论文部分内容阅读
链接一
《办法》的出台背景和过程
2003年,中办27号文件颁发,信息产业部电信管理局开始推动通信网络安全防护工作;
2006年,信息产业部开始组织制定通信网络安全防护系列标准;
2007年12月,信息产业部2007年第555号文(《关于进一步开展电信网络安全防护工作的实施意见》)发布,通信行业安全防护制度、架构建立;
2008年,信息产业部发布32项通信网络安全防护标准,覆盖固定通信网、移动通信网、IP承载网、互联网、支撑系统、信令网、同步网、消息网、智能网等;
2009年6月,工业和信息化部通信保障局在多次征求相关部门、各地方通信管理局和相关电信企业的意见后,完成《通信网络安全防护管理办法(送审稿)》并送部政法司审查;
工信部政法司对《办法(送审稿)》进行审查、完善后,征求了部内相关司局和各省通信管理局的意见,并通过部外网网站向社会公开征求意见;
2009年11月,工信部政法司组织召开了由部分通信管理局参加的座谈会,就《办法(送审稿)》的操作性、制度的合理性等问题进行进一步研究;
2009年12月29日,工业和信息化部第八次部务会议审议通过该《办法》。
通信网络安全
立法了!
国内关于通信行业网络安全的首个部令正式出台了!《通信网络安全防护管理办法》的贯彻执行,将成为2010年工信部网络安全工作的“头号任务”。
还记得2009年5月19日因域名解析服务器瘫痪导致全国多个省份互联网用户无法上网的重大安全事件吗?可否知道网站的SQL注入漏洞会导致大量用户信息泄露?您了解前不久百度被黑事件将给百度及其合作伙伴、用户带来多大损失吗?从今往后,这类事件的发生频率有望大大降低—2010年1月21日,工业和信息化部《通信网络安全防护管理办法》正式出台了!这是国内关于通信行业网络安全的首个部令,今后,通信行业的网络安全防护工作将有法可依,按照部令有序贯彻执行。
办法出台 网络分级
随着我国国民经济和社会信息化的快速发展,经济社会运行对通信网络的依赖度不断提高,通信网络已成为国家关键基础设施,通信网络安全的战略地位日益突出。然而,近年来我国通信网络面临的内外部安全威胁不断增多,网络中断、信息窃取、网页篡改等安全事件频发,网络安全整体形势日趋严峻。
“在安全防护(即预防保护)、网络运行、事件应急处置等通信网络安全管理环节中,安全防护是保障通信网络安全的第一道关口,对于防范网络安全事件的发生、及时消除安全隐患具有重要的意义。”工信部通信保障局相关负责人告诉记者。
当前我国通信行业在实践中还存在通信网络安全防护责任不落实、防护措施不到位、管理制度不完善等问题,因此亟需通过建立通信网络分级、备案、符合性评测、安全风险评估等管理制度,加强通信网络安全管理,保障网络可靠运行。为了切实履行通信网络安全管理职责,提高通信网络安全防护水平,工业和信息化部发布了《通信网络安全防护管理办法》(以下简称《办法》)。该《办法》的出台,将有利于保证电信管理机构履行通信网络安全防护管理职责,促进通信网络安全防护管理工作的依法进行。
根据《办法》的规定,通信行业首先要对通信网络单元进行等级划分,然后根据分级实行相应的安全保护。
《办法》确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。举例说明:如果某通信网络单元遭到破坏后只影响到企业自身经营等问题的话,它的安全等级可能就是一级、二级;如果对于公众的利益造成了很大的影响,那么它的安全等级可能是三级;如果影响到社会秩序、国家利益了,那么它的安全等级可能就是四级甚至五级。
为了保证分级的合理性,《办法》规定电信管理机构应当组织专家对通信网络单元的分级情况进行评审。此外,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案,并明确了备案的内容和核查程序。
四大制度建立
除了通信网络单元分级和备案制度之外,《办法》还规定了其他三大制度,分别是:安全防护措施的符合性评测制度、通信网络安全风险评估制度、通信网络安全防护检查制度。这四大制度共同构成了通信行业网络安全工作的基本制度架构,对通信行业网络安全工作的方法、措施、标准给出了具体的规定。
其中,安全防护措施的符合性评测制度规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
通信网络安全风险评估制度规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
通信网络安全防护检查制度规定电信管理机构应对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确规定电信管理机构进行检查时不得影响通信网络的正常运行、不得收取任何费用、不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品,电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私有保密的义务。
“以往我国通信行业的网络安全防护工作主要是企业从保障自身利益的角度出发自发来做,《办法》出台后,电信管理部门将重点从保障国家、公众利益的角度出发,依照各项规章制度强化对通信网络安全的管理,使通信网络安全工作更加系统化、制度化、规范化、科学化。”工信部通信保障局相关负责人告诉记者。
重点监管
通信基础网络
根据《办法》的规定,其主要适用范围是我国境内电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网。从行政相对人来说,主要针对电信业务经营者(含基础电信业务经营者和增值电信业务经营者)和互联网域名服务提供者,其中的互联网域名服务提供者不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。
从管理活动所针对的行为来说,包括行政相对人为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所进行的相关活动。
“《办法》主要监管的是通信网络的运行安全和数据安全,不涉及内容安全管理。我们监管的重点将放在电信运营企业的基础通信网络上,同时把监管触角扩展到增值电信业务经营者。”工信部通信保障局相关负责人表示。据介绍,目前国内基础电信运营商已完成备案的二级以上网络单元有9000多个。下一步的工作主要是针对电信市场的重组等变化进行一些相关的调整、包括责任主体变更。
《办法》明确规定:对于违反相关规定的,将由电信管理机构依据职权责令改正;拒不改正的,将给予警告,并处5000~30000元的罚款。
“当前业界都在热议三网融合,随着三网融合进程的推进,一些广电企业有可能加入电信业务运营的行列,届时,电信业务运营者的数量有可能增加。只要它们申请了电信业务运营牌照,本《办法》将同样适用于这些企业。”工信部通信保障局相关负责人表示。
链接二
当前通信网络安全的主要薄弱环节
1.核心软硬件进口产品较多,对其中的漏洞后门缺乏了解;
2.一些核心网络和系统与互联网存在连接,但缺乏必要的安全保护;
3.一些核心部位和数据缺乏冗余备份措施;
4.采用第三方远程维护和安全服务的情况十分普遍,缺乏严格的管控措施;
5.对用户个人信息保护还不够重视。
评论
依法应对通信网络安全挑战
经过多年的建设、管理和运行实践,我国通信行业、尤其是通信运营企业在网络运维方面已经积累了丰富经验,具备了较强的技术能力和应急能力,多年来有力保障了网络的可靠运行。但是,我们也应该清醒地看到,当前通信网络安全正面临着许多全新的、更为严峻的挑战,因此,进一步加强网络安全管理十分必要、十分紧迫。
首先,通信网络在经济社会发展中的基础性、全局性作用正与日俱增,这就对网络安全保障提出了更高的要求。随着我国信息化发展和两化融合步伐加快,电信用户持续增长,电子政务、电子商务、网络媒体、企业信息化等蓬勃发展,政治、经济、文化和社会生活对通信网络的依赖度越来越高,通信网络的战略地位越来越突出,已成为国家关键基础设施。包括公用电信网、公共互联网、域名系统等在内的网络基础设施一旦发生中断、瘫痪或拥塞,或其中传输、存储、处理的业务数据和用户信息丢失、泄露或被篡改,会对经济社会运行和生产生活造成不可忽视的影响。通信行业要进一步从维护国家安全、保障经济发展和维护公共利益的高度,来认识通信网络安全的重要性和紧迫性,进一步提高通信网络安全保障能力和水平,而不是以往仅仅从保障企业自身利益的角度出发来看待通信网络安全问题。
其次,通信网络面临的安全威胁正日益多样化,非传统安全问题十分突出。随着通信网络IP化、宽带化、智能化演进,尤其是三网融合工作的积极推进,通信网络日益面临网络攻击、信息窃取等更隐蔽、更难应对的非传统安全威胁。
“通过近几年的检查我们发现,无论是互联网还是传统电信网,无论是基础网络还是业务系统,都存在大量网络安全薄弱环节。”工信部通信保障局某相关负责人表示。这些问题导致通信网络局部或大面积中断,或用户信息泄露、网站篡改等情况时有发生,造成较大影响。相对于传统安全问题,非传统安全问题的隐蔽性更强,技术要求更高,这就要求通信企业要进一步加强管理,创新工作方法和工作机制,以有效应对日益多样化的网络安全威胁。
此外,当前国际信息安全形势正在发生深刻变化,通信网络安全面临更严峻的国际挑战。美、俄、欧盟等已把网络安全上升到国家安全的战略高度来研究和应对。美国总统奥巴马上台后,将网络威胁与核威胁、生化威胁、恐怖袭击并列作为美国当前面临的主要战略威胁。通信网络基础设施是攻击和防御的重点目标之一。
《通信网络安全防护管理办法》出台后,我国通信行业的网络安全防护工作将改变以往零星、松散、自发的现状,在法律规范的指导下实现向系统化、规范化、科学化的转变,通信企业的网络安全防护意识和能力将进一步加强,安全防护措施也将在《办法》的指导下有效改进,从而使我国通信行业的网络安全水平总体上得以提升。(文/李智鹏)
《办法》的出台背景和过程
2003年,中办27号文件颁发,信息产业部电信管理局开始推动通信网络安全防护工作;
2006年,信息产业部开始组织制定通信网络安全防护系列标准;
2007年12月,信息产业部2007年第555号文(《关于进一步开展电信网络安全防护工作的实施意见》)发布,通信行业安全防护制度、架构建立;
2008年,信息产业部发布32项通信网络安全防护标准,覆盖固定通信网、移动通信网、IP承载网、互联网、支撑系统、信令网、同步网、消息网、智能网等;
2009年6月,工业和信息化部通信保障局在多次征求相关部门、各地方通信管理局和相关电信企业的意见后,完成《通信网络安全防护管理办法(送审稿)》并送部政法司审查;
工信部政法司对《办法(送审稿)》进行审查、完善后,征求了部内相关司局和各省通信管理局的意见,并通过部外网网站向社会公开征求意见;
2009年11月,工信部政法司组织召开了由部分通信管理局参加的座谈会,就《办法(送审稿)》的操作性、制度的合理性等问题进行进一步研究;
2009年12月29日,工业和信息化部第八次部务会议审议通过该《办法》。
通信网络安全
立法了!
国内关于通信行业网络安全的首个部令正式出台了!《通信网络安全防护管理办法》的贯彻执行,将成为2010年工信部网络安全工作的“头号任务”。
还记得2009年5月19日因域名解析服务器瘫痪导致全国多个省份互联网用户无法上网的重大安全事件吗?可否知道网站的SQL注入漏洞会导致大量用户信息泄露?您了解前不久百度被黑事件将给百度及其合作伙伴、用户带来多大损失吗?从今往后,这类事件的发生频率有望大大降低—2010年1月21日,工业和信息化部《通信网络安全防护管理办法》正式出台了!这是国内关于通信行业网络安全的首个部令,今后,通信行业的网络安全防护工作将有法可依,按照部令有序贯彻执行。
办法出台 网络分级
随着我国国民经济和社会信息化的快速发展,经济社会运行对通信网络的依赖度不断提高,通信网络已成为国家关键基础设施,通信网络安全的战略地位日益突出。然而,近年来我国通信网络面临的内外部安全威胁不断增多,网络中断、信息窃取、网页篡改等安全事件频发,网络安全整体形势日趋严峻。
“在安全防护(即预防保护)、网络运行、事件应急处置等通信网络安全管理环节中,安全防护是保障通信网络安全的第一道关口,对于防范网络安全事件的发生、及时消除安全隐患具有重要的意义。”工信部通信保障局相关负责人告诉记者。
当前我国通信行业在实践中还存在通信网络安全防护责任不落实、防护措施不到位、管理制度不完善等问题,因此亟需通过建立通信网络分级、备案、符合性评测、安全风险评估等管理制度,加强通信网络安全管理,保障网络可靠运行。为了切实履行通信网络安全管理职责,提高通信网络安全防护水平,工业和信息化部发布了《通信网络安全防护管理办法》(以下简称《办法》)。该《办法》的出台,将有利于保证电信管理机构履行通信网络安全防护管理职责,促进通信网络安全防护管理工作的依法进行。
根据《办法》的规定,通信行业首先要对通信网络单元进行等级划分,然后根据分级实行相应的安全保护。
《办法》确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。举例说明:如果某通信网络单元遭到破坏后只影响到企业自身经营等问题的话,它的安全等级可能就是一级、二级;如果对于公众的利益造成了很大的影响,那么它的安全等级可能是三级;如果影响到社会秩序、国家利益了,那么它的安全等级可能就是四级甚至五级。
为了保证分级的合理性,《办法》规定电信管理机构应当组织专家对通信网络单元的分级情况进行评审。此外,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案,并明确了备案的内容和核查程序。
四大制度建立
除了通信网络单元分级和备案制度之外,《办法》还规定了其他三大制度,分别是:安全防护措施的符合性评测制度、通信网络安全风险评估制度、通信网络安全防护检查制度。这四大制度共同构成了通信行业网络安全工作的基本制度架构,对通信行业网络安全工作的方法、措施、标准给出了具体的规定。
其中,安全防护措施的符合性评测制度规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
通信网络安全风险评估制度规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
通信网络安全防护检查制度规定电信管理机构应对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确规定电信管理机构进行检查时不得影响通信网络的正常运行、不得收取任何费用、不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品,电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私有保密的义务。
“以往我国通信行业的网络安全防护工作主要是企业从保障自身利益的角度出发自发来做,《办法》出台后,电信管理部门将重点从保障国家、公众利益的角度出发,依照各项规章制度强化对通信网络安全的管理,使通信网络安全工作更加系统化、制度化、规范化、科学化。”工信部通信保障局相关负责人告诉记者。
重点监管
通信基础网络
根据《办法》的规定,其主要适用范围是我国境内电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网。从行政相对人来说,主要针对电信业务经营者(含基础电信业务经营者和增值电信业务经营者)和互联网域名服务提供者,其中的互联网域名服务提供者不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。
从管理活动所针对的行为来说,包括行政相对人为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所进行的相关活动。
“《办法》主要监管的是通信网络的运行安全和数据安全,不涉及内容安全管理。我们监管的重点将放在电信运营企业的基础通信网络上,同时把监管触角扩展到增值电信业务经营者。”工信部通信保障局相关负责人表示。据介绍,目前国内基础电信运营商已完成备案的二级以上网络单元有9000多个。下一步的工作主要是针对电信市场的重组等变化进行一些相关的调整、包括责任主体变更。
《办法》明确规定:对于违反相关规定的,将由电信管理机构依据职权责令改正;拒不改正的,将给予警告,并处5000~30000元的罚款。
“当前业界都在热议三网融合,随着三网融合进程的推进,一些广电企业有可能加入电信业务运营的行列,届时,电信业务运营者的数量有可能增加。只要它们申请了电信业务运营牌照,本《办法》将同样适用于这些企业。”工信部通信保障局相关负责人表示。
链接二
当前通信网络安全的主要薄弱环节
1.核心软硬件进口产品较多,对其中的漏洞后门缺乏了解;
2.一些核心网络和系统与互联网存在连接,但缺乏必要的安全保护;
3.一些核心部位和数据缺乏冗余备份措施;
4.采用第三方远程维护和安全服务的情况十分普遍,缺乏严格的管控措施;
5.对用户个人信息保护还不够重视。
评论
依法应对通信网络安全挑战
经过多年的建设、管理和运行实践,我国通信行业、尤其是通信运营企业在网络运维方面已经积累了丰富经验,具备了较强的技术能力和应急能力,多年来有力保障了网络的可靠运行。但是,我们也应该清醒地看到,当前通信网络安全正面临着许多全新的、更为严峻的挑战,因此,进一步加强网络安全管理十分必要、十分紧迫。
首先,通信网络在经济社会发展中的基础性、全局性作用正与日俱增,这就对网络安全保障提出了更高的要求。随着我国信息化发展和两化融合步伐加快,电信用户持续增长,电子政务、电子商务、网络媒体、企业信息化等蓬勃发展,政治、经济、文化和社会生活对通信网络的依赖度越来越高,通信网络的战略地位越来越突出,已成为国家关键基础设施。包括公用电信网、公共互联网、域名系统等在内的网络基础设施一旦发生中断、瘫痪或拥塞,或其中传输、存储、处理的业务数据和用户信息丢失、泄露或被篡改,会对经济社会运行和生产生活造成不可忽视的影响。通信行业要进一步从维护国家安全、保障经济发展和维护公共利益的高度,来认识通信网络安全的重要性和紧迫性,进一步提高通信网络安全保障能力和水平,而不是以往仅仅从保障企业自身利益的角度出发来看待通信网络安全问题。
其次,通信网络面临的安全威胁正日益多样化,非传统安全问题十分突出。随着通信网络IP化、宽带化、智能化演进,尤其是三网融合工作的积极推进,通信网络日益面临网络攻击、信息窃取等更隐蔽、更难应对的非传统安全威胁。
“通过近几年的检查我们发现,无论是互联网还是传统电信网,无论是基础网络还是业务系统,都存在大量网络安全薄弱环节。”工信部通信保障局某相关负责人表示。这些问题导致通信网络局部或大面积中断,或用户信息泄露、网站篡改等情况时有发生,造成较大影响。相对于传统安全问题,非传统安全问题的隐蔽性更强,技术要求更高,这就要求通信企业要进一步加强管理,创新工作方法和工作机制,以有效应对日益多样化的网络安全威胁。
此外,当前国际信息安全形势正在发生深刻变化,通信网络安全面临更严峻的国际挑战。美、俄、欧盟等已把网络安全上升到国家安全的战略高度来研究和应对。美国总统奥巴马上台后,将网络威胁与核威胁、生化威胁、恐怖袭击并列作为美国当前面临的主要战略威胁。通信网络基础设施是攻击和防御的重点目标之一。
《通信网络安全防护管理办法》出台后,我国通信行业的网络安全防护工作将改变以往零星、松散、自发的现状,在法律规范的指导下实现向系统化、规范化、科学化的转变,通信企业的网络安全防护意识和能力将进一步加强,安全防护措施也将在《办法》的指导下有效改进,从而使我国通信行业的网络安全水平总体上得以提升。(文/李智鹏)