◆唐 蓉

(中國(guó)電信股份有限公司重慶分公司 重慶 401121)

淺談通信運(yùn)營(yíng)商的關(guān)鍵信息基礎(chǔ)設(shè)施保障對(duì)策

◆唐 蓉

(中國(guó)電信股份有限公司重慶分公司 重慶 401121)

《網(wǎng)絡(luò)安全法》的頒布進(jìn)一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施已成為國(guó)家安全戰(zhàn)略重點(diǎn)，通信行業(yè)作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施之一，其網(wǎng)絡(luò)與信息安全的內(nèi)涵和外延已發(fā)生了很大變化，面臨著前所未有的挑戰(zhàn)和威脅，故通信運(yùn)營(yíng)商亟需構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保障體系，加強(qiáng)主題責(zé)任義務(wù)，完善安全風(fēng)險(xiǎn)評(píng)估機(jī)制，落實(shí)技術(shù)手段，完善應(yīng)急處置能力以及安全意識(shí)教育和人才培養(yǎng)。

網(wǎng)絡(luò)安全法關(guān)鍵信息基礎(chǔ)設(shè)施；網(wǎng)絡(luò)信息安全；保障對(duì)策

0 引言

2016年11月，第十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò)并將于2017年6月1日起實(shí)施的《網(wǎng)絡(luò)安全法》中明確，國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其它一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)，所以公共通信和信息服務(wù)是具有關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域之一，國(guó)家對(duì)其實(shí)行重點(diǎn)保護(hù)，通信運(yùn)營(yíng)商作為其建設(shè)者、管理者、運(yùn)營(yíng)者，具有依法保護(hù)的職責(zé)和義務(wù)。

1 通信運(yùn)營(yíng)商保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的必要性

1.1 網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻

2013年發(fā)生的“棱鏡門”事件告知世界，我們正在面對(duì)一個(gè)復(fù)雜而又嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境，每天都在上演網(wǎng)絡(luò)DDoS攻擊大戰(zhàn)，網(wǎng)絡(luò)空間已成為傳統(tǒng)空間之外的第五戰(zhàn)場(chǎng)，網(wǎng)絡(luò)空間的對(duì)抗已上升到國(guó)家對(duì)抗的層面。國(guó)際上，數(shù)十個(gè)國(guó)家已頒布網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略。我國(guó)也不例外，在2013年11月成立“中國(guó)共產(chǎn)黨中央國(guó)家安全委員會(huì)”，明確信息安全是國(guó)家安全體系的重要組成部分，又在2014年2月成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問(wèn)題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略。通信運(yùn)營(yíng)商作為國(guó)資委管轄的國(guó)資控股企業(yè)，是國(guó)有大型基礎(chǔ)電信設(shè)施的建設(shè)者、提供者、運(yùn)營(yíng)者，所建設(shè)和運(yùn)營(yíng)的公共通信和信息服務(wù)網(wǎng)絡(luò)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之中，容易遭到重點(diǎn)攻擊，所以通信運(yùn)營(yíng)商必須要做好關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)與信息安全保護(hù)。

1.2 新技術(shù)新業(yè)務(wù)的發(fā)展形成“雙刃劍”

近年來(lái)隨著通信運(yùn)營(yíng)商互聯(lián)網(wǎng)化、戰(zhàn)略轉(zhuǎn)型的深入推進(jìn)，新興業(yè)務(wù)快速發(fā)展，網(wǎng)絡(luò)演進(jìn)的趨勢(shì)越來(lái)越快，從3G到4G的商用，從撥號(hào)上網(wǎng)到百兆光纖入戶也不過(guò)才短短幾年的時(shí)間?？焖侔l(fā)展的網(wǎng)絡(luò)和技術(shù)給大家?guī)?lái)工作、學(xué)習(xí)、生活便利的同時(shí)，網(wǎng)絡(luò)詐騙、用戶信息泄露、網(wǎng)絡(luò)攻擊、數(shù)據(jù)被截取篡改等問(wèn)題也接踵而至，給通信網(wǎng)絡(luò)的安全帶來(lái)了新的挑戰(zhàn)。

隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的成熟和商用，通信網(wǎng)絡(luò)也逐漸向集約化、云化、融合的趨勢(shì)演進(jìn)，信息化對(duì)通信網(wǎng)絡(luò)的影響越來(lái)越深。但信息化在促進(jìn)通信網(wǎng)絡(luò)發(fā)展的同時(shí)，打破了傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)措施的壁壘，帶來(lái)新的網(wǎng)絡(luò)安全問(wèn)題和風(fēng)險(xiǎn)。而目前熱門的互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)等領(lǐng)域的發(fā)展，必然將帶動(dòng)大量的智能設(shè)備、數(shù)據(jù)信息等連入通信網(wǎng)中，形成一個(gè)全新的公共通信網(wǎng)。但這些接入設(shè)備自身存在的安全防護(hù)缺陷，也會(huì)給承載的通信網(wǎng)帶來(lái)較大的安全隱患。

綜上情況說(shuō)明新技術(shù)、新業(yè)務(wù)和新環(huán)境的發(fā)展形成了一把“雙刃劍”，使得通信網(wǎng)絡(luò)作為基礎(chǔ)連接的網(wǎng)絡(luò)，將面臨網(wǎng)絡(luò)與信息安全方面的嚴(yán)峻挑戰(zhàn)和威脅。通信運(yùn)營(yíng)商必須要直面這些問(wèn)題，在企業(yè)經(jīng)營(yíng)過(guò)程中擔(dān)負(fù)起社會(huì)責(zé)任，營(yíng)造一個(gè)健康有序的網(wǎng)絡(luò)空間。

1.3 保障和促進(jìn)企業(yè)自身的發(fā)展

2008年，信息產(chǎn)業(yè)部組織各通信運(yùn)營(yíng)商，按照《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》等級(jí)保護(hù)的規(guī)定開展全網(wǎng)范圍的通信網(wǎng)絡(luò)單元的定級(jí)和備案等工作。2010年工業(yè)和信息化部發(fā)布了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》即簡(jiǎn)稱的11號(hào)令，規(guī)定了網(wǎng)絡(luò)安全保障設(shè)施“三同步”的建設(shè)要求以及開展二級(jí)及以上網(wǎng)絡(luò)單元符合性測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估的工作。從2011年開始，工業(yè)和信息化部每年組織一次對(duì)通信運(yùn)營(yíng)商定級(jí)網(wǎng)絡(luò)單元的網(wǎng)絡(luò)安全防護(hù)檢查，從2013年開始，工業(yè)和信息化部又把網(wǎng)絡(luò)安全工作納入通信運(yùn)營(yíng)商負(fù)責(zé)人的年度績(jī)效考核中。直到2016年《網(wǎng)絡(luò)安全法》頒布后，網(wǎng)信部門隨即開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全檢查。網(wǎng)絡(luò)安全工作逐漸被通信運(yùn)營(yíng)商重視，并根據(jù)等級(jí)保護(hù)、11號(hào)令的要求開展針對(duì)公共通信網(wǎng)的安全防護(hù)工作，初步建立起公共通信網(wǎng)絡(luò)的安全防護(hù)體系，加強(qiáng)了對(duì)公用通信網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的能力。但要具備防護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力，還有很長(zhǎng)的路要走。

現(xiàn)階段，通信運(yùn)營(yíng)商的網(wǎng)絡(luò)安全防護(hù)工作，忽視了其在企業(yè)自身發(fā)展方面的戰(zhàn)略地位。在管理措施方面，組織機(jī)構(gòu)存在信息安全、網(wǎng)絡(luò)安全、用戶信息保護(hù)、重要數(shù)據(jù)保護(hù)、業(yè)務(wù)風(fēng)險(xiǎn)管理分屬在不同的職能部門管理，造成條塊分隔，難以形成合力，難以建立以風(fēng)險(xiǎn)管理為核心的安全管理流程，缺少專職的企業(yè)網(wǎng)絡(luò)安全負(fù)責(zé)人全面統(tǒng)籌開展企業(yè)的安全工作。

導(dǎo)致網(wǎng)絡(luò)安全工作頂層設(shè)計(jì)和總體規(guī)劃不足，策略體系交錯(cuò)復(fù)雜，職責(zé)分散等問(wèn)題。在技術(shù)防護(hù)手段方面，通信運(yùn)營(yíng)商已經(jīng)建設(shè)了如IDS、IPS、流量清洗、僵木蠕監(jiān)測(cè)等系統(tǒng)，對(duì)于某一個(gè)點(diǎn)的防護(hù)能夠起到很好的防護(hù)作用，但是遇到如 APT的攻擊，很難做到對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的全面監(jiān)測(cè)和總體安全態(tài)勢(shì)感知，難以實(shí)現(xiàn)關(guān)聯(lián)分析聯(lián)合對(duì)抗。另外，對(duì)于大數(shù)據(jù)安全防護(hù)、云環(huán)境安全防護(hù)方面還缺乏有效的防護(hù)手段，對(duì)于用戶信息和重要數(shù)據(jù)保護(hù)方面也還缺少防泄露的專業(yè)防護(hù)手段。而在安全培訓(xùn)和意識(shí)教育方面，還未建立一套成熟的網(wǎng)絡(luò)安全培訓(xùn)體系，對(duì)于安全崗位的人員還未完全普及持證上崗。

所以上述的諸多問(wèn)題導(dǎo)致企業(yè)不得不面對(duì)網(wǎng)絡(luò)信息安全事件帶來(lái)的影響，造成業(yè)務(wù)下線，系統(tǒng)關(guān)停，數(shù)據(jù)丟失，給國(guó)家和社會(huì)帶來(lái)嚴(yán)重的影響，給企業(yè)造成無(wú)法彌補(bǔ)的損失，影響了企業(yè)的發(fā)展，亟需采取措施為企業(yè)的發(fā)展保駕護(hù)航。

2 構(gòu)建通信運(yùn)營(yíng)商關(guān)鍵信息基礎(chǔ)設(shè)施保障策略的建議

雖然，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障建設(shè)起步較晚，但好在《網(wǎng)絡(luò)安全法》已頒布，有了法律的頂層設(shè)計(jì)，明確了各方的法律責(zé)任，確立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的戰(zhàn)略地位，搭建了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的制度框架。通信運(yùn)營(yíng)商作為其安全保障的重要角色之一，應(yīng)該從以下幾個(gè)方面實(shí)現(xiàn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保護(hù)：

2.1 明確保障的兩類對(duì)象

通信運(yùn)營(yíng)商的關(guān)鍵信息基礎(chǔ)設(shè)施剝離開來(lái)不外乎是構(gòu)成的網(wǎng)絡(luò)和承載的信息兩類：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)不因網(wǎng)絡(luò)攻擊、非法入侵等原因而遭到破壞，網(wǎng)絡(luò)能夠連續(xù)可靠正常運(yùn)行，保證服務(wù)不中斷。主要涉及主機(jī)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、中間件安全、配置安全、物理環(huán)境安全等；信息安全是指網(wǎng)絡(luò)上承載的業(yè)務(wù)、數(shù)據(jù)、內(nèi)容、用戶信息的安全，在運(yùn)營(yíng)過(guò)程中不被非法篡改、泄露、盜取，具有完整性、保密性、可用性、可控性[1]。網(wǎng)絡(luò)安全側(cè)重于網(wǎng)絡(luò)環(huán)境的安全，是信息安全的基礎(chǔ)。信息安全側(cè)重于信息產(chǎn)生、存儲(chǔ)、傳輸、處理等過(guò)程的安全，是網(wǎng)絡(luò)安全的價(jià)值體現(xiàn)，二者相互作用，相互影響。那么通信運(yùn)營(yíng)商關(guān)鍵信息基礎(chǔ)設(shè)施的安全即是實(shí)現(xiàn)其網(wǎng)絡(luò)安全和信息安全。

2.2 重構(gòu)安全防護(hù)保障體系

結(jié)合國(guó)內(nèi)外標(biāo)準(zhǔn)和通信運(yùn)營(yíng)企業(yè)的特點(diǎn)，從管理和技術(shù)兩個(gè)維度構(gòu)建自上而下的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)保障體系的策略，分為總冊(cè)、管理分冊(cè)和技術(shù)分冊(cè)?？們?cè)涉及安全防護(hù)工作的原則、目標(biāo)、范圍和策略，具有總體指導(dǎo)作用；管理分冊(cè)和技術(shù)分冊(cè)側(cè)重于管理制度和技術(shù)規(guī)范的制定，具有實(shí)際操作的指導(dǎo)作用。例如形成安全防護(hù)標(biāo)準(zhǔn)、安全防護(hù)實(shí)施細(xì)則等系列的制度文件。

重構(gòu)安全保障組織機(jī)構(gòu)，從通信運(yùn)營(yíng)商的前端市場(chǎng)營(yíng)銷所涉及的各個(gè)環(huán)節(jié)一直到后端的網(wǎng)絡(luò)建設(shè)、維護(hù)和管理支撐各個(gè)領(lǐng)域梳理企業(yè)的安全治理機(jī)構(gòu)和部門職責(zé)，設(shè)立獨(dú)立且統(tǒng)一的網(wǎng)絡(luò)信息安全管理部門，統(tǒng)籌協(xié)調(diào)負(fù)責(zé)企業(yè)日常的各項(xiàng)網(wǎng)絡(luò)安全和信息安全的治理工作。同時(shí)成立網(wǎng)絡(luò)信息安全管理委員會(huì)，領(lǐng)導(dǎo)網(wǎng)絡(luò)信息安全管理部門，為其提供重大決策和工作指導(dǎo)。由此建立一套包含工作機(jī)制和工作流程在內(nèi)的順暢的實(shí)施體系，將網(wǎng)絡(luò)與信息安全管理嵌入到企業(yè)生產(chǎn)流程的各個(gè)環(huán)節(jié)，實(shí)現(xiàn)企業(yè)安全的統(tǒng)一治理，確保安全工作縱向和橫向的協(xié)調(diào)推進(jìn)。

落實(shí)有效的監(jiān)督措施，包括檢查督促、考核獎(jiǎng)懲、風(fēng)險(xiǎn)評(píng)估和審計(jì)等手段。應(yīng)以風(fēng)險(xiǎn)管理和合規(guī)性為核心開展網(wǎng)絡(luò)信息安全的管控。定期對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行風(fēng)險(xiǎn)評(píng)估、符合性評(píng)測(cè)和合規(guī)性檢查，采用自評(píng)估、委托第三方專業(yè)機(jī)構(gòu)評(píng)估和檢查考核的三種方式進(jìn)行。

2.3 提高縱深防御的技術(shù)能力

建設(shè) SOC管理平臺(tái)，納入關(guān)鍵信息基礎(chǔ)設(shè)施的信息資產(chǎn)管理，對(duì)其進(jìn)行屬性打標(biāo)，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)動(dòng)態(tài)管控。利用 SOC管理平臺(tái)的安全態(tài)勢(shì)感知能力對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行安全監(jiān)測(cè)，對(duì)現(xiàn)有事件進(jìn)行告警和發(fā)現(xiàn)，對(duì)資產(chǎn)信息、配置信息、漏洞信息、內(nèi)外部威脅等情況進(jìn)行收集和分析，通過(guò)大數(shù)據(jù)分析的數(shù)學(xué)建模預(yù)測(cè)出未來(lái)的風(fēng)險(xiǎn)趨勢(shì)和變化。從而盡可能的實(shí)現(xiàn)安全事件的提前預(yù)警，在預(yù)警過(guò)程中找到應(yīng)對(duì)策略封堵漏洞，降低安全風(fēng)險(xiǎn)。同時(shí)加快推進(jìn)4A系統(tǒng)的建設(shè)和完善，實(shí)現(xiàn)網(wǎng)絡(luò)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一賬號(hào)登錄和統(tǒng)一審計(jì)的安全管控能力，防止外部的非法訪問(wèn)和內(nèi)部的非法泄露。另外要建設(shè)DLP（數(shù)據(jù)防泄露）的技術(shù)管控手段，在涉及用戶個(gè)人信息或者重要敏感數(shù)據(jù)的關(guān)鍵環(huán)節(jié)進(jìn)行管控，防止數(shù)據(jù)的泄露。

2.4 提高快速的應(yīng)急處理能力

針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)置應(yīng)急響應(yīng)策略，積極做好應(yīng)急預(yù)案和應(yīng)急演練工作，以便當(dāng)出現(xiàn)各種突發(fā)的安全事件時(shí)，具備及時(shí)響應(yīng)和有效處置的能力，以防止事態(tài)的進(jìn)一步惡化，確保故障的恢復(fù)，將帶來(lái)的損失和影響降到最低，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全。

2.5 加強(qiáng)安全教育和培訓(xùn)

在諸多的歷史教訓(xùn)中發(fā)現(xiàn)，對(duì)人員的管理是安全管理中最薄弱又是最容易被忽視的一個(gè)環(huán)節(jié)，所以要加強(qiáng)對(duì)人員的安全教育和培訓(xùn)，制定網(wǎng)絡(luò)與信息安全的教育培訓(xùn)計(jì)劃，定期開展企業(yè)內(nèi)部的安全教育和培訓(xùn)工作。無(wú)論是企業(yè)的領(lǐng)導(dǎo)還是員工都要參加安全意識(shí)的教育培訓(xùn)，提高網(wǎng)絡(luò)信息安全的防護(hù)意識(shí)。另外，加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理人才的培養(yǎng)，開展崗位能力認(rèn)證工作，優(yōu)化人才使用和激勵(lì)機(jī)制，打造一支全面掌握網(wǎng)絡(luò)信息安全管理和技術(shù)防護(hù)能力的專業(yè)化隊(duì)伍。

3 結(jié)束語(yǔ)

我國(guó)網(wǎng)絡(luò)的迅速發(fā)展促成我們國(guó)家成為了“網(wǎng)絡(luò)大國(guó)”，但它并不意味著我們是“網(wǎng)絡(luò)強(qiáng)國(guó)”。要成為真正的網(wǎng)絡(luò)強(qiáng)國(guó)，一定要以發(fā)展的眼光積極應(yīng)對(duì)網(wǎng)絡(luò)信息安全問(wèn)題，從我國(guó)的基本國(guó)情出發(fā)，加大力度維護(hù)我們的《網(wǎng)絡(luò)安全法》。公共通信和信息服務(wù)網(wǎng)絡(luò)設(shè)施作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，通信運(yùn)營(yíng)商應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)保護(hù)，構(gòu)建安全保障體系和加強(qiáng)技術(shù)防護(hù)能力，履行對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)信息安全防護(hù)的基本法律義務(wù)。

[1]王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全.中國(guó)圖書館學(xué)報(bào)，2016.