工信部就《通信網(wǎng)絡安全防護管理辦法》答記者問
2010/02/05
隨著我國國民經(jīng)濟和社會信息化的快速發(fā)展��,經(jīng)濟社會運行對通信網(wǎng)絡的依賴度不斷提高�����,包括公用電信網(wǎng)、公共互聯(lián)網(wǎng)在內的通信網(wǎng)絡已成為國家關鍵基礎設施��,其全局性和戰(zhàn)略性地位日益突出�。近年來,在全行業(yè)的共同努力下�,通信網(wǎng)絡安全防護工作取得了明顯成效����,有力地保障了北京奧運會、國慶60周年等國家重大活動的通信安全��。與此同時�,在通信網(wǎng)絡IP化、寬帶化�、智能化和融合演進過程中,也產(chǎn)生了多樣化的外部安全威脅����,利用網(wǎng)絡攻擊、網(wǎng)絡病毒�、黑客入侵等手段造成的網(wǎng)絡中斷、系統(tǒng)癱瘓����、信息泄露����、網(wǎng)頁篡改等安全事件頻發(fā)�����,網(wǎng)絡安全整體形勢日趨嚴峻�����。
工業(yè)和信息化部最近發(fā)布了《通信網(wǎng)絡安全防護管理辦法》(工信部第11號令���,以下簡稱《辦法》)�,旨在針對新情況新問題��,進一步提高我國通信網(wǎng)絡安全保障整體水平�����,增強網(wǎng)絡安全事件預防保護能力����,最大限度地減少重大網(wǎng)絡安全事件發(fā)生。為此,工業(yè)和信息化部通信保障局相關負責人近日接受了采訪�,圍繞通信網(wǎng)絡安全防護的概念、適用范圍�、工作制度和工作重點回答了記者的提問。
問:什么是通信網(wǎng)絡安全防護�����?
答:通信網(wǎng)絡安全防護工作是指為防止通信網(wǎng)絡阻塞�����、中斷��、癱瘓或被非法控制���,以及通信網(wǎng)絡中傳輸、存儲����、處理的數(shù)據(jù)信息丟失、泄露或被篡改等而開展的工作���。
在工作方法上��,綜合運用分級保護�、風險評估、容災備份��、安全監(jiān)控等科學方法�,在深入分析通信網(wǎng)絡可能面臨的各種威脅和風險的基礎上,通過事先落實有針對性的管理和技術防護措施��,強化監(jiān)督檢查����,提高防范水平,盡可能減少重大安全事件的發(fā)生��。
在工作范疇上�����,凡是可能影響電信業(yè)務經(jīng)營者網(wǎng)絡和業(yè)務系統(tǒng)的正常運行����,或可能影響數(shù)據(jù)的保密性、完整性���、可用性的因素,都是通信網(wǎng)絡安全防護工作需要考慮和防范的�����。例如網(wǎng)絡攻擊�����、網(wǎng)絡病毒��、黑客入侵�、非法遠程控制,以及各種形式的物理破壞��、自然災害等����。其中��,網(wǎng)絡攻擊���、網(wǎng)絡病毒�、黑客入侵�����、非法遠程控制問題,是互聯(lián)網(wǎng)發(fā)展和傳統(tǒng)網(wǎng)絡IP化�、網(wǎng)絡融合過程中出現(xiàn)的新情況新問題。這類問題技術性強�,防范難度大,目前電信業(yè)務經(jīng)營者在這些方面的認識和工作基礎普遍較為薄弱�����,因此是通信網(wǎng)絡安全防護工作的重點��。
問:《辦法》的適用范圍是什么��?
答:從管理針對的主體來說���,適用于“電信業(yè)務經(jīng)營者”和“互聯(lián)網(wǎng)域名服務提供者”���。其中“電信業(yè)務經(jīng)營者”不僅包含中國電信、中國移動����、中國聯(lián)通等基礎電信業(yè)務經(jīng)營者,而且包括眾多的ICP�����、IDC、SP等增值電信業(yè)務經(jīng)營者����;“互聯(lián)網(wǎng)域名服務提供者”不僅包括互聯(lián)網(wǎng)域名注冊管理和服務機構,而且包括目前社會上存在的專門為域名持有者提供權威解析服務的經(jīng)營性或非經(jīng)營性主體��。從管理針對的客體來說�����,包括公用通信網(wǎng)�����、互聯(lián)網(wǎng)以及承載在公用通信網(wǎng)�����、互聯(lián)網(wǎng)上的電信業(yè)務系統(tǒng)和域名系統(tǒng)等的安全防護工作���。從管理針對的行為來說,包括為防止通信網(wǎng)絡阻塞�����、中斷、癱瘓或被非法控制�,以及為防止通信網(wǎng)絡中傳輸、存儲����、處理的數(shù)據(jù)信息丟失、泄露或被篡改等所進行的相關活動��。
問:《辦法》建立了哪些安全防護制度����?
答:一是通信網(wǎng)絡單元的分級和備案制度�!掇k法》規(guī)定通信網(wǎng)絡運行單位應當對本單位已正式投入運行的通信網(wǎng)絡進行單元劃分,并按照各通信網(wǎng)絡單元遭到破壞后可能對國家安全�����、經(jīng)濟運行�����、社會秩序���、公眾利益的危害程度��,由低到高分別劃分為五級�����。為便于電信管理機構掌握有關情況��,通信網(wǎng)絡運行單位應當將通信網(wǎng)絡單元的劃分和定級情況向電信管理機構備案���。
二是安全防護措施的符合性評測制度�。為確保通信網(wǎng)絡單元安全防護措施落實到位�����,《辦法》規(guī)定通信網(wǎng)絡運行單位應當按照標準落實與通信網(wǎng)絡單元級別相適應的安全防護措施�,并進行符合性評測。其中三級及三級以上通信網(wǎng)絡單元應當每年進行一次符合性評測��,二級通信網(wǎng)絡單元應當每兩年進行一次符合性評測�����。
三是通信網(wǎng)絡安全風險評估制度������!掇k法》規(guī)定通信網(wǎng)絡運行單位應當組織對通信網(wǎng)絡單元進行安全風險評估,及時發(fā)現(xiàn)并消除重大網(wǎng)絡安全隱患����。其中三級及三級以上通信網(wǎng)絡單元應當每年進行一次安全風險評估,二級通信網(wǎng)絡單元應當每兩年進行一次安全風險評估��。
四是通信網(wǎng)絡安全防護檢查制度�������!掇k法》規(guī)定電信管理機構要對通信網(wǎng)絡運行單位開展通信網(wǎng)絡安全防護工作的情況進行檢查�,并明確了檢查工作方式和有關要求。
此外�����,《辦法》還對通信網(wǎng)絡運行單位開展容災備份��、事件監(jiān)測和演練等工作提出了明確要求�。
問:基礎通信網(wǎng)絡規(guī)模龐大,按什么規(guī)則劃分網(wǎng)絡單元?
答:基礎電信運營企業(yè)的通信網(wǎng)絡規(guī)模龐大�、覆蓋全國、全程全網(wǎng)�����,通過統(tǒng)一的標準和接口實現(xiàn)不同專業(yè)網(wǎng)絡�、不同地域網(wǎng)絡相互聯(lián)通和互操作。各基礎電信運營企業(yè)將其通信網(wǎng)絡按地域和專業(yè)進行劃分��,由下屬機構分塊�����、分段��、分專業(yè)進行管理����。工業(yè)和信息化部之前發(fā)布的《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》規(guī)定了通信網(wǎng)絡單元的劃分原則和方法,主要按照網(wǎng)絡或系統(tǒng)的專業(yè)類型(如固定���、移動����、互聯(lián)網(wǎng)等)和服務地域(如省級、省內����、本地等)進行劃分�,確保網(wǎng)絡單元間的邊界清晰、管理責任主體分明����。
問:工業(yè)和信息化部在通信網(wǎng)絡安全防護方面開展過哪些前期工作?
答:《辦法》是在充分總結前期工作經(jīng)驗的基礎上研究制定的����,《辦法》的出臺進一步增強了相關工作的系統(tǒng)性、規(guī)范性和科學性�����。為貫徹落實中央和國務院有關要求�����,2007年�����,印發(fā)了《關于進一步開展電信網(wǎng)絡安全防護工作的實施意見》(信部電[2007]555號),明確了有關工作思路����、原則、方法和步驟��。組織制定了通信網(wǎng)絡安全防護系列標準����,于2008年正式發(fā)布了32項標準,為指導和規(guī)范網(wǎng)絡運行單位開展防護工作和落實安全防護措施發(fā)揮了重要作用�����。自2006年起���,每年組織開展一次全行業(yè)通信網(wǎng)絡安全大檢查和風險評估��,督促整改發(fā)現(xiàn)的隱患�����,為確保十七大����、北京奧運會和國慶60周年通信網(wǎng)絡安全發(fā)揮了重要作用。組織對基礎電信運營企業(yè)的網(wǎng)絡和系統(tǒng)進行定級備案��,基本掌握了各基礎電信運營企業(yè)的網(wǎng)絡和系統(tǒng)數(shù)量����、分布情況,以及各個網(wǎng)絡和系統(tǒng)的主要功能����、地位作用和責任主體����。對國家頂級域名系統(tǒng)進行了定級備案。建設了通信網(wǎng)絡安全防護管理信息系統(tǒng)���,實現(xiàn)通信網(wǎng)絡基本情況的網(wǎng)上報備�,提高管理工作效率���。
問:下一步貫徹落實《辦法》的工作重點是什么�?
答:貫徹落實《辦法》將是一項長期����、系統(tǒng)的基礎性工作�。結合近年有關工作情況�,下一步,將重點圍繞以下方面繼續(xù)推進和深化通信網(wǎng)絡安全防護工作:一是加強《辦法》和有關標準的宣貫��,進一步提高全行業(yè)的網(wǎng)絡安全意識和能力�,增強做好網(wǎng)絡安全防護工作的責任感、緊迫感����。二是加大網(wǎng)絡安全防護檢查力度,在2009年安全檢查的基礎上��,進一步突出重點�����,組織對支撐系統(tǒng)����、域名系統(tǒng)、網(wǎng)上營業(yè)廳���、IDC等當前存在問題較多的網(wǎng)絡和系統(tǒng)進行自查與抽查�,督促相關單位排查隱患���、堵塞漏洞����、加強防護。三是不斷完善安全防護標準體系���,特別是針對新技術新業(yè)務和網(wǎng)絡融合出現(xiàn)的新情況新問題�,如手機安全��、3G安全��、IPv6安全�����、云計算安全�、三網(wǎng)融合安全等����,加強跟蹤研究,適時制訂和修訂相關安全防護標準����。四是繼續(xù)組織做好網(wǎng)絡和系統(tǒng)的定級備案工作����,逐步落實增值電信業(yè)務和互聯(lián)網(wǎng)域名服務的定級備案����。五是指導督促電信業(yè)務經(jīng)營者建設完善網(wǎng)絡安全監(jiān)控手段,提高安全防護���、監(jiān)測預警和應急處置能力���。
通信保障局
相關閱讀: