为贯彻《中华人民共和国网络安全法》,落实网络安全工作责任制,进一步完善全省气象部门网络安全管理体系,提高网络安全保护能力,保障全省气象部门网络安全,制定本办法。
黑龙江省气象部门网络安全遵循国家网络安全法律法规和技术标准,遵循《中国气象局网络安全管理办法》,坚持依法管理,按照“明确责任、提高能力、加强监控、主动防御、确保安全”方针,构建全省气象部门网络安全防线。
观测与网络处是黑龙江省气象局网络安全管理职能部门,负责制定省级气象部门网络安全管理政策,统筹协调、部署全省气象部门网络安全工作,监管全省气象部门网络安全工作执行和检查情况。
黑龙江省气象数据中心是网络安全运行与技术监管单位,负责网络安全防御体系技术设计;负责新建项目规划设计的网络安全审查;负责通用性、基础性网络安全防护系统运行;负责网络安全态势监测和网络安全预警信息发布;负责气象业务系统、网站等系统上线运行安全风险评估及实时动态监管,负责掌握气象业务系统责任清单;负责全省气象部门网络安全工作检查;牵头重大网络安全事件应急处置;为其它单位提供网络安全技术指导和咨询建议。
省局业务单位、内设机构和各(市)地、县级气象部门(以下简称运行管理单位)负责本单位(部门)组织建设的业务系统网络安全工作的组织落实、能力建设、项目报备、监督检查、问题整改和应急处置。运行管理单位领导班子主要负责人是本单位网络安全第一责任人,主管网络安全的领导班子成员是直接责任人。
按照“谁主管谁负责,谁建设谁负责,谁运行谁负责,谁使用谁负责”的原则,运行管理单位落实网络安全责任,建立健全覆盖各系统的网络安全责任制,指定网络安全管理职能人员,确定每个系统的网络安全责任人。
按照网络安全等级保护(以下简称等级保护)制度规定和国家标准,建立健全基础信息网络、云计算平台/系统、大数据应用/平台/资源和采用移动互联技术的系统等(以下简称等级保护对象)及场地环境和运维人员等网络安全管理制度。重点加强信息基础设施资源池和大数据云平台的网络安全管理制度建设。
全省气象部门所有等级保护对象均应按照《中华人民共和国网络安全法》,遵循“同步规划、同步建设、同步运行”原则,遵照国家等级保护标准进行设计、定级、建设、备案、测评和运维管理。其中,气象观测系统应根据组成部分性质,按国家等级保护标准中的信息系统等相关要求开展等级保护工作。
等级保护对象建设单位负责在建设阶段同步落实等级保护制度。在项目设计阶段按照国家等级保护标准,合理确定所建等级保护对象的等级保护级别,确定与等级保护级别对应的网络安全方案,落实相关建设经费,按等级保护标准开展建设。
未确定新建等级保护对象的等级保护级别,或网络安全等级保护建设方案不完善的,不予立项。新建信息系统项目网络安全预算低于项目总预算5%的,原则上不予立项。
新建等级保护对象在试运行阶段,其建设单位负责向公安机关备案,并开展等级保护测评和网络安全风险评估。等级保护测评达不到定级标准要求的系统,必须通过整改达到相应要求,否则不能通过业务验收和竣工验收。定级备案结果报省局观测与网络处。
在全省范围安装部署的等级保护对象由其建设单位统一定级并向公安部备案,各分系统由负责其运行的单位按统一定级级别向当地公安机关或相关部门备案,备案时不得自行更改分系统的等级保护级别和定级对象内容。
运行管理单位应贯彻落实网络安全法律法规,落实网络安全保护责任,按等级保护制度要求做好等级保护对象的运行管理,保障等级保护对象的网络安全。运行管理单位应加强机房场地网络安全管理,为等级保护对象提供安全的运行场所,包括但不限于:
(一)加强机房安全环境建设,确保信息网络系统运行符合国家有关标准,其不间断电源、油机发电机等系统在需要时应能够正常工作。
(二)建立机房安全管理制度和外部人员进入机房登记制度。机房应配置电子门禁系统和监控系统,控制外部人员进入,记录其行为。
建立健全网络管控制度。对气象网络系统实行分区分域管理,严格控制跨区跨域通信,加强应用内容控制,包括但不限于:
(一)加强局域网络与气象广域网、行业专线、电子政务外网、国际专线和互联网的网络边界安全管控。关闭网络上的威胁端口。非气象部门的单位确系工作要求需要连接到局域网络中访问气象应用及数据资源,由观测与网络处按规定审批。严格禁止其他组织和个人连接到局域网络中访问气象应用及数据资源。
(二)严格管控互联网出口,省级互联网出口由省气象数据中心统一集约建设和运行。运行管理单位的互联网IP地址新增、变更或注销需报观测与网络处和省气象数据中心备案。
(三)互联网与局域网络之间必须安装防火墙等网络安全控制设备。互联网对外服务区对互联网开放的服务端口,采用白名单方式实施严格访问控制。
(四)远程访问局域网络资源的虚拟专用网(VPN)仅供气象部门员工使用,必须且仅能由控制局域网与互联网连接的网络安全设备提供。虚拟专用网系统应采用包括密码技术的至少两种鉴别技术对用户每次登录进行身份标识和鉴别,身份鉴别信息具有复杂度要求并定期更换,应具备登录连接超时自动退出等措施。省气象数据中心负责虚拟专用网系统用户分配、登记管理及技术管控。
(五)除由省气象数据中心正式设置的虚拟专用网外,禁止任何形式的由互联网以及互联网对外服务区主动进入局域网络的网络访问,禁止通过互联网以及互联网对外服务区对局域网络计算机进行远程控制、桌面共享、数据传输等的应用。
(六)严格禁止在局域网络内设立访问局域网络或互联网的无线网络访问设备。访问互联网的无线访问设备应与局域网络物理隔离或接入互联网对外服务区,并按国家法律法规采取网络安全管控措施。
(三)定期对本单位计算机网络系统进行病毒检测,发现病毒感染应及时清除,防止扩散和蔓延,并及时对杀毒软件和系统软件进行升级。
(四)严格执行内网系统的补丁升级和漏洞修复措施。定期对重要数据进行备份。
(六)及时更新或升级用户终端的操作系统等系统软件,确保得到安全补丁支持。
移动存储介质在本单位计算机上使用时,应采取有效的技术措施先检测其安全情况,确认安全后方可使用。
加强用户管理。具备用户身份识别、访问授权、权限控制和行为记录能力。加强离职人员使用的业务及应用系统账户管理,及时更改密码或注销账户。各应用系统账户采用实名制。尽量减少公用账户开设,必须开设的公用账户应确定其责任人。
加强信息系统的口令管理,强制使用强安全口令并定期更换,采取技术手段杜绝默认口令、弱口令、通用口令和长期不变口令,加强对暴力破解口令的技术防范措施。
全省气象部门只能采购通过国家云计算服务安全评估的云计算服务。使用互联网云计算服务的信息系统,由负责该系统运行的单位按网络安全管理要求加强管理并承担其网络安全管理责任。
严格管控系统建设、开发和运维等文档。不得在公共云中存储相关文档。确保文档中包含的IP地址、网络连接、系统配置、用户口令、程序源码等技术细节不对外泄露。
运行管理单位应对已上线运行但三个月内未使用的等级保护对象采取断网、停机等下线措施,再次上线使用前应当开展漏洞修补、病毒库更新等工作。在采取下线措施前和再次上线前需报省气象数据中心备案。
运行管理单位的等级保护对象不再使用时,应按等级保护规定做好剩余信息保护,并妥善处理其存储的数据。
运行管理单位要与系统开发、运维等单位和个人按照等级保护等规定签订网络安全服务协议,明确外部人员的安全责任与义务,规定所获取内部数据等资源的使用与扩散范围。
建立健全外部人员承担的系统开发及系统维护管理制度,加强人员背景审核,加强外部人员使用气象信息系统和数据等资源的权限管理与日志存留。
外部运维人员现场接入局域网络,应对其计算机进行安全检查,确保其满足网络安全要求后方能接入,接入过程中需派人全程陪同监督使用。
各市(地)气象部门要全面掌握本级及以下所有单位对外服务业务系统情况、互联网出口情况和对外服务专线开通情况并及时向省气象数据中心备案。
各县级气象部门要全面掌握本单位对外服务业务系统情况,保障本单位网络终端的网络安全,尤其是业务用机的病毒查杀、漏洞补丁等工作。及时向主管单位汇报网络安全相关工作情况。
落实网站安全责任制,确定每个网站的网络安全责任人。切实增强网站的网络安全防护能力。将网站运行情况、内容变更和网络安全情况纳入实时业务监控。移动应用软件服务端按网站管理。
网站要获得网站公安备案号、电信与信息服务业务经营许可证(ICP)号、等级保护备案号等,事业单位网站要加挂“事业单位网站”标识。不具有行政管理职能的事业单位网站禁止使用“域名。
网站新栏目、新功能上线之前必须由建设单位或委托第三方网络安全服务机构进行安全测评。根据测评结果完成问题整改,并达到相应网络安全要求后方可上线。对因网络安全问题暂停运行的业务系统,需由建设单位或委托第三方网络安全服务机构进行安全测评,测评结果符合相应网络安全要求后方可再次上线。
建立覆盖气象服务产品制作、审核、发布等全工作流程的网络安全管理制度。建立健全电话、手机短信、广播、影视、对外网站、移动应用软件、大喇叭和显示屏等对外服务手段信息发布和内容审核制度,明确审核的程序和责任,确保发布内容的合法性、真实性、准确性和安全性。
通过电话、手机短信、广播电台、电视台、网站、移动终端等开展气象服务的,应明确与电信运营商、广播电台、电视台、内容分发及网络服务提供商等的网络安全责任,做到节目(内容)提供与安全发布(播出)界限清晰,责任明确。
为公共广播电台、电视台制作提供广播和影视气象节目的,应建立节目移交审核登记制度,确保播出内容安全。
大喇叭和显示屏等必须采用密码技术具备身份认证等技术手段,避免使用远程和无线方式管理,坚决屏蔽非法内容,确保播出或显示内容正确。对公共区域的LED屏幕和大喇叭,要明确专人负责,承担安全责任。
建立健全省、(市)地和县级网络安全信息通报机制,明确通报机制负责人和通报联络员,明确职责任务、信息报送流程,及时报送、传达网络安全风险和监测预警信息,有针对性地及时组织开展检查、整改工作。
制定完善各级网络安全事件应急预案,明确应急技术人员,明确网络安全应急流程,切实提高应急预案的可行性和可操作性。
各运行管理单位要采取多种方式加强网络安全宣传和培训工作,强化网络安全人才培养,提高网络安全人才专业技能。
观测与网络处组织开展全省年度网络安全检查,一般采用现场检查、单位自查等形式。各运行管理单位定期对本单位网络安全运行情况开展自查,发现问题及时整改。
观测与网络处负责将网络安全工作纳入各运行管理单位的工作目标并开展考核,各运行管理单位将网络安全工作纳入年度重点工作任务并开展考核。
在网络安全建设、技术应用、运维保障、应急处置和信息通报等方面做出突出贡献或工作业绩优秀的技术人员,优先推荐为年度全国优秀气象信息技术人员。
对违反或未能正确履行本办法第九至第十二条和第四至第六章规定,视情节和产生的后果,依据有关规定追究当事人、网络安全负责人直至主要负责人责任。
(一)未按“同步规划、同步建设、同步运行”原则,未遵照国家等级保护标准,对等级保护对象进行设计、定级、建设、备案、测评和运维管理的。
(二)未落实网络管控、分区分域管理要求,或允许非气象部门的单位、组织或个人连接到气象局域网络,或私自接入互联网,或在局域网络内设立访问局域网络或互联网的无线网络访问设备的。
(三)未按本办法要求对用户进行实名制管理,或存在默认口令、弱口令、通用口令和长期不变口令的。
(五)未按本办法要求与系统开发、运维等单位和个人签订网络安全服务协议,或外部人员安全管理制度不健全的。
(六)等级保护对象存在安全隐患和漏洞,未按期整改,可能导致门户网站或其它对外网站及对外服务手段等页面或信息被篡改、重要数据被窃取或泄露、对关键信息基础设施运行安全造成威胁等,未造成实质性损失、危害或不良影响的。
有下列情形之一的,对责任单位领导班子主要负责人或主管网络安全的领导班子成员进行警示约谈:
(一)等级保护第三级及以上级别等级保护对象存在安全隐患和漏洞,未造成实质性损失、危害或不良影响的。
(二)其它级别等级保护对象存在安全隐患和漏洞,造成一般性损失、危害或不良影响的。
(三)门户网站受到攻击未及时处置,导致网站瘫痪或违法有害信息扩散,且未按要求上报的。
(四)其它对外网站、对外服务手段等存在安全隐患和漏洞,导致被攻击篡改,未造成实质性损失、危害或不良影响的。
(五)等级保护第三级及以上级别等级保护对象存在安全隐患和漏洞,导致重要数据被窃取、泄露、篡改或损毁,造成一般性损失、危害或不良影响的。
(六)关键信息基础设施存在安全隐患和漏洞,对关键信息基础设施运行安全造成严重威胁的。
(一)等级保护第三级及以上级别等级保护对象存在安全隐患和漏洞,造成一般性损失、危害或不良影响的。
(二)其它级别等级保护对象存在安全隐患和漏洞,造成严重损失、危害或不良影响的。
(四)其它对外网站、对外服务手段等被攻击篡改,且未及时组织处置和上报,造成一般性损失、危害或不良影响的。
(五)等级保护第三级及以上级别等级保护对象存在安全隐患和漏洞,导致重要数据被窃取、泄露、篡改或损毁,造成严重损失、危害或不良影响的。
(六)关键信息基础设施遭受网络安全攻击,未及时处置导致无法正常运行的,造成一般性损失、危害或不良影响的。
(七)发生其它网络安全事件未及时处置或未按要求上报的,造成一般性损失、危害或不良影响的。
有下列情形之一的,除对责任单位和相关责任人进行通报批评外,视情节,由相关部门按照干部管理权限和有关规定,给予相关责任人组织处理或纪律处分:
(一)等级保护第三级及以上级别等级保护对象存在安全隐患和漏洞,造成严重损失、危害或不良影响的。
(二)门户网站受到攻击瘫痪6小时以上,或其它对外网站、对外服务手段等被攻击篡改,且未及时组织处置和上报,导致反动言论或谣言等违法有害信息大面积扩散的。
(三)等级保护第三级及以上级别等级保护对象存在安全隐患和漏洞,导致大量重要数据被泄露、篡改或损毁,造成严重损失、危害或不良影响的。
(四)关键信息基础设施遭受网络安全攻击,未及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的。
(五)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的。
(六)阻碍国家有关机关依法维护国家安全、侦察犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的。
(七)发生其它网络安全事件未及时处置或未按要求上报的,造成严重损失、危害或不良影响的。
实施责任追究应实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。
各省局业务单位和各市(地)气象局可根据本办法制定本单位网络安全实施细则。