首页 > 新闻 > 政策 >

工信部加强电信和互联网行业网络安全工作

2014-08-29 08:39:21   作者:   来源:通信保障局   评论:0  点击:


  工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见

  工信部保〔2014〕368号

  各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:

  近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。

  一、总体要求

  认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。

  二、工作重点

  (一)深化网络基础设施和业务系统安全防护。认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门和责任人。合理划分网络和系统的安全域,理清网络边界,加强边界防护。加强网站安全防护和企业办公、维护终端的安全管理。完善域名系统安全防护措施,优化系统架构,增强带宽保障。加强公共递归域名解析系统的域名数据应急备份。加强网络和系统上线前的风险评估。加强软硬件版本管理和补丁管理,强化漏洞信息的跟踪、验证和风险研判及通报,及时采取有效补救措施。

  (二)提升突发网络安全事件应急响应能力。认真落实工业和信息化部《公共互联网网络安全应急预案》,制定和完善本单位网络安全应急预案。健全大规模拒绝服务攻击、重要域名系统故障、大规模用户信息泄露等突发网络安全事件的应急协同配合机制。加强应急预案演练,定期评估和修订应急预案,确保应急预案的科学性、实用性、可操作性。提高突发网络安全事件监测预警能力,加强预警信息发布和预警处置,对可能造成全局性影响的要及时报通信主管部门。严格落实突发网络安全事件报告制度。建设网络安全应急指挥调度系统,提高应急响应效率。根据有关部门的需求,做好重大活动和特殊时期对其他行业重要信息系统、政府网站和重点新闻网站等的网络安全支援保障。

  (三)维护公共互联网网络安全环境。认真落实工业和信息化部《木马和僵尸网络监测与处置机制》、《移动互联网恶意程序监测与处置机制》,建立健全钓鱼网站监测与处置机制。在与用户签订的业务服务合同中明确用户维护网络安全环境的责任和义务。加强木马病毒样本库、移动恶意程序样本库、漏洞库、恶意网址库等建设,促进行业内网络安全威胁信息共享。加强对黑客地下产业利益链条的深入分析和源头治理,积极配合相关执法部门打击网络违法犯罪。基础电信企业在业务推广和用户办理业务时,要加强对用户网络安全知识和技能的宣传辅导,积极拓展面向用户的网络安全增值服务。

  (四)推进安全可控关键软硬件应用。推动建立国家网络安全审查制度,落实电信和互联网行业网络安全审查工作要求。根据《通信工程建设项目招标投标管理办法》(工业和信息化部令第27号)的有关要求,在关键软硬件采购招标时统筹考虑网络安全需要,在招标文件中明确对关键软硬件的网络安全要求。加强关键软硬件采购前的网络安全检测评估,通过合同明确供应商的网络安全责任和义务,要求供应商签署网络安全承诺书。加大重要业务应用系统的自主研发力度,开展业务应用程序源代码安全检测。

  (五)强化网络数据和用户个人信息保护。认真落实《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号),严格规范用户个人信息的收集、存储、使用和销毁等行为,落实各个环节的安全责任,完善相关管理制度和技术手段。落实数据安全和用户个人信息安全防护标准要求,完善网络数据和用户信息的防窃密、防篡改和数据备份等安全防护措施。强化对内部人员、合作伙伴的授权管理和审计,加大违规行为惩罚力度。发生大规模用户个人信息泄露事件后要立即向通信主管部门报告,并及时采取有效补救措施。
 

分享到: 收藏

专题