證券期貨業網路與信息安全信息通報暫行辦法

㈠ 互聯網網路安全信息通報實施辦法的具體內容

關於印發《互聯網網路安全信息通報實施辦法》的通知
工信部保[2009]156號
各省、自治區、直轄市通信管理局、國家計算機網路應急技術處理協調中心、中國互聯網路信息中心、政府和公益機構域名注冊管理中心、部電信研究院、中國互聯網協會、中國電信集團公司、中國移動通信集團公司、中國聯合網路通信集團有限公司、其他相關單位：
為規范通信行業互聯網網路安全信息通報工作，制定《互聯網網路安全信息通報實施辦法》，現印發給你們，請遵照執行。
聯系人：付景廣
二〇〇九年四月十三日 報送的信息分為事件信息和預警信息。
事件信息是指已經發生的網路安全事件信息。
預警信息是指存在潛在安全威脅或隱患但尚未造成實際危害和影響的信息，或者對事件信息分析後得出的預防性信息。 信息報送單位應按照本辦法第十條、第十一條規定對信息進行分類、分級，並根據本辦法的相應規定報送信息。
基礎電信業務經營者集團公司負責匯總、核實、報送省級分公司/子公司的信息。省級分公司/子公司將信息同時抄送當地通信管理局。 對於特別重大、重大事件信息以及一級、二級預警信息，信息報送單位應於2小時內向通信保障局及相關通信管理局報告，抄送CNCERT。
對於較大事件信息以及三級預警信息，信息報送單位應當於4小時內向相關通信管理局報告，抄送CNCERT；對於跨省（自治區、直轄市）的較大事件信息，應同時向通信保障局報告。
對於一般事件信息，信息報送單位應按月及時匯總，於次月5個工作日內報送CNCERT，抄送相關通信管理局；對於四級預警信息，信息報送單位應當於發現或得知預警信息後5個工作日內報送CNCERT，抄送相關通信管理局。 事件信息報送的內容應包括：
（一）事件發生單位概況；
（二）事件發生時間；
（三）事件簡要經過；
（四）初步估計的危害和影響；
（五）已採取的措施；
（六）其他應當報告的情況。 預警信息報送的內容應包括：
（一）信息基本情況描述；
（二）可能產生的危害及程度；
（三）可能影響的用戶及范圍；
（四）截至信息報送時，已知曉該信息的單位/人員范圍；
（五）建議應採取的應對措施及建議。 事件發生後出現新情況的，信息報送單位應當及時補報。
CNCERT在接到預警信息後，應立即組織對預警信息進行跟蹤、分析，有重要情況應及時向通信保障局報告。 對於特別重大、重大、較大事件信息以及一級、二級、三級預警信息，由通信保障局審核後，根據有關規定直接或委託CNCERT及時通告相關單位、人員或互聯網用戶，並抄送各通信管理局。
對於一般事件信息，由CNCERT負責匯總、分析全部信息，於次月10個工作日內將當月信息向通信保障局報送，向相關單位、人員通告，並抄送各通信管理局；對於四級預警信息，由CNCERT根據實際情況及時向相關單位、人員通告，並抄送各通信管理局。 事件信息通告內容主要包括：事件統計情況、造成的危害、影響程度、態勢分析、典型案例。
預警信息通告內容主要包括：受影響的系統、可能產生的危害和危害程度、可能影響的用戶及范圍、建議應採取的應對措施及建議。 本辦法自2009年6月1日起實施。

㈡ 信息安全相關法律法規 都有哪些

1、1996年發布《中國公用計算機互聯網國際聯網管理辦法》。

2、 1994年2月發布《中華人民共和國計算機信息系統安全保護條例》。

3、1996年2月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》。

4、 1997年12月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》實施

5、新《刑法》第185和第286條。

信息安全問題日趨多樣化，客戶需要解決的信息安全問題不斷增多，解決這些問題所需要的信息安全手段不斷增加。確保計算機信息系統和網路的安全，特別是國家重要基礎設施信息系統的安全，已成為信息化建設過程中必須解決的重大問題。

正是在這樣的背景下，信息安全被提到了空前的高度。國家也從戰略層次對信息安全的建設提出了指導要求。

(2)證券期貨業網路與信息安全信息通報暫行辦法擴展閱讀：

信息安全與技術的關系可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字；斯巴達人使用一種稱為密碼棒的工具傳達軍事計劃，羅馬時代的凱撒大帝是加密函的古代將領之一，「凱撒密碼」據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。

它是一種替代密碼，通過將字母按順序推後 3 位起到加密作用，如將字母 A 換作字母 D， 將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利庄園幫助破解了 德國海軍的 Enigma 密電碼，改變了二次世界大戰的進程。美國 NIST 將信息安全控制分 為 3 類。

（1）技術，包括產品和過程（例如防火牆、防病毒軟體、侵入檢測、加密技術）。

（2）操作，主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。

（3）管理，包括使用政策、員工培訓、業務規劃、基於信息安全的非技術領域。 信息系統安全涉及政策法規、教育、管理標准、技術等方面，任何單一層次的安全措 施都不能提供全方位的安全，安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。

㈢ 中央企業網路與信息安全信息通報秘書處 是什麼部門

國家計算機網路與信息安全管理中心職能是維護國家網路信息安全與穩定。國家計算機網路與信息安全管理中心旨在保障國家網路空間安全提供技術支撐；為防範打擊網路犯罪、維護網路安全提供技術支持；提高對重要信息系統的安全監管能力；促進防病毒產業的發展。

㈣ 證券期貨業網路與信息安全事件應急預案 是否有效

應急預案是有，但是還沒觸發過，有沒有效不能提前下定論。
就像A股市場熔斷機制一樣，推出前都叫好，推出沒幾天就叫停了

㈤ 我國信息安全保密法律體系具有哪些特徵

目前我國信息安全法律體系的主要特點
通過對目前我國現行信息安全相關法律法規的整理分析，我們可以初步概括出目前我國信息安全法律體系的主要特點：
1、信息安全法律法規體系初步形成
目前我國現行法律法規及規章中，與信息安全直接相關的是65部，它們涉及網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域，在文件形式上，有法律、有關法律問題的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。
其中，全面規范信息安全的法律法規有18部，包括94年的《中華人民共和國計算機信息系統安全保護條例》等法規，也包括2003年的《廣東省計算機信息系統安全保護管理規定》，98年的《重慶市計算機信息系統安全保護條例》等地方法規；側重於互聯網安全的有7部，包括2000年《全國人民代表大會常務委員會關於維護互聯網安全的決定》等法律層面的文件，也包括97年的《計算機信息網路國際聯網安全保護管理辦法》等部門規章；側重於信息安全系統與產品的有3部，包括97年的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》等部門規章；側重於保密的有10部，既包括89年的《中華人民共和國保守國家秘密法》等法律，也包括98年的《計算機信息系統保密管理暫行規定》、2000年的《計算機信息系統國際聯網保密管理規定》、97年的《農業部計算機信息網路系統安全保密管理暫行規定》等部門規章；側重於密碼管理及應用的有5部，包括99年的《商用密碼管理條例》等法規，也包括2005年的《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》等部門規章，還包括2002年的《上海市數字認證管理辦法》、2001年的《海南省數字證書認證管理試行辦法》等地方法規或規章；側重於計算機病毒與危害性程序防治的有9部，包括2000年的《計算機病毒防治管理辦法》等部門規章，也包括94年的《北京市計算機信息系統病毒預防和控制管理辦法》、2002年的《天津市預防和控制計算機病毒辦法》等地方法規或規章；側重於特定領域信息安全的有9部，包括98年的《金融機構計算機信息安全保護工作暫行規定》、2003年的《鐵路計算機信息系統安全保護辦法》、2005年的《證券期貨業信息安全保障管理暫行辦法》等部門規章，也包括2003年的《廣東省電子政務信息安全管理暫行辦法》等地方法規或規章；側重於信息安全監管的有3部，包括2004年的《上海市信息系統安全測評管理辦法》等地方法規或規章；側重於信息安全犯罪處罰的主要是我國刑法第285條、286條、287條等相關規定。
總體來看，這些信息安全法律法規或多或少所體現的我國信息安全的基本原則可以簡單歸納為國家安全、單位安全和個人安全相結合的原則，等級保護的原則，保障信息權利的原則，救濟原則，依法監管的原則，技術中立原則，權利與義務統一的原則；而基本制度可以簡單歸納為統一領導與分工負責制度，等級保護制度，技術檢測與風險評估制度，安全產品認證制度，生產銷售許可制度，信息安全通報制度，備份制度等。
2、與信息安全相關的司法和行政管理體系迅速完善
有了《中華人民共和國刑法》第217、218、285、286、287、288條、《全國人民代表大會常務委員會關於維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《電信條例》、《互聯網信息服務管理辦法》等法律依據，有了《最高人民法院最高人民檢察院關於辦理利用互聯網、移動通訊端、聲訊台製作、復制、出版、販賣、傳播、淫穢電子信息刑事案件具體應用法律若干問題的解釋》等司法解釋，一些危害信息安全的案例迅速得到裁判，如廣州市中級人民法院裁判的呂薛文破壞計算機信息系統案、烏魯木齊市中級人民法院裁判的何朴利用其擔任銀行計算機操作員的職務便利貪污巨額公款案等，震懾了違法犯罪分子，維護了計算機信息網路的正常秩序。
經過多年的工作，在我國信息安全行政管理方面，信息安全保障體系建設也已初見成效，與信息安全法律法規體系相配套的標准體系建設、應急處理體系建設、等級保護體系建設、電子認證體系建設、安全測評體系建設、計算機病毒疫情調查和控制體系建設以及違法和不良信息舉報制度建設等都得到較快的發展，為電子政務、電子商務及信息化做出了貢獻。
3、目前法律規定中法律少而規章等偏多，缺乏信息安全的基本法。
雖然可以說目前我國信息安全的法律體系已初步形成，但還很不成熟，在這一體系中，部門規章、地方法規及規章等佔了絕大多數，而法律、法規只佔到65部中的8部，為12%。部門規章、地方法規及規章等效力層級較低，適用范圍有限，相互之間可能產生沖突，也不能作為法院裁判的依據，直接影響了這些措施的效果。並且十分關鍵的是，目前我們還沒有一部信息安全的基本法，對於信息安全的基本法，我們理解為一部確立信息安全的基本原則、基本制度及一些核心內容的法律，而我們前面提到的很多規定都應是從這部法律的基本框架中延伸出來的，只有有了這部法律，我們的信息安全法律體系才能說是有了主幹。國外類似的法律如美國2002年的《聯邦信息安全管理法》、87年的《計算機安全法案》、俄羅斯95年的《聯邦信息、信息化和信息保護法》等。
4、相關法律規定篇幅偏小，行為規范較簡單。
我國現有信息安全相關法律規定普遍存在的問題是篇幅較小，規定得比較籠統，比如《全國人民代表大會常務委員會關於維護互聯網安全的決定》共7條，《中華人民共和國計算機信息系統安全保護條例》共31條，《中華人民共和國計算機信息網路國際聯網管理暫行規定》共17條，《計算機信息網路國際聯網安全保護管理辦法》（公安部）共25條，《互聯網信息服務管理辦法》共27條，《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（公安部）共26條，《商用密碼管理條例》共27條，《計算機信息系統國際聯網保密管理規定》（國家保密局）共20條，《計算機病毒防治管理辦法》（公安部）為22條。
此外，總體看來，目前這些法律法規主要存在三個方面有待完善的地方：第一，這些法律法規主要內容集中在對物理環境的要求、行政管理的要求等方面，對於涉及信息安全的行為規范一般都規定的比較簡單，在具體執行上指引性還不是很強；第二，目前這些法律法規普遍在處罰措施方面規定得不夠具體，導致在信息安全領域實施處罰時法律依據的不足；第三，在一些特定的信息化應用領域，如電子商務、電子政務、網上支付等，相應的信息安全規范相對欠缺，有待於進一步發展。
5、與信息安全相關的其他法律有待完善
在建立健全信息安全法律體系的同時，與信息安全相關的其他法律法規的出台和完善也非常必要，如電信法、個人數據保護法等，這些法律法規與信息安全法律體系一起構成我國信息安全大的法律環境並且互為支撐、缺一不可。
在這里，我們還可以簡單理一下這個大信息安全法律環境的脈絡：
首先，從權利的角度看，信息安全中涉及的個人權利主要包括通信秘密、言論自由、隱私權、著作權及相關知識產權，而與通信秘密、言論自由相關的法律是憲法、國家安全法和警察法，與隱私權相關的法律是民法通則，與著作權及相關知識產權相關的法律是著作權法、合同法，此外，還可能涉及的法律有行政許可法、行政處罰法和國家賠償法；信息安全中涉及的單位的權利主要包括商業秘密、技術秘密、著作權及相關知識產權等，而與商業秘密、技術秘密相關的法律有反不正當競爭法、技術合同法，與著作權及相關知識產權相關的法律有著作權法、合同法，此外，還可能涉及的法律有行政許可法、行政處罰法和國家賠償法；再從國家的角度看，信息安全涉及國家安全、保密和金融安全等，與國家安全相關的法律是國家安全法，與保密相關的法律是保守國家秘密法，與金融安全相關的法律是銀行法。
其次，從應用的角度看，與信息安全相鄰或相交的領域包括：電信、無線電、集成電路、計算機軟體與系統集成、網路及網路信息服務、電子商務與現代物流、電子政務、信息資源公開、利用等。在這些領域我們又可以看到電信條例、無線電管理條例、集成電路布圖設計保護條例、計算機軟體保護條例、中華人民共和國計算機信息網路國際聯網管理暫行規定、互聯網信息服務管理辦法、互聯網上網服務營業場所管理條例、電子簽名法等一系列法律、法規、部門規章及地方法規、規章。

㈥ 互聯網網路安全信息通報實施辦法的附件一：信息報送項目

（一）基礎電信業務經營者
1、本單位提供互聯網接入服務的普通電信用戶、專線用戶、重要信息系統用戶業務發生阻斷、擁塞等異常情況。
2、本單位IP基礎網路設施，包括互聯網國際設施、國內互聯網設備和鏈路、IDC等發生癱瘓、阻斷等異常情況。
3、本單位域名解析服務系統發生癱瘓、解析異常、域名劫持等異常情況。
4、本單位網上營業廳、門戶網站、移動WAP類業務，或與互聯網相連的網路和系統發生系統癱瘓、阻斷、用戶數據丟失等異常情況。
5、影響互聯網業務正常運營、影響用戶正常訪問互聯網、造成重大社會影響和經濟損失等異常情況。
6、本單位網內漏洞等網路安全隱患及處置情況。
7、本單位網內發生拒絕服務攻擊或其他流量異常事件情況。
8、本單位網內木馬和僵屍網路、病毒等惡意代碼傳播情況。
9、本單位網內路由系統出現的路由劫持情況（路由劫持指若同一IP地址前綴有多個自治系統為宣告者，且自治系統之間無隸屬關系或未得到該IP地址前綴的授權，則判定為域間路由劫持）。
10、本單位垃圾郵件監測、預警和處置情況。
11、獲知的由本單位提供服務的重要信息系統用戶內部發生的網路安全異常情況。
12、通過各種渠道獲得的其它信息。
（二）互聯網域名注冊管理、服務機構
1、本單位域名系統解析服務異常等情況，包括系統穩定性、解析成功率、響應時間、解析數據和資料庫等方面出現的異常情況。
2、網頁掛馬、網路仿冒、域名劫持等網路安全事件。
3、域名系統相關的系統漏洞等網路安全風險信息及處置情況。
4、可疑域名或域名注冊行為等情況。
5、通過各種渠道獲得的其它信息。
（三）增值電信業務經營者（IDC、門戶網站、搜索引擎服務提供商等）
1、IDC：
（1）IDC網路出口鏈路中斷或擁塞。
（2）由IDC提供服務的網站或託管主機感染病毒、木馬和僵屍惡意代碼，或被利用實施網路攻擊、網路仿冒等網路安全事件的情況。
（3）通過各種渠道獲得的其它信息。
2、門戶網站、搜索引擎服務提供商等：
（1）網路接入鏈路中斷或擁塞。
（2）系統癱瘓、遭到入侵或控制、應用服務中斷等。
（3）用戶數據被篡改、丟失等。
（4）垃圾郵件發現和處置情況。
（5）系統感染惡意代碼情況。
（6）網頁篡改、網路仿冒等情況。
（7）通過各種渠道獲得的其它信息。
（四）中國互聯網協會
1、垃圾郵件相關情況。
2、互聯網用戶反映的影響互聯網業務的重要網路安全情況。
3、通過各種渠道獲得的其它信息。
（五）CNCERT
1、本單位自主監測到的信息。
2、各信息報送單位報送的信息。
3、通過國際、國內合作單位等渠道獲得的信息。
4、通過各種渠道獲得的其他信息。
（六）通信管理局
1、重點報送本行政區域內或與本行政區域相關的重要網路安全信息。
2、通過各種渠道獲得的其他信息。