最新网络安全操作规范.doc

网络安全操作规范(可以直接使用，可编辑 优秀版资料，欢迎下载）一、账号管理1.1账号的设置必须遵循“唯一性、必要性、最小授权”的原则。 唯一性原则是指每个账号对应一个用户，不允许多人共同拥有同一账号。 必要性原则是指账号的建立和分配应根据工作的必要性进行分配，不能根据个人需要、职位进行分配，禁止与所管理主机系统无关的人员在系统上拥有用户账号，要根据工作变动及时关闭不需要的系统账号。 最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。超出正常权限范围的，要经主管领导审批。 1.2系统中所有的用户（包括超级权限用户和普通用户）必须登记备案,并定期审阅。 1。3严禁用户将自己所拥有的用户账号转借他人使用。 1。4员工发生工作变动，必须重新审核其账号的必要性和权限，及时取消非必要的账号和调整账号权限；如员工离开本部门，须立即取消其账号。 1.5在本部门每个应用系统、网络工程验收后，应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置. 1。6系统管理员必须定期对系统上的账号及使用情况进行审核，发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定. 1.7 一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下（如系统维修、升级等）外部人员需要进入系统操作，必须由系统管理员进行登录，并对操作过程进行记录备案。禁止将系统用户及口令直接交给外部人员。 二、 口令管理 2。1口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、 号码、生日等容易猜测的字符串作为口令，也不要使用单个单词作为口令，在口令组成上必须包含大小写字母、数字、标点等不同的字符组合，口令长度要求在8位以上。 2。2重要的主机系统，要求至少每个月修改口令,对于管理用的工作站和个人计算机，要求至少每两个月修改口令。 2。3重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。 2.4本地保存的用户口令应加密存放，防止用户口令泄密。三、软件管理：3。1不安装和使用来历不明、没有版权的软件。 3.2不得在重要的主机系统上安装测试版的软件。 3.3开发、修改应用系统时，要充分考虑系统安全和数据安全，从数据的采集、传输、处理、存贮,访问控制等方面进行论证，测试、验收时也必须进行相应的安全性能测试、验收. 3。4操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。 3.5个人计算机上不得安装与工作无关的软件.在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。 3。6系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。 3.7主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容，并进行存档保存. 3。8重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像，在发生网络安全问题时利用系统镜像对系统进行完整性检查。 四、服务器、网络设备、计算机安全系统（如防火墙、入侵检测系统等）等应具备日志功能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志，在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护，对网络攻击或者攻击尝试进行定位、跟踪并发出警告，并向网络信息安全领导小组报告。系统日志必须保存三个月以上。 五、新建计算机网络、应用系统必须同时进行网络信息安全的设计。一、 判断题1Windows系统活动目录包括目录和与目录相关的服务两个部分。2AES算法的每轮变换由四种不同的变换组合而成，它们分别是S-盒变换、行位移变换、列混合变换和圈密钥减法变换.3hash函数的特点是：已知M时，利用h(M）计算出h。已知h时，要想从h（M)计算出M也很容易。4计算机病毒破坏性、隐蔽性、传染性是计算机病毒基本特征。5黑客可利用一些工具产生畸形或碎片数据包，这些数据包不能被计算机正确合成，从而导致系统崩溃。6公开密钥算法不容易用数学语言描述，保密性建立在已知数学问题求解困难的这个假设上。7实时反病毒是对任何程序在调用之前都被过滤一遍，一有病毒侵入，它就报警，并自动杀毒，将病毒拒之门外,做到防患于未然。8拒绝服务是一种破坏网络服务的技术方式，其根本目的是使受害主机或网络失去及时接受处理外界请求,或无法及时回应外界请求的能力。9防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交界的点上，所以防火墙一定是一个硬件产品。10“状态分析技术”是数据包过滤技术的延伸，经常被称为“动态数据包过滤"。11PGP加密算法是混合使用RSA算法和IDEA算法,它能够提供数据加密和数签名服务，主要用于邮件加密软件。12有的木马具有很强的潜伏能力,表面上的木马程序被发现并被删除以后，后备的木马在一定的条件下会恢复被删除的木马。13DSS (Digital Signature Standard）是利用了安全散列函数（SHA）提出的一种数字加密技术。14镜像备份就是把备份目标的整个磁盘区直接拷贝到存储区，这是一种简单的备份,但要注意磁盘上的数据内容.15所谓静态分析即从反汇编出来的程序清单上分析程序流程，从提示信息入手，进行分析，以便了解软件中各模块所完成的功能，各模块之间的关系,了解软件的编程思路.16指纹识别技术是通过分析指纹的全局特征和局部特征从指纹中抽取的特征值，从而通过指纹来确认一个人的身份.17整个Kerberos系统由认证服务器AS、票据许可服务器TGS、客户机和应用服务器四部分组成。18传统加密算法加密信息时不需要用保密的方法向对方提供密钥。19数字证书是由权威机构CA发行的一种权威性的电子文档,是网络环境中的一种身份证。20通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，可以称这种新出现的计算机病毒是原来被修改计算机病毒的变形。26所谓IP欺骗（IP-Spoofing）就是伪造某台主机的IP地址的技术，让一台主机来扮演另一台主机Web页。22蠕虫病毒的主要特性有：自我复制能力、很强的传播性、潜伏性,很大的破坏性等。与其它病毒不同,蠕虫不需要将其自身附着到宿主程序.23RSA算法的安全性与p、q的保密性和r=p·q分解难度无关。24入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。25就技术方面来说，软件产品的脆弱性是产生计算机病毒根本原因。26Softice是一个强大的静态分析软件,可以实现反汇编，可以针对现在流行的可执行程序进行反汇编.27对计算机系统安全最大的威胁是自然灾害。28虽然AES算法比DES算法支持更长的密钥，但AES算法不如DES算法更安全。39利用欧几里德算法，求乘逆算法时,即重复使用带余数除法：每次的余数为除数除上一次的除数，直到余数为1时为止。30DES算法加密明文时，首先将明文64位分成左右两个部分，每部分为32位。二、选择题1有一种称为嗅探器的软件，它是通过捕获网络上传送的数据包来收集敏感数据,这些数据可能是用户的账号和密码,或者一些机密数据等等. Asoftice Unicode W32Dasm Sniffer2对等实体鉴别服务是数据传输阶段对合法性进行判断。A对方实体 B对本系统用户C系统之间 D发送实体 3MD5是按每组512位为一组来处理输入的信息，经过一系列变换后，生成一个位散列值。 A64 B128 C256 D512 4在为计算机设置使用密码时，下面的最安全。A12345678 B66666666 C20061001 D720964155宏病毒可以感染_。 A可执行文件 B引导扇区/分区表 CWord/Excel文档 D数据库文件6TCP/IP协议规定计算机的端口有个，木马可以打开一个或者几个端口,黑客所使用的控制器就进入木马打开的端口。A32768 B32787 C1024 D655367下面是一些常用的工具软件，其中是加“壳”软件。Asoftice W32Dasm Superscan ASPack8对于一个要求安全性很高的大型企业，应选择防火墙的体系结构.A双穴网关 B屏蔽主机网关C屏蔽子网网关 D个人防火墙9状态分析技术不需要把客户机服务器模型一分为二，状态分技术在截获数据包的。A应用层 B传输层 C网络层 D物理层10下面是一些常用的工具软件，其中是数据备份软件。AHiew Second Copy2000Resource Hacker EasyRecovery 11下面正确的说法是A防火墙可以防范一切黑客入侵 B防火墙增加杀毒功能后可以提高防火墙工作速度C 在一个安全体系中不能同时使用两个防火墙D防火墙可以实现网络地址翻译功能防火墙12是一种自动检测远程或本地主机安全性弱点的程序.A杀毒程序 B扫描器程序C防火墙 D 操作系统13代理服务位于内部用户和外部服务之间。代理在和因特网服务之间的通信以代替相互间的直接交谈.A幕前处理所有用户 B幕后处理所有用户C幕前处理个别用户 D幕后处理个别用户14只备份上次完全备份以后有变化的数据。A差分备份 B增量备份 C本地备份 D异地备份15目前防火墙可以分成两大类,它们是网络层防火墙和。A应用层防火墙 B表示层防火墙 C会话层防火墙 D传输层防火墙16在开始进入一轮DES时先要对密钥进行分组、移位。 56位密钥被分成左右两个部分，每部分为28位。根据轮数，这两部分分别循环左移。 A1位或2位 B2位或3位C3位或4位 D4位或5位17 下面不属于计算机信息安全的是_。 A安全法规 B信息载体的安全保护 C安全技术 D安全管理18DES算法中扩展置换后的E(R)与子密钥k异或后输入_到S盒代替.A 64位 B 54位C 48位D 32位19认证使用的技术不包括_.A消息认证 B 身份认证 C水印技术 D 数字签名 20计算机病毒通常是_。A一条命令 B一个文件 C一个标记 D一段程序代码21主动型木马是一种基于远程控制的黑客工具，黑客使用的程序和在你电脑上安装的程序分别是_。A服务程序/控制程序 B木马程序/驱动程序C驱动程序/木马程序 D控制程序/服务程序22在防火墙双穴网关中，堡垒机充当网关，装有_块网卡。A1 B 2 C 3 D 423攻击是指借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。A缓冲区溢出攻击B拒绝服务C分布式拒绝服务 D口令攻击24就是要确定你的IP地址是否可以到达，运行哪种操作系统,运行哪些服务器程序，是否有后门存在。A对各种软件漏洞的攻击 B缓冲区溢出攻击CIP 地址和端口扫描 D服务型攻击25下面可以用来实现数据恢复。Asoftice GhostW32Dasm EasyRecovery26AES中将一个4字节的字可以看成是系数在GF（28）中并且次数小于4的多项式。 A2字节 B3字节 C4字节 D5字节27是DES算法的核心部分，它提供很好的混乱数据效果，提供了更好的安全性。AS盒代替BP盒置换 C压缩置换 D扩展置换28RSA算法中需要选择一个与（r) 互质的量k，k值的大小与(r)关系是_。A 无关 Bk >(r)C k = (r) Dk <(r）29软件产品的脆弱性是产生计算机病毒的。A技术原因 B社会原因C自然原因 D人为原因30是使计算机疲于响应这些经过伪装的不可到达客户的请求，从而使计算机不能响应正常的客户请求等，从而达到切断正常连接的目的。A包攻击 B服务型攻击C缓冲区溢出攻击 D口令攻击三、填空题1扫描程序是一种自动检测远程或本地主机的程序。2DES是对称算法，第一步是最后一步是逆初始变换IP。 3常见的的系统备份软件有。4当网络攻击者向某个应用程序发送超出其最大容量的数据，使数据量超出缓冲区的长度，多出来的数据溢出堆栈，引起应用程序或整个系统的崩溃,这种缓冲区溢出是最常见的拒绝服务攻击方法。5文件型病毒主要是以感染COM、EXE等可执行文件为主,文件型病毒大多数是常驻的。6单向散列函数，也称hash函数，它可以为我们提供电子信息完整性的判断依据，是防止信息被的一种有效方法。7应用层防火墙也称为代理防火墙，它作用于层，一般是运行代理服务器的主机.8攻击是向操作系统或应用程序发送超长字符串，导致程序在缓冲区溢出时意外出错甚至退出，使黑客获得到系统管理员的权限。9生物特征识别技术是根据人体本身所固有的生理特征、行为特征的性，利用图像处理技术和模式识别的方法来达到身份鉴别或验证目的的一门科学.10你知道的端口扫描软件有。11SAN简称为，是一个独立于服务器网络系统之外的，几乎拥有无限信息存储能力的高速信息存储网络。12包头信息中包括IP源地址、内装协议、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。13代替密码体制是用另一个字母明文中的一个字母,明文中的字母位置不变。14现代密码学两个研究方向是传统方法的计算机加密体制（或对称密码体制）和公开密钥加密体制，公开密钥加密体制典型代表是15是一种破坏网络服务的技术方式，其根本目的是使受害主机或网络失去及时接受处理外界请求,或无法及时回应外界请求的能力.16我们将计算机信息安全策略分为三个层次：政策法规层、安全技术层.17古典移位密码是将明文字符集循环向前或向后移动一个位置.18当AES的输入明文分组长度为128位时，经AES加密处理后，得到的输出是.19DES是对称算法，第一步是初始变换，最后一步是。20RSA算法的安全性取决于p、q保密性和已知r=p·q分解出p、q的.四、简答题1.简述包过滤的基本原理（10分）1画出一轮DES算法流程图（10分）。2如何防范网络监听？（10分）3写出生物特征识别过程。（10分）4写出RSA算法的全过程.（10分）5写出基于公开密钥的数字签名方案（10分）。五、应用题1、分析黑客攻击的流程。（15分）2设英文字母a，b，c，,分别编号为0，1，2,，25,仿射密码加密变换为c = （3m + 5) mod 26 其中m表示明文编号，c表示密文编号.(1）试对明文security进行加密(2)写出该仿射密码的解密函数(3） 试对密文进行解密3已知DES算法S盒代替表如下:代替函数S行号列 号0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15S012315 1 8 14 6 11 34 9 7 2 13 12 0 5 103 13 4 7 15 2 8 14 12 0 1 10 6 9 11 50 14 7 11 10 4 13 1 5 8 12 6 9 3 2 1513 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9当S2盒的输入分别为101011和110101时，写出S2盒的输出（要求写出具体过程）。4如何检查系统中是否有木马？请举例说明。（15分)5分析分布式拒绝服务DDoS攻击步骤。（15分）6编写一程序，该程序可以完成加法运算，但执行该程序时每隔2分钟就会弹出警告窗口,提示“请购买正式版本”。（10分）网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41。1 中华人民共和国工业和信息化部11号令41。2 中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122.1 电信网和互联网安全防护管理指南122.2 电信网和互联网安全等级保护实施指南202.3 电信网和互联网安全风险评估实施指南472。4 电信网和互联网安全等级保护实施指南72第3章网络安全架构873。1 概述873。1.1 基本原则873.1。2 适应范围873。1。3 安全策略体系架构及目标873.2 组织与人员883。2。1 组织机构883.2.2 人员管理883.3 网络建设与开发893。3.1 设计、建设和验收893.3。2 系统的安全要求893。3.3 开发和支持过程中的安全893.3.4 系统文件的安全893。3.5 安全培训893.3.6 系统验收903.3.7 设备安全准入90第4章安全维护规范914.1 安全域划分及边界整合914.1。1 安全域划分与边界整合914。1.2 定级备案914.1.3 安全域职责分工914。1。4 网络接入914。2 安全管理规范914。2.1 安全操作流程和职责913.2.2 安全对象管理924。2。3 安全日常维护管理924。2。4 第三方服务管理934。2。5 介质安全管理934。2.6 设备安全规范管理934。3 访问控制944。3.1 网络访问控制944.3.2 操作系统的访问控制954。3。3 应用访问控制954.3.4 网络访问与使用的监控954。3。5 远程访问控制964.4 网络与系统分先评估964.5 安全事件与应急响应964.5。1 安全事件报告机制964。5。2 应急响应974。6 安全审计管理974。6.1 审计内容要求974。6。2 审计原则984.6。3 审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令通信网络安全防护管理办法已经 2021 年 12 月 29 日中华人民共和国工业和信息化部第 8 次部务会议审议通过，现予公布，自 2021 年 3 月 1 日起施行。部长李毅中二一年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力,保障通信网络安全畅通，根据中华人民共和国电信条例，制定本办法.第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位)管理和运行的公用通信网和互联网（以下统称“通信网络)的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准.各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构"。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责.第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级.电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：(一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案.第九条通信网络运行单位办理通信网络单元备案,应当提交以下信息:（一）通信网络单元的名称、级别和主要功能；（二）通信网络单元责任单位的名称和联系方式;(三）通信网络单元主要负责人的姓名和联系方式；（四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；（五）电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一)三级及三级以上通信网络单元应当每年进行一次符合性评测；(二）二级通信网络单元应当每两年进行一次符合性评测.通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估.通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。第十四条通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。第十七条电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查.电信管理机构可以采取以下检查措施：(一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录;（三）向通信网络运行单位工作人员询问了解有关情况；(四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；(六)法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动.第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患,应当及时整改。第二十条电信管理机构对通信网络安全防护工作进行检查，不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的,由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的,依法给予行政处分；构成犯罪的，依法追究刑事责任。第二十四条本办法自 2021 年 3 月 1 日起施行。1.2 中华人民共和国工业和信息化部24令电信和互联网用户个人信息保护规定已经 2021 年 6 月 28 日中华人民共和国工业和信息化部第 2 次部务会议审议通过，现予公布，自2021 年 9 月 1 日起施行。部长苗圩2021 年 7 月 16 日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据全国人民代表大会常务委员会关于加强网络信息保护的决定、中华人民共和国电信条例和互联网信息服务管理办法等法律、行政法规,制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定.第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、 号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；(四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;(七)按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施；造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理.电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合.电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。第五章 法律责任第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款.第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的，依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的,依法追究刑事责任。第六章附则第二十五条本规定自 2021 年 9 月 1 日起施行.第2章网络安全防护实施标准2.1 电信网和互联网安全防护管理指南1. 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。2。 规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容）或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 5271。8-2001 信息技术词汇第 8 部分：安全3. 术语和定义GB/T 5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1 电信网 telecom network 利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3。2 互联网 Internet 泛指广域网、局域网及终端（包括计算机、 等）通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络.3.3 电信网和互联网安全防护体系 security protection arch