近日，記者從工信部獲悉，工業和(hé)信息化部針對加強電(diàn)信和(hé)互聯網行(xíng)業網絡安全工作(zuò)時(shí)，發布了關于加強電(diàn)信和(hé)互聯網行(xíng)業網絡安全工作(zuò)的指導意見。

　　近年來(lái)，各單位在加強網絡基礎設施建設、促進網絡經濟快速發展的同時(shí)，不斷強化網絡安全工作(zuò)，網絡安全保障能力明(míng)顯提高(gāo)。但(dàn)是當前網絡安全形勢十分嚴峻複雜，新技(jì)術(shù)新業務帶來(lái)的網絡安全問題逐漸凸顯。

　　今後在推進安全可(kě)控關鍵軟硬件應用方面的工作(zuò)重點是：推動建立國家(jiā)網絡安全審查制(zhì)度，落實電(diàn)信和(hé)互聯網行(xíng)業網絡安全審查工作(zuò)要求。

　　根據《通(tōng)信工程建設項目招标投标管理(lǐ)辦法》(工業和(hé)信息化部令第27号)的有(yǒu)關要求，在關鍵軟硬件采購招标時(shí)統籌考慮網絡安全需要，在招标文件中明(míng)确對關鍵軟硬件的網絡安全要求。

　　同時(shí)指導意見要求，加強關鍵軟硬件采購前的網絡安全檢測評估，通(tōng)過合同明(míng)确供應商的網絡安全責任和(hé)義務，要求供應商簽署網絡安全承諾書(shū)。加大(dà)重要業務應用系統的自主研發力度，開(kāi)展業務應用程序源代碼安全檢測。

　　附：

　　工業和(hé)信息化部關于加強電(diàn)信和(hé)互聯網行(xíng)業網絡安全工作(zuò)的指導意見工信部保〔2014〕368号

　　各省、自治區(qū)、直轄市通(tōng)信管理(lǐ)局，中國電(diàn)信集團公司、中國移動通(tōng)信集團公司、中國聯合網絡通(tōng)信集團有(yǒu)限公司，國家(jiā)計(jì)算(suàn)機網絡應急技(jì)術(shù)處理(lǐ)協調中心，工業和(hé)信息化部電(diàn)信研究院、通(tōng)信行(xíng)業職業技(jì)能鑒定指導中心，中國通(tōng)信企業協會(huì)、中國互聯網協會(huì)，各互聯網域名注冊管理(lǐ)機構，有(yǒu)關單位：

　　近年來(lái)，各單位認真貫徹落實黨中央、國務院決策部署及工業和(hé)信息化部的工作(zuò)要求，在加強網絡基礎設施建設、促進網絡經濟快速發展的同時(shí)，不斷強化網絡安全工作(zuò)，網絡安全保障能力明(míng)顯提高(gāo)。但(dàn)也要看到，當前網絡安全形勢十分嚴峻複雜，境內(nèi)外網絡攻擊活動日趨頻繁，網絡攻擊的手法更加複雜隐蔽，新技(jì)術(shù)新業務帶來(lái)的網絡安全問題逐漸凸顯。新形勢下電(diàn)信和(hé)互聯網行(xíng)業網絡安全工作(zuò)存在的問題突出表現在：重發展、輕安全思想普遍存在，網絡安全工作(zuò)體(tǐ)制(zhì)機制(zhì)不健全，網絡安全技(jì)術(shù)能力和(hé)手段不足，關鍵軟硬件安全可(kě)控程度低(dī)等。為(wèi)有(yǒu)效應對日益嚴峻複雜的網絡安全威脅和(hé)挑戰，切實加強和(hé)改進網絡安全工作(zuò)，進一步提高(gāo)電(diàn)信和(hé)互聯網行(xíng)業網絡安全保障能力和(hé)水(shuǐ)平，提出以下意見。

　　一、總體(tǐ)要求

　　認真貫徹落實黨的十八大(dà)、十八屆三中全會(huì)以及中央網絡安全和(hé)信息化領導小(xiǎo)組第一次會(huì)議關于維護網絡安全的有(yǒu)關精神，堅持以安全保發展、以發展促安全，堅持安全與發展工作(zuò)統一謀劃、統一部署、統一推進、統一實施，堅持法律法規、行(xíng)政監管、行(xíng)業自律、技(jì)術(shù)保障、公衆監督、社會(huì)教育相結合，堅持立足行(xíng)業、服務全局，以提升網絡安全保障能力為(wèi)主線，以完善網絡安全保障體(tǐ)系為(wèi)目标，着力提高(gāo)網絡基礎設施和(hé)業務系統安全防護水(shuǐ)平，增強網絡安全技(jì)術(shù)能力，強化網絡數(shù)據和(hé)用戶信息保護，推進安全可(kě)控關鍵軟硬件應用，為(wèi)維護國家(jiā)安全、促進經濟發展、保護人(rén)民群衆利益和(hé)建設網絡強國發揮積極作(zuò)用。

　　二、工作(zuò)重點

　　(一)深化網絡基礎設施和(hé)業務系統安全防護。認真落實《通(tōng)信網絡安全防護管理(lǐ)辦法》(工業和(hé)信息化部令第11号)和(hé)通(tōng)信網絡安全防護系列标準，做(zuò)好定級備案，嚴格落實防護措施，定期開(kāi)展符合性評測和(hé)風險評估，及時(shí)消除安全隐患。加強網絡和(hé)信息資産管理(lǐ)，全面梳理(lǐ)關鍵設備列表，明(míng)确每個(gè)網絡、系統和(hé)關鍵設備的網絡安全責任部門(mén)和(hé)責任人(rén)。合理(lǐ)劃分網絡和(hé)系統的安全域，理(lǐ)清網絡邊界，加強邊界防護。加強網站(zhàn)安全防護和(hé)企業辦公、維護終端的安全管理(lǐ)。完善域名系統安全防護措施，優化系統架構，增強帶寬保障。加強公共遞歸域名解析系統的域名數(shù)據應急備份。加強網絡和(hé)系統上(shàng)線前的風險評估。加強軟硬件版本管理(lǐ)和(hé)補丁管理(lǐ)，強化漏洞信息的跟蹤、驗證和(hé)風險研判及通(tōng)報，及時(shí)采取有(yǒu)效補救措施。

　　(二)提升突發網絡安全事件應急響應能力。認真落實工業和(hé)信息化部《公共互聯網網絡安全應急預案》，制(zhì)定和(hé)完善本單位網絡安全應急預案。健全大(dà)規模拒絕服務攻擊、重要域名系統故障、大(dà)規模用戶信息洩露等突發網絡安全事件的應急協同配合機制(zhì)。加強應急預案演練，定期評估和(hé)修訂應急預案，确保應急預案的科學性、實用性、可(kě)操作(zuò)性。提高(gāo)突發網絡安全事件監測預警能力，加強預警信息發布和(hé)預警處置，對可(kě)能造成全局性影(yǐng)響的要及時(shí)報通(tōng)信主管部門(mén)。嚴格落實突發網絡安全事件報告制(zhì)度。建設網絡安全應急指揮調度系統，提高(gāo)應急響應效率。根據有(yǒu)關部門(mén)的需求，做(zuò)好重大(dà)活動和(hé)特殊時(shí)期對其他行(xíng)業重要信息系統、政府網站(zhàn)和(hé)重點新聞網站(zhàn)等的網絡安全支援保障。

　　(三)維護公共互聯網網絡安全環境。認真落實工業和(hé)信息化部《木馬和(hé)僵屍網絡監測與處置機制(zhì)》、《移動互聯網惡意程序監測與處置機制(zhì)》，建立健全釣魚網站(zhàn)監測與處置機制(zhì)。在與用戶簽訂的業務服務合同中明(míng)确用戶維護網絡安全環境的責任和(hé)義務。加強木馬病毒樣本庫、移動惡意程序樣本庫、漏洞庫、惡意網址庫等建設，促進行(xíng)業內(nèi)網絡安全威脅信息共享。加強對黑(hēi)客地下産業利益鏈條的深入分析和(hé)源頭治理(lǐ)，積極配合相關執法部門(mén)打擊網絡違法犯罪。基礎電(diàn)信企業在業務推廣和(hé)用戶辦理(lǐ)業務時(shí)，要加強對用戶網絡安全知識和(hé)技(jì)能的宣傳輔導，積極拓展面向用戶的網絡安全增值服務。

　　(四)推進安全可(kě)控關鍵軟硬件應用。推動建立國家(jiā)網絡安全審查制(zhì)度，落實電(diàn)信和(hé)互聯網行(xíng)業網絡安全審查工作(zuò)要求。根據《通(tōng)信工程建設項目招标投标管理(lǐ)辦法》(工業和(hé)信息化部令第27号)的有(yǒu)關要求，在關鍵軟硬件采購招标時(shí)統籌考慮網絡安全需要，在招标文件中明(míng)确對關鍵軟硬件的網絡安全要求。加強關鍵軟硬件采購前的網絡安全檢測評估，通(tōng)過合同明(míng)确供應商的網絡安全責任和(hé)義務，要求供應商簽署網絡安全承諾書(shū)。加大(dà)重要業務應用系統的自主研發力度，開(kāi)展業務應用程序源代碼安全檢測。

　　(五)強化網絡數(shù)據和(hé)用戶個(gè)人(rén)信息保護。認真落實《電(diàn)信和(hé)互聯網用戶個(gè)人(rén)信息保護規定》(工業和(hé)信息化部令第24号)，嚴格規範用戶個(gè)人(rén)信息的收集、存儲、使用和(hé)銷毀等行(xíng)為(wèi)，落實各個(gè)環節的安全責任，完善相關管理(lǐ)制(zhì)度和(hé)技(jì)術(shù)手段。落實數(shù)據安全和(hé)用戶個(gè)人(rén)信息安全防護标準要求，完善網絡數(shù)據和(hé)用戶信息的防竊密、防篡改和(hé)數(shù)據備份等安全防護措施。強化對內(nèi)部人(rén)員、合作(zuò)夥伴的授權管理(lǐ)和(hé)審計(jì)，加大(dà)違規行(xíng)為(wèi)懲罰力度。發生(shēng)大(dà)規模用戶個(gè)人(rén)信息洩露事件後要立即向通(tōng)信主管部門(mén)報告，并及時(shí)采取有(yǒu)效補救措施。

　　(六)加強移動應用商店(diàn)和(hé)應用程序安全管理(lǐ)。加強移動應用商店(diàn)、移動應用程序的安全管理(lǐ)，督促應用商店(diàn)建立健全移動應用程序開(kāi)發者真實身份信息驗證、應用程序安全檢測、惡意程序下架、惡意程序黑(hēi)名單、用戶監督舉報等制(zhì)度。建立健全移動應用程序第三方安全檢測機制(zhì)。推動建立移動應用程序開(kāi)發者第三方數(shù)字證書(shū)簽名和(hé)應用商店(diàn)、智能終端的簽名驗證和(hé)用戶提示機制(zhì)。完善移動惡意程序舉報受理(lǐ)和(hé)黑(hēi)名單共享機制(zhì)。加強社會(huì)宣傳，引導用戶從正規應用商店(diàn)下載安裝移動應用程序、安裝終端安全防護軟件。

　　(七)加強新技(jì)術(shù)新業務網絡安全管理(lǐ)。加強對雲計(jì)算(suàn)、大(dà)數(shù)據、物聯網、移動互聯網、下一代互聯網等新技(jì)術(shù)新業務網絡安全問題的跟蹤研究，對涉及提供公共電(diàn)信和(hé)互聯網服務的基礎設施和(hé)業務系統要納入通(tōng)信網絡安全防護管理(lǐ)體(tǐ)系，加快推進相關網絡安全防護标準研制(zhì)，完善和(hé)落實相應的網絡安全防護措施。積極開(kāi)展新技(jì)術(shù)新業務網絡安全防護技(jì)術(shù)的試點示範。加強新業務網絡安全風險評估和(hé)網絡安全防護檢查。

　　(八)強化網絡安全技(jì)術(shù)能力和(hé)手段建設。深入開(kāi)展網絡安全監測預警、漏洞挖掘、惡意代碼分析、檢測評估和(hé)溯源取證技(jì)術(shù)研究，加強高(gāo)級可(kě)持續攻擊應對技(jì)術(shù)研究。建立和(hé)完善入侵檢測與防禦、防病毒、防拒絕服務攻擊、異常流量監測、網頁防篡改、域名安全、漏洞掃描、集中賬号管理(lǐ)、數(shù)據加密、安全審計(jì)等網絡安全防護技(jì)術(shù)手段。健全基于網絡側的木馬病毒、移動惡意程序等監測與處置手段。積極研究利用雲計(jì)算(suàn)、大(dà)數(shù)據等新技(jì)術(shù)提高(gāo)網絡安全監測預警能力。促進企業技(jì)術(shù)手段與通(tōng)信主管部門(mén)技(jì)術(shù)手段對接，制(zhì)定接口标準規範，實現監測數(shù)據共享。加強與網絡安全服務企業的合作(zuò)，防範服務過程中的風險，在依托安全服務單位開(kāi)展網絡安全集成建設和(hé)風險評估等工作(zuò)時(shí)，應當選用通(tōng)過有(yǒu)關行(xíng)業組織網絡安全服務能力評定的單位。

　　三、保障措施

　　(一)加強網絡安全監管。通(tōng)信主管部門(mén)要切實履行(xíng)電(diàn)信和(hé)互聯網行(xíng)業網絡安全監管職責，不斷健全網絡安全監管體(tǐ)系，積極推動關鍵信息基礎設施保護、網絡數(shù)據保護等網絡安全相關立法，進一步完善網絡安全防護标準和(hé)有(yǒu)關工作(zuò)機制(zhì);要加大(dà)對基礎電(diàn)信企業的網絡安全監督檢查和(hé)考核力度，加強對互聯網域名注冊管理(lǐ)和(hé)服務機構以及增值電(diàn)信企業的網絡安全監管，推動建立電(diàn)信和(hé)互聯網行(xíng)業網絡安全認證體(tǐ)系。國家(jiā)計(jì)算(suàn)機網絡應急技(jì)術(shù)處理(lǐ)協調中心和(hé)工業和(hé)信息化部電(diàn)信研究院等要加大(dà)網絡安全技(jì)術(shù)、資金和(hé)人(rén)員投入，大(dà)力提升對通(tōng)信主管部門(mén)網絡安全監管的支撐能力。

　　(二)充分發揮行(xíng)業組織和(hé)專業機構的作(zuò)用。充分發揮行(xíng)業組織支撐政府、服務行(xíng)業的橋梁紐帶作(zuò)用，大(dà)力開(kāi)展電(diàn)信和(hé)互聯網行(xíng)業網絡安全自律工作(zuò)。支持相關行(xíng)業組織和(hé)專業機構開(kāi)展面向行(xíng)業的網絡安全法規、政策、标準宣貫和(hé)知識技(jì)能培訓、競賽，促進網絡安全管理(lǐ)和(hé)技(jì)術(shù)交流;開(kāi)展網絡安全服務能力評定，促進和(hé)規範網絡安全服務市場(chǎng)健康發展;建立健全網絡安全社會(huì)監督舉報機制(zhì)，發動全社會(huì)力量參與維護公共互聯網網絡安全環境;開(kāi)展面向社會(huì)公衆的網絡安全宣傳教育活動，提高(gāo)用戶的網絡安全風險意識和(hé)自我保護能力。

　　(三)落實企業主體(tǐ)責任。相關企業要從維護國家(jiā)安全、促進經濟社會(huì)發展、保障用戶利益的高(gāo)度，充分認識做(zuò)好網絡安全工作(zuò)的重要性、緊迫性，切實加強組織領導，落實安全責任，健全網絡安全管理(lǐ)體(tǐ)系。基礎電(diàn)信企業主要領導要對網絡安全工作(zuò)負總責，明(míng)确一名主管領導具體(tǐ)負責、統一協調企業內(nèi)部網絡安全各項工作(zuò);要加強集團公司、省級公司網絡安全管理(lǐ)專職部門(mén)建設，加強專職人(rén)員配備，強化專職部門(mén)的網絡安全管理(lǐ)職能，切實加大(dà)企業內(nèi)部網絡安全工作(zuò)的統籌協調、監督檢查、責任考核和(hé)責任追究力度。互聯網域名注冊管理(lǐ)和(hé)服務機構、增值電(diàn)信企業要結合實際健全內(nèi)部網絡安全管理(lǐ)體(tǐ)系，配備網絡安全管理(lǐ)專職部門(mén)和(hé)人(rén)員，保證網絡安全責任落實到位。

　　(四)加大(dà)資金保障力度。基礎電(diàn)信企業要制(zhì)定本企業網絡安全專項規劃，在加大(dà)網絡和(hé)業務發展投入的同時(shí)，同步加大(dà)網絡安全保障資金投入，并将網絡安全經費納入企業年度預算(suàn)。互聯網域名注冊管理(lǐ)和(hé)服務機構、增值電(diàn)信企業要結合實際加大(dà)網絡安全資金投入力度。

　　(五)加強人(rén)才隊伍建設。基礎電(diàn)信企業要積極開(kāi)展網絡安全專業崗位職業技(jì)能鑒定工作(zuò)，建立健全網絡安全專業崗位持證上(shàng)崗制(zhì)度;加強網絡安全培訓，把相關培訓納入員工培訓計(jì)劃;積極組織和(hé)參與網絡安全知識技(jì)能競賽，形成培養、選拔、吸引和(hé)使用網絡安全人(rén)才的良性機制(zhì)。