關鍵設備與網路安全徵求意見

❶ 國家對網路關鍵設備和網路安全專用產品有哪些規定

網路關鍵設備和網路安全專用產品認證或者檢測委託人，選擇具備資格的機構進行安全認證或者安全檢測。

網路關鍵設備、網路安全專用產品選擇安全檢測方式的，經安全檢測符合要求後，由檢測機構將網路關鍵設備、網路安全專用產品檢測結果依照相關規定分別報工業和信息化部、公安部。

(1)關鍵設備與網路安全徵求意見擴展閱讀：

注意事項：

多功能的網路和設備管理解決方案應滿足用戶最終可能使用的任何部署選項。獨立於平台意味著可以利用最現代化的基礎設施，同時允許從一個計算環境輕松遷移到另一個計算環境。

同時功能鬆散耦合的模塊化設計提供了在內部或外部獨立部署不同軟體服務的靈活性。這樣就可以利用混合體系架構來最大限度地發揮數據潛力。

可靠的網路管理解決方案與設備無關，提供了一種簡單的方法來將跨供應商的硬體參數和數據結構整合到物聯網工作流程中。用戶就可以定義感測器型號、有效負載類型和測量單位。這樣來自不同設備的傳入數據就可以以用戶友好的方式輕松顯示和使用。

❷ 《網路數據安全管理條例》公開徵求意見，其中的具體內容是什麼

這次條例的具體內容都是對人們有利的，也是用來限制那些無良商家的，要不是有那些人的存在，我們的個人信息怎麼可能泄漏。條例中提到任何個人和組織開展數據處理活動應當遵守法律、行政法規，尊重社會公德和倫理，不得從事違法活動。處理個人信息應當取得個人同意，不得違規操作，濫用他人信息，如果因此對他人造成經濟損失的，被害者有權利通過法律維護自己的權益。

我認為還能夠能夠保證群眾的信息不會泄漏，不會被人亂用的同時，監督那些想要亂用信息的人和物。個人信息隱私權同樣重要，如果發現自己的隱私或者是個人信息被侵犯，我們要學會合理利用自己的法律武器，來維護自己的權益

國家非常重視個人安全信息的保護，才會出現這個徵求意見稿。對此我是非常支持的，這樣的政策也是在保護我們自己的隱私，我相信大家都有不想讓他人知道的事情，如果一個人連隱私都沒有，那這個世界就真的太瘋狂了，你們認為呢？

❸ 2022年網路安全工作實施方案

2022年網路安全工作實施方案（6篇）

隨著信息技術和網路的快速發展，物聯網、大數據等新技術得到廣泛應用，網路安全威脅的范圍和內容不斷擴大和演化，網路安全形勢與挑戰日益嚴峻復雜。下面我為大家整理了2022年網路安全工作實施方案，希望大家喜歡！

2022年網路安全工作實施方案篇1

20__年__月__日至__日是首屆國家網路信息安全宣傳周。根據中央網路信息化領導小組辦公室、教育部和省教育廳有關通知精神，現將我校首屆國家網路安全宣傳周活動安排如下：

一、活動主題

共建網路安全，共享網路文明

二、重點活動及任務安排

1、校園網主頁宣傳森碰學校網站標識。

任務單位：網路中心

完成要求：按國家規定

2、學校官方微博、微信宣傳首屆國家網路信息安全宣傳周活動的主題、主要內容、網路安全知識、文明上網要求等。

任務單位：黨委宣傳部

完成時間：20__年__月__日至__日

3、教學樓、實驗樓電子屏宣傳首屆國家網路信息安全宣傳周活動主題內容標語。

任務單位：黨委宣傳部、後勤處及有室外電子屏的學院

完成時間：20__年__月__日至__日

4、召開教職工會、主題班會，學習宣傳國家有關網路安全法規。

任務單位：各基層黨委、黨總支、直屬黨支部

完成時間：20__年__月__日至__日

5、組織學生參加全國大學生網路安全知識競賽活動。

任務單位：學工部、校團委、各學院

完成時間：20__年__月__日至__日

2022年網路安全工作實施方案篇2

一、活動主題

網路安全為人民，網路安全靠人民

二、活動時間

9月19x25日，其中9月20日為教育主題日。

三、活動安排

（一）舉辦全校大學生網路安全知識競賽

9月9日至10月31日，各系戚源組織學生參加「全國大學生網路安全知識競賽」，通過網路答題方式普及網路安全知識。激發學生學習網路安全知識興趣，提升網路安全防護技能。

任務單位：院團委

（二）開展網路安全教育專題活動

1、網站宣傳

在學院網站首頁開辟網路安全專題，發布相關安全知識、法律法規及學院相關活動，並組織相關資料供廣大師生下載學習使用。

負責部門：黨委宣傳部

2、設計網路安全宣傳櫥窗、電子標語及擺放宣傳板

在學校西區設計放置宣傳櫥窗，東區主幹道及學生主要活動區域發送電子宣傳標語、擺放宣傳板，積極營造網路安全文化氛圍。

任務部門：黨委宣傳部

3、微信推送

通過學校微信面向全校師生進行網路安全信息推送。

任務部門：黨委宣傳部

4、校園廣播宣傳

活動期間，校園廣播站廣播有關網路安全的常識，提高師生網路安全意識。

任務部門：黨委宣傳部

5、團日主題班會

各系部根據實際情況，組織開展「網路安全宣傳周」團日教育活動，以視頻、實例、線上線下互動交流等方式，組織學生學習網路安全知識，提升網路安全意識。

任務部門：學生處、院團委

四、工作要求

1、高度重視，加強組織領導。舉辦網路安全周活動是貫徹落實中央關於網路安全和信息化戰略部署的重要舉措，各系部要高度重視，組織師生積極參與宣傳此仔談教育活動，充分調動學生的積極性、主動性和創造性，推動活動形成聲勢。

2、突出主題，注重工作實效。要緊緊圍繞活動主題，將網路安全教育與學生思想政治教育、文明校園建設、維護校園穩定等工作有機結合，提升工作的針對性與實效性，營造校園安全上網、依法上網的良好氛圍。

3、加強協作，建立長效機制。以安全周為契機，探索建立青少年學生網路安全教育長效機制。推動相關內容納入新生教育、課程教育、團日活動和課外實踐活動，完善網路安全教育工作體系，切實增強教育實效。

4、嚴守規定，務實高效。要堅決貫徹執行中央八項規定有關要求，嚴格按照勤儉節約、務實高效原則，著力在提高活動實效上下功夫，嚴禁鋪張浪費、大講排場和各種形式主義。

2022年網路安全工作實施方案篇3

一、活動時間

20__年9月17至9月23日

二、活動主題

網路安全為人民，網路安全靠人民

三、活動形式

（一）懸掛網路安全宣傳橫幅。活動期間，利用LED大屏、橫幅、板報等載體刊載網路安全宣傳標語，營造良好的活動氛圍。

（二）認真學習網路安全知識。堅持問題導向，認真學習網路安全法律法規和技術，深入學習市教育局《關於進一步加強全系統網路與信息安全工作的通知》和《加強新媒體管理的`實施意見（試行）》。集中開展一次網路安全知識學習，對路由器、U盤、電子郵箱等網路和存儲設備使用的基本技能、網路應急基礎知識涉密信息的存儲傳輸程序等進行培訓，提高普及率。各科室、局直各單位和招生、學籍、財務等涉及關鍵基礎信息的領域要進一步加強對涉及網路信息安全工作人員的培訓，提高網路安全意識和防範應急能力。

（三）開展網路安全知識專題宣傳活動。各園校要以信息技術課堂、板報、專欄為載體，大力宣傳網路安全知識；要動員教師和家長利用微信、微博等平台學習宣傳相關網路安全知識；要結合實際自製宣傳資料、通過宣傳活動進社區等方式擴大活動的覆蓋面和影響力。

（四）召開網路安全知識主題班會。要利用9月18日「校園日」活動契機，結合學生認知特點，以班級為單位召開主題班會，通過分享故事、體會和交流發言、觀看視頻等形式，重點做好網路安全、防範電信詐騙、合理使用手機上網等方面基礎知識的普及，提高學生網路安全意識，增強識別和應對網路危險的能力。

（五）開展網路安全科普教育活動。要開展「小手拉大手、網路安全同參與」家校互動活動。9月22日，本屆活動當天，要引導廣大家長和學生一起學習網路安全科普知識，通過家長的微信和微博推送一條網路安全信息。

（六）開展成果檢驗活動。各園校要結合實際，開展一次以網路安全知識為主要內容的小知識競賽、手抄報展示、主題演講等活動，提升宣傳教育的效果。

四、活動要求

（一）加強組織領導。各園校、各單位要加強對此次活動的組織領導，主要負責同志（網路和信息安全工作領導小組組長）要充分認識加強師生網路安全教育的重要性，有始有終安排落實好此項活動。

（二）創新活動載體。要結合學生認知特點和教師培訓實際，創新思路開展工作，積極創設適合師生的學習宣傳環境和活動載體，提高活動的參與度和效果。

（三）做好宣傳總結。活動期間要及時報送信息，以大家喜聞樂見的形式開展宣傳。同時，認真做好總結，9月24日前將總結報送市教育局綜合宣傳科（局直單位、市屬學校直接報送，各園校由教育組統一報送）。

2022年網路安全工作實施方案篇4

一、切實加強組織領導，建立健全各項網路安全管理規章制度

1、加強領導，明確責任。為確保我校網路安全管理工作順利開展，學校成立了校長任組長，其他領導為成員的網路信息安全管理工作領導小組，全面負責該工作的實施與管理。實行信息安全保密責任制，切實負起確保網路與信息安全的責任。嚴格按照「誰主管、誰負責」、「誰主辦、誰負責」的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網路和提供信息服務的安全。

2、健全制度，強化管理。建立健全了一系列的學校網路安全管理規章制度。包括：《學校網路信息安全保障措施》、《學生上機守則》、《計算機室管理制度》、《計算機室管理員職責》、《辦公室電腦使用管理暫行規定》等。通過制度的制定與實施，切實讓相關人員擔負起對信息內容安全的監督管理工作責任。學校組織全體教職工學習了上級有關網路安全的文件，制定和完善了各項網路安全管理制度，組織師生學習網路安全管理常識，營造了網路安全管理氛圍。

二、加強教師隊伍建設，建立起了一支相對穩定的網路安全管理隊伍

1、網上內容的發布全部由網路管理員完成，工作人員素質高、專業水平好，有強烈的責任心和責任感。網路所有信息發布之前都經分管領導審核批准。及時利用微信公共平台發布學校熱點新聞，報道及時，內容豐富。學校校園內目前已經實現wifi上網，教師無論在辦公室，操場上都可以利用移動電子設備暢游網海，而且我校的'網路安全穩定。學校領導對網路的管理、網路的安全極為重視,經常性地聽取教師們的意見和建議。為了維護網路安全穩定的運行，學校實名上網制度，對每一個埠實行固定IP地址，實名上網不是為了監控教師，而是為了維護網路的安全、穩定運行，共同維護好我們的網路。

2、加大教師培訓力度。為了使培訓落到實處,不流於形式,學校領導每次都到親臨現場組織安排，現在我們的老師都能較熟練掌握教室電教設備的使用，能夠通過網路平台進行辦公，能從校園網站、遠教IP資源和教育信息網獲取相關教學資料，通過培訓教師的信息知識和技能有了一定的提高。使全體教師了解計算機的有關操作與應用，也使青年教師更好地將電教媒體服務於教學，從而促進了學校現代化教育的有效開展。

三、提高安全責任意識，切實做好計算機維護及其病毒防範措施

由於學校計算機的不斷增多，日常出現故障的情況較為常見，為此，我校成立了專人負責學校計算機系統及軟體維護，由於平日能及時有效地維護，因此學校內各計算機使用均正常，無出現重大故障。但目前網路計算機病毒較多，傳播途徑也較為廣泛，可以通過瀏覽網頁、下載程序、郵件傳播等方式傳播。為了做好防範措施，要求各學校每台機器都安裝了殺毒軟體，並定期自動升級，對發現病毒的機器及時的進行處理。防止電腦內重要信息出現泄密或造成重大影響事件。

四、大力開展文明上網，安全上網等宣傳教育

利用大課間時間，主題班會時間，積極開展「網路安全，人人有責」的宣講活動。加大宣傳教育力度，增強師生網路安全意識，自覺遵守信息安全管理有關法律、法規，不泄密、不製作和傳播有害信息。教育師生自覺抵制網路低俗之風，凈化網路環境，不打不健康文字，不發不文明圖片，不鏈接不健康網站，不提供不健康內容搜索，不發送不健康信息，不轉載違法、庸俗、格調低下的言論、圖片、音視頻信息，積極營造網路文明新風。通過印製發放網路安全宣傳傳單、板報、班會等多種渠道，積極組織師生學習有關網路法律法規和有關規定，提高師生的信息安全防範意識，增加師生上網安全意識，提供自我保護能力。

2022年網路安全工作實施方案篇5

為廣泛宣傳國家互聯網管理條例、互聯網應用及網路安全法律法規，普及網路知識，倡導文明上網，促進青少年學生健康成長，營造和諧發展的優良校園網路環境，提升我校網路信息技術服務教育教學管理及應用水平，強化我校網路信息安全管理，依據青島市「e網平安—網路文明學校」創建活動通知的要求，我校決定開展「網路文明學校」的創建活動，具體實施意見如下：

一、加強校園網路管理

1、成立以校長為組長、相關部門負責人及網路管理員組成的「網路文明學校」創建活動領導小組，組織開展創建活動。

2、嚴格遵守國家有關國際聯網安全管理的法律法規及相關文件規定，認真貫徹落實市教育局有關校園網、城域網、互聯網管理應用的各項規章制度。要結合我校實際，建立（青島東勝路小學網路管理規章制度）。

3、設立專人負責校園網路、網站安全管理、維護工作。要配備相關網路管理軟體，落實安全保護技術措施，做好應急防範工作，確保我校網路信息安全。

4、認真做好學校網站備案工作，網站上粘貼「e網平安」備案圖標。建立和落實嚴格的用戶管理和信息發布審核、監督等制度。

二、提高網路應用水平

1、積極倡導「文明、健康、綠色、誠信」上網，大力開展以「e網平安——文明上網」為主題的校園文化活動和社會實踐活動，加強網路自律教育，加強網路道德訓練，增強網路文明道德觀念，規范網路文明道德行為。

2、積極參加市教育局、區教體局組織的網路建設、應用、管理等的各項活動及培訓，認真做好校園網的各類應用系統的建設、管理、維護等工作，保障系統和數據安全，提高我校網路應用水平，按要求及時做好相關數據接收和報送等工作。

3、積極開展學校網站及各類教育主題、專題網站建設工作。學校要有專人負責學校網站建設管理、校園網網路管理、網路信息安全管理。學校辦公室定期向市教育局、區教體局網站報送學校教育教學等各項活動信息。

4、充分依託校園網開展「電子校務」，進一步推動學校教育管理信息化建設。

5、一線教師利用校園網廣泛開展教學、教研活動，積極探索利用網路教學資源服務課堂教學的模式和經驗，學校要探討並建立相應的管理機制，充分發揮網路信息技術為提高教育教學質量的積極作用。

三、具體實施步驟

創建活動將分三個階段進行。

第一階段：組織發動階段（20__年3月30日至20__年4月30日）結合我校實際制定創建方案，進行廣泛宣傳發動，充分利用網站、宣傳欄等媒體，使全校師生認識創建「網路文明學校」的必要性和重要性。 第二階段：自查整改階段（20__年5月1日至20__年8月31日）對照「網路文明學校」創建標准，逐項進行自查，在自查的過程中，對達不到標準的項目逐項進行整改。上報區教體局，提出申請。

第三階段：檢查評比階段（20__年9月1日至20__年12月31日）准備材料，迎接市教育局會同市文明辦、市綜治辦、市公安局、市文化局、團市委、市婦聯、市政府新聞辦、市通信管理局、市電子政務辦公室等部門組成青島市「網路文明學校」創建活動檢查組，對我校進行考核。

四、工作要求

1、提高認識，加強領導。全面開展青島市「網路文明學校」創建活動，是我市（e網平安——共建和諧文明網路）活動的一項重要內容，是加強青少年思想道德建設、促進青少年健康成長的迫切要求，是促進我校網路規范化管理、引領我校網路高水平應用、促進網路持續發展的重要抓手，要高度重視，將其納入重要議事日程，切實加強對創建活動的組織領導。

2、精心組織，突出特色。創建活動要從結合我校實際、突出我校特色，積極推進電子校務、教學資源庫、輔助教育教學等信息化建設與應用工作不斷發展相結合，要與提高師生信息技術素養相結合，要與豐富校園文化活動相結合，要與全面實施素質教育、培養青少年學生實踐創新能力相結合，有效整合力量資源，精心組織，周密安排，創新開展我校各項創建活動。

3、 狠抓落實，務求實效。我校要按照創建活動的要求，完善制度措施，明確職責分工，落實責任到人，抓好貫徹落實，確保我校創建工作取得扎實成效。

4、加強督導，強化考核。我校要對創建活動的開展情況、取得成效定期進行檢查，努力使我校在規定時間內全部達到青島市「網路文明學校」創建標准。

2022年網路安全工作實施方案篇6

學校信息中心負責網路設備、校級伺服器及網路線路的維護。各教師負責本人機器維護。信息中心向各教師提供必要的技術支持。

一、網路設備維護

1、網路設備（包括交換機、機櫃、路由器等）是保證校園網運行的關鍵，主要由信息中心進行維護。未經信息中心同意，任何單位和個人不得私自變更網路設備的配置，如移動網路設備、更改交換機接線、私自在交換機上接線等。

2、信息中心有義務保證網路設備的安全及使用環境，如防火、防盜、防水、保持電源暢通等。

3、信息中心將定期檢查網路設備的運行情況。主路由、交換機等重要設備至少每天檢查一次，其他設備至少每周檢查一次。

4、信息中心定期備份網路設備的配置和學校網站資料的備份，定期修改網路設備的維護密碼。

5、網路設備出現問題應及時解決，並做好記錄。出現重大問題，如違法性網路行為、hacker行為、主幹網癱瘓等，應立刻向信息中心匯報。

二、伺服器維護

6、校級伺服器由信息中心維護，伺服器維護人員應至少每天檢查伺服器的運行情況，保證該伺服器所提供服務的正常運轉。

7、伺服器維護人員應定期備份伺服器中的重要數據，定期修改伺服器的管理員密碼。

8、為保證伺服器的安全，應盡量做到專機專用，盡量不要在伺服器上安裝除必要服務外的其他軟體，盡量不要使用伺服器上網，禁止在伺服器上玩游戲。

三、線路及終端維護

9、信息中心負責學校統一布線並負責線路維護，網路線路是校園網運行的基礎，未經網路信息中心同意，任何單位和個人不得更改、破壞線路，如有損壞，按相關規定處理。

10、各部門發生網路故障，應通知信息中心來解決，經查明如果是網路設備、線路故障，網路中心原則上應在兩工作日內解決，暫時無法解決的，需說明原因。如果是終端計算機的問題（如操作系統故障故障等），應由老師自己解決。

11、學校開辟FTP伺服器，為本校教師提供存儲個人教育教學資料使用。如果開通FTP服務功能，必須在學校網站FTP空間上申請提交。經過信息中心核實後方可開通，原則上每個用戶提供50兆空間，如遇特殊情況可以向網路中心提出申請，經同意後可以擴大空間，但必須上傳與教育教學有關的資料。

12、學校所有終端機（電腦）都進行網卡地址和IP地址綁定，分配固定的IP地址，不準隨意修改IP地址和網卡地址。學校教師自己的電腦，必須到信息中心綁定IP地址方可連入校園網。

13、學校網站歡迎各位老師、學生發表作品。作品類別：教育教學論文、教學隨筆、文學作品、美術作品、優秀作文等等。作品必須標明作者姓名、班級。上傳方式：在自己的FTP空間新建文件夾「網站發表」把要發表的文章、作品放到此文件夾中。信息中心審核後將予以在學校網站上發表。

❹ 網路安全審查辦法(2021)

第一條為了確保關鍵信息基礎設施供應鏈安全，保障網路安全和數據安全，維護國家安全，根據《中華人民共和國國家安全法》、《中華人民共和國網路安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》，制定本辦法。第二條關鍵信息基礎設施運營者采購網路產品和服務，網路平台運營者開展數據處理活動，影響或者可能影響國家安全的，應當按照本辦法進行網路安全審查。

前款規定的關鍵信息基礎設施運營者、網路平台運營者統稱為當事人。第三條網路安全審查堅持防範網路安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。第四條在中央網路安全和信息化委員會領導下，國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網路安全審查工作機制。

網路安全審查辦公室設在國家互聯網信息辦公室，負責制定網路安全審查相關制度規范，組織網路安全審查。第五條關鍵信息基礎設施運營者采購網路產品和服務的，應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網路安全審查辦公室申報網路安全審查。

關鍵信息基礎設施安全保護工作部門可以制定本行業、本領域預判指南。第六條對於申報網路安全審查的采購活動，關鍵信息基礎設施運營者應當通過采購文件、協議等要求產品和服務提供者配合網路安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或者必要的技術支持服務等。第七條掌握超過100萬用戶個人信息的網路平台運營者赴國外上市，必須向網路安全審查辦公室申報網路安全審查。第八條當事人申報網路安全審查，應當提交以下材料：

（一）申報書；

（二）關於影響或者可能影響國家安全的分析報告；

（三）采購文件、協議、擬簽訂的合同或者擬提交的首次公開募股（IPO）等上市申請文件；

（四）網路安全審查工作需要的其他材料。第九條網路安全審查辦公室應當自收到符合本辦法第八條規定的審查申報材料起10個工作日內，確定是否需要審查並書面通知當事人。第十條網路安全審查重點評估相關對象或者情形的以下國家安全風險因素：

（一）產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；

（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；

（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；

（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；

（五）核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；

（六）上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網路信息安全風險；

（七）其他可能危害關鍵信息基礎設施安全、網路安全和數據安全的因素。第十一條網路安全審查辦公室認為需要開展網路安全審查的，應當自向當事人發出書面通知之日起30個工作日內完成初步審查，包括形成審查結論建議和將審查結論建議發送網路安全審查工作機製成員單位、相關部門徵求意見；情況復雜的，可以延長15個工作日。第十二條網路安全審查工作機製成員單位和相關部門應當自收到審查結論建議之日起15個工作日內書面回復意見。

網路安全審查工作機製成員單位、相關部門意見一致的，網路安全審查辦公室以書面形式將審查結論通知當事人；意見不一致的，按照特別審查程序處理，並通知當事人。

❺ 關於電信網路關鍵信息基礎設施保護的思考

文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天

根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中，電信網路自身是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務，在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施，做好電信網路關鍵信息基礎設施的安全保護尤為重要。

一、電信網路關鍵信息基礎設施的范圍

依據《關鍵信息基礎設施安全保護條例》第 9條，應由通信行業主管部門結合本行業、本領域實際，制定電信行業關鍵信息基礎設施的認定規則。

不同於其他行業的關鍵信息基礎設施，承載話音、數據、消息的電信網路（以 CT 系統為主）與絕大多數其他行業的關鍵信息基礎設施（以 IT 系統為主）不同，電信網路要復雜得多。電信網路會涉及移動接入網路（2G/3G/4G/5G）、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路，任何一個網路被攻擊，都會對承載在電信網上的話音或數據業務造成影響。

在電信行業關鍵信息基礎設施認定方面，美國的《國家關鍵功能集》可以借鑒。2019 年 4 月，美國國土安全部下屬的國家網路安全和基礎設施安全局（CISA）國家風險管理中心發布了《國家關鍵功能集》，將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式，電信網路屬於連接類。

除了上述電信網路和服務外，支撐網路運營的大量 IT 支撐系統，如業務支撐系統（BSS）、網管支撐系統（OSS），也非常重要，應考慮納入關鍵信息基礎設施范圍。例如，網管系統由於管理著電信網路的網元設備，一旦被入侵，通過網管系統可以控制核心網路，造成網路癱瘓；業務支撐系統（計費）支撐了電信網路運營，保存了用戶數據，一旦被入侵，可能造成用戶敏感信息泄露。

二、電信網路關鍵信息基礎設施的保護目標和方法

電信網路是數字化浪潮的關鍵基礎設施，扮演非常重要的角色，關系國計民生。各國政府高度重視關鍵基礎設施安全保護，紛紛明確關鍵信息基礎設施的保護目標。

2007 年，美國國土安全部（DHS）發布《國土安全國家戰略》，首次指出面對不確定性的挑戰，需要保證國家基礎設施的韌性。2013 年 2 月，奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》，其首要策略是改善關鍵基礎設施的安全和韌性，並要求美國國家標准與技術研究院（NIST）制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》（CSF）提出，關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節，建立網路安全框架，管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求，定義了 IPDRR能力框架模型，並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，是這五個能力的首字母。2018 年 5 月，DHS 發布《網路安全戰略》，將「通過加強政府網路和關鍵基礎設施的安全性和韌性，提高國家網路安全風險管理水平」作為核心目標。

2009 年 3 月，歐盟委員會通過法案，要求保護歐洲網路安全和韌性；2016 年 6 月，歐盟議會發布「歐盟網路和信息系統安全指令」（NISDIRECTIVE），牽引歐盟各國關鍵基礎設施國家戰略設計和立法；歐盟成員國以 NIS DIRECTIVE為基礎，參考歐盟網路安全局（ENISA）的建議開發國家網路安全戰略。2016 年，ENISA 承接 NISDIRECTIVE，面向數字服務提供商（DSP）發布安全技術指南，定義 27 個安全技術目標（SO），該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配，關鍵基礎設施的網路韌性成為重要要求。

借鑒國際實踐，我國電信網路關鍵信息基礎設施安全保護的核心目標應該是：保證網路的可用性，確保網路不癱瘓，在受到網路攻擊時，能發現和阻斷攻擊、快速恢復網路服務，實現網路高韌性；同時提升電信網路安全風險管理水平，確保網路數據和用戶數據安全。

我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定：國家對關鍵信息基礎設施實行重點保護，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出，要著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度。

參考 IPDRR 能力框架模型，建立電信網路的資產風險識別（I）、安全防護（P）、安全檢測（D）、安全事件響應和處置（R）和在受攻擊後的恢復（R）能力，應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF，開展電信網路安全保護，可按照七個步驟開展。一是確定優先順序和范圍，確定電信網路單元的保護目標和優先順序。二是定位，明確需要納入關基保護的相關系統和資產，識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀，創建當前的安全輪廓。四是評估風險，依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時，需要分析運營環境，判斷是否有網路安全事件發生，並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距，通過分析這些差距，對其進行優先順序排序，然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃，決定應該執行哪些行動以消除差距。

三、電信網路關鍵信息基礎設施的安全風險評估

做好電信網路的安全保護，首先要全面識別電信網路所包含的資產及其面臨的安全風險，根據風險制定相應的風險消減方案和保護方案。

1. 對不同的電信網路應分別進行安全風險評估

不同電信網路的結構、功能、採用的技術差異很大，面臨的安全風險也不一樣。例如，光傳送網與 5G 核心網（5G Core）所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備，轉發用戶面數據流量，設備分散部署，從用戶面很難攻擊到傳送網設備，面臨的安全風險主要來自管理面；而5G 核心網是 5G 網路的神經中樞，在雲化基礎設施上集中部署，由於 5G 網路能力開放，不僅有來自管理面的風險，也有來自互聯網的風險，一旦被滲透攻擊，影響面極大。再如，5G 無線接入網（5GRAN）和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面，從現網運維實踐來看，RAN 被滲透的攻擊的案例極其罕見，風險相對較小。5G Core 的雲化、IT 化、服務化（SBA）架構，傳統的 IT 系統的風險也引入到電信網路；網路能力開放、用戶埠功能（UPF）下沉到邊緣等，導致介面增多，暴露面擴大，因此，5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後，運營商應按照不同的網路單元，全面做好每個網路單元的安全風險評估。

2. 做好電信網路三個平面的安全風險評估

電信網路分為三個平面：控制面、管理面和用戶面，對電信網路的安全風險評估，應從三個平面分別入手，分析可能存在的安全風險。

控制面網元之間的通信依賴信令協議，信令協議也存在安全風險。以七號信令（SS7）為例，全球移動通信系統協會（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽；如果信令網關解析信令有問題，外部攻擊者可以直接中斷關鍵核心網元。例如，5G 的 UPF 下沉到邊緣園區後，由於 UPF 所處的物理環境不可控，若 UPF 被滲透，則存在通過UPF 的 N4 口攻擊核心網的風險。

電信網路的管理面風險在三個平面中的風險是最高的。例如，歐盟將 5G 管理面管理和編排（MANO）風險列為最高等級。全球電信網路安全事件顯示，電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案（4A）、堡壘機、安全運營系統（SOC）、多因素認證等安全防護措施，但是，在通信網安全防護檢查中，經常會發現管理面安全域劃分不合理、管控策略不嚴，安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象，導致管理面的系統容易被滲透。

電信網路的用戶面傳輸用戶通信數據，電信網元一般只轉發用戶面通信內容，不解析、不存儲用戶數據，在做好終端和互聯網介面防護的情況下，安全風險相對可控。用戶面主要存在的安全風險包括：用戶面信息若未加密，在網路傳輸過程中可能被竊聽；海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊（DDoS）；用戶面傳輸的內容可能存在惡意信息，例如惡意軟體、電信詐騙信息等；電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。

3. 做好內外部介面的安全風險評估

在開展電信網路安全風險評估時，應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險，尤其是重點做好外部介面風險評估。以 5G 核心網為例，5G 核心網存在如下外部介面：與 UE 之間的 N1 介面，與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等，還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域，存在不同風險。根據3GPP 協議標準定義，在 5G 非獨立組網（NSA）中，當用戶漫遊到其他網路時，該用戶的鑒權、認證、位置登記，需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通，需要經過公網傳輸。因此，這些漫遊介面均為可訪問的公網介面，而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。

4. 做好虛擬化/容器環境的安全風險評估

移動核心網已經雲化，雲化架構相比傳統架構，引入了通用硬體，將網路功能運行在虛擬環境/容器環境中，為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難，並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化（NFV）環境面臨傳統網路未遇到過的新的安全威脅，包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括：通過虛擬網路竊聽或篡改應用層通信內容，攻擊虛擬存儲，非法訪問應用層的用戶數據，篡改鏡像，虛擬機（VM）之間攻擊、通過網路功能虛擬化基礎設施（NFVI）非法攻擊 VM，導致業務不可用等。

5. 做好暴露面資產的安全風險評估

電信網路規模大，涉及的網元多，但是，哪些是互聯網暴露面資產，應首先做好梳理。例如，5G網路中，5G 基站（gNB）、UPF、安全電子支付協議（SEPP）、應用功能（AF）、網路開放功能（NEF）等網元存在與非可信域設備之間的介面，應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口，因此，需重點做好暴露面資產的風險評估和安全加固。

四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議

參考國際上通行的 IPDRR 方法，運營商應根據場景化安全風險，按照事前、事中、事後三個階段，構建電信網路安全防護能力，實現網路高韌性、數據高安全性。

1. 構建電信網路資產、風險識別能力

建設電信網路資產風險管理系統，統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本，定期開展資產和風險掃描，實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元，例如，MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄（AD）域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵，對電信網路的影響極大，因此，應做好對安全關鍵功能設備資產的識別和並加強技術管控。

2. 建立網路縱深安全防護體系

一是通過劃分網路安全域，實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域；管理面的網路管理安全域（NMS），其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區；對外暴露的網元（如 5G 的 NEF、UPF）等放在半信任區，核心網控制類網元如接入和移動管理功能（AMF）等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器（HSS）、統一數據管理（UDM）等放在信任區進行保護，並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護，包括互聯網邊界、承載網邊界，基於對邊界的安全風險分析，構建不同的防護方案，部署防火牆、入侵防禦系統（IPS）、抗DDoS 攻擊、信令防護、全流量監測（NTA）等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心（VDC）/虛擬私有網路（VPC）隔離，例如通過防火牆（Firewall）可限制大部分非法的網路訪問，IPS 可以基於流量分析發現網路攻擊行為並進行阻斷，VDC 可以實現雲內物理資源級別的隔離，VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內，採用虛擬區域網（VLAN）、微分段、VPC 隔離，實現網元訪問許可權最小化控制，防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單，在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。

3. 構建全面威脅監測能力

在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力，通過部署深度報文檢測（DPI）類設備，基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力，構建操作系統（OS）入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式，構建全面威脅安全態勢感知平台，及時發現各類安全威脅、安全事件和異常行為。

4. 加強電信網路管理面安全風險管控

管理面的風險最高，應重點防護。針對電信網路管理面的風險，應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等，防止越權訪問，防止從管理面入侵電信網路，保護用戶數據安全。

5. 構建智能化、自動化的安全事件響應和恢復能力

在網路級縱深安全防護體系基礎上，建立安全運營管控平台，對邊界防護、域間防護、訪問控制列表（ACL）、微分段、VPC 等安全訪問控制策略實施統一編排，基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析，及時發現入侵行為，並能對攻擊行為自動化響應。

（本文刊登於《中國信息安全》雜志2021年第11期）