一、2015版《電信業(yè)務(wù)分類(lèi)目錄》將互聯(lián)網(wǎng)接入類(lèi)業(yè)務(wù)明確為第一類(lèi)增值電信業(yè)務(wù)
為更好的適應業(yè)務(wù)和市場(chǎng)發(fā)展需要,2015版《電信業(yè)務(wù)分類(lèi)目錄》于2016年3月1日正式實(shí)施,并將原第一類(lèi)增值電信業(yè)務(wù)和第二類(lèi)增值電信業(yè)務(wù)所含業(yè)務(wù)子類(lèi)進(jìn)行了重新調整和合并,最終確定第一類(lèi)增值電信業(yè)務(wù)為基于設施和資源的業(yè)務(wù),也就是我們俗稱(chēng)的互聯(lián)網(wǎng)接入類(lèi)業(yè)務(wù)。調整后的第一類(lèi)增值電信業(yè)務(wù)種類(lèi)以及與2003版《電信業(yè)務(wù)分類(lèi)目錄》的區別如下:
1、因特網(wǎng)數據中心業(yè)務(wù)(IDC):與2003版業(yè)務(wù)定義不同的是,2015版中的IDC業(yè)務(wù)在原有業(yè)務(wù)中新增了互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù),即通俗理解的向第三方客戶(hù)提供數據存儲服務(wù)(IAAS服務(wù))和面向開(kāi)發(fā)者提供的互聯(lián)網(wǎng)應用開(kāi)發(fā)環(huán)境、互聯(lián)網(wǎng)應用部署和運行管理等服務(wù)(PAAS服務(wù))的業(yè)務(wù)。這也是為了適應傳統IDC向云計算轉型趨勢而調整的。
2、內容分發(fā)網(wǎng)絡(luò )業(yè)務(wù)(CDN):該業(yè)務(wù)為2015版中的新增業(yè)務(wù)。這是考慮到當前我國CDN產(chǎn)業(yè)發(fā)展已有一定規模,并已逐步成為互聯(lián)網(wǎng)網(wǎng)站等應用的重要聯(lián)網(wǎng)途徑而新增設立的。其實(shí),早在2013年國家發(fā)布的“寬帶戰略”中已明確將CDN作為了國家信息基礎設施的重要組成部分。
3、國內互聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)(IP-VPN):與2003版中的業(yè)務(wù)定義相同。
4、互聯(lián)網(wǎng)接入服務(wù)(ISP):由2003版中的第二類(lèi)增值電信業(yè)務(wù)調整為2015版中的第一類(lèi)增值電信業(yè)務(wù)。
在上述四類(lèi)業(yè)務(wù)中,除IP-VPN業(yè)務(wù)以外,其余三類(lèi)業(yè)務(wù)是我國網(wǎng)站與應用接入互聯(lián)網(wǎng)的主要方式與途徑,據不完全統計,目前通過(guò)IDC、ISP業(yè)務(wù)接入互聯(lián)網(wǎng)的域名已約占我國域名總量的70%。
二、新型接入業(yè)態(tài)給信息安全監管帶來(lái)管理與技術(shù)兩個(gè)層面的新問(wèn)題
據中國信息通信研究院數據顯示,截至2016年3月份,我國共有2219家ISP企業(yè)與850家IDC企業(yè),并主要集中于北京、廣東、浙江、江蘇、四川、上海等6地(占全國總量近60%)。此外,據不完全統計,我國約有4000多家大小規模不等的CDN企業(yè)。當前我國接入業(yè)務(wù)市場(chǎng)存在經(jīng)營(yíng)主體繁多、業(yè)務(wù)實(shí)現方式多樣、地域分布不均等現狀,加之SDN(軟件定義網(wǎng)絡(luò ))、云計算等新技術(shù)的出現與應用,互聯(lián)網(wǎng)接入環(huán)節的信息安全監管面臨新的風(fēng)險與挑戰。總體來(lái)說(shuō),主要體現以下兩個(gè)層面。
(一)管理層面
1、互聯(lián)網(wǎng)接入類(lèi)服務(wù)主體增多,原有的信息安全監管要求需要進(jìn)一步調整與細化。在近年來(lái)新出臺的《全國人大關(guān)于加強網(wǎng)絡(luò )信息保護的決定》、《反恐怖主義法》、《國家安全法》等法律法規中,均明確了互聯(lián)網(wǎng)服務(wù)提供者在信息發(fā)布與傳輸環(huán)節的信息安全義務(wù)與責任。此外,在工信部的相關(guān)文件(如《電信業(yè)務(wù)經(jīng)營(yíng)許可管理辦法》等)中,也有專(zhuān)門(mén)關(guān)于互聯(lián)網(wǎng)接入服務(wù)提供者的信息安全管理要求。因此,目前關(guān)于互聯(lián)網(wǎng)接入服務(wù)的信息安全法律責任已十分明確。然而,縱觀(guān)相關(guān)管理文件,只有在2012年11月工信部發(fā)布的《關(guān)于進(jìn)一步規范因特網(wǎng)數據中心業(yè)務(wù)和因特網(wǎng)接入服務(wù)業(yè)務(wù)市場(chǎng)準入工作的通告》(工信部電管函[2012]552號)中,對IDC、ISP業(yè)務(wù)提出了相對比較細化的信息安全管理要求與實(shí)施細則。隨著(zhù)互聯(lián)網(wǎng)接入業(yè)務(wù)的種類(lèi)明確和增多,原有的一些信息安全監管要求需要進(jìn)一步覆蓋新增業(yè)務(wù),并需要圍繞業(yè)務(wù)特點(diǎn)盡快出臺更加有針對性的管理要求與實(shí)施細則。
2、互聯(lián)網(wǎng)接入類(lèi)業(yè)務(wù)網(wǎng)絡(luò )服務(wù)架構形態(tài)呈多樣化,原有的集中與屬地監管界限劃分需要重新定義。以SDN、云計算為代表的技術(shù)業(yè)務(wù)發(fā)展導致互聯(lián)網(wǎng)接入業(yè)務(wù)形態(tài)變化,呈現基礎設施(機房等)區域集中化、網(wǎng)絡(luò )資源(IP地址、域名、虛擬服務(wù)器等)跨區動(dòng)態(tài)遷移等特點(diǎn),同一互聯(lián)網(wǎng)接入服務(wù)商所擁有的機房基礎設施所在地、接入網(wǎng)絡(luò )端口所在地出現分離,新的網(wǎng)絡(luò )服務(wù)架構形態(tài)出現,如本地機房異地接入、多地機房多地接入、本地機房多地接入等等。這些新形態(tài)打破了以機房等基礎設施所在地的行業(yè)管理部門(mén)為主的屬地化監管模式,使得機房設施所在地的行業(yè)管理部門(mén)與接入網(wǎng)絡(luò )所在地的行業(yè)管理部門(mén)的管理權責邊界有待重新劃分。此外,部分業(yè)務(wù)的跨界動(dòng)態(tài)分布等特征要求信息安全管理需實(shí)現全國“一盤(pán)棋”,因此現有接入服務(wù)的屬地與集中監管分工需重新調整、監管協(xié)作也需進(jìn)一步加強。
(二)技術(shù)層面
1、接入服務(wù)模式由原來(lái)的單一方式逐漸演變?yōu)槎嗳诤戏绞剑A資源核查難度大,為信息安全事件的追蹤溯源造成影響。傳統IDC、ISP業(yè)務(wù)中用戶(hù)對應的網(wǎng)絡(luò )資源(如IP、域名等)以及物理資源(如服務(wù)器、機柜、機架等)等信息基本固定不變或變化相對較慢,但是云平臺、CDN以及云IDC、云CDN等新型接入形態(tài),將導致用戶(hù)對應的網(wǎng)絡(luò )資源與物理資源可動(dòng)態(tài)變化,且用戶(hù)對應的資源將以“池”的形式存在。因此原有IDC、ISP業(yè)務(wù)進(jìn)行用戶(hù)單一資源報備的方式將不適用于新型接入業(yè)務(wù),新型接入業(yè)務(wù)需詳細記錄用戶(hù)使用資源池時(shí)的動(dòng)態(tài)分配信息,以便發(fā)生違法信息安全事件后可通過(guò)網(wǎng)絡(luò )資源線(xiàn)索進(jìn)行用戶(hù)溯源。此外,在2015版《電信業(yè)務(wù)分類(lèi)目錄》實(shí)施前,接入資源轉租現象僅在IDC與ISP企業(yè)之間發(fā)生,而以后將在IDC、ISP、CDN、云等企業(yè)之間發(fā)生,由于CDN強調分發(fā)IP集群、云強調基礎資源池等概念,這與傳統IDC、ISP業(yè)務(wù)區別較大,由此將導致以后的基礎資源核對等工作難度大大增強。
2、互聯(lián)網(wǎng)接入環(huán)節增多,信息傳播方式及路徑復雜多變,原有信息安全技術(shù)監管能力顯得“心有余而力不足”。前期,根據相關(guān)法律法規以及政策文件要求,IDC/ISP企業(yè)應依法建設信息安全管理系統,并以機房為單位實(shí)現對傳輸鏈路中的違法信息監測與處置。而前期已提到,云計算和CDN業(yè)務(wù)將打破原有為機房維度的業(yè)務(wù)單元,并實(shí)現跨界動(dòng)態(tài)分布,信息的傳播與聯(lián)網(wǎng)路徑將復雜多變,因此現有的信息安全管理系統建設模式將不再適用于新型的接入業(yè)態(tài)。新型接入企業(yè)需以企業(yè)為單位,以功能為導向,結合各自的實(shí)現技術(shù)與管理策略,建設有針對性的信息安全管理系統。同時(shí),原有的行業(yè)信息安全技術(shù)監管模式也需要根據企業(yè)的業(yè)務(wù)種類(lèi)、實(shí)現方式以及客戶(hù)類(lèi)型,從原有的以屬地化為主的對接方式改為屬地與集中相融合的多樣化對接方式。
三、應積極探索建立多樣化的互聯(lián)網(wǎng)接入業(yè)務(wù)信息安全監管模式
綜上所述,我國通信行業(yè)已在原有的IDC、ISP等接入業(yè)務(wù)中積累了比較成熟的信息安全監管體系與技管結合的監管方式,但是新型互聯(lián)網(wǎng)接入業(yè)態(tài)將帶來(lái)的新問(wèn)題。對此,我們需要在原有基礎上,緊密?chē)@確保“網(wǎng)絡(luò )空間天朗氣清、生態(tài)良好”的工作目標,加快研究CDN、云計算等新型業(yè)務(wù)形態(tài)給網(wǎng)絡(luò )信息安全管理以及技術(shù)保障措施建設造成的影響,并積極探索建立適應新業(yè)態(tài)的信息安全監管模式,如針對取消準入和年檢等行政管理趨勢,研究完善以企業(yè)信用評價(jià)、信息披露、信息公開(kāi)為抓手的事中事后監管體系;針對CDN、云計算等業(yè)務(wù)建設更加有針對性的信息安全技術(shù)管理措施;利用大數據技術(shù)創(chuàng )新監管模式并提升監管效力等。總而言之,應加快研究、積極調整,盡快構建覆蓋新型互聯(lián)網(wǎng)接入業(yè)務(wù)的信息安全管理體系。
作者簡(jiǎn)介:
柳青:中國信息通信研究院安全研究所工程師,長(cháng)期從事互聯(lián)網(wǎng)信息安全管理與技術(shù)保障措施研究,并主要負責IDC、ISP、CDN、云計算、域名等重點(diǎn)業(yè)務(wù)的信息安全監管支撐。
