中国联合网络通信有限公司研究院 王姗姗，徐雷、张曼君及陶冶

金融、能源、电力等领域的关键信息基础设施作为经济运行的神经中枢，也是可能遭到重点攻击的目标，网络安全事件一旦发生，将对重要行业正常运营造成严重影响，并对国家政治、科技、经济乃至人民生命财产安全产生重大损失。因此电信行业的关键信息基础设施能够为社会经济提供基础性的通信和信息服务，在面对日益严峻的安全威胁和挑战时，各国已经在加强这一领域的保护措施上取得了积极进展，保障网络安全是重中之重。

1. 电信领域中的重要设施安全性成为国际社会共同关切的焦点。

关键信息基础设施对于任何国家来说都至关重要，在现代技术中发挥着关键作用。作为基础设施部门的一个重要组成部分，电信网络是这些关键信息基础设施的桥梁，因此面临的安全挑战尤为重大。在这次乌克兰和俄罗斯之间的冲突中，针对关键信息基础设施的网络攻击成为了双方斗争的焦点之一，并给两国政府、金融、能源等领域的运行带来了严重影响。由于电信网络在此次危机中的作用无法被替代，其瘫痪将导致整体社会系统无法正常运作。

1. 重要数据设施面临日益增强的网络威胁

在全球范围内的网络安全形势显得极为严峻，严重的网络威胁已向国家的核心设施传播蔓延。近年来，在国际上就出现了针对重要基础架构和敏感信息系统所实施的各类网络攻击事件，且其手段也在逐渐升级，当前，我国的网络关键基础设施的安全威胁在逐年增加，这种状况对国内社会稳定及国家安全造成了巨大的伤害，对这些网络关键基础设施运行带来极大挑战。

在 2013年，美国中央情报局一名前雇员斯诺登披露了有关美国国家安全局侵犯中国主要电信公司用户手机短信的信息，并且攻击清华大学主干网络。2019年和2020年间，委内瑞拉电网先后遭受数次网络攻击，导致大面积停电，引发社会恐慌。而与此同时，美国最大燃油管道运营商以及全国最大肉类加工企业，也都因遭遇黑客袭击而被迫关闭，从而严重影响了国家及全球经济运作的基础设施稳定性。

2. 重点是保障通信行业基础性设施的安全，这是一切的核心。

作为国家信息化、数字化建设的主要载体，公共通信网和互联网是网络空间安全的重要保障；而作为国家的基础信息和公共服务平台，它对社会生产和居民生活产生影响，承载着大量的数据与政务，具有基础性和全局性的特点。

2022年俄乌冲突期间，两国均遭受了规模巨大的网络袭击。这些袭击造成了电信网络的全面停摆以及国家重要政务网站的瘫痪，并导致金融系统无法提供正常的服务。

在俄罗斯方面，大规模的分布式拒绝服务DDoS攻击使许多俄政府网站下线，包括国防部、政务部门以及媒体等基础设施也出现了用户无法访问的情况。国际黑客组织“匿名者”（Anonymous）宣布对俄罗斯发起网络战争。“俄罗斯电视台遭遇了大规模的 DDoS 攻击，克里姆林宫和俄罗斯联邦委员会的政府部门网站遭到了攻击。”俄媒称，俄罗斯或将与全球互联网脱钩，启动“大局域网”应对国际制裁。Runet是基于国家安全目的构建的一个脱离全球互联网内部局域网络。

乌方方面，国家重要行业如通讯行业、医疗业及科学研究机构遭受重创，攻击具有针对性。2月间，有200多个IP/域名遭遇DDoS攻击，基辅之星是主要受击运营商；最多受到攻击的IP是互联网服务提供者。3月28日，乌克兰电信Ukrtelecom因核心网络遭破坏而下线和中断，影响比例降至13%，这是乌方关键基础设施的重大损失之一，这预示着重要信息基础服务可能造成更大的社会和经济冲击。

第三点是，电信行业的重要关键信息基础设施也面临着风险。

近年来，我国的关键信息基础设施中包括了终端设备、接入网、私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596同步网、核心网以及各类业务支持系统，资产规模庞大。随着数字经济的发展和信息化程度的提高，传统的通信技术边界逐渐被打破，从单一的通信领域扩展到全面融入互联网之中，并与云计算、大数据等前沿科技融合。网络云化/泛在化演进，以及面向个人服务和企业服务的业务融合发展，使得关键信息基础设施面临更大开放性和网络安全挑战。具体表现在三个方面：

一是核心技术不足导致网络安全面临被“卡脖子”。欧美国家利用技术优势发起贸易和技术战，致使我国基础网络设施核心元器件受制于人，并存在后门或未知漏洞等问题，严重威胁关键信息基础设施安全。同时，高端内存、大容量硬盘、光通信设备等核心部件的国产化进展缓慢，制约了网络自主可控能力提升和网络强国建设进程。

二是我国网络安全产业尚处于发展初期阶段，在产业发展规模上，与发达国家相比我国的投入水平相对较低，低于欧美等国家和地区约 7% 的平均比例，并且在信息安全核心领域（如数据安全、移动终端安全）的投入比例甚至不到发达国家的 50%，核心技术及其创新能力还远未达到国际先进水准。网络安全产业整体协同能力有待提高，缺乏关键信息保护领域的系统性解决方案和有效的安全防护技术。

其三，由于电信网络边缘化部署以及网络资产数量级增长的状态，使网络设施分散、监控响应滞后问题加剧，并加大了网络安全的管理难度，而且人与安全管理相关的安全事件比例较高，电信企业需要建立一个有效的协同的安全管理和保障组织，以提高网络安全人才培养力度。

2. 电信行业关键信息基础设施的安全保障实践活动

网络安全法和配套政策法规已为促进国家关键信息基础设施的保护发挥作用，尤其是美国、欧盟和日本等国，通过制定和发布一系列战略、政策与命令，建设了较为健全的关键信息基础设施保护体系，并不断进行动态调整以强化其有效性。然而我国在这一领域的起步较晚，虽然采取借鉴国际经验并结合自身实际情况，已开展包括立法、配套政策以及标准规范在内的多项法制保护实践，并正逐步完善相关法律制度及标准体系。

国外的实际例子

美国、欧盟、日本等国家和地区的政府对于关键信息基础设施的定义、保护对象、措施方法以及组织架构都有明确的规定，并且在不断地进行调整和修改。美国自2001年开始陆续颁布了《2002关键基础设施法案》（Critical Infrastructure Act of 2002）、《加强关键基础设施网络安全行政命令》（Executive Order - Strengthening Cybersecurity in Critical Infrastructure）等法律，并且经过近20年的发展和演变，逐步从最初的围绕关键基础设施的界定、机构设置、责任落实、政企合作以及信息共享机制等方面进行调整，发展到将保障关键基础设施的安全上升到了国家战略层面。

欧盟先后制定了《欧洲关键基础设施保护计划绿皮书》（Green Paper on a EuropeanProgramme for Critical Infrastructure Protection）和《网络与信息系统安全指令》（Directive onSecurity of Network and Information Systems）等，旨在保护关键基础设施免受大规模网络攻击和中断，重点是预防、安全性和恢复力。2020 年发布的《欧盟网络安全战略》（The EUCybersecurity Strategy），将增强关键信息基础设施的保护水平和恢复能力作为未来五年网络安全领域的核心工作。

日本一直致力于保护其关键信息基础设施的安全，在该领域中，它建立了以法律法规为基础，通过构建健全的管理体系作为重点，并结合监测预警与信息安全分享平台来支持这一过程，同时也提供包括人力资本和技术资源在内的一系列有力支撑措施。

就细分的电信业的关键信息安全设施而言，美国已开始采取相应的措施。2015年，国土安全部对通信、信息技术等领域制定了专项安全计划《美国信息技术关键信息基础设施保护计划》(National Infrastructure Protection Information Technology Sector Specific Plan)，并根据行业领域的特点和实际状况来指导和规范安全工作开展。

2. 我们的实践

我国内部正在积极推进网络安全方面的立法工作，并且制定了多项针对关键信息基础设施的具体实施指南，这些都为保障国家的关键信息设施提供了一个良好的框架。此外，中国电信集团已私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596经着手研究并制定了相应标准来对接和执行相关的法律法规。

自 2017 年 6 月 1 日起实施的《中华人民共和国网络安全法》，对基本要求、部门分工以及主体责任等问题做出总体制度安排，建立了以事前预防、事中控制、事后恢复与惩治的关键信息基础设施保护体系。同年新修订的《网络安全审查办法》也强调确保关键信息基础设施供应链安全，维护国家安全。2021 年 9 月 1 日起正式实施的《关键信息基础设施安全保护条例》，进一步为我国关键信息基础设施安全保护的相关工作内容和要求提供了总体规定。

在制定规范方面，自2017年始，我国对关键信息基础设施的保护工作展开了一系列标准体系建设规划，目前由全国信息安全标准化技术委员会负责研发布施的关键信息基础设施相关标准共有9项，在其中涵盖开展关键信息基础设施安全保护的基本要求、运行检查评估机制和评价指标等内容。这些标准不仅构建了支持全面保障关键信息基础设施安全性的标准框架，并且与相关的国家和行业规范一起，为维护网络安全提供了有力的指导和支持。

上述政策规定了所有行业的关键信息基础设施保护基本要求，《关键信息基础设施安全保护条例》为电信行业做出了相关规定，国务院的电信管理部门负责管理电信行业关键信息基础设施的安全运行；对于基础电信网络的漏洞探测、渗透性测试等活动，需事先向电信主管机构报告；国家会采取措施以优先保障能源和通信等关键信息基础设施的运行。同时，我国相关的关键信息基础设施保护系列标准也正在积极制定中。

综上所述，我国在电信行业的立法工作尚未完全完善，《通信网络安全防护管理办法》等多份部门规章需要进一步修订，并且应当与当前的政策法规做好衔接和落实，在这一过程中，制定一系列关键信息基础设施安全保护的标准也显得尤为紧迫，这样能够更适应电信业务复杂的特点。

三、有关我国重要电信网络和信息系统的建议

基于以上的总结，为增强我国电信网的关键信息安全性和可控性，我们应当在制定相关规范以及建立起完整的体系架构的基础上，积极构建相应的产业支持系统。

1. 建立完善的安全网络标准系统

为了确保基础网络与重要互联网设施的安全，在完善电信行业网络安全法规框架的同时，还需进一步规范关键信息基础设施的保护工作。为此，应当制定针对性的电信行业关键信息安全防护规范，并逐渐细化相关细则。从边界检测、防护策略到控制措施、保障目标等各个方面，需系统地推进标准研制工作，为安全技术手段和安全检查提供依据。同时，在此基础上，通过多层次、多维度的方式逐步推动这些标准落地并实施。

2. 保障安全体系的建设

基于关键信息基础设施的安全监控与预防措施、数据保护技术以及应急处理系统，强化对关键信息基础设施的全方位保障工作，确保其安全稳健运行，提升整个国家的信息安全性水平。

图 关键信息基础设施安全保障体系

电信行业关键信息基础设施运营者应当建立包括管理体系、技术体系与运营体系在内的保护安全系统，并分三个层面进行设计：首先，通过设立安全管理机构及管理制度来保障网络安全体系的完整性；其次，在安全技术体系中重点强化对于网络与信息安全态势感知平台等关键设备的防护能力，并部署安全监测系统以应对各类威胁事件；最后，在安全运营体系方面，则需要对基础网络环境、骨干网/城域网以及移动网进行资产清查并实施漏洞检测及风险预防措施，通过持续的事件分析处理与演练来保障网络设施的运行稳定性。

此外还应该强化行业内各部分的协同工作以确保关键信息基础设施的安全。为此需要建立一套相互协作、共同应对威胁、共享安全信息以及制定相应预案来抵御入侵的技术安全保障体系。

三、支持网络安全产业发展

网络安全产业发展可以进一步推动资产测绘、监测预警和威胁分析等网络安全创新技术和产品的开发，并据此实现电信行业网络关键信息基础设施的建设以及重要系统、关键节点及数据的安全防护能力，从而能支持保障关基全生命周期管理体系建设。工信部在2021 年发布的《关于促进网络安全产业高质量发展三年行动计划》中提到，到 2023 年，电信等重点行业的网络安全投入占信息化投资的比例将超过 10%。这将促使通信行业和互联网行业发展网络安全能力升级。一是加速关键核心技术攻关，并支持网络安全技术研发应用；二是扩大网络安全产品和服务的供给水平，举办多层次网络安全技能竞赛并加强人才队伍建设。