公告通知
当前位置:首页 >> 公告通知 >> 正文
陕西省通信管理局关于2015年基础电信企业网络与信息安全责任考核中期检查情况的通报
发布人:办公室    来源:陕西省通信管理局    发布时间:2015-09-15

 

陕通局保〔2015〕125号
中国电信陕西公司、中国移动陕西公司、中国联通陕西省分公司、中国铁通陕西分公司:
依据工业和信息化部《关于开展2015年省级基础电信企业网络与信息安全责任考核中期检查的通知》(工网安函〔2015〕621号)相关要求,我局于8月18日至19日,对各公司落实网络与信息安全责任考核工作情况进行了中期检查。现将检查情况通报如下:
一、基本情况
通过检查,了解到各公司已按照《2015年陕西省基础电信企业网络与信息安全工作考核要点与评分标准》(陕通局保〔2015〕45号,以下简称《考核要点与评分标准》),设立了网络与信息安全管理机构,配备了相应的专职网络与信息安全工作人员,逐步完善和落实各项管理规定,积极推进IDC/ISP信息安全技术管理系统及移动上网日志留存系统建设,严格落实电话用户实名登记及电话“黑卡”专项工作要求,认真做好网络安全管理工作。总体来看,各公司能够积极落实网络与信息安全责任。
(一)信息安全管理
1、在网络信息安全机构设置和人员配备方面,各公司均按要求成立了专职网络信息安全二级部门,配备了相应的专职网络信息安全工作人员。陕西联通还对2014年考核工作的扣分项进行了分析,召开了总经理专题办公会议,根据2015年考核要求,对网络与信息安全管理部的人员岗位和职责进行明确和落实,并按要求增加了相应的专职人员数量。
2落实电话用户实名登记及电话“黑卡”治理专项工作方面,各基础电信企业一是制定了电话“黑卡”治理工作方案,确定了责任部门;二是按要求从2月1日起,取消了人工录入方式,采取了专用移动应用程序(APP)、与“全国公民身份证号码查询服务中心”联网比对等有效技术措施,核验用户身份信息;三是在5月10前向签约社会渠道配发了统一授权标识牌;四是实体渠道二代身份证阅读器已基本配备到位,其中陕西移动、陕西联通还从8月25日起停止了手机APP为用户办理入网手续的方式;五是通过向用户发送短信、限制部分业务、加大宣传力度与公安机关配合等方式加强了非实名老用户补登记工作。截止目前,陕西电信集团单位用户数共计360万个(移动电话和固话),尚未进行实名补录83.9万个(移动电话和固话);陕西移动集团单位用户数共计14.46万个,尚未进行实名补录10.03万个;陕西联通集团客户总数为18.6万户,尚未进行实名补录3.4万户;六是加大了对地市分公司落实电话“黑卡”治理工作情况的检查力度,对违反电话用户实名登记规定的地市分公司总经理、分管副总经理等相关人员采取了扣罚绩效、通报批评等措施。截止目前,陕西电信组织开展了15次渠道自查工作,对门店授权牌发放及悬挂情况进行检查;陕西移动对全省6800家各类营销渠道进行检查,对出现违规行为的西安分公司总经理、分管副总经理、相关部门负责人采取了通报批评、书面检查、扣罚绩效等处理措施;陕西联通对全省200家各类营销渠道进行检查,对出现违规行为的地市分公司相关责任人采取了扣罚绩效、予以警告、行政记过等处理措施,累计处理地市分公司分管副总经理11人次,渠道经理20人次,终止合作社会渠道4家;陕西铁通将电话用实名登记纳入年度经营业绩考核,对落实不到位的单位责任人进行通报批评,并在月度绩效管理中进行考核对未落实电话用户实名登记要求的营销渠道,扣罚200元。
3、在IDC/ISP信息安全技术管理系统建设方面,陕西联通已于2014年完成了出口带宽100%覆盖的系统建设任务;陕西电信、陕西移动100%覆盖的系统建设任务已立项,目前正在施工阶段。且三家公司IDC机房出口带宽较2014年未进行扩容。
4、在新技术新业务信息安全评估方面,各公司明确了信息安全评估工作由网络信息安全管理部门牵头;建立了新业务安全评估管理及业务清单制度,并将存量业务纳入清单;对集团公司统一立项研发,省公司支撑运营的新业务、省公司负责实际运营管理的合作业务均按要求进行了安全评估,且评估报告包含了违法有害信息的发现、处置、溯源等业务信息安全风险分析要素。截止目前,陕西电信、陕西移动、陕西联通、陕西铁通分别向我局上报新技术新业务信息安全评估报告9份、21份、2份、1份。
5、在落实三个重点专项任务方面,各公司能够积极落实“扫黄打非”、通讯信息诈骗、反恐维稳等工作。陕西电信主要从五个方面开展工作,一是彻底清查/清理自营网站、自营业务,确保内容安全;二是规范接入管理,从信息源头切入,强化网站备案审核管理;三是严格合作审查,组织排查合作业务;四是积极开展垃圾短信治理专项行动,防止诈骗短信等大量传播。五是依托专业团队,做好应急预案和演练,为反恐维稳应急处置做好准备工作。截止目前,陕西电信删除网上不良信息24条,通知39家存在不良信息的网站进行整改。陕西移动主要从六个方面开展工作,一是从与内部员工、第三方厂商签订信息安全承诺书、开展“我与网络信息安全”征文活动、针对公司全体员工开展网络信息安全答题等方面开展“春雨行动”,促进安全工作常态化;二是清查自有业务17个、自有网站28个、互联网专线16358个;三是加强网站备案工作,确保备案率达到100%;四是组织排查CDN缓存,对视频类、图片类、下载类等网站进行了排查;五是积极配合公安机关打击伪基站,截止上半年,配合公安机关打击伪基站案件29起,抓获犯罪嫌疑人45人;六是从畅通举报渠道、加大考核力度、提升处置能力等方面开展通讯信息诈骗治理专项工作;陕西联通主要从三个方面开展工作,一是成立了专项领导小组,明确职责;二是加大宣传力度,引导客户、员工及合作单位提高安全意识;三是从排查互联网资源接入,加强自有业务及合作伙伴的管理,加大网站备案和IP备案管理等方面,开展专项治理工作。陕西铁通主要从两个方面开展工作,一是制定专项行动方案,围绕专线接入、网站接入、网站内容等方面开展“扫黄打非”工作;二是从用户入网、中继接入、网间传送等方面开展通讯信息诈骗治理工作。截止目前,累计处理固定电话号码320个、涉嫌骚扰、诈骗电话268个,关闭群呼号码151个。
6在人员培训方面,陕西电信适应业务发展趋势,建立网络信息安全专业化技术团队,组织专业培训,持续推进网络信息安全工作队伍建设。截止目前,组织开展网络渗透实战攻防及互联网信息安全突发事件培训各1次;陕西移动截止目前组织开展了网络信息安全、CISP、CISSP等4次培训。同时,为提升地市分公司员工安全意识与安全技能,组织开展“送安全下地市”活动。此外,还构建了以30名安全维护人员为根基,14名红客团队成员为骨干,4名集团攻防竞赛选手为重点的“金字塔”形安全人才体系;陕西联通针对网络与信息安全责任考核内容开展了一次培训,使省、市分公司网络与信息安全工作人员熟悉掌握年度考核要求、项目内容、打分标准;陕西铁通针对安全软件使用、查杀病毒代码、入侵检测、安全管理等内容,组织开展了1次培训,使维护人员的网络安全应急水平得到了进一步提升。
(二)网络安全管理
1、网络安全组织保障方面,网络安全机构和人员配备是2015年考核新增内容。各企业均按要求明确了专职网络安全管理部门,配备了相应人数的专职工作人员,岗位职责明确,相关工作记录完备,并按时提交了相关文件。
2、网络安全防护方面,一是各企业均按时上报了2015年工程建设计划,已竣工、已上线网络系统和单元的验收报告及上线前的风险评估报告。其中,陕西移动上报的工程计划表完整详细,已竣工项目的验收报告和风险评估报告内容完善。二是各企业按照工信部第11号令和安全责任考核要求,已于7月31日前基本完成对定级单元的定级备案更新、风险评估和符合性评测等工作,也按时向我局上报了风险评估和符合性评测报告,并在工信部网站上提交了相应报告。其中,陕西电信风险评估报告内容细致,能够较好的反映系统风险隐患,且能对评估发现的隐患及时整改。三是陕西电信和陕西移动已经开展了4A平台立项相关工作,陕西联通和陕西铁通还未完成4A平台立项工作。
3、网络安全威胁治理和应急保障方面,陕西电信、陕西移动已完成移动互联网恶意程序监测处置系统的建设工作,且陕西移动系统已与我局系统对接,陕西联通还未完成系统建设任务;陕西电信、陕西移动、陕西联通均已完成木马和僵尸网络监测处置系统建设工作;各企业均已完成网络安全应急演练工作,并向我局上报了演练方案、内容和总结。
二、存在主要问题
通过检查,也发现各公司在落实网络与信息安全责任考核工作中还存在以下一些问题:
(一)信息安全部分
1、IDC/ISP信息安全技术管理系统基础资源数据不全。现场检查中发现,陕西电信、陕西联通未将完整的基础资源数据录入企业侧IDC/ISP信息安全技术管理系统,致使管局侧系统部分功能无法实现。
2、移动上网日志留存系统实际抽查效果严重落后。7月21日至27日,我局对各公司4G移动上网日志留存系统进行了抽查陕西移动系统各项功能指标符合要求,陕西电信、陕西联通系统留存准确率、留存时间、留存应用协议三项考核指标均不符合要求。
3、新技术新业务信息安全评估质量有待提高。今年以来,各公司均按要求对存量新业务进行了梳理,在新业务上线前进行了自评估并上报我局,且对自评估发现的问题进行了整改。但在我局邀请第三方对各公司上报的新业务进行抽查中发现,各公司的新业务在制度管理、信息安全过滤手段、用户个人信息安全、网络安全等方面还存在诸多安全风险。
4、未严格落实电话用户实名登记要求。8月27日至28日,我局对阎良、高陵、周至、户县地区各基础电信企业自有营业厅、合作渠道、社会渠道等共计72个网点电话用户实名登记落实情况进行暗访检查。检查发现阎良、高陵、户县地区各基础电信企业对自有营业厅和社会代理渠道管理不严,未进行人证一致核验,用户使用他人身份证即向用户出售可使用的电话卡,甚至在阎良电信、高陵电信自有营业厅也存在上述违规行为。具体情况见附件(电话用户真实身份信息登记违规网点列表)。
(二) 网络安全部分
1、“三同步”制度还需进一步落实。各企业目前还存在网络系统更新备案不及时、系统上线前风险评估等网络安全工作不够细致、网络安全配套设施不够完善等问题。
2、技术手段的建设进度还需加快。技术手段是开展网络安全威胁治理的基础工作,目前,部分企业网络安全技术手段建设迟缓,仍未完成建设任务,且与我局系统进行对接工作进展缓慢。
3、风险评估质量有待提升。风险评估工作旨在客观、深入、全面地评价系统的安全状况,为系统安全防护工作提供支撑。目前,部分企业的风险评估报告存在重形式、轻质量的现象,各单元的风险评估报告同质化严重,描述模糊笼统,不能客观反映系统具体的安全状况。
三、相关要求
(一)请各公司尽快在企业侧IDC/ISP信息安全技术管理系统上报基础资源数据,加快系统建设进度,务必于年底前实现IDC/ISP信息安全技术管理系统100%覆盖,确保系统各项功能指标符合要求,并与我局系统对接。届时,我局将按工信部要求,邀请第三方测试机构对各公司企业侧系统与我局系统对接情况进行测试打分。
(二)请陕西电信、陕西联通进一步完善移动上网日志留存系统各项功能,我局将依据7月份的抽查结果,在9月份继续对陕西电信、陕西联通4G移动上网日志系统进行抽查,鉴于陕西移动4G移动上网日志留存系统各项功能指标符合要求,9月份,我局将对其3G移动上网日志留存情况进行抽查
(三)我局已将第三方抽查的新技术新业务信息安全评估报告下发给各公司,请各公司针对评估报告中发现的问题进行整改,并于10月底前将整改情况书面报我局。
(四)电话“黑卡”专项治理工作各项指标任务已进入最后关键阶段,各公司要加大专项治理工作力度,进一步落实电话用户实名登记工作要求。一是要对我局在8月27日至28日暗访检查发现的问题进行整改,并于9月23日前将书面情况报我局;二是要对违反电话用户实名登记规定的地市分公司,各省公司要坚决实施问责,追究相关领导责任。对屡次出现违规、严重违反电话用户实名登记规定的地市分公司,各省公司要对其公司主要负责人及相关责任人进行行政处分。三是加快非实名老用户,特别是集团客户补登记工作,确保在2015年12月31日前本企业全部电话用户实名登记率达到90%以上;四是加强对各类营销渠道的管理,特别是要严格落实人证一致核验要求,对不能严格落实实名制规定的社会营销渠道,要坚决予以清退取缔。五是9月1日起,各公司不得委托未配备二代身份证识别设备的社会营销渠道办理电话用户入网手续。
(五)各公司要深化技术手段应用,尤其是要加强对移动互联网恶意程序和木马僵尸网络监测处置技术手段的综合利用,将技术手段与现有工作相结合,深入挖掘技术手段在实际工作中的作用。
(六)做好部省两级通信网络安全防护抽查准备工作。部省两级的抽查工作将于9月份陆续开展,各公司要提高责任意识和风险意识,完善和落实相关制度,对前期自查中发现的问题及时整改,查漏补缺,确保网络安全防护抽查工作的顺利进行。
(七)做好对移动互联网恶意程序和木马僵尸网络监测处置技术手段拨测验证准备工作。今年,我局将按照部统一要求,利用技术手段对各企业网络安全威胁治理技术手段建设情况进行拨测验证,请各企业认真核查系统功能,做好技术拨测验证的准备工作。
 
附件:电话用户真实身份信息登记违规网点列表 
 
                                               陕西省通信管理局
                                               2015年9月14