(2004年5月20日 质检办[2004]144号)
为了贯彻落实“积极防御、综合防范”的信息安全保障工作的方针,保护质检计算机信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息系统安全保密条例》等法律法规的规定,对质检计算机网络系统安全运行的维护和管理作如下规定:
一、质检计算机网络系统质检计算机网络系统主要是指质检行业的电子政务外网,即以总局为枢纽,连接全国质检机构的计算机互联网络及各地质检机构管理的计算机网络。其中质检主干网是指总局与35个直属检验检疫局、31个省(自治区、直辖市)、5个计划单列市质量技术监督局互联的质检计算机网络;质检支干网是指各直属检验检疫局、各省(自治区、直辖市)、计划单列市质量技术监督局与下属机构互联的质检计算机系统。
二、安全管理组织
(一)总局信息安全领导小组负责对质检网络和信息安全工作的领导;各地质检机构的主管领导负责本单位网络和信息安全工作。
(二)总局机关计算机网络的运行维护和安全技术管理由总局信息中心负责,各级质检机构的计算机网络运行维护和安全技术管理由各单位的相关技术部门负责。
(三)总局机关计算机网络的信息安全保密管理由总局办公厅负责,各级质检机构的计算机网络的信息安全保密由相应单位的保密部门负责。
(四)质检主干网中心节点的运行维护和安全管理由总局信息中心负责;各地质检机构接入节点的运行维护,在总局信息中心的统一指导下,由各地质检机构的技术部门负责;质检支干网的运行维护和安全管理,按照“谁建设,谁管理”的原则,由建设单位负责。
(五)建立网络运行维护管理队伍。各直属检验检疫局、各省、自治区、直辖市及计划单列市质量技术监督局应设立网络管理联络员负责质检主干网的日常管理工作,包括管理主干网络相关的设备,做好计算机病毒防范工作,保障质检主干网各类应用系统正常运行等。网络管理联络员的姓名、联系方式须报总局信息中心,确保联系渠道的畅通。
(六)各有关负责部门和网络管理联络员要保障本机构的质检主干网24小时不间断运行。发现或接到故障报告,要在第一时间排除故障,暂时不能排除的故障,要向总局信息中心报告故障现象,由信息中心派员协助处理。各机构的有关负责部门和网络管理联络员要积极配合故障排查工作,对发生相互推诿导致延误故障处理产生不良后果的,要通报批评,后果严重的将追究有关人员的责任。
三、制度管理及要求
(一)质检计算机网络系统的运行维护和安全管理应当遵守《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等有关法律、法规的规定。
(二)各级质检机构应建立以下网络安全管理制度:
1.安全管理责任制度:明确每个具体岗位和工作人员的安全管理职责。
2.安全保护制度:保障网络和计算机设备的工作环境,确保其正常运行;保障网络、计算机设备、应用平台和应用系统的安全,确保其不受侵犯。
3.安全操作制度:规定计算机网络系统的操作权限和安全操作规程。
4.安全检查制度:定期检查计算机网络系统安全状况,发现问题及时处理。
5.计算机病毒防治制度:防治计算机病毒发生和传播,发现病毒及时处理。
(三)各级质检机构应严格执行《计算机信息系统保密管理暂行规定》、《中国公共计算机互联网国际联网管理办法》、《国家质量监督检验检疫总局涉密计算机信息系统及网络联网保密管理规定》等有关法规,加强对质检政府网站的安全管理和内容审核。
(四)各级质检机构的计算机网络系统进行国际联网时,要严格与国际互联网实现安全隔离,凡是与质检计算机网络物理上存在连接的微机不得通过任何非安全方式(如安装调制解调器、多块网卡等)直接接入国际互联网。
(五)任何部门或个人未经本单位有关主管部门许可,不得自行对外联网。
(六)严禁利用国际互联网及质检广域网、各级质检机构的计算机网络从事危害国家安全、泄露国家秘密和妨碍社会治安等违法犯罪活动。
(七)不得使用质检计算机网络系统存取、处理、传递属于国家秘密的信息。对于涉及秘密的信息,利用全国政府系统“办公业务资源网”处理。使用全国政府系统“办公业务资源网”,要严格执行《全国政府系统“办公业务资源网”安全运行管理办法(试行)》的规定。
(八)树立全员安全意识,对质检计算机网络系统的使用人员应定期进行计算机安全知识普及教育。加强对网络安全技术人员的专业培训,质检计算机网络系统的使用人员有义务配合技术部门对自己所用的终端设备和系统进行安全保障、安全防范和安全处理工作。
四、技术管理及要求
(一)各级质检机构在建设质检计算机网络系统时应重视防火墙、防病毒、入侵检测等网络安全基础设施的配备。
(二)在配备计算机网络安全产品时,应使用经国家有关部门认证的产品;在购买计算机网络安全维护时,服务提供者应当具有国家有关部门的服务认证资质。
(三)各级质检计算机网络系统的运行管理人员应及时对网络、服务器和安全设施(系统)进行维护,严格管理并定期更换有关密码,设备(系统)的配置要定期备份,对主要设备(系统)要定期调优,确保系统安全、正常运行。
(四)质检主干网所使用重要设备(如路由器、防火墙等)由总局集中配置、集中管理,重要设备的配置、访问控制、变更和维修,除事先指明的外,由总局信息中心核准。各地网络管理员定时对质检主干网重要设备进行检查,排除隐患,确保设备正常工作,同时检查系统日志,发现异常情况要及时报告。各级质检机构在接入质检计算机网络时,以及在实现各下属机构接入质检计算机网络时,都应按照已下发的域名、IP地址规范配置相关设备,不经申请批准不能随意改动。严禁利用各种网络设备或软件技术侦听、盗用其他单位的网络信息。严禁使用非法手段扫描网络或试图进入网络获取他人信息的行为,对造成严重后果的责任者依法追究责任。
(五)质检计算机网络发生以下情形之一的重大事故后,各级质检机构必须以书面形式向上级主管部门说明故障发生的原因及处理的结果,并报总局信息中心。
1.质检主干网发生瘫痪8小时以上。
2.重要应用系统因网络系统发生故障12小时以上不能解决。
3.质检计算机网络系统发生泄密情况。
(六)不得擅自复制、传递质检计算机网络的拓扑结构、网络配置及数据信息,因工作需要复制拷贝上述信息,未经批准,不得向外单位人员演示质检计算机网络的有关内容。
(七)各级质检计算机网络系统运行管理人员应及时检测、清除质检计算机网络系统中的计算机病毒,并备有检测、清除的记录,避免由于本机构内网络病毒发作,影响质检网络正常运行。
(八)从其他计算机网络系统上下载程序、数据或者购置、维修、接入计算机设备时,应当进行计算机病毒检测,严禁制造、传播具有计算机病毒的文件和信息。
(九)建立重大网络故障防范的预案,一旦发生网络故障、网络系统受到侵袭,应当及时按照预案进行处理。本规定自印发之日起施行。