证券期货业网络与信息安全信息通报暂行办法

㈠ 互联网网络安全信息通报实施办法的具体内容

关于印发《互联网网络安全信息通报实施办法》的通知
工信部保[2009]156号
各省、自治区、直辖市通信管理局、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政府和公益机构域名注册管理中心、部电信研究院、中国互联网协会、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、其他相关单位：
为规范通信行业互联网网络安全信息通报工作，制定《互联网网络安全信息通报实施办法》，现印发给你们，请遵照执行。
联系人：付景广
二〇〇九年四月十三日 报送的信息分为事件信息和预警信息。
事件信息是指已经发生的网络安全事件信息。
预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息，或者对事件信息分析后得出的预防性信息。 信息报送单位应按照本办法第十条、第十一条规定对信息进行分类、分级，并根据本办法的相应规定报送信息。
基础电信业务经营者集团公司负责汇总、核实、报送省级分公司/子公司的信息。省级分公司/子公司将信息同时抄送当地通信管理局。 对于特别重大、重大事件信息以及一级、二级预警信息，信息报送单位应于2小时内向通信保障局及相关通信管理局报告，抄送CNCERT。
对于较大事件信息以及三级预警信息，信息报送单位应当于4小时内向相关通信管理局报告，抄送CNCERT；对于跨省（自治区、直辖市）的较大事件信息，应同时向通信保障局报告。
对于一般事件信息，信息报送单位应按月及时汇总，于次月5个工作日内报送CNCERT，抄送相关通信管理局；对于四级预警信息，信息报送单位应当于发现或得知预警信息后5个工作日内报送CNCERT，抄送相关通信管理局。 事件信息报送的内容应包括：
（一）事件发生单位概况；
（二）事件发生时间；
（三）事件简要经过；
（四）初步估计的危害和影响；
（五）已采取的措施；
（六）其他应当报告的情况。 预警信息报送的内容应包括：
（一）信息基本情况描述；
（二）可能产生的危害及程度；
（三）可能影响的用户及范围；
（四）截至信息报送时，已知晓该信息的单位/人员范围；
（五）建议应采取的应对措施及建议。 事件发生后出现新情况的，信息报送单位应当及时补报。
CNCERT在接到预警信息后，应立即组织对预警信息进行跟踪、分析，有重要情况应及时向通信保障局报告。 对于特别重大、重大、较大事件信息以及一级、二级、三级预警信息，由通信保障局审核后，根据有关规定直接或委托CNCERT及时通告相关单位、人员或互联网用户，并抄送各通信管理局。
对于一般事件信息，由CNCERT负责汇总、分析全部信息，于次月10个工作日内将当月信息向通信保障局报送，向相关单位、人员通告，并抄送各通信管理局；对于四级预警信息，由CNCERT根据实际情况及时向相关单位、人员通告，并抄送各通信管理局。 事件信息通告内容主要包括：事件统计情况、造成的危害、影响程度、态势分析、典型案例。
预警信息通告内容主要包括：受影响的系统、可能产生的危害和危害程度、可能影响的用户及范围、建议应采取的应对措施及建议。 本办法自2009年6月1日起实施。

㈡ 信息安全相关法律法规 都有哪些

1、1996年发布《中国公用计算机互联网国际联网管理办法》。

2、 1994年2月发布《中华人民共和国计算机信息系统安全保护条例》。

3、1996年2月发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。

4、 1997年12月发布《中华人民共和国计算机信息网络国际联网管理暂行规定》实施

5、新《刑法》第185和第286条。

信息安全问题日趋多样化，客户需要解决的信息安全问题不断增多，解决这些问题所需要的信息安全手段不断增加。确保计算机信息系统和网络的安全，特别是国家重要基础设施信息系统的安全，已成为信息化建设过程中必须解决的重大问题。

正是在这样的背景下，信息安全被提到了空前的高度。国家也从战略层次对信息安全的建设提出了指导要求。

(2)证券期货业网络与信息安全信息通报暂行办法扩展阅读：

信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字；斯巴达人使用一种称为密码棒的工具传达军事计划，罗马时代的凯撒大帝是加密函的古代将领之一，“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。

它是一种替代密码，通过将字母按顺序推后 3 位起到加密作用，如将字母 A 换作字母 D， 将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国海军的 Enigma 密电码，改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为 3 类。

（1）技术，包括产品和过程（例如防火墙、防病毒软件、侵入检测、加密技术）。

（2）操作，主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理进入控制、备份能力、免予环境威胁的保护。

（3）管理，包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。 信息系统安全涉及政策法规、教育、管理标准、技术等方面，任何单一层次的安全措 施都不能提供全方位的安全，安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全模型。

㈢ 中央企业网络与信息安全信息通报秘书处 是什么部门

国家计算机网络与信息安全管理中心职能是维护国家网络信息安全与稳定。国家计算机网络与信息安全管理中心旨在保障国家网络空间安全提供技术支撑；为防范打击网络犯罪、维护网络安全提供技术支持；提高对重要信息系统的安全监管能力；促进防病毒产业的发展。

㈣ 证券期货业网络与信息安全事件应急预案 是否有效

应急预案是有，但是还没触发过，有没有效不能提前下定论。
就像A股市场熔断机制一样，推出前都叫好，推出没几天就叫停了

㈤ 我国信息安全保密法律体系具有哪些特征

目前我国信息安全法律体系的主要特点
通过对目前我国现行信息安全相关法律法规的整理分析，我们可以初步概括出目前我国信息安全法律体系的主要特点：
1、信息安全法律法规体系初步形成
目前我国现行法律法规及规章中，与信息安全直接相关的是65部，它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域，在文件形式上，有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。
其中，全面规范信息安全的法律法规有18部，包括94年的《中华人民共和国计算机信息系统安全保护条例》等法规，也包括2003年的《广东省计算机信息系统安全保护管理规定》，98年的《重庆市计算机信息系统安全保护条例》等地方法规；侧重于互联网安全的有7部，包括2000年《全国人民代表大会常务委员会关于维护互联网安全的决定》等法律层面的文件，也包括97年的《计算机信息网络国际联网安全保护管理办法》等部门规章；侧重于信息安全系统与产品的有3部，包括97年的《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门规章；侧重于保密的有10部，既包括89年的《中华人民共和国保守国家秘密法》等法律，也包括98年的《计算机信息系统保密管理暂行规定》、2000年的《计算机信息系统国际联网保密管理规定》、97年的《农业部计算机信息网络系统安全保密管理暂行规定》等部门规章；侧重于密码管理及应用的有5部，包括99年的《商用密码管理条例》等法规，也包括2005年的《电子认证服务管理办法》、《电子认证服务密码管理办法》等部门规章，还包括2002年的《上海市数字认证管理办法》、2001年的《海南省数字证书认证管理试行办法》等地方法规或规章；侧重于计算机病毒与危害性程序防治的有9部，包括2000年的《计算机病毒防治管理办法》等部门规章，也包括94年的《北京市计算机信息系统病毒预防和控制管理办法》、2002年的《天津市预防和控制计算机病毒办法》等地方法规或规章；侧重于特定领域信息安全的有9部，包括98年的《金融机构计算机信息安全保护工作暂行规定》、2003年的《铁路计算机信息系统安全保护办法》、2005年的《证券期货业信息安全保障管理暂行办法》等部门规章，也包括2003年的《广东省电子政务信息安全管理暂行办法》等地方法规或规章；侧重于信息安全监管的有3部，包括2004年的《上海市信息系统安全测评管理办法》等地方法规或规章；侧重于信息安全犯罪处罚的主要是我国刑法第285条、286条、287条等相关规定。
总体来看，这些信息安全法律法规或多或少所体现的我国信息安全的基本原则可以简单归纳为国家安全、单位安全和个人安全相结合的原则，等级保护的原则，保障信息权利的原则，救济原则，依法监管的原则，技术中立原则，权利与义务统一的原则；而基本制度可以简单归纳为统一领导与分工负责制度，等级保护制度，技术检测与风险评估制度，安全产品认证制度，生产销售许可制度，信息安全通报制度，备份制度等。
2、与信息安全相关的司法和行政管理体系迅速完善
有了《中华人民共和国刑法》第217、218、285、286、287、288条、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《电信条例》、《互联网信息服务管理办法》等法律依据，有了《最高人民法院最高人民检察院关于办理利用互联网、移动通讯端、声讯台制作、复制、出版、贩卖、传播、淫秽电子信息刑事案件具体应用法律若干问题的解释》等司法解释，一些危害信息安全的案例迅速得到裁判，如广州市中级人民法院裁判的吕薛文破坏计算机信息系统案、乌鲁木齐市中级人民法院裁判的何朴利用其担任银行计算机操作员的职务便利贪污巨额公款案等，震慑了违法犯罪分子，维护了计算机信息网络的正常秩序。
经过多年的工作，在我国信息安全行政管理方面，信息安全保障体系建设也已初见成效，与信息安全法律法规体系相配套的标准体系建设、应急处理体系建设、等级保护体系建设、电子认证体系建设、安全测评体系建设、计算机病毒疫情调查和控制体系建设以及违法和不良信息举报制度建设等都得到较快的发展，为电子政务、电子商务及信息化做出了贡献。
3、目前法律规定中法律少而规章等偏多，缺乏信息安全的基本法。
虽然可以说目前我国信息安全的法律体系已初步形成，但还很不成熟，在这一体系中，部门规章、地方法规及规章等占了绝大多数，而法律、法规只占到65部中的8部，为12%。部门规章、地方法规及规章等效力层级较低，适用范围有限，相互之间可能产生冲突，也不能作为法院裁判的依据，直接影响了这些措施的效果。并且十分关键的是，目前我们还没有一部信息安全的基本法，对于信息安全的基本法，我们理解为一部确立信息安全的基本原则、基本制度及一些核心内容的法律，而我们前面提到的很多规定都应是从这部法律的基本框架中延伸出来的，只有有了这部法律，我们的信息安全法律体系才能说是有了主干。国外类似的法律如美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。
4、相关法律规定篇幅偏小，行为规范较简单。
我国现有信息安全相关法律规定普遍存在的问题是篇幅较小，规定得比较笼统，比如《全国人民代表大会常务委员会关于维护互联网安全的决定》共7条，《中华人民共和国计算机信息系统安全保护条例》共31条，《中华人民共和国计算机信息网络国际联网管理暂行规定》共17条，《计算机信息网络国际联网安全保护管理办法》（公安部）共25条，《互联网信息服务管理办法》共27条，《计算机信息系统安全专用产品检测和销售许可证管理办法》（公安部）共26条，《商用密码管理条例》共27条，《计算机信息系统国际联网保密管理规定》（国家保密局）共20条，《计算机病毒防治管理办法》（公安部）为22条。
此外，总体看来，目前这些法律法规主要存在三个方面有待完善的地方：第一，这些法律法规主要内容集中在对物理环境的要求、行政管理的要求等方面，对于涉及信息安全的行为规范一般都规定的比较简单，在具体执行上指引性还不是很强；第二，目前这些法律法规普遍在处罚措施方面规定得不够具体，导致在信息安全领域实施处罚时法律依据的不足；第三，在一些特定的信息化应用领域，如电子商务、电子政务、网上支付等，相应的信息安全规范相对欠缺，有待于进一步发展。
5、与信息安全相关的其他法律有待完善
在建立健全信息安全法律体系的同时，与信息安全相关的其他法律法规的出台和完善也非常必要，如电信法、个人数据保护法等，这些法律法规与信息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。
在这里，我们还可以简单理一下这个大信息安全法律环境的脉络：
首先，从权利的角度看，信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权，而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法，与隐私权相关的法律是民法通则，与著作权及相关知识产权相关的法律是著作权法、合同法，此外，还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法；信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等，而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法，与著作权及相关知识产权相关的法律有著作权法、合同法，此外，还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法；再从国家的角度看，信息安全涉及国家安全、保密和金融安全等，与国家安全相关的法律是国家安全法，与保密相关的法律是保守国家秘密法，与金融安全相关的法律是银行法。
其次，从应用的角度看，与信息安全相邻或相交的领域包括：电信、无线电、集成电路、计算机软件与系统集成、网络及网络信息服务、电子商务与现代物流、电子政务、信息资源公开、利用等。在这些领域我们又可以看到电信条例、无线电管理条例、集成电路布图设计保护条例、计算机软件保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、互联网信息服务管理办法、互联网上网服务营业场所管理条例、电子签名法等一系列法律、法规、部门规章及地方法规、规章。

㈥ 互联网网络安全信息通报实施办法的附件一：信息报送项目

（一）基础电信业务经营者
1、本单位提供互联网接入服务的普通电信用户、专线用户、重要信息系统用户业务发生阻断、拥塞等异常情况。
2、本单位IP基础网络设施，包括互联网国际设施、国内互联网设备和链路、IDC等发生瘫痪、阻断等异常情况。
3、本单位域名解析服务系统发生瘫痪、解析异常、域名劫持等异常情况。
4、本单位网上营业厅、门户网站、移动WAP类业务，或与互联网相连的网络和系统发生系统瘫痪、阻断、用户数据丢失等异常情况。
5、影响互联网业务正常运营、影响用户正常访问互联网、造成重大社会影响和经济损失等异常情况。
6、本单位网内漏洞等网络安全隐患及处置情况。
7、本单位网内发生拒绝服务攻击或其他流量异常事件情况。
8、本单位网内木马和僵尸网络、病毒等恶意代码传播情况。
9、本单位网内路由系统出现的路由劫持情况（路由劫持指若同一IP地址前缀有多个自治系统为宣告者，且自治系统之间无隶属关系或未得到该IP地址前缀的授权，则判定为域间路由劫持）。
10、本单位垃圾邮件监测、预警和处置情况。
11、获知的由本单位提供服务的重要信息系统用户内部发生的网络安全异常情况。
12、通过各种渠道获得的其它信息。
（二）互联网域名注册管理、服务机构
1、本单位域名系统解析服务异常等情况，包括系统稳定性、解析成功率、响应时间、解析数据和数据库等方面出现的异常情况。
2、网页挂马、网络仿冒、域名劫持等网络安全事件。
3、域名系统相关的系统漏洞等网络安全风险信息及处置情况。
4、可疑域名或域名注册行为等情况。
5、通过各种渠道获得的其它信息。
（三）增值电信业务经营者（IDC、门户网站、搜索引擎服务提供商等）
1、IDC：
（1）IDC网络出口链路中断或拥塞。
（2）由IDC提供服务的网站或托管主机感染病毒、木马和僵尸恶意代码，或被利用实施网络攻击、网络仿冒等网络安全事件的情况。
（3）通过各种渠道获得的其它信息。
2、门户网站、搜索引擎服务提供商等：
（1）网络接入链路中断或拥塞。
（2）系统瘫痪、遭到入侵或控制、应用服务中断等。
（3）用户数据被篡改、丢失等。
（4）垃圾邮件发现和处置情况。
（5）系统感染恶意代码情况。
（6）网页篡改、网络仿冒等情况。
（7）通过各种渠道获得的其它信息。
（四）中国互联网协会
1、垃圾邮件相关情况。
2、互联网用户反映的影响互联网业务的重要网络安全情况。
3、通过各种渠道获得的其它信息。
（五）CNCERT
1、本单位自主监测到的信息。
2、各信息报送单位报送的信息。
3、通过国际、国内合作单位等渠道获得的信息。
4、通过各种渠道获得的其他信息。
（六）通信管理局
1、重点报送本行政区域内或与本行政区域相关的重要网络安全信息。
2、通过各种渠道获得的其他信息。