以陜西省為例看IDC安全保障及監(jiān)管對(duì)策

陜西省通信管理局|楊興武

IDC為互聯(lián)網(wǎng)發(fā)展提供了基礎(chǔ)設(shè)施，新環(huán)境下IDC網(wǎng)絡(luò)和信息安全保護(hù)應(yīng)該受到足夠重視，行業(yè)管理單位應(yīng)該在IDC監(jiān)管的過程中，不斷加強(qiáng)法制建設(shè)，推進(jìn)IDC的健康有序發(fā)展。

5G、云計(jì)算、大數(shù)據(jù)、人工智能和物聯(lián)網(wǎng)等新興領(lǐng)域的快速發(fā)展，帶動(dòng)了數(shù)據(jù)存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)流量需求的增加，技術(shù)創(chuàng)新驅(qū)動(dòng)了IDC市場(chǎng)規(guī)?？焖僭鲩L(zhǎng)。同時(shí)，大量業(yè)務(wù)和信息的匯聚也給IDC的安全保障能力帶來(lái)巨大的挑戰(zhàn)。雖然近年來(lái)監(jiān)管部門逐漸完善對(duì)于IDC等應(yīng)用基礎(chǔ)設(shè)施的監(jiān)管工作，在保障網(wǎng)絡(luò)信息安全方面卓有成效，但是監(jiān)管部門仍需要針對(duì)IDC市場(chǎng)的變化不斷調(diào)整監(jiān)管策略。本文將以陜西省為例，具體分析IDC網(wǎng)絡(luò)安全保障方面存在的問題。

陜西省IDC運(yùn)營(yíng)模式主要為IDC傳統(tǒng)業(yè)務(wù)和技術(shù)優(yōu)化業(yè)務(wù)，傳統(tǒng)業(yè)務(wù)主要是為用戶提供機(jī)房環(huán)境和空間；技術(shù)優(yōu)化業(yè)務(wù)主要包括為提升用戶感知而引入的緩存、CDN、游戲、證券等業(yè)務(wù)加速。

據(jù)了解，陜西省持有IDC經(jīng)營(yíng)許可證的企業(yè)共約16家，IDC經(jīng)營(yíng)者主要為陜西省三大基礎(chǔ)電信運(yùn)營(yíng)商。截至目前，中國(guó)電信陜西分公司出口帶寬共計(jì)4440G、中國(guó)移動(dòng)陜西有限公司出口帶寬共計(jì)1700G、中國(guó)聯(lián)通陜西分公司出口帶寬共計(jì)620G。

陜西省IDC網(wǎng)絡(luò)與信息安全保障問題

（一）IDC經(jīng)營(yíng)者存在的問題

1.信息安全管理系統(tǒng)部署滯后于網(wǎng)絡(luò)建設(shè)。隨著互聯(lián)網(wǎng)市場(chǎng)的快速發(fā)展，IDC用戶數(shù)量大規(guī)模增長(zhǎng)，IDC帶寬要求與日俱增，IDC經(jīng)營(yíng)者投入更多的資金和精力致力于建設(shè)快速、穩(wěn)定、高效的網(wǎng)絡(luò)，對(duì)于信息安全管理系統(tǒng)的規(guī)劃和建設(shè)的重視程度不夠，致使信息安全管理系統(tǒng)部署普遍滯后于網(wǎng)絡(luò)建設(shè)。

國(guó)家對(duì)于網(wǎng)絡(luò)與信息安全監(jiān)管日益重視，嚴(yán)格考評(píng)三同步建設(shè)實(shí)施情況，又導(dǎo)致IDC發(fā)展受限于信息安全管理系統(tǒng)建設(shè)進(jìn)度，出現(xiàn)IDC業(yè)務(wù)需求帶寬加大，但信息安全管理系統(tǒng)未通過測(cè)評(píng)，無(wú)法對(duì)IDC進(jìn)行擴(kuò)容的情況，阻礙IDC整體市場(chǎng)發(fā)展。

2.對(duì)接入IDC的用戶備案不規(guī)范。IDC經(jīng)營(yíng)者需詳細(xì)記錄經(jīng)營(yíng)者信息、機(jī)房基礎(chǔ)數(shù)據(jù)和用戶基礎(chǔ)數(shù)據(jù)。針對(duì)用戶數(shù)據(jù)基礎(chǔ)信息，錄入信息安全管理系統(tǒng)的數(shù)據(jù)存在域名、用戶備案類型與備案號(hào)等信息未登記或登記有誤的問題。在技術(shù)抽測(cè)過程中出現(xiàn)過抽測(cè)出的域名在全國(guó)域名備案系統(tǒng)中對(duì)應(yīng)的用戶與在此次抽測(cè)的IDC信息安全管理系統(tǒng)中登記的用戶不符的情況。

3.與IDC用戶簽署的合同趨于流程。IDC經(jīng)營(yíng)者應(yīng)與在自身經(jīng)營(yíng)的IDC機(jī)房?jī)?nèi)托管或租用主機(jī)完成商業(yè)目的用戶簽署有關(guān)服務(wù)合同。合同條款應(yīng)明確用戶單位名稱、單位屬性、證件號(hào)碼、服務(wù)內(nèi)容、域名信息、分配的帶寬、機(jī)架個(gè)數(shù)及IP地址段等內(nèi)容。

IDC經(jīng)營(yíng)者往往為了擴(kuò)展業(yè)務(wù)客戶，增加自身收入，在沒有簽署完整服務(wù)合同的情況下為客戶開通互聯(lián)網(wǎng)業(yè)務(wù)，或先開通業(yè)務(wù)后期再補(bǔ)合同，致使合同版本管理混亂，合同主要內(nèi)容不全。在第三方測(cè)試機(jī)構(gòu)審核過程中發(fā)現(xiàn)部分用戶合同存在內(nèi)容不全或與實(shí)際情況不符的問題。

4.機(jī)房管理有待規(guī)范化。與傳統(tǒng)機(jī)房?jī)?nèi)均為運(yùn)營(yíng)企業(yè)自身業(yè)務(wù)設(shè)備的模式相比，IDC機(jī)房因涉及到眾多用戶，其管理需更加規(guī)范，以便于識(shí)別不同用戶占用的機(jī)柜及設(shè)備。目前，陜西省多數(shù)IDC機(jī)房為原有機(jī)房改造而成，機(jī)柜編號(hào)較為混亂，用于表示用戶占用的機(jī)柜標(biāo)簽和設(shè)備標(biāo)簽不規(guī)范，一些設(shè)備不能直觀看出屬于哪些用戶，只能從基礎(chǔ)電信運(yùn)營(yíng)企業(yè)其他管理系統(tǒng)中查看，造成管理不便。

5.對(duì)IDC網(wǎng)絡(luò)與信息安全意識(shí)有待加強(qiáng)。運(yùn)營(yíng)企業(yè)目前還存在先發(fā)展業(yè)務(wù)、拓展用戶，后進(jìn)行網(wǎng)絡(luò)與信息安全管理的思想，其認(rèn)為企業(yè)的發(fā)展以盈利為主要目的，忽略了保障服務(wù)品質(zhì)和完成對(duì)網(wǎng)絡(luò)不良行為和不法信息監(jiān)管的義務(wù)。先開業(yè)務(wù)后補(bǔ)材料，資料審核不嚴(yán)的情況還時(shí)有發(fā)生。

（二）IDC用戶存在的問題

1.未盡保障網(wǎng)絡(luò)與信息安全的義務(wù)。作為互聯(lián)網(wǎng)業(yè)務(wù)的主要提供者，IDC用戶應(yīng)提供在所處IDC中運(yùn)行的服務(wù)的相關(guān)資料，為IDC管理者規(guī)范備案管理提供真實(shí)可信的材料?，F(xiàn)階段一些IDC用戶在與IDC經(jīng)營(yíng)者簽署合同時(shí)只關(guān)注商務(wù)條款，不能提供完整的業(yè)務(wù)信息，致使IDC經(jīng)營(yíng)者備案信息不全。

2.缺乏對(duì)自身行為的約束。用戶提供的互聯(lián)網(wǎng)服務(wù)應(yīng)綠色健康，抵制一切危害社會(huì)安全、傳播有害思想的業(yè)務(wù)和言論。部分用戶重點(diǎn)關(guān)注企業(yè)營(yíng)利或宣傳等方面，缺乏對(duì)違法有害信息的把控，造成不良信息被廣泛傳播，增加了監(jiān)管的難度。

（三）監(jiān)管中存在的問題

立法監(jiān)管仍需加強(qiáng)，監(jiān)管措施有待完善。當(dāng)前除了《關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心（IDC）業(yè)務(wù)和因特網(wǎng)介入服務(wù)（ISP）業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的實(shí)施方案》等實(shí)施方案，尚無(wú)相關(guān)法律法規(guī)明確對(duì)IDC網(wǎng)絡(luò)與信息安全保障進(jìn)行闡述。雖然實(shí)施方案能夠指導(dǎo)監(jiān)管部門完成對(duì)IDC網(wǎng)絡(luò)與信息安全管理保障的監(jiān)測(cè)，但對(duì)實(shí)際操作中如何解決各種難題以及對(duì)違法行為懲處力度沒有提供實(shí)用的參考依據(jù)。

七項(xiàng)對(duì)策及建議

（一）完善法律制度建設(shè)

互聯(lián)網(wǎng)發(fā)展日新月異，IDC為互聯(lián)網(wǎng)發(fā)展提供了基礎(chǔ)設(shè)施，具有用戶需求多、業(yè)務(wù)類型多、業(yè)務(wù)量大等特點(diǎn)。新環(huán)境下IDC網(wǎng)絡(luò)和信息安全保護(hù)應(yīng)該受到足夠重視，與之相關(guān)的法律法規(guī)的出臺(tái)與完善是當(dāng)務(wù)之急。行業(yè)管理單位應(yīng)該在IDC監(jiān)管的過程中，不斷加強(qiáng)法制建設(shè)，推進(jìn)IDC的健康有序發(fā)展。

（二）加強(qiáng)日常監(jiān)管和及時(shí)整改

I D C互聯(lián)網(wǎng)信息數(shù)據(jù)量龐大，其中違法違規(guī)信息的傳播擴(kuò)散不僅擾亂社會(huì)秩序，也嚴(yán)重影響業(yè)務(wù)發(fā)展。這要求行業(yè)管理部門和IDC經(jīng)營(yíng)者都應(yīng)該加強(qiáng)日常監(jiān)管和維護(hù)：行業(yè)主管部門應(yīng)定期通過查閱資料、現(xiàn)場(chǎng)撥測(cè)、抽查等方式對(duì)IDC經(jīng)營(yíng)者的經(jīng)營(yíng)行為進(jìn)行監(jiān)管，確保其滿足信息安全管理要求，對(duì)不滿足要求的行為責(zé)令整改，規(guī)范其行業(yè)陋習(xí)，引導(dǎo)其積極有效進(jìn)行IDC網(wǎng)絡(luò)和信息安全管理；IDC經(jīng)營(yíng)者應(yīng)全時(shí)段、全業(yè)務(wù)、全鏈路監(jiān)控IDC用戶行為，發(fā)現(xiàn)違法違規(guī)行為及時(shí)上報(bào)。

（三）全面培養(yǎng)網(wǎng)絡(luò)與信息安全意識(shí)

IDC網(wǎng)絡(luò)與信息安全保障的實(shí)施，能夠?yàn)镮DC經(jīng)營(yíng)者以及互聯(lián)網(wǎng)業(yè)務(wù)提供者帶來(lái)長(zhǎng)遠(yuǎn)利益。應(yīng)該讓他們意識(shí)到，盡管建設(shè)信息安全管理系統(tǒng)并對(duì)有關(guān)基礎(chǔ)信息進(jìn)行詳細(xì)備案審查是一項(xiàng)耗時(shí)長(zhǎng)、投資大的工程，但其能有效監(jiān)控網(wǎng)絡(luò)中違法違規(guī)行為，減少不良內(nèi)容帶來(lái)的負(fù)面影響，長(zhǎng)遠(yuǎn)來(lái)看有助于企業(yè)樹立良好的社會(huì)形象。IDC網(wǎng)絡(luò)與信息安全保障的實(shí)施不但營(yíng)造了良好的網(wǎng)絡(luò)環(huán)境，還可以將管理的主動(dòng)權(quán)把握在經(jīng)營(yíng)者自己手中，便于分析用戶信息，了解用戶需求，完善客戶關(guān)系管理。

（四）規(guī)范管理流程

針對(duì)IDC經(jīng)營(yíng)者，其應(yīng)制定切實(shí)可行的網(wǎng)絡(luò)與信息安全管理流程，包含對(duì)用戶信息的收集、合同簽署和保管、系統(tǒng)運(yùn)行和維護(hù)、人員管理、機(jī)房管理、信息審核和更新等一系列措施。杜絕先開通業(yè)務(wù)再補(bǔ)合同、分配資源超過合同簽署規(guī)定等事件的發(fā)生。

（五）改進(jìn)管理方式，加強(qiáng)溝通交流

針對(duì)IDC已有用戶，如果出現(xiàn)備案不全或有誤的現(xiàn)象，應(yīng)盡快聯(lián)系有關(guān)人員對(duì)其內(nèi)容進(jìn)行補(bǔ)齊和糾正；對(duì)于今后進(jìn)駐IDC的用戶，應(yīng)嚴(yán)格審核其提交的內(nèi)容。定期維護(hù)機(jī)房和管理系統(tǒng)中的用戶信息。在IDC監(jiān)管過程中，對(duì)于有問題的事件及時(shí)溝通交流，將問題解決在萌芽階段。

（六）支持技術(shù)研發(fā)和攻關(guān)

鼓勵(lì)支持我國(guó)通信及互聯(lián)網(wǎng)企業(yè)、科研院校、科研院所加大對(duì)網(wǎng)絡(luò)與信息安全領(lǐng)域的深入研究，針對(duì)現(xiàn)在IDC網(wǎng)絡(luò)中存在的難溯源、難識(shí)別、難監(jiān)測(cè)等問題進(jìn)行詳細(xì)分析，并將理論模型轉(zhuǎn)化為商用成果，能夠部署在實(shí)際網(wǎng)絡(luò)中保障IDC網(wǎng)絡(luò)與信息安全。

在以往部署過程中存在信息安全保障系統(tǒng)設(shè)備為數(shù)眾多，占用大量空間、電力等資源的問題，針對(duì)此建議科研部門加強(qiáng)研發(fā)節(jié)能環(huán)保又安全有效的產(chǎn)品。

（七）加大政府資金支持，降低企業(yè)運(yùn)營(yíng)成本

鑒于以往信息安全管理系統(tǒng)建設(shè)存在規(guī)模大、耗時(shí)長(zhǎng)、投資大，后期維護(hù)費(fèi)用大等問題，為促進(jìn)企業(yè)認(rèn)真貫徹執(zhí)行有關(guān)信息安全保障規(guī)定，除強(qiáng)制措施外，建議加大政府資金支持，信息安全管理方面增加相關(guān)補(bǔ)貼及優(yōu)惠政策，調(diào)動(dòng)企業(yè)積極性，促進(jìn)IDC市場(chǎng)良性發(fā)展。