行業(yè)動態(tài)

加強電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-06-07    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟運行的神經(jīng)中樞,也是可能遭到重點攻擊的目標,網(wǎng)絡(luò)安全事件一旦發(fā)生,會影響重要行業(yè)正常運行,對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴重損失。電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施能夠提供網(wǎng)絡(luò)通信和信息服務(wù),為社會經(jīng)濟起到基礎(chǔ)性支撐作用。面對日益嚴峻的安全風險和安全挑戰(zhàn),各國在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面積極開展實踐,而做好電信網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護是重中之重。

一、電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全成全球關(guān)注重點

關(guān)鍵信息基礎(chǔ)設(shè)施作為國家重要的戰(zhàn)略資源,受到各國高度重視,而電信網(wǎng)絡(luò)為基礎(chǔ)設(shè)施部門提供關(guān)鍵紐帶和支撐作用,是關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)設(shè)施,其面臨的安全風險日益加大。在這次俄烏沖突中,針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊成為對抗目標,烏克蘭和俄羅斯均遭受到大規(guī)模網(wǎng)絡(luò)攻擊,使政府、金融、能源等領(lǐng)域受到影響,電信網(wǎng)絡(luò)無法提供正常服務(wù)。

1.關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全風險日益加大

全球網(wǎng)絡(luò)安全局勢面臨嚴峻挑戰(zhàn),日益突出的安全威脅向國家重要領(lǐng)域傳導滲透。近年來,國內(nèi)外針對基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)攻擊事件頻發(fā),攻擊手段不斷升級,關(guān)鍵信息基礎(chǔ)設(shè)施受到的網(wǎng)絡(luò)威脅呈逐年上升趨勢,對社會穩(wěn)定和國家安全造成了巨大威脅,關(guān)鍵信息基礎(chǔ)設(shè)施安全運行面臨巨大挑戰(zhàn)。

2013 年 6 月,美國中央情報局前雇員斯諾登披露,美國國家安全局曾持續(xù)入侵中國多家主要電信公司,獲取用戶手機短信信息,并攻擊清華大學的主干網(wǎng)絡(luò)。2019 年和 2020 年,委內(nèi)瑞拉電網(wǎng)連續(xù)遭受網(wǎng)絡(luò)攻擊,造成大面積停電,引發(fā)恐慌。2021 年,美國最大的燃油管道運營商、全國最大的肉類加工企業(yè)均因黑客攻擊而停擺,導致影響國家及全球經(jīng)濟運行的基礎(chǔ)設(shè)施受損。

2.電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護是重中之重

公共通信網(wǎng)和互聯(lián)網(wǎng)作為國家信息化、數(shù)字化建設(shè)的主要載體,是最典型、最重要的關(guān)鍵基礎(chǔ)設(shè)施,基礎(chǔ)運營商的通信網(wǎng)、信令網(wǎng)、業(yè)務(wù)系統(tǒng)等重要系統(tǒng)是國家基礎(chǔ)信息服務(wù)的支撐,為社會生產(chǎn)和居民生活提供基礎(chǔ)公共服務(wù),承載大量的國家基礎(chǔ)數(shù)據(jù)、重要政務(wù)數(shù)據(jù)和個人信息,是網(wǎng)絡(luò)空間安全的重要保障;同時,又為金融、水利和交通等其他行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運行提供重要網(wǎng)絡(luò)通信、信息服務(wù)支撐和資源保障,具有基礎(chǔ)性和全局性的特點,為關(guān)鍵信息基礎(chǔ)設(shè)施保護的重中之重。

在 2022 年俄烏沖突中,烏克蘭和俄羅斯都遭到了大規(guī)模網(wǎng)絡(luò)攻擊。攻擊導致電信網(wǎng)絡(luò)中斷、政府網(wǎng)站癱瘓、銀行無法正常提供服務(wù)。

在俄羅斯方面,大規(guī)模的分布式拒絕服務(wù)(DDoS)攻擊使許多俄羅斯政府網(wǎng)站下線,受影響單位包括國防部等核心機構(gòu),政務(wù)、媒體等基礎(chǔ)設(shè)施也出現(xiàn)用戶無法訪問的情況。國際黑客組織“匿名者”(Anonymous)也宣布對俄羅斯發(fā)起“網(wǎng)絡(luò)戰(zhàn)爭”。俄羅斯電視臺(RT)遭遇大規(guī)模的 DDoS 攻擊,克里姆林宮、俄聯(lián)邦委員會等政府部門網(wǎng)站也遭到了網(wǎng)絡(luò)攻擊。俄媒稱,俄羅斯或?qū)⑴c全球互聯(lián)網(wǎng)斷開,啟動本國“大局域網(wǎng)”(Runet)應(yīng)對各國制裁。Runet 是俄羅斯基于國家網(wǎng)絡(luò)防御目的構(gòu)建的一個脫離全球互聯(lián)網(wǎng)的內(nèi)部局域網(wǎng)。

在烏克蘭方面,通信行業(yè)、醫(yī)療行業(yè)、國家研究機構(gòu)等國家關(guān)鍵基礎(chǔ)行業(yè)遭到的攻擊,具有很強的針對性。2 月以來,烏克蘭有 200 多個IP/域名遭受 DDoS 攻擊,遭受攻擊頻次最多的是烏克蘭最大的電信運營商基輔之星(Kyivstar);受攻擊 IP 分布所屬行業(yè)最多的是互聯(lián)網(wǎng)服務(wù)提供商。3 月 28 日,烏克蘭通信商烏克蘭電信(Ukrtelecom)因遭遇重大網(wǎng)絡(luò)攻擊下線、中斷,網(wǎng)絡(luò)連接水平下降到戰(zhàn)前的 13%。Ukrtelecom 承擔烏克蘭約 80% 的基礎(chǔ)通信職能,是烏克蘭關(guān)鍵基礎(chǔ)設(shè)施環(huán)節(jié)的重中之重。可見,電信關(guān)鍵信息基礎(chǔ)設(shè)施致癱產(chǎn)生的影響遠不止網(wǎng)絡(luò)本身。

3.我國電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施同樣面臨風險

在我國,電信網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施涉及終端、接入網(wǎng)、同步網(wǎng)、核心網(wǎng),以及各類業(yè)務(wù)支持系統(tǒng),資產(chǎn)規(guī)模龐大。隨著數(shù)字化轉(zhuǎn)型的深入,傳統(tǒng)的信息與通信技術(shù)(ICT)邊界被打開,從封閉走向開放化,從通信走向互聯(lián)網(wǎng)化,并與云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新技術(shù)相融合。網(wǎng)絡(luò)云化/泛在化演進、面向個人服務(wù)(ToB)和面向企業(yè)服務(wù)(ToC)業(yè)務(wù)融合,導致網(wǎng)絡(luò)開放暴露面不斷增加,網(wǎng)絡(luò)安全邊界進一步模糊,電信關(guān)鍵信息基礎(chǔ)設(shè)施正面臨日益嚴峻的挑戰(zhàn),具體體現(xiàn)在以下三個方面。

一是核心自主可控能力不足。歐美國家頻繁利用技術(shù)優(yōu)勢,發(fā)起貿(mào)易和技術(shù)戰(zhàn),導致我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施“核心技術(shù)受制于人”“核心元器件內(nèi)置后門”“存在未知漏洞”等風險更加凸顯,嚴重威脅關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,網(wǎng)絡(luò)設(shè)備的核心元器件中高端內(nèi)存、大容量硬盤、高端光器件、信號收發(fā)模塊、FPGA 芯片的國產(chǎn)化是網(wǎng)絡(luò)自主可控亟待攻克的技術(shù)難點。

二是我國網(wǎng)絡(luò)安全產(chǎn)業(yè)處于發(fā)展起步階段。在產(chǎn)業(yè)規(guī)模上,網(wǎng)絡(luò)安全投入占信息化的投入比例約為 3%,而歐美等發(fā)達國家和地區(qū)均在 10% 以上,部分國家超過 15%。網(wǎng)絡(luò)安全產(chǎn)業(yè)整體協(xié)同力不足、核心技術(shù)、創(chuàng)新能力亟須加快突破,網(wǎng)絡(luò)安全產(chǎn)業(yè)未能有效賦能電信行業(yè)關(guān)鍵信息的安全保護。

三是電信網(wǎng)絡(luò)邊緣化部署和網(wǎng)絡(luò)資產(chǎn)的呈數(shù)量級增長現(xiàn)狀,進一步加劇了網(wǎng)絡(luò)設(shè)施分散、安全監(jiān)控響應(yīng)滯后的問題,加大了網(wǎng)絡(luò)安全管理難度,而且,與人和管理相關(guān)的安全事件占比較高,因此,電信企業(yè)需要更加重視建立有效協(xié)同的安全管理機制和保障組織,提高網(wǎng)絡(luò)安全人才培養(yǎng)力度。

二、電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的法制實踐

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護立法成為國家安全戰(zhàn)略重要的一個環(huán)節(jié),網(wǎng)絡(luò)安全法及配套的政策法規(guī)對促進我國關(guān)鍵信息基礎(chǔ)設(shè)施保護具有顯著作用。美國、歐盟、日本等國家和地區(qū)關(guān)鍵基礎(chǔ)設(shè)施保護起步較早,通過制定和發(fā)布一系列的戰(zhàn)略、政策和命令,構(gòu)建了較為完善的國家關(guān)鍵信息基礎(chǔ)設(shè)施保護體系,并且在不斷地動態(tài)調(diào)整強化。我國雖然起步較晚,但是通過吸納借鑒發(fā)達國家關(guān)鍵信息基礎(chǔ)設(shè)施保護經(jīng)驗,結(jié)合我國現(xiàn)狀,已經(jīng)開展包括立法、配套政策以及標準規(guī)范在內(nèi)的一系列法制保護實踐,相關(guān)法律制度及標準體系正在逐步完善。

1.國外的實踐

美國、歐盟、日本等國家和地區(qū)對關(guān)鍵信息基礎(chǔ)設(shè)施的范圍、保護目標、措施方法及組織架構(gòu)都做出了詳細規(guī)定,并進行動態(tài)調(diào)整。美國自 2001 年起先后頒布《2002 年關(guān)鍵基礎(chǔ)設(shè)施保護法》(Critical Infrastructure Actof 2001)、《改進關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全行政令》(Executive Order - Improving CriticalInfrastructure Cybersecurity)等相關(guān)法律,并在接下來的 20 多年間不斷完善,經(jīng)歷了從圍繞關(guān)鍵基礎(chǔ)設(shè)施界定、機構(gòu)設(shè)置、責任落實、政企合作、信息共享機制等,到從原有的被動靜態(tài)防護轉(zhuǎn)變成為積極的動態(tài)防御,到將保障關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全上升到國家戰(zhàn)略層面。

歐盟先后制定了《歐洲關(guān)鍵基礎(chǔ)設(shè)施保護計劃綠皮書》(Green Paper on a EuropeanProgramme for Critical Infrastructure Protection)和《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(Directive onSecurity of Network and Information Systems)等,旨在保護關(guān)鍵基礎(chǔ)設(shè)施免受大規(guī)模網(wǎng)絡(luò)攻擊和中斷,重點是預(yù)防、安全性和恢復力。2020 年發(fā)布的《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》(The EUCybersecurity Strategy),將增強關(guān)鍵信息基礎(chǔ)設(shè)施的保護水平和恢復能力作為未來五年網(wǎng)絡(luò)安全領(lǐng)域的核心工作。

日本持續(xù)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,建立了以政策法律為基礎(chǔ),以組織機構(gòu)體系建設(shè)為重點,以監(jiān)測預(yù)警和信息共享機制為支撐,以技術(shù)、人員、資金支持為保障的關(guān)鍵信息基礎(chǔ)設(shè)施保護制度。

就細分的電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護來說,美國已展開相關(guān)實踐。2015 年,美國國土安全部就針對通信、IT 等 16 個關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域制定了專項保護計劃《美國信息技術(shù)部門關(guān)鍵信息基礎(chǔ)設(shè)施保護計劃》(US NationalInfrastructure Protection-Information TechnologySector Specific Plan)等,以行業(yè)領(lǐng)域特點和實際為基礎(chǔ),指導和規(guī)范保護工作的開展。

2.我國的實踐

我國積極開展關(guān)鍵信息基礎(chǔ)設(shè)施保護立法和標準實踐,同時規(guī)定優(yōu)先保障電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行,電信行業(yè)正在積極制定相關(guān)標準以銜接落實政策法規(guī)。

在立法方面,自 2017 年 6 月 1 日起實施的《中華人民共和國網(wǎng)絡(luò)安全法》,專設(shè)“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”章節(jié),對基本要求、部門分工以及主體責任等問題做出總體制度安排,要求構(gòu)建以事前預(yù)防、事中控制、事后恢復與懲治的關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。自 2020 年 6月 1 日起實施的《網(wǎng)絡(luò)安全審查辦法》要求,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,維護國家安全。自 2021 年 9 月 1 日起正式實施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度相關(guān)實施對象、責任主體、工作內(nèi)容等進行了總體性規(guī)定,確立了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的具體要求,與國家《數(shù)據(jù)安全法》《密碼法》《個人信息保護法》等共同為網(wǎng)絡(luò)安全法的配套法律法規(guī)。

在標準方面,2017 年以來,我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標準體系開始布局。目前,全國信息安全標準化技術(shù)委員會在研關(guān)鍵信息基礎(chǔ)設(shè)施安全標準有 9 項,涵蓋開展關(guān)鍵信息基礎(chǔ)設(shè)施保護工作基本安全要求、安全檢查評估流程和指標、關(guān)鍵信息基礎(chǔ)運營者實施指南、供應(yīng)鏈安全管理、運營者安全能力建設(shè)標準化指導、保護部門態(tài)勢感知參考以及行業(yè)間協(xié)同機制等內(nèi)容。這些安全框架、基本要求、控制措施、檢查評估指南與已有的國家、行業(yè)標準一起,共同形成了支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的標準體系。

上述政策標準規(guī)定了所有行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護基本要求,就電信行業(yè)來說,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》對做出了相關(guān)規(guī)定,國務(wù)院電信主管部門負責電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作;對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透性測試等活動,應(yīng)當事先向國務(wù)院電信主管部門報告;國家采取措施,優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行。同時,我國電信行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護系列標準,也正在積極制定中。

綜上所述,我國電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護立法工作待進一步完善,《通信網(wǎng)絡(luò)安全防護管理辦法》等多項部門規(guī)章有待加緊修訂,需要與行業(yè)政策、關(guān)基條例做好銜接和落實,同時,更加需要加快出臺電信行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護系列標準,以符合電信業(yè)務(wù)復雜的特點。

三、對我國電信關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的建議

綜合以上分析,我國需要從標準規(guī)范、體系建設(shè)、產(chǎn)業(yè)支撐等方面,提高電信網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和可控性。

1.健全網(wǎng)絡(luò)安全標準體系

基礎(chǔ)電信網(wǎng)絡(luò)、重要互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全保護通過完善的電信行業(yè)網(wǎng)絡(luò)安全標準體系進行合規(guī)管理,需要有針對性地制定電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護規(guī)范,并逐步細化。從邊界識別、保護要求、控制措施、保障指標、應(yīng)急體系、檢查評估,以及供應(yīng)鏈安全、數(shù)據(jù)安全、信息共享、監(jiān)測預(yù)警等方面,系統(tǒng)地推進電信行業(yè)關(guān)基標準研制工作,能夠為安全技術(shù)手段建設(shè)和安全檢查檢測提供標準支撐,并在制定標準基礎(chǔ)上多層次、多維度地推進標準落地和實施。

2.加強安全保障體系建設(shè)

圍繞關(guān)鍵信息基礎(chǔ)設(shè)施的分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、技術(shù)對抗和事件處置六個環(huán)節(jié),加強關(guān)鍵信息基礎(chǔ)設(shè)施技術(shù)手段和管理體系建設(shè),常態(tài)化開展關(guān)鍵信息基礎(chǔ)設(shè)施全生命周期安全管理,構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。

圖 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系

電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者需建立關(guān)鍵信息基礎(chǔ)設(shè)施保護安全管理體系、技術(shù)體系和運營體系。首先,安全管理體系需要建立管理制度、設(shè)立管理機構(gòu)、規(guī)定管理人員進行安全建設(shè)和運維管理,對分析識別環(huán)節(jié)中業(yè)務(wù)識別、資產(chǎn)識別和風險識別,安全防護環(huán)節(jié)的技術(shù)手段、容災(zāi)備份、供應(yīng)鏈和采購,檢測評估和監(jiān)測預(yù)警環(huán)節(jié)的威脅監(jiān)測、安全審計和檢測評估,事件處置環(huán)節(jié)的安全事件、應(yīng)急演練和事件處置等風險點進行安全管理。其次,安全技術(shù)體系是在網(wǎng)絡(luò)安全等級保護三級以上實施重點保護,通過電信網(wǎng)絡(luò)與信息安全態(tài)勢感知平臺、安全系統(tǒng)和安全設(shè)備等設(shè)施對骨干網(wǎng)/城域網(wǎng)、移動網(wǎng)、IDC/云流量和基礎(chǔ)網(wǎng)絡(luò)穩(wěn)定運行環(huán)境進行技術(shù)手段建設(shè)。最后,通過安全運營體系進行資產(chǎn)梳理清查、風險發(fā)現(xiàn)、漏洞掃描加固、事件分析處置等運營過程管理。

另外,應(yīng)加強行業(yè)協(xié)同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全,建立主動防御、信息共享、應(yīng)急響應(yīng)、預(yù)警通報和態(tài)勢感知等協(xié)同機制,共同建立電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護安全體系。

3.強化網(wǎng)絡(luò)安全產(chǎn)業(yè)支撐

網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展能夠推動資產(chǎn)測繪、監(jiān)測預(yù)警、威脅分析等網(wǎng)絡(luò)安全創(chuàng)新技術(shù)能力的提高、產(chǎn)品和服務(wù)的不斷提升,從而保障電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè),提升重要系統(tǒng)、關(guān)鍵節(jié)點及數(shù)據(jù)的安全防護能力,支撐關(guān)基全生命周期安全管理的保障體系建設(shè)。根據(jù)工信部2021 年編制的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃》,到 2023 年,電信等重點行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例將不低于 10%,將進一步推動電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全能力升級。一是加快關(guān)鍵核心技術(shù)攻關(guān),夯實網(wǎng)絡(luò)安全產(chǎn)業(yè)基礎(chǔ)能力;二是開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范,支持面向關(guān)鍵信息基礎(chǔ)設(shè)施的安全技術(shù)創(chuàng)新應(yīng)用;三是提升網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)供給水平,舉辦多層次網(wǎng)絡(luò)安全技能競賽,強化人才隊伍支撐保障。

(本文刊登于《中國信息安全》雜志2022年第4期)


 
 

上一篇:美國發(fā)布《2022網(wǎng)絡(luò)安全路線圖》

下一篇:2022年6月7日聚銘安全速遞