【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天，在分会之“ISP & ICP安全”会上，工业和信息化部通信保障局处长闫宏强表示，在部门立法层面，正在制定通信网络安全防护管理办法，拟规定通信网络运行单位必须落实网络安全防护措施。

　　他还表示，要定期开展安全评测和风险评估，明确企业作为本单位网络安全的责任主体，应建立责任追究制度和监督检查制度等。

　　此外，从政府层面上，闫宏强指出，作为政府部门来说，除了做好行业监管以外，营造良好的网络环境是一个本身使命，没有一个好的网络环境，公众不安全，网络自身也不会安全，这是大环境、小环境和行业是相辅相成结合的。

　　而国际环境方面，网络安全没有一家能在大环境下独善其身的，现在很多国际合作集中在信息交流、培训方面，但在监测预警共享、联合处置突发事件方面，我们还有很多的工作需要挖掘、深化。以下是工业和信息化部通信保障局处长闫宏强发言实录：

　　主持人闫宏强：首先，由我做介绍。今天，主要讲四个方面的内容。

　　一、通信网络的地位作用;

　　二、网络安全面临的形势挑战;

　　三、通信网络安全管理工作简况;

　　四、几点思考。

　　一、通信网络的地位作用。

　　1、随着信息化和电子政务、电子商务的发展，通信网络已成为现代社会的关键基础设施，它承载了经济社会的运行，通信网络的不可用将导致经济社会的瘫痪，危及国家安全。

　　我们曾经开过交流会，有一个举了一个例子，原来我们去医院开病都是拿纸填单子，现在如果去医院看病，或者去机场办手续，如果信息系统坏了，如果网络传输坏了，那我们也看了不了病，也登不了机了。所以，信息化社会，人和经济运行对通信网络的依赖度不言而喻。

　　2、互联网作为人类文明的辉煌成果，自引入中国以来，极大的促进了信息化、经济发展、文化知识的传播和社会进步。它已成为必不可少的生产工具和生活工具，成为新的生产力，它也与传统电信网一起成为国家关键基础设施。

　　3、传统意义上的基础信息网络和重要信息系统在新的历史时期需要重新分类和定位，应该把通信、电力、金融定位为“社会基础设施的基础设施”。

　　(一)网络开放性不断增强

　　1、互联网从单纯的军用和科研网络，发展成为覆盖全球的开放互联网络。其用户开放性、协议开放性、缺乏中央控制等特征使互联网面临的内、外部安全威胁不断升级。

　　互联网是分布式的，电信网也是分布式的，但互联网缺乏中央控制，你我都平等，安全性很难控制，而且安全影响比较大。不像电信网，是受网络中心控制的，你的应用和服务都是在我做的数据登记和权限登记，当然电信网也是分布式的，但是它可以实现逻辑控制。

　　2、传统电信网自身日益IP化，使得传统电信网不再是“铁板”一块，日益面临许多非传统安全问题。同时，传统电信网与互联网相连，引入了风险。

　　3G从接入到核心网都在逐渐IP化，即使有的在过渡的话，传统互联网也与电信网相连，如网上营业厅等等，都有不同程度的和互联网相连，没有真正实现物理隔离，只是逻辑隔离，也有一定的风险。

　　(二)核心网络设备缺乏自主可控

　　这是一个老生常谈的问题，但这个问题也是网络安全的最核心因素中的一个。如果网络规模小，社会对它的依赖度不高，哪怕用一些国外的设备也没有关系。好比非洲某个小国的域名系统，它的CCTLD这类是由国外在运行。因为，它的互联网规模小，社会应用小，哪怕断一下也不会也太大的问题。但是，中国的网络已经这么大，社会、经济、政治、文化等等对互联网依赖度这么高，如果我们不自主可控的话，一切无从谈起。

　　1、今年设备国产化取得很大进展，华为、中兴成为中国通信设备制造业走出去的一面旗帜。国内通信网：传输、固定电话交换、软交换、信令网设备国产化率很高。

　　2、但互联网设备国产化率低，核心网基本上为国外设备。移动网设备国产化率低，分组域比电路域更低。

　　3、网管、计费等运营支撑系统中使用的服务器、存储设备、操作系统、数据库国产化率为零。

　　基础网络的交换是一个基础工程，但网管、计费等运营支撑系统与银行、电力等重要支撑系统实际上没有质的区别，主要完成存储、控制等服务功能。但是，目前由于国内设备还没有达到高的水准，国产化率还是很低的。

　　(三)网络面临外部威胁升级。

　　外部威胁现在有散兵游泳，也也来自国家的威胁，现在的黑客不再热衷于炫耀技术，CNCERT/CC每年都发布年报，都有详细地图表。

　　1、受各种利益驱动尤其是经济利益的驱动，人为恶意安全事件明显增多，网络病毒、垃圾邮件、网络仿冒、网页篡改、网页挂马、拒绝服务攻击和域名劫持等网络安全事件时有发生。特别是木马、僵尸网络已形成地下黑色产业链，危害尤为严重。不但危害普通用户和企业利益，而且威胁互联网基础设施的安全运行。网络攻击不但造成网站无法提供服务，而且已发展到威胁基础通信网络安全，堵塞城域网和IDC已很常见。2008年，潍坊城域网因DDOS攻击堵塞事件。

　　现在，很多地市城市的带宽到省网的带宽可能还是以10G为数量级的，现在DDOS规模越来越大，我还不知道目前国际或国内发生最大的DDOS流量是多少，只是从已知的来说发生几十亿的流量已经是小意思了。

　　2、战争威胁：国与国对抗的威胁，导致民用通信网面临军事打击。

　　由于某些国家把网络作为一种武装来看待，强调战略威慑，作为国与国的战略手段，通信网定位为民用基础设施，民用基础设施面对军事打击再怎么防护也是无能为力的，本质上不是一个重量级的，如一个国际长跑运动员和一个普通运动员在赛跑，在拳击一样，那是不可一日而语的。

　　(四)第三方服务的大量使用。

　　1、这与网络复杂度大量提升、社会分工、企业日益强调市场为先，能外包的都做外包有关系。

　　2、引入第三方服务，以及对第三方服务缺乏有效地管控，同时也给网络安全引入了风险。

　　(五)网络规模和复杂度提高。

　　1、网络和系统变得日益复杂和庞大，局部或一个环节出现问题，将可能影响整个网络。保障网络正常运行、业务畅通的任务日益艰巨。如网络结构设计和运维中的错误配置和操作也将影响网络安全。

　　2、10月13日，瑞典国家优异域名.SE由于错误配置造成停止解析1小时，影响90万个域名及相关网站服务。

　　在应急状态下的误操作也是很可怕的，如果没有事前的演练磨合的话，误操作将会使损失更加严重化。

　　(六)安全管理问题。

　　1、发展和安全不平衡。这不仅通信行业如此，整个社会处在经济发展历史时期也是如此。有一句形象的话，经济社会发展占主动，只要经济社会发展就什么都不管，其实会给社会和谐等各个方面带来很大的问题。

　　2、 很多企业也是这样，体现在：思想仪式上重发展轻安全，人财物投入不足，安全管理制度不完善，安全措施不到位等方面。