⑵以人为本,加强安全意识
网络与信息安全工作最重要的因素是“人”,只有人员安全意识提高了,各种规章、制度和流程才能顺畅地推行下去,网络与信息安全保障工作才能顺利地开展并形成有效的科学发展机制。
通信运营商应考虑将签订保密协议与安全教育相结合,特别是对于生产运维的敏感岗位,应要求基层经理利用签订保密协议的机会,组织开展内部学习和分组讨论,提升技术人员的网络与信息安全意识,让他们时刻绷紧安全这根弦。此外,进一步加强对新员工的教育工作,用实际案例说明网络与信息安全的重要性。
⑶主动开展网络安全调研
通信运营商可以通过调研的工作方式,提升主动发现问题的能力,将安全工作由被动转向主动。具体措施为,可以成立由技术骨干组成的网络信息安全调研小组,深入各生产一线,以调研、提问、检查等工作方式,开展调查分析工作。
调研可以采用指定专题调研方式。按生命周期线(需求提出—规划设计—采购到货—安装调测—验收测试—入网割接—运行维护—优化提升—退网),从事前、事中、事后对线上各个环节上的运行维护、业务流程、能力提供等安全问题进行调研分析。通过全面的探查,发现一些安全方面的疏漏和死角,达到持续进行安全整改,推动网络信息安全工作不断深入的目标。
⑷实现规范化的业务架构体系
作为通信运营商, 业务营销肯定还是在第一位的,但是也不能一切都以业务为优先,给网络安全带来风险。解决的办法是实现规范化的业务架构体系:什么情况下可以让客户得利,后续资料补录如何防止泄露(如采用加密方式),资料补录人员的职责和权限如何定义等。
一个行之有效的方法是实现业务端到端的质量服务工作流和事务流,在正常的业务流程之外,把各种异常情况的出口都界定清楚,实现业务要求与网络安全保障的和谐共存。
⑸控制合法框架下的非法行为
垃圾短信的治理需进一步考虑拦截策略的优化措施,通过字符模糊匹配、智能识别,降低误拦截率。通过组合使用信令监控和短信话单等方式,形成全面的封堵体系。对于骚扰电话的拦截,考虑增加语音识别系统替代人工仲裁,提高仲裁效率和准确率。
在第三方厂商管控上,要实现集中办公、介质管理、开发维护设备管理和接口机管理4方面的综合管理。所有涉及客户信息的第三方厂商人员必须在指定的办公场所集中办公,设置专职安全管理人员,按照保密协议中的各项规定开展工作,责任安全人员定期进行检查,不定期进行抽查。厂商人员不允许在集中办公场所使用U盘和移动硬盘,如确实需要使用移动介质,需安全人员审核批准后方可使用。涉及客户信息的第三方厂商原则上不允许使用台式机以外的设备进行开发,如有特殊情况需要使用笔记本电脑等设备,需向安全员申请备案。台式机机箱必须上锁,不能随意拆卸硬盘。
对于厂商放置在移动机房内的接口机,要进行严格的访问控制,厂商人员访问接口机需要局方人员审核批准,同时限制其访问内网设备的能力,其次要限制其发起请求的类型,还需对这些接口机的异常行为进行全面监控。
5结束语
电信企业不能把安全问题全部交给安全服务提供商,因为他们更关注技术层面,而电信运营商是技术与业务并重的,管理远比技术更重要,“人”永远是最难打补丁的一环。在通信行业发展的新形势下,安全技术一定要和业务需要以及管理制度结合起来。没有一种安全技术是绝对安全的,但是只要结合得当,就能够在一定范围内和一定时期内相对非常安全。
