1前言
工业和信息化部最近发布了《通信网络安全防护管理办法》(工业和信息化部第11号令),旨在针对新情况新问题,进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力,最大限度地减少重大网络安全事件发生。
从以上文件可以看出,非传统安全问题已经成为通信网络安全防护的热点和重点,但是是否解决了互联网发展和传统网络IP化带来的安全问题,就能全面保障通信网络的安全呢?针对这个问题,笔者将从几方面进行探讨。
2通信行业遭遇非传统安全问题
通信行业从传统领域进入非传统领域后,遇到了很多新的安全问题。终端智能化、网络宽带化和IP化对网络安全带来的挑战不言而喻,三网融合被提上议程,使得各种新的安全问题更加凸现。同时,运营商的网络在过去相对独立,现在逐步向用户开放互联,形成了你中有我、我中有你的关系,网络安全管控的难度加大。
在过去,网络安全主要由自身在拓扑结构方面的问题造成的,可通过合理的组网、适当的投入予以解决;而现在,网络安全隐患主要是外部力量利用网络自身存在的漏洞进行恶意攻击,主要体现在对网络的非法利用、秘密侦测和恶意破坏,趋利性、敌意性特征日益突出。
通信行业面对这些非传统安全问题并非无能为力,因为虽然这些问题对于通信行业是“非传统”的安全问题,但是对于整个计算机科技的发展来说,这些安全问题还是很“传统”的。我们有理由相信,从I T技术角度出发,网络方面的安全问题迟早都能解决,这只是投入和时间成本的问题。
例如,“你中有我、我中有你的关系,网络安全管控的难度加大”这个问题,各家安全服务提供商已经提出了大量的“新”模型、思路和方法,涵盖的主题甚至包括云安全,这些模型、思路和方法都是IT技术方面的解决方案。
为什么传统的安全服务提供商只能提供IT技术方面的解决方案?“云安全”之类的概念真的是电信企业迫切需要的东西吗?笔者认为,各种新奇的概念,无非就是反病毒、防火墙和入侵检测/访问控制“老三样”再加上一些补充手段的组合而已。在实际应用中,这些解决方案已经不能完全满足电信企业在新形势下的安全防护需求。这是因为非传统安全问题已经有了更多的新范畴,第三方合作、技术与业务的交错融合以及安全框架内的非法行为等新问题层出不穷,已经成为不可忽视,也无法绕过的“雷区”。
3非传统安全问题的新范畴
⑴通信运营商与第三方合作的安全问题
随着业务的不断发展, 运营商与第三方的合作日益增多,除了早期通过银行实现代缴费,现在又增加了和银联的接口,和麦当劳、肯德基以及电影院的手机钱包接口等。运营商和第三方存在着安全域、安全级别和业务认知上的显著差异,这些都导致了与第三方合作的安全问题异常复杂。
例如, 在运营商和银行的合作中,银行为运营商的客户代缴话费,往往需要运营商提供完整的客户信息,如客户姓名、电话号码、欠费额度等,这些对运营商而言都是高度敏感的数据,并不愿意轻易释出管控范围,但是出于业务考虑,又不得不提供。由于这个原因,运营商在和银行的合作关系上一直处于一个尴尬的境地,既想利用银行的资金汇聚能力分担部分缴费压力,又担心客户信息安全无法保障,由此导致近年来在运营商和银行合作上限制颇多。
除了这一类通过互联接口连接的第三方之外,运营商还存在另一类的“第三方”,包括支撑系统集成商、经营分析系统集成商、设备集成商等。这些第三方厂商人员、办公场所、开发设备等方面的安全管理问题也是日益突出。
例如,第三方集成人员办公场地问题如何解决?如果允许他们的办公场地独立在外,但是又能够访问生产系统的核心数据,这无疑在安全上存在极大风险。部分第三方人员因为程序开发和系统集成的缘故,有大量机会接触到客户敏感信息,对这些人员如何进行管控?一些开发人员使用手提电脑,台式机有U盘接口,存在信息泄露的风险。这些问题都不是通过技术加固就能解决的,但却是通信网络安全的重大风险点。
⑵安全技术与业务发展之间的冲突
当前通信行业的业务发展模式是从客户感知出发,注重客户满意度的“客户得利”模式,由此导致系统的安全性受到了极大冲击。具体来说,在系统发生故障或者阻断时,运营商往往采用的是先实现客户需求,再后期补录资料或进行处理的方式。例如,在H L R无法连接导致营业厅办理业务失败时,往往先在H L R上直接修改程控数据,后期再人工补录系统资料。因为不是经过正常途径录入的资料,泄露的风险倍增。
又如为了处理客户投诉, 在营业销售渠道和投诉处理环节上必须允许存在敏感资料查询权限,部分人员甚至可以导出大量客户信息和敏感资料,相当于在防护严密的系统上开了一个口子。
⑶合法框架内的非法行为
如果所有的恶意行为都像DDOS攻击一样特征明显,那么通信行业的安全人员就可以高枕无忧了。事实上,不是所有的恶意行为都是一目了然的,在实际生产中存在大量合法框架内的非法行为,给系统安全带来隐患,垃圾短信和骚扰电话就是典型的例子。当前的垃圾短信已经出现了低频随机发送等“创新”方式,给拦截工作带来了很大的困难。对于骚扰电话的拦截,属于“拦截容易处理难”,因为语音不像文字能够通过计算机自动识别,是需要人工进行拨测确认的,而当下流行的网络电话、VoIP和软交换,使得回拨工作异常困难。
即使是原来最为有效的关键字识别垃圾短信,现在也遇到了困难。中文和汉字是象形表意文字,语义语境的变化非常丰富,而字和词之间的关系更是有太多灵活的组合方式,使得关键字拦截常产生错漏。
4解决之道
对于这些新范畴的安全问题,单单依靠安全服务商提供的技术支持就足够了吗?答案是否定的,运营商必须运用自身的力量,从制度和管理方面入手,把安全技术和业务需求有机地融合起来,才能应对层出不穷的安全隐患。
⑴建立良好的安全流程和制度保障
通信网络安全已经不仅仅是一个技术范畴内的问题,需要通信运营商建立良好的安全流程和完整的制度保障,将网络与信息安全工作放在极其重要的位置。以安全运营为核心,重点关注互联网安全、客户信息安全、恶意订购治理、业务安全等领域,完善安全规范体系,推动在工程建设、设备入网、安全预警、安全监控、安全运维、应急响应等方面落实安全要求,完善安全检查制度及安全评价体系,加快安全IT支撑手段建设,加大培训力度,提升安全技能,并做好重大活动安全保障工作。
良好的制度和流程是网络与信息安全工作的基础,其根本目的在于“规范化”,通信运营商应通过制定并不断修订管理办法与实施细则,建立起公司层面的内控体系,将对客户信息的保护纳入整个公司的内控体系范围;梳理客户信息,从登记、流转、分发到使用的数据流向及其对应的业务流程,建立相应的控制措施,明确每个环节数据保护的责任人,在此基础之上形成多种有效的流程和机制。
网络和信息安全工作流程的规范化包括通过电子化流程将人员、技术、规范制定和日常运行、安全考核等工作结合起来,以实现日常维护、通报、整改、考核的一体化管理。同时,通过下发安全维护作业规范,强化执行安全日常维护作业计划,实现每周网络安全工作检查例行化,将安全事件量化和安全问题责任化,并通过电子工单系统及时跟进和考核,形成安全管理的闭环。
