日前,工业和信息化部召开了通信行业与重要信息系统网络安全座谈会。工信部通信保障局、信息安全协调司、国办电子政务办公室和重要信息系统和重点网站主管部门应邀参加会议。中国电信、中国移动、中国联通、电信研究院等单位参加会议,并介绍了各自在信息系统网络安全服务保障方面的经验和体会。
作为管理企业核心信息资源的电子化工具,三家全业务运营商的支撑系统目前在不断地整合和重构,这必然会带来更多安全风险,同时也给新支撑系统的安全体系建设带来了机遇,使运营商能够从整体和全局的角度来构建适合多业务发展的安全架构。
融合的安全挑战
运营商支撑系统的整合将加快网络、业务和终端的融合,也对运营商的安全体系提出了更大的挑战。
IP协议存在安全缺陷,基于IP技术的电信服务面临一系列安全问题。无论网络的硬件、软件、物理环境、操作管理、恶意代码以及管理越权等安全问题,都有可能对网络的正常运行带来影响。可以说,网络的节点数和拓扑数量越高,网络的薄弱点也就越多,潜在的风险也就越大。同时,多个业务承载于同一网络上,彼此之间存在着相互影响的风险。
BT、垃圾短信、垃圾邮件、Phishing日益严重,滥用了网络资源,对运营商的利益、用户服务质量都产生了严重的影响,也考验着运营商对业务的控制力度。
多种智能化的终端接入各种业务系统,给利用信令漏洞对网络和业务进行攻击提供了可能,来自用户终端的安全风险在逐渐增大。同时,终端用户信息的泄露,病毒、恶意代码、间谍软件导致的终端不可用,都可能使得用户对运营商的服务质量产生误解,影响客户的忠诚度。
传统的分系统安全防护、安全管理的模式无法适应发展全业务的发展,运营商需要采用系统化的手段实现安全的统一管理,提供更高等级的安全保障。
构建新的安全体系
不破不立。面对支撑系统整合的安全风险,运营商需要从大处着眼,从整体上规划和建立一套新的安全体系。
运营商要摒弃传统的分系统安全防护的模式,以风险管理为核心、围绕支撑系统的生命周期,通过安全运维流程的梳理,进而确定在流程各个环节中的工作内容、职责要求、技术能力要求,从而逐步形成密切相关的网络与信息安全标准体系、组织体系、安全技术防护体系,构建适应全业务支撑系统的安全保障体系。
信息安全等级保护能够进一步提高信息安全的保障能力和水平,从国家要求和企业投资角度看,等级保护都有其必要性。运营商要根据支撑系统的重要性等属性确定保护等级,进而根据面临的威胁程度确定相应的保护方案。
与支撑系统的融合不能一蹴而就相似,安全体系的建设也是不可能一步到位的。“七分管理,三分技术”,各种安全防护手段和技术是构建新安全体系从小处着手的重要工具,运营商应按照支撑系统保护的重要性和等级逐步完善安全体系的建设,新的支撑系统一定能安全可靠地支持全业务的顺利开展。
