加强电信和互联网行业网络安全工作的思考

加强电信和互联网行业网络安全工作的思考

随着新技术、新应用和新服务的不断涌现，信息网络技术在经济和商业领域得到了广泛应用，网络安全面临着比较复杂、隐蔽性和破坏力的威胁。为有效应对日益严峻的新技术新业务网络安全威胁和挑战,工业和信息化部通信保障局深入推进电信和互联网行业网络安全工作体系建设,强化新技术新业务网络安全管理,不断提升保障能力与工作水平。作为承担电信和互联网行业网络与信息安全管理的司局,通信保障局已初步建立了涵盖网络安全防护、网络安全应急、网络安全威胁治理和网络安全保障为主线的行业网络安全管理工作体系。加强政治标准建设(1)《意见》的主要内容有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,2014年8月,工信部制定印发《关于加强电信和互联网行业网络安全工作的指导意见》(工信部保[2014]368号),明确新形势下行业网络安全工作的指导思想、原则、目标和重点任务。《意见》共分为总体要求、工作重点和保障措施三大部分。内容上充分考虑了中央网信办在网络安全工作方面的要求,工信部现行规章制度和管理机制,总结现有工作经验,紧密结合新形势下的突出问题,全面考虑电信和互联网行业网络安全工作的迫切需求,在继承已有政策机制的基础上开拓创新,完善了覆盖事前、事中、事后的网络安全管理体系。除原有重点工作外,《意见》又对网络数据和用户信息保护、新技术新业务网络安全管理、移动互联网应用程序安全管理、网络安全监管和行业自律等新形势下的重点工作明确了工作目标和任务,提出了新的工作措施,特别是建立健全大规模用户信息泄露事件的应急处置机制,将新业务以及利用新技术提供公共电信服务和互联网服务的基础设施和业务系统纳入通信网络安全防护管理体系,积极推动建立移动应用程序开发者第三方数字证书签名验证机制以及建立健全社会监督举报机制等。(2)行业网络安全工作规范长目前,网络信息安全标准总体框架、云计算、移动互联网安全标准体系等顶层设计已基本完成,已陆续出台近百项行业安全管理密切相关的网络信息安全标准,有效促进了我国通信行业安全工作规范长效开展。工业和信息化部已发布150项网络安全行业标准,覆盖了基础和增值电信企业,涉及网络、系统、应用、终端等多个方面。其中安全体系类标准26项,安全防护类标准47项,设备安全类标准27项,安全服务类标准6项,协议安全类标准16项,移动互联网安全类标准7项以及其他标准21项。随着电信网和互联网的发展,通信行业网络安全标准体系也在不断完善。目前在研标准(已立项,但未正式发布)包括云计算安全类、移动互联网安全类、物联网安全类等相关标准共266项。201四年新技术和新企业安全重点工作(1)公共云服务网络安全防护检查随着云计算技术的发展与普及,公有云逐渐成为国家基础网络设施的一部分,为及时引导公有云健康发展,指导公有云服务商加强安全防护,工信部通信保障局依据《通信网络安全防护管理办法》和《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》,于2014年9月至11月,对37家公共云服务企业开展了网络安全防护检查,基本涵盖了基础电信企业和主要增值电信企业的公共云服务平台。本次检查,通过制定检查方案及检查表格、现场技术检测与远程背对背技术渗透测试等工作,掌握了公有云平台的安全防护措施的实际效果,督促企业及时消除大量安全隐患。(2)应用商店网络安全试点不断深化移动互联网恶意程序具有恶意扣费、窃听监控、流量消耗、窃取信息等恶意行为,严重损害人民群众切身利益,危害网络安全。为净化移动互联网环境,维护互联网健康有序发展,保护网民合法权益,工信部联合公安部、工商总局,于2014年4月到9月在全国范围组织开展了打击治理移动互联网恶意程序专项行动。专项行动按照标本兼治、源头治理的工作思路,紧抓应用商店管理、应用程序开发、终端预装、恶意程序监测处置、网络犯罪行为打击、用户安全宣传等六个关键环节的管理,多措并举,取得了显著成效,具体成效包括:1)紧抓源头管理,应用程序开发、终端预装应用程序行为得到进一步规范。紧抓“软硬”两个源头,开展应用程序开发者签名试点,加大终端预装应用程序进网和证后监督管理力度。一是应用程序开发者第三方证书签名试点工作取得初步成效。为实现移动应用程序的防篡改和可溯源,保护用户和原始开发者的合法权益,工信部通信保障局指导中国互联网协会反网络病毒联盟、电信终端测试技术协会、电子认证服务产业联盟等开展移动互联网应用程序开发者第三方数字证书签名与验证试点工作,选取了6家电子认证服务机构、12家应用商店、5家手机安全软件厂商以及5家手机终端生产企业参与试点工作。研究制定了相关试点技术规范,百度手机助手、360手机助手、移动MM商城、联通沃商店等知名应用商店已经实现了对上架试点应用程序的签名验证和标识功能,数十款经过第三方数字证书签名的应用程序在参与试点的应用商店上架并标识。二是规范销售流通环节预装应用程序行为。吉林、江苏、广东等13个省通信管理局协同当地工商部门,对基础电信运营企业的营业厅、社会终端销售点开展了智能终端预装应用程序现场检查工作,检查终端销售点60个,发现预装恶意程序案例3起,并要求相关企业进行整改。2)紧抓网络传播渠道管理,应用商店网络安全责任得到进一步明确并落实。应用商店是应用程序的主要传播渠道。为遏制恶意应用程序传播,根据应用商店网络安全责任指南,通过宣贯培训、监督检查等方式,明确并督促应用商店落实网络安全责任。一是开展应用商店安全监督检查。通过对应用商店开展宣传教育和监督检查,开办主体主动关停或监管部门依法关停未备案等应用商店283家。广东、福建、山东等15个通信管理局对43家较大规模的应用商店进行了现场检查,并要求其中4家存在突出安全问题的应用商店进行整改。二是开展应用商店上架应用程序安全检测。江西、福建、辽宁等17个通信管理局对106家应用商店中的近520万个应用程序进行了安全检测,发现恶意程序10458个,并通知应用商店下架恶意程序。在通信管理局检测的基础上,工信部通信保障局又组织专业机构对全国135家应用商店上架应用程序进行远程抽测,共检测近483万个应用程序,发现恶意程序8520个,其中经人工判定存在手机窃听、恶意扣费等严重恶意行为的应用程序99个,已由通信管理局通知相关应用商店予以下架处置。通过以上工作,应用商店对上架应用程序的安全管理状况得到明显改善,专项行动后期在应用商店中检测发现的恶意程序数量占所有上架应用程序数量的比例为0.2%,远远小于2013年同期的4%。3)强化恶意程序监测处置,网络环境得到有效净化。加强恶意程序监测处置力度,切断恶意程序利益链条。一是指导督促CNCERT、三家基础电信运营企业加强移动恶意程序监测与处置技术手段建设。二是加大移动恶意程序监测处置力度。专项行动期间,网络侧监测发现恶意程序2.42万个,涉及恶意程序传播服务器、控制服务器相关链接1.59万个,协调运营商、域名解析服务商等处置具有严重危害影响的链接10105个。三是发挥中国互联网协会等行业协会组织作用,强化行业自律,初步建立移动应用程序公众举报和黑白名单机制,发布共享应用程序和恶意地址黑名单4078条,将12家企业纳入白名单,接受有关恶意程序的公众举报160多万件次,涉及应用程序15万个,其中确认恶意程序7300个。通过集中治理,专项行动期间网