通信网络安全防护管理办法 工信部(2010)令第11号

通信网络安全防护管理办法通信网络安全防护管理办法（以下简称“管理办法”）旨在加强通信网络安全的管理和防护工作，保障通信网络的安全、可靠、稳定运行，维护国家安全和社会稳定。

基于此，实施以下措施：一、网络设备安全管理1. 组织网络设备安全评估和测试，及时发现并修复漏洞，确保设备的安全性。

2. 强化网络设备访问控制，限制非授权人员的访问，确保网络的安全性和保密性。

3. 定期备份网络设备的配置与数据，以防意外情况导致数据丢失和配置失效。

二、网络传输安全管理1. 采用加密技术对重要的网络传输进行保护，防止信息被窃取或篡改。

2. 建立安全的虚拟专用网络（VPN）通道，实现对数据的安全传输。

三、网络应用安全管理1. 对网络应用进行全面扫描，检测并修复漏洞，确保应用的安全性。

2. 设立访问控制机制，限制非授权人员的访问，并对访问行为进行记录和审计。

四、用户账号安全管理1. 强化用户账号的安全策略，设置复杂的密码，并定期更新密码。

2. 实行多因素认证，增加账号的安全性。

五、安全事件响应管理1. 建立健全的安全事件监测和响应机制，及时发现和处置安全事件，减小损失。

2. 对安全事件进行归档和分析，总结经验，完善安全防护工作。

六、员工意识教育管理1. 加强对员工的安全教育，提升其安全意识。

2. 定期组织网络安全知识培训，加强员工对网络安全防护的认知。

七、安全审查和测试管理1. 定期进行网络安全审查和测试，发现潜在的安全隐患，及时加以排除。

2. 建立安全议题讨论机制，研究解决网络安全的重大问题。

八、法律法规和政策规定的遵守1. 严格遵守相关的法律法规和政策规定，确保通信网络安全防护工作合法、规范。

2. 定期对通信网络安全防护管理办法进行评估和修订，保持与时俱进。

XXXXXX工程安全风险评估报告Ⅰ.评估说明一．通信网络安全风险评估概述：为了加强网络安全管理，对于通信网络安全建设我们应当坚持光缆网络工程项目与通信网络安全保障设施同步建设，并与主体工程同步进行验收和投入运行；光缆网络工程的具体施工作业在制定技术方案时必须落实网络安全防护和技术保障措施；光缆网络工程施工作业必须严格执行工程建设标准强制性条文，满足网络安全要求等等基本原则。

通信网络安全风险评估为建设项目安全验收提供科学依据，对建设项目未达到安全目标的系统或单元提出安全补偿及补救措施及后期整改建议。

二．通信网络安全风险评估技术标准依据：1.YD/T 1742-2008 《接入网安全防护要求》2.YD/T 1743-2008 《接入网安全防护检测要求》3.YD/T 1744-2008 《传送网安全防护要求》4.YD/T 1745-2008 《传送网安全防护检测要求》三．通信网络安全风险评估目的、内容及范围：1.评估目的与内容1）通信网络安全风险评估的目的通信网络安全风险评估是按照《通信网络安全防护管理方法》（工信部令第11号）第六条的要求，落实网络安全保障设施与主体工程同步建设、同步验收、同步投入使用及网络信息安全考核相关要求，在落实工程建设网络安全“三同步”工作时，按照下发的实施细则，确保网络安全“三同步”相关要求落到实处。

为建设项目安全验收提供科学依据，对建设项目未达到安全目标的系统或单元提出安全补偿及补救措施，以利于提高建设项目本质安全程度，满足安全生产要求。

2）通信网络安全风险评估内容检查建设项目中安全设施是否已与主体工程同时设计、同时施工、同时交付生产和使用；评价建设项目及与之配套的安全设施是否符合国家、行业有关安全生产的法规、规定和技术标准；从整体上评价建设项目的运行状态和安全管理是否正常、安全、可靠。

2.评估范围根据本项目（线路部分）服务合同书的规定内容，经与建设单位商定：对通信施工当中的光缆线路防强电、光缆线路防雷、光缆线路防机械损伤、光缆线路防潮、光缆线路防鼠害、防飞禽等的安全风险评估。

附件：2010年度安徽省通信网络安全防护检查工作实施方案为进一步贯彻落实《通信网络安全防护管理办法》（工业和信息化部第11号令），根据工业和信息化部《关于开展2010年度通信网络安全防护检查工作的通知》（工信部保函〔2010〕275号）要求，我局定于6月至10月在全省通信行业开展2010年度通信网络安全防护检查工作，具体实施方案如下：一、检查目的通过安全防护检查，评测各通信网络单元是否落实与其安全等级相适应的防护措施，并结合通信网络面临的各种威胁，评估通信网络在安全防护管理和技术措施方面存在的安全隐患，进一步提高通信网络安全防护水平，保障上海世博会、广州亚运会期间通信网络安全畅通。

二、检查内容本次检查突出重点，检查专业包括移动通信网、IP（网际协议）承载网、支撑网、网上营业厅和域名系统。

其中，支撑网包括业务运营支撑系统和网管系统，域名系统包括域名解析系统和域名注册系统。

检查对象为省内各基础电信运营企业已定级备案的2级及以上通信网络单元。

检查的主要任务是对各网络单元依据通信网络安全防护标准进行符合性评测和风险评估，并进行有针对性的整改。

其中，域名注册系统只进行风险评估。

此外，检查任务还包括核查2009年通信网络安全防护检查工作中所制定整改计划的落实情况。

检查内容主要包括：（一）移动通信网。

重点评测HLR（归属位置寄存器）、GMSC/GMSCe（关口移动交换中心）、GGSN（关口通用分组无线系统交换节点）等关键设备、链路、路由冗余备份措施情况，评测入侵及攻击防范措施落实情况，评测网络设备和维护终端安全漏洞、帐号权限和口令管理、日志管理、介质管理等方面措施的落实情况；重点评估移动通信网络在冗余备份、网络攻击防范、网络设备和维护终端安全漏洞管理等方面存在的安全问题和隐患。

（二）IP承载网。

重点评测IP承载网相关设备、链路、路由冗余备份措施落实情况，评测相应的网络管理系统在系统隔离、帐号权限和口令管理、网络及设备资源保护、安全访问控制策略及配置、日志记录留存及安全审计等方面的防护措施落实情况；重点评估IP承载网和相应网络管理系统在冗余备份、网络业务流量管理和控制、网络攻击防范等方面存在的问题和隐患。

电信竞赛培训整理题（400道）1、下面对电信网和互联网安全防护体系描述不正确的是（ ABC ）。

A、指对电信网和互联网及相关系统分等级实施安全保护B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响C、利用有线和，或无线的电磁、光电系统，进行文字、声音、数据、图像或其他任何媒体的信息传递的网络，包括固定通信网、移动通信网等D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合．共同构成了电信网和互联网安全防护体系。

2、关于信息产业部电信管理局《关于电信网络等级保护工作有关问题的通知》（信电函[2006]35号）的目的，以下说法最准确的是（ B ）。

A、指导电信业加快推进信息安全等级保护，规范信息安全等级保护管理，保障和促进信息化建设B、指导电信业更好地实施信息安全等级保护工作，保证电信网络（含互联网）等级保护工作规范、科学、有序地开展C、指导电信业信息系统主管部门依照相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。

D、指导电信业各单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息系统安全等级保护定级指南》的要求，确定定级对象3、根据《关于电信系统信息安全等级保护工作有关问题的意见》（信安通[2007]14号），开展针对各地全程全网性质的电信网络的信息安全等级保护检查时，应当（ D ）A、由公安机关单独进行B、由测评单位单独进行C、会同公安机关共同进行D、会同电信主管部门共同进行4、《关于贯彻落实电信网络等级保护定级工作的通知》（信电函[2007]101号）中要求，对于经集团公司审核后，安全保护等级拟定为第3级及以上级别的定级对象，应由集团公司将定级报告（电子版）报送（ B ）评审，由专家组和电信运营企业共同商议确定定级对象的安全保护等级。

1、软件和信息技术服务行业主要法律法规如下：（1）《计算机软件保护条例》（国务院令[2013]第632号）（2）《计算机软件著作权登记办法》（国家版权局令[2002]第1号）（3）《软件产品管理办法》（工信部令[2009]第9号）（4）《软件企业认定标准及管理办法》（工信部联软[2013]64号）（5）《通信网络安全防护管理办法》（工信部(2010)令第11号）（6）《信息安全等级保护管理办法》（公通字[2007]43号）（7）《计算机信息系统安全保护条例》（国务院令第147号）（8）《国家软件产业基地管理办法》（计高技[2001]第2836号）（9）《软件出口管理和统计办法》（外经贸技发〔2001〕604号）（10）《中国软件行业基本公约》（外经贸技发〔2001〕604号）2、行业主要政策：（1）《关于鼓励软件产业和集成电路产业发展的若干政策》（国发[2000]18号）指出拓宽软件行业的融资渠道，鼓励对软件产业的风险投资，并在税收方面提供诸多优惠政策。

（2）《关于鼓励软件产业和集成电路产业发展有关税收政策问题的通知》（财税[2000]25号）进一步明确了对软件企业的税收优惠政策。

（3）《国家中长期科学与技术发展规划纲要（2006-2020年）》（国发[2005]44 号）中强调要突破制约信息产业发展的核心技术，开发支撑和带动现代服务业发展的技术和关键产品，促进传统产业的改造和技术升级，并以发展高可信网络为重点，开发网络信息安全技术及相关产品，建立信息安全技术保障体系，具备防范各种信息安全突发事件的技术能力。

（4）《实施若干配套政策》（国发[2006]6号）提出在科技投入、金融、税收、人才培养等方面对软件产业提供政策支持。

（5）《2006-2020年国家信息化发展战略》（中办发[2006]11号），提出了国家信息化发展战略目标和具体目标。

（6）《电子信息产业调整和振兴规划》（发展改革委等，2009年）指出要提高软件产业自主发展能力。

通信网络安全防护管理办法1 通信网络安全防护经过数年发展，网络信息技术已经从原来的应用阶段，进入了基础设施建设阶段，几乎所有的行业都将网络作为信息共享和业务应用的窗口。

而随着网络应用的深入，网络信息安全也显得极为重要，防范网络信息安全的首要任务便是要全面实施网络安全防护管理。

为此，国家正式出台《通信网络安全防护管理办法》。

2 《通信网络安全防护管理办法》的要求《通信网络安全防护管理办法》针对电信业务中因信息被私自篡改而导致的及窃取、毁坏、伪造及擅自改变电信业务中信息传输，盗用电信业务所造成的损失，要求网络安全防护工作承担起首要的责任。

3 实施网络安全防护措施网络安全防护的实施，包括组织管理、安全检查、安全备案、应急处置等内容。

从组织管理上来看，应当加强网络管理，明确网络管理责任，鼓励机构建立安全防护责任体系；高级管理人员应通过示范、培训及其他措施，为安全防护工作提供力量；安全管理人员应实施安全管理，持续强化安全防护工作，使其纳入信息化管理体系中。

从安全检查上来看，应定期对网络安全进行系统化的检查，提高检查的定期性和专业性；要坚持电子业务和网络资源的安全检查，使安全隐患提前被发现，从而保护网络系统正常运行；结合个人信息保护要求，实施全面的信息安全检查与检测，以确保个人信息信息安全。

从安全备案上来讲，应将网络安全备案纳入每个安全检查中，不断提升网络系统的安全性；应在安全备案中记录网络安全风险，统一管理网络安全风险评估报告；并要分析备案的安全风险，完善网络安全弱点。

从应急处置上来讲，应根据安全备案记录，对出现的网络安全事件进行全面收集、调查和统计，形成安全事件调查报告；应实行应急演练，不断探索集中应急处置的考核机制；应及时发布安全报警，大力宣传安全防护工作，促进联合应急协作。

4 总结网络安全防护是为了确保电信业务和信息安全，实施网络安全防护时，要实施组织管理、安全检查、安全备案、应急处置等内容，从而防范网络信息安全风险。

中华人民共和国工业和信息化部令第 11 号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，现予公布，自2010年3月1日起施行。

部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。

第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者（以下统称“通信网络运行单位”）管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。

本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。

本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。

第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。

各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。

工业和信息化部与通信管理局统称“电信管理机构”。

第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。

第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。

通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。

第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。

通信网络安全防护管理办法通信网络安全防护管理办法一、背景随着信息技术的快速发展，通信网络在我们的生活和工作中扮演着越来越重要的角色。

然而，通信网络也面临着越来越多的安全威胁，例如网络攻击、数据泄露以及恶意软件等。

为了保护通信网络的安全，我们需要制定一套有效的防护管理办法。

二、目标1.保护通信网络的正常运行和业务连续性。

2.防止未经授权的访问和数据泄露。

3.预防网络攻击和恶意软件的侵害。

三、管理措施1.信息安全政策和流程制定和实施一套完整的信息安全政策和流程，包括维护网络设备、用户认证、安全审核和事件响应等方面的规定。

所有员工都应该遵守这些政策和流程，并接受相应的培训。

2.网络访问控制采用强密码和用户认证机制来控制对网络的访问。

只有经过授权的用户才能够访问网络，并限制他们的权限。

对于远程访问，应该采用加密的通信协议和双因素认证等措施。

3.网络防火墙部署和配置网络防火墙来监控和过滤网络流量。

防火墙应该及时发现并拦截任何可疑的入侵行为，并记录相关信息以便后续分析。

4.数据加密和备份对重要的数据进行加密，保护其在传输和存储过程中的安全。

另外，定期对数据进行备份，以便在发生数据丢失或损坏的情况下进行恢复。

5.恶意软件防护安装和更新适当的反病毒软件和防恶意软件工具，并经常进行扫描和更新。

同样，所有用户应该被要求在使用电脑时遵守安全实践，例如不打开来路不明的附件和连接等。

6.监控和审计建立监控和审计机制，对网络流量和系统操作进行实时监控，并定期对网络和系统的安全性进行评估和审计。

7.应急响应建立应急响应机制，制定应对网络安全事件的预案。

有针对性地进行演习和培训，以保证在紧急情况下能够快速响应并迅速恢复正常运营。

四、总结通信网络安全是一个不容忽视的问题，在这个信息时代尤为重要。

通过制定和实施一系列的防护管理办法，我们可以有效地保护通信网络免受各种安全威胁的侵害。

同时，所有的人员都应该增强自身的安全意识，积极参与安全防护工作，共同维护通信网络的安全。