张滨 (中国移动信息安全管理与运行中心)
关键信息基础设施事关国家和经济社会命脉。关键信息基础设施一旦瘫痪,将会影响人们通信交流、社会经济运行,甚至威胁国家和社会的稳定。通信网络是国家的关键信息基础设施,正面临着数字化、IP化、互联网化、开放化带来的严峻挑战。中国移动运营着全球最大的移动通信网络,在关键信息基础设施保护方面开展积极实践,积累了一些经验。
关键信息基础设施对国民经济和社会发展起到基础性的支撑作用。通信网等信息基础设施为社会提供普遍通信服务,以4G为代表的新一代移动通信技术已成为“互联网+”的核心驱动;随着信息通信技术与社会各行业的深度融合,能源、交通、水利、金融、公共服务、政务等各行业、各领域的信息化程度不断提高,对关键信息基础设施的依赖也日益加深。当发生自然灾害或重大事件时,保障通信畅通和安全已成为优先任务,通信是救灾应急的生命线。
一旦关键信息基础设施遭到破坏,无疑会对社会运行产生巨大影响。例如,2017年5月,“WannaCry”勒索病毒席卷近100个国家,国内3万家机构遭攻击,多地高校及石油等相关系统的运行收到影响。2016年10月,美国域名服务器管理机构Dyn遭到“Mirai”病毒攻击,众多网站无法访问,影响辐射半个美国。2012年,深圳地铁“车-地”通信信号遭乘客MIFI信号干扰,造成多次多班列车停运。
信息通信基础设施为金融、能源、交通、供水、医疗卫生和应急服务等关系国计民生相关重要系统和政府事务管理提供关键支撑。同时还扮演着连接各基础设施部门的关键纽带的角色。信息通信基础设施与其它关键基础设施高度依存,网络服务中断或瘫痪将导致大范围的冲击甚至灾难性效应,因而已成为关键基础设施中的基础。
图1
通信网络是国家的关键信息基础设施,通信行业关键基础设施涉及终端、接入网、传送网、核心网以及各类支撑系统,资产规模庞大。经历了从1G到4G/5G的移动通信网正在进行着从模拟到数字化、从封闭到开放化,从通信到互联网化的演进。但数字化、IP化、互联网化、开放化对信息通信基础设施产生了日益严峻的挑战。具体表现为两个方面:
(1)主观方面:网络能力日益向内容与服务提供商开放,对网络的灵活性、安全性提出更高要求;网络IP化后,越来越多的IT通用软硬件被引入通信网,CT与IT产业加速融合与相互影响;通用软件自主化程度低,虚拟化、OS、数据库等软件主要依赖进口,自主可控性较低。
(2)客观方面:来自外部的安全威胁不断凸显,安全风险未知大于已知。首先,作为通信信息系统核心组件的操作系统和应用软件不可避免地存在安全漏洞,而重大安全漏洞将给攻击分子以可乘之机。例如,国家信息安全漏洞平台(CNVD)数据显示,2011年以来,Windows7操作系统的安全漏洞数量呈逐年递增趋势;在各类网站中广泛应用的Apache Struts2软件每年都会被披露出远程命令执行高危安全漏洞,造成大量系统一次次面临被远程控制的风险。同时,信息通信基础设施还面临来自境外的国家级黑客攻击的严重威胁。2017年披露的NSA网络武器库事件表明,大量的0Day漏洞被NSA等机构掌握,利用这些漏洞实施入侵易如反掌。印证了信息通信网络等关键信息基础设施是网络空间斗争的必争之地的观点。
世界各国在制定网络安全战略或进行网络安全立法时,毫无例外地将关键基础设施作为重点。在某些国家,关键基础设施保护战略甚至已经成为网络安全战略的代名词。
2013年2月,美国发布13636号总统行政令《改进关键基础设施网络安全》和第21号总统政策指示《提高关键基础设施安全和弹性》,将关键基础设施重新确定为16类:化学制品、商业设施、通信、关键制造业、大坝、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、公共健康和医疗、信息技术等。
欧盟2016年通过的《 网络与信息系统安全指令 》《2009 年欧盟关键基础设施保护指令》以及《2005 年关键基础设施保护绿皮书》中明确了关键基础设施定义范畴为:物理资源、服务和信息技术设施,网络以及若中断或被破坏后将会对公民的健康、生命、安全和经济福祉或政府的有效运作造成严重影响。
2013年,俄罗斯出台《俄联邦关键网络基础设施安全》,明确或隐含界定的关键信息基础设施共有7类:科技、国防、通信、司法、应急响应、交通运输及政府部门。
近年来,关键信息基础设施保护在我国国家安全战略中的重要性空前凸显。从《国家安全法》颁布以来,我国关键信息基础设施保护的顶层设计加速推进。《网络安全法》《关键信息基础设施保护条例》等系列法律法规的出台,为我国关键信息基础设施保护工作指明道路。
关键信息基础设施的运营者,是指关键信息基础设施的所有者、管理者和网络服务提供者。《网络安全法》第三章第二节、《关键信息基础设施安全保护条例(征求意见稿)》第四章对关键信息基础设施运营者的相关要求进行了明确,包括等级保护、安全“三同步”、机构人员、数据出境管理、安全评估、采购产品和服务要求等。
自2007年起,中国移动按照《通信网络安全防护管理办法》及相关标准,积极开展通信网络单元的定级、备案、防护、评测,并逐步完善相关的制度标准、安全防护及安全应急工作体系。
(1)通信网络安全防护。①参考电信网和互联网安全防护体系标准、ISO27000等行业和国际标准,建立信息安全制度、标准体系;②开展定级-备案-评测工作,已完成3000余个网络单位的定级、备案及符合性评测;③在网管、业支、管信及信安等业务域均建立了集中安全管控平台,对各类安全风险实施集中监测与处置;④实施“金库”模式,保障数据安全;⑤建立预防与应急相结合的两级安全应急体系,每年开展木马僵尸蠕虫监测、异常流量监控、IDS、网页内容监控、攻击事件监控、病毒检测、日志审计、垃圾邮件监控等科目的应急演练。
(2)业务安全三同步。根据工信部《互联网新技术新业务信息安全评估管理办法》,落实网络信息安全“三同步”要求,围绕面向互联网及终端应用的完整生命周期展开安全评估与防护,在不同阶段侧重于不同的安全工作内容。①做好规划,新制定的业务规范中已明确网络安全要求,相关要求体现在设备集中采购技术打分中。②做好建设,严格入网前网络安全审核,开展设备安全功能、安全补丁兼容性测试,接入管控平台,促进设备安全功能的提高,在采购合同中增加保密协议》与《通用网络信息安全责任条款》。③做好运维,针对发现的高风险问题,已建立设备改造跟踪促进解决机制,通过版本升级或设备采购中解决。
(3)组织建设。中国移动高度重视网络信息安全工作,形成一整套工作机制,确保组织到位、人员到位、责任到位。集团公司成立网络安全领导小组,并成立专职机构,归口信息安全管理、不良信息治理,开展不良信息集中治理、信息安全集中运营。
(4)安全评估。通过日常巡检、第三方监测、现场安全检查、专家“众测” 等方式,多管齐下,对业务系统和设备存在的安全漏洞、安全事件等开展监测与排查,并按照“发现-通报-整改-复核”的漏洞闭环管理机制,组织各单位及时完成整改。
做好通信行业关键信息基础设施保护工作,需要多方合力,打好组合拳。
(1)注重完善标准体系。当前,全国信息安全标准化技术委员会正在制定关键信息基础设施保护系列标准,通信行业应参照相关法律及国家标准,尽快在通信网安全防护相关标准基础上,完善通信行业关键信息基础设施保护标准体系。
(2)注重布局“预”能力。要做好事件发生后的应急响应、危机处理乃至事后分析,更要基于对事件的监测、分析和态势感知,做好事件发生前的预防,事件萌芽状态下的预测、预警,事件未构成重大危机前的早期预处置。
(3)推进关键设备安全可控。要不断完善国家网络产品和服务安全审查的工作机制,着力培育和提升自主可控产品的技术水平和竞争力。
(4)打造“政企一体化”服务体系。制定高科技政企、军民一体化发展计划,开展网络安全业务内部外包的尝试,加大军民融合力度,保障关键基础设施,培育政企一体化的创新企业群体,促进我国关键信息基础设施安全防护水平的整体提升。