◎国家计算机网络应急技术处理协调中心副总工 杜跃进

       近日，工信部针对目前日益严峻的网络安全问题出台了《通信网络安全防护管理办法》（以下简称《办法》），并将于3月1日正式实施。对此，本报特别邀请信息网络安全领域的专家对我国面临的安全形势、《办法》出台的背景以及要解决的问题等方面进行解读。

       随着信息通信技术的快速发展和智能网、软交换、NGN、IMS、3G等的逐步引入，多网融合和通信IP化的趋势日益明显，电信网络正从过去的封闭式业务体系走向分布式、开放式的灵活架构；从分散式调度控制走向集中式、自动化的调度控制。在开放性、灵活性、智能化程度提高的同时，电信网络安全问题日益凸现。

       安全形势严峻 《办法》应运而生

       近两年，电信网络发生的多次重大安全事故及其造成的影响使得基础信息网络（电信网、互联网和广电网）安全的严峻形势暴露无遗。同时，国家政治、经济、社会生活等方方面面对基础信息网络的依赖性日益提高，基础信息网络的安全保障越来越成为人们关注的重点。基础信息网络已成为国民经济和社会信息化全面发展的基础支撑平台，也是国家信息化建设的主要内容。网络的安全运行和持续畅通关系到国家安全、经济发展、社会稳定和人民群众的切身利益。《国民经济和社会发展第十一个五年规划纲要》和《2006~2020年国家信息化发展战略》都将基础信息网络的安全保障体系建设列入了国家的战略发展规划。党中央、国务院对此也高度重视，相继出台了一系列关于加强信息安全保障工作的政策法规，并已将网络信息安全上升到关系国家政治、经济、文化安全的前所未有的高度。

       为贯彻落实全国信息安全保障工作会议精神，根据“电信条例”和《国家信息化领导小组关于加强信息安全保障工作的意见》等有关法规和文件要求，信息产业部于2006年启动了“电信网络（含互联网）安全防护体系建设”专项工作，2007年开展了电信网络相关网络单元定级和备案工作，2008年和2009年工业和信息化部组织开展了网络安全防护检查工作，2010年出台了《通信网络安全防护管理办法》（以下简称《办法》）。

       实行分级保护 平衡风险成本

       《办法》中确立了“通信网络安全防护工作坚持积极防御、综合防范、分级保护”的原则。其中，“积极防御、综合防范”是我国信息安全保障体系建设的指导方针。2003年中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号文）中明确提出，我国将“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全”。

       “分级保护”是安全防护工作的原则。根据国家信息安全等级保护政策（中办发〔2003〕27号文）要求，通信网络单元按照其对国家和社会经济发展的重要程度由低到高分别划分为一级、二级、三级、四级、五级。分级保护主要是指对不同种类、不同安全级别的网络单元，应当合理平衡安全风险与成本，采取不同强度的保护措施，这就是分级保护的核心思想。网络安全防护，既要反对只重应用不讲安全，也要反对不从实际出发，防护措施“一刀切”，造成经费与资源浪费的“过保护”现象。实行分级保护，就是要使保护重点更加突出，保护方法更加科学，保护的投入产出比更加合理。当前，世界各国政府在安全战略研究中，均十分重视对国家关键基础设施的保护，并对其采取分级保护的策略。

       《办法》对症下药 构建防护体系

       随着通信网络的发展和用户规模的不断扩大，网络安全形势日益严峻，特别是非传统安全问题日益突出。一是IP化、网络融合以及新技术新业务发展，在提高网络灵活性、开放性的同时，也使网络本身更容易受到来自内外部的攻击。二是病毒传播、木马窃密、网络攻击等网络违法犯罪活动日益猖獗，有的甚至形成了地下产业链，通信网络面临的外部环境日益复杂。三是网络、系统、终端的安全问题相互交织与互相影响，应用层和终端的安全问题对基础网络安全的影响越来越大。四是国际形势发生深刻变化，一些发达国家纷纷研究和实施网络安全战略，通信网络安全的战略性地位日益提升。

       网络安全防护体系包含安全等级保护、安全风险评估、灾难备份及恢复三个方面，其中等级保护思想的应用，是为了划分被保护对象，认清对象的重要性；采用风险评估方法，是为了认清被保护对象面临的威胁和存在的脆弱性；加强灾难备份（线路的备份、设备的备份、数据的备份、系统的备份），是为快速恢复提供条件。

       网络安全防护体系建设主要是组织各运营单位重点从等级保护、风险评估、灾难备份等三方面采取必要的措施，对通信网络进行安全保障体系建设，以做好事前防护，降低网络安全事件的发生概率。出台《办法》是为了增强电信网和互联网的安全防护能力，确保网络的安全性和可靠性。《办法》致力于解决通信网络阻塞、中断、瘫痪或被非法控制等，以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等问题。

       通信网络安全是指网络信息安全的网络安全部分，网络信息安全除网络安全外，还包含信息安全（通信行业外称为内容安全）。《办法》的出台将强化工信部对通信网络的安全管理，将全面提高通信网络的安全防护水平，对我国网络信息安全管理也将带来积极影响。通信网络安全防护主要是从等级保护、风险评估、灾难备份三方面采取措施，对通信网络进行安全保障体系建设，以做好事前防护，降低网络安全事件的发生概率。因此，《办法》实施后，预计通过各运营企业、互联网域名服务提供单位、安全服务商和政府监管部门等多方努力，可以有效抑制DDOS攻击、网页篡改等网络攻击，提升通信网络安全保障能力，以确保通信网络的安全畅通。