我部發佈加強電信和網際網路行業網路安全工作指導意見
- 發佈時間:2014-08-28 15:30:23 來源:工信部網站 責任編輯:羅伯特
工業和資訊化部關於加強電信和網際網路行業網路安全工作的指導意見
工信部保〔2014〕368號
各省、自治區、直轄市通信管理局,中國電信集團公司、中國行動通訊集團公司、中國聯合網路通信集團有限公司,國家電腦網路應急技術處理協調中心,工業和資訊化部電信研究院、通信行業職業技能鑒定指導中心,中國通信企業協會、中國網際網路協會,各網際網路域名註冊管理機構,有關單位:
近年來,各單位認真貫徹落實黨中央、國務院決策部署及工業和資訊化部的工作要求,在加強網路基礎設施建設、促進網路經濟快速發展的同時,不斷強化網路安全工作,網路安全保障能力明顯提高。但也要看到,當前網路安全形勢十分嚴峻複雜,境內外網路攻擊活動日趨頻繁,網路攻擊的手法更加複雜隱蔽,新技術新業務帶來的網路安全問題逐漸凸顯。新形勢下電信和網際網路行業網路安全工作存在的問題突出表現在:重發展、輕安全思想普遍存在,網路安全工作體制機制不健全,網路安全技術能力和手段不足,關鍵軟硬體安全可控程度低等。為有效應對日益嚴峻複雜的網路安全威脅和挑戰,切實加強和改進網路安全工作,進一步提高電信和網際網路行業網路安全保障能力和水準,提出以下意見。
一、總體要求
認真貫徹落實黨的十八大、十八屆三中全會以及中央網路安全和資訊化領導小組第一次會議關於維護網路安全的有關精神,堅持以安全保發展、以發展促安全,堅持安全與發展工作統一謀劃、統一部署、統一推進、統一實施,堅持法律法規、行政監管、行業自律、技術保障、公眾監督、社會教育相結合,堅持立足行業、服務全局,以提升網路安全保障能力為主線,以完善網路安全保障體系為目標,著力提高網路基礎設施和業務系統安全防護水準,增強網路安全技術能力,強化網路數據和用戶資訊保護,推進安全可控關鍵軟硬體應用,為維護國家安全、促進經濟發展、保護人民群眾利益和建設網路強國發揮積極作用。
二、工作重點
(一)深化網路基礎設施和業務系統安全防護。認真落實《通信網路安全防護管理辦法》(工業和資訊化部令第11號)和通信網路安全防護系列標準,做好定級備案,嚴格落實防護措施,定期開展符合性評測和風險評估,及時消除安全隱患。加強網路和資訊資産管理,全面梳理關鍵設備列表,明確每個網路、系統和關鍵設備的網路安全責任部門和責任人。合理劃分網路和系統的安全域,理清網路邊界,加強邊界防護。加強網站安全防護和企業辦公、維護終端的安全管理。完善域名系統安全防護措施,優化系統架構,增強頻寬保障。加強公共遞歸域名解析系統的域名數據應急備份。加強網路和系統上線前的風險評估。加強軟硬體版本管理和補丁管理,強化漏洞資訊的跟蹤、驗證和風險研判及通報,及時採取有效補救措施。
(二)提升突發網路安全事件應急響應能力。認真落實工業和資訊化部《公共網際網路網路安全應急預案》,制定和完善本單位網路安全應急預案。健全大規模拒絕服務攻擊、重要域名系統故障、大規模用戶資訊洩露等突發網路安全事件的應急協同配合機制。加強應急預案演練,定期評估和修訂應急預案,確保應急預案的科學性、實用性、可操作性。提高突發網路安全事件監測預警能力,加強預警資訊發佈和預警處置,對可能造成全局性影響的要及時報通信主管部門。嚴格落實突發網路安全事件報告制度。建設網路安全應急指揮調度系統,提高應急響應效率。根據有關部門的需求,做好重大活動和特殊時期對其他行業重要資訊系統、政府網站和重點新聞網站等的網路安全支援保障。
(三)維護公共網際網路網路安全環境。認真落實工業和資訊化部《木馬和僵屍網路監測與處置機制》、《移動網際網路惡意程式監測與處置機制》,建立健全釣魚網站監測與處置機制。在與用戶簽訂的業務服務合同中明確用戶維護網路安全環境的責任和義務。加強木馬病毒樣本庫、移動惡意程式樣本庫、漏洞庫、惡意網址庫等建設,促進行業內網路安全威脅資訊共用。加強對駭客地下産業利益鏈條的深入分析和源頭治理,積極配合相關執法部門打擊網路違法犯罪。基礎電信企業在業務推廣和用戶辦理業務時,要加強對用戶網路安全知識和技能的宣傳輔導,積極拓展面向用戶的網路安全增值服務。
(四)推進安全可控關鍵軟硬體應用。推動建立國家網路安全審查制度,落實電信和網際網路行業網路安全審查工作要求。根據《通信工程建設項目招標投標管理辦法》(工業和資訊化部令第27號)的有關要求,在關鍵軟硬體採購招標時統籌考慮網路安全需要,在招標文件中明確對關鍵軟硬體的網路安全要求。加強關鍵軟硬體採購前的網路安全檢測評估,通過合同明確供應商的網路安全責任和義務,要求供應商簽署網路安全承諾書。加大重要業務應用系統的自主研發力度,開展業務應用程式源代碼安全檢測。
(五)強化網路數據和用戶個人資訊保護。認真落實《電信和網際網路用戶個人資訊保護規定》(工業和資訊化部令第24號),嚴格規範用戶個人資訊的收集、存儲、使用和銷毀等行為,落實各個環節的安全責任,完善相關管理制度和技術手段。落實數據安全和用戶個人資訊安全防護標準要求,完善網路數據和用戶資訊的防竊密、防篡改和數據備份等安全防護措施。強化對內部人員、合作夥伴的授權管理和審計,加大違規行為懲罰力度。發生大規模用戶個人資訊洩露事件後要立即向通信主管部門報告,並及時採取有效補救措施。
(六)加強移動應用商店和應用程式安全管理。加強移動應用商店、移動應用程式的安全管理,督促應用商店建立健全移動應用程式開發者真實身份資訊驗證、應用程式安全檢測、惡意程式下架、惡意程式黑名單、用戶監督舉報等制度。建立健全移動應用程式第三方安全檢測機制。推動建立移動應用程式開發者第三方數字證書籤名和應用商店、智慧終端的簽名驗證和用戶提示機制。完善移動惡意程式舉報受理和黑名單共用機制。加強社會宣傳,引導用戶從正規應用商店下載安裝移動應用程式、安裝終端安全防護軟體。
(七)加強新技術新業務網路安全管理。加強對雲計算、大數據、物聯網、移動網際網路、下一代網際網路等新技術新業務網路安全問題的跟蹤研究,對涉及提供公共電信和網際網路服務的基礎設施和業務系統要納入通信網路安全防護管理體系,加快推進相關網路安全防護標準研製,完善和落實相應的網路安全防護措施。積極開展新技術新業務網路安全防護技術的試點示範。加強新業務網路安全風險評估和網路安全防護檢查。
(八)強化網路安全技術能力和手段建設。深入開展網路安全監測預警、漏洞挖掘、惡意代碼分析、檢測評估和溯源取證技術研究,加強高級可持續攻擊應對技術研究。建立和完善入侵檢測與防禦、防病毒、防拒絕服務攻擊、異常流量監測、網頁防篡改、域名安全、漏洞掃描、集中賬號管理、數據加密、安全審計等網路安全防護技術手段。健全基於網路側的木馬病毒、移動惡意程式等監測與處置手段。積極研究利用雲計算、大數據等新技術提高網路安全監測預警能力。促進企業技術手段與通信主管部門技術手段對接,制定介面標準規範,實現監測數據共用。加強與網路安全服務企業的合作,防範服務過程中的風險,在依託安全服務單位開展網路安全整合建設和風險評估等工作時,應當選用通過有關行業組織網路安全服務能力評定的單位。
三、保障措施
(一)加強網路安全監管。通信主管部門要切實履行電信和網際網路行業網路安全監管職責,不斷健全網路安全監管體系,積極推動關鍵資訊基礎設施保護、網路數據保護等網路安全相關立法,進一步完善網路安全防護標準和有關工作機制;要加大對基礎電信企業的網路安全監督檢查和考核力度,加強對網際網路域名註冊管理和服務機構以及增值電信企業的網路安全監管,推動建立電信和網際網路行業網路安全認證體系。國家電腦網路應急技術處理協調中心和工業和資訊化部電信研究院等要加大網路安全技術、資金和人員投入,大力提升對通信主管部門網路安全監管的支撐能力。
(二)充分發揮行業組織和專業機構的作用。充分發揮行業組織支撐政府、服務行業的橋梁紐帶作用,大力開展電信和網際網路行業網路安全自律工作。支援相關行業組織和專業機構開展面向行業的網路安全法規、政策、標準宣貫和知識技能培訓、競賽,促進網路安全管理和技術交流;開展網路安全服務能力評定,促進和規範網路安全服務市場健康發展;建立健全網路安全社會監督舉報機制,發動全社會力量參與維護公共網際網路網路安全環境;開展面向社會公眾的網路安全宣傳教育活動,提高用戶的網路安全風險意識和自我保護能力。
(三)落實企業主體責任。相關企業要從維護國家安全、促進經濟社會發展、保障用戶利益的高度,充分認識做好網路安全工作的重要性、緊迫性,切實加強組織領導,落實安全責任,健全網路安全管理體系。基礎電信企業主要領導要對網路安全工作負總責,明確一名主管領導具體負責、統一協調企業內部網路安全各項工作;要加強集團公司、省級公司網路安全管理專職部門建設,加強專職人員配備,強化專職部門的網路安全管理職能,切實加大企業內部網路安全工作的統籌協調、監督檢查、責任考核和責任追究力度。網際網路域名註冊管理和服務機構、增值電信企業要結合實際健全內部網路安全管理體系,配備網路安全管理專職部門和人員,保證網路安全責任落實到位。
(四)加大資金保障力度。基礎電信企業要制定本企業網路安全專項規劃,在加大網路和業務發展投入的同時,同步加大網路安全保障資金投入,並將網路安全經費納入企業年度預算。網際網路域名註冊管理和服務機構、增值電信企業要結合實際加大網路安全資金投入力度。
(五)加強人才隊伍建設。基礎電信企業要積極開展網路安全專業崗位職業技能鑒定工作,建立健全網路安全專業崗位持證上崗制度;加強網路安全培訓,把相關培訓納入員工培訓計劃;積極組織和參與網路安全知識技能競賽,形成培養、選拔、吸引和使用網路安全人才的良性機制。
(聯繫電話:010-66022774)