市公安局《关于在全市非经营性互联网上网服务单位落实安全保护技术措施的意见》已经市政府同意,现印发给你们,请认真贯彻执行。

　　二OO八年七月七日

关于在全市非经营性互联网上网服务单位落实安全保护技术措施的意见

潍坊市公安局

　　为进一步加强我市非经营性互联网上网服务单位落实安全保护技术措施工作,防范和减少各类因有害信息、网络犯罪案件和网络安全事件对信息网络安全和社会稳定造成的危害,构建安全、和谐的互联网环境,维护社会稳定,促进我市网络文化建设事业发展,根据国家及有关部门法规规章规定和工作部署,现就在全市非经营性互联网上网服务单位落实安全保护技术措施工作,提出如下意见:

　　一、充分认识非经营性互联网上网服务单位落实安全保护技术措施的重要性

　　随着信息网络技术的高速发展和互联网在社会各个领域的广泛应用,政府机关、企事业单位、社区、学校、图书馆、电子阅览室、宾馆酒店、休闲会所等提供非经营性互联网上网服务的单位越来越多,其在传播社会先进文化、方便人民群众生活、促进经济社会发展的同时,也给互联网安全管理工作带来许多新问题。从我市情况看,这些单位局域网普遍存在互联网IP地址与内部网络IP地址无对应关系、无固定IP,无网络安全组织,用户注册信息、登录时间、退出时间未按要求进行留存等重大问题。由于互联网安全保护技术措施不落实,少数违法犯罪分子趁虚而入,利用非经营性上网场所传播淫秽色情、赌博、暴力、封建迷信等有害信息行为屡禁不止,从事网络诈骗、盗窃、赌博和淫秽色情等违法犯罪活动日益增多,垃圾邮件、计算机病毒和黑客攻击破坏活动影响严重,严重威胁我市社会稳定和社会公共利益,广大人民群众反映强烈。各非经营性互联网上网服务单位要充分认识当前我市互联网面临的严峻形势,充分认识加强非经营性互联网上网服务场所安全管理的重要性和必要性,从维护国家安全和社会稳定,构建和谐社会的大局出发,高度重视非经营性上网服务场所的安全保护工作,努力健全安全管理制度,强化技术防范措施,切实堵塞安全漏洞,大力提高安全防范能力,全力保障我市互联网非经营性上网服务场所健康、有序发展。

　　二、全面落实互联网安全技术保护措施

　　为有效防止有害信息传播,遏制网络违法犯罪案件的发生,保障非经营性互联网上网服务单位网络系统的安全运行,全市非经营性互联网上网服务单位要根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令第195号)、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号)、《互联网安全保护技术措施规定》(公安部令第82号)、《山东省计算机信息系统安全管理办法》(省政府令第88号)等法规规定,坚持安全管理制度和安全防范技术措施相结合、人工防范与技术防范相结合的方针,在落实防计算机病毒、防网络入侵和攻击破坏等安全技术措施的同时,确保做好以下工作:

　　(一)安装并运行互联网上网服务场所安全管理审计系统。各非经营性互联网上网服务单位须在每个互联网出口安装与该网络流量相匹配的安全管理审计系统,并与公安机关信息网络安全报警处置系统联网,真正实现对各类有害信息和网络违法犯罪案件及时发现、严密防范、有效处置,确保全市非经营性上网服务场所的网络安全。全市非经营性互联网上网服务单位要一手抓信息系统建设,一手抓信息服务安全,按照“谁主管、谁负责,谁使用、谁负责”的原则,落实经费投入,认真履行信息网络安全保护的法律责任,在公安机关的统一组织和指导下,按照统一的规划和建设标准,建设非经营性上网服务场所安全管理审计系统,建立完善安全保护技术措施,全力提高我市信息系统的安全防范能力。

　　(二)落实备案制度。全市已开通上网服务的宾馆、酒店、酒吧、咖啡屋、茶社、洗浴中心、社区、图书馆、商务会所、学校公共机房等非经营性互联网上网服务场所应于2008年9月30日前登录潍坊市公安局报警服务平台(www.weifang.cyberpolice.cn)办理备案手续,10月1日后开通上网服务的非经营性互联网上网服务场所,应当在网络正式联通之日起30日内办理备案手续。

　　(三)加强信息网络安全专业技术人员继续教育工作。为更好地维护我市信息网络安全,提高信息网络安全专业技术人员素质,按照省公安厅、省人事厅《转发公安部办公厅、人事部办公厅关于开展信息网络安全专业技术人员继续教育工作的通知》(鲁公发〔2007〕35号)要求,我市利用3年左右时间,以国家机关、企事业单位、互联网服务和联网使用单位信息网络管理组织负责人、管理和技术人员为重点,对信息网络安全专业技术人员开展继续教育工作。

　　三、安全管理审计系统建设标准和产品要求

　　(一)互联网安全管理审计系统建设标准。互联网安全管理审计系统须通过公安部计算机安全专用产品的检测,具有提高非经营性互联网上网服务单位自我管理的功能,并能达到《互联网安全保护技术措施规定》(公安部82号令)的要求,主要包括:1、记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的安全审计技术措施;2、记录并留存用户注册信息并向报警处置中心上传数据;3、在公共信息服务中发现、停止传输违法信息,并保留相关记录;4、具有至少60天的记录备份功能。

　　(二)互联网安全管理审计系统产品要求。根据公安部关于互联网安全管理和防范技术措施与公安机关网络安全报警处置中心统一平台、统一标准、统一接口的要求,各非经营性互联网上网服务单位在选定安全管理审计产品时,必须符合以下标准:

　　1.符合GA658、659、660、661、663-2006互联网上网服务场所信息安全管理系统系列标准;

　　2.符合MSTL_JBZ_04-024互联网公共上网服务场所信息安全管理系列标准检验实施细则中的安全功能要求;

　　3.通过公安部计算机信息系统安全产品质量监督检验中心的检测;

　　4.具备准确定位到单机的功能;

　　5.具备非经营性互联网上网服务单位局域网内部管理的有关功能。

　　6、具有向市公安机关公共信息网络安全报警处置中心传输数据的功能。

　　(三)互联网安全管理审计系统产品安装时间。提供非经营性互联网上网服务的高校、宾馆、酒店、招待所、休闲会所、洗浴中心等单位于2008年7月底前安装完毕,其它连接互联网的单位要于2008年11月底前全部安装完毕。

　　四、工作要求

　　市公安局具体负责全市非经营性上网服务单位安全保护技术措施的组织实施和业务指导。市政府有关部门、有关单位要根据各自职责,依法加强监督检查,确保全市非经营性互联网上网服务单位落实安全保护技术措施工作顺利进行。各级公安机关对落实安全保护技术措施不到位的单位,要及时提出整改意见,限期整改;整改不合格或拒不整改,造成不良影响和后果的,要追究单位主要负责人和直接责任人的责任;对拒不安装或者擅自停止、卸载、变更安全保护技术措施的单位和个人,要依照《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等相关规定予以处罚。