发布时间:2023-11-28 14:52:13
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的个人信息安全应急演练样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
从8月15日开始,北京、上海、济南、广州、重庆等地的中国工商银行的网络数度陷入“瘫痪”:网上银行无法登录,柜台业务和ATM处理速度缓慢或者中断。由于系统出现问题,业务无法办理,导致很多营业网点出现排长队现象。工商银行后来解释了出现故障的原因是由于当日购买基金、发放养老金和工资的业务量太大导致系统压力骤增,但无论原因到底是什么,这件事至少表明工商银行在确保业务连续性上有所欠缺。
事实上,因为信息系统瘫痪影响业务正常运转我们已经不是第一次听到,比如首都机场就曾因离港系统和行李系统出现故障,影响了多个航班的进出港。如今,信息系统的使用大大提高了组织信息处理和业务运行的效率。然而,由于信息系统的广泛使用,使得这些信息系统一旦不能正常支持组织的业务,给整个组织的业务带来的影响越来越大,有时甚至会造成难以估量的损失。正因为业务连续性管理(Business Continuity Management,BCM)对组织的业务和信息安全如此重要,而一旦发生业务中断所造成的损失又如此巨大,使得对业务连续性的关注已经成为信息安全领域关注的一大焦点。
业务连续性管理的过程
在信息安全管理国际标准ISO 27001(BS7799)中已经建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中。去年11月BSI了一个新的标准BS25999-1,这是业务连续性管理的最佳实践标准,相应的认证标准BS25999-2也将在今年出台。这对于公共基础设施的提供者,金融电信等信息时代的基础支撑行业来说,不但有了实践的指南还有了检验的标准。
根据这些最佳实践指南,业务连续性管理的实施包括一系列企业管理行为,具体实施过程可以分为以下六个步骤,其中核心是制定并实施业务连续性计划。
下面详细介绍BCM实施过程中各步骤所需要执行的主要任务。
步骤1: 启动项目
项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作。项目启动阶段所包括的工作主要有:
1.得到领导层对项目的支持
组织中信息化或信息安全的领导(如CIO或CSO)应参与项目实施,并通过各种形式(如文件、会议等)向组织内所有成员传达领导层对该项目的重视和支持。最重要的是让管理层知道组织的真正风险在哪里,这些风险造成的后果是什么,每一项风险会造成的潜在损失有多大。没有这种理解,管理层对BCM的支持不能落到实处,也不能保证在实施过程对必要的资源、资金和时间方面的投入,最后可能会导致项目实施的失败。
2.明确项目实施的组织结构和角色责任
项目实施需要合适的人员来完成特定的任务,明确项目实施的组织机构和相关人员的角色责任是项目启动阶段非常重要的一项任务。项目实施的组织机构与组织的规模和涉及的系统有关,一般可以分为项目管理机构和项目实施机构两种。项目管理机构负责项目实施过程中的决策,项目实施机构负责项目的具体实施,可以进一步细分为损害评估小组、服务器恢复小组、网络恢复小组、物理/人员安全小组等等。
3.为项目实施分配资源
包括管理机构和实施机构在内的项目成员通过对项目规模、难度等各方面的估计,确定项目实施所需的资源,包括人员、场地、资金和时间等。引入外部的服务提供商是解决资源不足问题的可行办法。服务提供商可以提供BCM的咨询服务,也可以解决组织在提高业务连续性方面所需的备用设备、场地、设施等方面的需求。
4.安排项目的实施进度与时间
为使项目能够顺利实施,需要将项目实施划成分若干阶段,并安排每个阶段的进度计划和主要任务。由于业务连续性管理可能会涉及到多个部门之间的协调,而且往往复杂度较高,最好在项目实施进度中留出一定的机动时间,保证整个项目最终完成时间不会改变。
在上述几项工作完成后,BCM项目已经明确了项目实施的组织机构,明确了角色和职责,安排了所需的资源,制定了项目的实施时间。接下来,项目就可以进入下一步――业务影响分析阶段。
步骤2: 业务影响分析
业务连续性管理必须考虑到所有可能发生的安全事故和灾难,并对其潜在的损害做出估计,以制定可行的控制策略,进而预防这些事故的发生,而这正是业务影响分析(Business Impact Analysis,BIA)所要关注的方面,它是实施BCM的关键性的一步。
对业务安全性的威胁一般可以分为以下三类:
来自自然的威胁,如飓风、龙卷风、洪水和火灾;
来自人类自己的,如操作员错误、破坏、植入有害代码和恐怖袭击;
其他威胁,如设备故障、软件错误、电信网络中断和电力故障。
最重要的是找出所有的威胁,分析这些威胁发生的概率,估算对组织业务所带来的损失。风险评估与分析是进行业务影响分析的常用方法,它收集定性和定量的信息,包括威胁信息、组织脆弱点信息、已有的安全控制信息等,通过风险分析方法得出风险的大小和可能造成的损失。要注意的是,业务影响分析与风险管理并不完全相同,业务影响分析更为关注业务的中断以及业务中断所带来的损失。BIA阶段一般包括以下这些任务:
1.确定关键业务功能和损失标准
需要确定基本的业务功能,这些业务功能可能包括: IT网络支持、数据处理、会计、软件开发、采购、通信等。由于这些业务功能和它们的实施部门之间存在依赖关系,因此在保护和恢复时也应该按照一定的步骤进行。
明确了威胁和确定了关键的业务功能之后,就可以对每种威胁造成的影响制定特定的损失标准,需要考虑的因素包括利润的损失、运行费用的增加、违反合同造成的损失、生产力方面的损失、组织声望的损失等。这些损失可能是直接的,也可能是间接的,有些是有定量数字的,有些是定性估计的,都应该以合适的方式计入。
2.确定最大容忍时间
确定了组织赖以生存的关键系统之后,应根据事故或灾难所造成的损失标准估计万一不幸事件发生时,组织可以容忍的最大时间。一般来说,最大容忍时间可以分为以下几个级别:
无关紧要:30天;
正常:7天;
重要:72小时;
紧急:24小时;
关键:几分钟到几小时,一般不超过12小时。
3.确定恢复的优先顺序
组织内一般包括有多个业务功能,而组织的各种资源是有限的。在发生较大的事故或灾难(如电力中断、地震)时,多个业务功能都可能会受到影响,所以,必须根据各业务功能的关键程度和最大容忍时间,确定各业务功能恢复的优先顺序,并为关键的业务功能优先提供所需要的资源。
步骤3: 确定恢复策略
确定恢复策略指的是确定和指导备用业务恢复运行策略的选择,以便在指点的恢复时间内恢复信息系统,以支持机构的关键业务。
根据业界的实践,业务中断所造成的损失是随着中断时间的增大而大幅上升的,而恢复业务的费用则随着恢复时间的缩短而大幅上升。对于组织来说,确定恢复策略的一个关键任务就是在业务中断时间和业务恢复费用之间取得适当的平衡。
从备份站点来看,可以分为冷站(cold site)、暖站(warm site)、热站(hot site)三种方式。冷站只提供基本的工作环境、电线、空调等,在恢复时要花费很长的时间,可能会有几个星期;热站则具有完全的配置,一般使用在分钟级或小时级的恢复环境下,也最为昂贵。从备份类型来看,可以分为增量备份、差量备份、完全备份传递三种方式;从备份数据传输方式来看,可以分为手工传送、电子备份传送、实时备份等方式。组织还可以选择与内部或外部机构签订互惠协议,或者与设备供应商签署服务合同。具体选择时,组织要综合考虑逻辑性、可行性、经济性等多方面因素,确定适合自身业务要求的恢复策略。
步骤4: 编制业务连续性计划
业务连续性计划(BCP)样式有多种,但一般都包括以下内容:支持信息、通知/启动、业务恢复和业务复原。
1.支持信息
支持信息部分提供了重要的背景或相关信息,使得BCP更容易被理解、实施和维护。支持信息部分一般包括以下内容:
目的。介绍制定BCP的原因和定义BCP的目标。
范围。说明有哪些部门和运营业务需要实施BCP。另外,BCP所包括的业务中断范围也要说明,如计划可能不会涉及预计持续时间小于四个小时的短期中断。
组织。描述应急团队的整体结构,包括各团队的等级划分、协调机制、角色与职责等。
资源需求。人员、设备、技术/数据、安全、运输、福利和紧急事件的费用。
系统描述。对有必要包括在BCP中的IT系统的一般描述,包括系统的架构、现有安全防护措施等。
变化记录。对BCP变更的记录。
2.通知/启动
也称为应急响应。该部分定义了在探测到系统中断或紧急情况发生或即将到来时采取的初步行动,如通知恢复人员、评估系统损害和实施计划的活动。一般包括以下内容:
告知规程。包括告知树、告知信息、通信方法等。
损害评估。评估事件可能带来的业务影响和损害。
计划的启动。计划的启动条件和恢复策略确定。
3.业务恢复
业务恢复集中于建立临时IT处理能力、修复原系统、在原系统或新设施中恢复运行能力等应急措施。在恢复阶段完成后,系统将可以运行并执行计划中指定的功能。业务恢复计划一般也被称为灾难恢复计划(DRP)。
计划的这一部分应该按照操作手册的形式编排,由一系列简单明确的指令构成,这样恢复团队可以完全按照这些指令进行恢复操作。各种操作之间的相互关系也必须加以明确说明,所有的指令和说明必须明白无误,以免因可能引起误解或不明了而导致时间损失。
4.业务复原
为业务运营复原原有场所或新建场所应采取的步骤等应在此加以说明。需要标明每个团队负责人的责任和任务,一般包括:
提供基础设施,如电力、办公设备等。
系统安装,包括软硬件。
测试被恢复系统的运行。
将应急系统中的运行数据上载到被恢复系统中。
关闭应急系统。
应急场所中敏感信息与材料的处置。
其他操作。
步骤5: 测试和演练计划
技术、业务方法以及员工角色和责任的变化都将影响和降低业务应急计划的效率并最终影响到机构的准备状态。因此,通过对业务应急计划的测试来测量其可用性和有效性是很重要的。测试还将使员工熟悉恢复站点的位置以及中断期间所需的恢复规程。测试的目标是确保机构在启动业务连续性计划后能够按照计划可靠、及时和有效地恢复运行。
测试的过程需要进行详细的规划,测试计划还应该包括每项测试的详细时间表和测试的参与者。测试计划还应该清晰地描述测试范围、场景和后勤。场景可以选择为最糟糕的事故或最有可能发生的事故,并尽量模仿真实情况。
有两种基本的演练方式:
课堂演练 课堂演练的参与者在桌面上对规程进行排演而不实际进行恢复操作。在两种演练类型中课堂演练是最基本和最经济的,应该在执行功能演练之前执行。
功能演练 功能演练比桌面上的演练更进一步,要求虚构事件。功能演练包括模拟和战术演练。通常会为扮演外部机构的角色演员写好脚本或者有真正的相关机构或供应商参与。功能演练可以包括针对备用站点的实际配置和(或)系统切换。
组织对其业务连续性计划一年至少要测试一次。管理层应该参与到测试中并熟悉其在计划启动时的角色和责任。
步骤6: 维护与更新计划
业务连续性计划必须周期性地加以检查和维护。为了使其更加有效,计划必须维持在能够正确反映系统需求、规程、机构架构和策略的就绪状态。计划应该至少每年进行一次针对正确性和完整性的检查,一旦有新的系统、新的业务流程或者新的商业行动计划加入企业的生产系统或者信息系统,引起企业整体系统发生变化时,就更应该强制启动这种检查程序。某些部分应该得到更频繁的检查,如联络清单。根据系统类型和重要程度的不同,对计划内容和规程的评估可能会更加频繁。计划的检查至少要关注以下内容:
运行需求;
安全需求;
技术规程;
硬件、软件和其他设备(类型、规格和数量);
团队成员的姓名和联络信息;
供应商,包括备用和离站供应商协调人的姓名和联络信息;
备用和离站设施需求;
关键记录(电子的或硬拷贝)。
每一次在执行这种检查程序时,最好是与对BCP的改进相互结合。例如,在测试过程中发现的问题、组织为了实现连续性对机构所做的调整或者在保持业务连续性测试时发现了更好的行动方式和计划等等。因此,BCP的维护应该是变化和改进的结合与不断促进。另外,BCP中可能包含有潜在的敏感操作和个人信息,所以对BCP的分发应该根据需要进行标记和控制。(本文作者为BSI中国公司的咨询顾问)
相关
业务连续性管理的关键点
在实行BCM过程中,以下因素是组织应重点考虑的:
争取管理层的支持和参与。没有管理层的支持,业务连续性计划的制定和实施都是十分困难的,很有可能会流产。
建立业务连续性管理文化。通过培训和意识教育,使业务连续性管理成为企业核心价值和有效管理的一部分。
业务连续性计划团队要有明确的组织结构,角色和责任应明确、清晰,要对相关人员进行培训。如果参与人员不能清楚地知道自己该做什么,灾难发生时只能是一片混乱。
恢复策略的确定要综合考虑恢复成本与灾难损失,在其中取得一个适当的平衡点。超过损失的恢复是毫无意义的。
截至2014年6月底,作为非P2P网络小额贷款的典型代表,阿里金融旗下的小额贷款公司累计发放贷款超过2000亿元,服务小微企业达80万家。众筹融资。截至2014年6月底,全国约有众筹融资平台100家,其中“天使汇”自创立以来累计有8000个创业项目,创业者会员超过20000人,融资总额超过2.5亿元。基于互联网的基金销售。截至2014年9月底,支付宝平台的“余额宝”规模达5349亿元,用户数增至1.49亿,天弘基金由此成为国内规模最大的基金管理公司。
二、互联网金融信息安全风险分析
互联网金融的迅猛发展,在给我国经济金融带来活力、给大众带来便利的同时,也存在着大量的风险隐患。同所有金融业务一样,互联网金融存在流动性风险、信用风险、洗钱风险等,在此,本文仅从信息安全的角度分析互联网金融风险。
(一)客户端安全认证风险。客户端通常采用用户名和密码方式进行认证,用户计算机在感染病毒、木马程序或被黑客攻击后,用户的账户、密码、验证码等敏感信息会在未经安全认证的情况下,通过键盘记录或屏幕录制等方式,被发送至黑客指定服务器的后端,严重威胁互联网金融账户和密码安全。
(二)信息通信风险。互联网金融业务通过网络在银行、互联网金融机构、用户之间进行数据传输,数据传输过程要求进行数据加密。网络传输系统被侵入或者加密算法被黑客攻破,将导致用户的资金、账号、密码在网络中以明文传输,造成客户信息泄露,严重影响客户资金及信息安全。
(三)系统漏洞风险。互联网金融业务系统无论采用Java技术还是其他技术进行开发,均可能存在一些系统漏洞和安全隐患。黑客会搜寻并利用系统漏洞进行攻击来获得非法利益,给互联网金融业务带来巨大的信息安全风险。
(四)数据安全风险。互联网金融业务数据要求绝对安全和保密。用户基本信息、支付信息、资金信息、业务处理信息、数据交换信息等丢失、泄露和被篡改,都会给商业银行及互联网金融机构带来不可估量的损失。在互联网的开放式环境中,互联网金融业务系统应确保数据输入和传输的完整性、安全性与可靠性,防止对数据的非法篡改,实现对数据非法操作的监控与制止。
(五)系统应急风险。目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P等机构,不能严格执行应急演练计划。电力中断、地震、洪水等灾害的发生,将导致系统数据丢失,给互联网金融机构造成巨大损失。
(六)内部控制风险。互联网金融内控制度是为了保护金融资产的安全完整,形成的一系列具有控制职能的方法、措施和程序。互联网金融业务内控制度建设或执行不到位,会导致业务操作处理过程中出现安全隐患,如由单个系统管理员重置客户密码或调整客户账户信息等,将造成互联网金融信息安全风险。
(七)外包管理风险。由于专业技术人员不足,许多互联网金融机构通过购买第三方外部服务的方式来获取技术支持。外包服务管理不到位、外包服务公司经营不善或破产,都会给互联网金融机构带来数据泄密的风险,严重影响互联网金融业务安全稳定运行。
(八)操作风险。操作风险来源于机构内部员工或用户的错误操作、恶意操作。互联网金融机构员工对业务不熟悉,可能导致业务操作风险,从而危及互联网金融业务的总体安全。同样,互联网金融业务也可能因为客户缺乏网络安全知识、安全意识淡薄而面临相当高的操作风险。
(九)法律风险。法律风险来源于网上交易过程中违反相关法律、法规和制度,以及未能遵守有关权利义务的规定。电子商务和互联网金融业务在我国正处于加快发展阶段,政府相关法律法规对网上交易权利与义务的规定仍不清晰,互联网金融存在着相当大的法律风险。
三、互联网金融信息安全风险防范
(一)构建互联网金融信息安全保障体系。一是改善互联网金融的运行环境。在硬件配置方面,加大对计算机信息安全设备的投入,增强系统的抗攻击、防病毒能力;在系统运行方面,通过身份识别、分级授权、短信验证等多种登录方式,限制非法用户登录互联网金融网站。二是加强数据安全管理。将互联网金融纳入现代金融体系的发展规划,制订统一的技术标准规范;利用数字证书与加密技术保障互联网金融业务的交易主体的信息安全,防范交易过程中的不法行为。三是开发具有自主知识产权的信息安全技术。大力发展国产加密技术、密钥管理技术及数字签名技术,提高信息系统的安全技术水平和关键设备的安全防御能力,保护互联网金融安全。
(二)健全互联网金融信息风险管理体系。一是加强互联网金融机构的内部控制。互联网金融机构应制定完备的计算机安全管理办法和互联网金融风险防范制度,加强制度学习落实,完善业务操作规程;充实内部科技力量,建立从事防范互联网金融信息风险的专业技术队伍。二是加快社会信用体系建设。以人民银行的企业、个人征信系统为基础,建立客观全面的企业、个人信用评估体系和电子商务身份认证体系,避免互联网金融业务提供者因信息不对称作出不利选择;针对从事互联网金融业务的机构建立信用评价体系,降低互联网金融业务的不确定性,避免客户因不了解互联网金融机构的业务服务质量而作出逆向选择。
(三)加强防范互联网金融信息风险的法制体系建设。一是加大互联网金融的立法力度。及时制定和颁布互联网金融法律法规,在电子交易的合法性、电子商务的安全性以及禁止利用互联网犯罪等方面加快立法,明晰互联网金融业务各交易主体的权利和义务。二是修改完善现行法律法规。修订现有法律法规中不适合互联网金融发展的部分,对利用互联网实施金融犯罪的行为加大量刑力度,明确造成互联网金融信息风险应承担的法律责任。三是制定网络公平交易规则。在识别数字签名、保存电子交易凭证、保护消费者个人信息、明确交易主体的责任等方面作出详细规定,确保互联网金融业务的有序开展。
湖南省通信条例
第一章 总 则
第一条 为了规范通信设施的建设,提高通信服务质量,保障通信安全,促进通信业的健康发展,维护通信用户和通信业务经营者的合法权益,根据《中华人民共和国网络安全法》、国务院《电信条例》和有关法律、行政法规,结合本省实际,制定本条例。
第二条 本省行政区域内通信设施的建设和保护、通信服务的规范、通信安全的保障以及通信业监督管理等活动,适用本条例。
本条例所称通信,是指个人、组织相互之间利用有线、无线的电磁系统或者光电系统传送、发射、接收语音、文字、数据、图像以及其他形式信息,实现信息互通的活动。
本条例所称通信设施,是指为社会公众提供通信服务,用于实现通信功能的交换设备、传输设备和配套设备等;通信基础设施,是指通信机房、通信光缆、电缆、通信杆路、移动基站等通信设施。
第三条 县级以上人民政府应当将通信业纳入国民经济和社会发展规划,将通信基础设施专项规划纳入城乡规划,加强通信业监管体系建设,统筹协调解决通信业发展中的重大问题。
第四条 省通信管理机构应当根据本省国民经济和社会发展规划组织编制全省通信行业发展规划并对全省通信业实施监督管理。省通信管理机构可以委托有关行政机关或者具有管理公共事务职能的组织(以下与省通信管理机构统称通信管理机构)履行有关监管职责。
县级以上人民政府经济和信息化、网信、住房和城乡建设、城乡规划、公安、环境保护、无线电管理等有关行政主管部门按照各自职责,做好通信业相关工作。
乡镇人民政府、街道办事处和村(居)民委员会协助做好通信设施建设、保护等方面的相关工作。
第二章 通信设施
第五条 设区的市、自治州人民政府城乡规划行政主管部门会同通信管理机构编制通信基础设施专项规划,报本级人民政府批准后实施。
编制通信基础设施专项规划,应当符合城市总体规划、县城总体规划和土地利用总体规划,并遵循统筹协调、集约建设的原则,避免重复建设和资源浪费。
第六条 省通信管理机构应当组织协调推进全省通信基础设施均衡建设,加强农村通信基础设施建设和城市旧城区通信基础设施改造,完善网络覆盖。
第七条 规划道路、桥梁、隧道等公共基础设施,应当同步考虑通信设施建设需要,及时与通信管理机构协商预留通信管线等事宜。
新建、改建、扩建民用建筑,建设单位应当按照国家标准将配套通信设施纳入建设项目的设计文件,随主体工程同步施工、验收并将所需经费纳入建设项目概算,但移动通信基站应当由通信业务经营者建设并承担所需费用。
第八条 通信业务经营者进入居民住宅内新建或者改建通信设施的,应当征得业主同意;在其他已有建筑物上新建或者改建通信设施,应当事先告知建筑物的所有人、管理人或者使用人。
已有建筑物的所有人、管理人或者使用人应当为新建、改建通信设施提供通行便利和必要的场地,场地使用费按照国家和省人民政府的规定执行。
第九条 通信业务经营者不得通过与建筑物的建设单位、所有人、管理人或者使用人签订排他性协议等方式,阻碍其他通信业务经营者接入和使用配套通信设施,限制通信用户自主选择权。建筑物的建设单位、所有人、管理人或者使用人应当为各通信业务经营者提供平等接入和使用配套通信设施的条件。
第十条 通信业务经营者应当在大型公共场所和建筑物内的移动通信信号盲区、弱区,设置移动通信网络室内分布系统。
移动通信网络室内分布系统的设计、建设应当符合国家有关标准,满足多套移动蜂窝网络数据系统共享要求。
第十一条 省通信管理机构应当根据通信行业发展规划和通信基础设施专项规划,组织通信业务经营者开展通信设施共建共享工作,推进通信网与广播电视传输网、互联网的共建共享,避免资源浪费和重复建设。
通信业务经营者应当根据技术可行、节约资源、合理负担的原则,协商共建共享通信设施。新建、改建、扩建杆塔、基站、管道等通信设施应当实行联合建设;已有的管道、杆塔、基站等通信设施应当开放共享,不具备共享条件的应当采取技术改造、扩建等方式进行共建共享。因资源整合或者布局调整,移动通信基站等通信设施不再使用的,应当及时拆除。
第十二条 通信业务经营者在建筑物上附挂通信线路或者设置小型天线、移动通信基站等通信设施时,应当符合建筑物荷载要求,保证建筑物安全、正常使用;造成人身伤害、财产损失的,应当依法承担赔偿责任。
第十三条 鼓励设区的市、县(市)人民政府统筹规划建设地下综合管廊,为通信线路入地提供条件。具备通信线路入地条件的,在城市规划区内不得建设架空通信线路,城市建成区内已有的架空通信线路应当逐步入地。
在风景名胜区、文物保护区和历史文化街区、名镇、名村建设通信设施,应当采取景观化或者隐蔽化建设方案。
第十四条 通信设施建设应当文明、安全施工,避免或者减少影响居民、单位的正常生产生活。施工结束后,应当将施工过程中损坏的建筑物、绿地、道路等恢复原状;不能恢复原状的,应当按照国家相关规定给予补偿或者赔偿。
第三章 通信服务
第十五条 在本省经营通信业务,应当依法取得行政许可。运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省通信管理机构备案。
通信业务经营者许可或者备案事项发生变更的,应当向原许可或者备案机关办理变更手续。
第十六条 通信业务经营者应当执行国家服务标准,为通信用户提供准确、安全、便捷、畅通和价格合理的通信服务,采取多种形式广泛听取通信用户意见,提升服务质量。
第十七条 通信用户办理网络接入、变更、注销等手续时,应当提供真实身份信息,通信业务经营者应当对通信用户身份信息进行核验。通信用户不提供真实身份信息的,通信业务经营者不得为其提供通信服务。
第十八条 通信业务经营者应当通过系统监控、日常巡查、定期查访等方式加强对通信业务商的管理,及时采取有效措施规范商的行为。
第十九条 通信业务经营者应当公开服务项目及其资费标准,为通信用户交费和查询提供方便。通信用户要求提供收费清单的,通信业务经营者应当免费提供。收费清单应当按照国家规定详细记录相关内容。
第二十条 通信业务经营者在为用户办理入网、变更、注销等手续时,应当根据国家相关要求签订通信服务协议。通信服务协议中不得含有对通信用户不公平、不合理的条款,通信服务协议中的限制性条件及其他需要注意的事项,通信业务经营者应当用显著的方式告知通信用户。
通信服务协议有效期间,通信业务经营者有义务保存所订立的协议。
第二十一条 通信业务经营者对固定语音、移动语音、短信息、固定宽带、移动数据等业务进行组合销售时,应当另行提供单项业务服务。
第二十二条 通信用户产生超出前三个月平均通信费用五倍以上的异常通信费用时,通信业务经营者应当立即告知通信用户,并采取相应的措施。
第二十三条 通信业务经营者应当规范消费提醒方式,采用相对固定的渠道和统一方式向通信用户提供消费提醒服务。
因通信用户预付通信费不足可能导致暂停通信服务的,通信业务经营者应在合理的时段内,提前提醒通信用户及时交纳通信费用。
通信业务经营者未按照国家规定提供消费提醒服务,不得向通信用户收取通信费用违约金。
第二十四条 通信业务经营者应当定期委托有资质的第三方检测机构对计费系统进行检测,向社会公布检测结果并向省通信管理机构报告。
省通信管理机构应当不定期地对通信业务经营者的计费系统进行抽查,将抽查结果告知通信业务经营者并向社会公布。
第二十五条 通信业务经营者、电子信息内容提供者未与通信用户约定,不得向其发送商业性电子信息。
通信业务经营者发现电子信息内容提供者违反前款规定发送商业性电子信息的,应当暂停或者停止为其提供相关的通信资源或者服务,并保存有关记录。
第二十六条 因工程施工或者通信设施建设等原因可能影响正常通信服务的,通信业务经营者应当提前七十二小时告知相关用户;可能对通信服务造成重大影响的,应当向省通信管理机构报告。
第二十七条 通信用户申告通信服务故障的,通信业务经营者应当及时修复。故障发生在城镇的,通信业务经营者应当自接到申告之日起四十八小时内修复;故障发生在农村的,通信业务经营者应当自接到申告之日起七十二小时内修复;因特殊原因不能在上述时限内修复的,通信业务经营者应当及时通知通信用户,并免收故障期间的服务费用。但是,属于通信用户终端设备的原因造成通信服务障碍的除外。
第二十八条 通信业务经营者在通信服务中,不得有下列行为:
(一)未征得通信用户同意,为其开通约定以外的通信服务项目;
(二)无正当理由拒绝、拖延或者中止提供通信服务;
(三)不履行公开作出的承诺或者作虚假宣传;
(四)擅自增加收费项目、提高与通信用户约定的资费标准或者擅自改变与通信用户约定的计费方式、收费方法,伪造、篡改通信用户的计费数据及其他与计费有关的记录;
(五)捏造、散布虚假事实损害其他通信业务经营者的合法权益或者贬低、诋毁其他通信业务经营者的企业形象、商业信誉、业务品牌,恶意对其他通信业务经营者的服务或者产品实施不兼容行为,欺骗、误导或者强迫用户不使用其他通信业务经营者依法提供的服务;
(六)其他损害通信用户或者其他通信业务经营者合法权益的行为。
第二十九条 通信用户认为通信业务经营者侵犯自己合法权益的,可以向通信业务经营者投诉,通信业务经营者应当在接到投诉之日起十五日内答复;对答复结果不满意或者通信业务经营者在十五日内未答复的,通信用户可以向省通信管理机构或者其设立的专门申诉机构申诉,收到申诉的机构应当自收到申诉之日起三十日内处理并向申诉者反馈处理结果。
通信用户认为通信业务经营者侵犯自己合法权益的,也可以向消费者委员会投诉或者向人民法院起诉。
第四章 通信安全
第三十条 省通信管理机构应当建立健全应急通信相关制度,确保通信畅通。
第三十一条 通信业务经营者应当根据通信管理机构的要求加强应急通信保障体系建设,制定通信保障应急预案,并开展应急演练。
通信业务经营者在执行应急通信保障任务时,应当服从通信管理机构的统一调度指挥,采取相应的应急措施。
第三十二条 经公安交通管理部门批准,执行应急通信任务的通信车辆在确保安全的前提下,可以不受禁止机动车通行标志的限制。
第三十三条 任何个人和组织不得窃取或者以其他非法方式获取用户个人信息,不得非法出售或者非法向他人提供用户个人信息。
第三十四条 通信业务经营者应当建立健全用户个人信息保护制度,采取技术措施和其他必要措施,确保收集的用户个人信息安全。
通信业务经营者收集、使用用户个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围。通信业务经营者不得违反法律、行政法规的规定和双方的约定收集、使用用户个人信息;不得泄露、篡改、毁损其收集的用户个人信息。
通信业务经营者在发生或者可能发生用户个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第三十五条 通信业务经营者应当依法加强对通信用户、传输信息的管理,发现法律法规禁止、传输的信息的,应当立即停止传输、消除相关信息并保存有关记录,向有关主管部门报告。
第三十六条 通信业务经营者应当采取技术、管理手段防范和打击利用通信网络实施的诈骗行为。
通信业务经营者应当规范号码传送和使用管理,严格按照国家相关规定和标准传送真实号码,建立虚假号码主叫监测和处置机制,对发现的虚假主叫号码应当立即予以处置。
通信业务经营者应当采取措施保证出租通信线路的正当使用,不得私自转接国际来话和为非法网络电话、改号电话提供语音接入服务。
第三十七条 通信用户对于他人利用电话、短信等方式进行骚扰的行为,可以向通信业务经营者举报。通信业务经营者接到举报后,应当及时向有关部门报告,并协助有关部门采取措施予以查处。
第三十八条 建立健全打击生产、销售和使用非法移动通信基站等违法行为的联动机制,质量技术监督、工商行政管理等行政主管部门,无线电管理机构和通信管理机构应当配合公安机关对相关违法行为的查处。
第三十九条 通信业务经营者建设移动通信基站应当符合国家电磁辐射安全标准,并按照国家环境保护相关规定开展电磁辐射环境影响评估,公布评估结果。
通信业务经营者应当委托具备检测资质的机构对电磁辐射有争议的移动通信基站进行检测,检测结果应当在基站建设范围内公示,机构出具的检测报告应当向社会公开。
县级以上人民政府环境保护行政主管部门应当履行电磁辐射监管职责,对电磁辐射不符合国家标准的移动通信基站,应当依法处理。
通信管理机构应当会同环境保护行政主管部门、新闻媒体开展通信设施电磁辐射安全知识的宣传教育。
第四十条 通信业务经营者应当加强通信设施的维护和管理,履行下列义务,保障通信设施安全运行:
(一)在通信设施周围设置警示标志、围墙、栅栏等必要保护设施;
(二)对通信设施运行状态进行评估;
(三)建立通信设施日常巡查、维护、检修制度,做好巡查、维护、检修记录;
(四)对通信机房、基站、重要传输线路进行重点监测,并保存监测记录。
第四十一条 在国家规定的通信设施安全保护范围内,实施下列可能影响通信设施安全行为的,建设单位或者施工单位应当事先告知通信设施所有人,并采取必要的安全防护措施:
(一)建造建筑物、构筑物;
(二)新建、改建、扩建公路、铁路、桥梁、隧道、城市轨道交通等公共设施;
(三)铺设各类地下工程管线;
(四)采矿;
(五)建设生产易燃、易爆物品或者排放腐蚀性物质的工厂;
(六)其他可能影响通信安全的行为。
第四十二条 禁止下列危害通信设施安全的行为:
(一)侵占、盗窃、破坏、毁损通信设施;
(二)在国家规定的通信设施安全保护范围内挖砂、取土、堆土;
(三)在埋有通信光缆、电缆、通信管道的地面上倾倒含酸、碱、盐等腐蚀性的废液、废渣;
(四)在通信设施上附挂管线、物件,栓系牲畜或者攀爬通信杆塔;
(五)涂改、移动、拆除或者毁损通信设施保护标志;
(六)其他危害通信设施安全的行为。
第四十三条 任何单位和个人不得阻碍合法的通信设施建设或者从事危害通信设施安全的行为,不得擅自改动、迁移他人的通信设施。确因特殊情况需要改动、迁移的,应当与通信设施所有人协商一致后方可施工。
第五章 监督管理
第四十四条 通信管理机构应当建立健全通信业的监督管理制度,通过日常巡查、专项检查等方式开展监督检查,并及时在通信管理机构网站公布相关信息。
第四十五条 通信管理机构应当重点加强对通信业务经营者推进通信普遍服务、通信服务质量、通信业务公平竞争、通信用户投诉处理等情况的监督检查。
省通信管理机构进行监督管理时,可以采取下列措施:
(一)进入通信业务经营者相关场所进行检查和调查取证,提取相关资料、数据;
(二)询问当事人和其他有关的组织和个人;
(三)责令终止传输违法信息;
(四)向社会公开通信业务经营者的服务质量状况;
(五)法律法规规定的其他措施。
第四十六条 城市、县人民政府城乡规划行政主管部门应当会同通信管理机构加强通信基础设施专项规划执行情况的监督管理。
第四十七条 通信管理机构应当会同县级以上人民政府住房和城乡建设、教育等行政主管部门加强居民住宅小区、学校等特定区域通信服务的监督管理,保障通信用户的自由选择权。
第四十八条 通信管理机构及其他行政机关实施监督管理,不得妨碍被监督管理对象正常的生产经营活动,不得索取或者收受被监督管理对象的财物或者谋取其他利益。
第六章 法律责任
第四十九条 违反本条例第九条规定,建筑物的建设单位、所有人、管理人或者使用人未为通信业务经营者提供平等接入和使用配套通信设施条件的,由省通信管理机构责令改正,拒不改正的,处一万元以上五万元以下罚款;通信业务经营者与建设单位、所有人、管理人或者使用人签订排他性协议,阻碍其他通信业务经营者接入和使用配套通信设施的,由省通信管理机构责令改正,拒不改正的,处五万元以上十万元以下罚款。
第五十条 违反本条例第十七条规定,通信业务经营者为不提供真实身份信息的用户提供通信服务的,或发现用户使用假冒、伪造、变造的证件仍然为其办理登记手续的,由省通信管理机构责令改正;拒不改正或者情节严重的,处五万元以上二十万元以下罚款,情节特别严重的,处二十万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十一条 违反本条例第二十五条规定,未与通信用户约定向其发送商业性电子信息的,由省通信管理机构责令改正,予以警告,可以并处一万元以上三万元以下罚款。
第五十二条 违反本条例第二十八条第一至第三项规定,通信业务经营者在通信服务中损害通信用户权益的,由省通信管理机构责令改正、赔礼道歉、赔偿损失;拒不改正的,予以警告,并处一万元以上十万元以下罚款。
第五十三条 违反本条例第三十三条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供用户个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上五倍以下罚款;没有违法所得的,处一万元以上十万元以下罚款。
违反本条例第三十四条规定,通信业务经营者违反法律、行政法规的规定和双方的约定收集、使用用户个人信息或者泄露、篡改、毁损其收集的用户个人信息的,由省通信管理机构责令改正,可以根据情节单处或者并处警告、没收违法所得,处违法所得一倍以上五倍以下罚款;没有违法所得的,处一万元以上五万元以下罚款。
第五十四条 违反本条例第四十二条第二至第五项规定,危害通信设施安全的,由省通信管理机构责令改正;造成损失的,依法予以赔偿。
第五十五条 违反本条例第四十三条规定,阻碍通信设施建设的,由公安机关按照相关规定责令改正,依法处理;擅自改动、迁移他人通信设施的,由省通信管理机构责令改正,并处一万元以上三万元以下罚款;造成损失的,依法予以赔偿。
第五十六条 通信管理机构及其他有关部门有下列情形之一的,对直接负责的主管人员和其他责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)未编制或者组织实施通信基础设施专项规划的;
(二)未依法履行通信设施建设和保护监督职责的;
(三)未依法履行应急通信组织协调职责的;
(四)其他玩忽职守、滥用职权和徇私舞弊的行为。
第五十七条 对违反本条例规定的行为,有关法律、行政法规已经作出法律责任规定的,从其规定。
关键词 计算机网络;安全状况;防护措施
中图分类号TP3 文献标识码 A 文章编号 1674-6708(2015)138-0084-02
在科技快速发展的过程中,Internet技术在世界发展飞速,它在给人们创造便利的时刻,也带来了威胁。虽然我们使用软件技术系统,但是互联网无论在哪个国家应用,其计算机网络的安全性都成为网络时展的关键性问题。科技的进展使得计算机成为工具,虚拟网络形成,网络犯罪就原生于此。由于其犯罪的隐蔽性等特点,表现出多样的犯罪。
1 网络安全威胁大致分析
1)病毒侵袭。主要指的是在计算机网络正常使用的过程中,病毒会对计算机系统造成破坏,从而影响到计算机系统的正常工作,甚至会造成系统瘫痪的现象。另外,由于病毒具有较强的传播性,因此,在计算机网络正常使用的过程中,可能通过网络数据的传输,对其他计算机系统造成一定的破坏。
2)有两类黑客攻击:即破坏性、非破坏性。
3)内外部泄密。主要指的是一些非法人员,在找到某个服务器网段内IP地址之后,并根据其地址运用ARP的欺骗手段,来对计算机系统进行网络攻击,致使计算机系统出现问题,甚至造成系统瘫痪无法运行。
4)计算机系统漏洞的威胁。在日常计算机使用的过程中,经常会发现计算机系统会提示使用者计算机此时已存在漏洞,急需修补的现象,这标志着计算机系统需要及时更新来填补系统漏洞。而很多计算机使用者经常会忽略这个操作,并不重视对计算机漏洞的修补,而这些漏洞也将成为网络黑客攻击的有利条件,致使存在系统漏洞的计算机在使用的过程中,有极大的可能会被黑客所攻击,从而对计算机网络的正常使用构成一定的影响,也给计算机系统内的信息带来安全威胁。
2 计算机网络系统安全威胁的防范措施
1)合理运用防火墙技术。防火墙对于熟悉计算机的人员都不陌生,防火墙作为计算机网络安全的重要保护层,对网络数据有着过滤的功能,将一些存在异样的数据信息包过滤,确保计算机系统接收数据包的安全性,从而有效避免网络病毒的传播。
2)实施物理网络安全措施。众所周知,计算机网络在使用的过程中,需要有着物理通信线路以及相应的实体设备作为支持的,而实施的物理网络安全措施,主要是为了避免这些物理通信链路以及实体设备等受到人为的破坏、自然灾害的破坏,为计算机网络的运行营造一个安全可靠的外部工作环境。另外,由于计算机网络运行是一项较为复杂的工程,其中涉及到的因素比较多,因此,解决安全的方案的制定需要从整体和宏观上进行控制把握。网络安全解决方案是整合网络信息系统安全,将各种系统技术措施等整合起来,构筑网络安全防护系统体系。只要我们做到技术和管理,安全技术和措施相结合,同时增强立、执法的执行力度,建立备份和恢复机制,制定标准措施,才能绕开网络威胁和避免被攻击。此外,由于病毒、犯罪等技术是分布在世界各处,因此必须进行全球协作。
3)在网络系统安全策略中,不仅需要采取网络技术措施保护网络,还须加强网络的行政管理,制定规章制度。对于确保网络系统的安全、运行,将会起到良好的功能性效应。 网络的安全管理,不仅要看所采用的技术和防范手段,而且要看它所采取的管理手段和执行保护法律、法规的力度强弱。网络的管理手段,包括对用户的职业教育、建立相应的管理机构、不停完善和加强管理功能培训、加强计算机及网络的立、执法力度等。加强安全管理、加大用户的法律、法规和道德观念,提升使用者的安全防范意识,对防止犯罪、抵制黑客攻击和防止病毒干扰,是重要的手段。
4)信息加密措施主要是安全保护网络资源。
5)病毒防范措施。(1)将病毒风险防控工作纳入信息科技考核要点;(2)能够以技术手段查找根源,定位病毒感染主机、追击感染源,做好预防工作;(3)加大力度惠及,提高觉悟。
3 网络系统安全将来发展方向
1)网络系统管理和安全管理方面。随着科技的不断发展,网络化技术的发展也极为迅速,而且,网络所遍布的范围也越来越广,而要确保计算机网络发展有着更好的延续性,就必须向着网络系统管理以及安全管理方向发展,全面提升计算机网络安全管理意识,进而有效的避免或降低被黑客的攻击以及病毒的破坏。网络越先进,安全越重要。在日常工作中,我们始终把系统安全稳定运行作为信息科技的要务,并结合实际情况,采取措施保证安全生产。一是强化员工安全意识。二是加大信息系统安全检查力度。三是细化应急预案。四是创新安全防范技术。我们还应探讨和发现隐性问题,把问题消灭在源头。
2)标准化网络方面。由于互联网没有设定区域,这使得各国如果不在网络上截断Internet与本国的联系就控制不了人们的见闻。这将使针对网络通讯量或交易量纳税的工作产生不可见的效果。国家数据政策的不确定性将反映在混乱的条款中。标准化网络一是提升了个人信息安全的识别,提示了风险的隐蔽、可见性,提高整改防控意识。二是使安全生产有了明确的量化标的。三是建立了激励与约束。四是采取现场检查方式进行监管检查,风险提示明确,问题处理表述清楚。五是规范工作流程。六是采取各点详查、随机抽查、现场提问使网点安全生产落实到实处。七是监管评价与重点工作考核结合。
3)网络软件系统方面。随着网络信息系统法律法规健全,计算机软件和网络安全物权法需要制定。
4)计算机网络系统法律、法规方面。在目前社会中,利用网络信息系统的犯罪猖獗。法律、法规是规范人们通常社会行为的准则,明确网络系统工作人员和最终用户的权利和义务。
5)网络系统密码技术方面。在系统中,使用密码技术可以确保信息的隐密,完全、确定性。伴随系统利用密码技术,智能卡和数字认证将会变得领先,用户需要将密码和验证码存放在稳妥的地方。所以,一定采取网络安全手段,研究网络安全发展趋势,坚决贯彻执行网络信息系统法律法规。(1)利用虚拟网络技术,防止基于监听的入侵手段。(2)利用防火墙技术保护网络免遭黑客攻击。(3)安全扫描技术为发现网络漏洞提供了保障。(4)利用病毒防护技术可以防、查和杀毒。(5)利用入侵检测技术提供实时的入侵检测及采取相应的防护手段(6)采用认证和数字签名技术。认证技术用以解决网络通讯过程中通讯双方的身份,数字签名技术用于通信过程中的不可抵赖要求的实现。(7)要对移动存储设备安全管理系统上线工作给予高度重视,按照要求在规定时限内完成工作;要增强信息系统安全的责任意识,以风险管控为前提,做好系统的日常维护和定期
演练。
6)加强网络技术和新型网络产品的开发研制、增强系统保护能力。
7)实行网络域名注册实名制。
8)加强网络道德教育、加强安全意识教育。
参考文献
[1]刘远生,辛一.计算机网络安全[M].清华大学出版社,2009:5-8.
[2]网络技术专业分析[N].重庆晚报,2012-08-13.
[3]计算机网络技术需要延伸的素质.
