通信世界网消息(CWW) 伴随“宽带中国”、“互联网+”等国家战略的稳步实施,我国互联网产业整体发展势头迅猛。作为互联网的基础服务行业,IDC一直为网站提供与存储、运维、安全相关的各项服务,是互联网能够有效运行、高效发展的中流砥柱。同时,大量业务和信息的汇聚也给IDC的安全保障能力带来巨大的挑战,近年来监管部门逐渐完善对于IDC等应用基础设施的监管工作,在保障网络信息安全方面卓有成效。但也仍需清楚认识到我国IDC监管所面临的问题和挑战,监管部门需要针对IDC市场的变化不断调整监管策略。
IDC对互联网网络安全重要性愈发明显 互联网业务遍及信息获取、娱乐、即时通信、购物、金融理财、旅游出行等各种领域,互联网已经深入到每个人的生活细节中,据CNNIC第三十八次《中国互联网络发展状况统计报告》显示,截至2016年6月,我国网民规模达到7.10亿,互联网普及率达到51.7%。网络已经深度融入我国经济社会的各个方面,深刻影响着人们的社会活动和生活方式,在促进我国技术创新、经济发展的同时,网络信息安全问题也日益突出。
企业对网络系统的投资不断增加,网络管理、维护的难度也不断提高,越来越多的企业选择将与网站托管、IT应用服务等相关的一切事物交给IDC去做,而将更多的精力和财力投入到增强核心竞争力的业务中。目前我国持证IDC企业已达近千家,尤其近年来贵州、内蒙古等多地区大力发展数据中心基础设施,我国整体IDC产业发展非常迅猛。IDC在互联网产业中的作用也愈发重要,由于其承载着海量的业务数据,互联网的网络安全风险也逐步向IDC汇聚。
加强IDC安全保障对保护社会经济、维护国家安全、保护个人权益的意义重大。从网络运行安全方面看,一旦IDC发生服务器宕机等运行安全事件,会给托管在其IDC之上的企业以及这些企业的直接用户带来无法估量的损失,尤其是对于银行、政府部门、大型企业来说,这种安全事件简直是场灾难。从信息安全方面来看,一旦某IDC成为黄赌毒等不良信息的温床,将会给社会和广大公众带来极大的负面影响。另外,互联网应用尤其是一些热门应用包含大量的个人用户信息,这些个人信息一旦发生泄漏极容易滋生违法犯罪行为,威胁广大群众的财产和人身安全。
国内 IDC市场监管工作逐步完善 2007年7月,为落实10部委打击淫秽色情专项行动中关于“整顿托管主机和虚拟空间信息安全管理秩序”的要求,工信部发布《信息产业部关于做好互联网网站实名管理工作的通告》,暂停发放IDC和ISP许可证,并对国内市场进行清理整顿。2007年之后,工信部采取了一系列专项整治措施加强IDC业务的管理,从建立企业侧网站备案系统、手机上网拨测机制、上网日志留存制度、违法有害信息发现和过滤机制等方面逐步完善监管手段, IDC市场秩序逐步好转。
为更好地满足当前日益增长的互联网接入服务市场需求,工信部于2012年12月发布了《工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》和工作实施方案,重新启动IDC和ISP许可发放。在适当提高IDC和ISP许可证的准入门槛、使业务开放和管理做到可管可控的同时,鼓励有实力、有创新能力的企业进入市场,满足市场多样化的需求。同时明确企业资源和业务管理系统的建设,实现用户和网站备案、信息安全管理、机房管理、接入资源管理等功能,申请IDC许可需要通过相应系统的技术测评审查,具体的评测项目及技术规范和标准见表1。IDC准入监管工作更加严格和规范对于加强IDC安全保障效果显著。
表1 IDC评测项目及技术规范和标准
随着事前审查工作的稳步推进,企业对各项系统评测的理解已经非常准确,评测和许可申请流程的周期逐步缩短,评测通过率持续提高。截至2016年7月底,工信部已完成对于IDC和ISP的4项评测申请量分别为:ICP/IP地址/域名信息备案系统评测2862件;接入资源管理系统评测2909件;IDC机房运行安全评测1046件;信息安全管理系统评测2800件。941家企业获得IDC许可,其中280家企业获得跨地区IDC许可,661家企业获得省内IDC许可。
应对市场发展监管策略仍需不断调整 传统IDC服务形态向云服务转型 而随着云计算概念的引入并发展成熟,以大规模存储和分布式计算为特色的云计算也给IDC产业带来了新的挑战和机遇。传统的IDC相对刚性、封闭,愈发难以满足当前用户动态、按需、实时地获取网络资源的需求,云计算将传统IDC资源虚拟化,相对灵活有伸缩性地为用户提供服务,极大地降低了用户侧成本并提高了资源利用效率。越来越多的传统IDC服务商开始向云服务商转型。
为应对这一发展趋,《电信业务分类目录》(2015版)在互联网数据中心业务定义中增加互联网资源协作服务业务的表述。但是,新版《目录》中的互联网资源协作服务业务并不完全等同于我们常说的“云计算服务”。当前云计算并没有非常严谨的定义,产业链中不同角色对云计算的理解也是不尽相同。新版《目录》中所说的互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。而当前市面上一些虚拟应用软件云服务(强调通过在线方式提供应用软件租用服务)目前并不纳入互联网资源协作服务业务进行管理。
由于基于云架构的互联网资源协作服务业务和传统IDC相比从技术实现方式上有本质区别,工信部对二者的评测要求也不尽相同,传统的IDC持证企业如转型经营互联网资源协作服务业务,必须按照《互联网资源协作服务信息安全管理系统技术要求(试行)》等相关标准补齐相应评测并对原有许可证进行变更,才可以获得运营资质。
IDC事中事后监管手段需要加强 为进一步强化治理效果,政府监管部门一方面应当在事前评测环节不断完善技术手段,另一方面应加强事中事后的监管手段,不断完善监管策略。
目前部分企业在获得IDC资质后有违规经营的问题,主要表现为:一是许可证变相租借、转让,部分企业违规为无证企业提供资质、资源、场地、设施等条件;二是超范围经营,如某企业申请资质时的经营范围仅为北京、天津两地,但实际运营时却在河北等地超范围经营;三是新增机房未评测,由于现行许可证上并未标明机房的数量及具体位置,部分企业钻了空子,在某城市仅有一机房评测通过的情况下,后续建设的机房不申请评测直接运营,这种违规行为目前来看大量存在;四是违规境外联网,部分企业在未经监管部门批准的情况下,通过专线、虚拟专用网络(VPN)等其他方式自行建立或使用其他信道进行国际联网。
针对上述违规行为,从事中、事后监管方面,行业主管部门应进一步加强监管手段,完善监管策略。应建立切实有效的巡查机制,联合工商、公安等部门,组织专门的巡查队伍,定期开展规范整治行动,对于无证经营、超范围经营等违规行为严厉打击;应建立畅通的举报机制,鼓励行业内同仁举报违规经营行为,促进行业公平竞争;应建立IDC信誉机制,对于合法合规、服务质量优异的企业给予政策倾斜,对于违规经营的企业纳入信誉不良名单,定期向社会公布。
