浙江省通信管理局关于2020年电信和互联网行业网络安全检查情况的通报
中国电信浙江公司,中国移动浙江公司,中国联通浙江分公司,各增值电信业务经营企业、工业互联网标识解析系统和公共工业互联网平台运营单位、网络预约出租汽车经营者,相关单位:
根据工业和信息化部统一部署,我局开展了2020年浙江省电信和互联网行业网络安全检查,相关情况通报如下:
一、总体情况
对省内基础电信企业27个网络和系统和省内业互联网标识解析系统和公共工业互联网平台运营单位、网络预约出租汽车经营者和重点互联网企业220个网络和系统开展现场检查,远程检测省内增值电信企业7272家,发现各类安全漏洞隐患4.9万余个。
二、具体情况
截至12月16日,全省基础电信企业共备案通信网络单元1215个,其中浙江电信499个、浙江移动392个、浙江联通274个;增值电信企业共备案网络单元3640个,其中1级网络单元1795个,2级网络单元1302个,3级及以上网络单元527个。
我局委托相关互联网安全服务企业于10-12月对省内电信企业开展网络安全技术检查和风险评估。其中:
1.对基础电信企业核心网络、数据中心、网管系统、业务运营支撑系统、域名服务系统、信息服务等27个网络单元进行检查,发现各类安全漏洞70个,其中高危漏洞2个,中危漏洞13个,低危漏洞55个。
2.对互联网接入服务系统、数据中心、移动应用商店、域名注册服务系统、电子商务网站、互联网金融系统、互联网文化系统、互联网游戏娱乐系统、工业互联网标识解析系统、公共工业互联网平台运营单位和网络预约出租汽车经营者等220个网络和系统进行现场检查,实际检查网络单元198个,发现各类安全隐患2768个,其中高危漏洞678个,中危漏洞1442个,低危漏洞648个。
3.对省内6615家增值电信企业2.1万余个网站和应用系统进行远程渗透检测,可正常访问的网站和系统8069个,系统可用率39.2%;发现存在各类安全隐患48530个,其中存在高风险的网站和系统8490个,存在弱口令的网站和系统22个。
三、问题分析
从检查情况看,各企业认真贯彻《中华人民共和国网络安全法》、《通信网络安全防护管理办法》等规定,积极落实工业和信息化部和我局要求,行业网络安全防护能力较去年有所增强。但在检查中仍暴露出部分问题:
1.网络安全基础工作仍需加强。本次被检查的220家增值电信企业中,43家企业尚未提交定级备案报告或报告内容不完整,占总量的19.5%。各增值企业对通信网络单元定级标准不熟悉、定级不准确的现象较为普遍,部分企业缺乏安全基础知识,无法明确区分电信业务经营年报、定级备案、等级保护等工作之间的区别。
2.网络安全防护能力有待提升。从检查结果看,存在高风险及以上安全隐患的企业有65家,占总量的32.8%。检查中发现大部分企业通过系统上云、购买安全服务、增设安全设备等形式,不同程度地具备了一定的安全防护能力,但各企业网络安全能力与网络安全需求和业务状况仍不相符,无法有效应对当前严峻的网络安全形势和网络安全事件。
3.网络安全意识普遍不强。我局检查的企业中有62家未设置专职网络信息安全管理部门,责任落实不到位,部门企业未能制定有效的网络安全工作机制,部分企业网络安全机制执行不到位,工作职责不明确,已制定的网络安全机制并未有效运作,未发挥应有的作用。
四、整改要求
1.各企业要对照检查发现的问题尽快落实整改,同时积极查找问题根源,举一反三,针对存在的薄弱环节和突出问题,采取有力措施,认真整改,务求实效。我局将对存在安全隐患的企业下发网络安全风险整改通知书,各相关企业需于2021年1月22日前完成安全整改并向我局提交书面报告,我局将开展现场复查。拒绝配合检查的7家企业(见附件),需于2021年1月10日前提交书面情况说明。对拒不整改、拒不配合检查的企业,我局将按照《通信网络安全防护管理办法》第十九条、第二十二条依法进行处理。
2.各企业要进一步提高思想认识,细化和完善网络安全管理制度,加强组织和人员保障,做好网络安全防护基础工作,切实落实网络安全防护工作各项要求。要进一步落实网络单元定级备案要求,尽快通过通信网络安全防护管理系统(https://mii-aqfh.cn)提交通信网络单元定级备案。对长期仍未完成网络单元定级备案的企业,我局将按照《通信网络安全防护管理办法》第七条、第二十二条依法进行处理。
3.各企业要加强网络安全防护技术手段建设,强化关键信息基础设施网络安全防护、网络数据安全和用户信息保护措施。要严格按照近期工业和信息化部和我局关于网络安全和数据安全工作要求,履行企业主体责任义务,切实落实网络安全信息通报责任和突发事件应急处置,全力做好网络安全工作。
(联系人:李扬,0571-87013179;李梦柔,0571-87060678;邮箱:wac@zca.gov.cn)