酷应用

工信部发布关于做好2020年电信和互联网行业网络安全检查工作的通知

百家作者：知道创宇 2020-10-13 18:26:19

10月12日，工业和信息化部网络安全管理局发布《关于做好2020年电信和互联网行业网络安全检查工作的通知》，将对依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统进行网络安全检查，具体全文如下：

下滑查看▼

来源：网络安全管理局

发文字号：工网安函〔2020〕1460号

关于做好2020年电信和互联网行业网络安全检查工作的通知

各省、自治区、直辖市通信管理局，中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司，中国广播电视网络有限公司，互联网域名注册管理和服务机构，互联网企业，有关单位：

为深入贯彻习近平总书记关于网络安全的系列重要讲话精神，落实党中央、国务院关于加强关键信息基础设施和新型基础设施安全保护的决策部署，全面提升电信和互联网行业网络安全防护水平，根据《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等相关法律规章，决定组织开展2020年电信和互联网行业网络安全检查工作。现将有关要求通知如下：

一、总体要求

围绕加快推进网络强国建设战略目标，深入落实《中华人民共和国网络安全法》，坚持以查促建、以查促管、以查促防、以查促改，以防病毒、防入侵、防篡改、防窃密为重点，加强网络安全风险隐患排查，通报检查结果并加大整改力度，强化基础电信企业、互联网企业、域名注册管理和服务机构的风险防范及主体责任落实，切实做好行业关键信息基础设施安全防护，保障电信网和公共互联网的持续安全稳定运行。

二、检查对象

依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构（以下统称“网络运行单位”）建设与运营的网络和系统，重点是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统，包括不限于：5G网络基础设施、IP承载网、管理支撑系统、公共云服务平台、域名服务系统、移动应用商店、工业互联网平台、物联网平台、车联网应用服务平台、网约车信息服务平台等。

三、检查依据和主要内容

检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律规章情况，网络安全监测和防护措施符合电信和互联网安全防护体系系列标准情况，可导致网络中断、非法受控等严重危害的网络安全重大风险隐患等。

（一）网络安全管理落实情况。重点检查网络运行单位是否对网络进行单元划分、是否对网络单元进行定级备案、定级备案信息是否准确、是否按要求开展符合性评测及安全风险评估工作。

（二）网络安全防护技术措施。重点检查网络运行单位是否采取符合安全防护标准要求的安全监测、访问控制、边界防护等技术措施，及时发现和有效防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为。

（三）网络安全重大风险隐患。重点检查网络运行单位存在的可导致网络与系统阻塞、中断、瘫痪或者被非法控制等严重危害的高危漏洞、弱口令等重大安全隐患，以及木马、病毒、僵尸程序等恶意程序。

四、工作安排

（一）定级备案。各网络运行单位要按照《中华人民共和国网络安全法》《通信网络安全防护管理办法》的规定，针对正式上线运行的网络和系统在“通信网络安全防护管理系统”（https://www.mii-aqfh.cn）定级备案信息，开展自核自查，确保定级备案信息完整、准确。

（二）自查自纠。各网络运行单位要对照法律法规和本次检查重点，组织开展对本单位网络安全工作的自查评估，对自查中发现的安全问题进行及时整改并做好自查总结。2020年10月底前，基础电信企业集团公司和域名注册管理机构将本单位自查工作总结报告报部（网络安全管理局），基础电信企业省级公司、域名注册服务机构、互联网企业根据属地通信管理局要求上报自查总结报告。

（三）检查评估。电信主管部门将结合2020年“双随机一公开”网络安全检查工作，选取部分重要的网络和系统，委托专业技术机构采取现场访谈、资料查阅、技术检测等方式进行现场检查。对检查过程中发现的问题，电信主管部门通过整改通知书等形式责令被检查单位限期整改。各地通信管理局通过双随机抽取、部（网络安全管理局）委托等方式，对属地基础电信企业省级公司、集团直属专业公司、重点互联网企业和域名注册服务机构进行抽查，并将检查工作总结报告于2020年11月底前报部（网络安全管理局）。

（四）整改问责。各网络运行单位对检查发现的薄弱环节和安全风险进行深入整改，并及时向电信主管部门报告整改情况。基础电信企业省级公司和专业公司网络和系统检查结果将分别作为2020年省级基础电信企业和专业公司网络与信息安全责任考核依据。发现网络运行单位存在违反法律法规行为、问题拒不改正或导致危害网络安全等后果的，电信主管部门将依法依规给予行政处罚。

五、工作要求

（一）全面深入，落实责任。各网络运行单位要充分认识网络安全检查工作的重要性，加强组织领导，明确责任分工，制定工作方案，改进自查评估方法，全面开展自查自纠工作，深入排查网络安全风险隐患，积极配合电信主管部门做好监督检查，确保网络安全检查工作取得实效，切实提升网络安全防护水平。

（二）规范检查，严明纪律。检查工作中要严格遵守被检查地区的疫情防控规定，规范检查方法及操作程序，避免检查工作影响网络和系统的正常运行。任何检查人员和专业技术机构不得向被检查单位收取费用，不得要求被检查单位购买、使用指定的产品和服务。对检查工作中出现的违规违纪行为，被检查单位可以向电信主管部门投诉。

（三）加强整改，问题导向。各网络运行单位要对检查发现的薄弱环节及网络安全风险进行深入整改，对相关责任部门和责任人进行问责处理，并及时向电信主管部门报告问题整改和问责情况。同时，加强问题导向，举一反三，增强问题主动发现能力，针对问题暴露出的管理和技术上的不足，不断完善网络安全管理制度，提升技术防护水平。

工业和信息化部网络安全管理局

2020年10月9日

看完这份通知，宇妹觉得与其说是一次检查，不如说是在相关部门的引导下，对自身在安全管理责任的划分和落实、网络安全防护措施的应用，以及是否有未消除的安全隐患等方面的自查和完善。因此，只要根据通知里的要求和安排做好自检自查，就能无惧检查，更进一步完善自身安全防护建设！

创宇盾军工级云安全防护

依托知道创宇海量的大数据黑客样本库，利用知道创宇网络空间搜索引擎ZoomEye、Seebug漏洞社区及7X24小时实时防御的数十万网站数据，创宇盾能有效解决Web系统访问响应慢、安全状态严峻等安全问题。

创宇盾的防御能力

在保证Web系统高效可用的前提下，创宇盾能以零部署、零维护、云防御的SaaS模式，为客户阻止XSS、SQL注入、木马、0day攻击、DDoS攻击、DNS攻击等针对Web系统的安全威胁，实现基于云计算的军工级云安全防护。

抗D保专注防御各类流量攻击

抗D保拥有分布全球的抗D集群，50余个高防机房和DDoS清洗中心，使用腾讯宙斯盾流量清洗设备和知道创宇祝融智能攻击识别引擎，防护能力超过4T。

抗D保可防御的流量攻击类型

抗D保可以防御包括基于网络层的攻击，如TCP Flood、UDP Flood、ICMP flood，以及应用层的攻击，同时可以有效防御各种反射攻击和僵尸网络攻击。此外，在CC攻击方面，知道创宇安全研究团队自主研发的Nightwatch Anti-CC防护引擎可以根据访问者的URL，频率、行为等访问特征，快速、智能识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保障业务连续不中断。

WebSOC 网站立体监控系统

以大规模网站持续、多维度安全监测理念为指导，WebSOC网站立体监控系统可为大规模网站提供可用性、漏洞检测以及安全事件等方面的安全监控，实现大规模网站全方位立体实时状态监控。

IPv6安全改造快速实现IPv6访问能力

知道创宇IPv6安全改造服务对原有IPv4网站和应用无任何改动，快速实现让现有IPv4业务系统具备IPv6终端访问能力，同时提供IPv4/IPv6双栈安全防护和访问加速，无论网站是否支持IPv6均可以使用本服务完成IPv6改造和安全防护。