目前电信网络的安全威胁呈以下发展趋势,第一,攻击多样化,黑客攻击、病毒、蠕虫、DDOS攻击等互联网安全威胁依然存在,而且破坏力更加严重;第二,网络IP化,话音网络IP化导致传统网络中出现了互联网常见的安全问题,如软交换系统的病毒问题;第三,终端智能化,手机终端智能化的发展,引入了主要通过蓝牙、彩信以及其它移动新业务和手机新功能进行传播的恶意代码;第四,内部威胁增大,内部工作人员、第三方支持人员、SP利用对内部信息的了解、拥有的权限以及业务流程漏洞,实施信息安全犯罪;第五,攻击目的变化,外部黑客的恶意攻击也越来越多的趋向追求经济利益;第六,信息安全问题日益突出,移动信息内容和交互方式不断丰富,信息泄露、垃圾信息等问题日益突出。
针对以上趋势,中国移动将网络安全建设的目标定位为服务公司整体战略,保护公司的网络与信息资产,同时向客户提供可信的网络、可信的服务,并致力于建立网络与信息安全运营体系。
“我们认为做网络信息安全的目的其实还是为用户提供一个可信的网络、提供一个干净的网络。我们还是离不开给用户提供服务,包括网络质量的中心环节。所以,在这一块我们主要是关注两个方面,一个是信息系统,一个是信息内容。我们认为应该逐步建立网络运营信息安全体系。”徐海东说。
徐海东指出,国信办以前提出了“积极预防、及时发现、快速响应、确保恢复”的16字方针,围绕这16字方针,中移动正在组织、规范标准及防护手段的建立,综合评价这四个阶段的运行。目前,从五个方面入手构建网络安全运营体系,第一,将安全工作融入日常网络管理和维护。第二,建立完善规范的标准体系;第三,构建安全防护体系;第四,建立安全评价体系;第五,完善组织体系。
徐海东介绍,中国移动的网络与信息安全规范体系主要分成了几层。
第一个层面是中国移动的网络信息安全总纲。
第二个层面是讲怎么做,这个环节里面分成了两个层次,一个是入网层次,对其进行技术规范,另一个是日常的运行流程中的信息资产的管理、防护、基础业务开发保障,包括业务设计的阶段。
第三个层面是安全防护体系。又分为信息安全管理平台、专用安全防护设备、设备自身安全功能和配置,以及安全域划分和边界整合。
第四个层面是逐步完善安全评价体系。
“其实国信办已经组成了一个量化评价体系,但是我们希望逐步在现网中,能够在这个体系下简化一些,可以真正做到安全体系评价。我们的评价体系包括了综合评价指标体系、第三方评估、飞行检查、自评估、安全报表,包括了我们的等级保护。其目的是使中国移动集团总部的管理层,可以知道网络到底处于什么状态,有哪些东西可以体现出这种安全状态。其实我们现在没有一个量化的标准,我们希望能够逐步建立起这样一个量化的标准。”徐海东说。
当然,在中国移动的整个安全体系中,还包括组织体系,根据“谁主管谁负责”的原则,将安全责任落实到人,并且通过持续宣传,提高全员安全意识,认真实施体系化安全培训,将其由知识普及发展到岗位认证,同时,网络安全部门也要加强沟通交流,做好公司的信息服务。
随着3G网络和业务的进一步发展,徐海东呼吁产业界从三个方面开展研究工作:第一,要重点针对安全事件及时发现,开展技术研究工作,第二,要展开互联网整体安全防护技术的研究;第三,要启动对安全评估方法的研究工作。
