工業(yè)和信息化部電信研究院 孟楠

隨著新技術(shù)、新應(yīng)用、新服務(wù)的不斷涌現(xiàn)，信息網(wǎng)絡(luò)技術(shù)在國民經(jīng)濟(jì)各行業(yè)的廣泛運(yùn)用，網(wǎng)絡(luò)安全面臨更加復(fù)雜隱蔽和更具破壞力的威脅。為有效應(yīng)對日益嚴(yán)峻的新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，工業(yè)和信息化部通信保障局深入推進(jìn)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作體系建設(shè)，強(qiáng)化新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全管理，不斷提升保障能力與工作水平。

作為承擔(dān)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與信息安全管理的司局，通信保障局已初步建立了涵蓋網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)安全應(yīng)急、網(wǎng)絡(luò)安全威脅治理和網(wǎng)絡(luò)安全保障為主線的行業(yè)網(wǎng)絡(luò)安全管理工作體系。

強(qiáng)化政策標(biāo)準(zhǔn)建設(shè)

(1)制定印發(fā)《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》

有效應(yīng)對日益嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，切實(shí)加強(qiáng)和改進(jìn)網(wǎng)絡(luò)安全工作，進(jìn)一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全保障能力和水平， 2014年8月，工信部制定印發(fā)《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》（工信部保〔2014〕368號），明確新形勢下行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)思想、原則、目標(biāo)和重點(diǎn)任務(wù)?！兑庖姟饭卜譃榭傮w要求、工作重點(diǎn)和保障措施三大部分。內(nèi)容上充分考慮了中央網(wǎng)信辦在網(wǎng)絡(luò)安全工作方面的要求，工信部現(xiàn)行規(guī)章制度和管理機(jī)制，總結(jié)現(xiàn)有工作經(jīng)驗(yàn)，緊密結(jié)合新形勢下的突出問題，全面考慮電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的迫切需求，在繼承已有政策機(jī)制的基礎(chǔ)上開拓創(chuàng)新，完善了覆蓋事前、事中、事后的網(wǎng)絡(luò)安全管理體系。

除原有重點(diǎn)工作外，《意見》又對網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護(hù)、新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全管理、移動互聯(lián)網(wǎng)應(yīng)用程序安全管理、網(wǎng)絡(luò)安全監(jiān)管和行業(yè)自律等新形勢下的重點(diǎn)工作明確了工作目標(biāo)和任務(wù)，提出了新的工作措施，特別是建立健全大規(guī)模用戶信息泄露事件的應(yīng)急處置機(jī)制，將新業(yè)務(wù)以及利用新技術(shù)提供公共電信服務(wù)和互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)納入通信網(wǎng)絡(luò)安全防護(hù)管理體系，積極推動建立移動應(yīng)用程序開發(fā)者第三方數(shù)字證書簽名驗(yàn)證機(jī)制以及建立健全社會監(jiān)督舉報(bào)機(jī)制等。

（2）通信網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)

目前，網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)總體框架、云計(jì)算、移動互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系等頂層設(shè)計(jì)已基本完成，已陸續(xù)出臺近百項(xiàng)行業(yè)安全管理密切相關(guān)的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)，有效促進(jìn)了我國通信行業(yè)安全工作規(guī)范長效開展。

工業(yè)和信息化部已發(fā)布150項(xiàng)網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)，覆蓋了基礎(chǔ)和增值電信企業(yè)，涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、終端等多個(gè)方面。其中安全體系類標(biāo)準(zhǔn)26項(xiàng)，安全防護(hù)類標(biāo)準(zhǔn)47項(xiàng)，設(shè)備安全類標(biāo)準(zhǔn)27項(xiàng)，安全服務(wù)類標(biāo)準(zhǔn)6項(xiàng)，協(xié)議安全類標(biāo)準(zhǔn)16項(xiàng)，移動互聯(lián)網(wǎng)安全類標(biāo)準(zhǔn)7項(xiàng)以及其他標(biāo)準(zhǔn)21項(xiàng)。

隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展，通信行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系也在不斷完善。目前在研標(biāo)準(zhǔn)（已立項(xiàng)，但未正式發(fā)布）包括云計(jì)算安全類、移動互聯(lián)網(wǎng)安全類、物聯(lián)網(wǎng)安全類等相關(guān)標(biāo)準(zhǔn)共266項(xiàng)。

2014年新技術(shù)新業(yè)務(wù)安全重點(diǎn)工作

（1）公共云服務(wù)網(wǎng)絡(luò)安全防護(hù)檢查

隨著云計(jì)算技術(shù)的發(fā)展與普及，公有云逐漸成為國家基礎(chǔ)網(wǎng)絡(luò)設(shè)施的一部分，為及時(shí)引導(dǎo)公有云健康發(fā)展，指導(dǎo)公有云服務(wù)商加強(qiáng)安全防護(hù)，工信部通信保障局依據(jù)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》和《工業(yè)和信息化部關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》，于2014年9月至11月，對37家公共云服務(wù)企業(yè)開展了網(wǎng)絡(luò)安全防護(hù)檢查，基本涵蓋了基礎(chǔ)電信企業(yè)和主要增值電信企業(yè)的公共云服務(wù)平臺。本次檢查，通過制定檢查方案及檢查表格、現(xiàn)場技術(shù)檢測與遠(yuǎn)程背對背技術(shù)滲透測試等工作，掌握了公有云平臺的安全防護(hù)措施的實(shí)際效果，督促企業(yè)及時(shí)消除大量安全隱患。

（2）移動互聯(lián)網(wǎng)應(yīng)用專項(xiàng)行動

移動互聯(lián)網(wǎng)惡意程序具有惡意扣費(fèi)、竊聽監(jiān)控、流量消耗、竊取信息等惡意行為，嚴(yán)重?fù)p害人民群眾切身利益，危害網(wǎng)絡(luò)安全。為凈化移動互聯(lián)網(wǎng)環(huán)境，維護(hù)互聯(lián)網(wǎng)健康有序發(fā)展，保護(hù)網(wǎng)民合法權(quán)益，工信部聯(lián)合公安部、工商總局，于2014年4月到9月在全國范圍組織開展了打擊治理移動互聯(lián)網(wǎng)惡意程序?qū)ｍ?xiàng)行動。專項(xiàng)行動按照標(biāo)本兼治、源頭治理的工作思路，緊抓應(yīng)用商店管理、應(yīng)用程序開發(fā)、終端預(yù)裝、惡意程序監(jiān)測處置、網(wǎng)絡(luò)犯罪行為打擊、用戶安全宣傳等六個(gè)關(guān)鍵環(huán)節(jié)的管理，多措并舉，取得了顯著成效，具體成效包括：

1）緊抓源頭管理，應(yīng)用程序開發(fā)、終端預(yù)裝應(yīng)用程序行為得到進(jìn)一步規(guī)范。緊抓“軟硬”兩個(gè)源頭，開展應(yīng)用程序開發(fā)者簽名試點(diǎn)，加大終端預(yù)裝應(yīng)用程序進(jìn)網(wǎng)和證后監(jiān)督管理力度。一是應(yīng)用程序開發(fā)者第三方證書簽名試點(diǎn)工作取得初步成效。為實(shí)現(xiàn)移動應(yīng)用程序的防篡改和可溯源，保護(hù)用戶和原始開發(fā)者的合法權(quán)益，工信部通信保障局指導(dǎo)中國互聯(lián)網(wǎng)協(xié)會反網(wǎng)絡(luò)病毒聯(lián)盟、電信終端測試技術(shù)協(xié)會、電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟等開展移動互聯(lián)網(wǎng)應(yīng)用程序開發(fā)者第三方數(shù)字證書簽名與驗(yàn)證試點(diǎn)工作，選取了6家電子認(rèn)證服務(wù)機(jī)構(gòu)、12家應(yīng)用商店、5家手機(jī)安全軟件廠商以及5家手機(jī)終端生產(chǎn)企業(yè)參與試點(diǎn)工作。研究制定了相關(guān)試點(diǎn)技術(shù)規(guī)范，百度手機(jī)助手、360手機(jī)助手、移動MM商城、聯(lián)通沃商店等知名應(yīng)用商店已經(jīng)實(shí)現(xiàn)了對上架試點(diǎn)應(yīng)用程序的簽名驗(yàn)證和標(biāo)識功能，數(shù)十款經(jīng)過第三方數(shù)字證書簽名的應(yīng)用程序在參與試點(diǎn)的應(yīng)用商店上架并標(biāo)識。二是規(guī)范銷售流通環(huán)節(jié)預(yù)裝應(yīng)用程序行為。吉林、江蘇、廣東等13個(gè)省通信管理局協(xié)同當(dāng)?shù)毓ど滩块T，對基礎(chǔ)電信運(yùn)營企業(yè)的營業(yè)廳、社會終端銷售點(diǎn)開展了智能終端預(yù)裝應(yīng)用程序現(xiàn)場檢查工作，檢查終端銷售點(diǎn)60個(gè)，發(fā)現(xiàn)預(yù)裝惡意程序案例3起，并要求相關(guān)企業(yè)進(jìn)行整改。

2）緊抓網(wǎng)絡(luò)傳播渠道管理，應(yīng)用商店網(wǎng)絡(luò)安全責(zé)任得到進(jìn)一步明確并落實(shí)。應(yīng)用商店是應(yīng)用程序的主要傳播渠道。為遏制惡意應(yīng)用程序傳播，根據(jù)應(yīng)用商店網(wǎng)絡(luò)安全責(zé)任指南，通過宣貫培訓(xùn)、監(jiān)督檢查等方式，明確并督促應(yīng)用商店落實(shí)網(wǎng)絡(luò)安全責(zé)任。一是開展應(yīng)用商店安全監(jiān)督檢查。通過對應(yīng)用商店開展宣傳教育和監(jiān)督檢查，開辦主體主動關(guān)?；虮O(jiān)管部門依法關(guān)停未備案等應(yīng)用商店283家。廣東、福建、山東等15個(gè)通信管理局對43家較大規(guī)模的應(yīng)用商店進(jìn)行了現(xiàn)場檢查，并要求其中4家存在突出安全問題的應(yīng)用商店進(jìn)行整改。二是開展應(yīng)用商店上架應(yīng)用程序安全檢測。江西、福建、遼寧等17個(gè)通信管理局對106家應(yīng)用商店中的近520萬個(gè)應(yīng)用程序進(jìn)行了安全檢測，發(fā)現(xiàn)惡意程序10458個(gè)，并通知應(yīng)用商店下架惡意程序。在通信管理局檢測的基礎(chǔ)上，工信部通信保障局又組織專業(yè)機(jī)構(gòu)對全國135家應(yīng)用商店上架應(yīng)用程序進(jìn)行遠(yuǎn)程抽測，共檢測近483萬個(gè)應(yīng)用程序，發(fā)現(xiàn)惡意程序8520個(gè)，其中經(jīng)人工判定存在手機(jī)竊聽、惡意扣費(fèi)等嚴(yán)重惡意行為的應(yīng)用程序99個(gè)，已由通信管理局通知相關(guān)應(yīng)用商店予以下架處置。通過以上工作，應(yīng)用商店對上架應(yīng)用程序的安全管理狀況得到明顯改善，專項(xiàng)行動后期在應(yīng)用商店中檢測發(fā)現(xiàn)的惡意程序數(shù)量占所有上架應(yīng)用程序數(shù)量的比例為0.2%，遠(yuǎn)遠(yuǎn)小于2013年同期的4%。

3）強(qiáng)化惡意程序監(jiān)測處置，網(wǎng)絡(luò)環(huán)境得到有效凈化。加強(qiáng)惡意程序監(jiān)測處置力度，切斷惡意程序利益鏈條。一是指導(dǎo)督促CNCERT、三家基礎(chǔ)電信運(yùn)營企業(yè)加強(qiáng)移動惡意程序監(jiān)測與處置技術(shù)手段建設(shè)。二是加大移動惡意程序監(jiān)測處置力度。專項(xiàng)行動期間，網(wǎng)絡(luò)側(cè)監(jiān)測發(fā)現(xiàn)惡意程序2.42萬個(gè)，涉及惡意程序傳播服務(wù)器、控制服務(wù)器相關(guān)鏈接1.59萬個(gè)，協(xié)調(diào)運(yùn)營商、域名解析服務(wù)商等處置具有嚴(yán)重危害影響的鏈接10105個(gè)。三是發(fā)揮中國互聯(lián)網(wǎng)協(xié)會等行業(yè)協(xié)會組織作用，強(qiáng)化行業(yè)自律，初步建立移動應(yīng)用程序公眾舉報(bào)和黑白名單機(jī)制，發(fā)布共享應(yīng)用程序和惡意地址黑名單4078條，將12家企業(yè)納入白名單，接受有關(guān)惡意程序的公眾舉報(bào)160多萬件次，涉及應(yīng)用程序15萬個(gè)，其中確認(rèn)惡意程序7300個(gè)。通過集中治理，專項(xiàng)行動期間網(wǎng)上移動惡意程序數(shù)量明顯較少，較2013年同期下降56%，移動互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境得到有效凈化。

（3）推進(jìn)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估

工信部門還深入推進(jìn)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估，針對重點(diǎn)企業(yè)和重點(diǎn)業(yè)務(wù)實(shí)施動態(tài)監(jiān)測評估，開展“三網(wǎng)融合”試點(diǎn)推廣、移動轉(zhuǎn)售試點(diǎn)業(yè)務(wù)許可等安全評估工作，目前共對24個(gè)省份的70余項(xiàng)三網(wǎng)融合試點(diǎn)業(yè)務(wù)開展網(wǎng)絡(luò)安全審查。