第一篇:关于重视计算机信息安全和个人信息保护,完善立法加强监管的提案
关于重视计算机信息安全和个人信息保护,完善立法加
强监管的提案
摘要:全国政协十一届四次会议提案第1894号
_________________________________________________________________________
_ 案 由:关于重视计算机信息安全和个人信息保护,完善立法加强监管的提案 审查意见:建议国务院交由工业信息部,公安部办理 提 案 人:侯欣一,张穹,刘白驹,李君如 主 题 词:计算机,信息,安全,管理 提案形式:个人联名 内 容:
一、互联网信息服务产业发展迅猛,给信息安全提出了严峻的挑战
近十多年来我国互联网产业快速发展,已经应用深入到我国政治、经济和社会文化生活的各个领域。到2009年,我国互联网用户已达4.2亿,跃居世界第一。以阿里巴巴、腾讯、百度等为代表的中国互联网企业已成为具有国际影响的品牌。互联网产业的发展在拉动内需,促进就业,推动产业结构调整,缩小我国服务业与发达国家服务业发展差距方面发挥着重要的作用。同时不容回避的是互联网的出现也给信息安全和个人隐私的保护带来了极大的挑战。首先,网络信息技术便利了对个人的监控和搜索,个人在网络上的一举一动都可以随时被记录下来,这和前互联网时代形成了鲜明的对比。其次,大型电子数据库的出现使得搜集、整理、传输、加工信息变得更加便利,而且几乎可以永久保存,不断再现。这就使得一些商业公司具备了大规模收集个人和企业信息的技术条件,尤其是一些装机量庞大的客户端软件提供商,就掌握了数以亿计的个人在网络上留存的信息,如果不严格加以规范和监管,一旦其所收集的用户信息被泄露或滥用,后果不堪设想。
据报道,2010年元旦前夕,北京某网络安全公司根据用户举报,发现GoogleInc.(即谷歌公司)服务器上存在一个巨大的用户隐私信息数据包(通过谷歌搜索引擎可以搜索到),经过该公司对隐私数据包的分析,确认该数据包来自一个域名为国内某装机量达数亿的安全产品提供商的官方服务器。这个事件明显暴露了我们在互联网个人信息保护上存在的巨大隐患,凸显立法和相关制度的缺失。
(一)计算机信息系统安全软件产品监管法规滞后
目前,与计算机信息系统安全有关的行政法规只有国务院在1994年颁布的《计算机信息系统安全保护条例》、1997年公安部依据该条例制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》以及2009年工业与信息化产业部颁布的《软件产品管理办法》。《计算机信息系统安全保护条例》原则性授权有关部门制定互联网安全产品监管规范,但并未就如何监管做出实质性规定。《软件产品管理办法》虽然提及了软件的检测标准,但只是从鼓励软件产业发展的角度制定的具体规范。
实质上,目前我国监管防病毒产品的规范只有公安部的《计算机信息系统安全专用产品检测和销售许可证管理办法》。但该管理办法颁布于10多年前,对计算机信息系统安全产品采取的是静态监管的方式,即安全产品在销售之前需要进行检测,但目前安全产品的升级、更新周期非常短暂,且大都通过互联网直接发售,并且很多企业都陆续推出了“云安全”技术。客观上,安全厂商已将重心从“产品”转向了“服务”,这种业务模式的变化使得安全厂商近乎完全脱离了原来的监管体系,静态的监管方式已根本无法满足对安全服务的全面动态监督需求。
(二)相关制度的缺失致使政府监管明显缺位,所谓的监管也只是流于形式,对企业没有任何威慑力
据了解,在前述泄密事件发生后第一时间工信部即接到了举报,但工信部因受其职责权限的限制,也只能要求该安全产品提供商加强信息保管措施,却不能采取任何处罚措施。如此的后果是个别厂商仍然可以肆意忌惮地收集和回传用户信息,这种状况如不能及时有效地被遏制,必然将会引发更为严重的社会公共事件。
(三)互联网信息安全立法缺位
计算机信息系统和互联网只是传统违法或犯罪行为得以实施的新的手段和方式,惩处这些违法、犯罪行为已经成为维护安全的迫切需要,但是针对网络新技术环下的信息安全保护方面的专门法律规范却一直没有出台。2010年3月十一届全国人大三次会议期间,有92名人大代表在3个议案中提出:鉴于网络信息安全问题日益突出,通过网络破坏信息系统,传播淫秽、色情、赌博、暴力等信息,窃取信息、名誉侵权等行为屡禁不止,严重扰乱社会秩序,影响国家信息安全,建议制定加快信息安全立法。
二、为了维护产业健康发展与信息安全,亟待对现行法律制度进行完善,健全对安全产品的监管
必须看到,目前发生在互联网安全行业的监管缺陷以及一再发生的网络泄密事件,损害的已不只是个别用户的利益,如果任由其蔓延,互联网行业将失去用户的信任,反过来对互联网产业的进一步发展构成制约。
有鉴于此,国家有关部门的及时介入,监管制度的完善,监督力度的加大,以及加大对个别企业恶性竞争行为的打击力度显得非常必要。此外,还应加快制定信息安全法律及配套制度,健全行政监督机制,并积极引导建立行业自律等,为中国互联网产业的健康发展创造一个良好的法制环境。具体建议如下:
(一)针对工信部的建议
1.依法查处违法行为
建议主动履行部门职责,及时对个别安全产品厂商无视法律规定造成用户信息泄露的企业进行调查和严厉处罚,明确提出整改措施;
2.建立诚信公示制度
建议建立企业诚信经营档案系统以及诚信信息的公示制度;积极配合相关部门做好计算机信息系统安全产品行业的市场准入管理。比如与工商行政管理机关一起建立计算机信息系统安全产品行业的企业诚信经营与行业声誉等信息管理机制,与公安部系统进行必要的衔接,为计算机信息系统安全产品行业的市场准入许可,提供参考条件,为安全软件企业与从业人员市场退出机制的建立完善提供支撑。
3.抓紧完善《信息安全条例》,争取早日出台。
(二)针对公安部的建议
1.完善产品的检测与管理机制
根据法律法规或有关授权规定,尽快完善计算机信息系统安全产品/服务、互联网安全产品/服务的管理规范,主要包括安全产品/服务的技术评测、评级机制,安全产品/服务的分类登商备案机制,安全产品/服务的重要信息披露机制,与信息安全密切相关的信息沟通机制,安全产品代码的管理机制等。
2.建立安全产品源代码备案制度
尽快建立安全产品源代码备案制度,设立专门监管委员会,负责安全产品信息(包括缺陷、漏洞等)、云查杀服务的病毒库、服务器指令的记录、披露,加强安全产品/服务的透明化和公平性;
3.建立行业管理规范与处理机制
尽快建立计算机信息系统安全产品/服务行业管理规范,产要包括建立安全厂商间纠纷的快速处理机制,安全厂商诚信档案与公示机制,加大对安全产品/服务的日常监督以及违法行为的行政处罚力度等。
(三)针对立法部门的建议
1.全国人大应尽快出台《个人信息保护法》,加强对个人信息保护
通过立法形式保障个人信息安全是国际通行做法,要在立法中明确谁有权搜集用户信息,安全软件产品和服务提供商在对个人和企业电脑提供安全防护和保障时如果不得不触碰到个人和企业在电脑中的数据和信息时应该遵循什么样的标准和要求,如何监管和谁来监管安全软件厂商收集个人和企业信息的行为,以及如何保障安全厂商收集的信息的安全和不被滥用等等。
2.国务院法制办应尽快修订《计算机信息系统安全保护条例》
明确计算机信息系统安全产品和服务的提供者行为规范,加大对违法行为的处罚力度增加违法成本,引入市场退出机制。明确规定尊重用户的选择权与知情权,未经用户同意不得收集和回传用户信息。
3.尽快修订《中华人民共和国治安管理处罚法》
通过修订《中华人民共和国治安管理处罚法》完善扰乱公共秩序的行为和处罚的相关规定。比如,在第二十九条中增加如下内容为第(五)项:违反国家规定干扰、屏蔽、阻碍、卸载用户的计算信息系统安全产品,影响计算机用户的信息系统安全的。
来源:中国政协网
第二篇:关于加强个人信息保护立法,为互联网服务保驾护航的提案
关于加强个人信息保护立法,为互联网服务保驾护航的提案
摘要:全国政协十一届五次会议提案第0486号
_________________________________________________________________________
_ 案 由:关于加强个人信息保护立法,为互联网服务保驾护航的提案
审查意见:建议国务院交由主办单位工业和信息化部会同中央外宣办(国务院新闻办),公安部办理
提 案 人:郭为
主 题 词:网络,信息,管理 提案形式:个人提案 内 容:
随着信息网络技术在社会各个领域的广泛应用,信息安全问题日益突出,特别是我国互联网用户数量已超过5亿,增长速度居世界第一。当前,美国等多个国家都在加快信息安全立法进程,而我国现有信息安全立法层级较低、没有形成体系,难以适应信息安全形势发展需要。然而,近期出现了一系列个人信息滥用和个人隐私泄漏的问题,个人信息安全问题再次成为社会关注的焦点。日益凸现的个人信息安全问题呼唤加快个人信息安全立法。
为此,建议如下:
1、加快个人信息安全及隐私保护的相关立法工作
公民个人信息包含潜在的商业价值,一旦被恶意获取,社会危害大。建议加快个人信息安全立法促使相关机构及企业对用户的数据信息完整性保护、隐私权保护提出严格的要求。其中,政府部门作为公民个人信息最大的拥有者,应高度重视在个人信息应用方面的管理,一旦发生政府部门泄露个人隐私的事项,一定要严肃处理,以表明政府保护个人隐私的决心。为公民网上活动和互联网产业发展提供良好的法律环境。
2、立法应该建立一套符合中国国情的网络公民身份体系并逐步推动网络实名制的真正实施。
欧盟、美国、韩国、新加坡等国家政府都在加紧制定本国的网络身份战略,我国也应当着手建立起自己的网络公民身份体系,借鉴我国金融信用体系的经验,由政府设立专门部门进行主导和管理,建立统一的公民身份标准、网络身份标准及各项管理制度,为互联网相关政务服务、公共服务和商业服务的安全有效开展奠定基础。
另外,实名制是未来网络世界的大势所趋,是网络诚信体系建立的基础。为此应当首先通过立法保护实名信息的安全,避免公民因提供实名信息而受到利益侵害;其次,应充分发挥互联网企业的作用,鼓励企业提供互联网服务时采取用户实名制,从而减少交易成本,提升网络诚信;最后,要加强网络实名制的社会讨论与宣传,引导公众对网络实名制的思考和参与,最终形成统一认识。
3、立法应该建立信息安全产品安全审查和管理制度 鉴于我国高端防火墙、操作系统、云平台等信息关键技术及相关产品在很大程度上依赖进口,存在严重的安全隐患,立法应该建立信息安全产品安全审查和管理制度,严格控制带有安全隐患的产品进入政府供应链。同时,政府应加大力度支持国内相关核心技术及产品研发和应用。
4、应加大防御监管机制的建设并修订相关法律
信息安全的有效建立不仅仅在于技术与产品,而在于一整套主动的防御措施,建议针对黑客行为等网络安全威胁,需要加快修订法律、量化定罪量刑标准,加强网络犯罪的打击力度。
来源:中国政协网
第三篇:计算机信息安全技术与完善建议论文
1计算机信息安全技术的概况
计算机信息安全技术的基本概念是通过相关的技术手段对计算机网络中的数据进行有效的保护,从而制止木马与病毒的入侵,利用计算机中的应用来实现计算机信息安全的技术。随着计算机性能的不断加强,互联网在生活及生产领域中逐渐深入的情况下,计算机信息安全已经形成一种更加安全的保护体系,这便需要相关的技术人员掌握全面的计算机信息安全技术,并通过对细节以及重点技术进行合理的应用从而保证计算机信息的安全。
2计算机信息安全技术
2.1操作系统的安全技术
操作系统的安全主要是指用户计算机中安装的操作系统这个层面的安全保障。最为常见的操作系统有:苹果操作系统、Unix/Linux操作系统、Windows操作系统等。
2.1.1登陆权限设置Windows操作系统的安全技术应用的最为广泛,该系统设置了相关的用户访问权限,能够同时设定多个用户不同的使用权限,通常情况下,验证一个计算机是否安全,主要是指这个操作系统能否控制外部对内部信息的访问,也就是只有授权用户或者是通过安全进程才可以访问计算机的内部信息。
2.1.2密码设置Windows还提供了密码安全策略,通过设置屏幕锁定密码来保证计算机信息的安全,定期的更换密码可以有效保证计算机信息的安全。
2.1.3软件防火墙技术Windows软件防火墙技术可以不断的升级和进化,最早的防火墙技术仅仅可以分析到端口号和病毒的来源情况,而现在随着计算机软件防火墙技术的不断发展与进步,Windows防火墙技术可以有效的对恶意IP、木马病毒进行拦截,同时还具有实时监控、预防计算机感染病毒的功能。
2.1.4硬件防火墙技术硬件防火墙技术主要是指把防火墙的相关程序,放到芯片内部,通过芯片中的程序来对网络安全以及硬件设备进行一定的监控动作。硬件防火墙技术主要依靠植入到防火墙中芯片的程序具有过滤信息包的功能,脚本过滤、特洛伊木马过滤等,从而可以有效的防止计算机手段木马与病毒的攻击,保证计算机网络的安全。硬件防火墙具有体积小,安装简单、使用便捷、价格低等特点。
2.1.5浏览器安全级别技术因为浏览器能够直接对网上的信息进行访问,所以大多数病毒都是通过浏览器来进行传播的,Windows操作系统上的IE浏览器便设置了安全级别的限制,通过对网络信息设置不同的级别,从而有效限制了网页中的威胁。Windows操作系统的安全防护措施还有许多种,例如共享安全机制、备份恢复还原机制等。
3完善计算机信息安全的建议
建立较为完善的信息管理与防护制度,对数据库进行加密、建立公钥密码体制等技术对计算机信息进行安全管理,可以有效的保护计算机信息安全。
3.1加强用户的安全意识
正确的意识可以促进客观事物的正确发展,而错误的思想意识则有可能阻碍客观事物的发展,所以,在计算机信息安全的维护过程当中,应当树立一种正确的思想意识,并克服错误的思想意识,从而有效的促进计算机网络技术蓬勃且迅速的发展。
3.2加强身份认证技术
身份认证指的是,当用户进入到计算机中,进行身份识别的行为并可以知道用户自身是否有权限可以访问该数据的过程。在有身份认证防护功能的计算机系统中,身份认证是至关重要的一道计算机信息安全的防线。因为一旦用户通过了身份认证,那么就证明该用户可以访问这些信息与数据。如果这些认证信息被不法人员盗用,那么被访问的数据信息将有可能面临着被破坏、销毁、盗用等不利现象的发生。在某些计算机系统中通过相关软件来对身份的准确性进行确认,以这种方法来保证企业用户的相关信息被安全使用。使用身份认证的方法对信息进行保护的重要一点是该方法仅限本人使用,只有本人自己才有权利访问这些数据,因此,身份认证是计算机安全防护措施中的最为重要的保护信息的方法。进行身份认证的方法主要有三种,分别是通过口令进行身份认证、生理特征进行身份认证、外部条件进行身份认证。现在应用最为广泛的身份认证技术有静态密码与动态密码认证技术以及指纹识别技术等,而最为复杂的认证技术是生理特征的认证。
3.3提高防火墙技术
每一台计算机都需要接受防火墙技术的保护,在防火墙的保护之下,计算机才能够进行最为基本的操作。防火墙技术作为基本的计算机安全防护措施,是计算机内部设置的保护程序,防火墙技术同时也是对用户之间交换信息的程度进行控制的一种有效措施,询问是否允许用户访问数据。通过防火墙技术可以有效保护不明身份的用户访问计算机中的隐私,保证计算机中的信息不被破坏、销毁或是盗用。
3.3.1应用网关应用网关能够使用的较为特别的网络服务协议之中,并使得数据包对程序进行分析。应用网关可以通过对网络通信进行严密的控制,其是由一道较为严格的控制体系所形成的。
3.3.2数据包过滤数据包过滤技术主要是指在计算机网络信息在进行传递的过程当中,通过对数据进行一定的选择,并根据计算机事先设定好的过滤条件,再其对数据进行逐一对比之后,来分析数据是否可以通过访问。
3.3.3代理服务代理服务技术是一种应用在计算机防火墙中的代码,代理服务有多种功能,所以该技术可以根据不同的要求,变换不同的动作来保护计算机不受病毒与木马的攻击与威胁。
3.4加强物理保护措施
物理防护措施的主要目的是保护计算机网络中数据链路层的安全,使得计算机网络免受人为因素与自然因素的破坏。物理安全防护措施的实行能够验明用户的身份和该用户的使用权限,所以,通过实施有效的物理安全防护措施可以加强对网络数据链路层进行安全的管理,确保计算机网络的安全。
3.5加强密保措施
加强密保措施不但可以确保全球EC的正常发展,其同时也是针对网络可以安全运行的有效技术。加密技术能够保证计算机网络信息在加密过程中的正确性与安全性。计算机加密保护措施主要有两种方法,非对称加密法与对称加密法。通过实行安全加密措施,可以以最小的代价而获得最大的安全保障措施。
4总结
随着计算机网络技术的快速发展,其对人们的日常生活起到了越来越巨大的影响。计算机信息安全技术的完善程度逐渐得到人们的关注。计算机的信息安全技术能够通过计算机操作系统的相关密码技术、安全技术、数据库安全技术以及系统安全技术等作为有效保证,最为重要的一点是在使用计算机网络的过程中一定要保持强烈的安全意识,并且对病毒、木马有一定的敏感度,从根本上杜绝网络病毒的出现。
第四篇:计算机信息系统安全等级保护数据库安全技术要求
《信息安全技术 网络脆弱性扫描产品安全技术要求》
修订说明 工作简要过程 1.1 任务来源
近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况
该标准修订过程中,主要参考了:
—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
—GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程
1)成立修订组
2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划
修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。3)确定修订内容
确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标
本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则
为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品
脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类
根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。
这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描
向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。
NULL扫描
通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。
UDP ICMP端口不能到达扫描
在向一个未打开的UDP端口发送一个数据包时,许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢,因为RFC对ICMP错误消息的产生速率做了规定。
安全漏洞特征定义
目前,脆弱性扫描产品多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。
扫描器发现的安全漏洞应该符合国际标准,这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准,使得安全漏洞特征的定义不尽相同。
漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞,人们还需要分析其表现形式,检查它在某个连接请求情况下的应答信息;或者通过模式攻击的形式,查看模拟攻击过程中目标的应答信息,从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义,是开发漏洞扫描系统的主要工作,其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征,有的存在于单个应答数据包中,有的存在于多个应答数据包中,还有的维持在一个网络连接之中。因此,漏洞特征定义的难度很大,需要反复验证和测试。目前,国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库,使系统的性能基本能够与国外保持同步,省掉不少工作量,但核心内容并不能很好掌握。从长远发展来看,我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商,以掌握漏洞扫描的核心技术。
技术趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。
系统评估愈发重要
目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装着一个或者多个漏洞的测试手段。通常,脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描产品增加新的功能,扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描产品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描产品功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或
和增强级两个级别,且与“基本要求”和“通用要求”中的划分没有对应关系,不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的网络安全管理,从第一级就要求“定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补”,《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》中的信息系统安全性检测分析,从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求,运用有关工具,检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性,并通过对检测结果的分析,按系统审计保护级的要求,对存在的安全问题加以改进。”
本次在对原标准的修订过程中,对于产品本身的安全保护要求,主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面,现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改,将产品提供的功能与等级保护安全要素产生更密切的联系,以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别
1)标准结构更加清晰规范,全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订,与其他信息安全产品标准的编写结构保持一致。
2)删除原标准中性能部分的要求,将原来有关扫描速度、稳定性和容错性,以及脆弱性发现能力等重新整理,作为功能部分予以要求,同时,考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差,删除了这两项内容的要求。
3)对于产品功能要求的逻辑结构进行重新整理,按照信息获取,端口扫描,脆弱性扫描,报告的先后顺序进行修订,使得产品的功能要求在描述上逐步递进,易于读者的理解,并且结合产品的功能强弱进行分级。
4)对于产品的自身安全功能要求和安全保证要求,充分参考了等级保护的要求,对其进行了重新分级,使得该标准在应用时更能有效指导产品的开发和检测,使得产品能更加有效的应用于系统的等级保护工作。
5)将标准名称修改为《信息安全技术 网络脆弱性扫描产品安全技术要求》,增加了“安全”二字,体现出这个标准的内容是规定了产品的安全要求,而非其它电器、尺寸、环境等标准要求。
6)将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。”作为扫描类产品,在发现系统脆弱性的同时,还要求“能够采取一定的准,结合当前国内外网络脆弱性扫描产品的发展情况,系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上,考虑了我国国情制定的。
本次是对原有国标《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》的修订,在修订过程中,重新整理了内容和结构,结合等级保护的要求重新进行了分级,在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议
本标准是对网络脆弱性扫描产品安全技术要求的详细描述,为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。
《信息安全技术 网络脆弱性扫描产品安全技术要求》修订组
2012年9月
第五篇:关于完善进出口商品质量安全风险预警和快速反应监管体系切实保护消费者权益的意见
国务院关于完善进出口商品 质量安全风险预警和快速反应监管体系
切实保护消费者权益的意见
国发〔2017〕43号
各省、自治区、直辖市人民政府,国务院各部委、各直属机构:
进出口商品质量安全事关人民群众切身利益、国门安全和对外贸易可持续发展,是实现质量强国的重要组成部分。科学预防和有效控制质量安全风险,是加强全面质量管理、促进质量提升、增强人民群众获得感的重要途径,是深化简政放权、放管结合、优化服务改革的重要内容,对加快新旧动能接续转换,推进供给侧结构性改革、质量安全治理体系和治理能力现代化具有重要意义。经过不断探索实践,我国基本建立起进出口商品质量安全风险预警和快速反应监管体系(以下简称质量安全风险预警监管体系)并初具成效,但还存在信息采集渠道有限、评估能力不足、预警制度不健全、处置机制不完善、社会共治有待加强等问题。现就进一步完善质量安全风险预警监管体系、切实保护消费者权益提出以下意见。
一、总体要求
(一)指导思想。全面贯彻党的十八大和十八届三中、四中、五中、六中全会精神,深入贯彻总书记系列重要讲话精神和治国理政新理念新思想新战略,认真落实党中央、国务院决策部署,统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局,坚持以人民为中心的发展思想,坚持稳中求进工作总基调,牢固树立和贯彻落实新发展理念,以风险管理为主线,以保障进出口商品质量安全和促进质量提升为核心,持续推动质量安全治理体系和治理能力现代化。
(二)基本原则。
安全为本,严守底线。落实总体国家安全观,始终强调以人为本,把人民群众的切身利益放在首位,正确处理质量安全与发展的关系,对质量安全问题“零容忍”,守住不发生系统性、区域性、行业性质量安全风险的底线。
预防为主,防控结合。始终把质量安全风险预防工作放在重要位置,积极实施风险监测、预警前置和教育引导等措施,构建递进式、立体化预防体系,实现质量安全风险早发现、早研判、早预警、早处置,有效预防、系统应对。
创新引领,科学决策。充分利用风险管理前沿技术和现代科技手段,打造风险管理大数据平台,推动“互联网+监管”,科学研判进出口商品质量安全风险,不断提升风险预警和快速反应决策的准确性、科学性、有效性、权威性。开放共享,共治联动。深入推进信息互换、监管互认、执法互助,健全部门间执法协作机制,鼓励社会力量广泛参与,加强国际合作与交流,提升联防联控水平,实现社会共同治理和共享发展。
(三)工作目标。
力争在“十三五”期间,通过完善质量安全风险预警监管体系,建立全国数据集成的风险信息平台、权威的风险评估中心、畅通的风险信息交流共享渠道、高效的风险预警和快速反应机制,建立健全进出口商品质量安全监管制度。切实维护消费者权益和国门安全,预防和保护社会公众免受质量安全风险伤害,为民生保障与经济发展提供高质量供给。服务产业转型升级和外贸健康发展,科学指导风险防控决策,精准、及时、有效运用技术性贸易措施。坚持深化“放管服”改革,充分发挥市场在资源配置中的决定性作用和更好发挥政府作用,营造稳定公平透明可预期的营商环境。
二、工作任务
(一)全面加强质量安全风险监测。
1.实施风险监测计划。制定、发布全国统一的国家进出口商品质量安全风险监测计划,组织开展从口岸到市场的风险监测工作,针对影响人体健康、财产安全、环境安全等风险因素开展抽查检测,系统和持续地监测健康危害、物理危害、化学危害、生物危害、环境危害等质量安全风险,依法发布质量安全监测结果。食品安全风险监测按照食品安全法有关要求执行。(质检总局牵头,农业部、国家卫生计生委、工商总局、食品药品监管总局按职责分工负责)
2.拓宽风险信息采集渠道。运用移动互联技术,完善消费者投诉和企业报告渠道。实行检验检测认证机构风险信息报告制度。鼓励大专院校、科研院所、行业协会等主动报告质量安全风险信息。持续开展舆情信息收集。建立质量安全伤害信息和食源性疾病信息收集调查制度。加强内外贸结合商品市场、电子商务、边境贸易等重点领域和“一带一路”沿线国家、新兴市场等重点区域的假冒伪劣商品信息搜集工作。加强国际交流,开展双边、多边质量安全信息通报、调查合作。(质检总局牵头,农业部、商务部、国家卫生计生委、工商总局、食品药品监管总局、国家认监委按职责分工负责)
3.完善风险监测基础保障。依托中国电子检验检疫主干系统,加快建设全国数据集成的进出口商品质量安全风险信息平台。面向主要贸易国家和地区,统筹全国重点口岸区位优势,突出重点产业和新兴业态,规划布局一批质量安全风险监测点。(质检总局负责)
4.构建风险信息共享交换机制。发挥国际贸易“单一窗口”作用,采集和共享进出口商品相关数据。加强口岸安全联合防控,推动进出口商品质量安全风险信息平台与口岸风险布控中心对接,构建全国一体化的风险监测数据共享与交换机制。推动跨部门、跨区域、跨行业的伤害信息通报协作,加快实现与商品相关的伤害报告、食源性疾病、交通事故、火灾事故等信息的共享。准确掌握商品设计和制造中的不安全因素,为制定防控措施提供依据。(质检总局牵头,公安部、农业部、商务部、国家卫生计生委、海关总署、工商总局、食品药品监管总局、国家口岸办按职责分工负责)
(二)科学优化质量安全风险评估。
5.推动风险评估机构发展。利用现有资源,建设国家级进出口商品质量安全风险评估中心,设立国家进出口商品质量安全风险评估专家委员会。规划建设一批国家级质量安全风险验证评价实验室。通过政府购买服务、搭建科研平台等方式,支持社会力量参与质量安全风险评估工作,开展风险消减有效性评价和技术咨询,推动社会评估机构健康有序发展。食品安全风险评估按照食品安全法有关要求执行。(质检总局牵头,农业部、国家卫生计生委按职责分工负责)
6.推进风险评估能力建设。强化先进信息技术应用,规范质量安全风险识别、分析与评价程序,研究科学实用的风险评估方法,开发智能化评估模型,加快质量安全风险评估标准制定,培育专业化人才队伍。完善质量安全风险评估专家委员会工作机制,推动其参与制定风险监测计划等管理决策,开展独立咨询和专项质量安全风险评估。发挥风险验证评价实验室作用,提升风险评估基础性研究能力,探索风险验证与缺陷评价,强化重大质量安全事故相关技术支持。(质检总局牵头,农业部、国家卫生计生委、国家认监委、国家标准委按职责分工负责)
7.强化风险评估结果应用。充分发挥质量安全风险评估工作的前置作用,形成多形式、多维度的成果。为制定风险监测计划、发现与规避潜在危害因素、制定风险处置措施提供支持;为制修订法律法规和制定管理政策提供参考。建立科学有效的评价体系,客观评价我国进出口商品质量安全水平。(质检总局牵头,农业部、国家卫生计生委按职责分工负责)
(三)着力完善质量安全风险预警。
8.实施风险预警分级。健全风险预警等级划分标准和动态调整规则,按照质量安全风险的危害性、紧急程度、影响范围等因素,将风险预警分为I(特别严重)、Ⅱ(严重)、Ⅲ(较重)、Ⅳ(一般)四个等级,分别用红色、橙色、黄色和蓝色标示。食品安全突发事件预警按照《国家食品安全事故应急预案》执行。(质检总局、食品药品监管总局按职责分工负责)
9.分类实施风险预警。根据风险评估结果、目标对象、预警范围等,对需实施口岸布控等快速反应措施的,发布风险警示通报;对需提醒生产经营者及时采取风险消减措施的,发布风险警示通告;对需实施强制性措施控制风险和危害,并及时警示消费者的,发布风险警示公告。(海关总署、工商总局、质检总局、食品药品监管总局按职责分工负责)10.健全预警信息发布机制。完善风险预警发布规则,明确时限、权限、流程、渠道及发布程序,规范预警级别、起始时间、预警范围、警示事项等发布内容,统一发布预警信息。制定重大风险预警快速发布预案,I级风险预警由国务院授权进出口商品质量主管部门发布,Ⅱ级、Ⅲ级、Ⅳ级风险预警由进出口商品质量主管部门负责发布。探索实施精准推送,利用广播电视、互联网、新媒体等方式,丰富发布手段,畅通查询渠道,提高公众对风险的认知度。(海关总署、工商总局、质检总局、食品药品监管总局按职责分工负责)
(四)快速实施质量安全风险处置。
11.健全快速反应措施。综合运用降低信用等级、追溯调查、缺陷召回、加严监管、限制或禁止进出口、查封扣押、退运、暂停销售、销毁等手段,实施与风险预警等级相适应的全国一体化快速反应措施,及时开展效果评价,动态调整风险等级直至解除相关措施。落实口岸安全联合防控机制,强化执法协作,实现从口岸到市场的全过程有效风险防控。探索实施不合格进口商品口岸调离质量担保措施。(质检总局牵头,农业部、商务部、海关总署、工商总局、食品药品监管总局按职责分工负责)
12.加强缺陷进口商品召回。完善缺陷商品召回管理法律法规,逐步扩大召回商品覆盖范围,实施进口机动车和非道路移动机械环境保护召回。开展缺陷商品和食品安全信息收集、调查、评估和处置,强化召回后续监管和效果评价。落实企业召回主体责任,鼓励制造商、进口商开展主动召回,对隐瞒缺陷或不按规定召回的,严肃追究责任。(质检总局牵头,环境保护部、工商总局、食品药品监管总局按职责分工负责)
13.强化质量信用激励惩戒。加快质量诚信体系建设,将企业质量安全责任落实情况及风险消减义务履行情况纳入质量信用管理,推动将质量信用信息归集到全国信用信息共享平台。按照“守信激励、失信惩戒”的原则,持续推进质量失信联合惩戒,充分发挥信用信息对市场主体的激励和约束作用。(国家发展改革委、商务部、人民银行、海关总署、税务总局、工商总局、质检总局、食品药品监管总局、国家外汇局按职责分工负责)
14.强化质量安全违法行为惩治。引导媒体和公众参与监督,鼓励同业监督、奖励业内举报。建立质量安全违法“黑名单”,加大曝光力度,强化联合惩戒,建立严重违法企业强制退出制度,依法从严惩处相关企业和责任人。充分发挥行业自律作用,树立质量安全示范标杆,发挥示范引领作用。建设专业执法稽查队伍。(质检总局负责)
充分发挥全国打击侵权假冒工作领导小组作用,推进执法监管、行业管理、刑事司法之间的有效衔接,健全跨国境的打假执法协作和海外维权援助机制。对假冒伪劣行为高发领域和区域,坚持线上线下治理相结合,完善专项整治和随机抽查监管机制。(全国打击侵权假冒工作领导小组办公室牵头,最高人民法院、最高人民检察院、工业和信息化部、公安部、农业部、商务部、海关总署、工商总局、质检总局、食品药品监管总局、国家知识产权局按职责分工负责)
15.加强重点领域质量安全公益诉讼工作。检察机关依法在食品药品安全、生态环境和资源保护等领域开展民事公益诉讼和行政公益诉讼。加强司法机关与监管部门的协作,充分发挥公益组织、公职律师的作用,增强公益诉讼的法律效果和社会效果,共同惩治危害健康安全、财产安全、环境安全等损害国家利益和社会公共利益的进出口商品质量安全违法行为。(最高人民检察院牵头,最高人民法院、司法部、环境保护部、质检总局、食品药品监管总局按职责分工负责)
16.完善口岸风险应急处置。重点关注进出口大宗资源性商品、危险货物、固体废物等商品的安全风险,制定风险应急处置预案,强化应急物资准备和演练,开展应急响应和联动协作,提高口岸风险应急处置能力。(环境保护部、交通运输部、海关总署、质检总局、安全监管总局、国家口岸办按职责分工负责)
(五)注重质量安全风险管理结果运用。
17.落实企业质量安全主体责任。加大向企业通报质量安全监测数据和评估报告的力度,鼓励和支持企业开展缺陷消除、技术改造和工艺改进,提升质量水平。督促进出口商品生产经营者严格履行主体责任,建立健全落实商品质量验收、检验检测、安全认证、缺陷召回和售后服务等责任的制度。严格质量安全责任追究,落实风险信息或重大质量事故的企业报告和风险消减义务,依法承担质量安全侵权赔偿责任。(质检总局牵头,工业和信息化部、食品药品监管总局按职责分工负责)
18.加强技术性贸易措施相关工作。密切跟踪国外技术性贸易措施动态变化,评估其对我国相关产业造成的影响,做好预警、咨询、评议等应对工作。摸底排查国内外同类产业质量技术水平差距,发挥标准、计量、认证认可、检验检测的支撑作用,加强质量安全数据积累,推动制定符合产业转型升级需要的技术性贸易措施。充分利用世贸组织多边机制,强化技术性贸易措施相关磋商和贸易争端解决。发挥全国技术性贸易措施部际联席会议制度的作用,加强部门间协调沟通,形成应对合力。积极参与或主导技术性贸易措施相关国际规则和标准制定,加强双边与区域合作交流。(质检总局牵头,国家发展改革委、科技部、工业和信息化部、环境保护部、农业部、商务部、国家卫生计生委、海关总署、工商总局、食品药品监管总局、国家认监委、国家标准委按职责分工负责)
19.动态调整法定检验目录。明确必须实施法定检验的进出口商品目录调整程序,建立目录内商品调出机制,并根据质量安全风险监测与评估结果,实施动态调整。以高风险商品和高风险项目为内容制定法定检验目录,优化目录结构,原则上不对一般出口工业制成品实施出口法定检验。落实“双随机、一公开”监管要求,做好法定检验目录外商品监督抽查,强化抽查信息公示和结果公开。(质检总局牵头,商务部、海关总署按职责分工负责)
20.改革检验检疫监管模式。落实信息互换、监管互认、执法互助,加大对国际贸易“单一窗口”建设的支持力度。坚持风险评估前置原则,依据企业质量信用等级、商品质量状况评价和质量安全风险监测与评估结果,对一般风险商品,优化监管流程;对存在安全隐患和假冒伪劣风险的商品,实施有效的监管介入,综合运用抽查、检验、验证、采信与合格保证等多种合格评定方式,实施差异化监管。完善强制性产品认证入境验证监管制度。(质检总局牵头,交通运输部、海关总署、国家认监委、国家口岸办按职责分工负责)
21.加快完善第三方检验结果采信管理。全面复制推广第三方检验结果采信,做好制度安排,制定并发布全国统一的采信要求。科学运用风险评估结果,动态调整采信的商品类别和检验项目。鼓励符合资质要求的检验检测机构参与,实施被采信机构信息公示。强化事中事后监管、追责和违规信息披露,完善市场退出机制,维护公平公正、富有活力的检验检测市场秩序。积极探索合格评定结果国际互认。(质检总局牵头,国家认监委、国家标准委按职责分工负责)
22.探索开展质量安全追溯。鼓励企业健全质量安全追溯体系,逐步统一生产、流通、消费、检验检测等环节的数据标准。综合运用物联网、移动终端等载体,对食品、消费品、医疗器械等重点进出口商品实施质量安全追溯,逐步推动健全从生产、检验、物流、销售、使用到维修保养等全生命周期追溯链条,开展公共溯源服务试点。(工业和信息化部、商务部、工商总局、质检总局、食品药品监管总局按职责分工负责)
三、保障措施
(一)加强组织领导。结合实际,抓紧制定实施方案,明确任务分工和时限要求。精心实施,密切协作,形成合力,积极推进改革任务落地。加强对落实情况的监督检查、跟踪分析和通报,对出现的新情况、新问题,及时研究解决。(审计署、海关总署、工商总局、质检总局按职责分工负责)
(二)加强法制建设。做好法律制度安排,加强进出口商品质量安全法律法规体系建设,明确生产经营者和检验检测认证机构履行风险信息报告以及风险消减等义务,保障监管部门履行风险预警和快速反应等职责。奖励业内举报,做到有法可依、于法有据。(工商总局、质检总局、食品药品监管总局、国务院法制办按职责分工负责)
(三)落实经费保障。统筹利用现有资金渠道,提升监管能力,加强口岸查验设施建设,切实保障质量安全风险预警监管工作开展。建立事权和支出责任相适应的经费保障机制,相关经费列入同级财政预算,实施预算绩效管理,提高资金使用效益。(国家发展改革委、财政部、质检总局按职责分工负责)
(四)做好宣传引导。加强质量提升宣传教育,开展全国“质量月”、“全民国家安全教育日”等主题活动,宣传部门、网信部门、新闻媒体等要大力普及质量安全法律知识,加强舆论热点引导,提升公众依法维权、理性消费能力,营造全社会重视、支持进出口商品质量提升的良好氛围。(中央宣传部、中央网信办、质检总局、新闻出版广电总局按职责分工负责)
国务院
2017年9月14日
点击咨询 