市通信管理局通报电信和互联网行业安全检查阶段性进展情况

2018年8月8日 10:09 来源:上海市通信管理局 选稿:牛强

原标题:约谈处置35家问题企业!市通信管理局通报电信和互联网行业安全检查阶段性进展情况

  为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,维护上海市公共互联网安全稳定运行,保障首届中国国际进口博览会胜利举办,上海市通信管理局根据《网络安全法》等有关法律法规于2018年5月组织开展了本市电信和互联网行业网络安全检查工作。截至7月31日,年度安全检查已取得阶段性进展,现将相关情况向全行业通报如下:

  一、阶段性工作情况汇总

  (一)组织行业开展网络安全自查。本年度共抽查101家电信和互联网企业。截至7月31日,各企业在市通信管理局的指导下累计摸排了428个网站平台、162款APP应用以及703个信息系统的安全状况;梳理了为社会公众提供信息服务的300项互联网业务;整理上报了268项互联网服务的用户个人信息收集和使用情况;并进一步完善了网络安全事件监测预警、信息通报、应急演练和安全培训等工作机制。

  (二)开展互联网信息系统专项摸底清查。为加强排查网络信息系统底数,准确掌握公共网络的安全状况,市通信管理局自7月起组织专人对本市各电信和互联网企业的网站、域名等各类信息系统资源开展专项摸底清查。截至7月31日,市通信管理局已抽查了60家企业的互联网信息系统情况,核查发现222处被遗漏的、脱离企业管理的域名站点等风险隐患,并通报相关企业整改,全力确保每个网站有主管单位,每套系统有责任人员,做到应急响应及时,安全防护到位。

  (三)开展互联网站、APP应用和企业现场安全检查。2018年6月至7月,市通信管理局组织有关专业机构加强对各企业安全技术防护情况检查。截至7月31日,共检测了4050个互联网站点的安全状况,累计发现了1418处漏洞风险,并就其中的重点问题约谈通报了13家互联网企业;对本市主要电商企业的11款APP应用开展了安全抽测,并发出5份网络安全威胁通报;深入8家企业现场开展网络安全实地检查。

  (四)开展网络安全事件上报情况检查。截至7月31日,市通信管理局在进一步完善本市互联网网络安全信息通报工作机制的基础上,新指导54家互联网企业进入工作机制,促进行业网络安全信息共享,提高网络安全预警、防范和应急水平,保护本市互联网用户和互联网企业的合法权益。同时,就上海数据港、上海华侨通信、上海劢杰通信、前程无忧网等企业未落实安全事件报送工作等问题予以通报和责令整改,加强规范网络安全信息通报工作,维护本市公共互联网的安全稳定运行。

  (五)开展用户信息保护情况专项抽查。针对近期互联网企业违规收集用户信息事件频发、互联网用户帐号注销困难等突出问题,市通信管理局结合年度安全检查,部署专项任务,对本市互联网企业的用户信息收集情况和用户帐号可注销情况进行抽查。截至7月31日,市通管局对本市89家企业的268项互联网业务进行了用户信息收集情况审查和用户帐号注销情况抽测。初步检查发现,有36项互联网业务在用户信息收集方面存在问题,有59项业务的用户帐号可注销服务涉嫌违规。市通管局将对有关结果做进一步核查,并视情对相应企业采取通报、公示和处罚等处置措施。

  二、检查中发现的重点问题

  (一)互联网信息系统资产梳理不清晰。本次检查发现,本市不少互联网企业对本单位网络信息系统的掌握程度存在明显不足,其中不乏一些用户量大的、具有一定社会影响的企业,对自身所属的网站系统情况一无所知,对网络安全风险存在的位置毫不掌握,可能对公共互联网安全带来严重威胁。对此,市通信管理局召开专题通报会,对久游网等14家问题较为突出的互联网企业进行了通报约谈,并责令其深入整改。市通信管理局提示, 网络信息系统的摸底排查不到位,将至少存在以下安全风险:一是危害国家和社会安全。不法分子会选择一些社会影响力大的、具有公共性的单位或企业,对其所属的各类信息平台进行攻击,并利用其平台发布、传播各类不良信息,危害社会公共安全乃至国家安全。二是危害互联网用户安全。当前,不少互联网企业已积累了大量的互联网用户和流量,如果企业对自身信息系统的摸底清查存在疏漏,导致别有用心之人控制和利用其所属网站,从事网络钓鱼、网络欺诈等行为,则很容易迷惑互联网用户,使广大用户的信息、财产安全面临威胁。三是危害互联网企业自身安全。企业对自身网络信息系统底数不清、管理不严,不法分子就很容易通过未被关注到的风险点入侵到企业内部,从而窃取各类信息,危害企业运营;同时,一旦企业所属的网络信息系统发生安全威胁,导致危害公共互联网安全的事件发生,则企业自身将不可避免的承担相应责任。

  (二)用户信息保护工作落实不到位。《网络安全法》明确规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”;《电信和互联网用户个人信息保护规定》明确要求,“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务”。当前,各互联网平台收集了大量用户信息,一些不合理、不正当、不必要的信息收集和使用方式将对公民的信息、财产安全带来威胁。本次抽查发现,相当一部分互联网企业和业务存在违规收集使用用户信息和用户帐号注销困难等问题。对此,市通信管理局已对返利网、洋码头等存在突出问题的企业进行约谈通报,并将在下阶段重点加强全行业用户信息保护情况的督查,并依法依规严肃处理问题企业,切实强化用户个人信息保护工作。

  (三)企业网络安全培训和应急演练开展不深入。7月,市通信管理局对土豆网、蔚来汽车等8家企业开展现场检查,并重点调查了解了各企业的网络安全培训开展情况。检查发现以下问题:一是企业内部安全培训和应急演练相关制度不够完善,且工作流于制度表面,空有制度计划而缺少培训、演练落实;二是安全培训、演练缺少工作记录和成果总结,开展了培训和演练但没有记录有关内容和开展情况,培训和演练的成果没有总结,没有发挥实际效益;三是安全培训多集中于安全人员、技术人员等少部分企业员工,缺少对全员性网络安全基本知识的培训;市通管局在对企业员工进行安全基础知识的调查测试发现,公司非技术类的业务岗位员工对网络安全的基本概念、基本安全意识了解不足。

  (四)极少数企业网络安全观念淡薄,意图逃避监管。在本次检查中,绝大部分企业对主管部门的检查工作都予以充分支持和配合,但却有极少数企业缺乏“网络安全关乎国家安全”的系统认知,缺乏基本的政治责任感和社会责任感,试图隐瞒本单位可能存在的安全风险点和隐患点,置用户安全、社会安全乃至国家安全于不顾。对此,市 通信管理局将对极少部分刻意隐瞒的、问题整改不到位的企业作为重点盯防对象,对查实的违法违规行为严肃查处,决不姑息。

  三、下一步检查工作部署

  为持续强化本市公共互联网的网络安全防护,提升全行业网络安全风险意识,保障中国国际进口博览会圆满举办,推进电信和互联网行业网络安全检查胜利完成,下一步,市通信管理局将重点从以下方面部署开展相关工作:一是重点加强用户信息保护情况的检查,指导企业切实履行相关法律责任,并依法依规严肃处理问题企业,切实强化用户个人信息保护工作。二是面向车联网类、社交类、信息服务类等不同互联网领域,对细分行业继续开展网站、APP和企业现场检查。三是将行业安全检查与关键信息基础设施安全检查等网络安全检查相结合,整合检查要求,合并检查工作,开展联合检查。四是组织开展全行业、全民性网络安全基础知识竞答活动,培养和提升全行业、全社会网络安全意识。五是加强检查工作总结,对网络安全工作优秀的单位予以表彰,对网络安全违规行为进行惩处。

  特此通报。