一、總體思路
立足電信行業網路安全防護的實際需求,圍繞網路安全技術手段建設的重點方向,推動基礎電信企業開展管理和技術手段創新套用,引導基礎電信企業加大網路安全技術投入,落實安全防護責任,發掘行業網路安全優秀實踐案例,促進先進技術和經驗的行業推廣套用,充分發揮技術手段在保障
網路基礎設施安全方面的作用,切實增強電信行業防範和應對網路安全威脅的能力。
二、遴選要求
2015年試點示範項目的申請主體為基礎電信企業集團公司或省級公司,試點示範項目應為已建或在建(含已立項)的網路安全管理系統或技術平台。
試點示範項目遴選以“示範效果好、實用價值高、推廣潛力大”為標準,重點考察試點示範項目是否具備實踐基礎、較強的技術或管理創新性和良好套用效果;是否具有普遍適用性、可複製性和推廣價值;能否堅持持續改進,發揮綜合效益。工業和信息化部對於入選的試點示範項目,在其申請國家專項資金、科技評獎等方面,將按照有關政策予以支持。
三、重點領域
2015年電信行業網路安全試點示範重點引導方向包括:
(一)企業內部集中化安全管理。實現對企業內部眾多套用、系統、設備用戶的賬號、認證、許可權和審計集中化管理的功能,能夠通過制定統一的安全策略提升企業內部安全防護水平。
(二)網路和信息系統資產安全管理。對企業網路和信息系統的資產名稱、類別、責任單位和責任人等信息進行管理,能夠動態掌握企業設備資產信息,並實現資產與安全風險的關聯管理。
(三)數據安全保護。實現業務支撐系統重要敏感數據的安全保護和備份,提升業務支撐系統綜合防護能力。
(四)網路安全威脅監測與處置。實現對木馬和殭屍網路、
移動網際網路惡意程式、釣魚網站等的監測處置,淨化公共網際網路網路環境,保護公眾權益。
(五)抗
拒絕服務攻擊。具備抵禦拒絕服務攻擊的能力,能夠有效實現對突發的、大規模拒絕服務攻擊的監測處置。
(六)雲平台安全防護。具備公有雲平台及用戶關鍵數據的安全防護能力,能對雲計算虛擬化套用場景提供針對性保護,形成安全可靠的公有雲安全防護體系。
(七)域名系統安全。實現域名解析服務的應急災難備份,有效防禦大流量網路攻擊、域名投毒以及域名劫持攻擊,提供連續可靠的域名解析服務。
(八)其他。其他創新性顯著、安全防護效果突出、示範價值較高的項目。
四、組織實施
(一)項目申報。由基礎電信企業集團公司統一負責本集團範圍內的項目申報工作。各申報單位根據《2015年網路安全試點示範申報表》(見附屬檔案)的要求,準備申報材料及證明檔案。對於基礎電信企業省級公司的申報項目,由當地省級通信管理部門結合實際情況填寫書面推薦意見。各集團公司匯總審核申報材料,於2015年9月30日前向工業和信息化部統一提交申報材料。各基礎電信企業集團公司(包括省級公司)每個領域的申報項目不超過3個。
(二)項目遴選。工業和信息化部(網路安全管理局)組織對各基礎電信企業集團公司的申報材料進行規範性、完整性審核,並組織專家在現場考察的基礎上進行項目遴選。
(三)結果公布。對通過遴選的項目,將在工業和信息化部所屬相關媒體和網站予以公布。
五、工作要求
(一)加強組織領導。各基礎電信企業集團公司要高度重視網路安全試點示範工作,儘快指定牽頭部門和責任人,做好集團公司內相關部門、省級公司和各專業公司(包括業務基地)的部署,認真做好組織動員和申報工作;要進一步加大網路安全投入力度,做好網路安全項目立項和實施工作。
(二)加強動態管理。各基礎電信企業要建立試點示範項目動態管理機制,要管好用好試點示範項目,充分發揮其優勢和作用,針對實際使用中發現的不足和問題,進行技術最佳化升級。對於在建的試點示範項目,要依照方案在建設期內完成,工業和信息化部在企業完成項目驗收的基礎上,組織進行現場核驗,核驗不通過的取消“網路安全試點示範項目”資格。
(三)加強經驗推廣。各基礎電信企業要結合本單位實際,積極學習試點示範項目經驗,加強網路安全手段建設和創新;對已入選的項目,要認真總結和推廣相關經驗,並積極對其他企業學習借鑑提供支持。鼓勵企業開展試點示範項目先進經驗的交流與網路安全技術合作。工業和信息化部將組織開展試點示範技術經驗交流,加強行業推廣套用。