首页 > 新闻 > 专家观点 >

论新型互联网接入业态给信息安全监管带来的风险与挑战

2016-05-26 14:24:20   作者:柳青   来源:工业信息研究院   评论:0  点击:


  2014年2月27日,中央网络安全和信息化领导小组成立,习近平总书记提出“没有网络安全就没有国家安全”;2016年4月19日,习近平总书记再次强调“推进网络强国建设,让互联网更好造福国家和人民”。近年来,《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国反恐怖主义法》、《中华人民共和国国家安全法》等网络信息安全方面的国家法律陆续出台。依法加强网络空间治理,是当前政府监管的重要使命。其中,加强互联网接入源头管理已成为有关政府部门管理互联网的关键着力点,新型互联网接入业态也引起各方关注,如何有效应对新型接入业态带来的安全监管问题已迫在眉睫。
  一、2015版《电信业务分类目录》将互联网接入类业务明确为第一类增值电信业务
  为更好的适应业务和市场发展需要,2015版《电信业务分类目录》于2016年3月1日正式实施,并将原第一类增值电信业务和第二类增值电信业务所含业务子类进行了重新调整和合并,最终确定第一类增值电信业务为基于设施和资源的业务,也就是我们俗称的互联网接入类业务。调整后的第一类增值电信业务种类以及与2003版《电信业务分类目录》的区别如下:
  1、因特网数据中心业务(IDC):与2003版业务定义不同的是,2015版中的IDC业务在原有业务中新增了互联网资源协作服务业务,即通俗理解的向第三方客户提供数据存储服务(IAAS服务)和面向开发者提供的互联网应用开发环境、互联网应用部署和运行管理等服务(PAAS服务)的业务。这也是为了适应传统IDC向云计算转型趋势而调整的。
  2、内容分发网络业务(CDN):该业务为2015版中的新增业务。这是考虑到当前我国CDN产业发展已有一定规模,并已逐步成为互联网网站等应用的重要联网途径而新增设立的。其实,早在2013年国家发布的“宽带战略”中已明确将CDN作为了国家信息基础设施的重要组成部分。
  3、国内互联网虚拟专用网(IP-VPN):与2003版中的业务定义相同。
  4、互联网接入服务(ISP):由2003版中的第二类增值电信业务调整为2015版中的第一类增值电信业务。
  在上述四类业务中,除IP-VPN业务以外,其余三类业务是我国网站与应用接入互联网的主要方式与途径,据不完全统计,目前通过IDC、ISP业务接入互联网的域名已约占我国域名总量的70%。
  二、新型接入业态给信息安全监管带来管理与技术两个层面的新问题
  据中国信息通信研究院数据显示,截至2016年3月份,我国共有2219家ISP企业与850家IDC企业,并主要集中于北京、广东、浙江、江苏、四川、上海等6地(占全国总量近60%)。此外,据不完全统计,我国约有4000多家大小规模不等的CDN企业。当前我国接入业务市场存在经营主体繁多、业务实现方式多样、地域分布不均等现状,加之SDN(软件定义网络)、云计算等新技术的出现与应用,互联网接入环节的信息安全监管面临新的风险与挑战。总体来说,主要体现以下两个层面。
  (一)管理层面
  1、互联网接入类服务主体增多,原有的信息安全监管要求需要进一步调整与细化。在近年来新出台的《全国人大关于加强网络信息保护的决定》、《反恐怖主义法》、《国家安全法》等法律法规中,均明确了互联网服务提供者在信息发布与传输环节的信息安全义务与责任。此外,在工信部的相关文件(如《电信业务经营许可管理办法》等)中,也有专门关于互联网接入服务提供者的信息安全管理要求。因此,目前关于互联网接入服务的信息安全法律责任已十分明确。然而,纵观相关管理文件,只有在2012年11月工信部发布的《关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》(工信部电管函[2012]552号)中,对IDC、ISP业务提出了相对比较细化的信息安全管理要求与实施细则。随着互联网接入业务的种类明确和增多,原有的一些信息安全监管要求需要进一步覆盖新增业务,并需要围绕业务特点尽快出台更加有针对性的管理要求与实施细则。
  2、互联网接入类业务网络服务架构形态呈多样化,原有的集中与属地监管界限划分需要重新定义。以SDN、云计算为代表的技术业务发展导致互联网接入业务形态变化,呈现基础设施(机房等)区域集中化、网络资源(IP地址、域名、虚拟服务器等)跨区动态迁移等特点,同一互联网接入服务商所拥有的机房基础设施所在地、接入网络端口所在地出现分离,新的网络服务架构形态出现,如本地机房异地接入、多地机房多地接入、本地机房多地接入等等。这些新形态打破了以机房等基础设施所在地的行业管理部门为主的属地化监管模式,使得机房设施所在地的行业管理部门与接入网络所在地的行业管理部门的管理权责边界有待重新划分。此外,部分业务的跨界动态分布等特征要求信息安全管理需实现全国“一盘棋”,因此现有接入服务的属地与集中监管分工需重新调整、监管协作也需进一步加强。
  (二)技术层面
  1、接入服务模式由原来的单一方式逐渐演变为多融合方式,基础资源核查难度大,为信息安全事件的追踪溯源造成影响。传统IDC、ISP业务中用户对应的网络资源(如IP、域名等)以及物理资源(如服务器、机柜、机架等)等信息基本固定不变或变化相对较慢,但是云平台、CDN以及云IDC、云CDN等新型接入形态,将导致用户对应的网络资源与物理资源可动态变化,且用户对应的资源将以“池”的形式存在。因此原有IDC、ISP业务进行用户单一资源报备的方式将不适用于新型接入业务,新型接入业务需详细记录用户使用资源池时的动态分配信息,以便发生违法信息安全事件后可通过网络资源线索进行用户溯源。此外,在2015版《电信业务分类目录》实施前,接入资源转租现象仅在IDC与ISP企业之间发生,而以后将在IDC、ISP、CDN、云等企业之间发生,由于CDN强调分发IP集群、云强调基础资源池等概念,这与传统IDC、ISP业务区别较大,由此将导致以后的基础资源核对等工作难度大大增强。
  2、互联网接入环节增多,信息传播方式及路径复杂多变,原有信息安全技术监管能力显得“心有余而力不足”。前期,根据相关法律法规以及政策文件要求,IDC/ISP企业应依法建设信息安全管理系统,并以机房为单位实现对传输链路中的违法信息监测与处置。而前期已提到,云计算和CDN业务将打破原有为机房维度的业务单元,并实现跨界动态分布,信息的传播与联网路径将复杂多变,因此现有的信息安全管理系统建设模式将不再适用于新型的接入业态。新型接入企业需以企业为单位,以功能为导向,结合各自的实现技术与管理策略,建设有针对性的信息安全管理系统。同时,原有的行业信息安全技术监管模式也需要根据企业的业务种类、实现方式以及客户类型,从原有的以属地化为主的对接方式改为属地与集中相融合的多样化对接方式。
  三、应积极探索建立多样化的互联网接入业务信息安全监管模式
  综上所述,我国通信行业已在原有的IDC、ISP等接入业务中积累了比较成熟的信息安全监管体系与技管结合的监管方式,但是新型互联网接入业态将带来的新问题。对此,我们需要在原有基础上,紧密围绕确保“网络空间天朗气清、生态良好”的工作目标,加快研究CDN、云计算等新型业务形态给网络信息安全管理以及技术保障措施建设造成的影响,并积极探索建立适应新业态的信息安全监管模式,如针对取消准入和年检等行政管理趋势,研究完善以企业信用评价、信息披露、信息公开为抓手的事中事后监管体系;针对CDN、云计算等业务建设更加有针对性的信息安全技术管理措施;利用大数据技术创新监管模式并提升监管效力等。总而言之,应加快研究、积极调整,尽快构建覆盖新型互联网接入业务的信息安全管理体系。
  作者简介:
  柳青:中国信息通信研究院安全研究所工程师,长期从事互联网信息安全管理与技术保障措施研究,并主要负责IDC、ISP、CDN、云计算、域名等重点业务的信息安全监管支撑。

相关热词搜索: 安全 风险 互联网

上一篇:国际运营商物联网布局及启示

下一篇:最后一页

分享到: 收藏

专题