各省、自治區、直轄市通信管理局,中國電信集團公司、中國移動通信集團公司、中國聯合網路通信集團有限公司: 為貫徹落實國務院“網際網路+”行動計畫有關要求,推進電信行業網路安全技術手段建設,提升網路基礎設施安全保障能力,根據《工業和信息化部關於加強電信和網際網路行業網路安全工作的指導意見》(工信部保〔2014〕368號)和2015年重點工作安排,工業和信息化部決定組織開展電信行業網路安全試點示範工作(以下簡稱試點示範)。現將有關事項通知如下:
一、總體思路,二、遴選要求,三、重點領域,四、組織實施,五、工作要求,
一、總體思路
立足電信行業網路安全防護的實際需求,圍繞網路安全技術手段建設的重點方向,推動基礎電信企業開展管理和技術手段創新套用,引導基礎電信企業加大網路安全技術投入,落實安全防護責任,發掘行業網路安全優秀實踐案例,促進先進技術和經驗的行業推廣套用,充分發揮技術手段在保障網路基礎設施安全方面的作用,切實增強電信行業防範和應對網路安全威脅的能力。
二、遴選要求
2015年試點示範項目的申請主體為基礎電信企業集團公司或省級公司,試點示範項目應為已建或在建(含已立項)的網路安全管理系統或技術平台。
試點示範項目遴選以“示範效果好、實用價值高、推廣潛力大”為標準,重點考察試點示範項目是否具備實踐基礎、較強的技術或管理創新性和良好套用效果;是否具有普遍適用性、可複製性和推廣價值;能否堅持持續改進,發揮綜合效益。工業和信息化部對於入選的試點示範項目,在其申請國家專項資金、科技評獎等方面,將按照有關政策予以支持。
三、重點領域
2015年電信行業網路安全試點示範重點引導方向包括:
(一)企業內部集中化安全管理。實現對企業內部眾多套用、系統、設備用戶的賬號、認證、許可權和審計集中化管理的功能,能夠通過制定統一的安全策略提升企業內部安全防護水平。
(二)網路和信息系統資產安全管理。對企業網路和信息系統的資產名稱、類別、責任單位和責任人等信息進行管理,能夠動態掌握企業設備資產信息,並實現資產與安全風險的關聯管理。
(三)數據安全保護。實現業務支撐系統重要敏感數據的安全保護和備份,提升業務支撐系統綜合防護能力。
(四)網路安全威脅監測與處置。實現對木馬和殭屍網路、移動網際網路惡意程式、釣魚網站等的監測處置,淨化公共網際網路網路環境,保護公眾權益。
(五)抗拒絕服務攻擊。具備抵禦拒絕服務攻擊的能力,能夠有效實現對突發的、大規模拒絕服務攻擊的監測處置。
(六)雲平台安全防護。具備公有雲平台及用戶關鍵數據的安全防護能力,能對雲計算虛擬化套用場景提供針對性保護,形成安全可靠的公有雲安全防護體系。
(七)域名系統安全。實現域名解析服務的應急災難備份,有效防禦大流量網路攻擊、域名投毒以及域名劫持攻擊,提供連續可靠的域名解析服務。
(八)其他。其他創新性顯著、安全防護效果突出、示範價值較高的項目。
四、組織實施
(一)項目申報。由基礎電信企業集團公司統一負責本集團範圍內的項目申報工作。各申報單位根據《2015年網路安全試點示範申報表》(見附屬檔案)的要求,準備申報材料及證明檔案。對於基礎電信企業省級公司的申報項目,由當地省級通信管理部門結合實際情況填寫書面推薦意見。各集團公司匯總審核申報材料,於2015年9月30日前向工業和信息化部統一提交申報材料。各基礎電信企業集團公司(包括省級公司)每個領域的申報項目不超過3個。
(二)項目遴選。工業和信息化部(網路安全管理局)組織對各基礎電信企業集團公司的申報材料進行規範性、完整性審核,並組織專家在現場考察的基礎上進行項目遴選。
(三)結果公布。對通過遴選的項目,將在工業和信息化部所屬相關媒體和網站予以公布。
五、工作要求
(一)加強組織領導。各基礎電信企業集團公司要高度重視網路安全試點示範工作,儘快指定牽頭部門和責任人,做好集團公司內相關部門、省級公司和各專業公司(包括業務基地)的部署,認真做好組織動員和申報工作;要進一步加大網路安全投入力度,做好網路安全項目立項和實施工作。
(二)加強動態管理。各基礎電信企業要建立試點示範項目動態管理機制,要管好用好試點示範項目,充分發揮其優勢和作用,針對實際使用中發現的不足和問題,進行技術最佳化升級。對於在建的試點示範項目,要依照方案在建設期內完成,工業和信息化部在企業完成項目驗收的基礎上,組織進行現場核驗,核驗不通過的取消“網路安全試點示範項目”資格。
(三)加強經驗推廣。各基礎電信企業要結合本單位實際,積極學習試點示範項目經驗,加強網路安全手段建設和創新;對已入選的項目,要認真總結和推廣相關經驗,並積極對其他企業學習借鑑提供支持。鼓勵企業開展試點示範項目先進經驗的交流與網路安全技術合作。工業和信息化部將組織開展試點示範技術經驗交流,加強行業推廣套用。