通信世界网讯(CWW) 2013年4月11日消息，人民邮电出版社和中国通信学会普及与教育委员今日举办“第五届通信网络和信息安全高层论坛”，在工业和信息化部通信保障局、互联网安全中心、中国电信、中国移动、中国联通等电信企业和腾讯等增值电信企业的指导和支持下，邀请政府主管领导、运营商领导、增值电信企业领导、安全企业专家领导等各方面权威人士，进行深入研讨和交流。杭州安恒公司运营商事业部总工程师冯旭杭先生，作为安恒公司的安全咨询总监，他演讲的题目是“运营商综合业务安全”。

杭州安恒公司运营商事业部总工程师冯旭杭

冯旭杭：大家好！我是来自杭州安恒的，今天跟大家探讨的是运营商业务安全审计模型和经验分享。为什么讲这个话题呢？可能我们现在越来越关注到我们运营商的安全需求不光在于一些简单的产品或者产品组合，或者是单一的服务。他们更关注的是基于业务的安全。

举一个例子，前几天我刚好跟一个运营商老总在谈，他开玩笑的说他比较感谢马云先生，因为他从淘宝上可以了解本公司安全的一些成绩或者部署。为什么？因为前段时间他可以在淘宝上买到他所属公司原本属于员工的优惠套餐。也可以买到属于他们公司的一些用户信息，所以淘宝是检验他们信息安全的重要的标准。下面开始我的演讲：

主要讲五个部分：信息安全发展、基于业务的安全分析、安恒在运营商做审计模型和方法论成果和案例的分享、最后是半分钟的广告时间。

信息技术的发展是由一个阶段到另一个阶段，从最早的原始通信到电话电报通信，再到计算机的单体的发展，到整个互联网。伴随而来的是信息安全的发展，以前在原始通信或者单机作为一个信息系统，没有互联网的时代信息安全相对好一些。现在网络非常发达，安全也进入了一个不可不谈的阶段。信息安全转变的实质是由原来的实体的物理安全到基于数据的安全。

举一个例子，三个匪可以抬走装有10万的保险箱，但是现在一个小U盘就可以带走价值非常非常大的数据这就是信息安全的价值，这也是我们对信息安全饥饿感的源泉。

如今安全形势非常多，刚才领导和专家谈了很多，最主要的是目前安全已由传统的基于系统层、网络层的攻击发展到了向应用层、数据层攻击的转变。

重点受害行业：首当其冲是运营商和金融。运营商现在面临新的问题，数据集中、系统集中带来的风险的集中。第二个是系统的复杂性，互相关联、各种各样的接口、外连的接口带来的风险。第三个是Web风险。第四个是云计算带来的风险。接下来是三网合一，和管控难度增加带来的风险。

下面分享一些运营商业务层面安全的案例，也是我们公司最近做了非常多的运营商的业务安全的评估或者审计，都是百万级的项目驱动的事件。有倒卖客户信息的。比如贩卖共快餐、自私占有靓号、利用外联接口获取信息、误删表索引。利用空中充值或者代理商平台这种往往风险比较大，有些黑客利用接口获取信息非常多。这些都是和业务安全相关的案例。为什么业务安全的范畴这么大？确实是，我们讲信息安全可能概念大家还有一些了解，讲到业务安全可能往往无从下手。我也希望通过我的演讲给大家一些启发和参考。