工信部就《通信网络安全防护管理办法》答记者问
工信部就《通信网络安全防护管理办法》答记者问
新华社北京2月4日电(记者何宗渝、刘菊花)工业和信息化部最近发布了《通信网络安全防护管理办法》,旨在针对新情况新问题,进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力,最大限度地减少重大网络安全事件发生。为此,工业和信息化部通信保障局相关负责人近日接受了采访,围绕通信网络安全防护的概念、适用范围、工作制度和工作重点回答了记者的提问。
问:什么是通信网络安全防护?
答:通信网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或被非法控制,以及通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等而开展的工作。
在工作方法上,综合运用分级保护、风险评估、容灾备份、安全监控等科学方法,在深入分析通信网络可能面临的各种威胁和风险的基础上,通过事先落实有针对性的管理和技术防护措施,强化监督检查,提高防范水平,尽可能减少重大安全事件的发生。
在工作范畴上,凡是可能影响电信业务经营者网络和业务系统的正常运行,或可能影响数据的保密性、完整性、可用性的因素,都是通信网络安全防护工作需要考虑和防范的。例如网络攻击、网络病毒、黑客入侵、非法远程控制,以及各种形式的物理破坏、自然灾害等。其中,网络攻击、网络病毒、黑客入侵、非法远程控制问题,是互联网发展和传统网络IP化、网络融合过程中出现的新情况新问题。这类问题技术性强,防范难度大,目前电信业务经营者在这些方面的认识和工作基础普遍较为薄弱,因此是通信网络安全防护工作的重点。
问:《办法》的适用范围是什么?
答:从管理针对的主体来说,适用于“电信业务经营者”和“互联网域名服务提供者”。其中“电信业务经营者”不仅包含中国电信、中国移动、中国联通等基础电信业务经营者,而且包括众多的ICP、IDC、SP等增值电信业务经营者;“互联网域名服务提供者”不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。从管理针对的客体来说,包括公用通信网、互联网以及承载在公用通信网、互联网上的电信业务系统和域名系统等的安全防护工作。从管理针对的行为来说,包括为防止通信网络阻塞、中断、瘫痪或被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等所进行的相关活动。
问:《办法》建立了哪些安全防护制度?
答:一是通信网络单元的分级和备案制度。《办法》规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。为便于电信管理机构掌握有关情况,通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。
二是安全防护措施的符合性评测制度。为确保通信网络单元安全防护措施落实到位,《办法》规定通信网络运行单位应当按照标准落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。其中三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
三是通信网络安全风险评估制度。《办法》规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时发现并消除重大网络安全隐患。其中三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
四是通信网络安全防护检查制度。《办法》规定电信管理机构要对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确了检查工作方式和有关要求。
此外,《办法》还对通信网络运行单位开展容灾备份、事件监测和演练等工作提出了明确要求。
问:基础通信网络规模庞大,按什么规则划分网络单元?
答:基础电信运营企业的通信网络规模庞大、覆盖全国、全程全网,通过统一的标准和接口实现不同专业网络、不同地域网络相互联通和互操作。各基础电信运营企业将其通信网络按地域和专业进行划分,由下属机构分块、分段、分专业进行管理。工业和信息化部之前发布的《电信网和互联网安全等级保护实施指南》规定了通信网络单元的划分原则和方法,主要按照网络或系统的专业类型(如固定、移动、互联网等)和服务地域(如省级、省内、本地等)进行划分,确保网络单元间的边界清晰、管理责任主体分明。
问:工业和信息化部在通信网络安全防护方面开展过哪些前期工作?
答:《办法》是在充分总结前期工作经验的基础上研究制定的,《办法》的出台进一步增强了相关工作的系统性、规范性和科学性。为贯彻落实中央和国务院有关要求,2007年,印发了《关于进一步开展电信网络安全防护工作的实施意见》(信部电[2007]555号),明确了有关工作思路、原则、方法和步骤。组织制定了通信网络安全防护系列标准,于2008年正式发布了32项标准,为指导和规范网络运行单位开展防护工作和落实安全防护措施发挥了重要作用。自2006年起,每年组织开展一次全行业通信网络安全大检查和风险评估,督促整改发现的隐患,为确保十七大、北京奥运会和国庆60周年通信网络安全发挥了重要作用。组织对基础电信运营企业的网络和系统进行定级备案,基本掌握了各基础电信运营企业的网络和系统数量、分布情况,以及各个网络和系统的主要功能、地位作用和责任主体。对国家顶级域名系统进行了定级备案。建设了通信网络安全防护管理信息系统,实现通信网络基本情况的网上报备,提高管理工作效率。
问:下一步贯彻落实《办法》的工作重点是什么?
答:贯彻落实《办法》将是一项长期、系统的基础性工作。结合近年有关工作情况,下一步,将重点围绕以下方面继续推进和深化通信网络安全防护工作:一是加强《办法》和有关标准的宣传贯彻,进一步提高全行业的网络安全意识和能力,增强做好网络安全防护工作的责任感、紧迫感。二是加大网络安全防护检查力度,在2009年安全检查的基础上,进一步突出重点,组织对支撑系统、域名系统、网上营业厅、IDC等当前存在问题较多的网络和系统进行自查与抽查,督促相关单位排查隐患、堵塞漏洞、加强防护。三是不断完善安全防护标准体系,特别是针对新技术新业务和网络融合出现的新情况新问题,如手机安全、3G安全、IPv6安全、云计算安全、三网融合安全等,加强跟踪研究,适时制订和修订相关安全防护标准。四是继续组织做好网络和系统的定级备案工作,逐步落实增值电信业务和互联网域名服务的定级备案。五是指导督促电信业务经营者建设完善网络安全监控手段,提高安全防护、监测预警和应急处置能力。