工業(yè)和信息化部關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作的指導意見

　　工信部保〔2014〕368號

　　各省、自治區(qū)、直轄市通信管理局，中國電信集團公司、中國移動通信集團公司、中國聯(lián)合網(wǎng)絡通信集團有限公司，國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心，工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導中心，中國通信企業(yè)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會，各互聯(lián)網(wǎng)域名注冊管理機構(gòu)，有關單位：

　　近年來，各單位認真貫徹落實黨中央、國務院決策部署及工業(yè)和信息化部的工作要求，在加強網(wǎng)絡基礎設施建設、促進網(wǎng)絡經(jīng)濟快速發(fā)展的同時，不斷強化網(wǎng)絡安全工作，網(wǎng)絡安全保障能力明顯提高。但也要看到，當前網(wǎng)絡安全形勢十分嚴峻復雜，境內(nèi)外網(wǎng)絡攻擊活動日趨頻繁，網(wǎng)絡攻擊的手法更加復雜隱蔽，新技術新業(yè)務帶來的網(wǎng)絡安全問題逐漸凸顯。新形勢下電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作存在的問題突出表現(xiàn)在：重發(fā)展、輕安全思想普遍存在，網(wǎng)絡安全工作體制機制不健全，網(wǎng)絡安全技術能力和手段不足，關鍵軟硬件安全可控程度低等。為有效應對日益嚴峻復雜的網(wǎng)絡安全威脅和挑戰(zhàn)，切實加強和改進網(wǎng)絡安全工作，進一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全保障能力和水平，提出以下意見。

　　一、總體要求

　　認真貫徹落實黨的十八大、十八屆三中全會以及中央網(wǎng)絡安全和信息化領導小組第一次會議關于維護網(wǎng)絡安全的有關精神，堅持以安全保發(fā)展、以發(fā)展促安全，堅持安全與發(fā)展工作統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施，堅持法律法規(guī)、行政監(jiān)管、行業(yè)自律、技術保障、公眾監(jiān)督、社會教育相結(jié)合，堅持立足行業(yè)、服務全局，以提升網(wǎng)絡安全保障能力為主線，以完善網(wǎng)絡安全保障體系為目標，著力提高網(wǎng)絡基礎設施和業(yè)務系統(tǒng)安全防護水平，增強網(wǎng)絡安全技術能力，強化網(wǎng)絡數(shù)據(jù)和用戶信息保護，推進安全可控關鍵軟硬件應用，為維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益和建設網(wǎng)絡強國發(fā)揮積極作用。

　　二、工作重點

　�。ㄒ唬┥罨�網(wǎng)絡基礎設施和業(yè)務系統(tǒng)安全防護。認真落實《通信網(wǎng)絡安全防護管理辦法》（工業(yè)和信息化部令第11號）和通信網(wǎng)絡安全防護系列標準，做好定級備案，嚴格落實防護措施，定期開展符合性評測和風險評估，及時消除安全隱患。加強網(wǎng)絡和信息資產(chǎn)管理，全面梳理關鍵設備列表，明確每個網(wǎng)絡、系統(tǒng)和關鍵設備的網(wǎng)絡安全責任部門和責任人。合理劃分網(wǎng)絡和系統(tǒng)的安全域，理清網(wǎng)絡邊界，加強邊界防護。加強網(wǎng)站安全防護和企業(yè)辦公、維護終端的安全管理。完善域名系統(tǒng)安全防護措施，優(yōu)化系統(tǒng)架構(gòu)，增強帶寬保障。加強公共遞歸域名解析系統(tǒng)的域名數(shù)據(jù)應急備份。加強網(wǎng)絡和系統(tǒng)上線前的風險評估。加強軟硬件版本管理和補丁管理，強化漏洞信息的跟蹤、驗證和風險研判及通報，及時采取有效補救措施。

　　（二）提升突發(fā)網(wǎng)絡安全事件應急響應能力。認真落實工業(yè)和信息化部《公共互聯(lián)網(wǎng)網(wǎng)絡安全應急預案》，制定和完善本單位網(wǎng)絡安全應急預案。健全大規(guī)模拒絕服務攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網(wǎng)絡安全事件的應急協(xié)同配合機制。加強應急預案演練，定期評估和修訂應急預案，確保應急預案的科學性、實用性、可操作性。提高突發(fā)網(wǎng)絡安全事件監(jiān)測預警能力，加強預警信息發(fā)布和預警處置，對可能造成全局性影響的要及時報通信主管部門。嚴格落實突發(fā)網(wǎng)絡安全事件報告制度。建設網(wǎng)絡安全應急指揮調(diào)度系統(tǒng)，提高應急響應效率。根據(jù)有關部門的需求，做好重大活動和特殊時期對其他行業(yè)重要信息系統(tǒng)、政府網(wǎng)站和重點新聞網(wǎng)站等的網(wǎng)絡安全支援保障。

　�。ㄈ�）維護公共互聯(lián)網(wǎng)網(wǎng)絡安全環(huán)境。認真落實工業(yè)和信息化部《木馬和僵尸網(wǎng)絡監(jiān)測與處置機制》、《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》，建立健全釣魚網(wǎng)站監(jiān)測與處置機制。在與用戶簽訂的業(yè)務服務合同中明確用戶維護網(wǎng)絡安全環(huán)境的責任和義務。加強木馬病毒樣本庫、移動惡意程序樣本庫、漏洞庫、惡意網(wǎng)址庫等建設，促進行業(yè)內(nèi)網(wǎng)絡安全威脅信息共享。加強對黑客地下產(chǎn)業(yè)利益鏈條的深入分析和源頭治理，積極配合相關執(zhí)法部門打擊網(wǎng)絡違法犯罪。基礎電信企業(yè)在業(yè)務推廣和用戶辦理業(yè)務時，要加強對用戶網(wǎng)絡安全知識和技能的宣傳輔導，積極拓展面向用戶的網(wǎng)絡安全增值服務。

　�。ㄋ模┩七M安全可控關鍵軟硬件應用。推動建立國家網(wǎng)絡安全審查制度，落實電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全審查工作要求。根據(jù)《通信工程建設項目招標投標管理辦法》（工業(yè)和信息化部令第27號）的有關要求，在關鍵軟硬件采購招標時統(tǒng)籌考慮網(wǎng)絡安全需要，在招標文件中明確對關鍵軟硬件的網(wǎng)絡安全要求。加強關鍵軟硬件采購前的網(wǎng)絡安全檢測評估，通過合同明確供應商的網(wǎng)絡安全責任和義務，要求供應商簽署網(wǎng)絡安全承諾書。加大重要業(yè)務應用系統(tǒng)的自主研發(fā)力度，開展業(yè)務應用程序源代碼安全檢測。

　�。ㄎ澹�強化網(wǎng)絡數(shù)據(jù)和用戶個人信息保護。認真落實《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號），嚴格規(guī)范用戶個人信息的收集、存儲、使用和銷毀等行為，落實各個環(huán)節(jié)的安全責任，完善相關管理制度和技術手段。落實數(shù)據(jù)安全和用戶個人信息安全防護標準要求，完善網(wǎng)絡數(shù)據(jù)和用戶信息的防竊密、防篡改和數(shù)據(jù)備份等安全防護措施。強化對內(nèi)部人員、合作伙伴的授權管理和審計，加大違規(guī)行為懲罰力度。發(fā)生大規(guī)模用戶個人信息泄露事件后要立即向通信主管部門報告，并及時采取有效補救措施。