序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的個人信息安全應急演練樣本�,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀����。
第1篇
從8月15日開始����,北京、上海���、濟南����、廣州����、重慶等地的中國工商銀行的網(wǎng)絡數(shù)度陷入“癱瘓”:網(wǎng)上銀行無法登錄,柜臺業(yè)務和ATM處理速度緩慢或者中斷��。由于系統(tǒng)出現(xiàn)問題�����,業(yè)務無法辦理�,導致很多營業(yè)網(wǎng)點出現(xiàn)排長隊現(xiàn)象。工商銀行后來解釋了出現(xiàn)故障的原因是由于當日購買基金���、發(fā)放養(yǎng)老金和工資的業(yè)務量太大導致系統(tǒng)壓力驟增����,但無論原因到底是什么,這件事至少表明工商銀行在確保業(yè)務連續(xù)性上有所欠缺��。
事實上���,因為信息系統(tǒng)癱瘓影響業(yè)務正常運轉(zhuǎn)我們已經(jīng)不是第一次聽到��,比如首都機場就曾因離港系統(tǒng)和行李系統(tǒng)出現(xiàn)故障�����,影響了多個航班的進出港�。如今���,信息系統(tǒng)的使用大大提高了組織信息處理和業(yè)務運行的效率�。然而�,由于信息系統(tǒng)的廣泛使用,使得這些信息系統(tǒng)一旦不能正常支持組織的業(yè)務�����,給整個組織的業(yè)務帶來的影響越來越大���,有時甚至會造成難以估量的損失��。正因為業(yè)務連續(xù)性管理(Business Continuity Management�����,BCM)對組織的業(yè)務和信息安全如此重要����,而一旦發(fā)生業(yè)務中斷所造成的損失又如此巨大�����,使得對業(yè)務連續(xù)性的關注已經(jīng)成為信息安全領域關注的一大焦點��。
業(yè)務連續(xù)性管理的過程
在信息安全管理國際標準ISO 27001(BS7799)中已經(jīng)建立了信息安全管理體系的模型�����,其中業(yè)務連續(xù)性管理(BCM)被作為一個重要部分包括在模型中�。去年11月BSI了一個新的標準BS25999-1,這是業(yè)務連續(xù)性管理的最佳實踐標準�����,相應的認證標準BS25999-2也將在今年出臺�����。這對于公共基礎設施的提供者,金融電信等信息時代的基礎支撐行業(yè)來說����,不但有了實踐的指南還有了檢驗的標準。
根據(jù)這些最佳實踐指南�,業(yè)務連續(xù)性管理的實施包括一系列企業(yè)管理行為,具體實施過程可以分為以下六個步驟���,其中核心是制定并實施業(yè)務連續(xù)性計劃�。
下面詳細介紹BCM實施過程中各步驟所需要執(zhí)行的主要任務。
步驟1: 啟動項目
項目啟動階段的主要工作是為項目分配必需的資源和進行前期的準備工作。項目啟動階段所包括的工作主要有:
1.得到領導層對項目的支持
組織中信息化或信息安全的領導(如CIO或CSO)應參與項目實施�,并通過各種形式(如文件��、會議等)向組織內(nèi)所有成員傳達領導層對該項目的重視和支持����。最重要的是讓管理層知道組織的真正風險在哪里,這些風險造成的后果是什么����,每一項風險會造成的潛在損失有多大。沒有這種理解����,管理層對BCM的支持不能落到實處���,也不能保證在實施過程對必要的資源、資金和時間方面的投入���,最后可能會導致項目實施的失敗。
2.明確項目實施的組織結(jié)構和角色責任
項目實施需要合適的人員來完成特定的任務��,明確項目實施的組織機構和相關人員的角色責任是項目啟動階段非常重要的一項任務�。項目實施的組織機構與組織的規(guī)模和涉及的系統(tǒng)有關,一般可以分為項目管理機構和項目實施機構兩種�。項目管理機構負責項目實施過程中的決策,項目實施機構負責項目的具體實施����,可以進一步細分為損害評估小組、服務器恢復小組��、網(wǎng)絡恢復小組����、物理/人員安全小組等等。
3.為項目實施分配資源
包括管理機構和實施機構在內(nèi)的項目成員通過對項目規(guī)模����、難度等各方面的估計�����,確定項目實施所需的資源�,包括人員��、場地����、資金和時間等。引入外部的服務提供商是解決資源不足問題的可行辦法��。服務提供商可以提供BCM的咨詢服務���,也可以解決組織在提高業(yè)務連續(xù)性方面所需的備用設備���、場地、設施等方面的需求��。
4.安排項目的實施進度與時間
為使項目能夠順利實施�,需要將項目實施劃成分若干階段,并安排每個階段的進度計劃和主要任務��。由于業(yè)務連續(xù)性管理可能會涉及到多個部門之間的協(xié)調(diào),而且往往復雜度較高��,最好在項目實施進度中留出一定的機動時間��,保證整個項目最終完成時間不會改變���。
在上述幾項工作完成后�����,BCM項目已經(jīng)明確了項目實施的組織機構,明確了角色和職責�����,安排了所需的資源��,制定了項目的實施時間����。接下來,項目就可以進入下一步――業(yè)務影響分析階段����。
步驟2: 業(yè)務影響分析
業(yè)務連續(xù)性管理必須考慮到所有可能發(fā)生的安全事故和災難���,并對其潛在的損害做出估計,以制定可行的控制策略��,進而預防這些事故的發(fā)生���,而這正是業(yè)務影響分析(Business Impact Analysis����,BIA)所要關注的方面���,它是實施BCM的關鍵性的一步�。
對業(yè)務安全性的威脅一般可以分為以下三類:
來自自然的威脅���,如颶風�、龍卷風���、洪水和火災��;
來自人類自己的����,如操作員錯誤、破壞�、植入有害代碼和恐怖襲擊;
其他威脅�,如設備故障、軟件錯誤���、電信網(wǎng)絡中斷和電力故障�。
最重要的是找出所有的威脅�����,分析這些威脅發(fā)生的概率����,估算對組織業(yè)務所帶來的損失�����。風險評估與分析是進行業(yè)務影響分析的常用方法���,它收集定性和定量的信息��,包括威脅信息�、組織脆弱點信息、已有的安全控制信息等����,通過風險分析方法得出風險的大小和可能造成的損失。要注意的是�,業(yè)務影響分析與風險管理并不完全相同,業(yè)務影響分析更為關注業(yè)務的中斷以及業(yè)務中斷所帶來的損失�����。BIA階段一般包括以下這些任務:
1.確定關鍵業(yè)務功能和損失標準
需要確定基本的業(yè)務功能�,這些業(yè)務功能可能包括: IT網(wǎng)絡支持、數(shù)據(jù)處理�、會計、軟件開發(fā)���、采購��、通信等��。由于這些業(yè)務功能和它們的實施部門之間存在依賴關系����,因此在保護和恢復時也應該按照一定的步驟進行。
明確了威脅和確定了關鍵的業(yè)務功能之后����,就可以對每種威脅造成的影響制定特定的損失標準,需要考慮的因素包括利潤的損失���、運行費用的增加�、違反合同造成的損失�、生產(chǎn)力方面的損失、組織聲望的損失等�。這些損失可能是直接的,也可能是間接的����,有些是有定量數(shù)字的,有些是定性估計的�����,都應該以合適的方式計入����。
2.確定最大容忍時間
確定了組織賴以生存的關鍵系統(tǒng)之后����,應根據(jù)事故或災難所造成的損失標準估計萬一不幸事件發(fā)生時�,組織可以容忍的最大時間�����。一般來說��,最大容忍時間可以分為以下幾個級別:
無關緊要:30天;
正常:7天;
重要:72小時;
緊急:24小時;
關鍵:幾分鐘到幾小時���,一般不超過12小時�。
3.確定恢復的優(yōu)先順序
組織內(nèi)一般包括有多個業(yè)務功能�,而組織的各種資源是有限的。在發(fā)生較大的事故或災難(如電力中斷���、地震)時����,多個業(yè)務功能都可能會受到影響�����,所以�,必須根據(jù)各業(yè)務功能的關鍵程度和最大容忍時間�,確定各業(yè)務功能恢復的優(yōu)先順序���,并為關鍵的業(yè)務功能優(yōu)先提供所需要的資源���。
步驟3: 確定恢復策略
確定恢復策略指的是確定和指導備用業(yè)務恢復運行策略的選擇,以便在指點的恢復時間內(nèi)恢復信息系統(tǒng)��,以支持機構的關鍵業(yè)務��。
根據(jù)業(yè)界的實踐�,業(yè)務中斷所造成的損失是隨著中斷時間的增大而大幅上升的,而恢復業(yè)務的費用則隨著恢復時間的縮短而大幅上升��。對于組織來說����,確定恢復策略的一個關鍵任務就是在業(yè)務中斷時間和業(yè)務恢復費用之間取得適當?shù)钠胶狻?/p>
從備份站點來看,可以分為冷站(cold site)�����、暖站(warm site)���、熱站(hot site)三種方式���。冷站只提供基本的工作環(huán)境、電線��、空調(diào)等�����,在恢復時要花費很長的時間���,可能會有幾個星期;熱站則具有完全的配置��,一般使用在分鐘級或小時級的恢復環(huán)境下����,也最為昂貴���。從備份類型來看�,可以分為增量備份���、差量備份����、完全備份傳遞三種方式;從備份數(shù)據(jù)傳輸方式來看,可以分為手工傳送����、電子備份傳送、實時備份等方式�。組織還可以選擇與內(nèi)部或外部機構簽訂互惠協(xié)議,或者與設備供應商簽署服務合同�����。具體選擇時��,組織要綜合考慮邏輯性�����、可行性��、經(jīng)濟性等多方面因素�,確定適合自身業(yè)務要求的恢復策略。
步驟4: 編制業(yè)務連續(xù)性計劃
業(yè)務連續(xù)性計劃(BCP)樣式有多種�����,但一般都包括以下內(nèi)容:支持信息�����、通知/啟動、業(yè)務恢復和業(yè)務復原��。
1.支持信息
支持信息部分提供了重要的背景或相關信息�����,使得BCP更容易被理解�、實施和維護����。支持信息部分一般包括以下內(nèi)容:
目的。介紹制定BCP的原因和定義BCP的目標���。
范圍����。說明有哪些部門和運營業(yè)務需要實施BCP�。另外,BCP所包括的業(yè)務中斷范圍也要說明�,如計劃可能不會涉及預計持續(xù)時間小于四個小時的短期中斷。
組織�����。描述應急團隊的整體結(jié)構,包括各團隊的等級劃分��、協(xié)調(diào)機制�、角色與職責等。
資源需求�。人員、設備���、技術/數(shù)據(jù)���、安全、運輸�、福利和緊急事件的費用。
系統(tǒng)描述��。對有必要包括在BCP中的IT系統(tǒng)的一般描述��,包括系統(tǒng)的架構��、現(xiàn)有安全防護措施等���。
變化記錄�����。對BCP變更的記錄��。
2.通知/啟動
也稱為應急響應�����。該部分定義了在探測到系統(tǒng)中斷或緊急情況發(fā)生或即將到來時采取的初步行動��,如通知恢復人員�、評估系統(tǒng)損害和實施計劃的活動�����。一般包括以下內(nèi)容:
告知規(guī)程���。包括告知樹���、告知信息、通信方法等�����。
損害評估。評估事件可能帶來的業(yè)務影響和損害�����。
計劃的啟動�����。計劃的啟動條件和恢復策略確定���。
3.業(yè)務恢復
業(yè)務恢復集中于建立臨時IT處理能力��、修復原系統(tǒng)���、在原系統(tǒng)或新設施中恢復運行能力等應急措施。在恢復階段完成后��,系統(tǒng)將可以運行并執(zhí)行計劃中指定的功能��。業(yè)務恢復計劃一般也被稱為災難恢復計劃(DRP)��。
計劃的這一部分應該按照操作手冊的形式編排�����,由一系列簡單明確的指令構成,這樣恢復團隊可以完全按照這些指令進行恢復操作�����。各種操作之間的相互關系也必須加以明確說明�,所有的指令和說明必須明白無誤,以免因可能引起誤解或不明了而導致時間損失�。
4.業(yè)務復原
為業(yè)務運營復原原有場所或新建場所應采取的步驟等應在此加以說明。需要標明每個團隊負責人的責任和任務���,一般包括:
提供基礎設施,如電力�����、辦公設備等���。
系統(tǒng)安裝���,包括軟硬件。
測試被恢復系統(tǒng)的運行���。
將應急系統(tǒng)中的運行數(shù)據(jù)上載到被恢復系統(tǒng)中�����。
關閉應急系統(tǒng)�。
應急場所中敏感信息與材料的處置。
其他操作���。
步驟5: 測試和演練計劃
技術��、業(yè)務方法以及員工角色和責任的變化都將影響和降低業(yè)務應急計劃的效率并最終影響到機構的準備狀態(tài)����。因此����,通過對業(yè)務應急計劃的測試來測量其可用性和有效性是很重要的。測試還將使員工熟悉恢復站點的位置以及中斷期間所需的恢復規(guī)程�。測試的目標是確保機構在啟動業(yè)務連續(xù)性計劃后能夠按照計劃可靠、及時和有效地恢復運行���。
測試的過程需要進行詳細的規(guī)劃����,測試計劃還應該包括每項測試的詳細時間表和測試的參與者。測試計劃還應該清晰地描述測試范圍����、場景和后勤。場景可以選擇為最糟糕的事故或最有可能發(fā)生的事故�����,并盡量模仿真實情況����。
有兩種基本的演練方式:
課堂演練 課堂演練的參與者在桌面上對規(guī)程進行排演而不實際進行恢復操作。在兩種演練類型中課堂演練是最基本和最經(jīng)濟的����,應該在執(zhí)行功能演練之前執(zhí)行。
功能演練 功能演練比桌面上的演練更進一步����,要求虛構事件���。功能演練包括模擬和戰(zhàn)術演練���。通常會為扮演外部機構的角色演員寫好腳本或者有真正的相關機構或供應商參與�����。功能演練可以包括針對備用站點的實際配置和(或)系統(tǒng)切換����。
組織對其業(yè)務連續(xù)性計劃一年至少要測試一次���。管理層應該參與到測試中并熟悉其在計劃啟動時的角色和責任��。
步驟6: 維護與更新計劃
業(yè)務連續(xù)性計劃必須周期性地加以檢查和維護��。為了使其更加有效�����,計劃必須維持在能夠正確反映系統(tǒng)需求����、規(guī)程�、機構架構和策略的就緒狀態(tài)。計劃應該至少每年進行一次針對正確性和完整性的檢查��,一旦有新的系統(tǒng)�、新的業(yè)務流程或者新的商業(yè)行動計劃加入企業(yè)的生產(chǎn)系統(tǒng)或者信息系統(tǒng)���,引起企業(yè)整體系統(tǒng)發(fā)生變化時,就更應該強制啟動這種檢查程序��。某些部分應該得到更頻繁的檢查���,如聯(lián)絡清單��。根據(jù)系統(tǒng)類型和重要程度的不同�����,對計劃內(nèi)容和規(guī)程的評估可能會更加頻繁�。計劃的檢查至少要關注以下內(nèi)容:
運行需求;
安全需求;
技術規(guī)程;
硬件���、軟件和其他設備(類型�、規(guī)格和數(shù)量);
團隊成員的姓名和聯(lián)絡信息;
供應商���,包括備用和離站供應商協(xié)調(diào)人的姓名和聯(lián)絡信息;
備用和離站設施需求;
關鍵記錄(電子的或硬拷貝)�����。
每一次在執(zhí)行這種檢查程序時��,最好是與對BCP的改進相互結(jié)合����。例如���,在測試過程中發(fā)現(xiàn)的問題���、組織為了實現(xiàn)連續(xù)性對機構所做的調(diào)整或者在保持業(yè)務連續(xù)性測試時發(fā)現(xiàn)了更好的行動方式和計劃等等。因此���,BCP的維護應該是變化和改進的結(jié)合與不斷促進�����。另外�,BCP中可能包含有潛在的敏感操作和個人信息�����,所以對BCP的分發(fā)應該根據(jù)需要進行標記和控制��。(本文作者為BSI中國公司的咨詢顧問)
相關
業(yè)務連續(xù)性管理的關鍵點
在實行BCM過程中����,以下因素是組織應重點考慮的:
爭取管理層的支持和參與�。沒有管理層的支持�,業(yè)務連續(xù)性計劃的制定和實施都是十分困難的,很有可能會流產(chǎn)���。
建立業(yè)務連續(xù)性管理文化����。通過培訓和意識教育���,使業(yè)務連續(xù)性管理成為企業(yè)核心價值和有效管理的一部分�。
業(yè)務連續(xù)性計劃團隊要有明確的組織結(jié)構���,角色和責任應明確���、清晰,要對相關人員進行培訓�����。如果參與人員不能清楚地知道自己該做什么,災難發(fā)生時只能是一片混亂���。
恢復策略的確定要綜合考慮恢復成本與災難損失,在其中取得一個適當?shù)钠胶恻c��。超過損失的恢復是毫無意義的��。
第2篇
截至2014年6月底�����,作為非P2P網(wǎng)絡小額貸款的典型代表���,阿里金融旗下的小額貸款公司累計發(fā)放貸款超過2000億元�,服務小微企業(yè)達80萬家��。眾籌融資�。截至2014年6月底,全國約有眾籌融資平臺100家�,其中“天使匯”自創(chuàng)立以來累計有8000個創(chuàng)業(yè)項目,創(chuàng)業(yè)者會員超過20000人���,融資總額超過2.5億元���?���;诨ヂ?lián)網(wǎng)的基金銷售�����。截至2014年9月底�����,支付寶平臺的“余額寶”規(guī)模達5349億元����,用戶數(shù)增至1.49億,天弘基金由此成為國內(nèi)規(guī)模最大的基金管理公司����。
二、互聯(lián)網(wǎng)金融信息安全風險分析
互聯(lián)網(wǎng)金融的迅猛發(fā)展�,在給我國經(jīng)濟金融帶來活力、給大眾帶來便利的同時���,也存在著大量的風險隱患���。同所有金融業(yè)務一樣��,互聯(lián)網(wǎng)金融存在流動性風險����、信用風險��、洗錢風險等��,在此��,本文僅從信息安全的角度分析互聯(lián)網(wǎng)金融風險����。
(一)客戶端安全認證風險�。客戶端通常采用用戶名和密碼方式進行認證���,用戶計算機在感染病毒���、木馬程序或被黑客攻擊后,用戶的賬戶�����、密碼、驗證碼等敏感信息會在未經(jīng)安全認證的情況下���,通過鍵盤記錄或屏幕錄制等方式���,被發(fā)送至黑客指定服務器的后端,嚴重威脅互聯(lián)網(wǎng)金融賬戶和密碼安全���。
(二)信息通信風險����?��;ヂ?lián)網(wǎng)金融業(yè)務通過網(wǎng)絡在銀行�、互聯(lián)網(wǎng)金融機構�、用戶之間進行數(shù)據(jù)傳輸,數(shù)據(jù)傳輸過程要求進行數(shù)據(jù)加密���。網(wǎng)絡傳輸系統(tǒng)被侵入或者加密算法被黑客攻破�,將導致用戶的資金�����、賬號、密碼在網(wǎng)絡中以明文傳輸�,造成客戶信息泄露,嚴重影響客戶資金及信息安全�����。
(三)系統(tǒng)漏洞風險�?;ヂ?lián)網(wǎng)金融業(yè)務系統(tǒng)無論采用Java技術還是其他技術進行開發(fā),均可能存在一些系統(tǒng)漏洞和安全隱患�����。黑客會搜尋并利用系統(tǒng)漏洞進行攻擊來獲得非法利益���,給互聯(lián)網(wǎng)金融業(yè)務帶來巨大的信息安全風險�。
(四)數(shù)據(jù)安全風險���?��;ヂ?lián)網(wǎng)金融業(yè)務數(shù)據(jù)要求絕對安全和保密���。用戶基本信息、支付信息�、資金信息、業(yè)務處理信息��、數(shù)據(jù)交換信息等丟失��、泄露和被篡改��,都會給商業(yè)銀行及互聯(lián)網(wǎng)金融機構帶來不可估量的損失��。在互聯(lián)網(wǎng)的開放式環(huán)境中�����,互聯(lián)網(wǎng)金融業(yè)務系統(tǒng)應確保數(shù)據(jù)輸入和傳輸?shù)耐暾?����、安全性與可靠性���,防止對數(shù)據(jù)的非法篡改��,實現(xiàn)對數(shù)據(jù)非法操作的監(jiān)控與制止�。
(五)系統(tǒng)應急風險。目前���,大多數(shù)互聯(lián)網(wǎng)金融機構在系統(tǒng)建設和運行中��,特別是尚未納入監(jiān)管體系的P2P等機構�,不能嚴格執(zhí)行應急演練計劃����。電力中斷、地震�、洪水等災害的發(fā)生,將導致系統(tǒng)數(shù)據(jù)丟失�����,給互聯(lián)網(wǎng)金融機構造成巨大損失���。
(六)內(nèi)部控制風險?��;ヂ?lián)網(wǎng)金融內(nèi)控制度是為了保護金融資產(chǎn)的安全完整��,形成的一系列具有控制職能的方法��、措施和程序��?����;ヂ?lián)網(wǎng)金融業(yè)務內(nèi)控制度建設或執(zhí)行不到位��,會導致業(yè)務操作處理過程中出現(xiàn)安全隱患�����,如由單個系統(tǒng)管理員重置客戶密碼或調(diào)整客戶賬戶信息等�����,將造成互聯(lián)網(wǎng)金融信息安全風險�。
(七)外包管理風險。由于專業(yè)技術人員不足���,許多互聯(lián)網(wǎng)金融機構通過購買第三方外部服務的方式來獲取技術支持�����。外包服務管理不到位����、外包服務公司經(jīng)營不善或破產(chǎn),都會給互聯(lián)網(wǎng)金融機構帶來數(shù)據(jù)泄密的風險�����,嚴重影響互聯(lián)網(wǎng)金融業(yè)務安全穩(wěn)定運行���。
(八)操作風險�����。操作風險來源于機構內(nèi)部員工或用戶的錯誤操作�、惡意操作����。互聯(lián)網(wǎng)金融機構員工對業(yè)務不熟悉���,可能導致業(yè)務操作風險,從而危及互聯(lián)網(wǎng)金融業(yè)務的總體安全����。同樣�����,互聯(lián)網(wǎng)金融業(yè)務也可能因為客戶缺乏網(wǎng)絡安全知識��、安全意識淡薄而面臨相當高的操作風險��。
(九)法律風險��。法律風險來源于網(wǎng)上交易過程中違反相關法律����、法規(guī)和制度����,以及未能遵守有關權利義務的規(guī)定。電子商務和互聯(lián)網(wǎng)金融業(yè)務在我國正處于加快發(fā)展階段�����,政府相關法律法規(guī)對網(wǎng)上交易權利與義務的規(guī)定仍不清晰����,互聯(lián)網(wǎng)金融存在著相當大的法律風險。
三、互聯(lián)網(wǎng)金融信息安全風險防范
(一)構建互聯(lián)網(wǎng)金融信息安全保障體系����。一是改善互聯(lián)網(wǎng)金融的運行環(huán)境。在硬件配置方面����,加大對計算機信息安全設備的投入,增強系統(tǒng)的抗攻擊���、防病毒能力���;在系統(tǒng)運行方面,通過身份識別����、分級授權、短信驗證等多種登錄方式����,限制非法用戶登錄互聯(lián)網(wǎng)金融網(wǎng)站。二是加強數(shù)據(jù)安全管理��。將互聯(lián)網(wǎng)金融納入現(xiàn)代金融體系的發(fā)展規(guī)劃��,制訂統(tǒng)一的技術標準規(guī)范����;利用數(shù)字證書與加密技術保障互聯(lián)網(wǎng)金融業(yè)務的交易主體的信息安全,防范交易過程中的不法行為����。三是開發(fā)具有自主知識產(chǎn)權的信息安全技術。大力發(fā)展國產(chǎn)加密技術�����、密鑰管理技術及數(shù)字簽名技術���,提高信息系統(tǒng)的安全技術水平和關鍵設備的安全防御能力��,保護互聯(lián)網(wǎng)金融安全�。
(二)健全互聯(lián)網(wǎng)金融信息風險管理體系�。一是加強互聯(lián)網(wǎng)金融機構的內(nèi)部控制?�;ヂ?lián)網(wǎng)金融機構應制定完備的計算機安全管理辦法和互聯(lián)網(wǎng)金融風險防范制度�����,加強制度學習落實,完善業(yè)務操作規(guī)程���;充實內(nèi)部科技力量����,建立從事防范互聯(lián)網(wǎng)金融信息風險的專業(yè)技術隊伍��。二是加快社會信用體系建設��。以人民銀行的企業(yè)��、個人征信系統(tǒng)為基礎��,建立客觀全面的企業(yè)�、個人信用評估體系和電子商務身份認證體系,避免互聯(lián)網(wǎng)金融業(yè)務提供者因信息不對稱作出不利選擇����;針對從事互聯(lián)網(wǎng)金融業(yè)務的機構建立信用評價體系,降低互聯(lián)網(wǎng)金融業(yè)務的不確定性���,避免客戶因不了解互聯(lián)網(wǎng)金融機構的業(yè)務服務質(zhì)量而作出逆向選擇���。
(三)加強防范互聯(lián)網(wǎng)金融信息風險的法制體系建設��。一是加大互聯(lián)網(wǎng)金融的立法力度�����。及時制定和頒布互聯(lián)網(wǎng)金融法律法規(guī),在電子交易的合法性���、電子商務的安全性以及禁止利用互聯(lián)網(wǎng)犯罪等方面加快立法���,明晰互聯(lián)網(wǎng)金融業(yè)務各交易主體的權利和義務。二是修改完善現(xiàn)行法律法規(guī)���。修訂現(xiàn)有法律法規(guī)中不適合互聯(lián)網(wǎng)金融發(fā)展的部分��,對利用互聯(lián)網(wǎng)實施金融犯罪的行為加大量刑力度����,明確造成互聯(lián)網(wǎng)金融信息風險應承擔的法律責任��。三是制定網(wǎng)絡公平交易規(guī)則�����。在識別數(shù)字簽名、保存電子交易憑證��、保護消費者個人信息�����、明確交易主體的責任等方面作出詳細規(guī)定��,確?��;ヂ?lián)網(wǎng)金融業(yè)務的有序開展�。
第3篇
湖南省通信條例
第一章 總 則
第一條 為了規(guī)范通信設施的建設����,提高通信服務質(zhì)量,保障通信安全�����,促進通信業(yè)的健康發(fā)展���,維護通信用戶和通信業(yè)務經(jīng)營者的合法權益�����,根據(jù)《中華人民共和國網(wǎng)絡安全法》���、國務院《電信條例》和有關法律�����、行政法規(guī),結(jié)合本省實際��,制定本條例����。
第二條 本省行政區(qū)域內(nèi)通信設施的建設和保護、通信服務的規(guī)范���、通信安全的保障以及通信業(yè)監(jiān)督管理等活動����,適用本條例����。
本條例所稱通信,是指個人����、組織相互之間利用有線���、無線的電磁系統(tǒng)或者光電系統(tǒng)傳送、發(fā)射�、接收語音、文字����、數(shù)據(jù)、圖像以及其他形式信息���,實現(xiàn)信息互通的活動���。
本條例所稱通信設施,是指為社會公眾提供通信服務���,用于實現(xiàn)通信功能的交換設備��、傳輸設備和配套設備等;通信基礎設施�����,是指通信機房�����、通信光纜���、電纜�����、通信桿路�、移動基站等通信設施�����。
第三條 縣級以上人民政府應當將通信業(yè)納入國民經(jīng)濟和社會發(fā)展規(guī)劃�����,將通信基礎設施專項規(guī)劃納入城鄉(xiāng)規(guī)劃�,加強通信業(yè)監(jiān)管體系建設�,統(tǒng)籌協(xié)調(diào)解決通信業(yè)發(fā)展中的重大問題。
第四條 省通信管理機構應當根據(jù)本省國民經(jīng)濟和社會發(fā)展規(guī)劃組織編制全省通信行業(yè)發(fā)展規(guī)劃并對全省通信業(yè)實施監(jiān)督管理���。省通信管理機構可以委托有關行政機關或者具有管理公共事務職能的組織(以下與省通信管理機構統(tǒng)稱通信管理機構)履行有關監(jiān)管職責�。
縣級以上人民政府經(jīng)濟和信息化、網(wǎng)信���、住房和城鄉(xiāng)建設���、城鄉(xiāng)規(guī)劃、公安�����、環(huán)境保護��、無線電管理等有關行政主管部門按照各自職責����,做好通信業(yè)相關工作。
鄉(xiāng)鎮(zhèn)人民政府����、街道辦事處和村(居)民委員會協(xié)助做好通信設施建設、保護等方面的相關工作��。
第二章 通信設施
第五條 設區(qū)的市����、自治州人民政府城鄉(xiāng)規(guī)劃行政主管部門會同通信管理機構編制通信基礎設施專項規(guī)劃��,報本級人民政府批準后實施�。
編制通信基礎設施專項規(guī)劃����,應當符合城市總體規(guī)劃、縣城總體規(guī)劃和土地利用總體規(guī)劃�����,并遵循統(tǒng)籌協(xié)調(diào)���、集約建設的原則�,避免重復建設和資源浪費����。
第六條 省通信管理機構應當組織協(xié)調(diào)推進全省通信基礎設施均衡建設��,加強農(nóng)村通信基礎設施建設和城市舊城區(qū)通信基礎設施改造��,完善網(wǎng)絡覆蓋����。
第七條 規(guī)劃道路����、橋梁����、隧道等公共基礎設施,應當同步考慮通信設施建設需要�����,及時與通信管理機構協(xié)商預留通信管線等事宜����。
新建、改建�、擴建民用建筑,建設單位應當按照國家標準將配套通信設施納入建設項目的設計文件�,隨主體工程同步施工、驗收并將所需經(jīng)費納入建設項目概算�,但移動通信基站應當由通信業(yè)務經(jīng)營者建設并承擔所需費用。
第八條 通信業(yè)務經(jīng)營者進入居民住宅內(nèi)新建或者改建通信設施的�����,應當征得業(yè)主同意;在其他已有建筑物上新建或者改建通信設施,應當事先告知建筑物的所有人����、管理人或者使用人。
已有建筑物的所有人�����、管理人或者使用人應當為新建����、改建通信設施提供通行便利和必要的場地,場地使用費按照國家和省人民政府的規(guī)定執(zhí)行���。
第九條 通信業(yè)務經(jīng)營者不得通過與建筑物的建設單位�����、所有人���、管理人或者使用人簽訂排他性協(xié)議等方式���,阻礙其他通信業(yè)務經(jīng)營者接入和使用配套通信設施��,限制通信用戶自主選擇權��。建筑物的建設單位���、所有人���、管理人或者使用人應當為各通信業(yè)務經(jīng)營者提供平等接入和使用配套通信設施的條件。
第十條 通信業(yè)務經(jīng)營者應當在大型公共場所和建筑物內(nèi)的移動通信信號盲區(qū)�����、弱區(qū)��,設置移動通信網(wǎng)絡室內(nèi)分布系統(tǒng)�����。
移動通信網(wǎng)絡室內(nèi)分布系統(tǒng)的設計����、建設應當符合國家有關標準,滿足多套移動蜂窩網(wǎng)絡數(shù)據(jù)系統(tǒng)共享要求��。
第十一條 省通信管理機構應當根據(jù)通信行業(yè)發(fā)展規(guī)劃和通信基礎設施專項規(guī)劃�����,組織通信業(yè)務經(jīng)營者開展通信設施共建共享工作,推進通信網(wǎng)與廣播電視傳輸網(wǎng)�����、互聯(lián)網(wǎng)的共建共享���,避免資源浪費和重復建設�����。
通信業(yè)務經(jīng)營者應當根據(jù)技術可行����、節(jié)約資源���、合理負擔的原則���,協(xié)商共建共享通信設施。新建����、改建、擴建桿塔�、基站、管道等通信設施應當實行聯(lián)合建設;已有的管道�����、桿塔�、基站等通信設施應當開放共享,不具備共享條件的應當采取技術改造�、擴建等方式進行共建共享。因資源整合或者布局調(diào)整�,移動通信基站等通信設施不再使用的,應當及時拆除�。
第十二條 通信業(yè)務經(jīng)營者在建筑物上附掛通信線路或者設置小型天線、移動通信基站等通信設施時���,應當符合建筑物荷載要求����,保證建筑物安全�、正常使用;造成人身傷害、財產(chǎn)損失的����,應當依法承擔賠償責任��。
第十三條 鼓勵設區(qū)的市��、縣(市)人民政府統(tǒng)籌規(guī)劃建設地下綜合管廊�����,為通信線路入地提供條件���。具備通信線路入地條件的,在城市規(guī)劃區(qū)內(nèi)不得建設架空通信線路����,城市建成區(qū)內(nèi)已有的架空通信線路應當逐步入地。
在風景名勝區(qū)��、文物保護區(qū)和歷史文化街區(qū)����、名鎮(zhèn)、名村建設通信設施�����,應當采取景觀化或者隱蔽化建設方案。
第十四條 通信設施建設應當文明�����、安全施工�����,避免或者減少影響居民�、單位的正常生產(chǎn)生活���。施工結(jié)束后�����,應當將施工過程中損壞的建筑物���、綠地、道路等恢復原狀;不能恢復原狀的�,應當按照國家相關規(guī)定給予補償或者賠償。
第三章 通信服務
第十五條 在本省經(jīng)營通信業(yè)務��,應當依法取得行政許可�����。運用新技術試辦《電信業(yè)務分類目錄》未列出的新型電信業(yè)務的,應當向省通信管理機構備案�。
通信業(yè)務經(jīng)營者許可或者備案事項發(fā)生變更的,應當向原許可或者備案機關辦理變更手續(xù)�����。
第十六條 通信業(yè)務經(jīng)營者應當執(zhí)行國家服務標準��,為通信用戶提供準確���、安全�、便捷��、暢通和價格合理的通信服務��,采取多種形式廣泛聽取通信用戶意見�����,提升服務質(zhì)量����。
第十七條 通信用戶辦理網(wǎng)絡接入�、變更���、注銷等手續(xù)時���,應當提供真實身份信息,通信業(yè)務經(jīng)營者應當對通信用戶身份信息進行核驗��。通信用戶不提供真實身份信息的����,通信業(yè)務經(jīng)營者不得為其提供通信服務��。
第十八條 通信業(yè)務經(jīng)營者應當通過系統(tǒng)監(jiān)控��、日常巡查����、定期查訪等方式加強對通信業(yè)務商的管理,及時采取有效措施規(guī)范商的行為��。
第十九條 通信業(yè)務經(jīng)營者應當公開服務項目及其資費標準����,為通信用戶交費和查詢提供方便。通信用戶要求提供收費清單的,通信業(yè)務經(jīng)營者應當免費提供�����。收費清單應當按照國家規(guī)定詳細記錄相關內(nèi)容���。
第二十條 通信業(yè)務經(jīng)營者在為用戶辦理入網(wǎng)����、變更�、注銷等手續(xù)時,應當根據(jù)國家相關要求簽訂通信服務協(xié)議��。通信服務協(xié)議中不得含有對通信用戶不公平����、不合理的條款,通信服務協(xié)議中的限制性條件及其他需要注意的事項��,通信業(yè)務經(jīng)營者應當用顯著的方式告知通信用戶����。
通信服務協(xié)議有效期間,通信業(yè)務經(jīng)營者有義務保存所訂立的協(xié)議�。
第二十一條 通信業(yè)務經(jīng)營者對固定語音��、移動語音���、短信息、固定寬帶�����、移動數(shù)據(jù)等業(yè)務進行組合銷售時��,應當另行提供單項業(yè)務服務����。
第二十二條 通信用戶產(chǎn)生超出前三個月平均通信費用五倍以上的異常通信費用時�,通信業(yè)務經(jīng)營者應當立即告知通信用戶,并采取相應的措施����。
第二十三條 通信業(yè)務經(jīng)營者應當規(guī)范消費提醒方式,采用相對固定的渠道和統(tǒng)一方式向通信用戶提供消費提醒服務�����。
因通信用戶預付通信費不足可能導致暫停通信服務的�,通信業(yè)務經(jīng)營者應在合理的時段內(nèi)���,提前提醒通信用戶及時交納通信費用。
通信業(yè)務經(jīng)營者未按照國家規(guī)定提供消費提醒服務���,不得向通信用戶收取通信費用違約金����。
第二十四條 通信業(yè)務經(jīng)營者應當定期委托有資質(zhì)的第三方檢測機構對計費系統(tǒng)進行檢測�����,向社會公布檢測結(jié)果并向省通信管理機構報告���。
省通信管理機構應當不定期地對通信業(yè)務經(jīng)營者的計費系統(tǒng)進行抽查�,將抽查結(jié)果告知通信業(yè)務經(jīng)營者并向社會公布����。
第二十五條 通信業(yè)務經(jīng)營者、電子信息內(nèi)容提供者未與通信用戶約定����,不得向其發(fā)送商業(yè)性電子信息。
通信業(yè)務經(jīng)營者發(fā)現(xiàn)電子信息內(nèi)容提供者違反前款規(guī)定發(fā)送商業(yè)性電子信息的��,應當暫停或者停止為其提供相關的通信資源或者服務�,并保存有關記錄。
第二十六條 因工程施工或者通信設施建設等原因可能影響正常通信服務的����,通信業(yè)務經(jīng)營者應當提前七十二小時告知相關用戶;可能對通信服務造成重大影響的,應當向省通信管理機構報告�����。
第二十七條 通信用戶申告通信服務故障的����,通信業(yè)務經(jīng)營者應當及時修復。故障發(fā)生在城鎮(zhèn)的��,通信業(yè)務經(jīng)營者應當自接到申告之日起四十八小時內(nèi)修復;故障發(fā)生在農(nóng)村的�,通信業(yè)務經(jīng)營者應當自接到申告之日起七十二小時內(nèi)修復;因特殊原因不能在上述時限內(nèi)修復的�,通信業(yè)務經(jīng)營者應當及時通知通信用戶,并免收故障期間的服務費用�����。但是��,屬于通信用戶終端設備的原因造成通信服務障礙的除外。
第二十八條 通信業(yè)務經(jīng)營者在通信服務中�����,不得有下列行為:
(一)未征得通信用戶同意�,為其開通約定以外的通信服務項目;
(二)無正當理由拒絕、拖延或者中止提供通信服務;
(三)不履行公開作出的承諾或者作虛假宣傳;
(四)擅自增加收費項目�����、提高與通信用戶約定的資費標準或者擅自改變與通信用戶約定的計費方式���、收費方法�,偽造�、篡改通信用戶的計費數(shù)據(jù)及其他與計費有關的記錄;
(五)捏造、散布虛假事實損害其他通信業(yè)務經(jīng)營者的合法權益或者貶低��、詆毀其他通信業(yè)務經(jīng)營者的企業(yè)形象���、商業(yè)信譽�、業(yè)務品牌�����,惡意對其他通信業(yè)務經(jīng)營者的服務或者產(chǎn)品實施不兼容行為,欺騙�、誤導或者強迫用戶不使用其他通信業(yè)務經(jīng)營者依法提供的服務;
(六)其他損害通信用戶或者其他通信業(yè)務經(jīng)營者合法權益的行為。
第二十九條 通信用戶認為通信業(yè)務經(jīng)營者侵犯自己合法權益的�����,可以向通信業(yè)務經(jīng)營者投訴����,通信業(yè)務經(jīng)營者應當在接到投訴之日起十五日內(nèi)答復;對答復結(jié)果不滿意或者通信業(yè)務經(jīng)營者在十五日內(nèi)未答復的,通信用戶可以向省通信管理機構或者其設立的專門申訴機構申訴��,收到申訴的機構應當自收到申訴之日起三十日內(nèi)處理并向申訴者反饋處理結(jié)果����。
通信用戶認為通信業(yè)務經(jīng)營者侵犯自己合法權益的,也可以向消費者委員會投訴或者向人民法院起訴��。
第四章 通信安全
第三十條 省通信管理機構應當建立健全應急通信相關制度����,確保通信暢通�。
第三十一條 通信業(yè)務經(jīng)營者應當根據(jù)通信管理機構的要求加強應急通信保障體系建設,制定通信保障應急預案�����,并開展應急演練。
通信業(yè)務經(jīng)營者在執(zhí)行應急通信保障任務時��,應當服從通信管理機構的統(tǒng)一調(diào)度指揮�����,采取相應的應急措施�。
第三十二條 經(jīng)公安交通管理部門批準,執(zhí)行應急通信任務的通信車輛在確保安全的前提下��,可以不受禁止機動車通行標志的限制���。
第三十三條 任何個人和組織不得竊取或者以其他非法方式獲取用戶個人信息�,不得非法出售或者非法向他人提供用戶個人信息��。
第三十四條 通信業(yè)務經(jīng)營者應當建立健全用戶個人信息保護制度����,采取技術措施和其他必要措施,確保收集的用戶個人信息安全����。
通信業(yè)務經(jīng)營者收集�����、使用用戶個人信息�����,應當遵循合法����、正當�、必要的原則,明示收集����、使用信息的目的、方式和范圍��。通信業(yè)務經(jīng)營者不得違反法律��、行政法規(guī)的規(guī)定和雙方的約定收集��、使用用戶個人信息;不得泄露�、篡改����、毀損其收集的用戶個人信息���。
通信業(yè)務經(jīng)營者在發(fā)生或者可能發(fā)生用戶個人信息泄露、毀損���、丟失的情況時�����,應當立即采取補救措施��,按照規(guī)定及時告知用戶并向有關主管部門報告�。
第三十五條 通信業(yè)務經(jīng)營者應當依法加強對通信用戶�、傳輸信息的管理,發(fā)現(xiàn)法律法規(guī)禁止�����、傳輸?shù)男畔⒌?����,應當立即停止傳輸、消除相關信息并保存有關記錄���,向有關主管部門報告�。
第三十六條 通信業(yè)務經(jīng)營者應當采取技術�����、管理手段防范和打擊利用通信網(wǎng)絡實施的詐騙行為����。
通信業(yè)務經(jīng)營者應當規(guī)范號碼傳送和使用管理,嚴格按照國家相關規(guī)定和標準傳送真實號碼����,建立虛假號碼主叫監(jiān)測和處置機制,對發(fā)現(xiàn)的虛假主叫號碼應當立即予以處置����。
通信業(yè)務經(jīng)營者應當采取措施保證出租通信線路的正當使用,不得私自轉(zhuǎn)接國際來話和為非法網(wǎng)絡電話�、改號電話提供語音接入服務。
第三十七條 通信用戶對于他人利用電話����、短信等方式進行騷擾的行為�����,可以向通信業(yè)務經(jīng)營者舉報��。通信業(yè)務經(jīng)營者接到舉報后,應當及時向有關部門報告�����,并協(xié)助有關部門采取措施予以查處����。
第三十八條 建立健全打擊生產(chǎn)、銷售和使用非法移動通信基站等違法行為的聯(lián)動機制�����,質(zhì)量技術監(jiān)督����、工商行政管理等行政主管部門,無線電管理機構和通信管理機構應當配合公安機關對相關違法行為的查處���。
第三十九條 通信業(yè)務經(jīng)營者建設移動通信基站應當符合國家電磁輻射安全標準����,并按照國家環(huán)境保護相關規(guī)定開展電磁輻射環(huán)境影響評估,公布評估結(jié)果�����。
通信業(yè)務經(jīng)營者應當委托具備檢測資質(zhì)的機構對電磁輻射有爭議的移動通信基站進行檢測���,檢測結(jié)果應當在基站建設范圍內(nèi)公示��,機構出具的檢測報告應當向社會公開�。
縣級以上人民政府環(huán)境保護行政主管部門應當履行電磁輻射監(jiān)管職責���,對電磁輻射不符合國家標準的移動通信基站����,應當依法處理����。
通信管理機構應當會同環(huán)境保護行政主管部門、新聞媒體開展通信設施電磁輻射安全知識的宣傳教育�����。
第四十條 通信業(yè)務經(jīng)營者應當加強通信設施的維護和管理,履行下列義務��,保障通信設施安全運行:
(一)在通信設施周圍設置警示標志�����、圍墻���、柵欄等必要保護設施;
(二)對通信設施運行狀態(tài)進行評估;
(三)建立通信設施日常巡查���、維護�����、檢修制度���,做好巡查����、維護����、檢修記錄;
(四)對通信機房���、基站、重要傳輸線路進行重點監(jiān)測����,并保存監(jiān)測記錄。
第四十一條 在國家規(guī)定的通信設施安全保護范圍內(nèi)��,實施下列可能影響通信設施安全行為的����,建設單位或者施工單位應當事先告知通信設施所有人,并采取必要的安全防護措施:
(一)建造建筑物�����、構筑物;
(二)新建��、改建����、擴建公路、鐵路����、橋梁��、隧道��、城市軌道交通等公共設施;
(三)鋪設各類地下工程管線;
(四)采礦;
(五)建設生產(chǎn)易燃���、易爆物品或者排放腐蝕性物質(zhì)的工廠;
(六)其他可能影響通信安全的行為。
第四十二條 禁止下列危害通信設施安全的行為:
(一)侵占�、盜竊、破壞����、毀損通信設施;
(二)在國家規(guī)定的通信設施安全保護范圍內(nèi)挖砂、取土��、堆土;
(三)在埋有通信光纜��、電纜��、通信管道的地面上傾倒含酸��、堿���、鹽等腐蝕性的廢液、廢渣;
(四)在通信設施上附掛管線���、物件����,栓系牲畜或者攀爬通信桿塔;
(五)涂改、移動���、拆除或者毀損通信設施保護標志;
(六)其他危害通信設施安全的行為�����。
第四十三條 任何單位和個人不得阻礙合法的通信設施建設或者從事危害通信設施安全的行為���,不得擅自改動、遷移他人的通信設施�。確因特殊情況需要改動、遷移的����,應當與通信設施所有人協(xié)商一致后方可施工。
第五章 監(jiān)督管理
第四十四條 通信管理機構應當建立健全通信業(yè)的監(jiān)督管理制度��,通過日常巡查�����、專項檢查等方式開展監(jiān)督檢查,并及時在通信管理機構網(wǎng)站公布相關信息����。
第四十五條 通信管理機構應當重點加強對通信業(yè)務經(jīng)營者推進通信普遍服務、通信服務質(zhì)量�、通信業(yè)務公平競爭、通信用戶投訴處理等情況的監(jiān)督檢查����。
省通信管理機構進行監(jiān)督管理時,可以采取下列措施:
(一)進入通信業(yè)務經(jīng)營者相關場所進行檢查和調(diào)查取證����,提取相關資料、數(shù)據(jù);
(二)詢問當事人和其他有關的組織和個人;
(三)責令終止傳輸違法信息;
(四)向社會公開通信業(yè)務經(jīng)營者的服務質(zhì)量狀況;
(五)法律法規(guī)規(guī)定的其他措施����。
第四十六條 城市�、縣人民政府城鄉(xiāng)規(guī)劃行政主管部門應當會同通信管理機構加強通信基礎設施專項規(guī)劃執(zhí)行情況的監(jiān)督管理。
第四十七條 通信管理機構應當會同縣級以上人民政府住房和城鄉(xiāng)建設�����、教育等行政主管部門加強居民住宅小區(qū)、學校等特定區(qū)域通信服務的監(jiān)督管理���,保障通信用戶的自由選擇權���。
第四十八條 通信管理機構及其他行政機關實施監(jiān)督管理,不得妨礙被監(jiān)督管理對象正常的生產(chǎn)經(jīng)營活動����,不得索取或者收受被監(jiān)督管理對象的財物或者謀取其他利益。
第六章 法律責任
第四十九條 違反本條例第九條規(guī)定����,建筑物的建設單位、所有人��、管理人或者使用人未為通信業(yè)務經(jīng)營者提供平等接入和使用配套通信設施條件的��,由省通信管理機構責令改正����,拒不改正的,處一萬元以上五萬元以下罰款;通信業(yè)務經(jīng)營者與建設單位����、所有人��、管理人或者使用人簽訂排他性協(xié)議�,阻礙其他通信業(yè)務經(jīng)營者接入和使用配套通信設施的�,由省通信管理機構責令改正,拒不改正的����,處五萬元以上十萬元以下罰款。
第五十條 違反本條例第十七條規(guī)定��,通信業(yè)務經(jīng)營者為不提供真實身份信息的用戶提供通信服務的�,或發(fā)現(xiàn)用戶使用假冒、偽造��、變造的證件仍然為其辦理登記手續(xù)的�,由省通信管理機構責令改正;拒不改正或者情節(jié)嚴重的,處五萬元以上二十萬元以下罰款�����,情節(jié)特別嚴重的����,處二十萬元以上五十萬元以下罰款,并可以由有關主管部門責令暫停相關業(yè)務��、停業(yè)整頓��、關閉網(wǎng)站����、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款�����。
第五十一條 違反本條例第二十五條規(guī)定���,未與通信用戶約定向其發(fā)送商業(yè)性電子信息的�����,由省通信管理機構責令改正����,予以警告����,可以并處一萬元以上三萬元以下罰款。
第五十二條 違反本條例第二十八條第一至第三項規(guī)定���,通信業(yè)務經(jīng)營者在通信服務中損害通信用戶權益的�,由省通信管理機構責令改正、賠禮道歉����、賠償損失;拒不改正的,予以警告��,并處一萬元以上十萬元以下罰款��。
第五十三條 違反本條例第三十三條規(guī)定����,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供用戶個人信息�����,尚不構成犯罪的�,由公安機關沒收違法所得,并處違法所得一倍以上五倍以下罰款;沒有違法所得的��,處一萬元以上十萬元以下罰款�����。
違反本條例第三十四條規(guī)定,通信業(yè)務經(jīng)營者違反法律�、行政法規(guī)的規(guī)定和雙方的約定收集�����、使用用戶個人信息或者泄露����、篡改、毀損其收集的用戶個人信息的�����,由省通信管理機構責令改正���,可以根據(jù)情節(jié)單處或者并處警告���、沒收違法所得,處違法所得一倍以上五倍以下罰款;沒有違法所得的���,處一萬元以上五萬元以下罰款�����。
第五十四條 違反本條例第四十二條第二至第五項規(guī)定���,危害通信設施安全的���,由省通信管理機構責令改正;造成損失的,依法予以賠償�。
第五十五條 違反本條例第四十三條規(guī)定,阻礙通信設施建設的�,由公安機關按照相關規(guī)定責令改正,依法處理;擅自改動����、遷移他人通信設施的,由省通信管理機構責令改正�,并處一萬元以上三萬元以下罰款;造成損失的,依法予以賠償�����。
第五十六條 通信管理機構及其他有關部門有下列情形之一的���,對直接負責的主管人員和其他責任人員依法給予處分;構成犯罪的��,依法追究刑事責任:
(一)未編制或者組織實施通信基礎設施專項規(guī)劃的;
(二)未依法履行通信設施建設和保護監(jiān)督職責的;
(三)未依法履行應急通信組織協(xié)調(diào)職責的;
(四)其他玩忽職守����、濫用職權和徇私舞弊的行為。
第五十七條 對違反本條例規(guī)定的行為�����,有關法律����、行政法規(guī)已經(jīng)作出法律責任規(guī)定的�����,從其規(guī)定�����。
第4篇
關鍵詞 計算機網(wǎng)絡�����;安全狀況����;防護措施
中圖分類號TP3 文獻標識碼 A 文章編號 1674-6708(2015)138-0084-02
在科技快速發(fā)展的過程中�����,Internet技術在世界發(fā)展飛速�,它在給人們創(chuàng)造便利的時刻����,也帶來了威脅。雖然我們使用軟件技術系統(tǒng)����,但是互聯(lián)網(wǎng)無論在哪個國家應用,其計算機網(wǎng)絡的安全性都成為網(wǎng)絡時展的關鍵性問題����。科技的進展使得計算機成為工具��,虛擬網(wǎng)絡形成����,網(wǎng)絡犯罪就原生于此。由于其犯罪的隱蔽性等特點�����,表現(xiàn)出多樣的犯罪。
1 網(wǎng)絡安全威脅大致分析
1)病毒侵襲��。主要指的是在計算機網(wǎng)絡正常使用的過程中��,病毒會對計算機系統(tǒng)造成破壞�,從而影響到計算機系統(tǒng)的正常工作,甚至會造成系統(tǒng)癱瘓的現(xiàn)象�。另外,由于病毒具有較強的傳播性���,因此,在計算機網(wǎng)絡正常使用的過程中����,可能通過網(wǎng)絡數(shù)據(jù)的傳輸,對其他計算機系統(tǒng)造成一定的破壞���。
2)有兩類黑客攻擊:即破壞性����、非破壞性�����。
3)內(nèi)外部泄密。主要指的是一些非法人員����,在找到某個服務器網(wǎng)段內(nèi)IP地址之后,并根據(jù)其地址運用ARP的欺騙手段�����,來對計算機系統(tǒng)進行網(wǎng)絡攻擊�,致使計算機系統(tǒng)出現(xiàn)問題,甚至造成系統(tǒng)癱瘓無法運行��。
4)計算機系統(tǒng)漏洞的威脅��。在日常計算機使用的過程中����,經(jīng)常會發(fā)現(xiàn)計算機系統(tǒng)會提示使用者計算機此時已存在漏洞,急需修補的現(xiàn)象�����,這標志著計算機系統(tǒng)需要及時更新來填補系統(tǒng)漏洞�。而很多計算機使用者經(jīng)常會忽略這個操作�,并不重視對計算機漏洞的修補����,而這些漏洞也將成為網(wǎng)絡黑客攻擊的有利條件,致使存在系統(tǒng)漏洞的計算機在使用的過程中�����,有極大的可能會被黑客所攻擊���,從而對計算機網(wǎng)絡的正常使用構成一定的影響����,也給計算機系統(tǒng)內(nèi)的信息帶來安全威脅����。
2 計算機網(wǎng)絡系統(tǒng)安全威脅的防范措施
1)合理運用防火墻技術����。防火墻對于熟悉計算機的人員都不陌生,防火墻作為計算機網(wǎng)絡安全的重要保護層�����,對網(wǎng)絡數(shù)據(jù)有著過濾的功能,將一些存在異樣的數(shù)據(jù)信息包過濾�,確保計算機系統(tǒng)接收數(shù)據(jù)包的安全性,從而有效避免網(wǎng)絡病毒的傳播���。
2)實施物理網(wǎng)絡安全措施�。眾所周知�,計算機網(wǎng)絡在使用的過程中,需要有著物理通信線路以及相應的實體設備作為支持的���,而實施的物理網(wǎng)絡安全措施��,主要是為了避免這些物理通信鏈路以及實體設備等受到人為的破壞����、自然災害的破壞�,為計算機網(wǎng)絡的運行營造一個安全可靠的外部工作環(huán)境。另外�,由于計算機網(wǎng)絡運行是一項較為復雜的工程,其中涉及到的因素比較多����,因此,解決安全的方案的制定需要從整體和宏觀上進行控制把握����。網(wǎng)絡安全解決方案是整合網(wǎng)絡信息系統(tǒng)安全�����,將各種系統(tǒng)技術措施等整合起來�,構筑網(wǎng)絡安全防護系統(tǒng)體系���。只要我們做到技術和管理�����,安全技術和措施相結(jié)合��,同時增強立���、執(zhí)法的執(zhí)行力度,建立備份和恢復機制�����,制定標準措施����,才能繞開網(wǎng)絡威脅和避免被攻擊。此外����,由于病毒、犯罪等技術是分布在世界各處���,因此必須進行全球協(xié)作���。
3)在網(wǎng)絡系統(tǒng)安全策略中,不僅需要采取網(wǎng)絡技術措施保護網(wǎng)絡����,還須加強網(wǎng)絡的行政管理,制定規(guī)章制度�����。對于確保網(wǎng)絡系統(tǒng)的安全��、運行����,將會起到良好的功能性效應。 網(wǎng)絡的安全管理����,不僅要看所采用的技術和防范手段����,而且要看它所采取的管理手段和執(zhí)行保護法律��、法規(guī)的力度強弱����。網(wǎng)絡的管理手段,包括對用戶的職業(yè)教育����、建立相應的管理機構、不停完善和加強管理功能培訓�、加強計算機及網(wǎng)絡的立、執(zhí)法力度等��。加強安全管理����、加大用戶的法律、法規(guī)和道德觀念�,提升使用者的安全防范意識,對防止犯罪、抵制黑客攻擊和防止病毒干擾���,是重要的手段。
4)信息加密措施主要是安全保護網(wǎng)絡資源����。
5)病毒防范措施。(1)將病毒風險防控工作納入信息科技考核要點�;(2)能夠以技術手段查找根源,定位病毒感染主機���、追擊感染源���,做好預防工作;(3)加大力度惠及����,提高覺悟。
3 網(wǎng)絡系統(tǒng)安全將來發(fā)展方向
1)網(wǎng)絡系統(tǒng)管理和安全管理方面�����。隨著科技的不斷發(fā)展����,網(wǎng)絡化技術的發(fā)展也極為迅速���,而且,網(wǎng)絡所遍布的范圍也越來越廣��,而要確保計算機網(wǎng)絡發(fā)展有著更好的延續(xù)性�����,就必須向著網(wǎng)絡系統(tǒng)管理以及安全管理方向發(fā)展�,全面提升計算機網(wǎng)絡安全管理意識,進而有效的避免或降低被黑客的攻擊以及病毒的破壞�。網(wǎng)絡越先進,安全越重要��。在日常工作中�����,我們始終把系統(tǒng)安全穩(wěn)定運行作為信息科技的要務�,并結(jié)合實際情況,采取措施保證安全生產(chǎn)����。一是強化員工安全意識���。二是加大信息系統(tǒng)安全檢查力度。三是細化應急預案�����。四是創(chuàng)新安全防范技術�。我們還應探討和發(fā)現(xiàn)隱性問題�,把問題消滅在源頭。
2)標準化網(wǎng)絡方面����。由于互聯(lián)網(wǎng)沒有設定區(qū)域,這使得各國如果不在網(wǎng)絡上截斷Internet與本國的聯(lián)系就控制不了人們的見聞���。這將使針對網(wǎng)絡通訊量或交易量納稅的工作產(chǎn)生不可見的效果��。國家數(shù)據(jù)政策的不確定性將反映在混亂的條款中���。標準化網(wǎng)絡一是提升了個人信息安全的識別,提示了風險的隱蔽�����、可見性,提高整改防控意識���。二是使安全生產(chǎn)有了明確的量化標的�����。三是建立了激勵與約束��。四是采取現(xiàn)場檢查方式進行監(jiān)管檢查���,風險提示明確,問題處理表述清楚����。五是規(guī)范工作流程。六是采取各點詳查�����、隨機抽查�、現(xiàn)場提問使網(wǎng)點安全生產(chǎn)落實到實處。七是監(jiān)管評價與重點工作考核結(jié)合�。
3)網(wǎng)絡軟件系統(tǒng)方面。隨著網(wǎng)絡信息系統(tǒng)法律法規(guī)健全��,計算機軟件和網(wǎng)絡安全物權法需要制定。
4)計算機網(wǎng)絡系統(tǒng)法律��、法規(guī)方面�。在目前社會中,利用網(wǎng)絡信息系統(tǒng)的犯罪猖獗����。法律、法規(guī)是規(guī)范人們通常社會行為的準則���,明確網(wǎng)絡系統(tǒng)工作人員和最終用戶的權利和義務。
5)網(wǎng)絡系統(tǒng)密碼技術方面�。在系統(tǒng)中,使用密碼技術可以確保信息的隱密��,完全�����、確定性�����。伴隨系統(tǒng)利用密碼技術��,智能卡和數(shù)字認證將會變得領先,用戶需要將密碼和驗證碼存放在穩(wěn)妥的地方�。所以,一定采取網(wǎng)絡安全手段�����,研究網(wǎng)絡安全發(fā)展趨勢����,堅決貫徹執(zhí)行網(wǎng)絡信息系統(tǒng)法律法規(guī)。(1)利用虛擬網(wǎng)絡技術����,防止基于監(jiān)聽的入侵手段。(2)利用防火墻技術保護網(wǎng)絡免遭黑客攻擊�����。(3)安全掃描技術為發(fā)現(xiàn)網(wǎng)絡漏洞提供了保障����。(4)利用病毒防護技術可以防、查和殺毒�����。(5)利用入侵檢測技術提供實時的入侵檢測及采取相應的防護手段(6)采用認證和數(shù)字簽名技術。認證技術用以解決網(wǎng)絡通訊過程中通訊雙方的身份���,數(shù)字簽名技術用于通信過程中的不可抵賴要求的實現(xiàn)���。(7)要對移動存儲設備安全管理系統(tǒng)上線工作給予高度重視,按照要求在規(guī)定時限內(nèi)完成工作�;要增強信息系統(tǒng)安全的責任意識,以風險管控為前提�����,做好系統(tǒng)的日常維護和定期
演練�����。
6)加強網(wǎng)絡技術和新型網(wǎng)絡產(chǎn)品的開發(fā)研制����、增強系統(tǒng)保護能力�����。
7)實行網(wǎng)絡域名注冊實名制����。
8)加強網(wǎng)絡道德教育��、加強安全意識教育��。
參考文獻
[1]劉遠生���,辛一.計算機網(wǎng)絡安全[M].清華大學出版社,2009:5-8.
[2]網(wǎng)絡技術專業(yè)分析[N].重慶晚報�,2012-08-13.
[3]計算機網(wǎng)絡技術需要延伸的素質(zhì).
