網絡安全保障能力為主線,以完善網絡安全保障體系為目標���,著力提高網絡基礎設施和業(yè)務系統安全防護水平��,增強網絡安全技術能力�����,強化網絡數據和用戶信息保護���,推進安全可控關鍵軟硬件應用,為維護國家安全���、促進經濟發(fā)展�����、保護人民群眾利益和建設網絡強國發(fā)揮積極作用�。
二、工作重點
(一)深化網絡基礎設施和業(yè)務系統安全防護���。認真落實《通信網絡安全防護管理辦法》(工業(yè)和信息化部令第11號)和通信網絡安全防護系列標準�����,做好定級備案���,嚴格落實防護措施,定期開展符合性評測和風險評估�����,及時消除安全隱患���。加強網絡和信息資產管理,全面梳理關鍵設備列表�����,明確每個網絡��、系統和關鍵設備的網絡安全責任部門和責任人。合理劃分網絡和系統的安全域�,理清網絡邊界,加強邊界防護����。加強網站安全防護和企業(yè)辦公、維護終端的安全管理���。完善域名系統安全防護措施�����,優(yōu)化系統架構��,增強帶寬保障���。加強公共遞歸域名解析系統的域名數據應急備份。加強網絡和系統上線前的風險評估����。加強軟硬件版本管理和補丁管理,強化漏洞信息的跟蹤���、驗證和風險研判及通報����,及時采取有效補救措施。
(二)提升突發(fā)網絡安全事件應急響應能力����。認真落實工業(yè)和信息化部《公共互聯網網絡安全應急預案》,制定和完善本單位網絡安全應急預案��。健全大規(guī)模拒絕服務攻擊�����、重要域名系統故障����、大規(guī)模用戶信息泄露等突發(fā)網絡安全事件的應急協同配合機制。加強應急預案演練��,定期評估和修訂應急預案�,確保應急預案的科學性、實用性�����、可操作性�����。提高突發(fā)網絡安全事件監(jiān)測預警能力�,加強預警信息發(fā)布和預警處置,對可能造成全局性影響的要及時報通信主管部門���。嚴格落實突發(fā)網絡安全事件報告制度��。建設網絡安全應急指揮調度系統���,提高應急響應效率。根據有關部門的需求�����,做好重大活動和特殊時期對其他行業(yè)重要信息系統���、政府網站和重點新聞網站等的網絡安全支援保障�����。
(三)維護公共互聯網網絡安全環(huán)境����。認真落實工業(yè)和信息化部《木馬和僵尸網絡監(jiān)測與處置機制》、《移動互聯網惡意程序監(jiān)測與處置機制》���,建立健全釣魚網站監(jiān)測與處置機制��。在與用戶簽訂的業(yè)務服務合同中明確用戶維護網絡安全環(huán)境的責任和義務���。加強木馬病毒樣本庫、移動惡意程序樣本庫����、漏洞庫、惡意網址庫等建設�,促進行業(yè)內網絡安全威脅信息共享。加強對黑客地下產業(yè)利益鏈條的深入分析和源頭治理�����,積極配合相關執(zhí)法部門打擊網絡違法犯罪�����;A電信企業(yè)在業(yè)務推廣和用戶辦理業(yè)務時�����,要加強對用戶網絡安全知識和技能的宣傳輔導��,積極拓展面向用戶的網絡安全增值服務�����。
(四)推進安全可控關鍵軟硬件應用�。推動建立國家網絡安全審查制度���,落實電信和互聯網行業(yè)網絡安全審查工作要求����。根據《通信工程建設項目招標投標管理辦法》(工業(yè)和信息化部令第27號)的有關要求�����,在關鍵軟硬件采購招標時統籌考慮網絡安全需要�����,在招標文件中明確對關鍵軟硬件的網絡安全要求�����。加強關鍵軟硬件采購前的網絡安全檢測評估,通過合同明確供應商的網絡安全責任和義務��,要求供應商簽署網絡安全承諾書��。加大重要業(yè)務應用系統的自主研發(fā)力度����,開展業(yè)務應用程序源代碼安全檢測。
(五)強化網絡數據和用戶個人信息保護����。認真落實《電信和互聯網用戶個人信息保護規(guī)定》(工業(yè)和信息化部令第24號),嚴格規(guī)范用戶個人信息的收集��、存儲���、使用和銷毀等行為���,落實各個環(huán)節(jié)的安全責任,完善相關管理制度和技術手段�。落實數據安全和用戶個人信息安全防護標準要求,完善網絡數據和用戶信息的防竊密����、防篡改和數據備份等安全防護措施�。強化對內部人員�、合作伙伴的授權管理和審計,加大違規(guī)行為懲罰力度�����。發(fā)生大規(guī)模用戶個人信息泄露事件后要立即向通信主管部門報告��,并及時采取有效補救措施�。
(六)加強移動應用商店和應用程序安全管理��。加強移動應用商店�����、移動應用程序的安全管理����,督促應用商店建立健全移動應用程序開發(fā)者真實身份信息驗證、應用程序安全檢測�����、惡意程序下架�����、惡意程序黑名單、用戶監(jiān)督舉報等制度�����。建立健全移動應用程序第三方安全檢測機制��。推動建立移動應用程序開發(fā)者第三方數字證書簽名和應用商店�����、智能終端的簽名驗證和用戶提示機制����。完善移動惡意程序舉報受理和黑名單共享機制。加強社會宣傳���,引導用戶從正規(guī)應用商店下載安裝移動應用程序����、安裝終端安全防護軟件����。
(七)加強新技術新業(yè)務網絡安全管理�。加強對云計算�����、大數據����、物聯網�����、移動互聯網�����、下一代互聯網等新技術新業(yè)務網絡安全問題的跟蹤研究�,對涉及提供公共電信和互聯網服務的基礎設施和業(yè)務系統要納入通信網絡安全防護管理體系,加快推進相關網絡安全防護標準研制���,完善和落實相應的網絡安全防護措施���。積極開展新技術新業(yè)務網絡安全防護技術的試點示范。加強新業(yè)務網絡安全風險評估和網絡安全防護檢查。
(八)強化網絡安全技術能力和手段建設����。深入開展網絡安全監(jiān)測預警、漏洞挖掘��、惡意代碼分析���、檢測評估和溯源取證技術研究�,加強高級可持續(xù)攻擊應對技術研究�����。建立和完善入侵檢測與防御����、防病毒、防拒絕服務攻擊�、異常流量監(jiān)測、網頁防篡改���、域名安全�、漏洞掃描����、集中賬號管理���、數據加密、安全審計等網絡安全防護技術手段��。健全基于網絡側的木馬病毒���、移動惡意程序等監(jiān)測與處置手段��。積極研究利用云計算��、大數據等新技術提高網絡安全監(jiān)測預警能力��。促進企業(yè)技術手段與通信主管部門技術手段對接,制定接口標準規(guī)范�,實現監(jiān)測數據共享。加強與網絡安全服務企業(yè)的合作��,防范服務過程中的風險�,在依托安全服務單位開展網絡安全集成建設和風險評估等工作時,應當選用通過有關行業(yè)組織網絡安全服務能力評定的單位�����。
三、保障措施
(一)加強網絡安全監(jiān)管��。通信主管部門要切實履行電信和互聯網行業(yè)網絡安全監(jiān)管職責�,不斷健全網絡安全監(jiān)管體系,積極推動關鍵信息基礎設施保護���、網絡數據保護等網絡安全相關立法�����,進一步完善網絡安全防護標準和有關工作機制�����;要加大對基礎電信企業(yè)的網絡安全監(jiān)督檢查和考核力度����,加強對互聯網域名注冊管理和服務機構以及增值電信企業(yè)的網絡安全監(jiān)管�,推動建立電信和互聯網行業(yè)網絡安全認證體系。國家計算機網絡應急技術處理協調中心和工業(yè)和信息化部電信研究院等要加大網絡安全技術�、資金和人員投入,大力提升對通信主管部門網絡安全監(jiān)管的支撐能力�����。
(二)充分發(fā)揮行業(yè)組織和專業(yè)機構的作用。充分發(fā)揮行業(yè)組織支撐政府�、服務行業(yè)的橋梁紐帶作用,大力開展電信和互聯網行業(yè)網絡安全自律工作��。支持相關行業(yè)組織和專業(yè)機構開展面向行業(yè)的網絡安全法規(guī)���、政策�����、標準宣貫和知識技能培訓���、競賽,促進網絡安全管理和技術交流�;開展網絡安全服務能力評定,促進和規(guī)范網絡安全服務市場健康發(fā)展����;建立健全網絡安全社會監(jiān)督舉報機制��,發(fā)動全社會力量參與維護公共互聯網網絡安全環(huán)境��;開展面向社會公眾的網絡安全宣傳教育活動�,提高用戶的網絡安全風險意識和自我保護能力��。
(三)落實企業(yè)主體責任�。相關企業(yè)要從維護國家安全�、促進經濟社會發(fā)展、保障用戶利益的高度����,充分認識做好網絡安全工作的重要性、緊迫性�����,切實加強組織領導��,落實安全責任����,健全網絡安全管理體系�����;A電信企業(yè)主要領導要對網絡安全工作負總責��,明確一名主管領導具體負責����、統一協調企業(yè)內部網絡安全各項工作����;要加強集團公司��、省級公司網絡安全管理專職部門建設��,加強專職人員配備�,強化專職部門的網絡安全管理職能,切實加大企業(yè)內部網絡安全工作的統籌協調�����、監(jiān)督檢查����、責任考核和責任追究力度��;ヂ摼W域名注冊管理和服務機構����、增值電信企業(yè)要結合實際健全內部網絡安全管理體系�,配備網絡安全管理專職部門和人員���,保證網絡安全責任落實到位。
(四)加大資金保障力度�。基礎電信企業(yè)要制定本企業(yè)網絡安全專項規(guī)劃�,在加大網絡和業(yè)務發(fā)展投入的同時,同步加大網絡安全保障資金投入��,并將網絡安全經費納入企業(yè)年度預算����。互聯網域名注冊管理和服務機構���、增值電信企業(yè)要結合實際加大網絡安全資金投入力度�。
(五)加強人才隊伍建設���;A電信企業(yè)要積極開展網絡安全專業(yè)崗位職業(yè)技能鑒定工作,建立健全網絡安全專業(yè)崗位持證上崗制度����;加強網絡安全培訓,把相關培訓納入員工培訓計劃;積極組織和參與網絡安全知識技能競賽����,形成培養(yǎng)、選拔��、吸引和使用網絡安全人才的良性機制��。
(聯系電話:010-66022774)
關注樓主