安全可靠的信息网络是运营商正常运营的基础。然而终端智能化、网络IP化和宽带化为信息网络带来了安全方面的挑战,全业务运营的推进以及三网融合的启动更是对信息安全管理工作提出了前所未有的挑战,保证用户的网络信息安全、打造安全和谐的网络虚拟世界已成为通信行业的重要任务。
近日,以“聚焦非传统领域迎接融合时代网络安全新挑战”为主题的2010通信网络和信息安全高层论坛召开,产业链各方聚集一堂,共商安全网络环境的构建之策。
非传统安全问题凸现
终端智能化、网络宽带化和IP化对网络安全带来的挑战不言而喻,而网络融合的出现则使得这一问题更加凸现。“电信网、广播电视网、互联网在向下一步演进的过程中逐步融合并趋同,在此过程中,网络的开放性、交融性和复杂性不断提高,网络安全将面临巨大挑战。”中国联通网络分公司运行维护部网络安全处陈利军表示,“运营商的网络在过去相对独立,现在逐步向用户开放互联,形成了你中有我、我中有你的关系,网络安全管控的难度加大。”
新的形势也为网络安全带来了新的特点。在过去,网络安全主要由自身在拓扑结构方面的问题造成,可通过合理的组网、适当的投入予以解决;而现在,网络安全隐患主要是外部力量利用网络自身存在的漏洞进行恶意攻击,主要体现在对网络的非法利用、秘密侦测和恶意破坏,趋利性、敌意性特征日益突出。“我所接触到的中国移动网上发生的客户信息泄露、终端病毒等都与金钱有关,跟利益有关导致他们无孔不入,网络安全攻击背后是一条黑色的利益产业链。”中国移动网络部网络安全处徐海东经理表示。
在工业和信息化部通信保障局闫宏强看来,传统安全问题易于解决,非传统安全问题难度较大。他认为,通信行业应对传统安全威胁有自己一套成熟的体制、规程和标准,但是应对非传统安全威胁才刚刚起步,所以当前抓非传统安全问题责任更大任务更重。他透露,工信部针对两类安全问题采取一手抓防护、一手抓应急的办法,在防护方面工信部已出台了相关标准,在应急方面重点则是建立相关机制。
从安全防护中获利
为应对日益严峻的网络安全形势,从工信部、运营商到第三方均采取了积极措施。
工信部此前出台了很多制度和措施,今年1月21日又发布了《通信网络安全防护管理办法》,确定了通信网络安全的评测、风险评估和防护检查等制度。作为第三方组织的中国通信企业协会下设的通信网络安全专业委员会也于近日成立。
中国移动的做法是以运营安全为核心,以降低重要系统的主要风险为抓手,从而推动整个安全工作。同时,中国移动还在推动两个转变,一是关注重点从网络层安全转向网络层安全和业务层安全并重,二是从关注网络侧防护转向全面的端到端防护。为了将安全保护落到实处,中国移动还在很多环节实行量化考核。
中国联通认为,打造全新网络安全防护体系是“三分技术、七分管理”,为此在制度流程、组织机构、人员队伍、技术手段、外部环境等几个方面开展工作,确保通信网络健康运行,例如中国联通在最新的机构调整中专门设立了网络安全处和信息安全处。
中国电信则将网络安全变成了一项运营服务。中国电信集团系统集成有限责任公司安全服务部副经理郭亮介绍,中国电信通过远程监控和现场服务相结合的方式,满足客户网络系统的安全事件监测、安全事件预警、网络安全监控、流量监控、安全事件响应等需求。据了解,运营商提供安全运营服务在国外已成趋势,Verizon、NTT通过收购安全公司实现了安全业务的提供,而英国电信更是将安全运营服务发展成为主要的创收业务。
尽管产业链各方纷纷致力于构建安全环境,但是在工信部网络与信息安全检测实验室标准部负责人黄元飞看来,运营商的投入与国际相比仍有差距,增值电信运营商尚不够重视,这些也是下一步发展亟待解决的问题。
