随着我国国民经济和社会信息化的快速发展,经济社会运行对通信网络的依赖度不断提高,包括公用电信网、公共互联网在内的通信网络已成为国家关键基础设施,其全局性和战略性地位日益突出。近年来,在全行业的共同努力下,通信网络安全防护工作取得了明显成效,有力地保障了北京奥运会、国庆60周年等国家重大活动的通信安全。与此同时,在通信网络IP化、宽带化、智能化和融合演进过程中,也产生了多样化的外部安全威胁,利用网络攻击、网络病毒、黑客入侵等手段造成的网络中断、系统瘫痪、信息泄露、网页篡改等安全事件频发,网络安全整体形势日趋严峻。
工业和信息化部最近发布了《通信网络安全防护管理办法》(工信部第11号令,以下简称《办法》),旨在针对新情况新问题,进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力,最大限度地减少重大网络安全事件发生。为此,工业和信息化部通信保障局相关负责人近日接受了采访,围绕通信网络安全防护的概念、适用范围、工作制度和工作重点回答了提问。
问:什么是通信网络安全防护?
答:通信网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或被非法控制,以及通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等而开展的工作。
在工作方法上,综合运用分级保护、风险评估、容灾备份、安全监控等科学方法,在深入分析通信网络可能面临的各种威胁和风险的基础上,通过事先落实有针对性的管理和技术防护措施,强化监督检查,提高防范水平,尽可能减少重大安全事件的发生。
在工作范畴上,凡是可能影响电信业务经营者网络和业务系统的正常运行,或可能影响数据的保密性、完整性、可用性的因素,都是通信网络安全防护工作需要考虑和防范的。例如网络攻击、网络病毒、黑客入侵、非法远程控制,以及各种形式的物理破坏、自然灾害等。其中,网络攻击、网络病毒、黑客入侵、非法远程控制问题,是互联网发展和传统网络IP化、网络融合过程中出现的新情况新问题。这类问题技术性强,防范难度大,目前电信业务经营者在这些方面的认识和工作基础普遍较为薄弱,因此是通信网络安全防护工作的重点。
问:《办法》的适用范围是什么?
答:从管理针对的主体来说,适用于“电信业务经营者”和“互联网域名服务提供者”。其中“电信业务经营者”不仅包含中国电信、中国移动、中国联通等基础电信业务经营者,而且包括众多的ICP、IDC、SP等增值电信业务经营者;“互联网域名服务提供者”不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。从管理针对的客体来说,包括公用通信网、互联网以及承载在公用通信网、互联网上的电信业务系统和域名系统等的安全防护工作。从管理针对的行为来说,包括为防止通信网络阻塞、中断、瘫痪或被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等所进行的相关活动。
问:《办法》建立了哪些安全防护制度?
答:一是通信网络单元的分级和备案制度。《办法》规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。为便于电信管理机构掌握有关情况,通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。
二是安全防护措施的符合性评测制度。为确保通信网络单元安全防护措施落实到位,《办法》规定通信网络运行单位应当按照标准落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。其中三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
三是通信网络安全风险评估制度。《办法》规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时发现并消除重大网络安全隐患。其中三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
四是通信网络安全防护检查制度。《办法》规定电信管理机构要对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确了检查工作方式和有关要求。
此外,《办法》还对通信网络运行单位开展容灾备份、事件监测和演练等工作提出了明确要求。
问:基础通信网络规模庞大,按什么规则划分网络单元?
答:基础电信运营企业的通信网络规模庞大、覆盖全国、全程全网,通过统一的标准和接口实现不同专业网络、不同地域网络相互联通和互操作。各基础电信运营企业将其通信网络按地域和专业进行划分,由下属机构分块、分段、分专业进行管理。工业和信息化部之前发布的《电信网和互联网安全等级保护实施指南》规定了通信网络单元的划分原则和方法,主要按照网络或系统的专业类型(如固定、移动、互联网等)和服务地域(如省级、省内、本地等)进行划分,确保网络单元间的边界清晰、管理责任主体分明。
问:工业和信息化部在通信网络安全防护方面开展过哪些前期工作?
答:《办法》是在充分总结前期工作经验的基础上研究制定的,《办法》的出台进一步增强了相关工作的系统性、规范性和科学性。为贯彻落实中央和国务院有关要求,2007年,印发了《关于进一步开展电信网络安全防护工作的实施意见》(信部电[2007]555号),明确了有关工作思路、原则、方法和步骤。组织制定了通信网络安全防护系列标准,于2008年正式发布了32项标准,为指导和规范网络运行单位开展防护工作和落实安全防护措施发挥了重要作用。自2006年起,每年组织开展一次全行业通信网络安全大检查和风险评估,督促整改发现的隐患,为确保十七大、北京奥运会和国庆60周年通信网络安全发挥了重要作用。组织对基础电信运营企业的网络和系统进行定级备案,基本掌握了各基础电信运营企业的网络和系统数量、分布情况,以及各个网络和系统的主要功能、地位作用和责任主体。对国家顶级域名系统进行了定级备案。建设了通信网络安全防护管理信息系统,实现通信网络基本情况的网上报备,提高管理工作效率。
问:下一步贯彻落实《办法》的工作重点是什么?
答:贯彻落实《办法》将是一项长期、系统的基础性工作。结合近年有关工作情况,下一步,将重点围绕以下方面继续推进和深化通信网络安全防护工作:一是加强《办法》和有关标准的宣贯,进一步提高全行业的网络安全意识和能力,增强做好网络安全防护工作的责任感、紧迫感。二是加大网络安全防护检查力度,在2009年安全检查的基础上,进一步突出重点,组织对支撑系统、域名系统、网上营业厅、IDC等当前存在问题较多的网络和系统进行自查与抽查,督促相关单位排查隐患、堵塞漏洞、加强防护。三是不断完善安全防护标准体系,特别是针对新技术新业务和网络融合出现的新情况新问题,如手机安全、3G安全、IPv6安全、云计算安全、三网融合安全等,加强跟踪研究,适时制订和修订相关安全防护标准。四是继续组织做好网络和系统的定级备案工作,逐步落实增值电信业务和互联网域名服务的定级备案。五是指导督促电信业务经营者建设完善网络安全监控手段,提高安全防护、监测预警和应急处置能力。
工业和信息化部政法司负责人解读《通信网络安全防护管理办法》
1月21日,工业和信息化部发布了《通信网络安全防护管理办法》(工业和信息化部令第11号)。工业和信息化部政策法规司副司长李国斌围绕《办法》出台的有关背景、《办法》的主要内容等问题接受了专访。
问:工业和信息化部最近出台了《通信网络安全防护管理办法》,请问出台该规章的意义是什么?
李国斌副司长:随着我国通信业和信息化的发展,政治、经济、文化和社会生活对通信网络的依赖度越来越高,通信网络已成为国家关键基础设施。通信网络一旦发生中断、瘫痪或拥塞,或者其中传输、存储、处理的数据信息丢失、泄露或被非法篡改,将对社会经济生活造成严重影响。制定《办法》,完善通信网络安全保障法律制度,有利于提高通信网络安全防护能力和水平。此外,随着信息通信技术的迅速发展,通信网络加快向数字化、宽带化和智能化演进,通信网络面临的安全威胁日益多样化,网络攻击、信息窃取等非传统安全问题十分突出。相对于传统安全问题,非传统安全问题的隐蔽性更强,处置工作和技术要求更高。结合信息通信技术发展的特点制定《办法》,建立通信网络分级、备案、安全风险评估等制度,有利于应对非传统安全威胁。
问:您能否简单介绍一下《办法》的制定过程?
李国斌副司长:2009年6月,工业和信息化部通信保障局完成《办法(送审稿)》并送部政法司审查。部政法司对《办法(送审稿)》进行审查、完善后,征求了部内相关司局和各省通信管理局的意见。为保证《办法》的科学性,我们还通过部外网网站向社会公开征求了意见。从意见反馈情况看,各方对《办法》拟设立的各项制度没有原则性不同意见。部分通信管理局就《办法》的可操作性以及制度的合理性等方面提出了一些建议和意见,例如,是否由地方管局组织专家对网络单元进行评审、增值电信业务经营者适用等问题。为此, 2009年11月,部政法司组织召开了由部分通信管理局参加的座谈会,就《办法》的可操作性、制度的合理性等问题进行了进一步研究,并充分研究和吸收了各方面的意见。2009年12月29日,部第八次部务会议审议通过了《办法(草案)》。2010年1月21日,部公布了《办法》。
问:《办法》对加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通具有重要的意义。您能否介绍一下《办法》主要建立了哪些制度?
李国斌副司长:《办法》围绕通信网络安全防护管理工作,主要建立了如下制度:
一是确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度等因素,由低到高分别划分为五级。为保证分级的科学性,《办法》规定:通信网络运行单位应当组织专家对通信网络单元的分级情况进行评审。与此同时,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。为保证备案工作的可操作性,《办法》进一步明确了备案的内容和核查程序。
二是建立了符合性评测制度,规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定:三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
三是建立了安全风险评估制度,规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定:三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
四是建立了通信网络安全防护检查制度,规定电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。《办法》对检查方式进行了明确,并规定:电信管理机构进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品;电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密、技术秘密和个人隐私,有保密的义务。