通信网络安全立法了!
- 来源:计算机世界
- 关键字:
- 发布时间:2010-02-22 14:59
还记得2009年5月19日因域名解析服务器瘫痪导致全国多个省份互联网用户无法上网的重大安全事件吗?可知道网站的SQL注入漏洞会导致大量用户信息泄露?您了解前不久百度被黑事件将给百度及其合作伙伴、用户带来多大损失吗?从今往后,这类事件的发生频率有望大大降低——2010年X月X日,工业和信息化部《通信网络安全防护管理办法》正式出台了!这是国内关于通信行业网络安全的首个部令,今后,通信行业的网络安全防护工作将有法可依,按照部令有序贯彻执行。
办法出台 网络分级
随着我国国民经济和社会信息化的快速发展,经济社会运行对通信网络的依赖度不断提高,通信网络已成为国家关键基础设施,通信网络安全的战略地位日益突出。然而,近年来我国通信网络面临的内外部安全威胁不断增多,网络中断、信息窃取、网页篡改等安全事件频发,网络安全整体形势日趋严峻。
“在安全防护(即预防保护)、网络运行、事件应急处置等通信网络安全管理环节中,安全防护是保障通信网络安全的第一道关口,对于防范网络安全事件的发生、及时消除安全隐患具有重要的意义。”工信部通信保障局某相关负责人告诉记者。
当前我国通信行业在实践中还存在通信网络安全防护责任不落实、防护措施不到位、管理制度不完善等问题,因此亟需通过建立通信网络分级、备案、符合性评测、安全风险评估等管理制度,加强通信网络安全管理,保障网络可靠运行。为了切实履行通信网络安全管理职责,提高通信网络安全防护水平,工业和信息化部发布了《通信网络安全防护管理办法》(以下简称《办法》)该《办法》的出台,将有利于保证电信管理机构履行通信网络安全防护管理职责,促进通信网络安全防护管理工作的依法进行。
根据《办法》的规定,通信行业首先要对通信网络单元进行等级划分,然后根据分级实行相应的安全保护。
《办法》确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。举例说明:如果某通信网络单元遭到破坏后只影响到企业自身经营等问题的话,它的安全等级可能就是一级、二级;如果对于公众的利益造成了很大的影响,那么它的安全等级可能是三级;如果影响到社会秩序、国家利益了,那么它的安全等级可能就是四级甚至五级。
为了保证分级的合理性,《办法》规定电信管理机构应当组织专家对通信网络单元的分级情况进行评审。此外,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案,并明确了备案的内容和核查程序。
四大制度建立
除了通信网络单元分级和备案制度之外,《办法》还制定了其他三大制度,分别是:安全防护措施的符合性评测制度、通信网络安全风险评估制度、通信网络安全防护检查制度。这四大制度共同构成了通信行业网络安全工作的基本制度架构,对通信行业网络安全工作的方法、措施、标准给出了具体的规定。
其中,安全防护措施的符合性评测制度规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
通信网络安全风险评估制度规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
通信网络安全防护检查制度规定电信管理机构应对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确规定电信管理机构进行检查时不得影响通信网络的正常运行、不得收取任何费用、不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品,电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私有保密的义务。
“以往我国通信行业的网络安全防护工作主要是企业从保障自身利益的角度出发自发来做,《办法》出台后,电信管理部门将重点从保障国家、公众利益的角度出发,依照各项规章制度强化对通信网络安全的管理,使通信网络安全工作更加系统化、制度化、规范化、科学化。”工信部通信保障局相关负责人告诉记者。
重点监管通信基础网络
根据《办法》的规定,主要适用范围是我国境内电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网。从行政相对人来说,主要针对电信业务经营者(含基础电信业务经营者和增值电信业务经营者)和互联网域名服务提供者,其中的互联网域名服务提供者不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。
从管理活动所针对的行为来说,包括行政相对人为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所进行的相关活动。
“《办法》主要监管的是通信网络的运行安全和数据安全,不涉及内容安全管理。我们监管的重点将放在电信运营企业的基础通信网络上,同时把监管触角扩展到增值电信业务经营者。”工信部通信保障局相关负责人表示。据介绍,目前国内基础电信运营商已完成备案的二级以上网络单元有9千多个。下一步的工作主要是针对电信市场的重组等变化进行一些相关的调整、包括责任主体变更。
《办法》明确规定:对于违反相关规定的,将由电信管理机构依据职权责令改正;拒不改正的,将给予警告,并处5000~30000元的罚款。
“当前业界都在热议三网融合,随着三网融合进程的推进,一些广电企业有可能加入电信业务运营的行列,届时,电信业务运营者的数量有可能增加。只要它们申请了电信业务运营牌照,本《办法》将同样适用于这些企业。”工信部通信保障局相关负责人表示。
……
办法出台 网络分级
随着我国国民经济和社会信息化的快速发展,经济社会运行对通信网络的依赖度不断提高,通信网络已成为国家关键基础设施,通信网络安全的战略地位日益突出。然而,近年来我国通信网络面临的内外部安全威胁不断增多,网络中断、信息窃取、网页篡改等安全事件频发,网络安全整体形势日趋严峻。
“在安全防护(即预防保护)、网络运行、事件应急处置等通信网络安全管理环节中,安全防护是保障通信网络安全的第一道关口,对于防范网络安全事件的发生、及时消除安全隐患具有重要的意义。”工信部通信保障局某相关负责人告诉记者。
当前我国通信行业在实践中还存在通信网络安全防护责任不落实、防护措施不到位、管理制度不完善等问题,因此亟需通过建立通信网络分级、备案、符合性评测、安全风险评估等管理制度,加强通信网络安全管理,保障网络可靠运行。为了切实履行通信网络安全管理职责,提高通信网络安全防护水平,工业和信息化部发布了《通信网络安全防护管理办法》(以下简称《办法》)该《办法》的出台,将有利于保证电信管理机构履行通信网络安全防护管理职责,促进通信网络安全防护管理工作的依法进行。
根据《办法》的规定,通信行业首先要对通信网络单元进行等级划分,然后根据分级实行相应的安全保护。
《办法》确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。举例说明:如果某通信网络单元遭到破坏后只影响到企业自身经营等问题的话,它的安全等级可能就是一级、二级;如果对于公众的利益造成了很大的影响,那么它的安全等级可能是三级;如果影响到社会秩序、国家利益了,那么它的安全等级可能就是四级甚至五级。
为了保证分级的合理性,《办法》规定电信管理机构应当组织专家对通信网络单元的分级情况进行评审。此外,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案,并明确了备案的内容和核查程序。
四大制度建立
除了通信网络单元分级和备案制度之外,《办法》还制定了其他三大制度,分别是:安全防护措施的符合性评测制度、通信网络安全风险评估制度、通信网络安全防护检查制度。这四大制度共同构成了通信行业网络安全工作的基本制度架构,对通信行业网络安全工作的方法、措施、标准给出了具体的规定。
其中,安全防护措施的符合性评测制度规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。
通信网络安全风险评估制度规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。
通信网络安全防护检查制度规定电信管理机构应对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确规定电信管理机构进行检查时不得影响通信网络的正常运行、不得收取任何费用、不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品,电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私有保密的义务。
“以往我国通信行业的网络安全防护工作主要是企业从保障自身利益的角度出发自发来做,《办法》出台后,电信管理部门将重点从保障国家、公众利益的角度出发,依照各项规章制度强化对通信网络安全的管理,使通信网络安全工作更加系统化、制度化、规范化、科学化。”工信部通信保障局相关负责人告诉记者。
重点监管通信基础网络
根据《办法》的规定,主要适用范围是我国境内电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网。从行政相对人来说,主要针对电信业务经营者(含基础电信业务经营者和增值电信业务经营者)和互联网域名服务提供者,其中的互联网域名服务提供者不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。
从管理活动所针对的行为来说,包括行政相对人为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所进行的相关活动。
“《办法》主要监管的是通信网络的运行安全和数据安全,不涉及内容安全管理。我们监管的重点将放在电信运营企业的基础通信网络上,同时把监管触角扩展到增值电信业务经营者。”工信部通信保障局相关负责人表示。据介绍,目前国内基础电信运营商已完成备案的二级以上网络单元有9千多个。下一步的工作主要是针对电信市场的重组等变化进行一些相关的调整、包括责任主体变更。
《办法》明确规定:对于违反相关规定的,将由电信管理机构依据职权责令改正;拒不改正的,将给予警告,并处5000~30000元的罚款。
“当前业界都在热议三网融合,随着三网融合进程的推进,一些广电企业有可能加入电信业务运营的行列,届时,电信业务运营者的数量有可能增加。只要它们申请了电信业务运营牌照,本《办法》将同样适用于这些企业。”工信部通信保障局相关负责人表示。
关注读览天下微信,
100万篇深度好文,
等你来看……