工信部:推動建立國家網(wǎng)絡(luò)安全審查制度

責任編輯:editor006

2014-08-28 17:50:50

摘自:證券時報網(wǎng)

28日消息,為有效應(yīng)對日益嚴峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn),切實加強和改進網(wǎng)絡(luò)安全工作,進一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全保障能力和水平,工信部日前發(fā)布了關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見。

28日消息,為有效應(yīng)對日益嚴峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn),切實加強和改進網(wǎng)絡(luò)安全工作,進一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全保障能力和水平,工信部日前發(fā)布了關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見。

意見要求,認真貫徹落實黨的十八大、十八屆三中全會以及中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議關(guān)于維護網(wǎng)絡(luò)安全的有關(guān)精神,堅持以安全保發(fā)展、以發(fā)展促安全,堅持安全與發(fā)展工作統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施,堅持法律法規(guī)、行政監(jiān)管、行業(yè)自律、技術(shù)保障、公眾監(jiān)督、社會教育相結(jié)合,堅持立足行業(yè)、服務(wù)全局,以提升網(wǎng)絡(luò)安全保障能力為主線,以完善網(wǎng)絡(luò)安全保障體系為目標,著力提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護水平,增強網(wǎng)絡(luò)安全技術(shù)能力,強化網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護,推進安全可控關(guān)鍵軟硬件應(yīng)用,為維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益和建設(shè)網(wǎng)絡(luò)強國發(fā)揮積極作用。

工作重點

(一)深化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護。認真落實《通信網(wǎng)絡(luò)安全防護管理辦法》(工業(yè)和信息化部令第11號)和通信網(wǎng)絡(luò)安全防護系列標準,做好定級備案,嚴格落實防護措施,定期開展符合性評測和風險評估,及時消除安全隱患。加強網(wǎng)絡(luò)和信息資產(chǎn)管理,全面梳理關(guān)鍵設(shè)備列表,明確每個網(wǎng)絡(luò)、系統(tǒng)和關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全責任部門和責任人。合理劃分網(wǎng)絡(luò)和系統(tǒng)的安全域,理清網(wǎng)絡(luò)邊界,加強邊界防護。加強網(wǎng)站安全防護和企業(yè)辦公、維護終端的安全管理。完善域名系統(tǒng)安全防護措施,優(yōu)化系統(tǒng)架構(gòu),增強帶寬保障。加強公共遞歸域名解析系統(tǒng)的域名數(shù)據(jù)應(yīng)急備份。加強網(wǎng)絡(luò)和系統(tǒng)上線前的風險評估。加強軟硬件版本管理和補丁管理,強化漏洞信息的跟蹤、驗證和風險研判及通報,及時采取有效補救措施。

(二)提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力。認真落實工業(yè)和信息化部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,制定和完善本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。健全大規(guī)模拒絕服務(wù)攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機制。加強應(yīng)急預(yù)案演練,定期評估和修訂應(yīng)急預(yù)案,確保應(yīng)急預(yù)案的科學(xué)性、實用性、可操作性。提高突發(fā)網(wǎng)絡(luò)安全事件監(jiān)測預(yù)警能力,加強預(yù)警信息發(fā)布和預(yù)警處置,對可能造成全局性影響的要及時報通信主管部門。嚴格落實突發(fā)網(wǎng)絡(luò)安全事件報告制度。建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮調(diào)度系統(tǒng),提高應(yīng)急響應(yīng)效率。根據(jù)有關(guān)部門的需求,做好重大活動和特殊時期對其他行業(yè)重要信息系統(tǒng)、政府網(wǎng)站和重點新聞網(wǎng)站等的網(wǎng)絡(luò)安全支援保障。

(三)維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境。認真落實工業(yè)和信息化部《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制》、《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》,建立健全釣魚網(wǎng)站監(jiān)測與處置機制。在與用戶簽訂的業(yè)務(wù)服務(wù)合同中明確用戶維護網(wǎng)絡(luò)安全環(huán)境的責任和義務(wù)。加強木馬病毒樣本庫、移動惡意程序樣本庫、漏洞庫、惡意網(wǎng)址庫等建設(shè),促進行業(yè)內(nèi)網(wǎng)絡(luò)安全威脅信息共享。加強對黑客地下產(chǎn)業(yè)利益鏈條的深入分析和源頭治理,積極配合相關(guān)執(zhí)法部門打擊網(wǎng)絡(luò)違法犯罪?;A(chǔ)電信企業(yè)在業(yè)務(wù)推廣和用戶辦理業(yè)務(wù)時,要加強對用戶網(wǎng)絡(luò)安全知識和技能的宣傳輔導(dǎo),積極拓展面向用戶的網(wǎng)絡(luò)安全增值服務(wù)。

(四)推進安全可控關(guān)鍵軟硬件應(yīng)用。推動建立國家網(wǎng)絡(luò)安全審查制度,落實電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全審查工作要求。根據(jù)《通信工程建設(shè)項目招標投標管理辦法》(工業(yè)和信息化部令第27號)的有關(guān)要求,在關(guān)鍵軟硬件采購招標時統(tǒng)籌考慮網(wǎng)絡(luò)安全需要,在招標文件中明確對關(guān)鍵軟硬件的網(wǎng)絡(luò)安全要求。加強關(guān)鍵軟硬件采購前的網(wǎng)絡(luò)安全檢測評估,通過合同明確供應(yīng)商的網(wǎng)絡(luò)安全責任和義務(wù),要求供應(yīng)商簽署網(wǎng)絡(luò)安全承諾書。加大重要業(yè)務(wù)應(yīng)用系統(tǒng)的自主研發(fā)力度,開展業(yè)務(wù)應(yīng)用程序源代碼安全檢測。

(五)強化網(wǎng)絡(luò)數(shù)據(jù)和用戶個人信息保護。認真落實《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工業(yè)和信息化部令第24號),嚴格規(guī)范用戶個人信息的收集、存儲、使用和銷毀等行為,落實各個環(huán)節(jié)的安全責任,完善相關(guān)管理制度和技術(shù)手段。落實數(shù)據(jù)安全和用戶個人信息安全防護標準要求,完善網(wǎng)絡(luò)數(shù)據(jù)和用戶信息的防竊密、防篡改和數(shù)據(jù)備份等安全防護措施。強化對內(nèi)部人員、合作伙伴的授權(quán)管理和審計,加大違規(guī)行為懲罰力度。發(fā)生大規(guī)模用戶個人信息泄露事件后要立即向通信主管部門報告,并及時采取有效補救措施。

(六)加強移動應(yīng)用商店和應(yīng)用程序安全管理。加強移動應(yīng)用商店、移動應(yīng)用程序的安全管理,督促應(yīng)用商店建立健全移動應(yīng)用程序開發(fā)者真實身份信息驗證、應(yīng)用程序安全檢測、惡意程序下架、惡意程序黑名單、用戶監(jiān)督舉報等制度。建立健全移動應(yīng)用程序第三方安全檢測機制。推動建立移動應(yīng)用程序開發(fā)者第三方數(shù)字證書簽名和應(yīng)用商店、智能終端的簽名驗證和用戶提示機制。完善移動惡意程序舉報受理和黑名單共享機制。加強社會宣傳,引導(dǎo)用戶從正規(guī)應(yīng)用商店下載安裝移動應(yīng)用程序、安裝終端安全防護軟件。

(七)加強新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全管理。加強對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全問題的跟蹤研究,對涉及提供公共電信和互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)要納入通信網(wǎng)絡(luò)安全防護管理體系,加快推進相關(guān)網(wǎng)絡(luò)安全防護標準研制,完善和落實相應(yīng)的網(wǎng)絡(luò)安全防護措施。積極開展新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全防護技術(shù)的試點示范。加強新業(yè)務(wù)網(wǎng)絡(luò)安全風險評估和網(wǎng)絡(luò)安全防護檢查。

(八)強化網(wǎng)絡(luò)安全技術(shù)能力和手段建設(shè)。深入開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警、漏洞挖掘、惡意代碼分析、檢測評估和溯源取證技術(shù)研究,加強高級可持續(xù)攻擊應(yīng)對技術(shù)研究。建立和完善入侵檢測與防御、防病毒、防拒絕服務(wù)攻擊、異常流量監(jiān)測、網(wǎng)頁防篡改、域名安全、漏洞掃描、集中賬號管理、數(shù)據(jù)加密、安全審計等網(wǎng)絡(luò)安全防護技術(shù)手段。健全基于網(wǎng)絡(luò)側(cè)的木馬病毒、移動惡意程序等監(jiān)測與處置手段。積極研究利用云計算、大數(shù)據(jù)等新技術(shù)提高網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力。促進企業(yè)技術(shù)手段與通信主管部門技術(shù)手段對接,制定接口標準規(guī)范,實現(xiàn)監(jiān)測數(shù)據(jù)共享。加強與網(wǎng)絡(luò)安全服務(wù)企業(yè)的合作,防范服務(wù)過程中的風險,在依托安全服務(wù)單位開展網(wǎng)絡(luò)安全集成建設(shè)和風險評估等工作時,應(yīng)當選用通過有關(guān)行業(yè)組織網(wǎng)絡(luò)安全服務(wù)能力評定的單位。

保障措施

(一)加強網(wǎng)絡(luò)安全監(jiān)管。通信主管部門要切實履行電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全監(jiān)管職責,不斷健全網(wǎng)絡(luò)安全監(jiān)管體系,積極推動關(guān)鍵信息基礎(chǔ)設(shè)施保護、網(wǎng)絡(luò)數(shù)據(jù)保護等網(wǎng)絡(luò)安全相關(guān)立法,進一步完善網(wǎng)絡(luò)安全防護標準和有關(guān)工作機制;要加大對基礎(chǔ)電信企業(yè)的網(wǎng)絡(luò)安全監(jiān)督檢查和考核力度,加強對互聯(lián)網(wǎng)域名注冊管理和服務(wù)機構(gòu)以及增值電信企業(yè)的網(wǎng)絡(luò)安全監(jiān)管,推動建立電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全認證體系。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心和工業(yè)和信息化部電信研究院等要加大網(wǎng)絡(luò)安全技術(shù)、資金和人員投入,大力提升對通信主管部門網(wǎng)絡(luò)安全監(jiān)管的支撐能力。

(二)充分發(fā)揮行業(yè)組織和專業(yè)機構(gòu)的作用。充分發(fā)揮行業(yè)組織支撐政府、服務(wù)行業(yè)的橋梁紐帶作用,大力開展電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全自律工作。支持相關(guān)行業(yè)組織和專業(yè)機構(gòu)開展面向行業(yè)的網(wǎng)絡(luò)安全法規(guī)、政策、標準宣貫和知識技能培訓(xùn)、競賽,促進網(wǎng)絡(luò)安全管理和技術(shù)交流;開展網(wǎng)絡(luò)安全服務(wù)能力評定,促進和規(guī)范網(wǎng)絡(luò)安全服務(wù)市場健康發(fā)展;建立健全網(wǎng)絡(luò)安全社會監(jiān)督舉報機制,發(fā)動全社會力量參與維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境;開展面向社會公眾的網(wǎng)絡(luò)安全宣傳教育活動,提高用戶的網(wǎng)絡(luò)安全風險意識和自我保護能力。

(三)落實企業(yè)主體責任。相關(guān)企業(yè)要從維護國家安全、促進經(jīng)濟社會發(fā)展、保障用戶利益的高度,充分認識做好網(wǎng)絡(luò)安全工作的重要性、緊迫性,切實加強組織領(lǐng)導(dǎo),落實安全責任,健全網(wǎng)絡(luò)安全管理體系?;A(chǔ)電信企業(yè)主要領(lǐng)導(dǎo)要對網(wǎng)絡(luò)安全工作負總責,明確一名主管領(lǐng)導(dǎo)具體負責、統(tǒng)一協(xié)調(diào)企業(yè)內(nèi)部網(wǎng)絡(luò)安全各項工作;要加強集團公司、省級公司網(wǎng)絡(luò)安全管理專職部門建設(shè),加強專職人員配備,強化專職部門的網(wǎng)絡(luò)安全管理職能,切實加大企業(yè)內(nèi)部網(wǎng)絡(luò)安全工作的統(tǒng)籌協(xié)調(diào)、監(jiān)督檢查、責任考核和責任追究力度?;ヂ?lián)網(wǎng)域名注冊管理和服務(wù)機構(gòu)、增值電信企業(yè)要結(jié)合實際健全內(nèi)部網(wǎng)絡(luò)安全管理體系,配備網(wǎng)絡(luò)安全管理專職部門和人員,保證網(wǎng)絡(luò)安全責任落實到位。

(四)加大資金保障力度?;A(chǔ)電信企業(yè)要制定本企業(yè)網(wǎng)絡(luò)安全專項規(guī)劃,在加大網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展投入的同時,同步加大網(wǎng)絡(luò)安全保障資金投入,并將網(wǎng)絡(luò)安全經(jīng)費納入企業(yè)年度預(yù)算。互聯(lián)網(wǎng)域名注冊管理和服務(wù)機構(gòu)、增值電信企業(yè)要結(jié)合實際加大網(wǎng)絡(luò)安全資金投入力度。

(五)加強人才隊伍建設(shè)?;A(chǔ)電信企業(yè)要積極開展網(wǎng)絡(luò)安全專業(yè)崗位職業(yè)技能鑒定工作,建立健全網(wǎng)絡(luò)安全專業(yè)崗位持證上崗制度;加強網(wǎng)絡(luò)安全培訓(xùn),把相關(guān)培訓(xùn)納入員工培訓(xùn)計劃;積極組織和參與網(wǎng)絡(luò)安全知識技能競賽,形成培養(yǎng)、選拔、吸引和使用網(wǎng)絡(luò)安全人才的良性機制。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號