工业和信息化部电信研究院 魏亮
工业和信息化部最近公布了《通信网络安全防护管理办法》(以下简称《办法》),《办法》的发布和实施对于在全国范围内深入推进以等级保护、风险评估、灾难备份、安全监控为主要内容的通信网络安全防护工作规范有序地开展,进一步全面提高我国通信网络整体安全水平,具有积极的促进作用。
安全防护的有效开展将极大提高通信网络安全性,保障国家政治、经济和社会健康稳定发展。通信网络安全防护是指通过对公众电信网和互联网从业务、网络、设备、物理环境、管理等多方面部署安全防范措施,从而防止通信网络阻塞、中断、瘫痪或者被非法控制,防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改。随着通信网络在国家政治、经济和社会发展过程中的基础性和全局性作用与日俱增,通信网络一旦发生阻塞、瘫痪或者数据丢失、被篡改,将会极大影响经济社会运行和生产生活,甚至影响国家安全。但是我国通信网络在快速发展过程中逐渐暴露出在网络架构、业务部署、数据保护、设备检测、安全管理等方面均存在较多的安全隐患,网络攻击、信息窃取、网页篡改等新的安全问题不断出现。通信网络安全防护的有效开展将有利于发现和减少网络中的安全隐患,完善网络安全管理体系,保障通信基础设施的稳定运行,保护通信网中数据信息的机密性、完整性和可用性等不被破坏,从而保障国家政治经济稳定运行、社会健康发展。
近三年安全防护工作取得很大成效,同时也存在亟待改进之处。电信研究院作为工业和信息化部通信网络安全防护工作的支撑单位,从2006年开始牵头起草电信网和互联网安全防护系列标准,并负责2007年安全防护试点、2008年针对奥运城市和2009年全国范围内的安全防护检查等工作。目前已经结合国内外安全标准、通信网的实际情况和多年安全经验起草并正式发布了涉及14个专业(固定通信网、移动通信网、互联网、增值业务网等)的34个安全防护标准。通过对几大基础运营企业的安全防护检查,促进其从业务安全、网络安全、数据安全等方面对通信网络进行加固,提高了通信网络运行的稳定性和安全性、运营企业安全管理的规范性,验证了安全防护工作思路的正确性和工作方法的有效性,也促进了通信行业安全服务产业的快速发展。但是在安全防护工作过程中也暴露出一些问题,例如:通信网络安全防护工作还缺乏系统性、制度性和规范性,通信主管部门在监督管理中还缺乏充分的法律依据和有力的约束手段,运营企业的自查和整改工作不够深入规范、对标准的学习和落实程度不够,主管部门、运营企业和用户的安全意识不足,对第三方安全服务机构缺乏规范管理,评测评估工具和手段不够完善等,因此急需通过法律法规或政策文件促进安全防护各项工作深入规范、有序长效开展,促进通信网络安全防护工作常态化、制度化。《办法》出台将极大促进日后安全防护工作全面深入开展。发达国家(美国、欧盟等)和ISO等国际标准化组织从上个世纪70年代开始研究等级保护、风险评估、容灾备份、网络监控等内容,有相对完善的法律法规、技术标准、管理政策等。我国通信网络安全保障工作起步较晚,安全法律法规、技术标准、管理制度等方面相对发达国家滞后。《办法》对通信网络分级备案和审查流程、符合性评测和风险评估的频次和内容、安全防护检查等相关工作均有明确的要求,内容翔实具体,可操作性强。《办法》的发布不仅能够弥补我国在通信网络安全防护政策法规方面的不足,而且能够有效指导我国通信网络安全防护相关工作规范稳步开展,为通信主管部门的安全防护监督检查工作提供依据,促进运营企业深入落实安全防护相关工作要求。
2010年的安全防护工作即将全面展开,《办法》的发布和实施将及时指导2010年安全防护工作深入有效开展,为“两会”、“世博会”等重要活动的通信安全提供有效保障。相信安全防护各项工作的深入开展必将对于防范通信网络安全事件的发生,保障通信基础设施安全,维护国家安全、公共利益和社会稳定具有重要意义。