3电信网络安全热点和发展趋势
3.1灾难备份与恢复
随着国家信息化水平的不断提高,网络与信息系统及其相关资源日益成为了重要的生产要素。网络与信息系统及其相关资源的灾难备份,越来越成为人们关注的话题。国家相继出台了多项有关灾难备份的政策,要求金融、民航、税务、海关、铁路、证券、保险、电力、电信等重点行业必须建立灾难备份基础设施。
电信行业由于数据量大、变化大、关键应用多、系统性能要求高等特点,要求电信网络及相关系统必须具备高可用性,在关键业务应用上必须实现24h×7天的不间断运行。因此,灾难备份是电信行业保证网络稳定和数据安全的关键所在,各大电信运营商都高度重视电信网各级网络层次的灾难备份以及相关业务和数据的灾难备份。特别是2008年国内接连发生的几起重大灾难,如年初的雪灾、“3·14”突发事件、“5·12”汶川地震,给各行业都带来了空前的严峻考验,给国家经济和人民利益造成了重大损失。灾难使通信中断,通信线路及设备损坏,也使各电信运营商的重要信息和数据丢失,造成了重大的经济损失。因此,建设高可靠的灾难备份与恢复系统,建立、健全相关的工作机制和程序,是电信运营商当前的工作重点,也是今后一段时间需要认真考虑的问题。
根据工业和信息化部统一部署,现已将灾难备份与恢复纳入电信网络安全防护体系建设,已发布了YD/T1731《电信网和互联网灾难备份及恢复实施指南》等多个行业标准,并在相关电信运营商进行了试点。目前,业界正在积极开展存储网络技术、关键数据灾难备份与恢复、网络业务管理系统灾难备份、灾备数据交换等灾备技术研究,正在研究等级保护制度下灾难备份恢复机制,特别是基于安全保护等级的灾难备份、基于灾难类型的灾难备份以及等级保护、风险评估与灾难备份的关系等。各大电信运营商都在积极探索灾难备份系统的集中化管理,以及如何利用已有的网络资源优势向社会提供信息服务,特别是将灾难备份作为专业的服务推向社会。
3.2应急通信
应急通信是指在出现自然或人为突发性紧急情况时,综合利用各种通信资源,保障救援、紧急救助和必要通信所需的通信手段和方法,是一种具有暂时性的特殊通信机制。我国是灾害频发、灾害面广、灾害损失严重的国家。继2008年年初南方冰雪灾害后,“5·12”汶川地震又一次导致了超大面积的通信中断。固网运营商的光缆,移动运营商的基站受到不同程度的损毁,致使通信一度中断,部分地震灾区成为“信息孤岛”。为确保灾区信息及时反馈,政府部门强力组织,各大运营商紧急出动,对通信系统进行抢修;通信设备研发和制造商也纷纷投入到恢复通信的战斗中。在抗震救灾工作中,通信业在应急通信保障、遇难人员搜救、指挥调度等方面发挥了突出作用,这彰显了通信行业在国民经济中发挥着举足轻重的作用,突出了通信行业应急管理体系是国家突发事件应急管理体系的一个重要的组成部分,也是国家突发事件应急管理体系的保障。同时,社会公共安全应对体系也需要通信应急机制来保障。如北京奥运会和残奥会就对我国电信运营商所提供网络服务的安全、及时、顺畅提出了更高的要求。
国务院对应急通信工作也十分重视。国务院已于2006年发布了《国家通信保障应急预案》,进一步明确了重大通信保障或通信恢复工作的响应程序、组织指挥体系、职责和有关措施,以及时、有效地实施应急救援,最大程度地减少损失,维护人民群众生命财产安全和社会稳定。国务院应急办公室副主任王小岩在出席2008年全国特大自然灾害应急处置研讨会时也再次强调,各级政府部门一定要高度重视应急管理工作,特别指出要利用信息技术等先进手段加强应急管理,提高政府工作效率和危机应对能力。同时,定于2010年完成的中国应急通信规划日前获得批准,并开始组织实施,其中国家通信网应急指挥调度系统、应急短波通信系统、应急宽带卫星通信系统等一批重点项目已相继启动。
中国通信标准化协会(CCSA)在主管部门的领导下,于2004年开始组织开展应急通信相关标准的研究,包括应急通信标准体系、公众通信网支持应急通信的要求、紧急特种业务呼叫等。在《国家通信保障应急预案》出台后,进一步完善了相关的标准体系,陆续展开了国家应急通信综合体系研究,以及NGN架构下支持应急通信的技术要求、公众电信网实现应急通信的技术要求、公众IP网支持应急通信的技术要求等多项标准研究工作。
3.3移动互联网的安全
随着信息通信技术的发展,移动通信代替固定通信成为一个不可争辩的事实。互联网的飞速发展,也是信息社会发展的一个必然趋势,两者的结合体——移动互联网的诞生和发展就成为一种必然。移动互联网把移动通信网作为接入网络,使用移动互联网终端,实现移动通信网络接入,应用公众互联网服务。移动互联网和传统的互联网有一定的差异,从表现形式来看,传统互联网是开放的、免费的、拥有海量信息的平台,但其无法对用户进行身份确认,而移动互联网却能做到这一点。所以,相对而言,移动互联网对网络安全有着更高的要求,更强调保护用户的行为及隐私不受干扰。但是,目前移动互联网在终端和业务应用方面存在较大的安全漏洞,随着智能终端的普及,终端的安全性存在重大考验;业务应用方面,使用移动互联网的用户可能会受到来自于各种渠道的垃圾信息干扰,如垃圾短信、垃圾彩信、垃圾邮件等。
移动互联网终端应具有身份认证的功能,具有对各种系统资源、业务应用的访问控制能力。对于身份认证,可以通过口令或智能卡、实体鉴别机制等手段来实现;对于数据信息的安全性保护和访问控制,可以通过设置访问控制策略来保证;对于终端内部存储的一些数据,可以通过分级存储和隔离,以及检测数据完整性等手段来保证。目前,在移动互联网的接入网方面,第三代移动通信(3G)系统有一套完整的安全机制。3G在2G的基础上进行了改进,继承了2G系统安全的优点,同时针对3G系统的新特性,定义了更加完善的安全特征与安全服务。在业务方面,3GPP和3GPP2都有相应业务标准的机制。比如,有WAP安全机制、呈现业务安全机制、定位业务安全机制、移动支付业务安全机制等,还有垃圾短消息的过滤机制、防止版权盗用的DRM标准等。由于移动互联网业务纷繁复杂,随着移动互联网的不断发展,将逐步健全业务方面的安全机制。
3.4安全合规性管理
合规性(compliance),在ISO/IEC17799里就有明确要求。ISO/IEC17799在合规性方面规定了“符合法律要求;安全策略和技术合规性的检查;系统审查相关事项”等要求。对应的安全合规性管理属于信息安全管理领域的一部分,那时的安全合规性管理主要包括识别适用的法律法规,保护个人信息的隐私;使用合法的、正版的系统软件与应用软件;加强计算机安全审计,保障技术和安全策略的合规性等工作。随着萨班斯法案(SOX)的出台和广泛使用,安全合规性管理开始逐渐受到电信运营商、证券业、银行业、跨国公司等各方人士的追捧。
随着信息安全设施的逐渐完善,企业对安全管理提出了更高的要求,越来越多的企业高层意识到控制安全风险的重要性,开始重视安全合规性管理。数据丢失将会对业务造成巨大的影响,有时公司的管理层还将承担法律责任。在数据失窃方面做得非常成功的公司,都通过提高合规性效率,推动网络运营和治理,尤其是在日常控制、安全控制以及过程方面。如何提高合规性的审核效率,特别是针对自动化控制和流程的监控技术,是当今安全技术发展的趋势。完善的合规性管理方案可以将安全管理人员从耗时、耗力的审核任务中解放出来,使安全防范工作流程化,这正是各类大型企业的强烈愿望。运营商从单纯采购安全产品或安全集成项目演化到一体化的集中信息安全管理的趋势日益明显,将安全管理、系统管理、存储管理与合规政策融为一体是大势所趋。
