第一篇:關于重視計算機信息安全和個人信息保護,完善立法加強監管的提案
關于重視計算機信息安全和個人信息保護,完善立法加
強監管的提案
摘要:全國政協十一屆四次會議提案第1894號
_________________________________________________________________________
_ 案 由:關于重視計算機信息安全和個人信息保護,完善立法加強監管的提案 審查意見:建議國務院交由工業信息部,公安部辦理 提 案 人:侯欣一,張穹,劉白駒,李君如 主 題 詞:計算機,信息,安全,管理 提案形式:個人聯名 內 容:
一、互聯網信息服務產業發展迅猛,給信息安全提出了嚴峻的挑戰
近十多年來我國互聯網產業快速發展,已經應用深入到我國政治、經濟和社會文化生活的各個領域。到2009年,我國互聯網用戶已達4.2億,躍居世界第一。以阿里巴巴、騰訊、百度等為代表的中國互聯網企業已成為具有國際影響的品牌。互聯網產業的發展在拉動內需,促進就業,推動產業結構調整,縮小我國服務業與發達國家服務業發展差距方面發揮著重要的作用。同時不容回避的是互聯網的出現也給信息安全和個人隱私的保護帶來了極大的挑戰。首先,網絡信息技術便利了對個人的監控和搜索,個人在網絡上的一舉一動都可以隨時被記錄下來,這和前互聯網時代形成了鮮明的對比。其次,大型電子數據庫的出現使得搜集、整理、傳輸、加工信息變得更加便利,而且幾乎可以永久保存,不斷再現。這就使得一些商業公司具備了大規模收集個人和企業信息的技術條件,尤其是一些裝機量龐大的客戶端軟件提供商,就掌握了數以億計的個人在網絡上留存的信息,如果不嚴格加以規范和監管,一旦其所收集的用戶信息被泄露或濫用,后果不堪設想。
據報道,2010年元旦前夕,北京某網絡安全公司根據用戶舉報,發現GoogleInc.(即谷歌公司)服務器上存在一個巨大的用戶隱私信息數據包(通過谷歌搜索引擎可以搜索到),經過該公司對隱私數據包的分析,確認該數據包來自一個域名為國內某裝機量達數億的安全產品提供商的官方服務器。這個事件明顯暴露了我們在互聯網個人信息保護上存在的巨大隱患,凸顯立法和相關制度的缺失。
(一)計算機信息系統安全軟件產品監管法規滯后
目前,與計算機信息系統安全有關的行政法規只有國務院在1994年頒布的《計算機信息系統安全保護條例》、1997年公安部依據該條例制定的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》以及2009年工業與信息化產業部頒布的《軟件產品管理辦法》。《計算機信息系統安全保護條例》原則性授權有關部門制定互聯網安全產品監管規范,但并未就如何監管做出實質性規定。《軟件產品管理辦法》雖然提及了軟件的檢測標準,但只是從鼓勵軟件產業發展的角度制定的具體規范。
實質上,目前我國監管防病毒產品的規范只有公安部的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》。但該管理辦法頒布于10多年前,對計算機信息系統安全產品采取的是靜態監管的方式,即安全產品在銷售之前需要進行檢測,但目前安全產品的升級、更新周期非常短暫,且大都通過互聯網直接發售,并且很多企業都陸續推出了“云安全”技術。客觀上,安全廠商已將重心從“產品”轉向了“服務”,這種業務模式的變化使得安全廠商近乎完全脫離了原來的監管體系,靜態的監管方式已根本無法滿足對安全服務的全面動態監督需求。
(二)相關制度的缺失致使政府監管明顯缺位,所謂的監管也只是流于形式,對企業沒有任何威懾力
據了解,在前述泄密事件發生后第一時間工信部即接到了舉報,但工信部因受其職責權限的限制,也只能要求該安全產品提供商加強信息保管措施,卻不能采取任何處罰措施。如此的后果是個別廠商仍然可以肆意忌憚地收集和回傳用戶信息,這種狀況如不能及時有效地被遏制,必然將會引發更為嚴重的社會公共事件。
(三)互聯網信息安全立法缺位
計算機信息系統和互聯網只是傳統違法或犯罪行為得以實施的新的手段和方式,懲處這些違法、犯罪行為已經成為維護安全的迫切需要,但是針對網絡新技術環下的信息安全保護方面的專門法律規范卻一直沒有出臺。2010年3月十一屆全國人大三次會議期間,有92名人大代表在3個議案中提出:鑒于網絡信息安全問題日益突出,通過網絡破壞信息系統,傳播淫穢、色情、賭博、暴力等信息,竊取信息、名譽侵權等行為屢禁不止,嚴重擾亂社會秩序,影響國家信息安全,建議制定加快信息安全立法。
二、為了維護產業健康發展與信息安全,亟待對現行法律制度進行完善,健全對安全產品的監管
必須看到,目前發生在互聯網安全行業的監管缺陷以及一再發生的網絡泄密事件,損害的已不只是個別用戶的利益,如果任由其蔓延,互聯網行業將失去用戶的信任,反過來對互聯網產業的進一步發展構成制約。
有鑒于此,國家有關部門的及時介入,監管制度的完善,監督力度的加大,以及加大對個別企業惡性競爭行為的打擊力度顯得非常必要。此外,還應加快制定信息安全法律及配套制度,健全行政監督機制,并積極引導建立行業自律等,為中國互聯網產業的健康發展創造一個良好的法制環境。具體建議如下:
(一)針對工信部的建議
1.依法查處違法行為
建議主動履行部門職責,及時對個別安全產品廠商無視法律規定造成用戶信息泄露的企業進行調查和嚴厲處罰,明確提出整改措施;
2.建立誠信公示制度
建議建立企業誠信經營檔案系統以及誠信信息的公示制度;積極配合相關部門做好計算機信息系統安全產品行業的市場準入管理。比如與工商行政管理機關一起建立計算機信息系統安全產品行業的企業誠信經營與行業聲譽等信息管理機制,與公安部系統進行必要的銜接,為計算機信息系統安全產品行業的市場準入許可,提供參考條件,為安全軟件企業與從業人員市場退出機制的建立完善提供支撐。
3.抓緊完善《信息安全條例》,爭取早日出臺。
(二)針對公安部的建議
1.完善產品的檢測與管理機制
根據法律法規或有關授權規定,盡快完善計算機信息系統安全產品/服務、互聯網安全產品/服務的管理規范,主要包括安全產品/服務的技術評測、評級機制,安全產品/服務的分類登商備案機制,安全產品/服務的重要信息披露機制,與信息安全密切相關的信息溝通機制,安全產品代碼的管理機制等。
2.建立安全產品源代碼備案制度
盡快建立安全產品源代碼備案制度,設立專門監管委員會,負責安全產品信息(包括缺陷、漏洞等)、云查殺服務的病毒庫、服務器指令的記錄、披露,加強安全產品/服務的透明化和公平性;
3.建立行業管理規范與處理機制
盡快建立計算機信息系統安全產品/服務行業管理規范,產要包括建立安全廠商間糾紛的快速處理機制,安全廠商誠信檔案與公示機制,加大對安全產品/服務的日常監督以及違法行為的行政處罰力度等。
(三)針對立法部門的建議
1.全國人大應盡快出臺《個人信息保護法》,加強對個人信息保護
通過立法形式保障個人信息安全是國際通行做法,要在立法中明確誰有權搜集用戶信息,安全軟件產品和服務提供商在對個人和企業電腦提供安全防護和保障時如果不得不觸碰到個人和企業在電腦中的數據和信息時應該遵循什么樣的標準和要求,如何監管和誰來監管安全軟件廠商收集個人和企業信息的行為,以及如何保障安全廠商收集的信息的安全和不被濫用等等。
2.國務院法制辦應盡快修訂《計算機信息系統安全保護條例》
明確計算機信息系統安全產品和服務的提供者行為規范,加大對違法行為的處罰力度增加違法成本,引入市場退出機制。明確規定尊重用戶的選擇權與知情權,未經用戶同意不得收集和回傳用戶信息。
3.盡快修訂《中華人民共和國治安管理處罰法》
通過修訂《中華人民共和國治安管理處罰法》完善擾亂公共秩序的行為和處罰的相關規定。比如,在第二十九條中增加如下內容為第(五)項:違反國家規定干擾、屏蔽、阻礙、卸載用戶的計算信息系統安全產品,影響計算機用戶的信息系統安全的。
來源:中國政協網
第二篇:關于加強個人信息保護立法,為互聯網服務保駕護航的提案
關于加強個人信息保護立法,為互聯網服務保駕護航的提案
摘要:全國政協十一屆五次會議提案第0486號
_________________________________________________________________________
_ 案 由:關于加強個人信息保護立法,為互聯網服務保駕護航的提案
審查意見:建議國務院交由主辦單位工業和信息化部會同中央外宣辦(國務院新聞辦),公安部辦理
提 案 人:郭為
主 題 詞:網絡,信息,管理 提案形式:個人提案 內 容:
隨著信息網絡技術在社會各個領域的廣泛應用,信息安全問題日益突出,特別是我國互聯網用戶數量已超過5億,增長速度居世界第一。當前,美國等多個國家都在加快信息安全立法進程,而我國現有信息安全立法層級較低、沒有形成體系,難以適應信息安全形勢發展需要。然而,近期出現了一系列個人信息濫用和個人隱私泄漏的問題,個人信息安全問題再次成為社會關注的焦點。日益凸現的個人信息安全問題呼喚加快個人信息安全立法。
為此,建議如下:
1、加快個人信息安全及隱私保護的相關立法工作
公民個人信息包含潛在的商業價值,一旦被惡意獲取,社會危害大。建議加快個人信息安全立法促使相關機構及企業對用戶的數據信息完整性保護、隱私權保護提出嚴格的要求。其中,政府部門作為公民個人信息最大的擁有者,應高度重視在個人信息應用方面的管理,一旦發生政府部門泄露個人隱私的事項,一定要嚴肅處理,以表明政府保護個人隱私的決心。為公民網上活動和互聯網產業發展提供良好的法律環境。
2、立法應該建立一套符合中國國情的網絡公民身份體系并逐步推動網絡實名制的真正實施。
歐盟、美國、韓國、新加坡等國家政府都在加緊制定本國的網絡身份戰略,我國也應當著手建立起自己的網絡公民身份體系,借鑒我國金融信用體系的經驗,由政府設立專門部門進行主導和管理,建立統一的公民身份標準、網絡身份標準及各項管理制度,為互聯網相關政務服務、公共服務和商業服務的安全有效開展奠定基礎。
另外,實名制是未來網絡世界的大勢所趨,是網絡誠信體系建立的基礎。為此應當首先通過立法保護實名信息的安全,避免公民因提供實名信息而受到利益侵害;其次,應充分發揮互聯網企業的作用,鼓勵企業提供互聯網服務時采取用戶實名制,從而減少交易成本,提升網絡誠信;最后,要加強網絡實名制的社會討論與宣傳,引導公眾對網絡實名制的思考和參與,最終形成統一認識。
3、立法應該建立信息安全產品安全審查和管理制度 鑒于我國高端防火墻、操作系統、云平臺等信息關鍵技術及相關產品在很大程度上依賴進口,存在嚴重的安全隱患,立法應該建立信息安全產品安全審查和管理制度,嚴格控制帶有安全隱患的產品進入政府供應鏈。同時,政府應加大力度支持國內相關核心技術及產品研發和應用。
4、應加大防御監管機制的建設并修訂相關法律
信息安全的有效建立不僅僅在于技術與產品,而在于一整套主動的防御措施,建議針對黑客行為等網絡安全威脅,需要加快修訂法律、量化定罪量刑標準,加強網絡犯罪的打擊力度。
來源:中國政協網
第三篇:計算機信息安全技術與完善建議論文
1計算機信息安全技術的概況
計算機信息安全技術的基本概念是通過相關的技術手段對計算機網絡中的數據進行有效的保護,從而制止木馬與病毒的入侵,利用計算機中的應用來實現計算機信息安全的技術。隨著計算機性能的不斷加強,互聯網在生活及生產領域中逐漸深入的情況下,計算機信息安全已經形成一種更加安全的保護體系,這便需要相關的技術人員掌握全面的計算機信息安全技術,并通過對細節以及重點技術進行合理的應用從而保證計算機信息的安全。
2計算機信息安全技術
2.1操作系統的安全技術
操作系統的安全主要是指用戶計算機中安裝的操作系統這個層面的安全保障。最為常見的操作系統有:蘋果操作系統、Unix/Linux操作系統、Windows操作系統等。
2.1.1登陸權限設置Windows操作系統的安全技術應用的最為廣泛,該系統設置了相關的用戶訪問權限,能夠同時設定多個用戶不同的使用權限,通常情況下,驗證一個計算機是否安全,主要是指這個操作系統能否控制外部對內部信息的訪問,也就是只有授權用戶或者是通過安全進程才可以訪問計算機的內部信息。
2.1.2密碼設置Windows還提供了密碼安全策略,通過設置屏幕鎖定密碼來保證計算機信息的安全,定期的更換密碼可以有效保證計算機信息的安全。
2.1.3軟件防火墻技術Windows軟件防火墻技術可以不斷的升級和進化,最早的防火墻技術僅僅可以分析到端口號和病毒的來源情況,而現在隨著計算機軟件防火墻技術的不斷發展與進步,Windows防火墻技術可以有效的對惡意IP、木馬病毒進行攔截,同時還具有實時監控、預防計算機感染病毒的功能。
2.1.4硬件防火墻技術硬件防火墻技術主要是指把防火墻的相關程序,放到芯片內部,通過芯片中的程序來對網絡安全以及硬件設備進行一定的監控動作。硬件防火墻技術主要依靠植入到防火墻中芯片的程序具有過濾信息包的功能,腳本過濾、特洛伊木馬過濾等,從而可以有效的防止計算機手段木馬與病毒的攻擊,保證計算機網絡的安全。硬件防火墻具有體積小,安裝簡單、使用便捷、價格低等特點。
2.1.5瀏覽器安全級別技術因為瀏覽器能夠直接對網上的信息進行訪問,所以大多數病毒都是通過瀏覽器來進行傳播的,Windows操作系統上的IE瀏覽器便設置了安全級別的限制,通過對網絡信息設置不同的級別,從而有效限制了網頁中的威脅。Windows操作系統的安全防護措施還有許多種,例如共享安全機制、備份恢復還原機制等。
3完善計算機信息安全的建議
建立較為完善的信息管理與防護制度,對數據庫進行加密、建立公鑰密碼體制等技術對計算機信息進行安全管理,可以有效的保護計算機信息安全。
3.1加強用戶的安全意識
正確的意識可以促進客觀事物的正確發展,而錯誤的思想意識則有可能阻礙客觀事物的發展,所以,在計算機信息安全的維護過程當中,應當樹立一種正確的思想意識,并克服錯誤的思想意識,從而有效的促進計算機網絡技術蓬勃且迅速的發展。
3.2加強身份認證技術
身份認證指的是,當用戶進入到計算機中,進行身份識別的行為并可以知道用戶自身是否有權限可以訪問該數據的過程。在有身份認證防護功能的計算機系統中,身份認證是至關重要的一道計算機信息安全的防線。因為一旦用戶通過了身份認證,那么就證明該用戶可以訪問這些信息與數據。如果這些認證信息被不法人員盜用,那么被訪問的數據信息將有可能面臨著被破壞、銷毀、盜用等不利現象的發生。在某些計算機系統中通過相關軟件來對身份的準確性進行確認,以這種方法來保證企業用戶的相關信息被安全使用。使用身份認證的方法對信息進行保護的重要一點是該方法僅限本人使用,只有本人自己才有權利訪問這些數據,因此,身份認證是計算機安全防護措施中的最為重要的保護信息的方法。進行身份認證的方法主要有三種,分別是通過口令進行身份認證、生理特征進行身份認證、外部條件進行身份認證。現在應用最為廣泛的身份認證技術有靜態密碼與動態密碼認證技術以及指紋識別技術等,而最為復雜的認證技術是生理特征的認證。
3.3提高防火墻技術
每一臺計算機都需要接受防火墻技術的保護,在防火墻的保護之下,計算機才能夠進行最為基本的操作。防火墻技術作為基本的計算機安全防護措施,是計算機內部設置的保護程序,防火墻技術同時也是對用戶之間交換信息的程度進行控制的一種有效措施,詢問是否允許用戶訪問數據。通過防火墻技術可以有效保護不明身份的用戶訪問計算機中的隱私,保證計算機中的信息不被破壞、銷毀或是盜用。
3.3.1應用網關應用網關能夠使用的較為特別的網絡服務協議之中,并使得數據包對程序進行分析。應用網關可以通過對網絡通信進行嚴密的控制,其是由一道較為嚴格的控制體系所形成的。
3.3.2數據包過濾數據包過濾技術主要是指在計算機網絡信息在進行傳遞的過程當中,通過對數據進行一定的選擇,并根據計算機事先設定好的過濾條件,再其對數據進行逐一對比之后,來分析數據是否可以通過訪問。
3.3.3代理服務代理服務技術是一種應用在計算機防火墻中的代碼,代理服務有多種功能,所以該技術可以根據不同的要求,變換不同的動作來保護計算機不受病毒與木馬的攻擊與威脅。
3.4加強物理保護措施
物理防護措施的主要目的是保護計算機網絡中數據鏈路層的安全,使得計算機網絡免受人為因素與自然因素的破壞。物理安全防護措施的實行能夠驗明用戶的身份和該用戶的使用權限,所以,通過實施有效的物理安全防護措施可以加強對網絡數據鏈路層進行安全的管理,確保計算機網絡的安全。
3.5加強密保措施
加強密保措施不但可以確保全球EC的正常發展,其同時也是針對網絡可以安全運行的有效技術。加密技術能夠保證計算機網絡信息在加密過程中的正確性與安全性。計算機加密保護措施主要有兩種方法,非對稱加密法與對稱加密法。通過實行安全加密措施,可以以最小的代價而獲得最大的安全保障措施。
4總結
隨著計算機網絡技術的快速發展,其對人們的日常生活起到了越來越巨大的影響。計算機信息安全技術的完善程度逐漸得到人們的關注。計算機的信息安全技術能夠通過計算機操作系統的相關密碼技術、安全技術、數據庫安全技術以及系統安全技術等作為有效保證,最為重要的一點是在使用計算機網絡的過程中一定要保持強烈的安全意識,并且對病毒、木馬有一定的敏感度,從根本上杜絕網絡病毒的出現。
第四篇:計算機信息系統安全等級保護數據庫安全技術要求
《信息安全技術 網絡脆弱性掃描產品安全技術要求》
修訂說明 工作簡要過程 1.1 任務來源
近年來,隨著黑客技術的不斷發展以及網絡非法入侵事件的激增,國內網絡安全產品市場也呈現出良好的發展態勢,各種品牌的防火墻產品、入侵檢測產品等已經達到了相當可觀的規模。最近幾年,網絡脆弱性掃描產品的出現,為網絡安全產品廠商提供了一個展現自身技術水平的更高層次舞臺,市場上,各種實現脆弱性掃描功能的產品層出不窮,發展迅速,標準《GB/T 20278-2006 信息安全技術 網絡脆弱性掃描產品技術要求》已不能滿足現在產品的發展需求,另一方面,為了更好地配合等級保護工作的開展,為系統等級保護在產品層面上的具體實施提供依據,需要對該標準進行合理的修訂,通過對該標準的修訂,將更加全面系統的闡述網絡脆弱性掃描產品的安全技術要求,并對其進行合理的分級。本標準編寫計劃由中國國家標準化管理委員會2010年下達,計劃號20101497-T-469,由公安部第三研究所負責制定,具體修訂工作由公安部計算機信息系統安全產品質量監督檢驗中心承擔。1.2 參考國內外標準情況
該標準修訂過程中,主要參考了:
—GB 17859-1999 計算機信息系統安全保護等級劃分準則 —GB/T 20271-2006 信息安全技術 信息系統安全通用技術要求 —GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求
—GB/T 18336.2-2008 信息技術 安全技術 信息技術安全性評估準則 第二部分:安全功能要求 —GB/T 18336.3-2008 信息技術 安全技術 信息技術安全性評估準則 第三部分:安全保證要求 —GA/T 404-2002 信息技術 網絡安全漏洞掃描產品技術要求 —GB/T 20278-2006 信息安全技術 網絡脆弱性掃描產品技術要求 —GB/T 20280-2006信息安全技術 網絡脆弱性掃描產品測試評價方法 —MSTL_JGF_04-017 信息安全技術 主機安全漏洞掃描產品檢驗規范 1.3 主要工作過程
1)成立修訂組
2010年11月在我中心成立了由顧建新具體負責的標準修訂組,共由5人組成,包括俞優、顧建新、張笑笑、陸臻、顧健。
2)制定工作計劃
修訂組首先制定了修訂工作計劃,并確定了修訂組人員例會及時溝通交流工作情況。3)確定修訂內容
確定標準主要內容的論據 2.1 修訂目標和原則 2.1.1 修訂目標
本標準的修訂目標是:對網絡脆弱性掃描類產品提出產品功能要求、產品自身安全要求以及產品保證要求,使之適用于我國脆弱性掃描產品的研究、開發、測試、評估以及采購。2.1.2 修訂原則
為了使我國網絡脆弱性掃描產品的開發工作從一開始就與國家標準保持一致,本標準的編寫參考了國家有關標準,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本標準又要符合我國的實際情況,遵從我國有關法律、法規的規定。具體原則與要求如下:
1)先進性
標準是先進經驗的總結,同時也是技術的發展趨勢。目前,我國網絡脆弱性掃描類產品種類繁多,功能良莠不齊,要制定出先進的信息安全技術標準,必須參考國內外先進技術和標準,吸收其精華,制定出具有先進水平的標準。本標準的編寫始終遵循這一原則。
2)實用性
標準必須是可用的,才有實際意義。因此本標準的編寫是在對國內外標準的相關技術內容消化、吸收的基礎上,結合我國的實際情況,制定出符合我國國情的、可操作性強的標準。
3)兼容性
本標準既要與國際接軌,更要與我國現有的政策、法規、標準、規范等相一致。修訂組在對標準起草過程中始終遵循此原則,其內容符合我國已經發布的有關政策、法律和法規。2.2 對網絡脆弱性掃描類產品的理解 2.2.1 網絡脆弱性掃描產品
脆弱性掃描是一項重要的安全技術,它采用模擬攻擊的形式對網絡系統組成元素(服務器、工作站、路由器和防火墻等)可能存在的安全漏洞進行逐項檢查,根據檢查結果提供詳細的脆弱性描述和修補方案,形成系統安全性分析報告,從而為網絡管理員完善網絡系統提供依據。通常,我們將完成脆弱性掃描的軟件、硬件或軟硬一體的組合稱為脆弱性掃描產品。
脆弱性掃描產品的分類
根據工作模式,脆弱性掃描產品分為主機脆弱性掃描產品和網絡脆弱性掃描產品。其中前者基于主機,通過在主機系統本地運行代理程序來檢測系統脆弱性,例如針對操作系統和數據庫的掃描產品。后者基于網絡,通過請求/應答方式遠程檢測目標網絡和主機系統的安全脆弱性。例如Satan 和ISS Internet Scanner等。針對檢測對象的不同,脆弱性掃描產品還可分為網絡掃描產品、操作系統掃描產品、WWW服務掃描產品、數據庫掃描產品以及無線網絡掃描產品。
這是最基本的TCP掃描。操作系統提供的connect()系統調用,用來與每一個感興趣的目標計算機的端口進行連接。如果端口處于偵聽狀態,那么connect()就能成功。否則,這個端口是不能用的,即沒有提供服務。
FIN+URG+PUSH掃描
向目標主機發送一個FIN、URG和PUSH 分組,根據RFC793,如果目標主機的相應端口是關閉的,那么應該返回一個RST標志。
NULL掃描
通過發送一個沒有任何標志位的TCP包,根據RFC793,如果目標主機的相應端口是關閉的,它應該發送回一個RST數據包。
UDP ICMP端口不能到達掃描
在向一個未打開的UDP端口發送一個數據包時,許多主機會返回一個ICMP_PORT_UNREACH 錯誤。這樣就能發現哪個端口是關閉的。UDP和ICMP錯誤都不保證能到達,因此這種掃描器必須能夠重新傳輸丟失的數據包。這種掃描方法速度很慢,因為RFC對ICMP錯誤消息的產生速率做了規定。
安全漏洞特征定義
目前,脆弱性掃描產品多數采用基于特征的匹配技術,與基于誤用檢測技術的入侵檢測系統相類似。掃描產品首先通過請求/應答,或通過執行攻擊腳本,來搜集目標主機上的信息,然后在獲取的信息中尋找漏洞特征庫定義的安全漏洞,如果有,則認為安全漏洞存在。可以看到,安全漏洞能否發現很大程度上取決于漏洞特征的定義。
掃描器發現的安全漏洞應該符合國際標準,這是對掃描器的基本要求。但是由于掃描器的開發商大都自行定義標準,使得安全漏洞特征的定義不盡相同。
漏洞特征庫通常是在分析網絡系統安全漏洞、黑客攻擊案例和網絡系統安全配置的基礎上形成的。對于網絡安全漏洞,人們還需要分析其表現形式,檢查它在某個連接請求情況下的應答信息;或者通過模式攻擊的形式,查看模擬攻擊過程中目標的應答信息,從應答信息中提取安全漏洞特征。漏洞特征的定義如同入侵檢測系統中對攻擊特征的定義,是開發漏洞掃描系統的主要工作,其準確直接關系到漏洞掃描系統性能的好壞。這些漏洞特征,有的存在于單個應答數據包中,有的存在于多個應答數據包中,還有的維持在一個網絡連接之中。因此,漏洞特征定義的難度很大,需要反復驗證和測試。目前,國內許多漏洞掃描產品直接基于國外的一些源代碼進行開發。利用現成的漏洞特征庫,使系統的性能基本能夠與國外保持同步,省掉不少工作量,但核心內容并不能很好掌握。從長遠發展來看,我國需要有自主研究安全漏洞特征庫實力的掃描類產品開發商,以掌握漏洞掃描的核心技術。
技術趨勢
從最初的專門為UNIX系統編寫的具有簡單功能的小程序發展到現在,脆弱性掃描系統已經成為能夠運行在各種操作系統平臺上、具有復雜功能的商業程序。脆弱性掃描產品的發展正呈現出以下趨勢。
系統評估愈發重要
目前多數脆弱性掃描產品只能夠簡單地把各個掃描器測試項的執行結果(目標主機信息、安全漏洞信息和補救建議等)羅列出來提供給測試者,而不對信息進行任何分析處理。少數脆弱性掃描產品能夠將掃描結果整理形成報表,依據一些關鍵詞(如IP地址和風險等級等)對掃描結果進行歸納總結,但是仍然沒有分析掃描結果,缺乏對網絡安全狀況的整體評估,也不會提出解決方案。
在系統評估方面,我國的國標已明確提出系統評估分析應包括目標的風險等級評估、同一目標多次掃描形式的趨勢分析、多個目標掃描后結果的總體分析、關鍵脆弱性掃描信息的摘要和主機間的比較分析等等,而不能僅僅將掃描結果進行簡單羅列。應該說,脆弱性掃描技術已經對掃描后的評估越來越重視。下一代的脆弱性掃描系統不但能夠掃描安全漏洞,還能夠智能化地協助管理人員評估網絡的安全狀況,并給出安全建議。為達這一目的,開發廠商需要在脆弱性掃描產品中集成安全評估專家系統。專家系統應能夠從網絡安全策略、風險評估、脆弱性評估、脆弱性修補、網絡結構和安全體系等多個方面綜合對網絡系統進行安全評估。
插件技術和專用腳本語言
插件就是信息收集或模擬攻擊的腳本,每個插件都封裝著一個或者多個漏洞的測試手段。通常,脆弱性掃描產品是借助于主掃描程序通過用插件的方法來執行掃描,通過添加新的插件就可以使掃描產品增加新的功能,掃描更多的脆弱性。如果能夠格式化插件的編寫規范并予以公布,用戶或者第三方就可以自己編寫插件來擴展掃描器的功能。插件技術可使掃描產品的結構清晰,升級維護變的相對簡單,并具有非常強的擴展性。目前,大多數掃描產品其實已采用了基于插件的技術,但各開發商自行規定接口規范,還沒有達到嚴格的規范水平。
專用腳本語言是一種更高級的插件技術,用戶使用專用腳本語言可以大大擴展掃描器的功能。這些腳本語言語法通常比較簡單直觀,十幾行代碼就可以定制一個安全漏洞的檢測,為掃描器添加新的檢測項目。專用腳本語言的使用,簡化了編寫新插件的編程工作,使擴展掃描產品功能的工作變的更加方便,能夠更快跟上安全漏洞出現的速度。
網絡拓撲掃描
網絡拓撲掃描目前還被大多數掃描器所忽略。隨著系統評估的愈發重要,網絡拓撲結構正成為安全體系中的一個重要因素。拓撲掃描能夠識別網絡上的各種設備以及設備的連接關系,能夠識別子網或
和增強級兩個級別,且與“基本要求”和“通用要求”中的劃分沒有對應關系,不利于該類產品在系統等級保護推行中產品選擇方面的有效對應。《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》的網絡安全管理,從第一級就要求“定期進行網絡系統漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補”,《GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求》中的信息系統安全性檢測分析,從第二級開始要求“操作系統安全性檢測分析、數據庫管理系統安全性檢測分析、網絡系統安全性檢測分析、應用系統安全性檢測分析和硬件系統安全性檢測分析的要求,運用有關工具,檢測所選用和/或開發的操作系統、數據庫管理系統、網絡系統、應用系統、硬件系統的安全性,并通過對檢測結果的分析,按系統審計保護級的要求,對存在的安全問題加以改進。”
本次在對原標準的修訂過程中,對于產品本身的安全保護要求,主要參考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等級保護的思路編寫制定了自身安全功能要求和保證要求。對于產品提供服務功能的安全保護能力方面,現階段是以產品功能強弱以及配合等級保護安全、審計等要素進行分級的。通過對標準意見的不斷收集以及修改,將產品提供的功能與等級保護安全要素產生更密切的聯系,以便有能力參與到系統等級保護相關要素的保護措施中去。2.2.3 與原標準的區別
1)標準結構更加清晰規范,全文按照產品安全功能要求、自身安全功能要求和安全保證要求三部分進行整理修訂,與其他信息安全產品標準的編寫結構保持一致。
2)刪除原標準中性能部分的要求,將原來有關掃描速度、穩定性和容錯性,以及脆弱性發現能力等重新整理,作為功能部分予以要求,同時,考慮到原來對于誤報率和漏報濾的模糊描述以及實際測試的操作性較差,刪除了這兩項內容的要求。
3)對于產品功能要求的邏輯結構進行重新整理,按照信息獲取,端口掃描,脆弱性掃描,報告的先后順序進行修訂,使得產品的功能要求在描述上逐步遞進,易于讀者的理解,并且結合產品的功能強弱進行分級。
4)對于產品的自身安全功能要求和安全保證要求,充分參考了等級保護的要求,對其進行了重新分級,使得該標準在應用時更能有效指導產品的開發和檢測,使得產品能更加有效的應用于系統的等級保護工作。
5)將標準名稱修改為《信息安全技術 網絡脆弱性掃描產品安全技術要求》,增加了“安全”二字,體現出這個標準的內容是規定了產品的安全要求,而非其它電器、尺寸、環境等標準要求。
6)將原標準中“網絡脆弱性掃描”的定義修改為“通過網絡對目標網絡系統安全隱患進行遠程探測的過程,它對網絡系統進行安全脆弱性檢測和分析,從而發現可能被入侵者利用的漏洞,并可以提出一定的防范和補救措施建議。”作為掃描類產品,在發現系統脆弱性的同時,還要求“能夠采取一定的準,結合當前國內外網絡脆弱性掃描產品的發展情況,系統地描述了產品的功能要求、自身安全要求和保證要求。這些技術是在對國內外現有技術及標準進行吸收、消化的基礎上,考慮了我國國情制定的。
本次是對原有國標《GB/T 20278-2006 信息安全技術 網絡脆弱性掃描產品技術要求》的修訂,在修訂過程中,重新整理了內容和結構,結合等級保護的要求重新進行了分級,在內容和結構上趨于完整化、可行化和系統化。4 貫徹標準的要求和實施建議
本標準是對網絡脆弱性掃描產品安全技術要求的詳細描述,為生產、測試和評估信息過濾產品提供指導性意見。建議將本標準作為國家標準在全國推薦實施。
《信息安全技術 網絡脆弱性掃描產品安全技術要求》修訂組
2012年9月
第五篇:關于完善進出口商品質量安全風險預警和快速反應監管體系切實保護消費者權益的意見
國務院關于完善進出口商品 質量安全風險預警和快速反應監管體系
切實保護消費者權益的意見
國發〔2017〕43號
各省、自治區、直轄市人民政府,國務院各部委、各直屬機構:
進出口商品質量安全事關人民群眾切身利益、國門安全和對外貿易可持續發展,是實現質量強國的重要組成部分。科學預防和有效控制質量安全風險,是加強全面質量管理、促進質量提升、增強人民群眾獲得感的重要途徑,是深化簡政放權、放管結合、優化服務改革的重要內容,對加快新舊動能接續轉換,推進供給側結構性改革、質量安全治理體系和治理能力現代化具有重要意義。經過不斷探索實踐,我國基本建立起進出口商品質量安全風險預警和快速反應監管體系(以下簡稱質量安全風險預警監管體系)并初具成效,但還存在信息采集渠道有限、評估能力不足、預警制度不健全、處置機制不完善、社會共治有待加強等問題。現就進一步完善質量安全風險預警監管體系、切實保護消費者權益提出以下意見。
一、總體要求
(一)指導思想。全面貫徹黨的十八大和十八屆三中、四中、五中、六中全會精神,深入貫徹總書記系列重要講話精神和治國理政新理念新思想新戰略,認真落實黨中央、國務院決策部署,統籌推進“五位一體”總體布局和協調推進“四個全面”戰略布局,堅持以人民為中心的發展思想,堅持穩中求進工作總基調,牢固樹立和貫徹落實新發展理念,以風險管理為主線,以保障進出口商品質量安全和促進質量提升為核心,持續推動質量安全治理體系和治理能力現代化。
(二)基本原則。
安全為本,嚴守底線。落實總體國家安全觀,始終強調以人為本,把人民群眾的切身利益放在首位,正確處理質量安全與發展的關系,對質量安全問題“零容忍”,守住不發生系統性、區域性、行業性質量安全風險的底線。
預防為主,防控結合。始終把質量安全風險預防工作放在重要位置,積極實施風險監測、預警前置和教育引導等措施,構建遞進式、立體化預防體系,實現質量安全風險早發現、早研判、早預警、早處置,有效預防、系統應對。
創新引領,科學決策。充分利用風險管理前沿技術和現代科技手段,打造風險管理大數據平臺,推動“互聯網+監管”,科學研判進出口商品質量安全風險,不斷提升風險預警和快速反應決策的準確性、科學性、有效性、權威性。開放共享,共治聯動。深入推進信息互換、監管互認、執法互助,健全部門間執法協作機制,鼓勵社會力量廣泛參與,加強國際合作與交流,提升聯防聯控水平,實現社會共同治理和共享發展。
(三)工作目標。
力爭在“十三五”期間,通過完善質量安全風險預警監管體系,建立全國數據集成的風險信息平臺、權威的風險評估中心、暢通的風險信息交流共享渠道、高效的風險預警和快速反應機制,建立健全進出口商品質量安全監管制度。切實維護消費者權益和國門安全,預防和保護社會公眾免受質量安全風險傷害,為民生保障與經濟發展提供高質量供給。服務產業轉型升級和外貿健康發展,科學指導風險防控決策,精準、及時、有效運用技術性貿易措施。堅持深化“放管服”改革,充分發揮市場在資源配置中的決定性作用和更好發揮政府作用,營造穩定公平透明可預期的營商環境。
二、工作任務
(一)全面加強質量安全風險監測。
1.實施風險監測計劃。制定、發布全國統一的國家進出口商品質量安全風險監測計劃,組織開展從口岸到市場的風險監測工作,針對影響人體健康、財產安全、環境安全等風險因素開展抽查檢測,系統和持續地監測健康危害、物理危害、化學危害、生物危害、環境危害等質量安全風險,依法發布質量安全監測結果。食品安全風險監測按照食品安全法有關要求執行。(質檢總局牽頭,農業部、國家衛生計生委、工商總局、食品藥品監管總局按職責分工負責)
2.拓寬風險信息采集渠道。運用移動互聯技術,完善消費者投訴和企業報告渠道。實行檢驗檢測認證機構風險信息報告制度。鼓勵大專院校、科研院所、行業協會等主動報告質量安全風險信息。持續開展輿情信息收集。建立質量安全傷害信息和食源性疾病信息收集調查制度。加強內外貿結合商品市場、電子商務、邊境貿易等重點領域和“一帶一路”沿線國家、新興市場等重點區域的假冒偽劣商品信息搜集工作。加強國際交流,開展雙邊、多邊質量安全信息通報、調查合作。(質檢總局牽頭,農業部、商務部、國家衛生計生委、工商總局、食品藥品監管總局、國家認監委按職責分工負責)
3.完善風險監測基礎保障。依托中國電子檢驗檢疫主干系統,加快建設全國數據集成的進出口商品質量安全風險信息平臺。面向主要貿易國家和地區,統籌全國重點口岸區位優勢,突出重點產業和新興業態,規劃布局一批質量安全風險監測點。(質檢總局負責)
4.構建風險信息共享交換機制。發揮國際貿易“單一窗口”作用,采集和共享進出口商品相關數據。加強口岸安全聯合防控,推動進出口商品質量安全風險信息平臺與口岸風險布控中心對接,構建全國一體化的風險監測數據共享與交換機制。推動跨部門、跨區域、跨行業的傷害信息通報協作,加快實現與商品相關的傷害報告、食源性疾病、交通事故、火災事故等信息的共享。準確掌握商品設計和制造中的不安全因素,為制定防控措施提供依據。(質檢總局牽頭,公安部、農業部、商務部、國家衛生計生委、海關總署、工商總局、食品藥品監管總局、國家口岸辦按職責分工負責)
(二)科學優化質量安全風險評估。
5.推動風險評估機構發展。利用現有資源,建設國家級進出口商品質量安全風險評估中心,設立國家進出口商品質量安全風險評估專家委員會。規劃建設一批國家級質量安全風險驗證評價實驗室。通過政府購買服務、搭建科研平臺等方式,支持社會力量參與質量安全風險評估工作,開展風險消減有效性評價和技術咨詢,推動社會評估機構健康有序發展。食品安全風險評估按照食品安全法有關要求執行。(質檢總局牽頭,農業部、國家衛生計生委按職責分工負責)
6.推進風險評估能力建設。強化先進信息技術應用,規范質量安全風險識別、分析與評價程序,研究科學實用的風險評估方法,開發智能化評估模型,加快質量安全風險評估標準制定,培育專業化人才隊伍。完善質量安全風險評估專家委員會工作機制,推動其參與制定風險監測計劃等管理決策,開展獨立咨詢和專項質量安全風險評估。發揮風險驗證評價實驗室作用,提升風險評估基礎性研究能力,探索風險驗證與缺陷評價,強化重大質量安全事故相關技術支持。(質檢總局牽頭,農業部、國家衛生計生委、國家認監委、國家標準委按職責分工負責)
7.強化風險評估結果應用。充分發揮質量安全風險評估工作的前置作用,形成多形式、多維度的成果。為制定風險監測計劃、發現與規避潛在危害因素、制定風險處置措施提供支持;為制修訂法律法規和制定管理政策提供參考。建立科學有效的評價體系,客觀評價我國進出口商品質量安全水平。(質檢總局牽頭,農業部、國家衛生計生委按職責分工負責)
(三)著力完善質量安全風險預警。
8.實施風險預警分級。健全風險預警等級劃分標準和動態調整規則,按照質量安全風險的危害性、緊急程度、影響范圍等因素,將風險預警分為I(特別嚴重)、Ⅱ(嚴重)、Ⅲ(較重)、Ⅳ(一般)四個等級,分別用紅色、橙色、黃色和藍色標示。食品安全突發事件預警按照《國家食品安全事故應急預案》執行。(質檢總局、食品藥品監管總局按職責分工負責)
9.分類實施風險預警。根據風險評估結果、目標對象、預警范圍等,對需實施口岸布控等快速反應措施的,發布風險警示通報;對需提醒生產經營者及時采取風險消減措施的,發布風險警示通告;對需實施強制性措施控制風險和危害,并及時警示消費者的,發布風險警示公告。(海關總署、工商總局、質檢總局、食品藥品監管總局按職責分工負責)10.健全預警信息發布機制。完善風險預警發布規則,明確時限、權限、流程、渠道及發布程序,規范預警級別、起始時間、預警范圍、警示事項等發布內容,統一發布預警信息。制定重大風險預警快速發布預案,I級風險預警由國務院授權進出口商品質量主管部門發布,Ⅱ級、Ⅲ級、Ⅳ級風險預警由進出口商品質量主管部門負責發布。探索實施精準推送,利用廣播電視、互聯網、新媒體等方式,豐富發布手段,暢通查詢渠道,提高公眾對風險的認知度。(海關總署、工商總局、質檢總局、食品藥品監管總局按職責分工負責)
(四)快速實施質量安全風險處置。
11.健全快速反應措施。綜合運用降低信用等級、追溯調查、缺陷召回、加嚴監管、限制或禁止進出口、查封扣押、退運、暫停銷售、銷毀等手段,實施與風險預警等級相適應的全國一體化快速反應措施,及時開展效果評價,動態調整風險等級直至解除相關措施。落實口岸安全聯合防控機制,強化執法協作,實現從口岸到市場的全過程有效風險防控。探索實施不合格進口商品口岸調離質量擔保措施。(質檢總局牽頭,農業部、商務部、海關總署、工商總局、食品藥品監管總局按職責分工負責)
12.加強缺陷進口商品召回。完善缺陷商品召回管理法律法規,逐步擴大召回商品覆蓋范圍,實施進口機動車和非道路移動機械環境保護召回。開展缺陷商品和食品安全信息收集、調查、評估和處置,強化召回后續監管和效果評價。落實企業召回主體責任,鼓勵制造商、進口商開展主動召回,對隱瞞缺陷或不按規定召回的,嚴肅追究責任。(質檢總局牽頭,環境保護部、工商總局、食品藥品監管總局按職責分工負責)
13.強化質量信用激勵懲戒。加快質量誠信體系建設,將企業質量安全責任落實情況及風險消減義務履行情況納入質量信用管理,推動將質量信用信息歸集到全國信用信息共享平臺。按照“守信激勵、失信懲戒”的原則,持續推進質量失信聯合懲戒,充分發揮信用信息對市場主體的激勵和約束作用。(國家發展改革委、商務部、人民銀行、海關總署、稅務總局、工商總局、質檢總局、食品藥品監管總局、國家外匯局按職責分工負責)
14.強化質量安全違法行為懲治。引導媒體和公眾參與監督,鼓勵同業監督、獎勵業內舉報。建立質量安全違法“黑名單”,加大曝光力度,強化聯合懲戒,建立嚴重違法企業強制退出制度,依法從嚴懲處相關企業和責任人。充分發揮行業自律作用,樹立質量安全示范標桿,發揮示范引領作用。建設專業執法稽查隊伍。(質檢總局負責)
充分發揮全國打擊侵權假冒工作領導小組作用,推進執法監管、行業管理、刑事司法之間的有效銜接,健全跨國境的打假執法協作和海外維權援助機制。對假冒偽劣行為高發領域和區域,堅持線上線下治理相結合,完善專項整治和隨機抽查監管機制。(全國打擊侵權假冒工作領導小組辦公室牽頭,最高人民法院、最高人民檢察院、工業和信息化部、公安部、農業部、商務部、海關總署、工商總局、質檢總局、食品藥品監管總局、國家知識產權局按職責分工負責)
15.加強重點領域質量安全公益訴訟工作。檢察機關依法在食品藥品安全、生態環境和資源保護等領域開展民事公益訴訟和行政公益訴訟。加強司法機關與監管部門的協作,充分發揮公益組織、公職律師的作用,增強公益訴訟的法律效果和社會效果,共同懲治危害健康安全、財產安全、環境安全等損害國家利益和社會公共利益的進出口商品質量安全違法行為。(最高人民檢察院牽頭,最高人民法院、司法部、環境保護部、質檢總局、食品藥品監管總局按職責分工負責)
16.完善口岸風險應急處置。重點關注進出口大宗資源性商品、危險貨物、固體廢物等商品的安全風險,制定風險應急處置預案,強化應急物資準備和演練,開展應急響應和聯動協作,提高口岸風險應急處置能力。(環境保護部、交通運輸部、海關總署、質檢總局、安全監管總局、國家口岸辦按職責分工負責)
(五)注重質量安全風險管理結果運用。
17.落實企業質量安全主體責任。加大向企業通報質量安全監測數據和評估報告的力度,鼓勵和支持企業開展缺陷消除、技術改造和工藝改進,提升質量水平。督促進出口商品生產經營者嚴格履行主體責任,建立健全落實商品質量驗收、檢驗檢測、安全認證、缺陷召回和售后服務等責任的制度。嚴格質量安全責任追究,落實風險信息或重大質量事故的企業報告和風險消減義務,依法承擔質量安全侵權賠償責任。(質檢總局牽頭,工業和信息化部、食品藥品監管總局按職責分工負責)
18.加強技術性貿易措施相關工作。密切跟蹤國外技術性貿易措施動態變化,評估其對我國相關產業造成的影響,做好預警、咨詢、評議等應對工作。摸底排查國內外同類產業質量技術水平差距,發揮標準、計量、認證認可、檢驗檢測的支撐作用,加強質量安全數據積累,推動制定符合產業轉型升級需要的技術性貿易措施。充分利用世貿組織多邊機制,強化技術性貿易措施相關磋商和貿易爭端解決。發揮全國技術性貿易措施部際聯席會議制度的作用,加強部門間協調溝通,形成應對合力。積極參與或主導技術性貿易措施相關國際規則和標準制定,加強雙邊與區域合作交流。(質檢總局牽頭,國家發展改革委、科技部、工業和信息化部、環境保護部、農業部、商務部、國家衛生計生委、海關總署、工商總局、食品藥品監管總局、國家認監委、國家標準委按職責分工負責)
19.動態調整法定檢驗目錄。明確必須實施法定檢驗的進出口商品目錄調整程序,建立目錄內商品調出機制,并根據質量安全風險監測與評估結果,實施動態調整。以高風險商品和高風險項目為內容制定法定檢驗目錄,優化目錄結構,原則上不對一般出口工業制成品實施出口法定檢驗。落實“雙隨機、一公開”監管要求,做好法定檢驗目錄外商品監督抽查,強化抽查信息公示和結果公開。(質檢總局牽頭,商務部、海關總署按職責分工負責)
20.改革檢驗檢疫監管模式。落實信息互換、監管互認、執法互助,加大對國際貿易“單一窗口”建設的支持力度。堅持風險評估前置原則,依據企業質量信用等級、商品質量狀況評價和質量安全風險監測與評估結果,對一般風險商品,優化監管流程;對存在安全隱患和假冒偽劣風險的商品,實施有效的監管介入,綜合運用抽查、檢驗、驗證、采信與合格保證等多種合格評定方式,實施差異化監管。完善強制性產品認證入境驗證監管制度。(質檢總局牽頭,交通運輸部、海關總署、國家認監委、國家口岸辦按職責分工負責)
21.加快完善第三方檢驗結果采信管理。全面復制推廣第三方檢驗結果采信,做好制度安排,制定并發布全國統一的采信要求。科學運用風險評估結果,動態調整采信的商品類別和檢驗項目。鼓勵符合資質要求的檢驗檢測機構參與,實施被采信機構信息公示。強化事中事后監管、追責和違規信息披露,完善市場退出機制,維護公平公正、富有活力的檢驗檢測市場秩序。積極探索合格評定結果國際互認。(質檢總局牽頭,國家認監委、國家標準委按職責分工負責)
22.探索開展質量安全追溯。鼓勵企業健全質量安全追溯體系,逐步統一生產、流通、消費、檢驗檢測等環節的數據標準。綜合運用物聯網、移動終端等載體,對食品、消費品、醫療器械等重點進出口商品實施質量安全追溯,逐步推動健全從生產、檢驗、物流、銷售、使用到維修保養等全生命周期追溯鏈條,開展公共溯源服務試點。(工業和信息化部、商務部、工商總局、質檢總局、食品藥品監管總局按職責分工負責)
三、保障措施
(一)加強組織領導。結合實際,抓緊制定實施方案,明確任務分工和時限要求。精心實施,密切協作,形成合力,積極推進改革任務落地。加強對落實情況的監督檢查、跟蹤分析和通報,對出現的新情況、新問題,及時研究解決。(審計署、海關總署、工商總局、質檢總局按職責分工負責)
(二)加強法制建設。做好法律制度安排,加強進出口商品質量安全法律法規體系建設,明確生產經營者和檢驗檢測認證機構履行風險信息報告以及風險消減等義務,保障監管部門履行風險預警和快速反應等職責。獎勵業內舉報,做到有法可依、于法有據。(工商總局、質檢總局、食品藥品監管總局、國務院法制辦按職責分工負責)
(三)落實經費保障。統籌利用現有資金渠道,提升監管能力,加強口岸查驗設施建設,切實保障質量安全風險預警監管工作開展。建立事權和支出責任相適應的經費保障機制,相關經費列入同級財政預算,實施預算績效管理,提高資金使用效益。(國家發展改革委、財政部、質檢總局按職責分工負責)
(四)做好宣傳引導。加強質量提升宣傳教育,開展全國“質量月”、“全民國家安全教育日”等主題活動,宣傳部門、網信部門、新聞媒體等要大力普及質量安全法律知識,加強輿論熱點引導,提升公眾依法維權、理性消費能力,營造全社會重視、支持進出口商品質量提升的良好氛圍。(中央宣傳部、中央網信辦、質檢總局、新聞出版廣電總局按職責分工負責)
國務院
2017年9月14日
點擊咨詢 