通信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)實(shí)踐與思考

張濱 （中國(guó)移動(dòng)信息安全管理與運(yùn)行中心）

關(guān)鍵信息基礎(chǔ)設(shè)施事關(guān)國(guó)家和經(jīng)濟(jì)社會(huì)命脈。關(guān)鍵信息基礎(chǔ)設(shè)施一旦癱瘓，將會(huì)影響人們通信交流、社會(huì)經(jīng)濟(jì)運(yùn)行，甚至威脅國(guó)家和社會(huì)的穩(wěn)定。通信網(wǎng)絡(luò)是國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施，正面臨著數(shù)字化、IP化、互聯(lián)網(wǎng)化、開(kāi)放化帶來(lái)的嚴(yán)峻挑戰(zhàn)。中國(guó)移動(dòng)運(yùn)營(yíng)著全球最大的移動(dòng)通信網(wǎng)絡(luò)，在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面開(kāi)展積極實(shí)踐，積累了一些經(jīng)驗(yàn)。

1 背景

1.1 關(guān)鍵信息基礎(chǔ)設(shè)施的重要性

關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展起到基礎(chǔ)性的支撐作用。通信網(wǎng)等信息基礎(chǔ)設(shè)施為社會(huì)提供普遍通信服務(wù)，以4G為代表的新一代移動(dòng)通信技術(shù)已成為“互聯(lián)網(wǎng)+”的核心驅(qū)動(dòng)；隨著信息通信技術(shù)與社會(huì)各行業(yè)的深度融合，能源、交通、水利、金融、公共服務(wù)、政務(wù)等各行業(yè)、各領(lǐng)域的信息化程度不斷提高，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的依賴也日益加深。當(dāng)發(fā)生自然災(zāi)害或重大事件時(shí)，保障通信暢通和安全已成為優(yōu)先任務(wù)，通信是救災(zāi)應(yīng)急的生命線。

一旦關(guān)鍵信息基礎(chǔ)設(shè)施遭到破壞，無(wú)疑會(huì)對(duì)社會(huì)運(yùn)行產(chǎn)生巨大影響。例如，2017年5月，“WannaCry”勒索病毒席卷近100個(gè)國(guó)家，國(guó)內(nèi)3萬(wàn)家機(jī)構(gòu)遭攻擊，多地高校及石油等相關(guān)系統(tǒng)的運(yùn)行收到影響。2016年10月，美國(guó)域名服務(wù)器管理機(jī)構(gòu)Dyn遭到“Mirai”病毒攻擊，眾多網(wǎng)站無(wú)法訪問(wèn)，影響輻射半個(gè)美國(guó)。2012年，深圳地鐵“車-地”通信信號(hào)遭乘客MIFI信號(hào)干擾，造成多次多班列車停運(yùn)。

（二）信息通信基礎(chǔ)設(shè)施是關(guān)鍵基礎(chǔ)設(shè)施中的基礎(chǔ)

信息通信基礎(chǔ)設(shè)施為金融、能源、交通、供水、醫(yī)療衛(wèi)生和應(yīng)急服務(wù)等關(guān)系國(guó)計(jì)民生相關(guān)重要系統(tǒng)和政府事務(wù)管理提供關(guān)鍵支撐。同時(shí)還扮演著連接各基礎(chǔ)設(shè)施部門的關(guān)鍵紐帶的角色。信息通信基礎(chǔ)設(shè)施與其它關(guān)鍵基礎(chǔ)設(shè)施高度依存，網(wǎng)絡(luò)服務(wù)中斷或癱瘓將導(dǎo)致大范圍的沖擊甚至災(zāi)難性效應(yīng)，因而已成為關(guān)鍵基礎(chǔ)設(shè)施中的基礎(chǔ)。

圖1

1.3 通信行業(yè)關(guān)鍵基礎(chǔ)設(shè)施面臨風(fēng)險(xiǎn)

通信網(wǎng)絡(luò)是國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施，通信行業(yè)關(guān)鍵基礎(chǔ)設(shè)施涉及終端、接入網(wǎng)、傳送網(wǎng)、核心網(wǎng)以及各類支撐系統(tǒng)，資產(chǎn)規(guī)模龐大。經(jīng)歷了從1G到4G/5G的移動(dòng)通信網(wǎng)正在進(jìn)行著從模擬到數(shù)字化、從封閉到開(kāi)放化，從通信到互聯(lián)網(wǎng)化的演進(jìn)。但數(shù)字化、IP化、互聯(lián)網(wǎng)化、開(kāi)放化對(duì)信息通信基礎(chǔ)設(shè)施產(chǎn)生了日益嚴(yán)峻的挑戰(zhàn)。具體表現(xiàn)為兩個(gè)方面：

（1）主觀方面：網(wǎng)絡(luò)能力日益向內(nèi)容與服務(wù)提供商開(kāi)放，對(duì)網(wǎng)絡(luò)的靈活性、安全性提出更高要求；網(wǎng)絡(luò)IP化后，越來(lái)越多的IT通用軟硬件被引入通信網(wǎng)，CT與IT產(chǎn)業(yè)加速融合與相互影響；通用軟件自主化程度低，虛擬化、OS、數(shù)據(jù)庫(kù)等軟件主要依賴進(jìn)口，自主可控性較低。

（2）客觀方面：來(lái)自外部的安全威脅不斷凸顯，安全風(fēng)險(xiǎn)未知大于已知。首先，作為通信信息系統(tǒng)核心組件的操作系統(tǒng)和應(yīng)用軟件不可避免地存在安全漏洞，而重大安全漏洞將給攻擊分子以可乘之機(jī)。例如，國(guó)家信息安全漏洞平臺(tái)（CNVD）數(shù)據(jù)顯示，2011年以來(lái)，Windows7操作系統(tǒng)的安全漏洞數(shù)量呈逐年遞增趨勢(shì)；在各類網(wǎng)站中廣泛應(yīng)用的Apache Struts2軟件每年都會(huì)被披露出遠(yuǎn)程命令執(zhí)行高危安全漏洞，造成大量系統(tǒng)一次次面臨被遠(yuǎn)程控制的風(fēng)險(xiǎn)。同時(shí)，信息通信基礎(chǔ)設(shè)施還面臨來(lái)自境外的國(guó)家級(jí)黑客攻擊的嚴(yán)重威脅。2017年披露的NSA網(wǎng)絡(luò)武器庫(kù)事件表明，大量的0Day漏洞被NSA等機(jī)構(gòu)掌握，利用這些漏洞實(shí)施入侵易如反掌。印證了信息通信網(wǎng)絡(luò)等關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)空間斗爭(zhēng)的必爭(zhēng)之地的觀點(diǎn)。

2 工作實(shí)踐

2.1 國(guó)際現(xiàn)狀

世界各國(guó)在制定網(wǎng)絡(luò)安全戰(zhàn)略或進(jìn)行網(wǎng)絡(luò)安全立法時(shí)，毫無(wú)例外地將關(guān)鍵基礎(chǔ)設(shè)施作為重點(diǎn)。在某些國(guó)家，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略甚至已經(jīng)成為網(wǎng)絡(luò)安全戰(zhàn)略的代名詞。

2013年2月，美國(guó)發(fā)布13636號(hào)總統(tǒng)行政令《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》和第21號(hào)總統(tǒng)政策指示《提高關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》，將關(guān)鍵基礎(chǔ)設(shè)施重新確定為16類：化學(xué)制品、商業(yè)設(shè)施、通信、關(guān)鍵制造業(yè)、大壩、國(guó)防工業(yè)基地、應(yīng)急服務(wù)、能源、金融服務(wù)、食品和農(nóng)業(yè)、政府設(shè)施、公共健康和醫(yī)療、信息技術(shù)等。

歐盟2016年通過(guò)的《 網(wǎng)絡(luò)與信息系統(tǒng)安全指令 》《2009 年歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)指令》以及《2005 年關(guān)鍵基礎(chǔ)設(shè)施保護(hù)綠皮書(shū)》中明確了關(guān)鍵基礎(chǔ)設(shè)施定義范疇為：物理資源、服務(wù)和信息技術(shù)設(shè)施，網(wǎng)絡(luò)以及若中斷或被破壞后將會(huì)對(duì)公民的健康、生命、安全和經(jīng)濟(jì)福祉或政府的有效運(yùn)作造成嚴(yán)重影響。

2013年，俄羅斯出臺(tái)《俄聯(lián)邦關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全》，明確或隱含界定的關(guān)鍵信息基礎(chǔ)設(shè)施共有7類：科技、國(guó)防、通信、司法、應(yīng)急響應(yīng)、交通運(yùn)輸及政府部門。

2.2 國(guó)內(nèi)現(xiàn)狀

近年來(lái)，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)在我國(guó)國(guó)家安全戰(zhàn)略中的重要性空前凸顯。從《國(guó)家安全法》頒布以來(lái)，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的頂層設(shè)計(jì)加速推進(jìn)?！毒W(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等系列法律法規(guī)的出臺(tái)，為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作指明道路。

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者，是指關(guān)鍵信息基礎(chǔ)設(shè)施的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者?！毒W(wǎng)絡(luò)安全法》第三章第二節(jié)、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》第四章對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的相關(guān)要求進(jìn)行了明確，包括等級(jí)保護(hù)、安全“三同步”、機(jī)構(gòu)人員、數(shù)據(jù)出境管理、安全評(píng)估、采購(gòu)產(chǎn)品和服務(wù)要求等。

2.3 中國(guó)移動(dòng)工作實(shí)踐

自2007年起，中國(guó)移動(dòng)按照《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》及相關(guān)標(biāo)準(zhǔn)，積極開(kāi)展通信網(wǎng)絡(luò)單元的定級(jí)、備案、防護(hù)、評(píng)測(cè)，并逐步完善相關(guān)的制度標(biāo)準(zhǔn)、安全防護(hù)及安全應(yīng)急工作體系。

（1）通信網(wǎng)絡(luò)安全防護(hù)。①參考電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系標(biāo)準(zhǔn)、ISO27000等行業(yè)和國(guó)際標(biāo)準(zhǔn)，建立信息安全制度、標(biāo)準(zhǔn)體系；②開(kāi)展定級(jí)-備案-評(píng)測(cè)工作，已完成3000余個(gè)網(wǎng)絡(luò)單位的定級(jí)、備案及符合性評(píng)測(cè)；③在網(wǎng)管、業(yè)支、管信及信安等業(yè)務(wù)域均建立了集中安全管控平臺(tái)，對(duì)各類安全風(fēng)險(xiǎn)實(shí)施集中監(jiān)測(cè)與處置；④實(shí)施“金庫(kù)”模式，保障數(shù)據(jù)安全；⑤建立預(yù)防與應(yīng)急相結(jié)合的兩級(jí)安全應(yīng)急體系，每年開(kāi)展木馬僵尸蠕蟲(chóng)監(jiān)測(cè)、異常流量監(jiān)控、IDS、網(wǎng)頁(yè)內(nèi)容監(jiān)控、攻擊事件監(jiān)控、病毒檢測(cè)、日志審計(jì)、垃圾郵件監(jiān)控等科目的應(yīng)急演練。

（2）業(yè)務(wù)安全三同步。根據(jù)工信部《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估管理辦法》，落實(shí)網(wǎng)絡(luò)信息安全“三同步”要求，圍繞面向互聯(lián)網(wǎng)及終端應(yīng)用的完整生命周期展開(kāi)安全評(píng)估與防護(hù)，在不同階段側(cè)重于不同的安全工作內(nèi)容。①做好規(guī)劃，新制定的業(yè)務(wù)規(guī)范中已明確網(wǎng)絡(luò)安全要求，相關(guān)要求體現(xiàn)在設(shè)備集中采購(gòu)技術(shù)打分中。②做好建設(shè)，嚴(yán)格入網(wǎng)前網(wǎng)絡(luò)安全審核，開(kāi)展設(shè)備安全功能、安全補(bǔ)丁兼容性測(cè)試，接入管控平臺(tái)，促進(jìn)設(shè)備安全功能的提高，在采購(gòu)合同中增加保密協(xié)議》與《通用網(wǎng)絡(luò)信息安全責(zé)任條款》。③做好運(yùn)維，針對(duì)發(fā)現(xiàn)的高風(fēng)險(xiǎn)問(wèn)題，已建立設(shè)備改造跟蹤促進(jìn)解決機(jī)制，通過(guò)版本升級(jí)或設(shè)備采購(gòu)中解決。

（3）組織建設(shè)。中國(guó)移動(dòng)高度重視網(wǎng)絡(luò)信息安全工作，形成一整套工作機(jī)制，確保組織到位、人員到位、責(zé)任到位。集團(tuán)公司成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，并成立專職機(jī)構(gòu)，歸口信息安全管理、不良信息治理，開(kāi)展不良信息集中治理、信息安全集中運(yùn)營(yíng)。

（4）安全評(píng)估。通過(guò)日常巡檢、第三方監(jiān)測(cè)、現(xiàn)場(chǎng)安全檢查、專家“眾測(cè)” 等方式，多管齊下，對(duì)業(yè)務(wù)系統(tǒng)和設(shè)備存在的安全漏洞、安全事件等開(kāi)展監(jiān)測(cè)與排查，并按照“發(fā)現(xiàn)-通報(bào)-整改-復(fù)核”的漏洞閉環(huán)管理機(jī)制，組織各單位及時(shí)完成整改。

3 思考

做好通信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作，需要多方合力，打好組合拳。

（1）注重完善標(biāo)準(zhǔn)體系。當(dāng)前，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在制定關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列標(biāo)準(zhǔn)，通信行業(yè)應(yīng)參照相關(guān)法律及國(guó)家標(biāo)準(zhǔn)，盡快在通信網(wǎng)安全防護(hù)相關(guān)標(biāo)準(zhǔn)基礎(chǔ)上，完善通信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)體系。

（2）注重布局“預(yù)”能力。要做好事件發(fā)生后的應(yīng)急響應(yīng)、危機(jī)處理乃至事后分析，更要基于對(duì)事件的監(jiān)測(cè)、分析和態(tài)勢(shì)感知，做好事件發(fā)生前的預(yù)防，事件萌芽狀態(tài)下的預(yù)測(cè)、預(yù)警，事件未構(gòu)成重大危機(jī)前的早期預(yù)處置。

（3）推進(jìn)關(guān)鍵設(shè)備安全可控。要不斷完善國(guó)家網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的工作機(jī)制，著力培育和提升自主可控產(chǎn)品的技術(shù)水平和競(jìng)爭(zhēng)力。

（4）打造“政企一體化”服務(wù)體系。制定高科技政企、軍民一體化發(fā)展計(jì)劃，開(kāi)展網(wǎng)絡(luò)安全業(yè)務(wù)內(nèi)部外包的嘗試，加大軍民融合力度，保障關(guān)鍵基礎(chǔ)設(shè)施，培育政企一體化的創(chuàng)新企業(yè)群體，促進(jìn)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)水平的整體提升。