加強電信行業關鍵信息基礎設施安全保護
金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟運行的神經中樞,也是可能遭到重點攻擊的目標,網絡安全事件一旦發生,會影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。電信行業關鍵信息基礎設施能夠提供網絡通信和信息服務,為社會經濟起到基礎性支撐作用。面對日益嚴峻的安全風險和安全挑戰,各國在關鍵信息基礎設施保護方面積極開展實踐,而做好電信網絡關鍵信息基礎設施安全保護是重中之重。
一、電信行業關鍵信息基礎設施安全成全球關注重點
關鍵信息基礎設施作為國家重要的戰略資源,受到各國高度重視,而電信網絡為基礎設施部門提供關鍵紐帶和支撐作用,是關鍵信息基礎設施的基礎設施,其面臨的安全風險日益加大。在這次俄烏沖突中,針對關鍵信息基礎設施的網絡攻擊成為對抗目標,烏克蘭和俄羅斯均遭受到大規模網絡攻擊,使政府、金融、能源等領域受到影響,電信網絡無法提供正常服務。
1.關鍵信息基礎設施面臨的網絡安全風險日益加大
全球網絡安全局勢面臨嚴峻挑戰,日益突出的安全威脅向國家重要領域傳導滲透。近年來,國內外針對基礎設施和重要信息系統的網絡攻擊事件頻發,攻擊手段不斷升級,關鍵信息基礎設施受到的網絡威脅呈逐年上升趨勢,對社會穩定和國家安全造成了巨大威脅,關鍵信息基礎設施安全運行面臨巨大挑戰。
2013 年 6 月,美國中央情報局前雇員斯諾登披露,美國國家安全局曾持續入侵中國多家主要電信公司,獲取用戶手機短信信息,并攻擊清華大學的主干網絡。2019 年和 2020 年,委內瑞拉電網連續遭受網絡攻擊,造成大面積停電,引發恐慌。2021 年,美國最大的燃油管道運營商、全國最大的肉類加工企業均因黑客攻擊而停擺,導致影響國家及全球經濟運行的基礎設施受損。
2.電信行業關鍵信息基礎設施保護是重中之重
公共通信網和互聯網作為國家信息化、數字化建設的主要載體,是最典型、最重要的關鍵基礎設施,基礎運營商的通信網、信令網、業務系統等重要系統是國家基礎信息服務的支撐,為社會生產和居民生活提供基礎公共服務,承載大量的國家基礎數據、重要政務數據和個人信息,是網絡空間安全的重要保障;同時,又為金融、水利和交通等其他行業的關鍵信息基礎設施穩定運行提供重要網絡通信、信息服務支撐和資源保障,具有基礎性和全局性的特點,為關鍵信息基礎設施保護的重中之重。
在 2022 年俄烏沖突中,烏克蘭和俄羅斯都遭到了大規模網絡攻擊。攻擊導致電信網絡中斷、政府網站癱瘓、銀行無法正常提供服務。
在俄羅斯方面,大規模的分布式拒絕服務(DDoS)攻擊使許多俄羅斯政府網站下線,受影響單位包括國防部等核心機構,政務、媒體等基礎設施也出現用戶無法訪問的情況。國際黑客組織“匿名者”(Anonymous)也宣布對俄羅斯發起“網絡戰爭”。俄羅斯電視臺(RT)遭遇大規模的 DDoS 攻擊,克里姆林宮、俄聯邦委員會等政府部門網站也遭到了網絡攻擊。俄媒稱,俄羅斯或將與全球互聯網斷開,啟動本國“大局域網”(Runet)應對各國制裁。Runet 是俄羅斯基于國家網絡防御目的構建的一個脫離全球互聯網的內部局域網。
在烏克蘭方面,通信行業、醫療行業、國家研究機構等國家關鍵基礎行業遭到的攻擊,具有很強的針對性。2 月以來,烏克蘭有 200 多個IP/域名遭受 DDoS 攻擊,遭受攻擊頻次最多的是烏克蘭最大的電信運營商基輔之星(Kyivstar);受攻擊 IP 分布所屬行業最多的是互聯網服務提供商。3 月 28 日,烏克蘭通信商烏克蘭電信(Ukrtelecom)因遭遇重大網絡攻擊下線、中斷,網絡連接水平下降到戰前的 13%。Ukrtelecom 承擔烏克蘭約 80% 的基礎通信職能,是烏克蘭關鍵基礎設施環節的重中之重。可見,電信關鍵信息基礎設施致癱產生的影響遠不止網絡本身。
3.我國電信行業關鍵信息基礎設施同樣面臨風險
在我國,電信網絡關鍵信息基礎設施涉及終端、接入網、同步網、核心網,以及各類業務支持系統,資產規模龐大。隨著數字化轉型的深入,傳統的信息與通信技術(ICT)邊界被打開,從封閉走向開放化,從通信走向互聯網化,并與云計算、大數據、人工智能、物聯網、工業互聯網等新技術相融合。網絡云化/泛在化演進、面向個人服務(ToB)和面向企業服務(ToC)業務融合,導致網絡開放暴露面不斷增加,網絡安全邊界進一步模糊,電信關鍵信息基礎設施正面臨日益嚴峻的挑戰,具體體現在以下三個方面。
一是核心自主可控能力不足。歐美國家頻繁利用技術優勢,發起貿易和技術戰,導致我國網絡基礎設施“核心技術受制于人”“核心元器件內置后門”“存在未知漏洞”等風險更加凸顯,嚴重威脅關鍵信息基礎設施安全保護,網絡設備的核心元器件中高端內存、大容量硬盤、高端光器件、信號收發模塊、FPGA 芯片的國產化是網絡自主可控亟待攻克的技術難點。
二是我國網絡安全產業處于發展起步階段。在產業規模上,網絡安全投入占信息化的投入比例約為 3%,而歐美等發達國家和地區均在 10% 以上,部分國家超過 15%。網絡安全產業整體協同力不足、核心技術、創新能力亟須加快突破,網絡安全產業未能有效賦能電信行業關鍵信息的安全保護。
三是電信網絡邊緣化部署和網絡資產的呈數量級增長現狀,進一步加劇了網絡設施分散、安全監控響應滯后的問題,加大了網絡安全管理難度,而且,與人和管理相關的安全事件占比較高,因此,電信企業需要更加重視建立有效協同的安全管理機制和保障組織,提高網絡安全人才培養力度。
二、電信行業關鍵信息基礎設施安全保護的法制實踐
關鍵信息基礎設施安全保護立法成為國家安全戰略重要的一個環節,網絡安全法及配套的政策法規對促進我國關鍵信息基礎設施保護具有顯著作用。美國、歐盟、日本等國家和地區關鍵基礎設施保護起步較早,通過制定和發布一系列的戰略、政策和命令,構建了較為完善的國家關鍵信息基礎設施保護體系,并且在不斷地動態調整強化。我國雖然起步較晚,但是通過吸納借鑒發達國家關鍵信息基礎設施保護經驗,結合我國現狀,已經開展包括立法、配套政策以及標準規范在內的一系列法制保護實踐,相關法律制度及標準體系正在逐步完善。
1.國外的實踐
美國、歐盟、日本等國家和地區對關鍵信息基礎設施的范圍、保護目標、措施方法及組織架構都做出了詳細規定,并進行動態調整。美國自 2001 年起先后頒布《2002 年關鍵基礎設施保護法》(Critical Infrastructure Actof 2001)、《改進關鍵基礎設施網絡安全行政令》(Executive Order - Improving CriticalInfrastructure Cybersecurity)等相關法律,并在接下來的 20 多年間不斷完善,經歷了從圍繞關鍵基礎設施界定、機構設置、責任落實、政企合作、信息共享機制等,到從原有的被動靜態防護轉變成為積極的動態防御,到將保障關鍵基礎設施網絡安全上升到國家戰略層面。
歐盟先后制定了《歐洲關鍵基礎設施保護計劃綠皮書》(Green Paper on a EuropeanProgramme for Critical Infrastructure Protection)和《網絡與信息系統安全指令》(Directive onSecurity of Network and Information Systems)等,旨在保護關鍵基礎設施免受大規模網絡攻擊和中斷,重點是預防、安全性和恢復力。2020 年發布的《歐盟網絡安全戰略》(The EUCybersecurity Strategy),將增強關鍵信息基礎設施的保護水平和恢復能力作為未來五年網絡安全領域的核心工作。
日本持續關注關鍵信息基礎設施安全保護,建立了以政策法律為基礎,以組織機構體系建設為重點,以監測預警和信息共享機制為支撐,以技術、人員、資金支持為保障的關鍵信息基礎設施保護制度。
就細分的電信行業關鍵信息基礎設施保護來說,美國已展開相關實踐。2015 年,美國國土安全部就針對通信、IT 等 16 個關鍵信息基礎設施領域制定了專項保護計劃《美國信息技術部門關鍵信息基礎設施保護計劃》(US NationalInfrastructure Protection-Information TechnologySector Specific Plan)等,以行業領域特點和實際為基礎,指導和規范保護工作的開展。
2.我國的實踐
我國積極開展關鍵信息基礎設施保護立法和標準實踐,同時規定優先保障電信等關鍵信息基礎設施安全運行,電信行業正在積極制定相關標準以銜接落實政策法規。
在立法方面,自 2017 年 6 月 1 日起實施的《中華人民共和國網絡安全法》,專設“關鍵信息基礎設施的運行安全”章節,對基本要求、部門分工以及主體責任等問題做出總體制度安排,要求構建以事前預防、事中控制、事后恢復與懲治的關鍵信息基礎設施保護體系。自 2020 年 6月 1 日起實施的《網絡安全審查辦法》要求,確保關鍵信息基礎設施供應鏈安全,維護國家安全。自 2021 年 9 月 1 日起正式實施的《關鍵信息基礎設施安全保護條例》,對關鍵信息基礎設施安全保護制度相關實施對象、責任主體、工作內容等進行了總體性規定,確立了我國關鍵信息基礎設施安全保護的具體要求,與國家《數據安全法》《密碼法》《個人信息保護法》等共同為網絡安全法的配套法律法規。
在標準方面,2017 年以來,我國關鍵信息基礎設施安全保護標準體系開始布局。目前,全國信息安全標準化技術委員會在研關鍵信息基礎設施安全標準有 9 項,涵蓋開展關鍵信息基礎設施保護工作基本安全要求、安全檢查評估流程和指標、關鍵信息基礎運營者實施指南、供應鏈安全管理、運營者安全能力建設標準化指導、保護部門態勢感知參考以及行業間協同機制等內容。這些安全框架、基本要求、控制措施、檢查評估指南與已有的國家、行業標準一起,共同形成了支撐關鍵信息基礎設施安全保障的標準體系。
上述政策標準規定了所有行業關鍵信息基礎設施安全保護基本要求,就電信行業來說,《關鍵信息基礎設施安全保護條例》對做出了相關規定,國務院電信主管部門負責電信行業關鍵信息基礎設施安全保護和監督管理工作;對基礎電信網絡實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告;國家采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。同時,我國電信行業領域的關鍵信息基礎設施安全保護系列標準,也正在積極制定中。
綜上所述,我國電信行業關鍵信息基礎設施保護立法工作待進一步完善,《通信網絡安全防護管理辦法》等多項部門規章有待加緊修訂,需要與行業政策、關基條例做好銜接和落實,同時,更加需要加快出臺電信行業領域的關鍵信息基礎設施安全保護系列標準,以符合電信業務復雜的特點。
三、對我國電信關鍵信息基礎設施安全保護的建議
綜合以上分析,我國需要從標準規范、體系建設、產業支撐等方面,提高電信網關鍵信息基礎設施的安全性和可控性。
1.健全網絡安全標準體系
基礎電信網絡、重要互聯網基礎設施的安全保護通過完善的電信行業網絡安全標準體系進行合規管理,需要有針對性地制定電信行業關鍵信息基礎設施安全保護規范,并逐步細化。從邊界識別、保護要求、控制措施、保障指標、應急體系、檢查評估,以及供應鏈安全、數據安全、信息共享、監測預警等方面,系統地推進電信行業關基標準研制工作,能夠為安全技術手段建設和安全檢查檢測提供標準支撐,并在制定標準基礎上多層次、多維度地推進標準落地和實施。
2.加強安全保障體系建設
圍繞關鍵信息基礎設施的分析識別、安全防護、檢測評估、監測預警、技術對抗和事件處置六個環節,加強關鍵信息基礎設施技術手段和管理體系建設,常態化開展關鍵信息基礎設施全生命周期安全管理,構建關鍵信息基礎設施安全保障體系。
圖 關鍵信息基礎設施安全保障體系
電信行業關鍵信息基礎設施運營者需建立關鍵信息基礎設施保護安全管理體系、技術體系和運營體系。首先,安全管理體系需要建立管理制度、設立管理機構、規定管理人員進行安全建設和運維管理,對分析識別環節中業務識別、資產識別和風險識別,安全防護環節的技術手段、容災備份、供應鏈和采購,檢測評估和監測預警環節的威脅監測、安全審計和檢測評估,事件處置環節的安全事件、應急演練和事件處置等風險點進行安全管理。其次,安全技術體系是在網絡安全等級保護三級以上實施重點保護,通過電信網絡與信息安全態勢感知平臺、安全系統和安全設備等設施對骨干網/城域網、移動網、IDC/云流量和基礎網絡穩定運行環境進行技術手段建設。最后,通過安全運營體系進行資產梳理清查、風險發現、漏洞掃描加固、事件分析處置等運營過程管理。
另外,應加強行業協同保護關鍵信息基礎設施安全,建立主動防御、信息共享、應急響應、預警通報和態勢感知等協同機制,共同建立電信行業關鍵信息基礎設施保護安全體系。
3.強化網絡安全產業支撐
網絡安全產業高質量發展能夠推動資產測繪、監測預警、威脅分析等網絡安全創新技術能力的提高、產品和服務的不斷提升,從而保障電信行業關鍵信息基礎設施建設,提升重要系統、關鍵節點及數據的安全防護能力,支撐關基全生命周期安全管理的保障體系建設。根據工信部2021 年編制的《網絡安全產業高質量發展三年行動計劃》,到 2023 年,電信等重點行業網絡安全投入占信息化投入比例將不低于 10%,將進一步推動電信和互聯網行業網絡安全能力升級。一是加快關鍵核心技術攻關,夯實網絡安全產業基礎能力;二是開展網絡安全技術應用試點示范,支持面向關鍵信息基礎設施的安全技術創新應用;三是提升網絡安全產品和服務供給水平,舉辦多層次網絡安全技能競賽,強化人才隊伍支撐保障。
