浅谈通信网络安全防护工作

唐亮 山东省通信管理局 济南 250002

1、引言

随着我国通信业的快速发展，政治、经济、文化和社会生活对通信网络的依赖程度越来越高，通信网络已成为国家关键基础设施。通信网络一旦发生中断、拥塞甚至瘫痪等故障，或者其中传输、处理、存储的数据信息丢失、泄露或被非法篡改，将对社会经济和人民生活造成严重影响。与此同时，随着信息通信技术的快速发展，通信网络加快向数字化、宽带化和智能化演进，通信网络所面临的安全威胁日益多样化，网络攻击、信息窃取等非传统安全问题日益突出。在这种形势下，如何确保通信网络能够安全、稳定运行成为通信行业所面临的一项重要课题。

通信网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或被非法控制，以及通信网络中传输、处理、存储的数据信息丢失、泄漏或被篡改等而开展的工作。在工作方法上，综合运用分级保护、风险评估、容灾备份、安全监控等科学方法，在深入分析通信网络可能面临的各种威胁和风险的基础上，通过事先落实有针对性的管理和技术防范措施，强化监督检查，提高防范水平，尽可能减少重大安全事件的发生。在工作范畴上，凡是可能影响电信业务经营者网络和业务系统的正常运行，或可能影响数据的保密性、完整性、可用性的因素，都是通信网络安全防护工作需要考虑和防范的。例如网络攻击、网络病毒、黑客入侵、非法远程控制，以及各种形式的物理破坏、自然灾害等。

2、安全防护工作简介

早在2006年，原信息产业部就着手组织开展了通信网络安全大检查和风险评估，督促整改发现的隐患。2007年，为贯彻落实中央和国务院有关要求，原信息产业部印发了《关于进一步开展电信网络安全防护工作的实施意见》（信部电〔2007〕555号），明确了有关工作思路、原则、方法和步骤。到2010年，在总结前期相关工作经验的基础上，工业和信息化部颁布了第11号部长令，出台了《通信网络安全防护管理办法》（以下简称《办法》），进一步规范了通信网络安全防护工作，确立了通信网络单元的分级保护制度，建立了符合性评测制度和安全风险评估制度，以及通信网络安全防护检查制度。《办法》的出台，进一步增强了通信行业网络和信息安全保护工作的系统性、规范性和科学性，使得通信行业更有利于应对非传统安全问题。

《办法》围绕通信网络安全防护管理工作，一是确立了通信网络单元的分级保护制度，规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度等因素，由低到高分别划分为五级。同时，《办法》还规定了通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案，并明确了备案的内容和核查程序。

二是建立了符合性评测制度，规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并进行符合性评测，三级及三级以上通信网络单元应当每年进行一次符合性评测，二级通信网络单元应当每两年进行一次符合性评测。

三是建立了安全风险评估制度，规定通信网络运行单位应当组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患。与符合性评测一样，三级及三级以上通信网络单元应当每年进行一次安全风险评估，二级通信网络单元应当每两年进行一次安全风险评估。

四是建立了通信网络安全防护检查制度，规定电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。检查工作既包括管理性检查，也包括委托有资质的第三方专业检测机构进行必要的技术检测。检测过程不向被测单位收取任何费用。且电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密、技术秘密和个人隐私，有保密的义务。

从管理针对的主体来说，《办法》适用于“电信业务经营者”和“互联网域名服务提供者”。其中“电信业务经营者”不仅包含基础电信业务经营者（如电信、移动、联通等），还包括众多ICP、ISP、IDC、SP等增值电信业务经营者；“互联网域名服务提供者”不仅包括互联网域名注册管理和服务机构，还包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。从管理针对的客体来说，包括公用通信网、互联网以及承载在其上的电信业务系统和域名系统等。

3、安全防护工作与等级保护工作的关系

在近几年的工作过程中，经常会涉及到信息安全等级保护工作（以下简称“等保工作”）。等保工作是公安部等四部委印发的《信息安全等级保护管理办法》中所规定的一项工作内容，开展等保工作的目的是为了规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

2007年，国务院信息化工作办公室下发的《关于电信系统信息安全等级保护工作有关问题的意见》（信安通〔2007〕14号）中明确：“考虑到电信网络具有全程全网性质，电信系统的等级保护备案在国家、省两级进行，地市及以下电信企事业单位的信息系统由省电信管理部门统一向同级公安机关备案，各地不再另行备案。但各地不具有全程全网性质的信息系统，如本地网站、管理和办公系统等，仍按《信息安全等级保护管理办法》执行；信息产业部可依照《信息安全等级保护管理办法》的要求，参照《信息系统安全等级保护定级指南》和等级保护国家标准，从电信系统的实际出发，制定电信系统等级保护的具体办法、实施指南和工作标准；开展针对各地全程全网性质的电信网络的信息安全等级保护检查时，应当会同电信主管部门共同进行。”

由此可见，通信网络安全防护工作可以理解为通信行业的信息安全等级保护工作。这项工作充分考虑了电信网络全程全网的性质，更贴合电信网络的实际，在电信领域具有更强的针对性和可操作性。可以说通信网络安全防护工作就是具有行业特色的信息安全等级保护工作。

由于安全防护工作只在国家和省两级进行，在具体工作中，各基础电信企业的市地分公司不需要再向当地等保工作主管部门报送、提供所属通信网络的有关信息。同时，各级基础电信运营企业也只接受有电信主管部门参与的针对通信网络的信息安全等级保护检查。

另外，我们还要注意到，通信行业内不具备全程全网性质的信息系统，如本地网站、管理和办公系统，仍然要按照《信息安全等级保护管理办法》开展等保工作。上述系统的等保工作仍然要接受地方等保主管部门的监督检查。

4、结束语

近些年通信网络安全防护工作的开展，为确保党的十七大、北京奥运会、国庆60周年和十八大等重要时期的通信网络安全发挥了重要作用。2012年底，工业和信息化部与国有资产监督管理委员会联合印发了《关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》（工信部联保〔2012〕551号）。继而，工信部办公厅印发了《2013年省级基础电信企业网络与信息安全工作考核要点和评分标准》（工信厅保〔2012〕247号），将通信网络安全防护工作纳入对基础电信企业KPI考核指标，将通信网络安全防护工作提升到一个新的高度。

当然，通信网络安全防护工作是一项长期、系统的基础性工作，还有很多重点工作需要做：一是持续加强《办法》和有关标准的宣贯，进一步提高全行业的网络安全意识和能力，增强做好网络安全防护工作的责任感、紧迫感。二是加大网络安全防护检查力度，突出重点，在问题较集中的网络和系统进行自查和抽查，督促排查隐患、堵塞漏洞、加强防护。三是继续组织做好定级备案工作，逐步落实增值电信业务和互联网域名服务的定级备案，全面推进通信网络安全防护工作。相信通过全行业的不懈努力，通信网络的运行会更加安全、稳定。