关于进一步加强业务信息安全管理的通知
各合作伙伴:
随着无线互联网的快速发展,越来越多的客户通过无线互联网进行信息搜索、交流和娱乐。但与此同时,低俗不良信息也在无线互联网上呈现蔓延趋势,为此工信部于今年十一月十二日下发了《关于进一步加强手机网站管理的紧急通知》,要求进一步加强对手机网站的管理,全面清理涉及淫秽色情的内容。现将业务信息安全工作的整体要求强调如下,请遵照执行。
(一) 全面梳理业务内容,确保内容来源、操作和存储安全
1.确保业务内容安全。切实加强业务内容管理,确保业务内容合法、不带有任何不良信息、符合国家相关监管部门要求;完善客户自创内容(UGC)监管(空间、留言、评论等),禁止在本地直接将客户产生的内容推荐展示,防止客户自产生内容存在涉黄、违法的信息;
2.强化内容存档安全。对已发布内容应存档记录,并由专人负责,禁止存档人员拥有内容变更等权限。内容存档保存的最低期限为两年。
(二) 严格网络接入管理策略,确保业务平台安全
1.加大业务接入保护力度。建立业务平台双向访问控制的防火墙管理策略,并实施网络入侵检测、实时入侵检测和防护措施、攻击识别和响应、监听方式部署、全网状态的监测和管理等;
2.对远程访问进行登陆验证。对于正常的远程访问,要求登陆验证,实行内部资源访问控制,并详细审计记录各种远程访问操作行为;
3.建立网络区域隔离。实现平台网络区域隔离,即在网络号段分配中应设定相应网络区域,各区域负责实现不同功能,且跨区域访问应受到严格限制或禁止跨区访问;
4.网络与系统与其他移动网络系统的接口,应遵循各系统接口规范;
(三)严格接入管理策略,确保业务接入安全
1.申请接入的合作伙伴资质必须符合国家规定,严禁提供虚假证件进行接入。
(1)基本资质主要包括:营业执照、组织机构代码证、税务登记证、银行开户许可证、经营许可证等;
(2)具体业务资质包括:无线音乐内容合作伙伴需具备相关歌曲的正版授权;手机报新闻类内容合作伙伴需具备《中华人民共和国互联网新闻信息服务许可证》,手机报报纸类需具备《报纸出版许可证》,手机报杂志类需具备《期刊出版许可证》,手机报电视台、广播电台类需具备《广播电视播出机构许可证》及广播电视频道许可证,手机报网站类需具备《网络信息服务许可证》等;手机视频业务内容合作伙伴需具备《信息网络传播视听节目许可证》等等;
2.强化信息安全协议管理。所有合作伙伴均需签署《信息安全责任承诺保证书》(详见2009年11月30日发布《关于合作伙伴签署信息安全承诺保证书的紧急通知》),严禁从事危害国家安全、色情、迷信等违法违规活动。今后与合作伙伴签署或续签的合作协议将增加信息安全相关条款;
(四) 强化手段建设,全流程保障用户信息安全
1.加强用户信息存储管理。确保用户信息存储在专门的数据主机或存储介质中;只允许指定场地或专门终端访问数据主机,并要求对存储介质进行加密并交由专人看管;
2.严格执行用户信息传输制度。要求对所有传输的文件进行同步存档,授权人员具有独立的账号、密码,数据审核人员每天进行审计,网络安全人员每周复审;
3. 严格执行指定地点访问用户信息的制度。确保用户信息数据库只能在指定场地访问,并对访问应用数据库的密码进行加密,防止他人盗用。要求授权人员访问数据库时使用个人账户登陆,并只允许其访问本人管理的数据表。
(五) 全面整治业务推广渠道,及时报告政府
1.严禁业务推广合作伙伴发展下游渠道,不允许其向任何第三方提供渠道编码、接口文档、算法规则、营销方案等信息,严禁自消费和代收费行为;
2.全部暂停互联网及WAP业务推广合作渠道,加强对合作的本地互联网营销合作伙伴的长效监管,杜绝任何涉黄或非法信息;
3.严禁出现业务非法盗链、跳转等违约情况。
各合作伙伴要按照本通知精神,不仅要从严、从速、从紧地全面开展业务信息安全的自查自纠工作、更要建立常态化的监控、监督机制,杜绝任何不良信息,确保数据及信息业务的信息安全,为客户营造良好的网络环境。
特此通知。
中国移动广东公司
移动梦网合作服务中心
2009年12月22日