【网络通信安全管理员认证－中级】电信网络信息安全管理简介

电信网络信息安全管理简介省通信管理局网络与信息安全处张岧zhangtiao@eca.gov.cn一、湖北互联网发展的基本情况二、当前信息安全形势三、我国信息安全的政策法规体系四、信息安全行业管理的基本要求五、当前的热点工作解读一、湖北互联网发展基本情况全省备案登记的网站数量：13万余家。政府网站1530家，.org社团组织网站2074家，.edu教育网站62家，blog博客网站359家，wap手机网站138家各地市登记备案的网站情况：见下图荆州市4194家宜昌市6226家恩施州1817家咸宁市1489家黄石市2340家鄂州市878家黄冈市3188家孝感市2212家十堰市3496家襄樊市5147家神农架林区32家随州市2003家荆门市2626家天门市340家潜江市301家仙桃市485家武汉市56984家湖北省各地市备案网站数量示图湖北互联网发展基本情况互联网接入单位（指持有ISP或者IDC许可证）15家，其中基础运营商4家、增值互联网接入单位10家，全部在武汉市。（发展对比）经营性互联网信息服务单位：300多家。移动上网用户近1000万，宽带接入用户近400万，互联网出口带宽近1000G二、当前信息安全形势互联网发展和管理面临重大机遇和挑战正面：国民经济运行的基础设施，主要的通信工具，新兴媒体，电子商务平台等等，正越来越深地影响生产生活负面：1、西方意识形态遏制、渗透的手段。2、敌对势力对我攻击、丑化、分裂、颠覆的工具。3、腐朽、落后文化通过网络滋生4、放大社会矛盾。5、网上失泄密。6、赌博、诈骗等违法犯罪行为二、当前信息安全形势近期的几个典型案例：邓玉娇，佘祥林，石首事件，艳照门、蒙牛和伊利中央高度重视，近几年连续组织“打击网络淫秽色情专项行动”、整治互联网低俗之风专项行动，媒体连续报道，指责电信企业没有履行社会责任，存在黑色利益链条。三、我国信息安全法律法规体系全国人大：《关于维护互联网安全的决定》2000年国务院：《计算机信息系统安全保护条例》1994年；《计算机信息网络国际联网管理暂行规定》1996年；《电信条例》《互联网信息服务管理办法》2000年；《互联网上网服务营业场所管理条例》2002年；工信部：《非经营性互联网信息服务备案管理办法》《互联网IP地址备案管理办法》《互联网电子邮件服务管理办法》《中国互联网络域名管理办法》三、我国信息安全法律法规体系新闻部门：《互联网新闻信息服务管理规定》文化部门：《互联网文化管理暂行规定》出版部门：《互联网出版管理暂行规定》卫生部门：《互联网医疗卫生信息服务管理办法》药监部门：《互联网药品信息服务管理暂行办法》三、我国信息安全法律法规体系公安部门：《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》广电部门：《互联网视听节目服务管理规定》四、法规解读（一）《互联网信息服务管理办法》1、分类管理的原则。将互联网信息服务分为经营性和非经营性两类。2、设立了提供互联网信息服务的许可经营性：办理许可证，按照《电信业务经营许可管理办法》管理，非经营性实行备案制，没有许可或者备案，不得从事互联网信息服务。3、设立了信息内容专项前置审批制度。包括新闻、出版、教育、医疗保健、药品和医疗器械在内。以后又增加了文化、广电。四、法规解读（一）《互联网信息服务管理办法》4、明确了经营性网站的申办条件与普通电信业务相比：有健全的网络与信息安全保障措施，包括网站安全保障措施，信息安全保密制度、用户信息安全管理制度等。5、规定必须按照申报的项目提供服务6、应承担的义务：接入服务商：记录上网时间、帐号等新闻、出版：记录信息发布时间及内容等记录应保存60日，留存备查四、法规解读（一）《互联网信息服务管理办法》7、信息安全九不准（1）反对宪法所确定的基本原则的（2）危害国家安全，泄漏国家秘密，颠覆国家政权，破坏国家统一的（3）损害国家荣誉和利益的；（4）煽动民族仇恨、民族歧视，破坏民族团结的四、法规解读（一）《互联网信息服务管理办法》7、信息安全九不准（5）破坏国家宗教政策，宣扬邪教和封建迷信的；（6）散布谣言，扰乱社会秩序，破坏社会稳定的；（7）散布淫秽、色情赌博、暴力、凶杀、恐怖或者教唆犯罪的；（8）侮辱或者诽谤他人，侵害他人合法权益的；（9）含有法律，行政法规禁止的其他内容的四、法规解读（一）《互联网信息服务管理办法》7、信息安全九不准在2005年国务院新闻办和信息产业部联合制定的《互联网新闻信息服务管理规定》第19条，增加了：煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的；以非法民间组织名义活动的；以上合称11不准，是上网发布信息的11条禁令四、法规解读低俗信息（2009年）低俗之风1、表现或者隐晦表现性行为，令人产生性联想、具有挑逗性或者侮辱性的内容。2、对人体性部位的直接暴露和描写。3、对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的语言4、对性部位描述、暴露，或者只用很小覆盖物的内容。四、法规解读低俗信息5、全身或者隐私部位未着衣物，仅用肢体覆盖隐私部位的内容6、带有侵犯个人隐私性质的走光、偷拍、露点等内容7、以挑逗性标题吸引点击的8、相关部门禁止传播的色情、低俗小说、音视频内容，包括一些电影的删节片段。9、一夜情、换妻、SM等不正当的交友信息四、法规解读低俗信息10、情色动漫11、宣扬血腥暴力、恶意谩骂、侮辱他人等内容12、非法性药品广告和性病治疗广告13、未经他人允许或者利用人肉搜索恶意传播他人隐私的信息四、法规解读（一）《互联网信息服务管理办法》8、11不准的处理措施网站主办者：停止传输，保存记录，并向有关部门报告。9、职责划分国务院信息产业主管部门和省通信管理局依法对互联网信息服务实施监督管理新闻、出版、公安等在各自职责范围内依法对互联网信息内容实施监督管理四、法规解读（一）《互联网信息服务管理办法》9、职责划分根据中央最新的文件精神，对目前互联网管理的职责进行了重新界定互联网管理分为3条主线：互联网信息内容：新闻宣传部门互联网行业管理：工业和信息化部互联网安全监督：公安部门四、法规解读（一）《互联网信息服务管理办法》10、违法查处违反11不准的，由公安、国安部门负责查处擅自提供需前置审批信息内容的，由相关信息内容主管部门查处。未备案或者违法经营的，由互联网行业管理部门查处。其他部门认为需要关闭网站的，出具书面认定意见，统一由电信部门关闭网站。四、法规解读（二）《非经营性互联网信息服务备案管理办法》1、制定依据：《互联网信息服务管理办法》2、确定了备案方式：通过备案系统进行，填写备案登记表。3、接入商的责任（1）代备案（2）不得在已知备案信息虚假的情况下，履行代备案手续。（3）不得接入未备案网站。四、法规解读（二）《非经营性互联网信息服务备案管理办法》3、接入商的责任（4）按照主管部门的要求关闭网站。（5）保存用户信息，对接入的用户进行监督。4、网站主办者的责任（1）按照规定办理备案手续。（2）不提供违法信息。(3)及时履行备案变更手续。四、法规解读（三）《互联网IP地址备案管理办法》1、适用范围（1）直接从亚太互联网信息中心等具有IP地址管理权的国际机构获得IP地址的单位。（2）具有分配IP地址供其他单位或者个人使用的单位2、确定IP地址的分配使用实行备案制，由IP地址的分配机构按照制定的格式报备。3、确定取得20个工作日内完成报备工作，变更5个工作日报备四、法规解读（五）其他法规1、互联网新闻信息服务：包括通过互联网登载新闻信息、提供时政类电子公告服务和向公众发送时政类通讯信息。2、互联网文化活动：指提供互联网文化产品及其服务的活动，主要包括：（1）互联网文化产品的制作、复制、进口、批发、零售、出租、播放等活动（2）将文化产品登载在互联网上，或者通过互联网发送到计算机、固定电话机、移动电话机、收音机、电视机、游戏机等用户端，供上网用户浏览、阅读、欣赏、使用或者下载的在线传播行为四、法规解读（五）其他法规2、互联网文化活动：指提供互联网文化产品及其服务的活动，主要包括：（3）互联网文化产品的展览、比赛等活动3、互联网文化产品：通过互联网生产、传播和流通的文化产品，主要包括：（1）音像制品（2）游戏产品（3）演出剧（节）目（4）动画等其他文化产品四、法规解读（五）其他法规4、互联网出版：互联网信息服务提供者将自己创作或者他人创作的作品经过选择和编辑加工，登载在互联网上或者通过互联网发送到用户端，供公众浏览、阅读、使用或者下载的在线传播行为。其作品主要包括：（1）已正式出版的图书、报纸、期刊、音像制品、电子出版物等出版物内容或者在其他媒体上公开发表的作品；（2）经过编辑加工的文学、艺术和自认科学、社会科学、工程技术等方面的作品。四、法规解读（五）其他法规5、互联网医疗卫生：通过开办医疗卫生网站或登载医疗卫生信息向上网用户提供医疗卫生信息的服务活动。医疗卫生信息服务内容包括医疗、预防、保健、康复、健康教育等方面的信息6、互联网药品信息服务：通过互联网向上网用户提供药品(包括医疗器械、卫生材料、医疗包装材料）信息的服务活动7、互联网视听节目服务：制作、编辑、集成并通过互联网向公众提供视音频节目，以及为他人提供上载传播视听节目服务的活动。四、行业管理规定互联网站管理工作细则2005年整治互联网低俗之风专项行动方案2009年进一步深入整治手机淫秽色情专项行动工作方案2009、2008、2007年加强互联网站备案管理的工作方案2009年基础电信企业信息安全责任管理办法2009年进一步落实网站备案信息真实性工作方案2010年电话用户实名登记工作方案2010年四、行业管理规定（一）建立信息安全责任制信息安全责任人：一把手为第一责任人，分管领导为本单位信息安全责任人，负直接领导责任。企业内部要建立健全内部信息安全管理体系。要设立网站备案管理专岗。人员调整情况要报管局备案。四、行业管理规定（二）信息安全管理制度1、总的要求：要明确信息安全工作的目标、范围、方针、策略、原则2、主要内容(1)信息安全事件应急处置制度；（2）信息安全事件报告制度；（3）信息安全责任考核和奖惩制度；（4）业务研发、经营、合作的信息安全评估保障制度；（5）信息安全工作（人员、资金）保障制度；（6）信息安全技术保障制度；（7）信息安全教育、培训、演练制度；（8）保障企业落实信息安全管理责任的其他制度。四、行业管理规定（三）信息安全责任内容1、网络建设：在电信网络设计、建设和运行过程中，与国家信息安全需求同步规划、同步建设，同步运行，简称三同步的原则。在规划、建设、升级、改造等环节应认真落实国家信息安全管理要求，同步配套相关信息安全设备和设施。企业在网络设备选型、采购和使用时，应遵守电信设备进网要求，满足信息安全管理工作需要。2、业务开办：在新产品立项、产品开发和业务上线的各环节建立实施信息安全评估制度，并同步配套与该业务特点和用户规模相适应的信息安全保障措施，明确该业务的信息安全责任人，建立相应的管理制度和应急处理流程。3、日常监测。对本企业通信网络中发现的违法信息，应停止传输，保存相关记录，并向国家机关报告。四、行业管理规定（三）信息安全责任内容4、用户信息保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容，法律另有规定的除外。对于用户资料和信息，企业应依法予以保护，不得非法出售或者提供给其他组织和个人、不得用于与企业业务无关的用途。5、接入责任。（1）不得向未取得业务许可或者备案的单位和个人提供电信资源、网络接入和业务接入。（2）督促用户按照约定的用途使用电信资源或开展业务，发现擅自改变用途的，及时处理，涉嫌违法犯罪的，及时报告。（3）定期检查接入的内容，发现信息安全问题和隐患及时作出相应的处理。（4）保证接入网站的备案信息真实。四、行业管理规定（三）信息安全责任内容6、技术措施（1）建立事前防范、事中阻断、事后追溯的信息安全技术保障体系。（2）建立必要的技术手