当前位置: 首页 > 政务公开 > 通知公告

关于2021年电信和互联网行业网络安全检查情况的通报

发布时间:2021-11-12 18:12

中国电信浙江公司、中国移动浙江公司、中国联通浙江分公司,增值电信企业,工业互联网标识解析系统和公共工业互联网平台运营单位、网络预约出租汽车经营者、相关单位:

  按照《中华人民共和国网络安全法》、《通信网络安全防护管理办法》要求,按照工业和信息化部统一部署,我局于9-10月开展了2021年浙江省电信和互联网行业网络安全检查,相关情况通报如下:

  一、总体情况

  为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,按照工业和信息化部统一部署,我局部署开展行业网络安全检查工作,组织省内基础电信企业、增值电信企业、工业互联网标识解析系统和公共工业互联网平台运营单位、网络预约出租汽车经营者等单位开展网络安全防护自查和整改;对省内基础电信企业38个网络和系统、省内工业互联网标识解析系统和公共工业互联网平台运营单位、网络预约出租汽车经营者和重点互联网企业153个网络和系统开展现场检查,远程检测省内增值电信企业7796个网络和系统单元,发现各类安全漏洞隐患46807个,其中现场检查发现3935个,远程检测发现42872个。

  二、具体情况

  (一)定级备案情况

  截至10月底,全省基础电信企业共备案通信网络单元1121个,其中浙江电信579个、浙江移动321个、浙江联通221个;增值电信企业共备案网络单元4079个,其中1级网络单元1807个,2级网络单元1565个,3级及以上网络单元707个;网约车企业共备案网络单元4个,其中2级网络单元1个,3级及以上网络单元3个。

  截止11月11日,我局组织专家评审27次,累计评审563个网络单元和系统,其中审核通过360个,审核未通过120个,业务未开展、已废除网络单元和系统83个。(详见附件1)

  (二)网络安全检查情况

  我局委托相关互联网安全服务企业于9-10月对省内电信企业开展网络安全技术检查和风险评估。其中:

  1.对基础电信企业核心网络、数据中心、网管系统、业务运营支撑系统、信息服务等38个网络单元进行现场检查,检查发现各类安全漏洞23个,其中高危漏洞2个,中危漏洞12个,低危漏洞9个。

  2.对互联网接入服务系统、数据中心、移动应用商店、域名注册服务系统、电子商务网站、互联网金融系统、互联网文化系统、互联网游戏娱乐系统、工业互联网标识解析系统、公共工业互联网平台运营单位和网络预约出租汽车经营者等153个网络和系统进行现场检查,实际检查网络单元101个,发现各类安全隐患3912个,其中高危漏洞1194个,中危漏洞1933个,低危漏洞729个,弱口令56个。

  3.对省内3394家增值电信企业的7796个网站和系统进行远程渗透检测,发现各类安全隐患42872个,其中高危漏洞9300个,中危漏洞17599个,低危漏洞16003个,跨站脚本漏洞、应用版本漏洞、弱口令漏洞、SQL注入漏洞、敏感信息泄露漏洞等问题较为突出。

  三、问题分析

  从检查情况看,各企业认真贯彻《中华人民共和国网络安全法》、《通信网络安全防护管理办法》等规定,积极落实工业和信息化部和我局要求,网络安全防护能力较去年有所增强。但在检查中仍暴露出部分问题:

  (一)网络安全防范意识淡薄。我局检查的企业中有27家未设置专职网络信息安全管理部门,14家企业无网络安全管理专职人员;部分企业未能制定有效的网络安全工作机制和个人信息安全保护管理办法,管理制度覆盖范围不全面,缺少事件处置、安全监控等方面管理制度,对人员培训、安全事件处置等内容未及时记录存档,网络安全机制流于形式、浮于表面,责任体系不明确,工作职责不明确,已制定的网络安全机制并未有效运作。

  (二)网络安全基础工作不足。现场检查的153家增值电信企业中,26家企业尚未提交定级备案报告,占总量的20.9%。40家企业未落实符合性评测,29家企业未落实风险评估。部分企业未对重要系统的操作等事项建立较为完整的审批程序流程,未对人员的入离职、安全意识培训考核、外部人员的访问管理、重要信息保密等方面做相应规范,未结合自身情况制定《网络安全应急预案》,未留存演练相关的记录和文档。

  (三)网络安全防护能力缺乏。从检查结果看,存在高风险及以上安全隐患的企业有54家,占总量的35.3%。检查中发现大部分企业通过系统上云、购买安全服务、增设安全设备、定期漏扫等形式,不同程度地具备了一定的安全防护能力,但各企业网络安全能力与网络安全需求和业务状况仍不相符,无法有效应对当前严峻的网络安全形势和网络安全事件。

  四、整改要求

  (一)各企业要按照“谁主管谁负责、谁运营谁负责”的原则,积极履行企业主体责任义务,切实落实网络安全信息通报责任和突发事件应急处置,全力做好网络安全工作。要对照检查发现的问题尽快落实整改,同时积极查找问题根源,举一反三,针对存在的薄弱环节和突出问题,采取有力措施,认真整改,务求实效。我局将对存在安全隐患的企业下发网络安全风险整改通知书,各相关企业需于2021年11月30日前完成安全整改并向我局提交书面整改报告,我局将视整改情况开展复查工作。对于拒绝配合检查的企业(详见附件2),需于2021年11月21日前提交书面情况说明。对拒不配合检查、拒不整改的企业,我局将按照《中华人民共和国网络安全法》第六十九条、《通信网络安全防护管理办法》第十九条、第二十二条依法进行处理。

  (二)各企业要进一步提高思想认识,细化和完善网络安全管理制度,加强组织和人员保障,做好网络安全防护基础工作,切实落实网络安全防护工作各项要求。要进一步落实网络单元定级备案要求,尽快通过通信网络安全防护管理系统(https://mii-aqfh.cn)提交通信网络单元定级备案。对长期仍未完成网络单元定级备案的企业,我局将按照《通信网络安全防护管理办法》第七条、第二十二条依法进行处理。

  

  附件:

  1.通信网络单元定级审核未通过企业清单(1-10月).docx

  2.拒绝配合检查企业清单.docx

  (联系电话:0571-87060678)


浙江省通信管理局

2021年11月9日



【返回顶部】 【关闭窗口】 【打印本页】