5G、云计算、大数据、人工智能和物联网等新兴领域的快速发展,带动了数据存储、计算和网络流量需求的增加,技术创新驱动了IDC市场规模快速增长。
5G、云计算、大数据、人工智能和物联网等新兴领域的快速发展,带动了数据存储、计算和网络流量需求的增加,技术创新驱动了IDC市场规模快速增长。同时,大量业务和信息的汇聚也给IDC的安全保障能力带来巨大的挑战。虽然近年来监管部门逐渐完善对于IDC等应用基础设施的监管工作,在保障网络信息安全方面卓有成效,但是监管部门仍需要针对IDC市场的变化不断调整监管策略。本文将以陕西省为例,具体分析IDC网络安全保障问题。
陕西省IDC运营模式主要为IDC传统业务和技术优化业务,传统业务主要是为用户提供机房环境和空间;技术优化业务主要包括为提升用户感知而引入的缓存、CDN、游戏、证券等业务加速。
据了解,陕西省持有IDC经营许可证企业16家,IDC经营者主要为本省三大基础电信运营商。截至目前,中国电信陕西分公司出口带宽共计4440G、中国移动陕西有限公司出口带宽共计1700G、中国联通陕西分公司出口带宽共计620G。
陕西省IDC网络与信息安全保障问题
(一)IDC经营者存在的问题
1.信息安全管理系统部署滞后于网络建设。 随着互联网市场的快速发展,IDC用户数量大规模增长,IDC带宽要求与日俱增,IDC经营者投入更多的资金和精力致力于建设快速、稳定、高效的网络,对于信息安全管理系统的规划和建设的重视程度不够,致使信息安全管理系统部署普遍滞后于网络建设。
国家对于网络与信息安全监管日益重视,严格考评三同步建设实施情况,又导致IDC发展受限于信息安全管理系统建设进度,出现IDC业务需求带宽加大,但信息安全管理系统未通过测评,无法对IDC进行扩容的情况,阻碍IDC整体市场发展。
2.对接入IDC的用户备案不规范。 IDC经营者需详细记录经营者信息、机房基础数据和用户基础数据。针对用户数据基础信息,录入信息安全管理系统的数据存在域名、用户备案类型与备案号等信息未登记或登记有误的问题,在技术抽测过程中出现过抽测出的域名在全国域名备案系统中对应的用户与在此次抽测的IDC信息安全管理系统中登记的用户不符的情况。
3.与IDC用户签署的合同趋于流程。 IDC经营者应与在自身经营的IDC机房内托管或租用主机完成商业目的用户签署有关服务合同。合同条款应明确用户单位名称、单位属性、证件号码、服务内容、域名信息、分配的带宽、机架个数及IP地址段等内容。
IDC经营者往往为了扩展业务客户,增加自身收入,在没有签署完整服务合同的情况下为客户开通互联网业务,或先开通业务后期再补合同,致使合同版本管理混乱,合同主要内容不全。在第三方测试机构审核过程中发现部分用户合同存在内容不全或与实际情况不符的问题。
4.机房管理有待规范化。 与传统机房内均为运营企业自身业务设备的模式相比,IDC机房因涉及到众多用户,其管理需更加规范,便于识别不同用户占用的机柜及设备。目前,陕西省多数IDC机房为原有机房改造而成,机柜编号较为混乱,用于表示用户占用的机柜标签和设备标签不规范,一些设备不能直观看出属于哪些用户,只能从基础电信运营企业其他管理系统中查看,造成管理不便。
5.对IDC网络与信息安全意识有待加强。 运营企业目前还存在先发展业务、拓展用户,后进行网络与信息安全管理的思想,认为企业的发展以盈利为主要目的,忽略了保障服务品质和完成对网络不良行为和不法信息监管的义务。先开业务后补材料,资料审核不严的情况还时有发生。
(二)IDC用户存在的问题
1.未尽保障网络与信息安全的义务。 作为互联网业务的主要提供者,IDC用户应提供在所处IDC中运行的服务的相关资料,为IDC管理者规范备案管理提供真实可信的材料。现阶段一些IDC用户在与IDC经营者签署合同时只关注商务条款,不能提供完整的业务信息,致使IDC经营者备案信息不全。
2.缺乏对自身行为的约束。 用户提供的互联网服务应绿色健康,抵制一切危害社会安全,传播有害思想的业务和言论。部分用户重点关注企业营利或宣传等方面,缺乏对违法有害信息的把控,造成不良信息被广泛传播,增加了监管的难度。
(三)监管中存在的问题
立法监管仍需加强,监管措施有待完善。当前除了《关于进一步规范因特网数据中心(IDC)业务和因特网介入服务(ISP)业务市场准入工作的实施方案》等实施方案,尚无相关法律法规明确对IDC网络与信息安全保障进行阐述。虽然《实施方案》能够指导完成对IDC网络与信息安全管理保障的监测,但对实际操作中如何解决各种难题以及对违法行为惩处力度没有实用的参考依据。
七项对策及建议
(一)完善法律制度建设
互联网发展日新月异,IDC为互联网发展提供了基础设施,具有用户需求多、业务类型多、业务量大等特点。新环境下IDC网络和信息安全保护应该受到足够重视,与之相关的法律法规的出台与完善是当务之急。行业管理单位应该在IDC监管的过程中,不断加强法制建设,推进IDC的健康有序发展。
(二)加强日常监管和及时整改
IDC互联网信息数据量庞大,其中违法违规信息的传播扩散不仅扰乱社会秩序,也严重影响业务的发展。这要求行业管理部门和IDC经营者都应该加强日常监管和维护:行业主管部门应定期通过查阅资料、现场拨测、抽查等方式对IDC经营者的经营行为进行监管,确保其满足信息安全管理要求,对不满足要求的行为责令整改,规范其行业陋习,引导其积极有效进行IDC网络和信息安全管理;IDC经营者应全时段全业务全链路监控IDC用户行为,发现违法违规行为及时上报。
(三)全面培养网络与信息安全意识
IDC网络与信息安全保障的实施,能够为IDC经营者以及互联网业务提供者带来长远利益。应该让他们意识到,尽管建设信息安全管理系统并对有关基础信息进行详细备案审查是一项耗时长、投资大的工程,但其能有效的监控网络中违法违规行为,减少不良内容带来的负面影响,长远来看有助于企业树立良好的社会形象。IDC网络与信息安全保障的实施不但营造了良好的网络环境,还可以将管理的主动权把握在经营者自己手中,便于分析用户信息,了解用户需求,完善客户关系管理。
(四)规范管理流程
针对IDC经营者,其应制定切实可行的网络与信息安全管理流程,包含对用户信息的收集、合同签署和保管、系统运行和维护、人员管理、机房管理、信息审核和更新等一系列措施。杜绝先开通业务再补合同、分配资源超过合同签署规定等事件的发生。
(五)改进管理方式,加强沟通交流
针对IDC已有用户,如果出现备案不全或有误的现象,应尽快联系有关人员对其内容进行补齐和纠正;对于今后进驻IDC的用户,应严格审核其提交的内容。定期维护机房和管理系统中的用户信息。在IDC监管过程中,对于有问题的事件及时沟通交流,将问题解决在萌芽状态。
(六)支持技术研发和攻关
鼓励支持我国通信及互联网企业、科研院校、科研院所加大对网络与信息安全领域的深入研究,针对现在IDC网络中存在的难溯源、难识别、难监测等问题进行详细分析,并将理论模型转化为商用成果,能够部署在实际网络中保障IDC网络与信息安全。
在以往部署过程中出现信息安全保障系统设备为数众多,占用大量空间、电力等资源的问题,建议加强研发节能环保又安全有效的产品。
(七)加大政府资金支持,降低企业运营成本
鉴于以往信息安全管理系统建设规模大、耗时长、投资大,后期维护费用大,为促进企业认真贯彻执行有关信息安全保障规定,除强制措施外,建议加大政府资金支持,对信息安全管理方面增加相关补贴及优惠政策,调动企业积极性,促进IDC市场良性发展。
编辑:NIKI
5G、云计算、大数据、人工智能和物联网等新兴领域的快速发展,带动了数据存储、计算和网络流量需求的增加,技术创新驱动了IDC市场规模快速增长。