工業(yè)和信息化部關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見(jiàn)
工信部!2014〕368號(hào)
各省、自治區(qū)、直轄市通信管理局,中國(guó)電信集團(tuán)公司、中國(guó)移動(dòng)通信集團(tuán)公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導(dǎo)中心,中國(guó)通信企業(yè)協(xié)會(huì)、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì),各互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu),有關(guān)單位:
近年來(lái),各單位認(rèn)真貫徹落實(shí)黨中央、國(guó)務(wù)院決策部署及工業(yè)和信息化部的工作要求,在加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、促進(jìn)網(wǎng)絡(luò)經(jīng)濟(jì)快速發(fā)展的同時(shí),不斷強(qiáng)化網(wǎng)絡(luò)安全工作,網(wǎng)絡(luò)安全保障能力明顯提高。但也要看到,當(dāng)前網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻復(fù)雜,境內(nèi)外網(wǎng)絡(luò)攻擊活動(dòng)日趨頻繁,網(wǎng)絡(luò)攻擊的手法更加復(fù)雜隱蔽,新技術(shù)新業(yè)務(wù)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題逐漸凸顯。新形勢(shì)下電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作存在的問(wèn)題突出表現(xiàn)在:重發(fā)展、輕安全思想普遍存在,網(wǎng)絡(luò)安全工作體制機(jī)制不健全,網(wǎng)絡(luò)安全技術(shù)能力和手段不足,關(guān)鍵軟硬件安全可控程度低等。為有效應(yīng)對(duì)日益嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn),切實(shí)加強(qiáng)和改進(jìn)網(wǎng)絡(luò)安全工作,進(jìn)一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全保障能力和水平,提出以下意見(jiàn)。
一、總體要求
認(rèn)真貫徹落實(shí)黨的十八大、十八屆三中全會(huì)以及中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議關(guān)于維護(hù)網(wǎng)絡(luò)安全的有關(guān)精神,堅(jiān)持以安全保發(fā)展、以發(fā)展促安全,堅(jiān)持安全與發(fā)展工作統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施,堅(jiān)持法律法規(guī)、行政監(jiān)管、行業(yè)自律、技術(shù)保障、公眾監(jiān)督、社會(huì)教育相結(jié)合,堅(jiān)持立足行業(yè)、服務(wù)全局,以提升網(wǎng)絡(luò)安全保障能力為主線(xiàn),以完善網(wǎng)絡(luò)安全保障體系為目標(biāo),著力提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護(hù)水平,增強(qiáng)網(wǎng)絡(luò)安全技術(shù)能力,強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)和用戶(hù)信息保護(hù),推進(jìn)安全可控關(guān)鍵軟硬件應(yīng)用,為維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益和建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)發(fā)揮積極作用。
二、工作重點(diǎn)
(一)深化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護(hù)。認(rèn)真落實(shí)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(工業(yè)和信息化部令第11號(hào))和通信網(wǎng)絡(luò)安全防護(hù)系列標(biāo)準(zhǔn),做好定級(jí)備案,嚴(yán)格落實(shí)防護(hù)措施,定期開(kāi)展符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估,及時(shí)消除安全隱患。加強(qiáng)網(wǎng)絡(luò)和信息資產(chǎn)管理,全面梳理關(guān)鍵設(shè)備列表,明確每個(gè)網(wǎng)絡(luò)、系統(tǒng)和關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全責(zé)任部門(mén)和責(zé)任人。合理劃分網(wǎng)絡(luò)和系統(tǒng)的安全域,理清網(wǎng)絡(luò)邊界,加強(qiáng)邊界防護(hù)。加強(qiáng)網(wǎng)站安全防護(hù)和企業(yè)辦公、維護(hù)終端的安全管理。完善域名系統(tǒng)安全防護(hù)措施,優(yōu)化系統(tǒng)架構(gòu),增強(qiáng)帶寬保障。加強(qiáng)公共遞歸域名解析系統(tǒng)的域名數(shù)據(jù)應(yīng)急備份。加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)上線(xiàn)前的風(fēng)險(xiǎn)評(píng)估。加強(qiáng)軟硬件版本管理和補(bǔ)丁管理,強(qiáng)化漏洞信息的跟蹤、驗(yàn)證和風(fēng)險(xiǎn)研判及通報(bào),及時(shí)采取有效補(bǔ)救措施。
。ǘ┨嵘话l(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力。認(rèn)真落實(shí)工業(yè)和信息化部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,制定和完善本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。健全大規(guī)模拒絕服務(wù)攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶(hù)信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機(jī)制。加強(qiáng)應(yīng)急預(yù)案演練,定期評(píng)估和修訂應(yīng)急預(yù)案,確保應(yīng)急預(yù)案的科學(xué)性、實(shí)用性、可操作性。提高突發(fā)網(wǎng)絡(luò)安全事件監(jiān)測(cè)預(yù)警能力,加強(qiáng)預(yù)警信息發(fā)布和預(yù)警處置,對(duì)可能造成全局性影響的要及時(shí)報(bào)通信主管部門(mén)。嚴(yán)格落實(shí)突發(fā)網(wǎng)絡(luò)安全事件報(bào)告制度。建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮調(diào)度系統(tǒng),提高應(yīng)急響應(yīng)效率。根據(jù)有關(guān)部門(mén)的需求,做好重大活動(dòng)和特殊時(shí)期對(duì)其他行業(yè)重要信息系統(tǒng)、政府網(wǎng)站和重點(diǎn)新聞網(wǎng)站等的網(wǎng)絡(luò)安全支援保障。
。ㄈ┚S護(hù)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境。認(rèn)真落實(shí)工業(yè)和信息化部《木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制》、《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》,建立健全釣魚(yú)網(wǎng)站監(jiān)測(cè)與處置機(jī)制。在與用戶(hù)簽訂的業(yè)務(wù)服務(wù)合同中明確用戶(hù)維護(hù)網(wǎng)絡(luò)安全環(huán)境的責(zé)任和義務(wù)。加強(qiáng)木馬病毒樣本庫(kù)、移動(dòng)惡意程序樣本庫(kù)、漏洞庫(kù)、惡意網(wǎng)址庫(kù)等建設(shè),促進(jìn)行業(yè)內(nèi)網(wǎng)絡(luò)安全威脅信息共享。加強(qiáng)對(duì)黑客地下產(chǎn)業(yè)利益鏈條的深入分析和源頭治理,積極配合相關(guān)執(zhí)法部門(mén)打擊網(wǎng)絡(luò)違法犯罪;A(chǔ)電信企業(yè)在業(yè)務(wù)推廣和用戶(hù)辦理業(yè)務(wù)時(shí),要加強(qiáng)對(duì)用戶(hù)網(wǎng)絡(luò)安全知識(shí)和技能的宣傳輔導(dǎo),積極拓展面向用戶(hù)的網(wǎng)絡(luò)安全增值服務(wù)。
。ㄋ模┩七M(jìn)安全可控關(guān)鍵軟硬件應(yīng)用。推動(dòng)建立國(guó)家網(wǎng)絡(luò)安全審查制度,落實(shí)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全審查工作要求。根據(jù)《通信工程建設(shè)項(xiàng)目招標(biāo)投標(biāo)管理辦法》(工業(yè)和信息化部令第27號(hào))的有關(guān)要求,在關(guān)鍵軟硬件采購(gòu)招標(biāo)時(shí)統(tǒng)籌考慮網(wǎng)絡(luò)安全需要,在招標(biāo)文件中明確對(duì)關(guān)鍵軟硬件的網(wǎng)絡(luò)安全要求。加強(qiáng)關(guān)鍵軟硬件采購(gòu)前的網(wǎng)絡(luò)安全檢測(cè)評(píng)估,通過(guò)合同明確供應(yīng)商的網(wǎng)絡(luò)安全責(zé)任和義務(wù),要求供應(yīng)商簽署網(wǎng)絡(luò)安全承諾書(shū)。加大重要業(yè)務(wù)應(yīng)用系統(tǒng)的自主研發(fā)力度,開(kāi)展業(yè)務(wù)應(yīng)用程序源代碼安全檢測(cè)。
。ㄎ澹⿵(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)和用戶(hù)個(gè)人信息保護(hù)。認(rèn)真落實(shí)《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》(工業(yè)和信息化部令第24號(hào)),嚴(yán)格規(guī)范用戶(hù)個(gè)人信息的收集、存儲(chǔ)、使用和銷(xiāo)毀等行為,落實(shí)各個(gè)環(huán)節(jié)的安全責(zé)任,完善相關(guān)管理制度和技術(shù)手段。落實(shí)數(shù)據(jù)安全和用戶(hù)個(gè)人信息安全防護(hù)標(biāo)準(zhǔn)要求,完善網(wǎng)絡(luò)數(shù)據(jù)和用戶(hù)信息的防竊密、防篡改和數(shù)據(jù)備份等安全防護(hù)措施。強(qiáng)化對(duì)內(nèi)部人員、合作伙伴的授權(quán)管理和審計(jì),加大違規(guī)行為懲罰力度。發(fā)生大規(guī)模用戶(hù)個(gè)人信息泄露事件后要立即向通信主管部門(mén)報(bào)告,并及時(shí)采取有效補(bǔ)救措施。