网络安全需求优质资料.doc

网络安全需求优质资料(可以直接使用，可编辑 优质资料，欢迎下载）网络安全需求一 网络的基本安全需求满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是网络的基本安全需求。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段。网络基本安全要求主要表现为：1. 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。2. 网络管理/网络部署的资料不被窃取。3. 具备先进的入侵检测及跟踪体系。4. 提供灵活而高效的内外通讯服务。二 应用系统的安全需求与普通网络应用不同的是，应用系统是网络功能的核心。对于应用系统应该具有最高的网络安全措施。应用系统的安全体系应包含：1. 访问控制，通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前；2. 检查安全漏洞，通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效；3. 攻击监控，通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；4. 加密通讯，主动的加密通讯，可使攻击者不能了解、修改敏感信息；5. 认证，良好的认证体系可防止攻击者假冒合法用户；6. 备份和恢复，良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务；7. 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；8. 隐藏内部信息，使攻击者不能了解系统内的基本情况；9. 设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急情况服务三 平台安全的需求网络平台将支持多种应用系统，对于每种系统均在不同程度上要求充分考虑平台安全。l 平台安全与平台性能和功能的关系通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开)，外界是不可能构成安全威胁的。但是，若要提供更多的服务，将网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建平台安全系统，一方面由于要进行认证、加密、监听、分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。l 平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。来自平台方面的安全威胁主要利用以下途径： 系统实现存在的漏洞； 系统安全体系的缺陷； 使用人员的安全意识薄弱； 管理制度的薄弱； 良好的平台管理有助于增强系统的安全性： 及时发现系统安全的漏洞； 审查系统安全体系； 加强对使用人员的安全知识教育；建立完善的系统管理制度。网络安全问题，从网络结构上来讲涉及到网络结构的各个层次，按照OSI七层模型，网络安全贯穿于整个七层模型，针对网络实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次，即物理层、链路层、网络层和应用层（包括应用系统和应用平台）。网络层解决方案对网络层的安全控制机制，主要是保证网络数据传输的合法性，放置未经授权的非法攻击等。对与网络层的安全解决方案的主要技术措施有：通过防火墙或者物理隔离网闸隔离技术、VPN技术及入侵检测技术等对网络设备进行有效的隔离、对非法的会话连接进行阻断并提供报警及审计功能。使网络的风险降到最低。根据不同的业务应用，采用不同的结构模式和安全策略，保证系统不同等级的安全措施。网络层安全结构图：  在企业的内部网络里，根据不同的业务安全要求等级，布设不同类型性能的防火墙，进一步从网络层保障结构安全，内部的服务系统、业务应用服务器等放置在军事区（安全区）。对外的网站系统、业务发布平台等放置在非军事区，提供内部和外部用户的访问接入。连接Internet处可以充分考虑采用冗余结构布置防火墙。为了进一步与外网系统物理隔离，可以选择物理网闸设备连接Internet。网络的性能结构上面首要的保证整个网络层次的安全体系，充分考虑实现如下内容：满足桥模式、VLAN、ADSL拨号等形式接入，可以满足多种网络环境的需要。通过多重地址转换（MAT）功能，可以保护内部网络服务器的安全，又可以分散外部服务到不同的IP地址。通过端口转换，为服务指定特定的端口，增强了系统的安全性。可以作为DHCP服务器又可以充当DHCP客户机，以实现对动态IP的支持功能。支持策略路由，即根据通讯源地址和目标地址来做出路由选择，可以将内网流量分摊到多个网络出口，增加用户带宽。多台服务器之间的负载均衡；同时做到心跳线和VRRP两种方式的双机热备份。全交叉冗余链路，两台防火墙同时工作进行流量均衡，同时进行端口备份，从而提高整个系统的稳定性和容错性。支持Tcp/Ip协议簇的各种协议。支持802.1Q VLAN、SNMP网管协议、DHCP协议，GRE、IPSEC、PPTP 。提供透明模式、路由和NAT方式下对多种多媒体协议的支持，包括H.323、MSN/SIP、MMS等。应用层解决方案应用层就是针对客户的实际应用，要求做到提供强大的数据传输加密功能，提供详实的审计日志服务，提供安全的管理服务。资源对象的合理访问控制，建立基于双向的身份认证机制。为应用层提供安全的保障措施应充分考虑实现如下内容：Syn代理技术防止Dos、D-Dos攻击。对常见病毒端口可以在数据链路层进行主动丢弃。访问模式匹配功能，可根据需要有效地防止木马软件以及QQ，BT等软件。IDS功能，安全级别，抗攻击功能。防范各种拒绝服务攻击、端口扫描、IP欺骗等攻击手段。提供对可能的危险信息或容易挤占网络带宽的数据的过滤，如URL攻击检测、URL关键字、对HTTP协议中携带的Java Applet、JavaScript、ActiveX脚本、Servlet、CGI、PHP、图像、音频视频、Flash等信息的过滤，提供对PROXY方式下的内容过滤和HTTP、FTP、SMTP、POP3协议的深度内容过滤。IP与MAC地址绑定的功能；对VPN通信的安全控制；带宽流量管理，可以有效的对用户进行带宽流量控制；对单IP进行连接数限制，用户自定义最大并发连接数；多出口的路由均衡。安全的管理功能：本地管理和远程管理两种方式。智能日志审计与状态监视。安全性扩展功能：与入侵检测器的无缝衔接，同时提供开放的IDS接口。统一用户认证功能：进行用户级鉴别和过滤控制；支持多种认证方式，包括防火墙自身实现的用户认证和扩展的RADIUS、LDAP认证。多级过滤措施：可以根据网络地址、网络协议以及TCP、UDP 端口进行过滤。平台解决方案实现网络化、自动化信息交流及办公，维护整个网络的正常运行和信息安全，及时高效地处理病毒是平台解决方案的一个重要环节。病毒在网络中存储、传播、感染的方式给整个系统的安全造成隐患，合理的构建网络防毒系统，设置相对应的防病毒软件，通过全方位、多层次的防毒系统配置，使整体网络应用平台免受病毒的入侵和危害。网络防病毒安全的保障措施应充分考虑实现反病毒安全解决方案，使内部范围的防病毒管理易于维护和管理。可以在每个进入点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。采用功能强大的管理工具，自动进行文件更新，使管理和服务作业合理化，并可用来控制中心管理内部范围内的反病毒安全机制。形成的目标：从桌面到整个企业系统，优化系统性能、解决及预防问题、处理管理事务和执行正常的管理工作、保护内部免受攻击和危害、降低成本并提高用户工作效率。· 1.信息入侵的第一步是（）.（单选题3分）得分：3分 o A.信息收集o B。目标分析o C.实施攻击o D。打扫战场· 2。网络安全法立法的首要目的是（ )。（单选题3分）得分：3分 o A。保障网络安全o B.维护网络空间主权和国家安全、社会公共利益o C.保护公民、法人和其他组织的合法权益o D。促进经济社会信息化健康发展· 3.信息安全管理要求ISO/IEC27001的前身是()的BS7799标准。（单选题3分）得分：3分 o A.英国o B.美国o C.德国o D.日本· 4.信息安全管理针对的对象是（）。（单选题3分)得分:3分 o A.组织的金融资产o B。组织的信息资产o C.组织的人员资产o D。组织的实物资产· 5。（）的攻击原理是构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃。（单选题3分）得分：3分 o A.Ping of deatho B。LANDo C.UDP Floodo D。Teardrop· 6.2021年6月21日，英国政府提出了新的规则来保护网络安全,其中包括要求Facebook等社交网站删除（ )之前分享的内容。（单选题3分）得分：3分 o A。14岁o B。16岁o C。18岁o D.20岁· 7.信息安全管理中最需要管理的内容是(）。(单选题3分）得分：3分 o A.目标o B。规则o C。组织o D.人员· 8。在我国的立法体系结构中，行政法规是由（ ）发布的。（单选题3分）得分：3分 o A。全国人大及其常委会o B。国务院o C.地方人大及其常委会o D。地方人民政府· 9.蠕虫病毒属于信息安全事件中的（).（单选题3分）得分：3分 o A。网络攻击事件o B。有害程序事件o C.信息内容安全事件o D.设备设施故障· 10.网络安全法开始施行的时间是（ ).（单选题3分）得分：3分 o A。2021年11月7日o B。2021年12月27日o C.2021年6月1日o D.2021年7月6日· 11.在我国的网络安全法律法规体系中，属于专门立法的是( ）.（多选题4分)得分：4分 o A。网络安全法o B.杭州市计算机信息网络安全保护管理条例o C.保守国家秘密法o D。计算机信息系统安全保护条例· 12。拒绝服务攻击的防范措施包括（）。（多选题4分）得分：4分 o A。安全加固o B.资源控制o C.安全设备o D。运营商、公安部门、专家团队等· 13.下列属于资产的有（).（多选题4分)也不是ab得分：0分 o A.信息o B.信息载体o C.人员o D.公司的形象与名誉· 14。端口扫描的扫描方式主要包括（).(多选题4分）得分:4分 o A.全扫描o B.半打开扫描o C.隐秘扫描o D。漏洞扫描· 15。中央网络安全和信息化领导小组的职责包括( ）。（多选题4分）得分：4分 o A。统筹协调涉及各个领域的网络安全和信息化重大问题o B.研究制定网络安全和信息化发展战略、宏观规划和重大政策o C。推动国家网络安全和信息法治化建设o D.不断增强安全保障能力· 16.计算机后门的作用包括（）。（多选题4分）得分：4分 o A.方便下次直接进入o B。监视用户所有隐私o C。监视用户所有行为o D。完全控制用户主机· 17.在监测预警与应急处置方面，省级以上人民政府有关部门的职责是（ ）.(多选题4分)得分：4分 o A。网络安全事件发生的风险增大时,采取信息报送、网络安全风险信息评估、向社会预警等措施o B.按照规定程序及权限对网络运营者法定代表人进行约谈o C.建立健全本行业、本领域的网络安全监测预警和信息通报制度o D。制定网络安全事件应急预案，定期组织演练· 18。重要信息安全管理过程中的技术管理要素包括（）。（多选题4分）得分：4分 o A。灾难恢复预案o B.运行维护管理能力o C。技术支持能力o D。备用网络系统· 19。PDCA循环的内容包括（）。（多选题4分）得分：4分 o A.计划o B。实施o C。检查o D.行动· 20。计算机后门木马种类包括（）.（多选题4分)得分：4分 o A。特洛伊木马o B。RootKito C。脚本后门o D。隐藏账号· 21.2003年，国家信息化领导小组关于加强信息安全保障工作的意见出台。（判断题3分）得分：3分 o 正确o 错误· 22。中国信息安全认证中心( ISCCC）不是我国信息安全管理基础设施之一。（判断题3分)得分：3分 o 正确o 错误· 23。良好的风险管理过程是成本与收益的平衡.（判断题3分）得分:3分 o 正确o 错误· 24。信息展示要坚持最小化原则，不必要的信息不要发布。(判断题3分）得分：3分 o 正确o 错误· 25.网络安全法对地方政府有关部门的网络安全职责未作具体规定，应当依照国家有关规定确定并执行。（判断题3分）得分：3分 o 正确o 错误· 26.Who is是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料。（判断题3分）得分：3分 o 正确o 错误· 27.个人信息是指通过网络收集、存储、传输、处理和产生的各种电子数据。（判断题3分）得分：3分 o 正确o 错误· 28。Ping使用ICMP协议数据包最大为6535。（判断题3分)得分：3分 o 正确o 错误· 29.密码字典是密码破解的关键.（判断题3分）得分：3分 o 正确o 错误· 30.安全信息系统的实施流程包括需求分析、市场招标、评标、选择供应商、签订合同、系统实施。（判断题3分）得分：3分 o 正确o 错误网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41.1 中华人民共和国工业和信息化部11号令41.2 中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122.1 电信网和互联网安全防护管理指南122.2 电信网和互联网安全等级保护实施指南202.3 电信网和互联网安全风险评估实施指南472.4 电信网和互联网安全等级保护实施指南72第3章网络安全架构873.1 概述873.1.1 基本原则873.1.2 适应范围873.1.3 安全策略体系架构及目标873.2 组织与人员883.2.1 组织机构883.2.2 人员管理883.3 网络建设与开发893.3.1 设计、建设和验收893.3.2 系统的安全要求893.3.3 开发和支持过程中的安全893.3.4 系统文件的安全893.3.5 安全培训893.3.6 系统验收903.3.7 设备安全准入90第4章安全维护规范914.1 安全域划分及边界整合914.1.1 安全域划分与边界整合914.1.2 定级备案914.1.3 安全域职责分工914.1.4 网络接入914.2 安全管理规范914.2.1 安全操作流程和职责913.2.2 安全对象管理924.2.3 安全日常维护管理924.2.4 第三方服务管理934.2.5 介质安全管理934.2.6 设备安全规范管理934.3 访问控制944.3.1 网络访问控制944.3.2 操作系统的访问控制954.3.3 应用访问控制954.3.4 网络访问与使用的监控954.3.5 远程访问控制964.4 网络与系统分先评估964.5 安全事件与应急响应964.5.1 安全事件报告机制964.5.2 应急响应974.6 安全审计管理974.6.1 审计内容要求974.6.2 审计原则984.6.3 审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令通信网络安全防护管理办法已经 2021 年 12 月 29 日中华人民共和国工业和信息化部第 8 次部务会议审议通过，现予公布，自 2021 年 3 月 1 日起施行。部长李毅中二一年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据中华人民共和国电信条例，制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位）管理和运行的公用通信网和互联网（以下统称“通信网络）的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案，应当提交以下信息：（一）通信网络单元的名称、级别和主要功能；（二）通信网络单元责任单位的名称和联系方式；（三）通信网络单元主要负责人的姓名和联系方式；（四）通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；（五）电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的，通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；（二）二级通信网络单元应当每两年进行一次符合性评测。通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。第十四条通信网络运行单位应当组织演练，检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。第十七条电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施：（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；（三）向通信网络运行单位工作人员询问了解有关情况；（四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；（六）法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动。第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患，应当及时整改。第二十条电信管理机构对通信网络安全防护工作进行检查，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的，由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第二十四条本办法自 2021 年 3 月 1 日起施行。1.2 中华人民共和国工业和信息化部24令电信和互联网用户个人信息保护规定已经 2021 年 6 月 28 日中华人民共和国工业和信息化部第 2 次部务会议审议通过，现予公布，自2021 年 9 月 1 日起施行。部长苗圩2021 年 7 月 16 日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据全国人民代表大会常务委员会关于加强网络信息保护的决定、中华人民共和国电信条例和互联网信息服务管理办法等法律、行政法规，制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、 号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。第五章 法律责任第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款。第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告；构成犯罪的，依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的，依法追究刑事责任。第六章附则第二十五条本规定自 2021 年 9 月 1 日起施行。第2章网络安全防护实施标准2.1 电信网和互联网安全防护管理指南1. 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时，对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 5271.8-2001 信息技术词汇第 8 部分：安全3. 术语和定义GB/T 5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1 电信网 telecom network 利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2 互联网 Internet 泛指广域网、局域网及终端（包括计算机、 等）通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络。3.3 电信网和互联网安全防护体系 security protection architecture of telecom network and Internet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.4 电信网和互联网安全等级 security classification of telecom network and Internet 电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5 电信网和互联网安全等级保护 classified security protection of telecom network and Internet 指对电信网和互联网及相关系统分等级实施安全保护。3.6 电信网和互联网安全风险 security risk of telecom network and Internet 人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7 电信网和互联网安全风险评估 security risk assessment of telecom network and Internet 指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.8 电信网和互联网灾难 disaster of telecom network andInternet 由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.9 电信网和互联网灾难备份 backup for disaster recovery of telecom network and Internet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.10 电信网和互联网灾难恢复 disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4. 目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。为了实现该目标，网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求，从环境因素以及人为因素分析电信网和互联网面临的威胁，从技术和管理两个方面分析电信网和互联网存在的脆弱性，充分考虑现有安全措施，分析电信网和互联网现存风险，平衡效益与成本，制定灾难备份及恢复计划，将电信网和互联网的安全控制在可接受的水平。电信网和互联网安全防护工作要在适度安全原则的指导下，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。适度安全原则：安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级，平衡效益与成本，采取适度的安全技术和管理措施。标准性原则：安全防护工作开展的指导