一、2015版《電信業(yè)務(wù)分類(lèi)目錄》將互聯(lián)網(wǎng)接入類(lèi)業(yè)務(wù)明確為第一類(lèi)增值電信業(yè)務(wù)
為更好的適應(yīng)業(yè)務(wù)和市場(chǎng)發(fā)展需要,2015版《電信業(yè)務(wù)分類(lèi)目錄》于2016年3月1日正式實(shí)施,并將原第一類(lèi)增值電信業(yè)務(wù)和第二類(lèi)增值電信業(yè)務(wù)所含業(yè)務(wù)子類(lèi)進(jìn)行了重新調(diào)整和合并,最終確定第一類(lèi)增值電信業(yè)務(wù)為基于設(shè)施和資源的業(yè)務(wù),也就是我們俗稱的互聯(lián)網(wǎng)接入類(lèi)業(yè)務(wù)。調(diào)整后的第一類(lèi)增值電信業(yè)務(wù)種類(lèi)以及與2003版《電信業(yè)務(wù)分類(lèi)目錄》的區(qū)別如下:
1、因特網(wǎng)數(shù)據(jù)中心業(yè)務(wù)(IDC):與2003版業(yè)務(wù)定義不同的是,2015版中的IDC業(yè)務(wù)在原有業(yè)務(wù)中新增了互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù),即通俗理解的向第三方客戶提供數(shù)據(jù)存儲(chǔ)服務(wù)(IAAS服務(wù))和面向開(kāi)發(fā)者提供的互聯(lián)網(wǎng)應(yīng)用開(kāi)發(fā)環(huán)境、互聯(lián)網(wǎng)應(yīng)用部署和運(yùn)行管理等服務(wù)(PAAS服務(wù))的業(yè)務(wù)。這也是為了適應(yīng)傳統(tǒng)IDC向云計(jì)算轉(zhuǎn)型趨勢(shì)而調(diào)整的。
2、內(nèi)容分發(fā)網(wǎng)絡(luò)業(yè)務(wù)(CDN):該業(yè)務(wù)為2015版中的新增業(yè)務(wù)。這是考慮到當(dāng)前我國(guó)CDN產(chǎn)業(yè)發(fā)展已有一定規(guī)模,并已逐步成為互聯(lián)網(wǎng)網(wǎng)站等應(yīng)用的重要聯(lián)網(wǎng)途徑而新增設(shè)立的。其實(shí),早在2013年國(guó)家發(fā)布的“寬帶戰(zhàn)略”中已明確將CDN作為了國(guó)家信息基礎(chǔ)設(shè)施的重要組成部分。
3、國(guó)內(nèi)互聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)(IP-VPN):與2003版中的業(yè)務(wù)定義相同。
4、互聯(lián)網(wǎng)接入服務(wù)(ISP):由2003版中的第二類(lèi)增值電信業(yè)務(wù)調(diào)整為2015版中的第一類(lèi)增值電信業(yè)務(wù)。
在上述四類(lèi)業(yè)務(wù)中,除IP-VPN業(yè)務(wù)以外,其余三類(lèi)業(yè)務(wù)是我國(guó)網(wǎng)站與應(yīng)用接入互聯(lián)網(wǎng)的主要方式與途徑,據(jù)不完全統(tǒng)計(jì),目前通過(guò)IDC、ISP業(yè)務(wù)接入互聯(lián)網(wǎng)的域名已約占我國(guó)域名總量的70%。
二、新型接入業(yè)態(tài)給信息安全監(jiān)管帶來(lái)管理與技術(shù)兩個(gè)層面的新問(wèn)題
據(jù)中國(guó)信息通信研究院數(shù)據(jù)顯示,截至2016年3月份,我國(guó)共有2219家ISP企業(yè)與850家IDC企業(yè),并主要集中于北京、廣東、浙江、江蘇、四川、上海等6地(占全國(guó)總量近60%)。此外,據(jù)不完全統(tǒng)計(jì),我國(guó)約有4000多家大小規(guī)模不等的CDN企業(yè)。當(dāng)前我國(guó)接入業(yè)務(wù)市場(chǎng)存在經(jīng)營(yíng)主體繁多、業(yè)務(wù)實(shí)現(xiàn)方式多樣、地域分布不均等現(xiàn)狀,加之SDN(軟件定義網(wǎng)絡(luò))、云計(jì)算等新技術(shù)的出現(xiàn)與應(yīng)用,互聯(lián)網(wǎng)接入環(huán)節(jié)的信息安全監(jiān)管面臨新的風(fēng)險(xiǎn)與挑戰(zhàn)。總體來(lái)說(shuō),主要體現(xiàn)以下兩個(gè)層面。
。ㄒ唬┕芾韺用
1、互聯(lián)網(wǎng)接入類(lèi)服務(wù)主體增多,原有的信息安全監(jiān)管要求需要進(jìn)一步調(diào)整與細(xì)化。在近年來(lái)新出臺(tái)的《全國(guó)人大關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《反恐怖主義法》、《國(guó)家安全法》等法律法規(guī)中,均明確了互聯(lián)網(wǎng)服務(wù)提供者在信息發(fā)布與傳輸環(huán)節(jié)的信息安全義務(wù)與責(zé)任。此外,在工信部的相關(guān)文件(如《電信業(yè)務(wù)經(jīng)營(yíng)許可管理辦法》等)中,也有專(zhuān)門(mén)關(guān)于互聯(lián)網(wǎng)接入服務(wù)提供者的信息安全管理要求。因此,目前關(guān)于互聯(lián)網(wǎng)接入服務(wù)的信息安全法律責(zé)任已十分明確。然而,縱觀相關(guān)管理文件,只有在2012年11月工信部發(fā)布的《關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心業(yè)務(wù)和因特網(wǎng)接入服務(wù)業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的通告》(工信部電管函[2012]552號(hào))中,對(duì)IDC、ISP業(yè)務(wù)提出了相對(duì)比較細(xì)化的信息安全管理要求與實(shí)施細(xì)則。隨著互聯(lián)網(wǎng)接入業(yè)務(wù)的種類(lèi)明確和增多,原有的一些信息安全監(jiān)管要求需要進(jìn)一步覆蓋新增業(yè)務(wù),并需要圍繞業(yè)務(wù)特點(diǎn)盡快出臺(tái)更加有針對(duì)性的管理要求與實(shí)施細(xì)則。
2、互聯(lián)網(wǎng)接入類(lèi)業(yè)務(wù)網(wǎng)絡(luò)服務(wù)架構(gòu)形態(tài)呈多樣化,原有的集中與屬地監(jiān)管界限劃分需要重新定義。以SDN、云計(jì)算為代表的技術(shù)業(yè)務(wù)發(fā)展導(dǎo)致互聯(lián)網(wǎng)接入業(yè)務(wù)形態(tài)變化,呈現(xiàn)基礎(chǔ)設(shè)施(機(jī)房等)區(qū)域集中化、網(wǎng)絡(luò)資源(IP地址、域名、虛擬服務(wù)器等)跨區(qū)動(dòng)態(tài)遷移等特點(diǎn),同一互聯(lián)網(wǎng)接入服務(wù)商所擁有的機(jī)房基礎(chǔ)設(shè)施所在地、接入網(wǎng)絡(luò)端口所在地出現(xiàn)分離,新的網(wǎng)絡(luò)服務(wù)架構(gòu)形態(tài)出現(xiàn),如本地機(jī)房異地接入、多地機(jī)房多地接入、本地機(jī)房多地接入等等。這些新形態(tài)打破了以機(jī)房等基礎(chǔ)設(shè)施所在地的行業(yè)管理部門(mén)為主的屬地化監(jiān)管模式,使得機(jī)房設(shè)施所在地的行業(yè)管理部門(mén)與接入網(wǎng)絡(luò)所在地的行業(yè)管理部門(mén)的管理權(quán)責(zé)邊界有待重新劃分。此外,部分業(yè)務(wù)的跨界動(dòng)態(tài)分布等特征要求信息安全管理需實(shí)現(xiàn)全國(guó)“一盤(pán)棋”,因此現(xiàn)有接入服務(wù)的屬地與集中監(jiān)管分工需重新調(diào)整、監(jiān)管協(xié)作也需進(jìn)一步加強(qiáng)。
。ǘ┘夹g(shù)層面
1、接入服務(wù)模式由原來(lái)的單一方式逐漸演變?yōu)槎嗳诤戏绞,基礎(chǔ)資源核查難度大,為信息安全事件的追蹤溯源造成影響。傳統(tǒng)IDC、ISP業(yè)務(wù)中用戶對(duì)應(yīng)的網(wǎng)絡(luò)資源(如IP、域名等)以及物理資源(如服務(wù)器、機(jī)柜、機(jī)架等)等信息基本固定不變或變化相對(duì)較慢,但是云平臺(tái)、CDN以及云IDC、云CDN等新型接入形態(tài),將導(dǎo)致用戶對(duì)應(yīng)的網(wǎng)絡(luò)資源與物理資源可動(dòng)態(tài)變化,且用戶對(duì)應(yīng)的資源將以“池”的形式存在。因此原有IDC、ISP業(yè)務(wù)進(jìn)行用戶單一資源報(bào)備的方式將不適用于新型接入業(yè)務(wù),新型接入業(yè)務(wù)需詳細(xì)記錄用戶使用資源池時(shí)的動(dòng)態(tài)分配信息,以便發(fā)生違法信息安全事件后可通過(guò)網(wǎng)絡(luò)資源線索進(jìn)行用戶溯源。此外,在2015版《電信業(yè)務(wù)分類(lèi)目錄》實(shí)施前,接入資源轉(zhuǎn)租現(xiàn)象僅在IDC與ISP企業(yè)之間發(fā)生,而以后將在IDC、ISP、CDN、云等企業(yè)之間發(fā)生,由于CDN強(qiáng)調(diào)分發(fā)IP集群、云強(qiáng)調(diào)基礎(chǔ)資源池等概念,這與傳統(tǒng)IDC、ISP業(yè)務(wù)區(qū)別較大,由此將導(dǎo)致以后的基礎(chǔ)資源核對(duì)等工作難度大大增強(qiáng)。
2、互聯(lián)網(wǎng)接入環(huán)節(jié)增多,信息傳播方式及路徑復(fù)雜多變,原有信息安全技術(shù)監(jiān)管能力顯得“心有余而力不足”。前期,根據(jù)相關(guān)法律法規(guī)以及政策文件要求,IDC/ISP企業(yè)應(yīng)依法建設(shè)信息安全管理系統(tǒng),并以機(jī)房為單位實(shí)現(xiàn)對(duì)傳輸鏈路中的違法信息監(jiān)測(cè)與處置。而前期已提到,云計(jì)算和CDN業(yè)務(wù)將打破原有為機(jī)房維度的業(yè)務(wù)單元,并實(shí)現(xiàn)跨界動(dòng)態(tài)分布,信息的傳播與聯(lián)網(wǎng)路徑將復(fù)雜多變,因此現(xiàn)有的信息安全管理系統(tǒng)建設(shè)模式將不再適用于新型的接入業(yè)態(tài)。新型接入企業(yè)需以企業(yè)為單位,以功能為導(dǎo)向,結(jié)合各自的實(shí)現(xiàn)技術(shù)與管理策略,建設(shè)有針對(duì)性的信息安全管理系統(tǒng)。同時(shí),原有的行業(yè)信息安全技術(shù)監(jiān)管模式也需要根據(jù)企業(yè)的業(yè)務(wù)種類(lèi)、實(shí)現(xiàn)方式以及客戶類(lèi)型,從原有的以屬地化為主的對(duì)接方式改為屬地與集中相融合的多樣化對(duì)接方式。
三、應(yīng)積極探索建立多樣化的互聯(lián)網(wǎng)接入業(yè)務(wù)信息安全監(jiān)管模式
綜上所述,我國(guó)通信行業(yè)已在原有的IDC、ISP等接入業(yè)務(wù)中積累了比較成熟的信息安全監(jiān)管體系與技管結(jié)合的監(jiān)管方式,但是新型互聯(lián)網(wǎng)接入業(yè)態(tài)將帶來(lái)的新問(wèn)題。對(duì)此,我們需要在原有基礎(chǔ)上,緊密?chē)@確保“網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好”的工作目標(biāo),加快研究CDN、云計(jì)算等新型業(yè)務(wù)形態(tài)給網(wǎng)絡(luò)信息安全管理以及技術(shù)保障措施建設(shè)造成的影響,并積極探索建立適應(yīng)新業(yè)態(tài)的信息安全監(jiān)管模式,如針對(duì)取消準(zhǔn)入和年檢等行政管理趨勢(shì),研究完善以企業(yè)信用評(píng)價(jià)、信息披露、信息公開(kāi)為抓手的事中事后監(jiān)管體系;針對(duì)CDN、云計(jì)算等業(yè)務(wù)建設(shè)更加有針對(duì)性的信息安全技術(shù)管理措施;利用大數(shù)據(jù)技術(shù)創(chuàng)新監(jiān)管模式并提升監(jiān)管效力等?偠灾瑧(yīng)加快研究、積極調(diào)整,盡快構(gòu)建覆蓋新型互聯(lián)網(wǎng)接入業(yè)務(wù)的信息安全管理體系。
作者簡(jiǎn)介:
柳青:中國(guó)信息通信研究院安全研究所工程師,長(zhǎng)期從事互聯(lián)網(wǎng)信息安全管理與技術(shù)保障措施研究,并主要負(fù)責(zé)IDC、ISP、CDN、云計(jì)算、域名等重點(diǎn)業(yè)務(wù)的信息安全監(jiān)管支撐。