运营商新支撑系统安全体系的建设给安全解决方案提供商带来了难得的发展机遇,也让他们从后台逐步走向前台,提供符合运营商新安全体系要求的解决方案是他们目前最重要的工作。本刊特邀请启明星辰高级副总裁、电信事业部总经理王雷,绿盟科技行业营销总监陈砚,绿盟科技行业销售总监徐晓阳,天融信市场副总监、市场经理张晓辉就新安全体系建设的相关话题进行了解析。
支撑系统融合对安全有更高要求
《通信世界》:运营商支撑系统的融合将带来哪些安全风险?
王雷:作为运营商运营和管理的信息化基础,支撑系统的融合对信息安全保障提出了更高的要求。
运营商的进一步转型,为用户提供综合信息服务,意味着在未来的一段时间内,产品和服务开通、服务保障将逐渐进行融合,支撑系统与客户自服务安全交互访问将越来越多,越来越重要。
支撑系统涉及到大量的客户信息、计费信息、财务信息,对这些系统、功能模块的业务流程、业务操作应有更高的IT内控要求。而且,支撑系统中数据安全性的要求更高,与客户隐私有关的资料、经营分析资料的保密性要求也越来越高,需要加强对系统用户的管理、用户的访问认证、授权、访问控制。
融合的支撑系统势必对业务连续性、数据可用性的要求越来越高,运营商需要加强灾备。
同时,越来越多的第三方合作伙伴、SP、CP将逐渐加入到产品制定、定价以及推广的过程中来,如何为他们提供及时准确的信息以及如何对他们进行安全管控也将越来越重要。
此外,支撑系统所提供的业务和产品种类会越来越多,系统间业务数据的交互更加复杂,加强边界访问方式、安全区域内部、安全区域间的防护将成为未来一段时间内必须要重点考虑的问题。
徐晓阳:支撑系统承载着运营商大量重要管理与运营数据,对管理决策与业务运营的支撑作用越来越重要。与此同时,支撑系统的复杂度急剧增加,也使信息系统在运维过程中的安全问题变得更加突出。融合给支撑系统带来四个方面的安全风险。
1.组织管理体系。融合前安全组织管理体系的人员结构、能力要求、职责分工是否能满足融合后支撑系统的安全需求成为一个风险点。
2.有效的身份管理、访问认证管理、授权管理。在支撑系统融合以后,各子系统都处于一个逻辑网络中,在此系统中的用户按需访问目标系统成为一个业务需求,可能造成数据被窃取、篡改、遗失等。
3.业务系统安全域和边界控制。支撑系统根据业务访问的需求,对大量网络进行互通连接,打破了既有的网络区域划分格局,使得各种安全问题可以比较容易地在各个区域的网络之间进行渗透。
4.终端安全风险。终端系统由于数量多和使用人员安全意识薄弱,使之成为支撑系统的一个极大风险点。
张晓辉:运营商的支撑系统是彼此关联的,融合是必然。在支撑系统的融合过程中,安全需要同期考虑。天融信认为,支撑系统并不存在零风险,而是要将支撑系统的安全风险控制在可接受的范围内。
现有模式会导致支撑系统整体安全性下降
《通信世界》:目前的信息安全模式能否有效地保障融合的支撑系统的安全?
陈砚:目前运营商支撑系统上部署的安全系统已成为相互独立的信息安全孤岛,由于各个信息安全系统之间缺乏联系,某一业务系统的安全短板往往成为攻击者突破其它重要业务系统的缺口,最终导致运营商支撑系统整体安全性的下降。这种信息安全模式一方面造成安全系统重复建设,加大了运营商的安全投资;另一方面增加了系统复杂度,造成运维成本的增加。
张晓辉:目前,各个解决方案提供商的安全系统不能完全无缝对接。在这种情况下,不仅仅是运营商,很多企业级用户都面临着安全问题的盲点。天融信认为,安全解决方案提供商有待进一步实现规模化,未来将产生更深层次的整合,形成更具体系化设计和建设能力的品牌,对整个支撑系统产生更正向的影响。
安全体系建设需要综合治理
《通信世界》:保障融合的支撑系统安全要注意哪些问题?运营商需要重点做好哪些工作?
王雷:首先,运营商支撑系统的安全建设必须要符合企业战略转型和业务发展的要求,必须确保业务发展;其次,支撑系统安全体系应符合国家各种法律法规中对于安全的要求,并且对其中有针对性的要求进行重点建设;再次,要充分考虑目前运行的支撑系统对于安全建设的需求;最后,应规避和降低目前支撑系统中存在的威胁和安全风险。
综上所述,融合的支撑系统安全体系要做到根据支撑系统中数据安全性的要求,加强对系统用户的管理、用户的访问认证、授权、访问控制;加强支撑系统边界访问方式、安全区域内部、安全区域间的防护;加强与客户自服务安全交互访问接口的安全性;业务系统、功能模块的业务流程、业务操作应符合IT内控的审计和检查要求;加强安全集中管理的能力,实现全网、全面的安全运维管理;加强容灾建设,建立业务系统连续性发展计划,确定具体保障手段;加强对第三方合作伙伴、SP、CP的管理,建立安全准入和有效访问控制手段。
陈砚:为了保障融合的支撑系统的安全,运营商需要重点做好四项工作。
1.新业务规划建设初期就将信息安全纳入系统建设的范畴,避免业务上线以后发现安全问题,采取“亡羊补牢”式的安全建设模式。
2.业务融合为运营商增加了新的业务,运营商需要重新梳理新业务的业务流程,重新评估和分析新业务带来的安全风险。
3.融合的业务系统扩展了业务系统的边界,融合后的系统是否存在将某一业务系统的安全风险引入其它业务系统的可能,需要重新评估分析。
4.业务系统融合造成运维管理人员工作职责的重合,如何对人员进行整合和职责划分值得关注。
张晓辉:天融信认为,恰逢现阶段国家推动等级化保护工作,这正是安全体系化要求的逐步分解,可以以等级保护的国家要求为蓝本,制定适合电信行业自身特点的技术和管理规范,对支撑系统甚至业务持续性能力进行认真的评估,制定至少3-5年的安全中长期规划,继而在规划基础上,进行体系化建设。
新安全体系要有整套解决方案
《通信世界》:贵公司为融合的电信支撑系统安全提供了哪些解决方案?这些方案的主要关注点是什么?
王雷:支撑系统安全防护和管理从低到高涵盖了基础网络层面、数据安全层面、访问控制层面、业务运行层面,启明星辰针对不同的层面提供了相应的安全解决方案。
针对基础网络层面的安全风险,启明星辰推出了安全域解决方案,帮助运营商建立精炼、简洁的组网架构,解决复杂系统的安全问题,有效地实现网络之间及各系统之间的隔离和访问控制。采用安全域划分策略,对特定的安全域实施特定的安全策略,繁杂的系统会被梳理得井然有序,运营商网络运行及业务应用的效率将得到提升。
启明星辰的4A解决方案,主要关注运营商支撑系统在访问控制层面的安全风险。随着运营商支撑系统的不断发展和融合,内部用户不断增加,缺乏统一的账号管理策略,会导致业务系统的安全系数降低。4A解决方案根据运营商各个系统的安全状况,形成集中统一的账号权限管理平台,从技术上保证了安全策略的统一实施,满足SOX法案对上市公司的内控要求。
