赵志国电信副局长浅谈信息网络安全面临的问题
各位专家、各位来宾,大家上午好!
很高兴参加本次会议,借此机会,我想跟大家共同探讨一下电信行业主管部门在加强信息网络安全保障,做好网络安全应急管理方面的认识和看法,以及行业主管部门所做的工作,更重要的是想跟大家共同探讨一下我们现在所面临的一些问题,以及下一步的基本考虑。
我介绍的内容主要是三个方面:第一,回顾一下现在面临的形势;第二,介绍一下工作和措施;第三,针对问题,提一些看法和建议。
第一,面临的形势
在座各位,可能大家都知道,去年中国召开了十七大,应该说在十七大上提出了要全面认识信息化深入发展的新形势和新任务,深刻把握信息化发展便利的新课题,更加自觉的走科学发展道路。应该说这是十七大提出的重要课题,就是我们如何看待信息化。信息化对我国的发展至关重要,也给我们提出一系列新的要求,在今天的现实,我们也面临挑战,我们认为信息化至少可以从以下三个方面思考:
1、信息化跟网络的关系,我们思考认为信息网络是信息化的重要组成部分和支撑平台,信息网络是信息化建设的重要内容,因为信息化搞得好不好,其中重要的原因和因素,有看信息网络建设的如何、应用的如何、使用的如何,从这个意义上讲,我们认为作为通信行业主管部门在管理的电信网和互联网作为信息基础性网络,它在国民经济和社会发展中所起的作用,应该说至关重要。所以,要求我们要充分认识现在所面临的形势以及我们所面临的重要性和紧迫性,需要我们采取措施,在加强发展的同时,怎么样更好的有利于网络持续、健康发展,这里面自然就引出一个网络安全的问题,这是从信息化建设本身的内容来看。
2、从信息化建设的应用来看。信息网络是信息化的基础平台,各行各业都离不开信息化网络的支撑和保障。所以说,网络的应用如何更好的服务于国民经济,服务于各行各业,各行各业对信息化提出更高的要求。在信息化的发展过程中,涉及到如何与工业化的融合,我们现在提出信息化在促进信息化与工业化融合过程中,怎么样走新型的工业化道路,推进“五化”的建设。大家知道,去年提出工业化、信息化、城镇化、市场化和国际化的相互融合,尤其提出了怎么样促进工业化和信息化的融合,这也是现在正在组建的工业和信息化部本身需要面临和解决好的问题,怎么样实现工业化和信息化融合的问题。随着网络的进一步发展,怎么样通过信息网络的发展,带动传动工业化的发展,从而走出一条新型的工业化道路,这变得至关重要。
现在信息网络的发展跟老百姓的关系越来越密切,人民群众对信息网络的依赖性越来越强,某种意义上讲,也关系到人民群众的切身利益,这里面有几个数据可以进一步说明这个问题,刚才奚国华副部长已经讲到,中国固定电话和移动电话的总数应该说已经达到了9.2亿,这是最新统计,如果从去年年底的统计来看,互联网的网民总数达到2.1亿人,其中宽带用户就达到1.63亿人,应该说发展速度比较快。全球范围来看,据不完全统计,全球用户有13亿,普及率平均在19%。中国现在固定网的用户已经达到16%,更重要的是我们看到趋势的发展,应该是更广。网络安全与否,直接关系到9亿用户的安全,关系到2亿网民的按照,所以跟老百姓密切相关。大家知道,现在基础信息网络所承载的应用应该说日益丰富,早期是传统的通信应用,比如说大家知道的电子邮件,现在网上的电子政务,各行各业、各部门都在上网,实施了所谓的政府上网工程。电子政务的发展,应该说取得了新的阶段。大家知道,去年国务院提出怎么样加强政府的信息公开和信息披露,其中我理解政府所开办的各类形式的网站,尤其是开展网上的政府活动,除了信息披露,还有网上电子政务的安排,应该说跟老百姓的日常生活密切相关。大家都知道电子金融、电子商务,包括网络媒体,应该说发展非常快。有的人说,早期网络的通信特征比较明显,随着互联网的发展,网上媒体特性比较明显,所以有人说网上发展的结果是通媒特性比较明显,并且相互融合、相互影响。第三个特征,网上的商务应用或者说娱乐性应用越来越丰富。现在进一步梳理一下,互联网说的应用而言,可能面临需要进一步优化结构的问题,比如说怎么样加大电子商务的应用。上上周我在英国参加了一个中英互联网论坛,通过这个论坛,我知道电子商务在世界范围内发展的非常快,我国在这方面,尽管发展的也很快,但是从全球范围来看,应该说存在一定的差距或不足。据不完全统计,去年年底我国电子商务交易额在2万亿人民币的规模,从全球范围来说,占的比例非常小。信息网络是社会网络的有力支撑,利用信息网络可以将远程医疗、远程教育等公共服务送至千家万户。从网络的建设来看,如何能够使网络打造的更安全、更可靠,更能够通过网络平台让更多人在网上进行工作、生活以及表达他们的社情民意。大家都知道,人们的生活跟网络越来越密不可分,应该说网络安全与否,直接关系到保障用户利益的必然要求,从这个意义上讲,我们感觉信息网络的安全直接关系到人民群众的切身利益,我们应该从关注民生的角度关注网络安全的问题。
3、信息网络安全直接关系到国家安全和社会稳定。大家都知道,现在信息网络是社会管理的重要工具,政府日常工作,包括应急处置,中国应该说在应急管理方面,自从2003年SARS给我们上了一课,从此以后国务院每年都在召开一年全国应急管理工作会,并且也成立了专门的机构,从规划体系以及日常预案和应急处置、各自协调协作机制等多个方面在抓应急体系的建设,由此说明,怎么样利用网络开展一些政府的应急完全工作,应该说至关重要。我刚才讲到,信息网络的确是重要的载体,从这个意义上讲,我们如何把这个平台打造好,对精神层面的空间,如何使网络成为大家精神的家园,这可能也是我们现在在建设、管理方面考虑的重要问题。某种意义上也可以讲,信息网络的安全直接关系到我们国家的安全和经济安全,以及文化安全,可以说成为社会安全重要的组成部分。
4、从网络自身面临的危险来看,给我们的答案不容乐观。在传统的固定网、移动网方面,毕竟是相对分立的网络,再加上网内有严格的协议规定,所以可以说它是可控的,也是可管的,它的安全某种意义上相对来讲是有保障的,因为它的机制决定。但是我们今天面临的互联网,由于网络本身的开放性以及协议的共享性,就给我们带来了许多没有想象到的情况和问题,所以首先面临的网络攻击,尤其是黑客入侵,病毒和垃圾邮件的传播,在全球范围来看,有这个问题,这成为当前信息安全面临的最大挑战,这是网络本身给我们带来的,对这个问题,应该从网络本身思考。
信息网络的安全服务,应该说是高科技领域和高科技系统产品,从某种意义上讲,我们一些核心的技术,掌握起来还存在一些不足,安全的漏洞,应该说还是存在的,并且我们对安全漏洞的了解和认识,存在着一定的局部性,全面性、系统性不够,这就使我们对安全的问题认识有个过程,怎么样使我们对安全的问题有全面、系统的了解。
现在自然灾害频繁,就中国而言,每年突发的公共事件,总体上来讲,也是有增无减。在突发的过程中,对通信网络,包括信息网络,应该说是一个挑战,包括外部一些人为的以及自然的破坏,通信的电缆、光缆,包括通信设施(机站),遭受破坏的程度非常严重。去年我们联合公安部,对盗窃和破坏通信设施、广播设施、电力设施的进行了打击。从电信行业来看,去年发案率在27万起,应该说对网络本身的安全,外部带来的安全破坏,也是不容忽视的。就有关方面报告,各国也在加入这方面的力量,怎么样更好的、有效的、有针对性的做一些工作,当然不同的国情不一样,做法不一样,但是至少在网络安全或者防止网络攻击方面,需要我们进行系统的、全面的认真思考,这可能是我们所面临的网络自身安全所带来的问题。
5、大家知道,信息网络安全是保障奥运会成功举办的重要条件,今年8月份在北京将举行29届奥运会,奥运会期间有很多赛事活动,包括一些宣传,都要依靠网络提供服务,包括网络的接入、系统运行,包括奥运会相关网站等等,应该说这个安全与否,直接关系到奥运会是否能够顺利成功的举办,这应该说给我们提出一个新的课题。同时,在奥运会期间,在面临着怎么样为公众提供安全可靠的通信服务和有保障的网络环境,这应该说也是我们现在通信行业正在主抓的内容。大家都知道,奥运的也涉及到方方面面重要的信息系统,这些系统系统的安全稳定,对我们成功举办奥运会也至关重要,我们怎么样从主管部门的角度看,支撑好这些安全性,也是我们正在研究、面临的问题。
第二、工作和措施
1、回顾一下现在在信息网络安全方面工作的总体思路。总的来看,首先还是从规划入手,首先要分析一下面临的形式和任务,从而提出我们在5年期间网络安全的专项规划,来指导我们行业如何加强网络安全的保障。我们认为,应该在5个方面作为重点:(1)进一步完善法律法规;(2)加强防护体系建设,大家都知道,防护体系建设,实际上应该说这几年我们在这方面也加大了一些力度,包括在这方面我们也建立了一些监管体系建设,包括如何去进一步加强基础电信网的管理,如何去落实一些基础防范的措施,从我们这个层面来看,我们既有规章层面的,又有制度层面的,更重要的还有技术措施,从技术措施来看,我们要更全面的针对不同的网络、不同的情况进一步落实;(3)加强应急体系建设,当这个事情发生以后,我们力争让它不发生,但是发生以后,怎么办?我们怎么样在第一时间及时了解到这个问题,能够及时采取有效对策,这是我们在应急体系建设方面正在关注的问题;(4)怎么样加强自主创新的能力,大家知道网络安全根上还涉及到产业的安全,说的具体一点,还涉及到基础的安全,如何加强自主创新体系,这也是我们现在,尤其是在高端的技术方面、产品方面,怎么样加大投入,能够形成有效、可控的安全产品;(5)从规划的角度,我们重点保障关键用户和重大的活动,因为我们想,还是要区分重点,对于必须保障的重大活动和重大用户,我们做重点保障,从而推动整体的发展。
2、重在防护体系的建设,一个防护体系建设主要是加强行业的指导。大家都知道,在去年原信息产业部牵头在落实关于网络的安全防护工作,我们主要从等级保护、风险评估、灾难备份、相互结合又相互融合的思路,整体来推进信息网络的安全防护措施,去年9月份已经启动,截止到今年3月底,已经基本全面完成网络的等级评估和备案工作。下一步,要对备案以后的分析进行进一步评估。我们建立了行业关于等级保护方面的一系列标准,去年应该说共出台了30多个标准,制定了标准的规范,具体来看,这里面有《电信网和互联网安全防护管理指南》,以及覆盖传送网、交换王、IP承载网等十几个专业的网络系统标准,去年年底开始在行业内进行全面的等级保护。我们依托社会各界力量,成立了专家组,负责电信网络安全保护相关问题的研究和技术支撑工作,比如说全国一共分成多少个网络单元,作为我们定级的对象,现在全国排了8000多个网络单元,分了5个等级,不同的级采取不同的防护措施和防护要求。通过半年多的工作,这些专家发挥了重要的工作。怎么样加强防护等级系统的管理,目的是怎么样提高这方面工作的有效性,真正对行业落实网络安全的防护体系起到一个很好的作用。我们在今年继续针对来自外部的不确定环境和人为因素的破坏,今年继续启动打击盗窃破坏电信设施和线路的违法犯罪活动,这个工作一直在持续进行。
3、关于电信行业的应急管理体系,应该说现在的行业,我们认为应急体系正在建设和完善,因为在05年出台了国家级的通信保障应急预案,后来也出台了互联网网络安全应急预案,根据互联网发生一个安全事件以后,发现需要协调的部门比较多,有时候需要其他相关部门的协调,更多是相关部门网络出现问题的时候,也需要我们给予支撑和协调,所以我们也出台了互联网网络安全应急协调机制,大家在协调方面怎么办,从而进一步明确了应急的组织体系、管理体系,包括重大事件的定义以及应急的工作机制和工作流程,可以说形成了电信行业主管部门统一领导,各省通信管理局和各相关企业等相关组织的协调配合、快速响应的电信行业应急管理体系,我们认为这个体系已经健全。同时也完善了应急的管理机制,完善预警信息和事件信息的信息上报、通报制。完善了信息预警的手段建设,比如说建立了863、917平台,及时对网上的安全事件进行预警。建立在日常状况下定期联络会议制,目的是针对企业以及各行业用户所反映出来的网上所发生的各类事件进行及时研判,有重点的采取一些应对措施,目的是通过交流和合作,提高大家应对网上安全事件的能力和水平。我想,这次东盟的体系所开的交流会,也是为了共同提高针对东盟区域应急响应和合作。规范信息发布制度,可能处理过应急事件的相关人员都知道,当应急事件发生以后,不是没信息,是信息太多,但是不知道到底信谁的,大家都在说,说的还不一样,这时候我们感觉到信息流的管理至关重要,谁是权威人士、权威部门。信息流到底按照什么样的流程和程序在运行?最终的决策是谁?我想,这个机制在全球范围内有非常好的探讨意义。06年我带了一个团到英国考察,专门针对英国伦敦地铁爆炸案,据英方介绍,在爆炸发生后,对到底发生什么事,由谁发布、怎么发布,当时他们认为在这些方面有许多值得总结的经验和教训,甚至包括对于通讯的有效限制,他们认为也提出了新课题,包括他们后期在总结的时候,也梳理出,如果我没有记错的话,他们说梳理出了700多个问题,足以进行研究和解决,最终形成有效的机制和制度来运营检查。从这个意义上讲,应该说规范信息发布者,我们认为也是非常重要。
建设应急管理的支撑平台,大家知道,怎么样做到早发现、早预警,这必须要有信息,而信息来源必须靠系统的检测,所以系统的建设还是非常重要。当事件发生以后,在处理的过程中,如果停留在传统打电话、发传真、报信息,我们感觉远远是不够的,要建立有效的应急指挥调度平台,包括各种数据,各方面的制度政策都应该在里面,包括各方面的功能数据,应该建立完备的数据库,包括一些典型案例的分析,也许才能指导我们更好的做好应急管理工作。既然是网络应急,还要强调谁运营谁负责,因为我们想运营商对网络的运营状态和运营情况踏实,应该说在第一时间发现和了解,所以我们坚持要求基础电信运营企业不断完善自己的网管系统,同时提高检测和控制的能力,这点也是至关重要的。我们感觉需要组织开展应急演练,只有通过演练,才能使我们的预案落到实处,只有通过演练才能找到我们的预案的不足之处,从而使预案是可操作、可执行的,而不是停留在文字上。有时候预案很好看,很全面,但是到关键时候用不上,这可能是现实中面临的比较有代表性的问题。
4、做好重大活动的专项通信和网络安全保障工作。我们制定了一系列工作方案、配合机制和工作要求。比如说我们针对一年一度所召开的“两会”,以及今年的奥运会等等,这应该是今年重点保障的内容,包括如何使我们的网络更加畅通,如何使我们的网络更加安全,当发生安全事件的时候,我们怎么样能在第一时间进行处置,这可能是我们现在既在做的工作,又是需要我们进一步做好的工作。
第三,存在的主要问题和下一步工作的建议
从存在的问题来看,我认为主要有四个问题:1、有关方面对网络安全的重要性认识还有待于进一步提高,大家都知道,现在的认识,为什么大家老认识,我感觉统一认识还是有个过程,因为大家的背景不一样,从事的工作性质不一样,对安全的认识还有不断提高的过程我的这点体会应该说非常深刻,所以存在的第一个问题就是由于认识不到位,许多措施、要求不到位,或者落实的不够好。2、从国家层面来看,感觉网络安全方面的法律法规建设相对滞后,倒不是没有,挺多的,但往往是层次不够高,体系不够完整,甚至有些规定操作性差。3、从国家层面来看,现在信息网络安全保障工作的整体性不强,这一点认识,我感觉正好跟过程何院士所说的指导性、协调性不强相对应,我们感觉就是整体性不够,所以需要强化这个整体性,包括管理,应该说有的安全事件多头管理、多个部门在管理,有的安全事件不知道向谁报告,这里面可能面临权责不一致的问题,以及现在的信息基础网络和信息系统安全界面到底怎么划分,如何进一步科学划分,我们感觉也是问题,有的可能把信息基础网络扩大化,也存在这种认识。从国家层面来看,总感觉跨行业、跨部门的应急协调机制,有没有?有,但是实战性差,需要进一步强化。4、各项网络安全保障制度和措施有待进一步落实,现在有制度,但是落实的不好,有检查,有发现一些问题,但是后期整改的不好,最终怎么样把安全问题转化为自觉的行动,转化为各环节、各部门必须明确的,有责任人落实的事情。
从下一步工作的措施计划来看,我们想针对这个问题,主要有四个方面:1、指导基础运营企业进一步站在维护工作利益、国家安全和社会稳定的高度,切实提高做好安全保障工作的责任感和紧迫感;2、夯实网络安全管理的基础,进一步健全网络安全保障体系,我们认为现在的保障体系做了一系列工作,但是我们认为还不够,具体来看,有几个方面:(1)关于网络的划分与定级,怎么样提高网络保障安全的针对性和时效性;(2)怎么样通过安全的评测确保落实于网络重要性的工作;(3)通过风险评估使保障措施的有性;(4)针对电信入网提供安全性和有效性;3、下一步需要协调调动各方面的资源,共同参与网络安全的保障工作,如何发挥专家以及各方面资源优势提高决策的科学家,怎么样发挥第三方服务机构的管理以及作用,调动社会上专业技术力量对网络安全更好的提供保障,怎么样健全重要信息系统的协调机制,从而形成优势互补的合作机制;4、结合今年奥运会,通信网和网络安全保障的要求,如何全面的做好信息网络安全保障各项制度预案措施的落实,最近工业和信息化部下发了安全保障工作方案,里面一共涉及到20多项工作,也下发的关于互联网网络安全的实施意见,里面也涉及到方方面面,最近正在组织全行业针对奥运会网络安全进行部署、落实,后期我们还跟进一些相关检查和指导,最终通过调动各方面的积极性,共同做好网络安全,为北京奥运会作出我们应有的贡献。
谢谢大家,以上是我们的工作和看法以及今后的初步安排,只是一些看法,不当之处欢迎大家批评指正,谢谢大家!