工業和信息化部通信保障局負責人就
《通信網絡安全防護管理辦法》答記者問
隨著我國國民經濟和社會信息化的快速發展,經濟社會運行對通信網絡的依賴度不斷提高,包括公用電信網、公共互聯網在內的通信網絡已成為國家關鍵基礎設施,其全局性和戰略性地位日益突出。近年來,在全行業的共同努力下,通信網絡安全防護工作取得了明顯成效,有力地保障了北京奧運會、國慶60週年等國家重大活動的通信安全。與此同時,在通信網絡IP化、寬帶化、智慧化和融合演進過程中,也産生了多樣化的外部安全威脅,利用網絡攻擊、網絡病毒、黑客入侵等手段造成的網絡中斷、系統癱瘓、信息洩露、網頁篡改等安全事件頻發,網絡安全整體形勢日趨嚴峻。
工業和信息化部最近發佈了《通信網絡安全防護管理辦法》(工信部第11號令,以下簡稱《辦法》),旨在針對新情況新問題,進一步提高我國通信網絡安全保障整體水平,增強網絡安全事件預防保護能力,最大限度地減少重大網絡安全事件發生。為此,工業和信息化部通信保障局相關負責人近日接受了採訪,圍繞通信網絡安全防護的概念、適用範圍、工作制度和工作重點回答了記者的提問。
問:什麼是通信網絡安全防護?
答:通信網絡安全防護工作是指為防止通信網絡阻塞、中斷、癱瘓或被非法控制,以及通信網絡中傳輸、存儲、處理的數據信息丟失、洩露或被篡改等而開展的工作。
在工作方法上,綜合運用分級保護、風險評估、容災備份、安全監控等科學方法,在深入分析通信網絡可能面臨的各種威脅和風險的基礎上,通過事先落實有針對性的管理和技術防護措施,強化監督檢查,提高防範水平,盡可能減少重大安全事件的發生。
在工作範疇上,凡是可能影響電信業務經營者網絡和業務系統的正常運行,或可能影響數據的保密性、完整性、可用性的因素,都是通信網絡安全防護工作需要考慮和防範的。例如網絡攻擊、網絡病毒、黑客入侵、非法遠程控制,以及各種形式的物理破壞、自然災害等。其中,網絡攻擊、網絡病毒、黑客入侵、非法遠程控制問題,是互聯網發展和傳統網絡IP化、網絡融合過程中出現的新情況新問題。這類問題技術性強,防範難度大,目前電信業務經營者在這些方面的認識和工作基礎普遍較為薄弱,因此是通信網絡安全防護工作的重點。
問:《辦法》的適用範圍是什麼?
答:從管理針對的主體來説,適用於“電信業務經營者”和“互聯網域名服務提供者”。其中“電信業務經營者”不僅包含中國電信、中國移動、中國聯通等基礎電信業務經營者,而且包括眾多的ICP、IDC、SP等增值電信業務經營者;“互聯網域名服務提供者”不僅包括互聯網域名註冊管理和服務機構,而且包括目前社會上存在的專門為域名持有者提供權威解析服務的經營性或非經營性主體。從管理針對的客體來説,包括公用通信網、互聯網以及承載在公用通信網、互聯網上的電信業務系統和域名系統等的安全防護工作。從管理針對的行為來説,包括為防止通信網絡阻塞、中斷、癱瘓或被非法控制,以及為防止通信網絡中傳輸、存儲、處理的數據信息丟失、洩露或被篡改等所進行的相關活動。
問:《辦法》建立了哪些安全防護制度?
答:一是通信網絡單元的分級和備案制度。《辦法》規定通信網絡運行單位應當對本單位已正式投入運行的通信網絡進行單元劃分,並按照各通信網絡單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為五級。為便於電信管理機構掌握有關情況,通信網絡運行單位應當將通信網絡單元的劃分和定級情況向電信管理機構備案。
二是安全防護措施的符合性評測制度。為確保通信網絡單元安全防護措施落實到位,《辦法》規定通信網絡運行單位應當按照標準落實與通信網絡單元級別相適應的安全防護措施,並進行符合性評測。其中三級及三級以上通信網絡單元應當每年進行一次符合性評測,二級通信網絡單元應當每兩年進行一次符合性評測。
三是通信網絡安全風險評估制度。《辦法》規定通信網絡運行單位應當組織對通信網絡單元進行安全風險評估,及時發現並消除重大網絡安全隱患。其中三級及三級以上通信網絡單元應當每年進行一次安全風險評估,二級通信網絡單元應當每兩年進行一次安全風險評估。
四是通信網絡安全防護檢查制度。《辦法》規定電信管理機構要對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查,並明確了檢查工作方式和有關要求。
此外,《辦法》還對通信網絡運行單位開展容災備份、事件監測和演練等工作提出了明確要求。
問:基礎通信網絡規模龐大,按什麼規則劃分網絡單元?
答:基礎電信運營企業的通信網絡規模龐大、覆蓋全國、全程全網,通過統一的標準和接口實現不同專業網絡、不同地域網絡相互聯通和互操作。各基礎電信運營企業將其通信網絡按地域和專業進行劃分,由下屬機構分塊、分段、分專業進行管理。工業和信息化部之前發佈的《電信網和互聯網安全等級保護實施指南》規定了通信網絡單元的劃分原則和方法,主要按照網絡或系統的專業類型(如固定、移動、互聯網等)和服務地域(如省級、省內、本地等)進行劃分,確保網絡單元間的邊界清晰、管理責任主體分明。
問:工業和信息化部在通信網絡安全防護方面開展過哪些前期工作?
答:《辦法》是在充分總結前期工作經驗的基礎上研究制定的,《辦法》的出臺進一步增強了相關工作的系統性、規範性和科學性。為貫徹落實中央和國務院有關要求,2007年,印發了《關於進一步開展電信網絡安全防護工作的實施意見》(信部電[2007]555號),明確了有關工作思路、原則、方法和步驟。組織制定了通信網絡安全防護系列標準,于2008年正式發佈了32項標準,為指導和規範網絡運行單位開展防護工作和落實安全防護措施發揮了重要作用。自2006年起,每年組織開展一次全行業通信網絡安全大檢查和風險評估,督促整改發現的隱患,為確保十七大、北京奧運會和國慶60週年通信網絡安全發揮了重要作用。組織對基礎電信運營企業的網絡和系統進行定級備案,基本掌握了各基礎電信運營企業的網絡和系統數量、分佈情況,以及各個網絡和系統的主要功能、地位作用和責任主體。對國家頂級域名系統進行了定級備案。建設了通信網絡安全防護管理信息系統,實現通信網絡基本情況的網上報備,提高管理工作效率。
問:下一步貫徹落實《辦法》的工作重點是什麼?
答:貫徹落實《辦法》將是一項長期、系統的基礎性工作。結合近年有關工作情況,下一步,將重點圍繞以下方面繼續推進和深化通信網絡安全防護工作:一是加強《辦法》和有關標準的宣貫,進一步提高全行業的網絡安全意識和能力,增強做好網絡安全防護工作的責任感、緊迫感。二是加大網絡安全防護檢查力度,在2009年安全檢查的基礎上,進一步突出重點,組織對支撐系統、域名系統、網上營業廳、IDC等當前存在問題較多的網絡和系統進行自查與抽查,督促相關單位排查隱患、堵塞漏洞、加強防護。三是不斷完善安全防護標準體系,特別是針對新技術新業務和網絡融合出現的新情況新問題,如手機安全、3G安全、IPv6安全、雲計算安全、三網融合安全等,加強跟蹤研究,適時制訂和修訂相關安全防護標準。四是繼續組織做好網絡和系統的定級備案工作,逐步落實增值電信業務和互聯網域名服務的定級備案。五是指導督促電信業務經營者建設完善網絡安全監控手段,提高安全防護、監測預警和應急處置能力。
工業和信息化部政法司負責人解讀《通信網絡安全防護管理辦法》
1月21日,工業和信息化部發佈了《通信網絡安全防護管理辦法》(工業和信息化部令第11號)。工業和信息化部政策法規司副司長李國斌圍繞《辦法》出臺的有關背景、《辦法》的主要內容等問題接受了記者的專訪。
記者:工業和信息化部最近出臺了《通信網絡安全防護管理辦法》,請問出臺該規章的意義是什麼?
李國斌副司長:隨著我國通信業和信息化的發展,政治、經濟、文化和社會生活對通信網絡的依賴度越來越高,通信網絡已成為國家關鍵基礎設施。通信網絡一旦發生中斷、癱瘓或擁塞,或者其中傳輸、存儲、處理的數據信息丟失、洩露或被非法篡改,將對社會經濟生活造成嚴重影響。制定《辦法》,完善通信網絡安全保障法律制度,有利於提高通信網絡安全防護能力和水平。此外,隨著信息通信技術的迅速發展,通信網絡加快向數字化、寬帶化和智慧化演進,通信網絡面臨的安全威脅日益多樣化,網絡攻擊、信息竊取等非傳統安全問題十分突出。相對於傳統安全問題,非傳統安全問題的隱蔽性更強,處置工作和技術要求更高。結合信息通信技術發展的特點制定《辦法》,建立通信網絡分級、備案、安全風險評估等制度,有利於應對非傳統安全威脅。
記者:您能否簡單介紹一下《辦法》的制定過程?
李國斌副司長:2009年6月,工業和信息化部通信保障局完成《辦法(送審稿)》並送部政法司審查。部政法司對《辦法(送審稿)》進行審查、完善後,徵求了部內相關司局和各省通信管理局的意見。為保證《辦法》的科學性,我們還通過部外網網站向社會公開徵求了意見。從意見反饋情況看,各方對《辦法》擬設立的各項制度沒有原則性不同意見。部分通信管理局就《辦法》的可操作性以及制度的合理性等方面提出了一些建議和意見,例如,是否由地方管局組織專家對網絡單元進行評審、增值電信業務經營者適用等問題。為此, 2009年11月,部政法司組織召開了由部分通信管理局參加的座談會,就《辦法》的可操作性、制度的合理性等問題進行了進一步研究,並充分研究和吸收了各方面的意見。2009年12月29日,部第八次部務會議審議通過了《辦法(草案)》。2010年1月21日,部公佈了《辦法》。
記者:《辦法》對加強對通信網絡安全的管理,提高通信網絡安全防護能力,保障通信網絡安全暢通具有重要的意義。您能否介紹一下《辦法》主要建立了哪些制度?
李國斌副司長:《辦法》圍繞通信網絡安全防護管理工作,主要建立了如下制度:
一是確立了通信網絡單元的分級保護制度,規定通信網絡運行單位應當對本單位已正式投入運行的通信網絡進行單元劃分,並按照各通信網絡單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度等因素,由低到高分別劃分為五級。為保證分級的科學性,《辦法》規定:通信網絡運行單位應當組織專家對通信網絡單元的分級情況進行評審。與此同時,《辦法》還規定通信網絡運行單位應當將通信網絡單元的劃分和定級情況向電信管理機構備案。為保證備案工作的可操作性,《辦法》進一步明確了備案的內容和核查程序。
二是建立了符合性評測制度,規定通信網絡運行單位應當落實與通信網絡單元級別相適應的安全防護措施,並進行符合性評測。《辦法》規定:三級及三級以上通信網絡單元應當每年進行一次符合性評測,二級通信網絡單元應當每兩年進行一次符合性評測。
三是建立了安全風險評估制度,規定通信網絡運行單位應當組織對通信網絡單元進行安全風險評估,及時消除重大網絡安全隱患。《辦法》規定:三級及三級以上通信網絡單元應當每年進行一次安全風險評估,二級通信網絡單元應當每兩年進行一次安全風險評估。
四是建立了通信網絡安全防護檢查制度,規定電信管理機構對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。《辦法》對檢查方式進行了明確,並規定:電信管理機構進行檢查,不得影響通信網絡的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他産品;電信管理機構及其委託的專業機構的工作人員對於檢查工作中獲悉的國家秘密、商業秘密、技術秘密和個人隱私,有保密的義務。