宁夏出台《宁夏2016年网络安全保护状况白皮书》

　　为进一步提升全区网络安全保障能力，宁夏公安厅（宁夏网络安全等级保护领导小组办公室）经过5个月的调研、论证、起草、修订、校印，编制了《宁夏2016年网络安全保护状况白皮书》（以下简称白皮书）。

　　据介绍，《白皮书》系地方首次编制区域性、综合性网络安全权威指导文件。全文共5章6万余字，抽样数据2万余条，分别从国家在网络安全保护方面的顶层设计和统筹规划、2016年宁夏信息化建设快速发展对网络安全的新要求、2016年我区网络建设运营单位和网络安全监管部门对重点网络的安全保护状况分析以及进一步加强我区网络安全保护工作的对策建议等5个方面，基于2万余条网络安全技术防护措施和安全管理制度的等级保护测评数据，及2015年至2016年全区公安机关对331个网络安全建设、运营、使用单位，累计2300余套信息系统、网站执法检查发现的5000余个安全问题、风险，以及在网络安全等级保护合规性要求上，进行了全面、深入、科学的调研、对比、分析和论证，从主观、客观和技术层面，有效的阐述了我区网络安全保护的现状、有效性以及与国家网络安全等级保护要求的差距，提出了9条加强我区网络安全保护工作的具体建议，既有网络安全建设、防护的具体技术措施，又有全局性网络安全治理、监管的理论指导意见。

　　记者了解到，此次公安机关编制《白皮书》，对全力保障全区重点网络、信息系统和网站安全平稳运行，深入推动网络社会现实化管理，有效保护公民个人信息等方面将发挥积极作用，对服务我区信息化建设和网络安全协调发展、社会安全稳定、经济社会繁荣具有一定的促进意义。

　　 相关链接：

　　 目前我区网络安全保护状况

　　依据白皮书所有抽样数据和公安机关近两年在网络安全等级保护监管、执法检查工作中累计数据的深入分析和科学研究，目前，我区的网络安全保护状况总体情况是：

　　一是网络安全保护工作总体安全可控和监测预警防护水平不足的局面共存。基于抽样数据的分析，结合执法检查、日常监管掌握的情况，我区网络安全保护工作总体安全可控，在物理安全、网络安全、主机安全、应用安全、数据安全、管理制度等各个方面，保护措施具有较好的有效性。但不容乐观的是，一些单位尤其是不能依法落实等级保护测评、建设整改加固的单位，主动发现攻击和隐患的能力不强，自身防护水平不高，迎接新技术、新挑战困难不少。

　　二是网络安全保护工作成效明显和发展不平衡的局面共存。近年来，自治区党委、政府高度重视网络安全保护工作，公安机关积极发挥主力军作用，电信、金融、能源、民航、税务、水利、交通、教育等行业、部门依法履行主体责任，全面推动落实网络安全等级保护工作，严厉打击网络违法犯罪活动，全社会网络安全意识明显提高，网络安全防护措施和保障能力明显增强。但是，一些单位对网络安全重视不够，重建设、轻防护，应急处置不及时、不专业，信息化建设和网络安全没有实现“同步规划、同步建设、同步使用”。

　　三是信息化快速发展和网络安全保护工作基础相对薄弱的局面共存。截止到2016年底，我区的网民规模超过450万人，亚马逊、阿里、中国电信、中国移动、中国联动等国内外一流数据中心相继落户宁夏。与此同时，我区的网络安全保护工作基础薄弱，一些单位普遍缺少信息安全的实体部门，投入不足，网络整体防护水平不够，等级测评和整改加固无法保障，网络安全隐患和漏洞依然较多。

　　我区网络安全抽样数据所呈现出的规律性（15000余条安全数据）

　　1、物理安全方面

　　数据表明，90%以上的重要网络物理机房设置电子门禁、视频监控，配备消防灭火及备用供电系统，物理机房在物理位置选择、访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制和电力供应措施方面普遍落实较好，除电磁防护控制点平均符合率较低，为78.83%外，其余项平均符合率均高于90%。

　　2、网络安全

　　通过数据分析，网络安全无论从安全总体架构，还是从访问控制、安全审计、网络设备防护层面控制措施基本落实到位，具备一定的安全防护能力，普遍在结构安全、访问控制和网络设备防护措施上落实较好，平均符合率高于90%；在恶意代码防范措施上落实不足，平均符合率为73.53%。

　　3、主机安全

　　数据表明，区内重要网络主机层面普遍在身份甄别和剩余信息保护措施落实较好，身份甄别方面平均符合率均高于80%。在访问控制方面，高于60%的主机系统配置访问控制策略；在主机远程管理方面采用加密协议；在关键岗位设置方面，数据库和服务器管理员均安排不同人员担任，有效避免了越权操作。主机访问控制平均符合率为65.65%，安全审计平均符合率为69.27%，入侵防范平均符合率为61.45%，恶意代码防范的平均符合率为57.06%。

　　4.应用安全

　　通过数据分析，应用安全层面在剩余信息保护和软件容错等措施方面落实较好，平均符合率均高于90%；应用系统全部设置了专门的登录模块，通过用户名口令验证登录用户身份信息，大部分应用系统配置了口令复杂度验证机制、定期更换密码口令提示和登录失败后冻结行号等处理功能。应用系统在信息完整性、信息保密性、抗抵抗性、资源控制等控制点上，平均符合率分别为66.15%、66.88%、69.29%、65.68%。

　　5、数据安全机备份恢复

　　通过数据分析，网络信息和数据完整性、保密性、数据的备份和恢复等控制点平均符合率在78%左右。

　　6、安全管理制度

　　数据显示，抽样的重要网络均建立了相应的安全管理制度体系，涵盖主机、网络、应用、五路环境、人员管理、系统建设、系统运维等安全管理方面。安全管理制度的制定、发布、评审修订落实较好，安全管理制度平均符合率均高于90%。

　　7、安全管理机构

　　数据显示，抽取的个单位均建立了专门的安全管理机构，岗位职责明确，人员配备基本合理，能够为安全管理提供基本的组织保证，安全管理机构平均符合率在90%以上。

　　8、人员安全管理

　　数据显示，抽样的重要网络在人员安全管理方面责任落实到位，人员录用、离岗、定期考核安全教育与培训等工作规范，对第三方人员有明确的管理要求，从管理上能够降低相关风险，人员安全管理平均符合率在90%以上。

　　9、系统建设管理

　　数据显示，抽取单位的系统建设管理工作落实基本到位，从安全方案设计、产品采购、系统的测试验收等环节科学规范，能够保证系统建设的安全质量，网络的安全建设管理平均合格率均高于90%。

　　10、系统运维管理

　　通过数据分析，抽样的重要网络在运维管理方面落实基本有效，系统安全管理、网络和密码管理、恶意代码防范管理、应急预案制定和启动等方面的操作规程标准，系统运维平均符合率在90%以上。

　　记者 石永磊 李哈伦