導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全檢測報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【 關(guān)鍵詞 】 物聯(lián)網(wǎng)；信息安全；檢測體系

1 引言

隨著國家信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本完成，信息化應(yīng)用全面展開，物聯(lián)網(wǎng)廣泛應(yīng)用于公共事業(yè)/服務(wù)、交通運輸、個人用戶、批發(fā)零售、工業(yè)、制造業(yè)、商業(yè)、服務(wù)業(yè)、農(nóng)業(yè)、建筑業(yè)、金融業(yè)等。目前來看，物聯(lián)網(wǎng)雖然給人們帶來便利，但物聯(lián)網(wǎng)在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設(shè)備信號受到惡意干擾，很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關(guān)安全技術(shù)的防范，對物聯(lián)網(wǎng)的授權(quán)管理進行惡意操作，掌控他人的物品，就會造成對用戶隱私權(quán)的侵犯。如果爆炸物、槍支等危險物品被其它人掌控，后果會十分嚴重。因此，物聯(lián)網(wǎng)安全問題如果得不到有效解決，將嚴重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。由于物聯(lián)網(wǎng)感知節(jié)點和傳輸設(shè)備具有能量低、計算能力差、運行環(huán)境惡劣、通信協(xié)議龐雜等特點，使得傳統(tǒng)安全技術(shù)無法直接應(yīng)用于物聯(lián)網(wǎng)，由此引發(fā)物聯(lián)網(wǎng)特有的安全問題，而物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測和評價手段。

我國政策環(huán)境較好，物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略，初步明確了未來發(fā)展方向和重點領(lǐng)域。國家高度重視物聯(lián)網(wǎng)安全建設(shè)。2013年初，國務(wù)院了《關(guān)于推進物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》（國發(fā)[2013]7號）中明確提出以工業(yè)和信息化部、發(fā)展改革委、公安部牽頭承擔物聯(lián)網(wǎng)安全保障專項行動計劃：提高物聯(lián)網(wǎng)信息安全管理與數(shù)據(jù)保護水平，建立健全監(jiān)督、檢查和安全評估機制。加強物聯(lián)網(wǎng)重要應(yīng)用和系統(tǒng)的安全測評、風險評估和安全防護工作。加快物聯(lián)網(wǎng)相關(guān)標準、檢測、認證等公共服務(wù)建設(shè)，完善支撐服務(wù)體系，有效保障物聯(lián)網(wǎng)信息采集、傳輸、處理、應(yīng)用等各環(huán)節(jié)的安全可控。

2 物聯(lián)網(wǎng)一體化安全檢測體系

各類物聯(lián)網(wǎng)示范工程進行大規(guī)模應(yīng)用之前，應(yīng)充分考慮和評測其安全性，從源頭保證物聯(lián)網(wǎng)安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護評估。在建設(shè)實施階段，將所有的安全功能模塊（產(chǎn)品）集成為一個完整的系統(tǒng)后，需要檢查集成出的系統(tǒng)是否符合要求，測試并評估安全措施在整個系統(tǒng)中實施的有效性，跟蹤安全保障機制并發(fā)現(xiàn)漏洞，完成系統(tǒng)的運行程序和全生命期安的安全風險評估報告。在運行維護階段，要定期進行安全性檢測和風險評估以保證系統(tǒng)的安全水平在運行期間不會下降，包括檢查產(chǎn)品的升級和系統(tǒng)打補丁情況，檢測系統(tǒng)的安全性能，檢測新安全攻擊、新威脅以及其它與安全風險有關(guān)的因素，評估系統(tǒng)改動對安全系統(tǒng)造成的影響。

物聯(lián)網(wǎng)關(guān)鍵安全問題：一是感知設(shè)備安全；二是物聯(lián)網(wǎng)系統(tǒng)安全和風險評估，重點是接入問題；三是業(yè)務(wù)應(yīng)用安全。目前，各行業(yè)均提出了相應(yīng)的安全防護體系，如智能電網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。本文依據(jù)相關(guān)的安全防護體系提出物聯(lián)網(wǎng)一體化安全檢測體系，即“一中心、兩庫、五平臺”，如圖1所示。即開放式場景檢測支撐平臺、感知設(shè)備安全檢測服務(wù)平臺、物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺、物聯(lián)網(wǎng)系統(tǒng)風險評估服務(wù)平臺、物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺、物聯(lián)網(wǎng)安全檢測標準及指標庫、物聯(lián)網(wǎng)信息安全漏洞與補丁庫以及一體化安全檢測管理中心。在此基礎(chǔ)上，結(jié)合物聯(lián)網(wǎng)具體業(yè)務(wù)需求，進行物聯(lián)網(wǎng)安全檢測方法、規(guī)范、指標體系、專業(yè)化檢測技術(shù)研究與積累。同時，形成一支服務(wù)于物聯(lián)網(wǎng)安全檢測的多層次、復(fù)合型、專業(yè)化人才隊伍，全面保障物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運行。

3 “五平臺”

“五平臺”提供檢測、檢查和評估三類專業(yè)化服務(wù)，其中物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺可作為獨立平臺對外提供檢查服務(wù)；開放式場景檢測支撐平臺為感知設(shè)備安全檢測服務(wù)平臺與物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺提供安全符合性檢測環(huán)境，此三個平臺提供技術(shù)檢測服務(wù)；物聯(lián)網(wǎng)系統(tǒng)風險評估服務(wù)平臺在前述四個平臺基礎(chǔ)上，關(guān)聯(lián)外在威脅，分析自身脆弱性，提供風險評估服務(wù)?！拔迤脚_”結(jié)構(gòu)關(guān)系如圖2所示，“五平臺”既可獨立提供檢測服務(wù)，也可互為補充，為用戶提供定制化的檢測服務(wù)，形成開放式檢測服務(wù)體系架構(gòu)。

3.1 開放式場景檢測支撐平臺

開放式場景檢測支撐平臺實現(xiàn)物聯(lián)網(wǎng)感知設(shè)備、接入系統(tǒng)、業(yè)務(wù)應(yīng)用三層檢測環(huán)境，如圖3所示。通過多部件的靈活組建，實現(xiàn)其感、傳、知、用的安全功能檢測，靈活支持用戶個性化的檢測需求。

3.2 感知設(shè)備安全檢測服務(wù)平臺

感知設(shè)備安全檢測服務(wù)平臺實現(xiàn)一個通用的感知設(shè)備安全檢測系統(tǒng)，由開放式場景檢測支撐平臺為被測設(shè)備提供運行檢測環(huán)境，其從感知操作安全、感知數(shù)據(jù)處理安全、感知數(shù)據(jù)存儲安全和感知節(jié)點設(shè)備安全、感知節(jié)點通信安全等五方面檢測安全功能和性能，其檢測框架如圖4所示。

3.3 物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺

物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺以系統(tǒng)、整體的視角對智能感知層訪問控制、身份認證等策略配置進行符合性測試；對接入傳輸層的AKA機制的一致性或兼容性、跨域認證和跨網(wǎng)絡(luò)認證等進行檢測；對業(yè)務(wù)應(yīng)用層數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)和網(wǎng)站安全、應(yīng)用系統(tǒng)穩(wěn)定性、業(yè)務(wù)連續(xù)性等進行符合性和有效性檢測。檢測框架如圖5所示。

3.4 物聯(lián)網(wǎng)系統(tǒng)風險評估服務(wù)平臺

物聯(lián)網(wǎng)系統(tǒng)風險評估服務(wù)平臺對可能遭受到的威脅和自身脆弱性進行安全分析，然后根據(jù)安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級，最后結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對物聯(lián)網(wǎng)系統(tǒng)造成的影響。風險評估框架如圖6所示。

3.5 集成化安全管理檢查服務(wù)平臺

集成化安全管理檢查服務(wù)基于物聯(lián)網(wǎng)多類型終端、多網(wǎng)融合、海量數(shù)據(jù)處理和全面感知等特點。從防范阻止、檢測發(fā)現(xiàn)、應(yīng)急處置、審計追查和集中管控五個方面，對物聯(lián)網(wǎng)系統(tǒng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層的安全管理情況進行檢查，其安全管理檢查框架如圖7所示。

4 “兩庫”

4.1 標準及指標庫

基礎(chǔ)庫“標準及指標庫”通過構(gòu)建物聯(lián)網(wǎng)安全檢測標準子庫與指標子庫為“五平臺”提供支撐。標準子庫建設(shè)來源：一是從物聯(lián)網(wǎng)國際標準組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標準，研究制訂適合國情的物聯(lián)網(wǎng)標準；二是從國內(nèi)標準組織：WGSN、CCSA和RFID標準工作組獲取最新標準；三是隨著業(yè)務(wù)開展，編制了物聯(lián)網(wǎng)安全標準。物聯(lián)網(wǎng)一體化安全檢測標準體系框架，按照標準服務(wù)性質(zhì)的區(qū)分，分為物聯(lián)網(wǎng)產(chǎn)品安全檢測標準、物聯(lián)網(wǎng)系統(tǒng)安全檢測標準、物聯(lián)網(wǎng)風險評估標準以及集成化安全管理檢查標準。其框架如圖8所示。

指標庫為各種類型的被測設(shè)備和系統(tǒng)提供相應(yīng)的檢測指標項目，同時支持用戶自定義新的檢測指標。指標庫依據(jù)各服務(wù)平臺檢測內(nèi)容劃分四類，即物聯(lián)網(wǎng)產(chǎn)品檢測指標、物聯(lián)網(wǎng)系統(tǒng)安全檢測指標、物聯(lián)網(wǎng)風險評估指標以及集成化管理檢查指標。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標。

4.2 漏洞與補丁庫

漏洞與補丁庫采用云存儲方式，包括海量數(shù)據(jù)融合漏洞，TinyOS操作系統(tǒng)漏洞，異構(gòu)網(wǎng)絡(luò)認證協(xié)議漏洞，感知信息傳輸協(xié)議漏洞等。 漏洞與補丁庫一方面為產(chǎn)品、系統(tǒng)檢測，風險評估、安全檢查提供支撐服務(wù)，另一方面對外提供咨詢服務(wù)，網(wǎng)上漏洞信息，定制客戶漏洞處理方案，提供漏洞補丁和專用殺毒工具下載等。

5 “一中心”

一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯(lián)互通和信息共享，實現(xiàn)檢測項目統(tǒng)一管理，檢測數(shù)據(jù)統(tǒng)一匯總，檢測結(jié)果統(tǒng)一判定，形成感知設(shè)備檢測報告、物聯(lián)網(wǎng)系統(tǒng)檢測報告、物聯(lián)網(wǎng)系統(tǒng)風險評估報告以及集成化安全管理檢查報告等。

一體化安全檢測管理中心由項目管理、場景管理、感知設(shè)備檢測、系統(tǒng)檢測、風險評估、集成化安全管理檢查、工具集、基礎(chǔ)庫管理八個核心模塊組成，整個平臺由項目庫、標準及指標庫、方法庫、漏洞與補丁庫四個數(shù)據(jù)庫支撐，管理中心框架設(shè)計如圖9所示。

6 技術(shù)特點

（1）提供開放式檢測環(huán)境

物聯(lián)網(wǎng)應(yīng)用的廣泛性和復(fù)雜性，僅依賴單一場景無法滿足客戶的多層次需求，通過開放式檢測環(huán)境，可實現(xiàn)感知設(shè)備、接入方式、業(yè)務(wù)應(yīng)用的檢測環(huán)境，使得檢測手段更豐富、更精準。

（2）提供多類型、多元化的檢測

一體化安全檢測體系通過感知設(shè)備檢測、系統(tǒng)檢測、風險評估、管理檢查的一體化檢測服務(wù)，提品檢測和系統(tǒng)檢測、實驗室檢測和現(xiàn)場檢測服務(wù)，滿足物聯(lián)網(wǎng)復(fù)雜多變的檢測需求，使得安全檢測更全面性，幫助客戶準確評估物聯(lián)網(wǎng)安全性。

（3）提供技術(shù)與管理全方位檢測

物聯(lián)網(wǎng)安全包含技術(shù)與管理兩方面，技術(shù)與管理并重，本體系通過“五平臺”實現(xiàn)產(chǎn)品、系統(tǒng)技術(shù)類檢測/風險評估與安全管理檢查，全方位、整體評估物聯(lián)網(wǎng)安全性。

（4）提供技術(shù)符合性和關(guān)聯(lián)外在風險評估相支撐的檢測

物聯(lián)網(wǎng)安全問題是動態(tài)發(fā)展的，在安全技術(shù)符合性檢測的基礎(chǔ)上，提供適用于動態(tài)評估物聯(lián)網(wǎng)工程的風險評估服務(wù)。風險評估旨在通過關(guān)聯(lián)外在風險，結(jié)合自身脆弱性評估系統(tǒng)和工程的安全性，與技術(shù)符合性檢測相支撐。

（5）提供一體化服務(wù)模式

提供一個靈活、規(guī)范的信息組織管理平臺和全網(wǎng)范圍的網(wǎng)絡(luò)協(xié)作環(huán)境，實現(xiàn)集成的信息采集、內(nèi)容管理、信息搜索，能夠直接組織各類共享信息和內(nèi)部業(yè)務(wù)基礎(chǔ)信息，實現(xiàn)信息整合應(yīng)用，同時也提供管理中心支撐下的統(tǒng)一項目管理、統(tǒng)一數(shù)據(jù)匯總、統(tǒng)一結(jié)果判定的一體化服務(wù)系統(tǒng)。

7 結(jié)束語

目前，我國政策環(huán)境好，物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略，初步明確了未來發(fā)展方向和重點領(lǐng)域，但產(chǎn)業(yè)和行業(yè)標準正在建立，是機遇也是挑戰(zhàn)。經(jīng)濟環(huán)境上，中國企業(yè)正在隨著國家的快速發(fā)展，持續(xù)提升競爭力和國際影響力，對物聯(lián)網(wǎng)安全性的需求逐步增強，企業(yè)對物聯(lián)網(wǎng)安全問題的認知提高，經(jīng)濟支付能力也在增強。通過對各行業(yè)物聯(lián)網(wǎng)建設(shè)方面的調(diào)查發(fā)現(xiàn)，當前已有的物聯(lián)網(wǎng)應(yīng)用對其安全性的檢測和技術(shù)支持需求十分迫切，物聯(lián)網(wǎng)安全檢測產(chǎn)業(yè)市場前景樂觀。

上述“一中心、二庫、五平臺”形成專業(yè)的平臺，加上精專的人才、全面的服務(wù)內(nèi)容和敏捷的反應(yīng)，構(gòu)建物聯(lián)網(wǎng)一體化安全檢測專業(yè)化服務(wù)體系架構(gòu)。從而提升價值、方便客戶、節(jié)約成本、提高效率，滿足物聯(lián)網(wǎng)安全檢測集成化、規(guī)?；男枨蟆?/p>

參考文獻

[1] T Grobler， Prof B Louwrens. New Information Security Architecture[J]. 2005， University of Johannesburg.

[2] 范紅， 邵華等. 物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國計算機安全學術(shù)交流會，2011（09），5-8.

[3] 譚建平， 柔衛(wèi)國等. 基于物聯(lián)網(wǎng)的一體化安全防范技術(shù)體系研究[J].湖南理工學院學報， 2011，第24卷 第4期 46-51.

[4] Jackie Rees， Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM， Volume 46 Issue7， 2003， P101-106.

[5] 郎為民，楊德鵬，李虎生.智能電網(wǎng)WCSN安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全，2012，（04）：19-22.

[6] 余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護體系研究[J].信息網(wǎng)絡(luò)安全，2012，（05）：74-77.

基金項目：

國家863高技術(shù)研究發(fā)展計劃資助項目（2009AA01Z437）和國家863高技術(shù)研究發(fā)展計劃資助項目（2009AA01Z439）。

篇2

第一條為加強對計算機信息系統(tǒng)的安全保護,維護公共秩序和社會穩(wěn)定,促進信息化的健康發(fā)展,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等規(guī)定,結(jié)合本市實際,制定本辦法。

第二條本辦法所稱的計算機信息系統(tǒng),是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含有線、無線等網(wǎng)絡(luò),下同)構(gòu)成的,按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng),包括互聯(lián)網(wǎng)、局域網(wǎng)、移動網(wǎng)等。

第三條*市行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)的安全保護管理,適用本辦法。

第四條*市公安局主管全市計算機信息系統(tǒng)安全保護管理工作。

*市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局具體負責市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)計算機信息系統(tǒng)安全保護管理工作。

各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負責本行政區(qū)域范圍內(nèi)計算機信息系統(tǒng)安全保護管理工作。

國家安全機關(guān)、保密機關(guān)、信息化行政主管部門及政府其他有關(guān)職能部門,在各自職責范圍內(nèi)負責計算機信息系統(tǒng)安全保護管理的有關(guān)工作。

第五條公安機關(guān)、國家安全機關(guān)、保密機關(guān)、信息化行政主管部門及政府其他有關(guān)職能部門,應(yīng)當建立協(xié)調(diào)合作管理機制,共同做好計算機信息系統(tǒng)安全保護管理工作。

第六條公安機關(guān)、國家安全機關(guān)、保密機關(guān)、信息化行政主管部門及政府其他有關(guān)職能部門在履行管理職責過程中,應(yīng)當保護計算機信息系統(tǒng)使用單位和個人的合法權(quán)益,保守其秘密。

計算機信息系統(tǒng)使用單位和個人應(yīng)當協(xié)助公安機關(guān)等有關(guān)職能部門做好計算機信息系統(tǒng)的安全保護管理工作。在公安機關(guān)等有關(guān)職能部門依法履行管理職責時,使用單位和個人應(yīng)當如實提供本單位計算機信息系統(tǒng)的技術(shù)資料。

第七條計算機信息系統(tǒng)的安全保護工作,重點維護下列涉及國家事務(wù)、公共利益、經(jīng)濟建設(shè)、尖端科學技術(shù)等重要領(lǐng)域和單位(以下簡稱重點安全保護單位)的計算機信息系統(tǒng)的安全:

(一)各級國家機關(guān);

(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業(yè)單位;

(三)重點科研、教育單位;

(四)有關(guān)國計民生的企業(yè);

(五)從事國際聯(lián)網(wǎng)的互聯(lián)單位、接入單位及重點政務(wù)、商務(wù)、新聞網(wǎng)站;

(六)向公眾提供上網(wǎng)服務(wù)的單位;

(七)互聯(lián)網(wǎng)絡(luò)游戲、手機短信轉(zhuǎn)發(fā)、各類聊天室等互動欄目的開發(fā)、運營和維護單位;

(八)其他對社會公共利益有重大影響的計算機信息系統(tǒng)使用單位。

第二章計算機信息系統(tǒng)使用單位的安全管理

第八條計算機信息系統(tǒng)使用單位應(yīng)當建立人員管理、機房管理、設(shè)備設(shè)施管理、數(shù)據(jù)管理、磁介質(zhì)管理、輸入輸出控制管理和安全監(jiān)督等制度,健全計算機信息系統(tǒng)安全保障體系,保障本單位計算機信息系統(tǒng)安全。

第九條計算機信息系統(tǒng)使用單位應(yīng)當確定本單位的計算機信息系統(tǒng)安全管理責任人。安全管理責任人應(yīng)履行下列職責:

(一)組織宣傳計算機信息系統(tǒng)安全保護管理方面的法律、法規(guī)、規(guī)章和有關(guān)政策;

(二)組織實施本單位計算機信息系統(tǒng)安全保護管理制度和安全保護技術(shù)措施;

(三)組織本單位計算機從業(yè)人員的安全教育和培訓;

(四)定期組織檢查計算機信息系統(tǒng)的安全運行情況,及時排除安全隱患。

第十條計算機信息系統(tǒng)使用單位應(yīng)當配備本單位的計算機信息系統(tǒng)安全技術(shù)人員。安全技術(shù)人員應(yīng)履行下列職責:

(一)嚴格執(zhí)行本單位計算機信息系統(tǒng)安全保護技術(shù)措施;

(二)對計算機信息系統(tǒng)安全運行情況進行檢查測試,及時排除安全隱患;

(三)計算機信息系統(tǒng)發(fā)生安全事故或違法犯罪案件時,應(yīng)立即向本單位報告,并采取妥善措施保護現(xiàn)場,避免危害的擴大;

(四)負責收集本單位的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖及信息系統(tǒng)的其他相關(guān)技術(shù)資料。

第十一條重點安全保護單位應(yīng)當建立并執(zhí)行以下安全保護管理制度:

(一)計算機機房安全管理制度;

(二)安全管理責任人、安全技術(shù)人員的安全責任制度;

(三)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度;

(四)操作權(quán)限管理制度;

(五)用戶登記制度;

(六)信息審查、登記、保存、清除和備份制度;

(七)信息保密制度;

(八)信息系統(tǒng)安全應(yīng)急處置制度;

(九)其他相關(guān)安全保護管理制度。

第十二條重點安全保護單位應(yīng)當落實以下安全保護技術(shù)措施:

(一)系統(tǒng)重要部分的冗余措施;

(二)重要信息的異地備份措施和保密措施;

(三)計算機病毒和有害數(shù)據(jù)防治措施;

(四)網(wǎng)絡(luò)攻擊防范和追蹤措施;

(五)安全審計和預(yù)警措施;

(六)信息群發(fā)限制措施;

(七)其他相關(guān)安全保護技術(shù)措施。

第十三條重點安全保護單位的安全管理責任人和安全技術(shù)人員,應(yīng)當經(jīng)過計算機信息系統(tǒng)安全知識培訓。

第十四條重點安全保護單位應(yīng)當對其主服務(wù)器輸入輸出數(shù)據(jù)進行24小時監(jiān)控,發(fā)現(xiàn)異常數(shù)據(jù)應(yīng)注意保護現(xiàn)場,并同時報告公安機關(guān)等有關(guān)職能部門。

第十五條使用和銷售計算機信息系統(tǒng)安全專用產(chǎn)品,必須是依法取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的產(chǎn)品。

進入本市銷售計算機信息系統(tǒng)安全專用產(chǎn)品的銷售單位,其銷售產(chǎn)品目錄應(yīng)報市公安局備案。

市公安局應(yīng)定期通告,公布合格的計算機信息系統(tǒng)安全專用產(chǎn)品目錄。

保密技術(shù)專用產(chǎn)品的管理,按照國家和省、市的有關(guān)規(guī)定執(zhí)行。

第十六條計算機信息系統(tǒng)使用單位發(fā)現(xiàn)計算機信息系統(tǒng)中發(fā)生安全事故和違法犯罪案件時,應(yīng)在24小時內(nèi)向當?shù)毓矙C關(guān)報告,并做好運行日志等原始記錄的現(xiàn)場保留工作。涉及重大安全事故和違法犯罪案件的,未經(jīng)公安機關(guān)查勘或同意,使用單位不得擅自恢復(fù)、刪除現(xiàn)場。涉及其他管理部門法定職權(quán)的,公安機關(guān)應(yīng)當在接到報告后及時通知有關(guān)部門。

第十七條計算機信息系統(tǒng)發(fā)生突發(fā)性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關(guān)等有關(guān)職能部門應(yīng)當及時通知計算機信息系統(tǒng)使用單位采取安全保護措施,并有權(quán)對使用單位采取暫停聯(lián)網(wǎng)、停機檢查、備份數(shù)據(jù)等應(yīng)急措施,計算機信息系統(tǒng)使用單位應(yīng)當予以配合。

突發(fā)性事件或安全隱患消除之后,公安機關(guān)等有關(guān)職能部門應(yīng)立即解除暫停聯(lián)網(wǎng)或停機檢查措施,恢復(fù)計算機信息系統(tǒng)的正常工作。

第三章計算機信息系統(tǒng)安全檢測

第十八條重點安全保護單位的計算機信息系統(tǒng)進行新建、改建、擴建的,其安全保護設(shè)計方案應(yīng)報公安機關(guān)備案。

系統(tǒng)建成后,重點安全保護單位應(yīng)進行1至6個月的試運行,并委托符合條件的檢測機構(gòu)對其系統(tǒng)進行安全保障體系檢測,檢測合格的,系統(tǒng)方能投入正式運行。重點安全保護單位應(yīng)將檢測合格報告書報公安機關(guān)備案。

計算機信息系統(tǒng)的建設(shè)、檢測等按照國家和省、市的有關(guān)規(guī)定執(zhí)行。

第十九條計算機信息系統(tǒng)安全保障體系檢測包括以下內(nèi)容:

(一)安全保護管理制度和安全保護技術(shù)措施的制定和執(zhí)行情況;

(二)計算機硬件性能和機房環(huán)境;

(三)計算機系統(tǒng)軟件和應(yīng)用軟件的可靠性;

(四)技術(shù)測試情況和其他相關(guān)情況。

市公安局應(yīng)當根據(jù)計算機信息系統(tǒng)安全保護的行業(yè)特點,會同有關(guān)部門制定并公布重點行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范。

第二十條重點安全保護單位對計算機信息系統(tǒng)進行設(shè)備更新或改造時,對安全保障體系產(chǎn)生直接影響的,應(yīng)當委托符合條件的檢測機構(gòu)對受影響的部分進行檢測,確保其符合該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范。

第二十一條重點安全保護單位應(yīng)加強對計算機信息系統(tǒng)的安全保護,定期委托符合條件的檢測機構(gòu)對計算機信息系統(tǒng)進行安全保障體系檢測,并將檢測合格報告書報公安機關(guān)備案。對檢測不合格的,重點安全保護單位應(yīng)當按照該行業(yè)計算機信息系統(tǒng)安全保障體系的安全要求規(guī)范進行整改,整改后達到要求的,系統(tǒng)方能繼續(xù)運行。

第二十二條公安機關(guān)應(yīng)當會同有關(guān)部門,按照國家有關(guān)規(guī)定和相關(guān)行業(yè)安全要求規(guī)范,對重點安全保護單位的計算機信息系統(tǒng)安全保障體系進行檢查。檢查內(nèi)容包括:

(一)安全保護管理制度和安全保護技術(shù)措施的落實情況;

(二)計算機信息系統(tǒng)實體的安全;

(三)計算機網(wǎng)絡(luò)通訊和數(shù)據(jù)傳輸?shù)陌踩?

(四)計算機軟件和數(shù)據(jù)庫的安全;

(五)計算機信息系統(tǒng)安全審計狀況和安全事故應(yīng)急措施的執(zhí)行情況;

(六)其他計算機信息系統(tǒng)的安全情況。

第二十三條公安機關(guān)等有關(guān)職能部門發(fā)現(xiàn)重點安全保護單位的計算機信息系統(tǒng)存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構(gòu)對其安全保障體系進行檢測。經(jīng)檢測發(fā)現(xiàn)存在安全問題的,重點安全保護單位應(yīng)當立即予以整改。

第二十四條檢測機構(gòu)進行計算機信息系統(tǒng)安全檢測時,應(yīng)保障被檢測單位各種活動的正常進行,并不得泄露其秘密。

檢測機構(gòu)應(yīng)當嚴格按照國家有關(guān)規(guī)定和相關(guān)規(guī)范進行檢測,并對其出具的檢測報告承擔法律責任。

第四章計算機信息網(wǎng)絡(luò)公共秩序管理

第二十五條互聯(lián)網(wǎng)絡(luò)接入單位以及申請從事互聯(lián)網(wǎng)信息服務(wù)的單位和個人,除應(yīng)當按照國家有關(guān)規(guī)定辦理相關(guān)手續(xù)外,還應(yīng)當自網(wǎng)絡(luò)正式聯(lián)通之日起30日內(nèi)到公安機關(guān)辦理安全備案手續(xù)。

第二十六條用戶在接入單位辦理入網(wǎng)手續(xù)時,應(yīng)當填寫用戶備案表。接入單位應(yīng)當定期將接入本網(wǎng)絡(luò)的用戶情況報當?shù)毓矙C關(guān)備案。

第二十七條設(shè)立互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所,應(yīng)當按照《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》的規(guī)定向公安機關(guān)申請信息網(wǎng)絡(luò)安全審核。經(jīng)公安機關(guān)審核合格,發(fā)給互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所信息網(wǎng)絡(luò)安全許可證明后,再向文化、工商部門辦理有關(guān)審批手續(xù)。

互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位變更營業(yè)場所地址或者對營業(yè)場所進行改建、擴建,變更計算機數(shù)量或者其他重要事項的,應(yīng)當經(jīng)原審核機關(guān)同意。

互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網(wǎng)絡(luò)地址或者終止經(jīng)營活動的,應(yīng)當依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門、公安機關(guān)辦理相關(guān)手續(xù)。

第二十八條互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位必須使用固定的IP地址聯(lián)網(wǎng),并按規(guī)定落實安全保護技術(shù)措施。

互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所經(jīng)營單位應(yīng)按規(guī)定對上網(wǎng)人員進行電子實名登記,登記內(nèi)容包括姓名、身份證號碼、上網(wǎng)起止時間,并應(yīng)記錄上網(wǎng)信息。登記內(nèi)容和記錄備份保存時間不得少于60日,在保存期內(nèi)不得修改或者刪除。

第二十九條任何單位和個人不得從事下列危害計算機信息網(wǎng)絡(luò)安全的活動:

(一)未經(jīng)授權(quán)查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經(jīng)允許向第三方公開他人電子郵箱地址;

(二)故意向他人發(fā)送垃圾郵件,或者冒用他人名義發(fā)送電子郵件;(三)利用計算機信息網(wǎng)絡(luò)傳播有害手機短信;

(四)侵犯他人隱私、竊取他人帳號、進行網(wǎng)上詐騙活動;

(五)未經(jīng)計算機信息網(wǎng)絡(luò)所有者同意,掃描他人信息網(wǎng)絡(luò)漏洞;

(六)利用計算機信息網(wǎng)絡(luò)鼓動公眾惡意評論他人或公開他人隱私,或者暗示、影射對他人進行人身攻擊;

(七)其他危害計算機信息網(wǎng)絡(luò)安全的行為。

第三十條從事信息網(wǎng)絡(luò)經(jīng)營、服務(wù)的單位和個人應(yīng)當遵守下列規(guī)定:

(一)制訂安全保護管理制度,對本網(wǎng)絡(luò)用戶進行安全教育;

(二)落實安全保護技術(shù)措施,保障本網(wǎng)絡(luò)的運行安全和其的信息安全;

(三)建立電子公告系統(tǒng)的信息審核制度,設(shè)立信息審核員,發(fā)現(xiàn)有害信息的,應(yīng)在做好數(shù)據(jù)保存工作后及時刪除;

(四)發(fā)現(xiàn)本辦法第二十九條中各類情況時應(yīng)保留有關(guān)稽核記錄,并立即向公安機關(guān)報告;

(五)落實信息群發(fā)限制、匿名轉(zhuǎn)發(fā)限制和有害數(shù)據(jù)防治措施;

(六)落實系統(tǒng)運行和上網(wǎng)用戶使用日志記錄措施;

(七)按公安機關(guān)要求報送各類接入狀況及基礎(chǔ)數(shù)據(jù)。

第三十一條發(fā)現(xiàn)計算機信息網(wǎng)絡(luò)傳播病毒、轉(zhuǎn)發(fā)垃圾郵件、轉(zhuǎn)發(fā)有害手機短信或傳播有害信息的,信息網(wǎng)絡(luò)的經(jīng)營、服務(wù)單位和個人應(yīng)當采取技術(shù)措施予以防護和制止,并在24小時內(nèi)向公安機關(guān)報告。

對不采取技術(shù)措施予以防護和制止的信息網(wǎng)絡(luò)經(jīng)營、服務(wù)單位和個人,公安機關(guān)有權(quán)責令其采取技術(shù)措施,或主動采取有關(guān)技術(shù)措施予以防護和制止。

第三十二條公安機關(guān)應(yīng)對計算機信息網(wǎng)絡(luò)的安全狀況、公共秩序狀況進行經(jīng)常性監(jiān)測,發(fā)現(xiàn)危害信息安全和危害公共秩序的事件應(yīng)及時進行處理,并及時通知有關(guān)單位和個人予以整改。

第五章法律責任

第三十三條違反本辦法規(guī)定,有下列行為之一的,給予警告,責令限期改正,并可處以1000元以上10000元以下罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰:

(一)計算機信息系統(tǒng)使用單位未建立安全保護管理制度或未落實安全保護技術(shù)措施,危害計算機信息系統(tǒng)安全的;

(二)計算機信息系統(tǒng)使用單位不按照規(guī)定時間報告計算機信息系統(tǒng)中發(fā)生的安全事故和違法犯罪案件,造成危害的;

(三)重點安全保護單位的計算機信息系統(tǒng)未經(jīng)檢測或檢測不合格即投入正式運行的。

第三十四條違反本辦法規(guī)定,銷售計算機信息系統(tǒng)安全專用產(chǎn)品未向公安機關(guān)備案的,給予警告,責令限期改正,并可處以200元以上2000元以下罰款。

第三十五條違反本辦法規(guī)定,接入單位或從事互聯(lián)網(wǎng)信息服務(wù)的單位和個人不辦理安全備案手續(xù)的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰。

第三十六條違反本辦法規(guī)定,未取得互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所信息網(wǎng)絡(luò)安全許可證明從事互聯(lián)網(wǎng)上網(wǎng)服務(wù)經(jīng)營活動的,責令限期補辦手續(xù),并可處以1000元以上10000元以下的罰款。

第三十七條有本辦法第二十九條規(guī)定行為之一的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰。

第三十八條違反本辦法第三十條和第三十一條第一款規(guī)定的,給予警告,責令限期改正,并可處以1000元以上10000元以下的罰款;情節(jié)嚴重的,可以給予6個月以內(nèi)停機整頓的處罰。

第三十九條計算機信息系統(tǒng)使用單位的安全管理責任人和安全技術(shù)人員不履行本辦法規(guī)定的職責,造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關(guān)規(guī)定給予其行政處分。

第四十條對本辦法規(guī)定的行政處罰,市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)由市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局負責;各縣(市)和蕭山區(qū)、余杭區(qū)范圍內(nèi)由各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負責。