唐亮 山東省通信管理局 濟(jì)南 250002

1、引言

隨著我國(guó)通信業(yè)的快速發(fā)展，政治、經(jīng)濟(jì)、文化和社會(huì)生活對(duì)通信網(wǎng)絡(luò)的依賴程度越來越高，通信網(wǎng)絡(luò)已成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。通信網(wǎng)絡(luò)一旦發(fā)生中斷、擁塞甚至癱瘓等故障，或者其中傳輸、處理、存儲(chǔ)的數(shù)據(jù)信息丟失、泄露或被非法篡改，將對(duì)社會(huì)經(jīng)濟(jì)和人民生活造成嚴(yán)重影響。與此同時(shí)，隨著信息通信技術(shù)的快速發(fā)展，通信網(wǎng)絡(luò)加快向數(shù)字化、寬帶化和智能化演進(jìn)，通信網(wǎng)絡(luò)所面臨的安全威脅日益多樣化，網(wǎng)絡(luò)攻擊、信息竊取等非傳統(tǒng)安全問題日益突出。在這種形勢(shì)下，如何確保通信網(wǎng)絡(luò)能夠安全、穩(wěn)定運(yùn)行成為通信行業(yè)所面臨的一項(xiàng)重要課題。

通信網(wǎng)絡(luò)安全防護(hù)工作是指為防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓或被非法控制，以及通信網(wǎng)絡(luò)中傳輸、處理、存儲(chǔ)的數(shù)據(jù)信息丟失、泄漏或被篡改等而開展的工作。在工作方法上，綜合運(yùn)用分級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、容災(zāi)備份、安全監(jiān)控等科學(xué)方法，在深入分析通信網(wǎng)絡(luò)可能面臨的各種威脅和風(fēng)險(xiǎn)的基礎(chǔ)上，通過事先落實(shí)有針對(duì)性的管理和技術(shù)防范措施，強(qiáng)化監(jiān)督檢查，提高防范水平，盡可能減少重大安全事件的發(fā)生。在工作范疇上，凡是可能影響電信業(yè)務(wù)經(jīng)營(yíng)者網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常運(yùn)行，或可能影響數(shù)據(jù)的保密性、完整性、可用性的因素，都是通信網(wǎng)絡(luò)安全防護(hù)工作需要考慮和防范的。例如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、黑客入侵、非法遠(yuǎn)程控制，以及各種形式的物理破壞、自然災(zāi)害等。

2、安全防護(hù)工作簡(jiǎn)介

早在2006年，原信息產(chǎn)業(yè)部就著手組織開展了通信網(wǎng)絡(luò)安全大檢查和風(fēng)險(xiǎn)評(píng)估，督促整改發(fā)現(xiàn)的隱患。2007年，為貫徹落實(shí)中央和國(guó)務(wù)院有關(guān)要求，原信息產(chǎn)業(yè)部印發(fā)了《關(guān)于進(jìn)一步開展電信網(wǎng)絡(luò)安全防護(hù)工作的實(shí)施意見》（信部電〔2007〕555號(hào)），明確了有關(guān)工作思路、原則、方法和步驟。到2010年，在總結(jié)前期相關(guān)工作經(jīng)驗(yàn)的基礎(chǔ)上，工業(yè)和信息化部頒布了第11號(hào)部長(zhǎng)令，出臺(tái)了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》（以下簡(jiǎn)稱《辦法》），進(jìn)一步規(guī)范了通信網(wǎng)絡(luò)安全防護(hù)工作，確立了通信網(wǎng)絡(luò)單元的分級(jí)保護(hù)制度，建立了符合性評(píng)測(cè)制度和安全風(fēng)險(xiǎn)評(píng)估制度，以及通信網(wǎng)絡(luò)安全防護(hù)檢查制度?！掇k法》的出臺(tái)，進(jìn)一步增強(qiáng)了通信行業(yè)網(wǎng)絡(luò)和信息安全保護(hù)工作的系統(tǒng)性、規(guī)范性和科學(xué)性，使得通信行業(yè)更有利于應(yīng)對(duì)非傳統(tǒng)安全問題。

《辦法》圍繞通信網(wǎng)絡(luò)安全防護(hù)管理工作，一是確立了通信網(wǎng)絡(luò)單元的分級(jí)保護(hù)制度，規(guī)定通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)進(jìn)行單元?jiǎng)澐?，并按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公眾利益的危害程度等因素，由低到高分別劃分為五級(jí)。同時(shí)，《辦法》還規(guī)定了通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)將通信網(wǎng)絡(luò)單元的劃分和定級(jí)情況向電信管理機(jī)構(gòu)備案，并明確了備案的內(nèi)容和核查程序。

二是建立了符合性評(píng)測(cè)制度，規(guī)定通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)落實(shí)與通信網(wǎng)絡(luò)單元級(jí)別相適應(yīng)的安全防護(hù)措施，并進(jìn)行符合性評(píng)測(cè)，三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè)，二級(jí)通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)。

三是建立了安全風(fēng)險(xiǎn)評(píng)估制度，規(guī)定通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)組織對(duì)通信網(wǎng)絡(luò)單元進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，及時(shí)消除重大網(wǎng)絡(luò)安全隱患。與符合性評(píng)測(cè)一樣，三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估，二級(jí)通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估。

四是建立了通信網(wǎng)絡(luò)安全防護(hù)檢查制度，規(guī)定電信管理機(jī)構(gòu)對(duì)通信網(wǎng)絡(luò)運(yùn)行單位開展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行檢查。檢查工作既包括管理性檢查，也包括委托有資質(zhì)的第三方專業(yè)檢測(cè)機(jī)構(gòu)進(jìn)行必要的技術(shù)檢測(cè)。檢測(cè)過程不向被測(cè)單位收取任何費(fèi)用。且電信管理機(jī)構(gòu)及其委托的專業(yè)機(jī)構(gòu)的工作人員對(duì)于檢查工作中獲悉的國(guó)家秘密、商業(yè)秘密、技術(shù)秘密和個(gè)人隱私，有保密的義務(wù)。

從管理針對(duì)的主體來說，《辦法》適用于“電信業(yè)務(wù)經(jīng)營(yíng)者”和“互聯(lián)網(wǎng)域名服務(wù)提供者”。其中“電信業(yè)務(wù)經(jīng)營(yíng)者”不僅包含基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者（如電信、移動(dòng)、聯(lián)通等），還包括眾多ICP、ISP、IDC、SP等增值電信業(yè)務(wù)經(jīng)營(yíng)者；“互聯(lián)網(wǎng)域名服務(wù)提供者”不僅包括互聯(lián)網(wǎng)域名注冊(cè)管理和服務(wù)機(jī)構(gòu)，還包括目前社會(huì)上存在的專門為域名持有者提供權(quán)威解析服務(wù)的經(jīng)營(yíng)性或非經(jīng)營(yíng)性主體。從管理針對(duì)的客體來說，包括公用通信網(wǎng)、互聯(lián)網(wǎng)以及承載在其上的電信業(yè)務(wù)系統(tǒng)和域名系統(tǒng)等。

3、安全防護(hù)工作與等級(jí)保護(hù)工作的關(guān)系

在近幾年的工作過程中，經(jīng)常會(huì)涉及到信息安全等級(jí)保護(hù)工作（以下簡(jiǎn)稱“等保工作”）。等保工作是公安部等四部委印發(fā)的《信息安全等級(jí)保護(hù)管理辦法》中所規(guī)定的一項(xiàng)工作內(nèi)容，開展等保工作的目的是為了規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)。

2007年，國(guó)務(wù)院信息化工作辦公室下發(fā)的《關(guān)于電信系統(tǒng)信息安全等級(jí)保護(hù)工作有關(guān)問題的意見》（信安通〔2007〕14號(hào)）中明確：“考慮到電信網(wǎng)絡(luò)具有全程全網(wǎng)性質(zhì)，電信系統(tǒng)的等級(jí)保護(hù)備案在國(guó)家、省兩級(jí)進(jìn)行，地市及以下電信企事業(yè)單位的信息系統(tǒng)由省電信管理部門統(tǒng)一向同級(jí)公安機(jī)關(guān)備案，各地不再另行備案。但各地不具有全程全網(wǎng)性質(zhì)的信息系統(tǒng)，如本地網(wǎng)站、管理和辦公系統(tǒng)等，仍按《信息安全等級(jí)保護(hù)管理辦法》執(zhí)行；信息產(chǎn)業(yè)部可依照《信息安全等級(jí)保護(hù)管理辦法》的要求，參照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)，從電信系統(tǒng)的實(shí)際出發(fā)，制定電信系統(tǒng)等級(jí)保護(hù)的具體辦法、實(shí)施指南和工作標(biāo)準(zhǔn)；開展針對(duì)各地全程全網(wǎng)性質(zhì)的電信網(wǎng)絡(luò)的信息安全等級(jí)保護(hù)檢查時(shí)，應(yīng)當(dāng)會(huì)同電信主管部門共同進(jìn)行?！?/p>

由此可見，通信網(wǎng)絡(luò)安全防護(hù)工作可以理解為通信行業(yè)的信息安全等級(jí)保護(hù)工作。這項(xiàng)工作充分考慮了電信網(wǎng)絡(luò)全程全網(wǎng)的性質(zhì)，更貼合電信網(wǎng)絡(luò)的實(shí)際，在電信領(lǐng)域具有更強(qiáng)的針對(duì)性和可操作性?？梢哉f通信網(wǎng)絡(luò)安全防護(hù)工作就是具有行業(yè)特色的信息安全等級(jí)保護(hù)工作。

由于安全防護(hù)工作只在國(guó)家和省兩級(jí)進(jìn)行，在具體工作中，各基礎(chǔ)電信企業(yè)的市地分公司不需要再向當(dāng)?shù)氐缺９ぷ髦鞴懿块T報(bào)送、提供所屬通信網(wǎng)絡(luò)的有關(guān)信息。同時(shí)，各級(jí)基礎(chǔ)電信運(yùn)營(yíng)企業(yè)也只接受有電信主管部門參與的針對(duì)通信網(wǎng)絡(luò)的信息安全等級(jí)保護(hù)檢查。

另外，我們還要注意到，通信行業(yè)內(nèi)不具備全程全網(wǎng)性質(zhì)的信息系統(tǒng)，如本地網(wǎng)站、管理和辦公系統(tǒng)，仍然要按照《信息安全等級(jí)保護(hù)管理辦法》開展等保工作。上述系統(tǒng)的等保工作仍然要接受地方等保主管部門的監(jiān)督檢查。

4、結(jié)束語(yǔ)

近些年通信網(wǎng)絡(luò)安全防護(hù)工作的開展，為確保黨的十七大、北京奧運(yùn)會(huì)、國(guó)慶60周年和十八大等重要時(shí)期的通信網(wǎng)絡(luò)安全發(fā)揮了重要作用。2012年底，工業(yè)和信息化部與國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合印發(fā)了《關(guān)于開展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見》（工信部聯(lián)保〔2012〕551號(hào)）。繼而，工信部辦公廳印發(fā)了《2013年省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)和評(píng)分標(biāo)準(zhǔn)》（工信廳保〔2012〕247號(hào)），將通信網(wǎng)絡(luò)安全防護(hù)工作納入對(duì)基礎(chǔ)電信企業(yè)KPI考核指標(biāo)，將通信網(wǎng)絡(luò)安全防護(hù)工作提升到一個(gè)新的高度。

當(dāng)然，通信網(wǎng)絡(luò)安全防護(hù)工作是一項(xiàng)長(zhǎng)期、系統(tǒng)的基礎(chǔ)性工作，還有很多重點(diǎn)工作需要做：一是持續(xù)加強(qiáng)《辦法》和有關(guān)標(biāo)準(zhǔn)的宣貫，進(jìn)一步提高全行業(yè)的網(wǎng)絡(luò)安全意識(shí)和能力，增強(qiáng)做好網(wǎng)絡(luò)安全防護(hù)工作的責(zé)任感、緊迫感。二是加大網(wǎng)絡(luò)安全防護(hù)檢查力度，突出重點(diǎn)，在問題較集中的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行自查和抽查，督促排查隱患、堵塞漏洞、加強(qiáng)防護(hù)。三是繼續(xù)組織做好定級(jí)備案工作，逐步落實(shí)增值電信業(yè)務(wù)和互聯(lián)網(wǎng)域名服務(wù)的定級(jí)備案，全面推進(jìn)通信網(wǎng)絡(luò)安全防護(hù)工作。相信通過全行業(yè)的不懈努力，通信網(wǎng)絡(luò)的運(yùn)行會(huì)更加安全、穩(wěn)定。