淺談通信網(wǎng)絡(luò)安全防護工作

唐亮 山東省通信管理局 濟南 250002

1、引言

隨著我國通信業(yè)的快速發(fā)展，政治、經(jīng)濟、文化和社會生活對通信網(wǎng)絡(luò)的依賴程度越來越高，通信網(wǎng)絡(luò)已成為國家關(guān)鍵基礎(chǔ)設(shè)施。通信網(wǎng)絡(luò)一旦發(fā)生中斷、擁塞甚至癱瘓等故障，或者其中傳輸、處理、存儲的數(shù)據(jù)信息丟失、泄露或被非法篡改，將對社會經(jīng)濟和人民生活造成嚴重影響。與此同時，隨著信息通信技術(shù)的快速發(fā)展，通信網(wǎng)絡(luò)加快向數(shù)字化、寬帶化和智能化演進，通信網(wǎng)絡(luò)所面臨的安全威脅日益多樣化，網(wǎng)絡(luò)攻擊、信息竊取等非傳統(tǒng)安全問題日益突出。在這種形勢下，如何確保通信網(wǎng)絡(luò)能夠安全、穩(wěn)定運行成為通信行業(yè)所面臨的一項重要課題。

通信網(wǎng)絡(luò)安全防護工作是指為防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓或被非法控制，以及通信網(wǎng)絡(luò)中傳輸、處理、存儲的數(shù)據(jù)信息丟失、泄漏或被篡改等而開展的工作。在工作方法上，綜合運用分級保護、風險評估、容災(zāi)備份、安全監(jiān)控等科學方法，在深入分析通信網(wǎng)絡(luò)可能面臨的各種威脅和風險的基礎(chǔ)上，通過事先落實有針對性的管理和技術(shù)防范措施，強化監(jiān)督檢查，提高防范水平，盡可能減少重大安全事件的發(fā)生。在工作范疇上，凡是可能影響電信業(yè)務(wù)經(jīng)營者網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常運行，或可能影響數(shù)據(jù)的保密性、完整性、可用性的因素，都是通信網(wǎng)絡(luò)安全防護工作需要考慮和防范的。例如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、黑客入侵、非法遠程控制，以及各種形式的物理破壞、自然災(zāi)害等。

2、安全防護工作簡介

早在2006年，原信息產(chǎn)業(yè)部就著手組織開展了通信網(wǎng)絡(luò)安全大檢查和風險評估，督促整改發(fā)現(xiàn)的隱患。2007年，為貫徹落實中央和國務(wù)院有關(guān)要求，原信息產(chǎn)業(yè)部印發(fā)了《關(guān)于進一步開展電信網(wǎng)絡(luò)安全防護工作的實施意見》（信部電〔2007〕555號），明確了有關(guān)工作思路、原則、方法和步驟。到2010年，在總結(jié)前期相關(guān)工作經(jīng)驗的基礎(chǔ)上，工業(yè)和信息化部頒布了第11號部長令，出臺了《通信網(wǎng)絡(luò)安全防護管理辦法》（以下簡稱《辦法》），進一步規(guī)范了通信網(wǎng)絡(luò)安全防護工作，確立了通信網(wǎng)絡(luò)單元的分級保護制度，建立了符合性評測制度和安全風險評估制度，以及通信網(wǎng)絡(luò)安全防護檢查制度?！掇k法》的出臺，進一步增強了通信行業(yè)網(wǎng)絡(luò)和信息安全保護工作的系統(tǒng)性、規(guī)范性和科學性，使得通信行業(yè)更有利于應(yīng)對非傳統(tǒng)安全問題。

《辦法》圍繞通信網(wǎng)絡(luò)安全防護管理工作，一是確立了通信網(wǎng)絡(luò)單元的分級保護制度，規(guī)定通信網(wǎng)絡(luò)運行單位應(yīng)當對本單位已正式投入運行的通信網(wǎng)絡(luò)進行單元劃分，并按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度等因素，由低到高分別劃分為五級。同時，《辦法》還規(guī)定了通信網(wǎng)絡(luò)運行單位應(yīng)當將通信網(wǎng)絡(luò)單元的劃分和定級情況向電信管理機構(gòu)備案，并明確了備案的內(nèi)容和核查程序。

二是建立了符合性評測制度，規(guī)定通信網(wǎng)絡(luò)運行單位應(yīng)當落實與通信網(wǎng)絡(luò)單元級別相適應(yīng)的安全防護措施，并進行符合性評測，三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當每年進行一次符合性評測，二級通信網(wǎng)絡(luò)單元應(yīng)當每兩年進行一次符合性評測。

三是建立了安全風險評估制度，規(guī)定通信網(wǎng)絡(luò)運行單位應(yīng)當組織對通信網(wǎng)絡(luò)單元進行安全風險評估，及時消除重大網(wǎng)絡(luò)安全隱患。與符合性評測一樣，三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當每年進行一次安全風險評估，二級通信網(wǎng)絡(luò)單元應(yīng)當每兩年進行一次安全風險評估。

四是建立了通信網(wǎng)絡(luò)安全防護檢查制度，規(guī)定電信管理機構(gòu)對通信網(wǎng)絡(luò)運行單位開展通信網(wǎng)絡(luò)安全防護工作的情況進行檢查。檢查工作既包括管理性檢查，也包括委托有資質(zhì)的第三方專業(yè)檢測機構(gòu)進行必要的技術(shù)檢測。檢測過程不向被測單位收取任何費用。且電信管理機構(gòu)及其委托的專業(yè)機構(gòu)的工作人員對于檢查工作中獲悉的國家秘密、商業(yè)秘密、技術(shù)秘密和個人隱私，有保密的義務(wù)。

從管理針對的主體來說，《辦法》適用于“電信業(yè)務(wù)經(jīng)營者”和“互聯(lián)網(wǎng)域名服務(wù)提供者”。其中“電信業(yè)務(wù)經(jīng)營者”不僅包含基礎(chǔ)電信業(yè)務(wù)經(jīng)營者（如電信、移動、聯(lián)通等），還包括眾多ICP、ISP、IDC、SP等增值電信業(yè)務(wù)經(jīng)營者；“互聯(lián)網(wǎng)域名服務(wù)提供者”不僅包括互聯(lián)網(wǎng)域名注冊管理和服務(wù)機構(gòu)，還包括目前社會上存在的專門為域名持有者提供權(quán)威解析服務(wù)的經(jīng)營性或非經(jīng)營性主體。從管理針對的客體來說，包括公用通信網(wǎng)、互聯(lián)網(wǎng)以及承載在其上的電信業(yè)務(wù)系統(tǒng)和域名系統(tǒng)等。

3、安全防護工作與等級保護工作的關(guān)系

在近幾年的工作過程中，經(jīng)常會涉及到信息安全等級保護工作（以下簡稱“等保工作”）。等保工作是公安部等四部委印發(fā)的《信息安全等級保護管理辦法》中所規(guī)定的一項工作內(nèi)容，開展等保工作的目的是為了規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)。

2007年，國務(wù)院信息化工作辦公室下發(fā)的《關(guān)于電信系統(tǒng)信息安全等級保護工作有關(guān)問題的意見》（信安通〔2007〕14號）中明確：“考慮到電信網(wǎng)絡(luò)具有全程全網(wǎng)性質(zhì)，電信系統(tǒng)的等級保護備案在國家、省兩級進行，地市及以下電信企事業(yè)單位的信息系統(tǒng)由省電信管理部門統(tǒng)一向同級公安機關(guān)備案，各地不再另行備案。但各地不具有全程全網(wǎng)性質(zhì)的信息系統(tǒng)，如本地網(wǎng)站、管理和辦公系統(tǒng)等，仍按《信息安全等級保護管理辦法》執(zhí)行；信息產(chǎn)業(yè)部可依照《信息安全等級保護管理辦法》的要求，參照《信息系統(tǒng)安全等級保護定級指南》和等級保護國家標準，從電信系統(tǒng)的實際出發(fā)，制定電信系統(tǒng)等級保護的具體辦法、實施指南和工作標準；開展針對各地全程全網(wǎng)性質(zhì)的電信網(wǎng)絡(luò)的信息安全等級保護檢查時，應(yīng)當會同電信主管部門共同進行?！?/p>

由此可見，通信網(wǎng)絡(luò)安全防護工作可以理解為通信行業(yè)的信息安全等級保護工作。這項工作充分考慮了電信網(wǎng)絡(luò)全程全網(wǎng)的性質(zhì)，更貼合電信網(wǎng)絡(luò)的實際，在電信領(lǐng)域具有更強的針對性和可操作性?？梢哉f通信網(wǎng)絡(luò)安全防護工作就是具有行業(yè)特色的信息安全等級保護工作。

由于安全防護工作只在國家和省兩級進行，在具體工作中，各基礎(chǔ)電信企業(yè)的市地分公司不需要再向當?shù)氐缺９ぷ髦鞴懿块T報送、提供所屬通信網(wǎng)絡(luò)的有關(guān)信息。同時，各級基礎(chǔ)電信運營企業(yè)也只接受有電信主管部門參與的針對通信網(wǎng)絡(luò)的信息安全等級保護檢查。

另外，我們還要注意到，通信行業(yè)內(nèi)不具備全程全網(wǎng)性質(zhì)的信息系統(tǒng)，如本地網(wǎng)站、管理和辦公系統(tǒng)，仍然要按照《信息安全等級保護管理辦法》開展等保工作。上述系統(tǒng)的等保工作仍然要接受地方等保主管部門的監(jiān)督檢查。

4、結(jié)束語

近些年通信網(wǎng)絡(luò)安全防護工作的開展，為確保黨的十七大、北京奧運會、國慶60周年和十八大等重要時期的通信網(wǎng)絡(luò)安全發(fā)揮了重要作用。2012年底，工業(yè)和信息化部與國有資產(chǎn)監(jiān)督管理委員會聯(lián)合印發(fā)了《關(guān)于開展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責任考核有關(guān)工作的指導意見》（工信部聯(lián)保〔2012〕551號）。繼而，工信部辦公廳印發(fā)了《2013年省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點和評分標準》（工信廳?！?012〕247號），將通信網(wǎng)絡(luò)安全防護工作納入對基礎(chǔ)電信企業(yè)KPI考核指標，將通信網(wǎng)絡(luò)安全防護工作提升到一個新的高度。

當然，通信網(wǎng)絡(luò)安全防護工作是一項長期、系統(tǒng)的基礎(chǔ)性工作，還有很多重點工作需要做：一是持續(xù)加強《辦法》和有關(guān)標準的宣貫，進一步提高全行業(yè)的網(wǎng)絡(luò)安全意識和能力，增強做好網(wǎng)絡(luò)安全防護工作的責任感、緊迫感。二是加大網(wǎng)絡(luò)安全防護檢查力度，突出重點，在問題較集中的網(wǎng)絡(luò)和系統(tǒng)進行自查和抽查，督促排查隱患、堵塞漏洞、加強防護。三是繼續(xù)組織做好定級備案工作，逐步落實增值電信業(yè)務(wù)和互聯(lián)網(wǎng)域名服務(wù)的定級備案，全面推進通信網(wǎng)絡(luò)安全防護工作。相信通過全行業(yè)的不懈努力，通信網(wǎng)絡(luò)的運行會更加安全、穩(wěn)定。