以陜西省為例看IDC安全保障及監管對策

陜西省通信管理局|楊興武

IDC為互聯網發展提供了基礎設施，新環境下IDC網絡和信息安全保護應該受到足夠重視，行業管理單位應該在IDC監管的過程中，不斷加強法制建設，推進IDC的健康有序發展。

5G、云計算、大數據、人工智能和物聯網等新興領域的快速發展，帶動了數據存儲、計算和網絡流量需求的增加，技術創新驅動了IDC市場規模快速增長。同時，大量業務和信息的匯聚也給IDC的安全保障能力帶來巨大的挑戰。雖然近年來監管部門逐漸完善對于IDC等應用基礎設施的監管工作，在保障網絡信息安全方面卓有成效，但是監管部門仍需要針對IDC市場的變化不斷調整監管策略。本文將以陜西省為例，具體分析IDC網絡安全保障方面存在的問題。

陜西省IDC運營模式主要為IDC傳統業務和技術優化業務，傳統業務主要是為用戶提供機房環境和空間；技術優化業務主要包括為提升用戶感知而引入的緩存、CDN、游戲、證券等業務加速。

據了解，陜西省持有IDC經營許可證的企業共約16家，IDC經營者主要為陜西省三大基礎電信運營商。截至目前，中國電信陜西分公司出口帶寬共計4440G、中國移動陜西有限公司出口帶寬共計1700G、中國聯通陜西分公司出口帶寬共計620G。

陜西省IDC網絡與信息安全保障問題

（一）IDC經營者存在的問題

1.信息安全管理系統部署滯后于網絡建設。隨著互聯網市場的快速發展，IDC用戶數量大規模增長，IDC帶寬要求與日俱增，IDC經營者投入更多的資金和精力致力于建設快速、穩定、高效的網絡，對于信息安全管理系統的規劃和建設的重視程度不夠，致使信息安全管理系統部署普遍滯后于網絡建設。

國家對于網絡與信息安全監管日益重視，嚴格考評三同步建設實施情況，又導致IDC發展受限于信息安全管理系統建設進度，出現IDC業務需求帶寬加大，但信息安全管理系統未通過測評，無法對IDC進行擴容的情況，阻礙IDC整體市場發展。

2.對接入IDC的用戶備案不規范。IDC經營者需詳細記錄經營者信息、機房基礎數據和用戶基礎數據。針對用戶數據基礎信息，錄入信息安全管理系統的數據存在域名、用戶備案類型與備案號等信息未登記或登記有誤的問題。在技術抽測過程中出現過抽測出的域名在全國域名備案系統中對應的用戶與在此次抽測的IDC信息安全管理系統中登記的用戶不符的情況。

3.與IDC用戶簽署的合同趨于流程。IDC經營者應與在自身經營的IDC機房內托管或租用主機完成商業目的用戶簽署有關服務合同。合同條款應明確用戶單位名稱、單位屬性、證件號碼、服務內容、域名信息、分配的帶寬、機架個數及IP地址段等內容。

IDC經營者往往為了擴展業務客戶，增加自身收入，在沒有簽署完整服務合同的情況下為客戶開通互聯網業務，或先開通業務后期再補合同，致使合同版本管理混亂，合同主要內容不全。在第三方測試機構審核過程中發現部分用戶合同存在內容不全或與實際情況不符的問題。

4.機房管理有待規范化。與傳統機房內均為運營企業自身業務設備的模式相比，IDC機房因涉及到眾多用戶，其管理需更加規范，以便于識別不同用戶占用的機柜及設備。目前，陜西省多數IDC機房為原有機房改造而成，機柜編號較為混亂，用于表示用戶占用的機柜標簽和設備標簽不規范，一些設備不能直觀看出屬于哪些用戶，只能從基礎電信運營企業其他管理系統中查看，造成管理不便。

5.對IDC網絡與信息安全意識有待加強。運營企業目前還存在先發展業務、拓展用戶，后進行網絡與信息安全管理的思想，其認為企業的發展以盈利為主要目的，忽略了保障服務品質和完成對網絡不良行為和不法信息監管的義務。先開業務后補材料，資料審核不嚴的情況還時有發生。

（二）IDC用戶存在的問題

1.未盡保障網絡與信息安全的義務。作為互聯網業務的主要提供者，IDC用戶應提供在所處IDC中運行的服務的相關資料，為IDC管理者規范備案管理提供真實可信的材料。現階段一些IDC用戶在與IDC經營者簽署合同時只關注商務條款，不能提供完整的業務信息，致使IDC經營者備案信息不全。

2.缺乏對自身行為的約束。用戶提供的互聯網服務應綠色健康，抵制一切危害社會安全、傳播有害思想的業務和言論。部分用戶重點關注企業營利或宣傳等方面，缺乏對違法有害信息的把控，造成不良信息被廣泛傳播，增加了監管的難度。

（三）監管中存在的問題

立法監管仍需加強，監管措施有待完善。當前除了《關于進一步規范因特網數據中心（IDC）業務和因特網介入服務（ISP）業務市場準入工作的實施方案》等實施方案，尚無相關法律法規明確對IDC網絡與信息安全保障進行闡述。雖然實施方案能夠指導監管部門完成對IDC網絡與信息安全管理保障的監測，但對實際操作中如何解決各種難題以及對違法行為懲處力度沒有提供實用的參考依據。

七項對策及建議

（一）完善法律制度建設

互聯網發展日新月異，IDC為互聯網發展提供了基礎設施，具有用戶需求多、業務類型多、業務量大等特點。新環境下IDC網絡和信息安全保護應該受到足夠重視，與之相關的法律法規的出臺與完善是當務之急。行業管理單位應該在IDC監管的過程中，不斷加強法制建設，推進IDC的健康有序發展。

（二）加強日常監管和及時整改

I D C互聯網信息數據量龐大，其中違法違規信息的傳播擴散不僅擾亂社會秩序，也嚴重影響業務發展。這要求行業管理部門和IDC經營者都應該加強日常監管和維護：行業主管部門應定期通過查閱資料、現場撥測、抽查等方式對IDC經營者的經營行為進行監管，確保其滿足信息安全管理要求，對不滿足要求的行為責令整改，規范其行業陋習，引導其積極有效進行IDC網絡和信息安全管理；IDC經營者應全時段、全業務、全鏈路監控IDC用戶行為，發現違法違規行為及時上報。

（三）全面培養網絡與信息安全意識

IDC網絡與信息安全保障的實施，能夠為IDC經營者以及互聯網業務提供者帶來長遠利益。應該讓他們意識到，盡管建設信息安全管理系統并對有關基礎信息進行詳細備案審查是一項耗時長、投資大的工程，但其能有效監控網絡中違法違規行為，減少不良內容帶來的負面影響，長遠來看有助于企業樹立良好的社會形象。IDC網絡與信息安全保障的實施不但營造了良好的網絡環境，還可以將管理的主動權把握在經營者自己手中，便于分析用戶信息，了解用戶需求，完善客戶關系管理。

（四）規范管理流程

針對IDC經營者，其應制定切實可行的網絡與信息安全管理流程，包含對用戶信息的收集、合同簽署和保管、系統運行和維護、人員管理、機房管理、信息審核和更新等一系列措施。杜絕先開通業務再補合同、分配資源超過合同簽署規定等事件的發生。

（五）改進管理方式，加強溝通交流

針對IDC已有用戶，如果出現備案不全或有誤的現象，應盡快聯系有關人員對其內容進行補齊和糾正；對于今后進駐IDC的用戶，應嚴格審核其提交的內容。定期維護機房和管理系統中的用戶信息。在IDC監管過程中，對于有問題的事件及時溝通交流，將問題解決在萌芽階段。

（六）支持技術研發和攻關

鼓勵支持我國通信及互聯網企業、科研院校、科研院所加大對網絡與信息安全領域的深入研究，針對現在IDC網絡中存在的難溯源、難識別、難監測等問題進行詳細分析，并將理論模型轉化為商用成果，能夠部署在實際網絡中保障IDC網絡與信息安全。

在以往部署過程中存在信息安全保障系統設備為數眾多，占用大量空間、電力等資源的問題，針對此建議科研部門加強研發節能環保又安全有效的產品。

（七）加大政府資金支持，降低企業運營成本

鑒于以往信息安全管理系統建設存在規模大、耗時長、投資大，后期維護費用大等問題，為促進企業認真貫徹執行有關信息安全保障規定，除強制措施外，建議加大政府資金支持，信息安全管理方面增加相關補貼及優惠政策，調動企業積極性，促進IDC市場良性發展。