这是我们这个通信行业的网络体系,包括一个管理指南,系列专业的安全防护的一些规范,这是我们开展检查工作的一个基础。应该说安全防护工作包括三部分内容,一个是安全等级保护,一个是安全风险保护,一个是灾难备份及恢复,风险评估方面,对于我们基层人员来说,社会识别,可能有一些方面的基础,操作起来还是非常困难的。
简要介绍一下这个行业和我们在安全防护当中的一些情况的回顾,第二部分简单介绍一下安全防护过程当中发现的一些问题。这些问题一个是说通过这五年左右的时间,工信部组织安全防护检查,企业内部的,包括可能我们的一些社会成员安全机构,他们一些在技术方面的操守,他们发现了一些保护的问题,对一些问题的归纳,技术层面,在安全检测方面,开放的比较开放的服务,建设方面主要是有帐号,边界防护方面,比如有一些配置的及时清理,检测的能力,访问控制方面没有对此进行过滤,包括安全审计,有一些保护设备,本身具备这个功能,还有一些可能是说有这些功能,在进行过程当中,由于一些原因,多了一些应用。再就是终端管理,还是有或多或少存在一些内网的外网。我们有一些系统,或者是某个单元,开发过程当中就存在了一些问题,但是在之前已经严格应用安全的检测,以至于发生的状态。
对这些问题做一个深层次的分析,我们发现其实应该说,对网络安全来说,对在座的专业人士大家都比较理解,可能为于一般的,尤其在计算机或者IP网,对支持背景不足的情况下,对安全的认识不是很清晰的,只是说从大的概念来说,包括领导的安全重要,但是在实际的工作过程当中,没有把这个意识落实到工作中,包括我们可能在整个的总体要求上,没有一个明确的防控的一个战略的特殊的一个安防的目标,我们在基础职责,流程这些方面都存在这样那样的一些问题。
其实我现在感觉,在队伍上,目前面临一个最大的问题,来之前,在路上,我看到一个微博,看到上面写,说信息安全,这个人,不管技术有多先进,这个技术仍然是使用的,技术再先进,如果你人的意识不足,投入都是属于效率低的。我们今天也是考虑在队伍方面做一些工作,整体提高我们的能力和水平。
极高的危害性,包括客户信息的泄漏,导致客户的经济的损失,以及对我们企业带来的损失,再大就是一些社会政治影响,我们也能看到,对此的报告,包括现在目前在境内有多少网站在串改,或者可能严重导致有些网站被利用发布一些违法的信息,或者目前的这个谣言,这方面就是我们企业运营的保证是我们国家的一个基础资源,也可能导致被破坏,或者是可用,应该说这些危害是非常大的。对这些问题的分析我们也是,目前我们的考虑,提升我们防护水平这么几个关键点,简单总结一下,一个是我们提到的人员安全意识,能力不足。
我记得跟各位专家交流的时候就说,包括之前我也一直强调,这种状况没有太多的资金投入到安全的社会的这种建设这些方面,但是他就说,其实你不用过多地强调资金的投入,只要是简单的一些,在人员方面的一些安全意识和安全培养,就会达到事半功倍的效果。另外我们的安全制度要切实执行,这个制度制订起来比较容易,怎样能够把它执行下去,这是一个难点。确实是有了人之后,还是有一些手段,才会做一些对抗,做一些工作的预防。另外从整个的意识来说,因为我们是联合部,我们的主要工作是整个通信网络的一个运行,目前来看,因为我们是基于这个电信网络互联网如何来转变,但是在日常的维护过程当中,强调的是运行的状态,没有更多的谈到网络安全,应该有一个意识的转变,把安全工作纳入到运行的过程当中。
我今天介绍的第三点我们在构建通信网络安全体系上的一些想法。简单说一下我们2012年工信部安排的安全防护检查的要求,今年为了保护任务,8月底准备完成,首次采用平分的方法,增加企业单元,做一个量化的平分,这对我们来说是一个督促,毕竟通过这种平分可以很量化直观的看到这些工作的成效。
基于我们前几年的工作情况,对问题的一些认识,以及我们今年面临的工作要求,我们也是在保障性方面,借这个想法,还是能够进一步落实,主动防御,重点防护,恢复的一个指导原则,统一法律的保护,安全工作纳入到工作当中,在中国联通构建一个科学的安全防护体系。
