近日,中国移动信息安全管理部技术支持处处长冯运波在某公开场合,谈到了中国移动利用技术手段对客户信息加强保护的思考。为了加强客户信息安全,中国移动的各个部门已经陆续出台了相关办法。比如网络部发布了《客户信息安全保密规定》,市场部发布了《五条禁令》,业务支撑系统部也发布了《数据安全管理办法》等。可以说,信息安全管理已成客户信息保护的关键问题。
在内网安全体系建立方面,冯运波指出,中国移动下发了三大IT网络安全域规范。通过划分安全域等安全手段,对每个域实施不同安全等级、不同域之间分层次、分等级的安全防护。中国移动还加强了内部安全防护体系的建设,包括上网行为管理系统、漏洞扫描等多种防护手段。
此前,中国各大运营商对内网信息安全管理工作也都非常重视,他们已经采取不同的手段和方法进行了系统管理。广西移动、贵州移动、湖南移动、陕西联通、重庆联通、山东电信等各地方运营商,都已经选择利用部署上网行为管理设备和流量管理设备的方式解决内部网络信息安全管理问题。
划分网络等级用户组
冯运波认为,由于在运营商内部涉及到客户信息的系统非常多,各个信息平台中存在大量客户信息,这些信息很有可能在合作伙伴人员、内部人员进行系统操作时泄密。
目前,中国移动一共划分了五个等级的安全区域,包括公共区、半安全区、核心安全区、安全区和内部业务区,每个不同等级的安全域之间,都使用了防火墙进行隔离。同时根据安全域的划分规范,明确安全域的技术要求和设备要求,并根据等级保护的要求,确定安全域的威胁等级和保护等级。
据了解,内网安全首先需实现内部网和外网用户身份的有效识别,同时还需进行流量分析和控制。在具体操作中,以贵州移动和云南移动为代表的运营商,在防止外网用户访问内网服务器时,均采用了划分不同用户组的方式,以防止第三方或者非授权的终端进入到内部办公OA系统网络或BOSS网络。
围绕移动运营商,目前已有大量的第三方代维人员需要长期驻守在机房,或在出现突发情况后,由第三方代维人员进行远程调试。以云南移动为例,他们充分利用上网行为管理设备和流量管理设备,解决了该省公司第三方代维人员(厂商)的安全接入和权限管理问题。
云南移动认为,以往使用IPSEC VPN接入时,通常为了安装调试接入VPN软件花费大量时间,延误了应急的时间,而且由于IPSEC VPN属于三层技术,使用IPSEC VPN的用户还可以在接入运营商内网后,访问其他资源不受限制。而使用SSL VPN之后,第三方厂商人员无需长期守在机房,仍可第一时间接入移动运营商内部网络进行设备维护。
云南移动的某负责人表示,SSL技术的优越性使得接入运营商内网的用户限制在某个固定的IP和应用。这样,既能保证内部网络资源不被其他人员任意窃取,又能在特殊时刻满足外网用户使用内网的安全性要求。
实现内部用户上网行为管控
据了解,目前企业主要存在的上网情况大致包括三个方面。一是企业内网用户人数较多,上网行为泛滥造成员工工作效率受到严重影响;二是一些内网用户访问色情、迷信、赌博等类型的网站,给企业带来一定的安全隐患;三是在网络使用高峰期时,内网用户的P2P、流媒体等应用会造成一定的网络拥塞,影响正常办公与应用。
