各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司:
为贯彻落实国务院“互联网+”行动计划有关要求,推进电信行业网络安全技术手段建设,提升网络基础设施安全保障能力,根据《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)和2015年重点工作安排,工业和信息化部决定组织开展电信行业网络安全试点示范工作(以下简称试点示范)。现将有关事项通知如下:
一、总体思路
立足电信行业网络安全防护的实际需求,围绕网络安全技术手段建设的重点方向,推动基础电信企业开展管理和技术手段创新应用,引导基础电信企业加大网络安全技术投入,落实安全防护责任,发掘行业网络安全优秀实践案例,促进先进技术和经验的行业推广应用,充分发挥技术手段在保障网络基础设施安全方面的作用,切实增强电信行业防范和应对网络安全威胁的能力。
二、遴选要求
2015年试点示范项目的申请主体为基础电信企业集团公司或省级公司,试点示范项目应为已建或在建(含已立项)的网络安全管理系统或技术平台。
试点示范项目遴选以“示范效果好、实用价值高、推广潜力大”为标准,重点考察试点示范项目是否具备实践基础、较强的技术或管理创新性和良好应用效果;是否具有普遍适用性、可复制性和推广价值;能否坚持持续改进,发挥综合效益。工业和信息化部对于入选的试点示范项目,在其申请国家专项资金、科技评奖等方面,将按照有关政策予以支持。
三、重点领域
2015年电信行业网络安全试点示范重点引导方向包括:
(一)企业内部集中化安全管理。实现对企业内部众多应用、系统、设备用户的账号、认证、权限和审计集中化管理的功能,能够通过制定统一的安全策略提升企业内部安全防护水平。
(二)网络和信息系统资产安全管理。对企业网络和信息系统的资产名称、类别、责任单位和责任人等信息进行管理,能够动态掌握企业设备资产信息,并实现资产与安全风险的关联管理。
(三)数据安全保护。实现业务支撑系统重要敏感数据的安全保护和备份,提升业务支撑系统综合防护能力。
(四)网络安全威胁监测与处置。实现对木马和僵尸网络、移动互联网恶意程序、钓鱼网站等的监测处置,净化公共互联网网络环境,保护公众权益。
(五)抗拒绝服务攻击。具备抵御拒绝服务攻击的能力,能够有效实现对突发的、大规模拒绝服务攻击的监测处置。
(六)云平台安全防护。具备公有云平台及用户关键数据的安全防护能力,能对云计算虚拟化应用场景提供针对性保护,形成安全可靠的公有云安全防护体系。
(七)域名系统安全。实现域名解析服务的应急灾难备份,有效防御大流量网络攻击、域名投毒以及域名劫持攻击,提供连续可靠的域名解析服务。
(八)其他。其他创新性显著、安全防护效果突出、示范价值较高的项目。
四、组织实施
(一)项目申报。由基础电信企业集团公司统一负责本集团范围内的项目申报工作。各申报单位根据《2015年网络安全试点示范申报表》的要求,准备申报材料及证明文件。对于基础电信企业省级公司的申报项目,由当地省级通信管理部门结合实际情况填写书面推荐意见。各集团公司汇总审核申报材料,于2015年9月30日前向工业和信息化部统一提交申报材料。各基础电信企业集团公司(包括省级公司)每个领域的申报项目不超过3个。
(二)项目遴选。工业和信息化部(网络安全管理局)组织对各基础电信企业集团公司的申报材料进行规范性、完整性审核,并组织专家在现场考察的基础上进行项目遴选。
(三)结果公布。对通过遴选的项目,将在工业和信息化部所属相关媒体和网站予以公布。
五、工作要求
(一)加强组织领导。各基础电信企业集团公司要高度重视网络安全试点示范工作,尽快指定牵头部门和责任人,做好集团公司内相关部门、省级公司和各专业公司(包括业务基地)的部署,认真做好组织动员和申报工作;要进一步加大网络安全投入力度,做好网络安全项目立项和实施工作。
(二)加强动态管理。各基础电信企业要建立试点示范项目动态管理机制,要管好用好试点示范项目,充分发挥其优势和作用,针对实际使用中发现的不足和问题,进行技术优化升级。对于在建的试点示范项目,要依照方案在建设期内完成,工业和信息化部在企业完成项目验收的基础上,组织进行现场核验,核验不通过的取消“网络安全试点示范项目”资格。
(三)加强经验推广。各基础电信企业要结合本单位实际,积极学习试点示范项目经验,加强网络安全手段建设和创新;对已入选的项目,要认真总结和推广相关经验,并积极对其他企业学习借鉴提供支持。鼓励企业开展试点示范项目先进经验的交流与网络安全技术合作。工业和信息化部将组织开展试点示范技术经验交流,加强行业推广应用。