山西省公共互联网网络安全威胁监测与处置实施办法
网安字〔2020〕15号
山西通信管理局关于印发《山西省公共互联网网络安全威胁监测与处置实施办法》的通知
中国联通山西省分公司、中国移动通信集团山西有限公司、中国电信山西分公司,国家计算机网络与信息安全管理中心山西分中心,山西省互联网协会,经营性互联单位、互联网企业、网络安全企业:
为进一步健全我省公共互联网网络安全威胁监测与处置机制,保障网络秩序和公共利益,维护国家网络空间安全,依据《网络安全法》《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号)等法规,我局制定了《山西省公共互联网网络安全威胁监测与处置实施办法》,现印发给你们,请结合实际,切实抓好贯彻落实。
山西省通信管理局
2020年6月17日
山西省公共互联网网络安全威胁监测与处置实施办法
第一章 总 则
第一条 为进一步加强和规范我省公共互联网网络安全威胁监测、处置与信息通报工作,确保处置迅速、精准、规范、闭环,信息通报准确、全面,降低安全风险,消除安全隐患,避免危害发生,提升整体网络安全水平,保护公共利益和公民、法人及其他组织合法权益,维护国家网络空间安全,保障经济运行和社会发展,根据《中华人民共和国网络安全法》《中华人民共和国电信条例》《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号)等法规规定和山西省通信管理局职责,制定本办法。
第二条 本办法适用于在山西省行政区域内开展公共互联网及行业内的重要信息系统和关键信息基础设施网络安全威胁的监测、处置和网络安全信息通报工作。
第三条 本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件,包括:
(一)被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息,包括木马和僵尸网络控制端,钓鱼网站,钓鱼电子邮件、短信/彩信、即时通信等;
(二)被用于实施网络攻击的恶意程序,包括木马、病毒、僵尸程序、移动恶意程序等;
(三)网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等;
(四)网络服务和产品已被非法入侵、非法控制的网络安全事件,包括主机受控、数据泄露、网页篡改等;
(五)其他威胁网络安全或存在安全隐患的情形。
第四条 省通信管理局负责组织开展并指导、监督、检查本省行政区域内公共互联网网络安全威胁的监测与处置工作,依据收到或监测掌握的信息向省内有关单位通报监测与处置情况,统一向社会发布山西省公共互联网网络安全情况通报。
第五条 山西省公共互联网网络安全威胁监测与处置工作坚持及时发现、客观真实、准确完整、科学认定、有效处置的原则。
第六条 在本省行政区内开展业务的基础电信企业、取得电信业务经营许可的互联网企业、相关专业机构、网络安全企业等(以下统称互联网运营服务单位)应明确本单位网络安全威胁监测处置组织管理机构,完善本单位监测处置机制,自主监测涉及本单位管理范围内的网络安全威胁,按照国家有关规定或受省通信管理局委托开展有关监测,按照本办法规定或省通信管理局要求开展威胁处置。
互联网运营服务单位网络安全威胁监测处置组织管理机构及组成人员名单(附件1)、相关工作制度,应报省通信管理局备案。相关信息发生变更,应于5个工作日内报送变更后的情况。
第七条 省通信管理局建立网络安全威胁监测与态势感知平台,与相关单位网络安全类平台实现对接,统一汇集、存储、分析、通报、发布涉及本省的公共互联网网络安全威胁信息。
互联网运营服务单位应加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
第八条 省通信管理局与国内相关专业机构、研究机构、社会团体、安全企业、非经营性互联单位等广泛合作,积极拓展网络安全信息获取渠道。设立网络安全威胁研判专家组、网络安全技术支撑队伍,受委托或按指令协助开展相关工作。
第九条 鼓励相关单位以行业自律或技术合作、技术服务等形式开展网络安全威胁监测与处置工作,并对处置行为负责,监测与处置结果应当及时报送省通信管理局。
第二章 网络安全威胁监测与报告
第十条 根据网络安全威胁的类别、社会影响范围和危害程度,山西省公共互联网网络安全威胁分为五级:特别重大威胁、重大威胁、较大威胁、一般威胁、普通威胁。其中,特别重大、重大、较大、一般威胁参照《山西省公共互联网网络安全突发事件应急预案》定级标准。
(一)符合下列情形之一的,为特别重大网络安全威胁:
1.可能导致全国范围大量互联网用户无法正常上网;
2.可能导致.CN 国家顶级域名系统解析效率大幅下降;
3.可能造成1亿以上互联网用户信息泄露;
4.单个木马和僵尸网络规模可能超过100万个 IP 地址;
5.单个移动互联网恶意程序可能造成用户通信费用损失累计超过1000万元人民币;
6.单个移动互联网恶意程序24小时内受感染用户规模可能超过10万个手机号码;
7.可能导致重要信息系统出现故障,受影响用户100万人以上,造成特别重大社会影响;
8.网络病毒可能在全国范围大面积爆发;
9.其他可能造成特别重大危害或影响的网络安全事件。
(二)符合下列情形之一的,为重大网络安全威胁:
1.可能导致多个省大量互联网用户无法正常上网;
2.可能导致在全国范围有影响力的网站或平台访问出现严重异常;
3.可能导致大型域名解析系统访问出现严重异常;
4.可能造成1000万以上互联网用户信息泄露;
5.同一时期存在一个或多个木马和僵尸网络,总规模可能超过50万个IP地址;
6.单个移动互联网恶意程序可能造成用户通信费用损失累计超过500万元人民币;
7.单个移动互联网恶意程序24小时内受感染用户规模可能超过5万个手机号码;
8.网络病毒可能在多个省范围内大面积爆发;
9.其他可能造成重大危害或影响的网络安全事件。
(三)符合下列情形之一的,为较大网络安全威胁:
1.可能导致1个省内大量互联网用户无法正常上网;
2.可能导致在省内有影响力的网站或平台访问出现严重异常;
3.可能造成100万以上互联网用户信息泄露;
4.同一时期存在一个或多个木马和僵尸网络,总规模可能超过10万个IP地址;
5.单个移动互联网恶意程序可能造成用户通信费用损失累计超过100万元人民币;
6.单个移动互联网恶意程序24小时内受感染用户规模可能超过1万个手机号码;
7.网络病毒可能在1个省范围内大面积爆发;
8.其他可能造成较大危害或影响的网络安全事件。
(四)符合下列情形之一的,为一般网络安全威胁:
1.可能导致1个地市大量互联网用户无法正常上网;
2.可能造成10万以上互联网用户信息泄露;
3.其他可能造成一般危害或影响的网络安全事件。
(五)除上述情形之外,其他造成或可能造成危害或影响的网络安全事件,为普通网络安全威胁。
第十一条 互联网运营服务单位监测发现网络安全威胁后,应立即组织初步研判评估,根据掌握情况和威胁分级认定标准初步进行分类、定级,留存有关记录,填写《山西省公共互联网网络安全威胁信息报送表》(附件2),联同印证材料一并报送省通信管理局。
基础电信企业由省公司负责汇总、核实、报送公司本部及下属分支机构的信息。
第十二条 网络安全威胁信息报送时限要求:
特别重大、重大威胁信息,信息报送单位应于2小时内报告;
较大威胁信息,信息报送单位应于4小时内报告;
一般威胁信息,信息报送单位应于24小时内报告;
普通威胁信息,信息报送单位应于2个工作日内报告。
第十三条 网络安全威胁信息不得迟报、谎报、漏报或者隐瞒不报,不得违反规定擅自扩散、发布。
信息报送单位在信息报送期间及报送后,应当持续加强所报送网络安全威胁的监测,出现新情况、新变化的,应当及时按程序补报。
因迟报、谎报、漏报或者隐瞒不报,造成一般级以上网络安全事件或者重大影响的,省通信管理局依法追究相关单位、人员的责任。
第三章 网络安全威胁处置
第十四条 省通信管理局在接到工业和信息化部下发或有关单位报送的网络安全威胁信息后,立即组织对信息进行跟踪、分析,必要时向涉事单位、有关单位发送信息协查指令,或委托技术支撑单位、相关机构开展信息监测,进一步收集、完善信息。
第十五条 省通信管理局委托参与工业和信息化部威胁认定工作的专业机构,对相关单位提交的或本局收集分析的网络安全威胁信息进行认定,并提出处置建议。
认定工作应当坚持科学严谨、公平公正、及时高效的原则。普通网络安全威胁信息需在24小时内反馈认定结果,一般网络安全威胁信息需在12小时内反馈认定结果,较大及以上网络安全威胁信息需在1小时内反馈认定结果。
第十六条 省通信管理局对相关专业机构、专家组的认定和处置意见进行审查后,可以对网络安全威胁采取以下一项或多项处置措施:
(一)通知省内基础电信运营企业、互联网企业、域名注册管理和服务机构等,由其对恶意IP地址(或宽带接入账号)、恶意域名、恶意URL、恶意电子邮件账号或恶意手机号码等,采取停止服务或屏蔽等措施。
(二)通知省内网络服务提供者,由其清除本单位网络、系统或网站中存在的可能传播扩散的恶意程序。
(三)通知存在漏洞、后门或已经被非法入侵、控制、篡改的网络服务和产品的提供者,由其采取整改措施,消除安全隐患;对涉及党政机关和关键信息基础设施的,同时通报其上级主管单位和网信部门。
(四)其他可以消除、制止或控制网络安全威胁的技术措施。
第十七条 对有关单位报送时已明确说明,或者相关专业机构、专家组认定和处置意见中明确指出,所报送的网络安全威胁已经造成一般及以上网络安全威胁信息认定标准所描述的公共互联网网络安全突发事件的,省通信管理局按照《山西省公共互联网网络安全突发事件应急预案》,立即启动应急响应,开展应急处置。
第十八条 互联网运营服务单位监测发现网络安全威胁后,在按照规定报送威胁信息的同时,属于本单位自身问题的,应当立即进行处置,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并留存有关记录。
第十九条 对经认定存在网络安全威胁的单位,省通信管理局向其下达《网络安全威胁处置通知书》(模板见附件3)。
对本单位监测发现的,本单位自身网络系统存在普通级网络安全威胁,已采取了有效处置措施或处置完毕,省通信管理局视情况决定是否下达处置通知书。
处置通知书通过书面或可验证来源的电子方式等形式送达,紧急情况下,可先电话通知,后补书面通知。
第二十条 存在网络安全威胁的单位在接到省通信管理局《网络安全威胁处置通知书》或者电话通知后,应当立即进行处置,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,按照通知时限处置完毕,并留存有关记录。
第二十一条 网络安全威胁处置完毕后,事发单位填写《山西省公共互联网网络安全威胁处置反馈表》(附件4),向省通信管理局反馈处置结果。普通网络安全威胁,应于处置完毕后5个工作日内反馈;一般及以上网络安全威胁,处置情况应每4小时反馈一次,直至处置完毕。
第二十二条 网络安全威胁处置完毕后,事发单位可自行委托相关专业机构对相关处置情况进行验证,验证结果报送省通信管理局。
省通信管理局视情况委托专业机构对公共互联网网络安全威胁处置情况进行验证,并决定是否采取进一步措施。
第二十三条 事发单位报送的验证报告中若有遗留问题,事发单位应书面说明遗留问题情况及未处理原因,必要时省通信管理局组织事发单位、相关专业机构、专家组对遗留问题进行研讨研判。经研讨后,按以下流程继续处置:
(一)若遗留问题认定为普通网络安全威胁,事发单位可延期5个工作日处置,处置完毕后由相关专业机构进行验证,验证后5个工作日内报送处置情况和最终验证结果;
(二)若遗留问题为一般及以上网络安全威胁,事发单位应立即按规定程序重新开展威胁处置、委托验证、结果报告。
第二十四条 相关组织或个人对按照本办法第十六条
(一)款采取的处置措施不服的,有权在10个工作日内向省通信管理局进行申诉。省通信管理局接到申诉后及时组织核查,并在10个工作日内予以答复。
第二十五条 互联网运营服务单位未按照省通信管理局通知要求采取网络安全威胁处置措施的,省通信管理局依据《中华人民共和国网络安全法》第五十六条、第五十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等行政处罚。
第四章 信息通报
第二十六条 建立公共互联网网络安全威胁监测与处置定期报告制度。互联网运营服务单位定期填写《网络安全威胁监测与处置统计表》(附件5),向省通信管理局报告监测处置信息。每月前5个工作日内报送上月监测处置情况,每年6月30日前报送上半年监测处置情况,每年12月31日前报送全年监测处置情况。
省通信管理局每季度末对企业报送情况进行抽检,视情况委托专业机构对处置情况进行验证。
第二十七条 建立公共互联网网络安全信息通报制度。信息通报由省通信管理局统一编制并发布,分为综合信息通报和预警信息通报。
综合信息通报由省通信管理局依据监测发现和收集到的网络安全威胁监测与处置信息等汇总分析形成本省网络安全态势报告,按月、半年、年度向全省及相关行业单位发布。
预警信息通报由省通信管理局依据国家级专业机构认定发出的、对互联网网络、产品、服务具有普遍性影响或风险隐患的网络安全威胁,编制并向全省或相关行业单位发布预警信息,提示进行隐患整改。
第二十八条 综合信息通报采取编制《山西省公共互联网网络安全通报》(格式见附件6)形式发布,主要内容包括:
(一)本省网络安全基本态势;
(二)本省网络安全重点工作和事件;
(三)本省网络安全行业管理;
(四)本省网络安全数据导读;
(五)重要网络安全提示或要闻摘录等。
第五章 附则
第二十九条 互联网运营服务单位可参照本办法制定本单位网络安全威胁监测与处置实施制度。
第三十条 本办法自2020年7月1日起实施。2009年3月13日印发的《木马和僵尸网络监测与处置机制》、2011年12月9日印发的《移动互联网恶意程序监测与处置机制》和2014年6月25日印发的《山西省互联网网络安全信息通报实施细则》同时废止。
附件:
