摘要:12月12日,上海市通信管理局召开2016年电信和互联网行业网络安全检查暨信息安全评估检查总结会议,组织各企业学习《网络安全法》有关精神,总结前期网络与信息安全工作成果。会上同时发布了《上海市互联网网络安全信息通报实施办法》,规范上海市互联网网络安全信息通报工作,促进网络安全信息共享,提高网络安全预警、防范和应急水平。信息通报机制的建立将有助于主管部门和企业建立密切协作协调的关系,推动信息共享和工作配合,保障用户个人隐私信息安全,维护上海市电信和互联网行业健康、稳定、安全、有序发展!
日前,市通信管理局印发了《上海市互联网网络安全信息通报实施办法》,这是在11月7日《中华人民共和国网络安全法》通过后,上海市电信和互联网行业主管部门首次发布专门针对互联网网络安全的文件,引起了社会各界的广泛关注。
12月10日,据媒体报道,近期一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。这一事件再度引起社会对用户隐私信息保护的普遍关注。当前互联网网络安全形势仍然十分严峻,网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽。而诸如此次卷入数据泄露风波的电商平台等互联网企业,目前则存在不同程度的网络安全问题隐患,如:网络安全工作机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。互联网平台掌握了大量的用户信息,其中还包含个人隐私信息、账户支付信息等关键内容。上述安全隐患的存在和一系列数据泄露事件的发生正时刻威胁着公民的生命财产安全。
《中华人民共和国网络安全法》将于2017年6月1日正式实施。《网络安全法》共有七章七十九条,内容十分丰富;其中在第四章(网络信息安全)用较大的篇幅专章规定了公民个人信息保护的基本法律制度。专家解读,这之中有四大亮点引人注目:一是网络运营者收集、使用个人信息必须符合合法、正当、必要原则;二是网络运营商收集、使用公民个人信息的目的明确原则和知情同意原则;三是公民个人信息的删除权和更正权制度;四是网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密制度等。同时,《网络安全法》第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息”。为进一步加强电信和互联网行业网络安全工作,保护互联网用户隐私信息安全,上海市通信管理局按照《网络安全法》的有关法律精神,根据工信部有关文件要求,制定并发布了《上海市互联网网络安全信息通报实施办法》,规范上海市互联网网络安全信息通报工作,促进网络安全信息共享,提高网络安全预警、防范和应急水平,积极推动保护上海市互联网用户的信息、财产和生命安全。
《互联网网络安全信息通报实施办法》主要解决信息通报工作中“谁来报信息”、“报什么信息”、“怎么报信息”、“我能得到什么信息”的问题。
“谁来报信息”,《互联网网络安全信息通报实施办法》中规定信息报送单位包括:国家计算机网络应急技术处理协调中心上海分中心(以下简称SHCERT)、上海市基础电信业务经营者、增值电信业务经营者、互联网域名注册服务机构、上海市互联网协会。同时为了拓展网络安全信息获取渠道,规定SHCERT应与网络安全研究机构、网络安全技术支撑单位、非经营性互联单位、网络安全企业、国际网络安全组织等广泛合作。只有信息来源多才能更全面地掌握网络安全整体状况,才能对网络安全形势有更准确的判断,对网络安全工作和用户信息保护起到更好的指导作用。
“报什么信息”,由于不同单位的网络安全工作有不同的侧重点,因此《互联网网络安全信息通报实施办法》针对每个单位的特点规定了报送信息的内容,具体信息报送项目在附件中列出。当前,计算机病毒蠕虫、网页挂马、网络仿冒、网页篡改、后门漏洞等网络安全问题,都是造成个人隐私泄露、失泄密和垃圾邮件的重要原因,不仅危害互联网用户个人,更危害企业利益,甚至危害国家安全。2009年2月,一款名为“猫癣”的恶性木马下载器在互联网上大肆传播,感染了数百万台主机。该病毒通过下载针对诛仙、魔兽世界、问道等热门网游、QQ以及网上银行的盗号木马,盗窃用户网游及网上银行的帐号和密码,对互联网用户个人隐私和财产造成严重危害,成为业内的典型案例。因此,《互联网网络安全信息通报实施办法》在附件中将上述安全问题纳入信息报送项目列表,明确要求各信息报送单位要加强相关安全问题的监测预警和信息上报。
“怎么报信息”,信息报送单位按照《互联网网络安全信息通报实施办法》规定的事件分类分级标准,以及相应的报送时间和报送单位的要求,及时报送信息。
“我能得到什么信息”,《互联网网络安全信息通报实施办法》中突出强调了“信息共享”,对信息通报进行了明确的规定。信息报送单位不仅仅只是报送信息,更能从中获得更多有价值的网络安全信息,这将帮助信息报送单位进一步做好本单位的网络安全工作。只有主管部门和互联网企业建立密切协作协调的关系,积极推动信息共享和工作配合,走出一条齐抓共管、良性互动之路,才能保障用户个人隐私信息安全,才能维护上海市电信和互联网行业健康、稳定、安全、有序发展!
上海市互联网网络安全信息通报实施办法
第一条为规范上海市互联网网络安全信息通报工作,促进网络安全信息共享,提高网络安全预警、防范和应急水平,依据工业和信息化部《互联网网络安全信息通报实施办法》,结合本市实际,制定本办法。
第二条本办法适用于本市公共互联网和重要信息系统网络安全信息通报(以下简称信息通报)工作。
第三条上海市通信管理局(以下简称市通信管理局)指导、监督、检查本市信息通报工作。
第四条国家计算机网络应急技术处理协调中心上海分中心(以下简称SHCERT)、上海市基础电信业务经营者、增值电信业务经营者、互联网域名注册服务机构、上海市互联网协会为信息报送单位。
第五条市通信管理局负责收集、汇总、分析、发布互联网网络安全信息(以下简称信息)。
第六条信息报送应遵循及时、客观、真实、准确、完整的原则,不得迟报、谎报、瞒报、漏报。
第七条信息报送单位应建立并完善本单位信息监测机制,提高监测能力,自主监测涉及本单位管理范围内的信息。
第八条信息报送单位应制定并完善本单位信息通报机制,明确负责信息通报工作的主管领导和承担信息通报工作的责任部门、负责人和联络人,及时汇总本单位内部不同部门、不同渠道掌握的网络安全信息。信息报送单位应将本单位信息通报机制报市通信管理局备案。
第九条各单位需要报送的信息项目见附件一,市通信管理局负责对项目内容进行调整。
第十条报送的信息分为事件信息和预警信息。
事件信息是指已经发生的网络安全事件信息。
预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息,或者对事件信息分析后得出的预防性信息。
第十一条事件信息分为特别重大、重大、较大、一般共四级。预警信息分为一级、二级、三级、四级,分别用红色、橙色、黄色、蓝色标识,一级为最高级。具体分级规范见附件二,市通信管理局负责对分级规范进行修订。
第十二条信息报送单位应按照本办法第十条、第十一条规定对信息进行分类、分级,并根据本办法的相应规定报送信息。
省级基础电信业务经营者负责汇总、核实、报送下级分公司的信息。
第十三条对于特别重大、重大事件信息以及一级、二级预警信息,信息报送单位应于2小时内向市通信管理局报告,抄送SHCERT。
对于较大事件信息以及三级预警信息,信息报送单位应当于4小时内向市通信管理局报告,抄送SHCERT。
对于一般事件信息,信息报送单位应按月及时汇总,于次月5个工作日内报送市通信管理局,抄送SHCERT;对于四级预警信息,信息报送单位应当于发现或得知预警信息后5个工作日内报送市通信管理局,抄送SHCERT。
第十四条事件信息报送的内容应包括:
(一)事件发生单位概况;
(二)事件发生时间;
(三)事件简要经过;
(四)初步估计的危害和影响;
(五)已采取的措施;
(六)其他应当报告的情况。
第十五条预警信息报送的内容应包括:
(一)信息基本情况描述;
(二)可能产生的危害及程度;
(三)可能影响的用户及范围;
(四)截至信息报送时,已知晓该信息的单位/人员范围;
(五)建议应采取的应对措施及建议。
第十六条事件发生后出现新情况的,信息报送单位应当及时补报。
SHCERT在接到预警信息后,应立即组织对预警信息进行跟踪、分析,有重要情况应及时向市通信管理局报告。
第十七条市通信管理局根据信息性质、内容、紧急程度等,必要时组织相关单位、专家对信息进行研判。
第十八条各单位应以书面形式报送信息,并加盖单位公章。紧急情况可以先电话联系,后补书面报告(书面报告应在事件发生的5个工作日内报送)。
第十九条对于特别重大、重大、较大事件信息以及一级、二级、三级预警信息,由市通信管理局审核后,根据有关规定直接或委托SHCERT及时通告相关单位、人员或互联网用户。
对于一般事件信息和四级预警信息,由SHCERT负责汇总、分析全部信息,于次月10个工作日内将当月信息向市通信管理局报送,并根据实际情况向相关单位、人员通告。
第二十条事件信息通告内容主要包括:事件统计情况、造成的危害、影响程度、态势分析、典型案例。
预警信息通告内容主要包括:受影响的系统、可能产生的危害和危害程度、可能影响的用户及范围、建议应采取的应对措施及建议。
第二十一条相关单位应依照有关法律法规,对接到的事件或预警信息采取有效、适当的应对处置措施,并跟踪处置情况。对于特别重大、重大、较大事件信息以及一级、二级、三级预警信息,应在接到通报后4小时内向市通信管理局反馈处置情况;对于一般事件和四级预警信息,应在5个工作日内向SHCERT反馈处置情况,并报送市通信管理局。
反馈内容主要包括:已处置的IP地址、域名、端口,未处置的IP地址、域名、端口及未处置的原因。
第二十二条信息报送单位应将本单位信息通报工作主管领导,责任部门负责人、联系人、联系方式报送市通信管理局,抄送SHCERT。以上信息发生变更,应在3个工作日内报送变更情况。
第二十三条市通信管理局建立会商制度,通报当前网络安全情况,与相关单位和专家研讨网络安全形势、网络安全问题及其应对策略等。
第二十四条SHCERT应与网络安全研究机构、网络安全技术支撑单位、非经营性互联单位、网络安全企业、国际网络安全组织等广泛合作,积极拓展网络安全信息获取渠道。
第二十五条工业和信息化部和市通信管理局网络安全保障专项工作对信息通报工作另有规定的,从其规定。
第二十六条本办法自2017年1月1日起实施。
