文│中国联合网络通信有限公司研究院 王姗姗 徐雷 张曼君 陶冶

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济运行的神经中枢,也是可能遭到重点攻击的目标,网络安全事件一旦发生,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。电信行业关键信息基础设施能够提供网络通信和信息服务,为社会经济起到基础性支撑作用。面对日益严峻的安全风险和安全挑战,各国在关键信息基础设施保护方面积极开展实践,而做好电信网络关键信息基础设施安全保护是重中之重。

一、电信行业关键信息基础设施安全成全球关注重点

关键信息基础设施作为国家重要的战略资源,受到各国高度重视,而电信网络为基础设施部门提供关键纽带和支撑作用,是关键信息基础设施的基础设施,其面临的安全风险日益加大。在这次俄乌冲突中,针对关键信息基础设施的网络攻击成为对抗目标,乌克兰和俄罗斯均遭受到大规模网络攻击,使政府、金融、能源等领域受到影响,电信网络无法提供正常服务。

1.关键信息基础设施面临的网络安全风险日益加大

全球网络安全局势面临严峻挑战,日益突出的安全威胁向国家重要领域传导渗透。近年来,国内外针对基础设施和重要信息系统的网络攻击事件频发,攻击手段不断升级,关键信息基础设施受到的网络威胁呈逐年上升趋势,对社会稳定和国家安全造成了巨大威胁,关键信息基础设施安全运行面临巨大挑战。

2013 年 6 月,美国中央情报局前雇员斯诺登披露,美国国家安全局曾持续入侵中国多家主要电信公司,获取用户手机短信信息,并攻击清华大学的主干网络。2019 年和 2020 年,委内瑞拉电网连续遭受网络攻击,造成大面积停电,引发恐慌。2021 年,美国最大的燃油管道运营商、全国最大的肉类加工企业均因黑客攻击而停摆,导致影响国家及全球经济运行的基础设施受损。

2.电信行业关键信息基础设施保护是重中之重

公共通信网和互联网作为国家信息化、数字化建设的主要载体,是最典型、最重要的关键基础设施,基础运营商的通信网、信令网、业务系统等重要系统是国家基础信息服务的支撑,为社会生产和居民生活提供基础公共服务,承载大量的国家基础数据、重要政务数据和个人信息,是网络空间安全的重要保障;同时,又为金融、水利和交通等其他行业的关键信息基础设施稳定运行提供重要网络通信、信息服务支撑和资源保障,具有基础性和全局性的特点,为关键信息基础设施保护的重中之重。

在 2022 年俄乌冲突中,乌克兰和俄罗斯都遭到了大规模网络攻击。攻击导致电信网络中断、政府网站瘫痪、银行无法正常提供服务。

在俄罗斯方面,大规模的分布式拒绝服务(DDoS)攻击使许多俄罗斯政府网站下线,受影响单位包括国防部等核心机构,政务、媒体等基础设施也出现用户无法访问的情况。国际黑客组织“匿名者”(Anonymous)也宣布对俄罗斯发起“网络战争”。俄罗斯电视台(RT)遭遇大规模的 DDoS 攻击,克里姆林宫、俄联邦委员会等政府部门网站也遭到了网络攻击。俄媒称,俄罗斯或将与全球互联网断开,启动本国“大局域网”(Runet)应对各国制裁。Runet 是俄罗斯基于国家网络防御目的构建的一个脱离全球互联网的内部局域网。

在乌克兰方面,通信行业、医疗行业、国家研究机构等国家关键基础行业遭到的攻击,具有很强的针对性。2 月以来,乌克兰有 200 多个IP/域名遭受 DDoS 攻击,遭受攻击频次最多的是乌克兰最大的电信运营商基辅之星(Kyivstar);受攻击 IP 分布所属行业最多的是互联网服务提供商。3 月 28 日,乌克兰通信商乌克兰电信(Ukrtelecom)因遭遇重大网络攻击下线、中断,网络连接水平下降到战前的 13%。Ukrtelecom 承担乌克兰约 80% 的基础通信职能,是乌克兰关键基础设施环节的重中之重。可见,电信关键信息基础设施致瘫产生的影响远不止网络本身。

3.我国电信行业关键信息基础设施同样面临风险

在我国,电信网络关键信息基础设施涉及终端、接入网、同步网、核心网,以及各类业务支持系统,资产规模庞大。随着数字化转型的深入,传统的信息与通信技术(ICT)边界被打开,从封闭走向开放化,从通信走向互联网化,并与云计算、大数据、人工智能、物联网、工业互联网等新技术相融合。网络云化/泛在化演进、面向个人服务(ToB)和面向企业服务(ToC)业务融合,导致网络开放暴露面不断增加,网络安全边界进一步模糊,电信关键信息基础设施正面临日益严峻的挑战,具体体现在以下三个方面。

一是核心自主可控能力不足。欧美国家频繁利用技术优势,发起贸易和技术战,导致我国网络基础设施“核心技术受制于人”“核心元器件内置后门”“存在未知漏洞”等风险更加凸显,严重威胁关键信息基础设施安全保护,网络设备的核心元器件中高端内存、大容量硬盘、高端光器件、信号收发模块、FPGA 芯片的国产化是网络自主可控亟待攻克的技术难点。

二是我国网络安全产业处于发展起步阶段。在产业规模上,网络安全投入占信息化的投入比例约为 3%,而欧美等发达国家和地区均在 10% 以上,部分国家超过 15%。网络安全产业整体协同力不足、核心技术、创新能力亟须加快突破,网络安全产业未能有效赋能电信行业关键信息的安全保护。

三是电信网络边缘化部署和网络资产的呈数量级增长现状,进一步加剧了网络设施分散、安全监控响应滞后的问题,加大了网络安全管理难度,而且,与人和管理相关的安全事件占比较高,因此,电信企业需要更加重视建立有效协同的安全管理机制和保障组织,提高网络安全人才培养力度。

二、电信行业关键信息基础设施安全保护的法制实践

关键信息基础设施安全保护立法成为国家安全战略重要的一个环节,网络安全法及配套的政策法规对促进我国关键信息基础设施保护具有显著作用。美国、欧盟、日本等国家和地区关键基础设施保护起步较早,通过制定和发布一系列的战略、政策和命令,构建了较为完善的国家关键信息基础设施保护体系,并且在不断地动态调整强化。我国虽然起步较晚,但是通过吸纳借鉴发达国家关键信息基础设施保护经验,结合我国现状,已经开展包括立法、配套政策以及标准规范在内的一系列法制保护实践,相关法律制度及标准体系正在逐步完善。

1.国外的实践

美国、欧盟、日本等国家和地区对关键信息基础设施的范围、保护目标、措施方法及组织架构都做出了详细规定,并进行动态调整。美国自 2001 年起先后颁布《2002 年关键基础设施保护法》(Critical Infrastructure Actof 2001)、《改进关键基础设施网络安全行政令》(Executive Order - Improving CriticalInfrastructure Cybersecurity)等相关法律,并在接下来的 20 多年间不断完善,经历了从围绕关键基础设施界定、机构设置、责任落实、政企合作、信息共享机制等,到从原有的被动静态防护转变成为积极的动态防御,到将保障关键基础设施网络安全上升到国家战略层面。

欧盟先后制定了《欧洲关键基础设施保护计划绿皮书》(Green Paper on a EuropeanProgramme for Critical Infrastructure Protection)和《网络与信息系统安全指令》(Directive onSecurity of Network and Information Systems)等,旨在保护关键基础设施免受大规模网络攻击和中断,重点是预防、安全性和恢复力。2020 年发布的《欧盟网络安全战略》(The EUCybersecurity Strategy),将增强关键信息基础设施的保护水平和恢复能力作为未来五年网络安全领域的核心工作。

日本持续关注关键信息基础设施安全保护,建立了以政策法律为基础,以组织机构体系建设为重点,以监测预警和信息共享机制为支撑,以技术、人员、资金支持为保障的关键信息基础设施保护制度。

就细分的电信行业关键信息基础设施保护来说,美国已展开相关实践。2015 年,美国国土安全部就针对通信、IT 等 16 个关键信息基础设施领域制定了专项保护计划《美国信息技术部门关键信息基础设施保护计划》(US NationalInfrastructure Protection-Information TechnologySector Specific Plan)等,以行业领域特点和实际为基础,指导和规范保护工作的开展。

2.我国的实践

我国积极开展关键信息基础设施保护立法和标准实践,同时规定优先保障电信等关键信息基础设施安全运行,电信行业正在积极制定相关标准以衔接落实政策法规。

在立法方面,自 2017 年 6 月 1 日起实施的《中华人民共和国网络安全法》,专设“关键信息基础设施的运行安全”章节,对基本要求、部门分工以及主体责任等问题做出总体制度安排,要求构建以事前预防、事中控制、事后恢复与惩治的关键信息基础设施保护体系。自 2020 年 6月 1 日起实施的《网络安全审查办法》要求,确保关键信息基础设施供应链安全,维护国家安全。自 2021 年 9 月 1 日起正式实施的《关键信息基础设施安全保护条例》,对关键信息基础设施安全保护制度相关实施对象、责任主体、工作内容等进行了总体性规定,确立了我国关键信息基础设施安全保护的具体要求,与国家《数据安全法》《密码法》《个人信息保护法》等共同为网络安全法的配套法律法规。

在标准方面,2017 年以来,我国关键信息基础设施安全保护标准体系开始布局。目前,全国信息安全标准化技术委员会在研关键信息基础设施安全标准有 9 项,涵盖开展关键信息基础设施保护工作基本安全要求、安全检查评估流程和指标、关键信息基础运营者实施指南、供应链安全管理、运营者安全能力建设标准化指导、保护部门态势感知参考以及行业间协同机制等内容。这些安全框架、基本要求、控制措施、检查评估指南与已有的国家、行业标准一起,共同形成了支撑关键信息基础设施安全保障的标准体系。

上述政策标准规定了所有行业关键信息基础设施安全保护基本要求,就电信行业来说,《关键信息基础设施安全保护条例》对做出了相关规定,国务院电信主管部门负责电信行业关键信息基础设施安全保护和监督管理工作;对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告;国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。同时,我国电信行业领域的关键信息基础设施安全保护系列标准,也正在积极制定中。

综上所述,我国电信行业关键信息基础设施保护立法工作待进一步完善,《通信网络安全防护管理办法》等多项部门规章有待加紧修订,需要与行业政策、关基条例做好衔接和落实,同时,更加需要加快出台电信行业领域的关键信息基础设施安全保护系列标准,以符合电信业务复杂的特点。

三、对我国电信关键信息基础设施安全保护的建议

综合以上分析,我国需要从标准规范、体系建设、产业支撑等方面,提高电信网关键信息基础设施的安全性和可控性。

1.健全网络安全标准体系

基础电信网络、重要互联网基础设施的安全保护通过完善的电信行业网络安全标准体系进行合规管理,需要有针对性地制定电信行业关键信息基础设施安全保护规范,并逐步细化。从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估,以及供应链安全、数据安全、信息共享、监测预警等方面,系统地推进电信行业关基标准研制工作,能够为安全技术手段建设和安全检查检测提供标准支撑,并在制定标准基础上多层次、多维度地推进标准落地和实施。

2.加强安全保障体系建设

围绕关键信息基础设施的分析识别、安全防护、检测评估、监测预警、技术对抗和事件处置六个环节,加强关键信息基础设施技术手段和管理体系建设,常态化开展关键信息基础设施全生命周期安全管理,构建关键信息基础设施安全保障体系。

图 关键信息基础设施安全保障体系

电信行业关键信息基础设施运营者需建立关键信息基础设施保护安全管理体系、技术体系和运营体系。首先,安全管理体系需要建立管理制度、设立管理机构、规定管理人员进行安全建设和运维管理,对分析识别环节中业务识别、资产识别和风险识别,安全防护环节的技术手段、容灾备份、供应链和采购,检测评估和监测预警环节的威胁监测、安全审计和检测评估,事件处置环节的安全事件、应急演练和事件处置等风险点进行安全管理。其次,安全技术体系是在网络安全等级保护三级以上实施重点保护,通过电信网络与信息安全态势感知平台、安全系统和安全设备等设施对骨干网/城域网、移动网、IDC/云流量和基础网络稳定运行环境进行技术手段建设。最后,通过安全运营体系进行资产梳理清查、风险发现、漏洞扫描加固、事件分析处置等运营过程管理。

另外,应加强行业协同保护关键信息基础设施安全,建立主动防御、信息共享、应急响应、预警通报和态势感知等协同机制,共同建立电信行业关键信息基础设施保护安全体系。

3.强化网络安全产业支撑

网络安全产业高质量发展能够推动资产测绘、监测预警、威胁分析等网络安全创新技术能力的提高、产品和服务的不断提升,从而保障电信行业关键信息基础设施建设,提升重要系统、关键节点及数据的安全防护能力,支撑关基全生命周期安全管理的保障体系建设。根据工信部2021 年编制的《网络安全产业高质量发展三年行动计划》,到 2023 年,电信等重点行业网络安全投入占信息化投入比例将不低于 10%,将进一步推动电信和互联网行业网络安全能力升级。一是加快关键核心技术攻关,夯实网络安全产业基础能力;二是开展网络安全技术应用试点示范,支持面向关键信息基础设施的安全技术创新应用;三是提升网络安全产品和服务供给水平,举办多层次网络安全技能竞赛,强化人才队伍支撑保障。

(本文刊登于《中国信息安全》杂志2022年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。