【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天，在分会之“ISP & ICP安全”会上，工业和信息化部通信保障局处长闫宏强表示，在部门立法层面，正在制定通信网络安全防护管理办法，拟规定通信网络运行单位必须落实网络安全防护措施。

　　他还表示，要定期开展安全评测和风险评估，明确企业作为本单位网络安全的责任主体，应建立责任追究制度和监督检查制度等。

　　此外，从政府层面上，闫宏强指出，作为政府部门来说，除了做好行业监管以外，营造良好的网络环境是一个本身使命，没有一个好的网络环境，公众不安全，网络自身也不会安全，这是大环境、小环境和行业是相辅相成结合的。

　　而国际环境方面，网络安全没有一家能在大环境下独善其身的，现在很多国际合作集中在信息交流、培训方面，但在监测预警共享、联合处置突发事件方面，我们还有很多的工作需要挖掘、深化。以下是工业和信息化部通信保障局处长闫宏强发言实录：

　　主持人闫宏强：首先，由我做介绍。今天，主要讲四个方面的内容。

　　一、通信网络的地位作用;

　　二、网络安全面临的形势挑战;

　　三、通信网络安全管理工作简况;

　　四、几点思考。

　　一、通信网络的地位作用。

　　1、随着信息化和电子政务、电子商务的发展，通信网络已成为现代社会的关键基础设施，它承载了经济社会的运行，通信网络的不可用将导致经济社会的瘫痪，危及国家安全。

　　我们曾经开过交流会，有一个举了一个例子，原来我们去医院开病都是拿纸填单子，现在如果去医院看病，或者去机场办手续，如果信息系统坏了，如果网络传输坏了，那我们也看了不了病，也登不了机了。所以，信息化社会，人和经济运行对通信网络的依赖度不言而喻。

　　2、互联网作为人类文明的辉煌成果，自引入中国以来，极大的促进了信息化、经济发展、文化知识的传播和社会进步。它已成为必不可少的生产工具和生活工具，成为新的生产力，它也与传统电信网一起成为国家关键基础设施。

　　3、传统意义上的基础信息网络和重要信息系统在新的历史时期需要重新分类和定位，应该把通信、电力、金融定位为“社会基础设施的基础设施”。

　　(一)网络开放性不断增强

　　1、互联网从单纯的军用和科研网络，发展成为覆盖全球的开放互联网络。其用户开放性、协议开放性、缺乏中央控制等特征使互联网面临的内、外部安全威胁不断升级。

　　互联网是分布式的，电信网也是分布式的，但互联网缺乏中央控制，你我都平等，安全性很难控制，而且安全影响比较大。不像电信网，是受网络中心控制的，你的应用和服务都是在我做的数据登记和权限登记，当然电信网也是分布式的，但是它可以实现逻辑控制。

　　2、传统电信网自身日益IP化，使得传统电信网不再是“铁板”一块，日益面临许多非传统安全问题。同时，传统电信网与互联网相连，引入了风险。

　　3G从接入到核心网都在逐渐IP化，即使有的在过渡的话，传统互联网也与电信网相连，如网上营业厅等等，都有不同程度的和互联网相连，没有真正实现物理隔离，只是逻辑隔离，也有一定的风险。

　　(二)核心网络设备缺乏自主可控

　　这是一个老生常谈的问题，但这个问题也是网络安全的最核心因素中的一个。如果网络规模小，社会对它的依赖度不高，哪怕用一些国外的设备也没有关系。好比非洲某个小国的域名系统，它的CCTLD这类是由国外在运行。因为，它的互联网规模小，社会应用小，哪怕断一下也不会也太大的问题。但是，中国的网络已经这么大，社会、经济、政治、文化等等对互联网依赖度这么高，如果我们不自主可控的话，一切无从谈起。

　　1、今年设备国产化取得很大进展，华为、中兴成为中国通信设备制造业走出去的一面旗帜。国内通信网：传输、固定电话交换、软交换、信令网设备国产化率很高。

　　2、但互联网设备国产化率低，核心网基本上为国外设备。移动网设备国产化率低，分组域比电路域更低。

　　3、网管、计费等运营支撑系统中使用的服务器、存储设备、操作系统、数据库国产化率为零。

　　基础网络的交换是一个基础工程，但网管、计费等运营支撑系统与银行、电力等重要支撑系统实际上没有质的区别，主要完成存储、控制等服务功能。但是，目前由于国内设备还没有达到高的水准，国产化率还是很低的。

　　(三)网络面临外部威胁升级。

　　外部威胁现在有散兵游泳，也也来自国家的威胁，现在的黑客不再热衷于炫耀技术，CNCERT/CC每年都发布年报，都有详细地图表。

　　1、受各种利益驱动尤其是经济利益的驱动，人为恶意安全事件明显增多，网络病毒、垃圾邮件、网络仿冒、网页篡改、网页挂马、拒绝服务攻击和域名劫持等网络安全事件时有发生。特别是木马、僵尸网络已形成地下黑色产业链，危害尤为严重。不但危害普通用户和企业利益，而且威胁互联网基础设施的安全运行。网络攻击不但造成网站无法提供服务，而且已发展到威胁基础通信网络安全，堵塞城域网和IDC已很常见。2008年，潍坊城域网因DDOS攻击堵塞事件。

　　现在，很多地市城市的带宽到省网的带宽可能还是以10G为数量级的，现在DDOS规模越来越大，我还不知道目前国际或国内发生最大的DDOS流量是多少，只是从已知的来说发生几十亿的流量已经是小意思了。

　　2、战争威胁：国与国对抗的威胁，导致民用通信网面临军事打击。

　　由于某些国家把网络作为一种武装来看待，强调战略威慑，作为国与国的战略手段，通信网定位为民用基础设施，民用基础设施面对军事打击再怎么防护也是无能为力的，本质上不是一个重量级的，如一个国际长跑运动员和一个普通运动员在赛跑，在拳击一样，那是不可一日而语的。

　　(四)第三方服务的大量使用。

　　1、这与网络复杂度大量提升、社会分工、企业日益强调市场为先，能外包的都做外包有关系。

　　2、引入第三方服务，以及对第三方服务缺乏有效地管控，同时也给网络安全引入了风险。

　　(五)网络规模和复杂度提高。

　　1、网络和系统变得日益复杂和庞大，局部或一个环节出现问题，将可能影响整个网络。保障网络正常运行、业务畅通的任务日益艰巨。如网络结构设计和运维中的错误配置和操作也将影响网络安全。

　　2、10月13日，瑞典国家优异域名.SE由于错误配置造成停止解析1小时，影响90万个域名及相关网站服务。

　　在应急状态下的误操作也是很可怕的，如果没有事前的演练磨合的话，误操作将会使损失更加严重化。

　　(六)安全管理问题。

　　1、发展和安全不平衡。这不仅通信行业如此，整个社会处在经济发展历史时期也是如此。有一句形象的话，经济社会发展占主动，只要经济社会发展就什么都不管，其实会给社会和谐等各个方面带来很大的问题。

　　2、 很多企业也是这样，体现在：思想仪式上重发展轻安全，人财物投入不足，安全管理制度不完善，安全措施不到位等方面。

　　二、网络安全状况存在的差距

　　1、与用户预期的差距：用户在长期使用以电话为代表的传统电信业务的过程中，尤其是上世纪八十年代起逐步实现交换程控化、传输光纤化的过程中，对电信业务形成了高可用性、有质量保障的预期。但互联网“尽力而为”的机制内因和面临各种复杂威胁的外因以及运维管理的复杂性高等因素，导致互联网可靠性降低，网络网络安全频发。

　　2、与保障经济社会发展使命的差距。

　　现在，网络量足够大，但质量到底如何?还值得我们认真考虑。但是，随着信息化的发展，质量应该越来越好。

　　3、与促进经济社会信息化使命的差距。

　　从应用角度来说，我们这个行业做得到底如何?应用服务上很多是增值服务，如QQ、迅雷、阿里巴巴等。但是，在基础服务这一块儿，在信息化领域不是一个长项，是一块短板，这方面还是有一定的差距的。

　　4、与保障国家安全的差距。

　　三、通信网络安全管理工作简况。

　　1、工信部作为通信主管部门，负有监督管理和维护通信网络安全、维护用户利益、营造良好网络环境的职责。

　　2、面临日益严峻的网络安全形势和繁重的网络安全保障任务，2008年工信部成立时组建了负责网络信息安全的专业局。

　　3、在网络安全方面做了大量的基础工作。

　　(一)立法和标准方面

　　1、加强网络安全立法和标准制定工作，将有关网络安全内容写入《电信法》中。

　　2、在部门立法层面，正在制定通信网络安全防护管理办法，拟规定通信网络运行单位必须落实网络安全防护措施，定期开展安全评测和风险评估，明确企业作为本单位网络安全的责任主体，应建立责任追究制度和监督检查制度等。

　　3、积极开展网络安全相关标准制订工作。在已有32项通信网络安全防护标准的基础上，进一步修订制订10项安全防护标准，涉及互联网、传送网、移动通信网、域名系统、网上营业厅、联网软件安全等相关标准。

　　(二)网络安全防护方面。

　　1、深入开展网络安全防护体系建设。

　　2、2009年度网络安全防护检查，历时4个月，涵概12个专业，完成全国范围3002个三级以上网络单元的达标评测和风险评估工作，及时发现薄弱环节，督促企业认真整改，委托专业技术队伍对抽取的75个网络单位进行现场技术检测和远程渗透性测试。

　　3、将.CN系统加入监管体系，对.CN系统进行服务监管。

　　4、加强对第三方服务的管理，制定第三方服务的安全标准，规范企业使用第三方服务的行为，减少网络安全风险。

　　5、同时，为充分发挥中介组织作用，支持中国通信企业规范网络安全防护的发展。

　　(三)网络安全应急体系建设方面

　　1、制定和完善网络安全应急预案，适应网络安全面临新形势和电信重组、政府机构改革变化，修订《互联网网络安全应急预案》，正在印发。

　　2、加强信息通报和共享，委托CNCERT具体协调通报工作，如及时通报BIND9高危软件漏洞。

　　3、组织开展应急演练。

　　4、有效处理重要网络安全事件。今年网络安全事件频发，连续发起5.19、6.25两起较大的网络安全事件，通过具体组织处理这两起事件，我们获得的几条经验是：

　　第一、越早发现，早研判、早处置、越主动。

　　第二、做好跨运营商的信息沟通，综合判定事件严重程度，采取正确措施，及时有效恢复。

　　第三、主动、及时做好与公众的沟通、解释工作，尊重公众的知情权，不怕媒体曝光。6.25事件中电信企业主动向公众致歉。

　　第四、各基础企业和增值企业在故障发生时精诚协作，共同应对。例如6.25事件中电信与腾讯的协作、5.19事件中CNNIC承担基础企业递归服务器故障后引导的突发流量。

　　(四) 开展公共网络环境治理

　　作为政府部门来说，除了做好行业监管以外，营造良好的网络环境是一个本身使命，没有一个好的网络环境，公众不安全，网络自身也不会安全，这是大环境、小环境和行业是相辅相成结合的。

　　1、近年来，充分发挥企业、支撑单位和行业组织作用，在治理垃圾邮件、打击牧马河僵尸网络等工作上取得很大成绩。

　　2、2006年，支持中国互联网协会成立垃圾邮件举报中心。成立12321网络不良与垃圾信息举报中心，发挥全社会监督作用，取得明显成效。

　　3、2009年，出台了《木马和僵尸网络监测与处置办法》，组织电信运营企业、互联网服务商、国家计算机网络应急技术处理协调中心对木马和僵尸网络等网络安全隐患进行治理。

　　4、2009年7月，支持中国互联网协会成立了反网络病毒联盟，组织基础电信运营企业、门户网站、搜索引擎服务商、ISP、IDC、网络安全厂商等企业，签署《反网络病毒自律公约》，联手打击网络病毒。

　　(五)做好国家重大活动的网络安全保障工作。

　　奥运会保障、国庆庆典保障、历年两会保障。

　　四、几点思考。

　　1、企业、社会和公民的网络安全意识的提高。

　　只有大家都提高了网络安全意识，一起精诚协作才能维护好互联网环境。

　　2、打击网络安全违法犯罪行为与加强安全防护应急的相辅相成关系。

　　作为通信部门，目前对防护和应急两大环节做了很多的努力，下了很多的功夫。但是，由于地下黑色产业链的存在，我们在明处，对方在暗处，打击了他们一个违法犯罪行为，他们又在另一个地方兴风作浪。所以，网络安全必须和公安部门、司法部门紧密协作，最根本是要抓住捣乱分子，把他们绳之以法，才能从根本上解决问题。从5.19事件抓获的四名犯罪分子来说，需要网络安全部门和司法部门、公安部门紧密协作才可以。

　　3、网络安全隐患已知远大于未知，网络安全还没有变被动为主动。

　　对这个事，我的理解不深。但是，目前我总的感觉是对网络硬件、操作系统软件、上层应用软件的漏洞、脆弱性还是处于拿着放大镜在到处找漏洞的阶段。还有一个非常重要的因素，由于基础核心的软件、硬件和设备是依赖于国外，即便我们有测评中心、监测中心等等，还是需要去找，不可能找全。所以，为什么要强调老生常谈的话题?基础网络和应用的可控要以软件和设备的自主可控为基础，这才是核心的。

　　4、设备制造和电信运营业、信息服务业的自主可控是保障安全的核心。在运营服务业上，价值逐渐在从网络层向应用层转移，值得关注。“云计算”的例子。

　　将来随着应用的不断丰富，如云计算、QQ等应用产业，会逐渐成为主要产业的核心或主体。但是，现在的国内企业如果在基础网络控制这一块儿由基础运营商控制，但在应用层方面很多是民营的、外资的，甚至很多民营的后台也是外资控制的，我们互联网产业的话语权、控制权怎么样?我不敢说比例有多大。所以，将来“云计算”兴起，国内不做的话，国外企业就会做，逐渐的互联网应用和服务就承载到人家的网上了。所以，信息服务业的自主可控也是非常关键的。

　　5、网络安全的国际协作任务艰巨，前景广阔。

　　网络安全没有一家能在大环境下独善其身的，现在很多国际合作集中在信息交流、培训方面，但在监测预警共享、联合处置突发事件方面，我们还有很多的工作需要挖掘、深化。

　　谢谢大家。