在系统运维过程中,不仅需要关注IT安全威胁,还要部署电信网络专用的安全检测和监控设备,对基于电信业务层面的安全威胁与安全攻击进行提前预警与监控,并对攻击进行有效的阻断或服务恢复。
安全访问控制与审计
对用户信息、电信网络信息或业务系统的访问需要进行严格的访问控制,完整记录访问日志并定期进行审计。对于违规操作进行及时纠正,防患于未然;部署用户信息或系统信息的防泄露设备,对关键信息读取进行记录与审计。
安全评估与优化
定期对电信系统进行三个层面的安全评估,并根据安全风险状况进行必要的安全优化,使电信网络的安全防护处于较好的状态。
另外,为了保证整个电信安全管理体系的有效运行,需要制定电信系统日常安全运维的规章制度,把各项安全运维工作流程化,让管理人员和运维人员明确自身的安全职责,从而有效贯彻安全防护措施和应急响应预案,提高电信系统的整体安全防御能力。需要加强人员意识培训,定期对电信网络的管理人员和运维人员进行安全意识培训,有利于提高安全管理工作的执行力,保证电信系统的安全运行。
对外安全服务增效增收
随着电信网络越来越复杂,安全需求也变得纷繁复杂,涉及的安全技术和产品更是种类繁多,从而造成安全防护系统庞大复杂。运营商在建设过程中对各个电信业务系统的防护也往往存在安全保护力度过大或不足、缺乏统一规划、安全制度和安全指南执行力差等问题,从而无法最大限度地发挥安全防护能力。面对这种局面,国际成熟的大型企业往往在不同的安全领域建立相应的安全服务中心(比如病毒服务中心、应急响应中心、主动评估服务中心、移动终端安全服务中心等),通过区分用户或目标系统的不同安全需求,向内部员工或信息系统提供不同等级的安全服务。
电信运营商可以在梳理现有电信网安全防护设施的基础上,根据不同安全需求进行安全服务化封装,通过服务等级差异化来提供防护力度较为合理的安全服务,通过规范安全服务流程、提供安全服务质量来保障电信网的安全。
除了对内提供安全服务外,电信运营商可以利用对内安全服务建立起来的安全服务基础设施和服务团队对外提供安全服务,通过安全服务创造价值。目前国外运营商在这方面已经进行了有力的探索,比如美国运营商Sprint2004年推出了移动终端管理业务,并在2005年9月联合MobileArmor和Kaspersky推出移动终端的端到端安全解决方案,为用户提供移动终端防遗失、防病毒、备份与恢复等安全服务。最近,德国电信联合西门子为德国四大银行(DeutscheBank, Commerzbank, Dresdner Bank and Hypovereinsbank)提供移动签名服务,为网上银行、电子支付等提供安全保障。
在电信网蓬勃发展的新时期,运营商可以通过建立安全服务平台(如图2所示),提高现有的安全基础设施的防护效率与服务能力。对内可以提供安全监控服务、安全管理服务、安全审计服务和认证与签名服务等,对外则可以提供安全宽带上网服务、企业可管理安全服务、短信动态密码认证服务、手机签名服务、移动终端安全管理服务等。通过为各种用户提供安全服务,不仅可以提高用户终端和电信网络的安全性,还可以减少用户遭到攻击后对电信网络的影响。
图2 电信安全服务体系
在电信网络日益开放和互联的今天,安全技术日新月异,电信运营商不能简单依靠电信网络的隔离与封闭来保证安全,新的安全形势要求电信运营商主动行动起来提供专业电信安全服务。这给电信运营商带来了提供安全增值服务的机遇,把握这一机遇,不仅可以提高电信网络的可靠性和安全性,同时也可以给运营商带来新的业务增长点。
面对电信网络新的发展阶段的特殊安全威胁,国际标准组织ITU-T制定了电信网络安全标准X.805,提供了电信网络安全分析和安全防护的理论依据。根据X.805标准,电信网的安全风险需要考虑IT基础设施、网络层和业务层三方面内容。
