网络安全管理要求

一、 相关法律法规

　　《中华人民共和国计算机信息系统安全保护条例》

　　《计算机信息网络国际联网安全保护管理办法》规定：

　　第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：

　　(一) 煽动抗拒、破坏宪法和法律、行政法规实施的；

　　(二) 煽动颠覆国家政权，推翻社会主义制度的；

　　(三) 煽动分裂国家、破坏国家统一的；

　　(四) 煽动民族仇恨、民族歧视，破坏民族团结的；

　　(五) 捏造或者歪曲事实,散布谣言,扰乱社会秩序的；

　　(六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

　　(七) 公然侮辱他人或者捏造事实诽谤他人的；

　　(八) 损害国家机关信誉的；

　　(九) 其他违反宪法和法律、行政法规的。

　　第六条 任何单位和个人不得从事下列危害计算机网络安全的活动：

　　(一)未经允许，进入计算机信息网络或者使用计算机信息网络资源的；

　　(二)未经允许，对计算机信息网络功能进行删除、修改或者增加的；

　　(三)未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删 除、修改或增加的；

　　(四)故意制作、传播计算机病毒等破坏性程序的；

　　(五)其他危害计算机网络安全的。

　　第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：

　　(一)负责本网络的安全保护管理工作，建立健全安全保护管理制度；

　　(二)落实安全保护技术措施，保障本网络的运行安全和信息安全；

　　(三)负责对本网络用户的安全教育和培训；

　　(四)对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核。

　　各个地方性计算机信息系统安全保护管理规定：

　　《四川省计算机信息系统安全保护管理办法办法》

　　第四条 计算机信息系统的安全保护，应当保障计算机及其配套的和相关的设备、设施（含网络）和运行环境的安全，以及计算机信息的安全，确保计算机功能的正常发挥，维护计算机信息系统的安全运行。

　　计算机信息系统安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

　　《广东省计算机信息系统安全保护管理规定》

　　第八条 计算机信息系统使用单位应当建立并执行以下安全保护制度：

　　（一）计算机机房安全管理制度；

　　（二）安全管理责任人、信息审查员的任免和安全责任制度；

　　（三）网络安全漏洞检测和系统升级管理制度；

　　（四）操作权限管理制度；

　　（五）用户登记制度；

　　（六）信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度。

　　第九条 计算机信息系统使用单位应当落实以下安全保护技术措施：

　　（一） 系统重要部分的冗余或备份措施；

　　（二） 计算机病毒防治措施；

　　（三） 网络攻击防范、追踪措施；

　　（四） 安全审计和预警措施；

　　（五）系统运行和用户使用日志记录保存60日以上措施；

　　（六）记录用户主叫电话号码和网络地址的措施；

　　（七）身份登记和识别确认措施；

　　（八）信息群发限制和有害数据防治措施。

　　向公众提供上网服务的场所以及其他从事国际联网业务的单位应当安装符合国家规定的安全管理软件。

　　二、 管理要求

　　（一）安全保护组织

　　建立计算机信息系统安全保护组织，由单位行政领导人担任安全保护组织的领导。

　　（二）计算机安全员

　　计算机应用单位应当按照计算机安全管理行业技术规范要求，配备计算机安全技术人员。计算机安全技术人员必须经过市主管部门认可的安全技术培训，考核合格后持证上岗。合格证有效期为四年。

　　计算机安全员主要职责

　　1、执行本单位计算机安全管理的各项规章制度；

　　2、按照安全管理行业技术规范要求对计算机系统安

　　全运行情况进行检查测试，即排除各种安全隐患；

　　3、发生安全事故或计算机犯罪案例时，应当立即向

　　本单位安全管理责任人报告并采取妥善措施，保

　　护现场，保留有关原始记录，在24小时内向当地

　　公安机关报案，避免危害的扩大。

　　（三）交互式栏目管理要求

　　1、关键字过滤

　　1> 智能过滤；

　　2> 关键字应跟随形势的变化而变化；

　　3> 关键字过滤掉的帖子，应另做保存；

　　2、作好审计工作，记录张贴人的IP地址。

　　3、认真落实“先审后发”的信息预审制度，把有害信息扼杀在萌芽状态。

　　交互式栏目中出现了有害信息时，应按以下工作要求处理：

　　1、对有害信息进行备份。

　　1> 对有害信息进行拷屏；

　　2> 把有害信息的文字部分拷贝到word中；

　　3> 记录张贴人、张贴人IP、张贴时间等；

　　2、删除有害信息；

　　3、报告。

　　1> 要在15分钟之内将有害信息的有关内容通过电话和传真两种方式通报市公安局网监处；

　　2> 及时报告本单位领导;

　　（四）交友网站管理要求

　　1、注册信息进行审查；

　　2、日志审计；

　　3、交友站点中往往存在多种信息服务方式，例如：聊天室、BBS、短信等。应分别针对不同的服务栏目加强管理。

　　（五）互联网短信安全管理要求

　　1、短信息平台服务商必须按照国家的法律、法规建立短信息关键字匹配过滤系统，删除、过滤和封堵有害短信息；

　　2、短信息平台服务商必须采取有效的技术安全措施，建立限制群发和变相群发的系统，

　　3、对所发的短信息的日志进行安全审计。

　　4、由公安机关要督促短信息服务商必须建立健全安全保护管理制度和落实安全保护技术措施，当出现对社会稳定造成一定影响的大量有害信息时，短信息服务商必须配合公安机关处理有关问题。

　　（六）垃圾及有害电子邮件管理要求

　　1、关闭邮件系统的匿名转发服务（open relay）;

　　2、要求所有邮件系统具有本地邮件服务器发送电子邮件帐号核实功能 、具有拒绝接受非本地邮件系统以本地用户名义自发自收邮件功能；

　　3、过滤

　　过滤技术是目前反垃圾邮件用到的主要技术。电子邮件通常具有几个重要特征，标准电子邮件地址、主题、信件内容等相关字段，这些特征是过滤技术判断、分析、统计和提取的依据。

　　（七）下载服务管理要求

　　1 关闭匿名上传FTP；

　　2 对下载内容进行审查；

　　（八）其他

　　参见相关法律法规。