工业和信息化部关于开展2017年电信和互联网行业网络安全试点示范工作的通知
发布时间:2017-07-26 来源:网络安全管理局
工信部网安函[2017]310号
各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,互联网域名注册管理和服务机构,互联网企业,网络安全企业,有关单位:
为贯彻落实习近平总书记关于网络安全的系列重要讲话精神和《网络安全法》,有效实施《国家网络空间安全战略》,提升电信和互联网行业网络安全保障能力和水平,进一步推动电信和互联网行业网络安全技术手段建设,根据《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号),结合往年试点示范工作经验和我部重点工作安排,决定组织开展2017年电信和互联网行业网络安全试点示范工作(以下简称试点示范)。现将有关事项通知如下:
一、工作目标
聚焦电信和互联网行业网络安全保障关键环节,在2015年、2016年工作基础上,继续面向全行业开展网络安全试点示范工作,引导企业加强技术手段建设,推广创新网络安全最佳实践,增强企业防范和应对网络安全威胁的能力,拉动网络安全产业发展,提升电信和互联网行业网络安全技术防护水平。
二、遴选要求
2017年试点示范项目的申报主体为基础电信企业集团公司或省级公司、互联网域名注册管理和服务机构、互联网企业、网络安全企业等。试点示范项目应为支撑自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。
试点示范项目遴选应综合考虑项目的实用性、创新性、先进性和可推广性,重点考察试点示范项目是否具备扎实的实践基础和技术创新性,能否最大程度促成技术手段快速转化成可应用的成果,能否坚持持续改进,发挥综合效益。对于入选的试点示范项目,我部将在其申请国家专项资金、科技评奖等方面,按照有关政策予以支持。
三、重点领域
2017年电信和互联网行业网络安全试点示范重点引导方向包括:
(一)网络安全威胁监测预警、态势感知、攻击防御与技术处置。具备网络攻击监测、漏洞发现、威胁情报收集等能力,对安全威胁进行综合分析,实现政企联动、及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。
(二)数据安全和用户信息保护。具备用户敏感信息脱敏,敏感数据操作的监测和审计,数据和用户信息防泄漏、防篡改,审计及备份等技术方案;能够提供数据收集、处理、共享和合作等环节的安全保护。
(三)域名系统安全。实现域名注册和服务系统的安全保障,有效防御针对域名系统的大流量网络攻击、域名投毒以及域名劫持攻击,提供连续可靠的域名注册和解析服务或自主域名安全解析服务。
(四)抗拒绝服务攻击。具备抵御拒绝服务攻击、识别攻击源和进行大规模流量清洗的能力,能对突发性大规模网络层和应用层拒绝服务攻击进行及时有效的处置;能够细粒度定位和识别攻击源,为近端处置提供参考和依据。
(五)新业务及融合领域网络安全。面向公共云服务、物联网、车联网、工业互联网、智慧城市、智能家居、互联网支付等领域典型应用场景的安全防护,能对以上各领域的各种应用场景提供特定、可行、有效的安全保护手段。
(六)网络安全创新应用。应用云计算、大数据、人工智能、区块链、机器学习以及安全可靠的密码算法(如SM系列算法)等技术,明显提升网络安全防护、威胁预警、事件处置的效果,提高网络安全技术保障水平。
(七)防范打击通讯信息诈骗。具备诈骗电话和信息的发现预警和防范提醒功能,具有较强的数据综合分析和研判能力,能够适应防范打击通讯信息诈骗形势发展、网络技术业务演进和诈骗手法的不断更新。在防范打击通信信息诈骗工具中,已支撑电信主管部门取得显著防范效果的优先。
(八)其他。其他应用效果突出、创新性显著、示范价值较高的网络安全项目。
四、组织实施
(一)项目申报。各申报单位根据《电信和互联网行业网络安全试点示范项目申报表》(见附件)的要求,准备申报材料及证明文件。提交材料时,同时提供电子材料及纸质材料。
1.各基础电信企业由集团公司统一负责本集团范围内的项目申报工作,汇总审核申报材料后向我部(网络安全管理局)统一提交。基础电信企业省级公司的申报项目,需由当地省级通信管理部门填写书面推荐意见。
2.互联网域名注册管理和服务机构、网络安全企业、互联网企业的项目申报材料直接提交我部(网络安全管理局)。
3.基础电信企业、网络安全企业、互联网企业等可联合进行项目申报。联合申报由基础电信企业牵头的,向集团公司统一提交申报材料;其他单位牵头的,由牵头单位向我部(网络安全管理局)进行项目申报。
各基础电信企业集团公司(含省级公司)每个领域的申报项目原则上不超过3个,其他申报单位单独或牵头申报的项目总数原则上不超过3个。已入选的2015、2016年度试点示范项目不应再次申报。项目申报材料应于2017年8月31日前完成提交。
(二)项目遴选。我部(网络安全管理局)组织对各单位的申报材料进行规范性、完整性审核,并组织专家对申报项目进行集中评审。
(三)结果公布。对通过遴选的项目,将在我部所属相关媒体和网站予以公布。
五、工作要求
(一)积极参与申报。各企业应充分认识到试点示范工作对于促进网络安全技术手段建设的重要作用,对现有网络安全项目进行总结梳理,认真、客观地择优申报;各地通信管理局和基础电信企业集团公司应加强动员部署,鼓励省级公司积极申报。
(二)完善动态管理机制。各企业要管好、用好试点示范项目,及时进行技术优化升级,维持试点示范项目的实用性和示范性。我部(网络安全管理局)将适时组织对试点示范项目开展第三方评估,并根据评估结果,督促企业对存在的问题和不足进行整改。
(三)促进经验推广。各企业认真总结已入选项目的相关经验,加强共享合作。我部将继续组织开展试点示范项目经验交流,鼓励企业组织召开试点示范重点领域专题交流会,编写重点领域建设指南,推动示范项目的实战化、效益化。各地通信管理局应在本地区范围内开展示范项目推广。
附件:电信和互联网行业网络安全试点示范项目申报表
为贯彻落实习近平总书记关于网络安全的系列重要讲话精神和《网络安全法》,有效实施《国家网络空间安全战略》,提升电信和互联网行业网络安全保障能力和水平,进一步推动电信和互联网行业网络安全技术手段建设,根据《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号),结合往年试点示范工作经验和我部重点工作安排,决定组织开展2017年电信和互联网行业网络安全试点示范工作(以下简称试点示范)。现将有关事项通知如下:
一、工作目标
聚焦电信和互联网行业网络安全保障关键环节,在2015年、2016年工作基础上,继续面向全行业开展网络安全试点示范工作,引导企业加强技术手段建设,推广创新网络安全最佳实践,增强企业防范和应对网络安全威胁的能力,拉动网络安全产业发展,提升电信和互联网行业网络安全技术防护水平。
二、遴选要求
2017年试点示范项目的申报主体为基础电信企业集团公司或省级公司、互联网域名注册管理和服务机构、互联网企业、网络安全企业等。试点示范项目应为支撑自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。
试点示范项目遴选应综合考虑项目的实用性、创新性、先进性和可推广性,重点考察试点示范项目是否具备扎实的实践基础和技术创新性,能否最大程度促成技术手段快速转化成可应用的成果,能否坚持持续改进,发挥综合效益。对于入选的试点示范项目,我部将在其申请国家专项资金、科技评奖等方面,按照有关政策予以支持。
三、重点领域
2017年电信和互联网行业网络安全试点示范重点引导方向包括:
(一)网络安全威胁监测预警、态势感知、攻击防御与技术处置。具备网络攻击监测、漏洞发现、威胁情报收集等能力,对安全威胁进行综合分析,实现政企联动、及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。
(二)数据安全和用户信息保护。具备用户敏感信息脱敏,敏感数据操作的监测和审计,数据和用户信息防泄漏、防篡改,审计及备份等技术方案;能够提供数据收集、处理、共享和合作等环节的安全保护。
(三)域名系统安全。实现域名注册和服务系统的安全保障,有效防御针对域名系统的大流量网络攻击、域名投毒以及域名劫持攻击,提供连续可靠的域名注册和解析服务或自主域名安全解析服务。
(四)抗拒绝服务攻击。具备抵御拒绝服务攻击、识别攻击源和进行大规模流量清洗的能力,能对突发性大规模网络层和应用层拒绝服务攻击进行及时有效的处置;能够细粒度定位和识别攻击源,为近端处置提供参考和依据。
(五)新业务及融合领域网络安全。面向公共云服务、物联网、车联网、工业互联网、智慧城市、智能家居、互联网支付等领域典型应用场景的安全防护,能对以上各领域的各种应用场景提供特定、可行、有效的安全保护手段。
(六)网络安全创新应用。应用云计算、大数据、人工智能、区块链、机器学习以及安全可靠的密码算法(如SM系列算法)等技术,明显提升网络安全防护、威胁预警、事件处置的效果,提高网络安全技术保障水平。
(七)防范打击通讯信息诈骗。具备诈骗电话和信息的发现预警和防范提醒功能,具有较强的数据综合分析和研判能力,能够适应防范打击通讯信息诈骗形势发展、网络技术业务演进和诈骗手法的不断更新。在防范打击通信信息诈骗工具中,已支撑电信主管部门取得显著防范效果的优先。
(八)其他。其他应用效果突出、创新性显著、示范价值较高的网络安全项目。
四、组织实施
(一)项目申报。各申报单位根据《电信和互联网行业网络安全试点示范项目申报表》(见附件)的要求,准备申报材料及证明文件。提交材料时,同时提供电子材料及纸质材料。
1.各基础电信企业由集团公司统一负责本集团范围内的项目申报工作,汇总审核申报材料后向我部(网络安全管理局)统一提交。基础电信企业省级公司的申报项目,需由当地省级通信管理部门填写书面推荐意见。
2.互联网域名注册管理和服务机构、网络安全企业、互联网企业的项目申报材料直接提交我部(网络安全管理局)。
3.基础电信企业、网络安全企业、互联网企业等可联合进行项目申报。联合申报由基础电信企业牵头的,向集团公司统一提交申报材料;其他单位牵头的,由牵头单位向我部(网络安全管理局)进行项目申报。
各基础电信企业集团公司(含省级公司)每个领域的申报项目原则上不超过3个,其他申报单位单独或牵头申报的项目总数原则上不超过3个。已入选的2015、2016年度试点示范项目不应再次申报。项目申报材料应于2017年8月31日前完成提交。
(二)项目遴选。我部(网络安全管理局)组织对各单位的申报材料进行规范性、完整性审核,并组织专家对申报项目进行集中评审。
(三)结果公布。对通过遴选的项目,将在我部所属相关媒体和网站予以公布。
五、工作要求
(一)积极参与申报。各企业应充分认识到试点示范工作对于促进网络安全技术手段建设的重要作用,对现有网络安全项目进行总结梳理,认真、客观地择优申报;各地通信管理局和基础电信企业集团公司应加强动员部署,鼓励省级公司积极申报。
(二)完善动态管理机制。各企业要管好、用好试点示范项目,及时进行技术优化升级,维持试点示范项目的实用性和示范性。我部(网络安全管理局)将适时组织对试点示范项目开展第三方评估,并根据评估结果,督促企业对存在的问题和不足进行整改。
(三)促进经验推广。各企业认真总结已入选项目的相关经验,加强共享合作。我部将继续组织开展试点示范项目经验交流,鼓励企业组织召开试点示范重点领域专题交流会,编写重点领域建设指南,推动示范项目的实战化、效益化。各地通信管理局应在本地区范围内开展示范项目推广。
附件:电信和互联网行业网络安全试点示范项目申报表
详情请见官网:http://www.miit.gov.cn/n1146290/n4388791/c5742444/content.html
(联系电话:010-68206203/62300263)