安全投入不足1%：運營商如何打好網絡安全牌？

安全投入不足1%：運營商如何打好網絡安全牌？

作者 | 陳亮

近年來，借助信息手段開展詐騙、信息竊取、身份盜用等現象層出不窮，更有專家指出電信運營商在安全投入方面不足1%，在一定程度上反映了信息安全問題的嚴峻形勢。究竟電信運營商在信息安全這個戰場上應如何保護用戶？單純依靠電信運營商是否足以抵御當前和未來的信息安全風險？筆者認為還應從長計議，打一場網絡安全的“全民戰爭”。

信息安全問題不容忽視

電信運營商在信息安全中的重要性，是由電信運營商自身的獨特地位決定的。一是電信運營商作為國家信息化的基礎承載網絡提供者，幾乎所有的信息流轉都必須從電信運營商網絡通過，信息流體量巨大、價值巨大；二是電信運營商作為基礎通信服務的提供者，信道可以直接通達客戶末端，龐大的用戶數量和日益頻繁的通信行為也給信息安全造成明顯壓力；三是電信運營商的品牌認知度、信任度高，這就意味著一份沉甸甸的經濟和社會責任。由此可見，電信運營商在信息安全方面的作用不容小視。

也正是由于上述因素，導致電信運營商在信息安全方面遭受了嚴峻的考驗。以“偽基站”為例，通過虛擬特服號進行詐騙的案例屢見不鮮。其實，這些詐騙手段并不新鮮，通常都是通過虛構“升級網銀”、“積分兌換”、“用戶信息更新”、“抽獎中獎”等借口騙取客戶的賬戶或資金信息，以達到騙取利益或倒賣客戶隱私的目的。而這種現象的屢禁不絕，說明信息安全的道路依舊任重道遠。

運營商并非“全知全能”

近年來電信運營商自身也意識到了安全問題的嚴重性和迫切性，開始通過多種手段提升信息安全防范的水平。例如，通過加大信息安全防范措施的宣傳力度和對詐騙行為的曝光，減少客戶被“釣魚”的幾率；通過網絡安全模塊的部署和升級，加大對危害信息安全行為或漏洞的掃描和防御，對可能存在風險的網站和內容進行干預，及時封禁關停；通過加強信息舉報的受理力度和頻度，以“人工加自動”的方式及時響應客戶投訴，快速做出應對措施。

但這些措施依然無法從根本上杜絕信息安全的風險，這并非由于電信運營商不作為，而是電信運營商非“全知全能”。

首先，經過電信運營商網絡的信息流巨大，電信運營商既要保證信息傳遞的及時有效，又要進行全面深入無遺漏的信息安全過濾，特別是對異常行為和正常行為的有效甄別（例如近期比較多的偽裝成“畢業聚會照片”的木馬），確實難度巨大；其次，電信運營商既要對信息流進行分析甄別，又要保護客戶和第三方的隱私，這需要在司法層面做進一步的探討和落實，例如目前大部分即時通信軟件在通信過程中都采用自身的加密手段，如果不經授權，只是純粹提供管道的電信運營商又要如何進行監管呢；再者，信息安全是一場“魔高一尺、道高一丈”的“軍備競賽”，處于被攻擊一方的消費者和電信運營商卻難有主動反擊的手段，沒有執法權的電信運營商很難從根本上減少信息安全攻擊和欺詐。

打一場“全民戰爭”

我們必須客觀地看到，目前的信息安全形勢確實嚴峻，但我們也并非束手無策。最關鍵的是全社會應當加強對信息安全和利用信息安全漏洞進行欺詐行為的宣傳警告，幫助消費者知曉和警醒，而消費者們心里也應多繃一根信息安全的“弦”，在面對誘惑或恫嚇時戒貪戒懼，不經多方確認不輕易泄露個人信息、不輕易下載或打開可疑內容，這樣可以在相當程度上避免不良后果。

再者，電信運營商應當建立信息安全的內外部支撐機制。目前電信運營商的信息安全工作主要集中在專業部門，而在其他大多數部門，尤其是業務部門對信息安全的了解和掌握情況并不專業；內部的信息安全支撐缺少順暢的通道和途徑、缺少相應的流程和界面支撐；對于外部客戶的咨詢和投訴也只是停留在“一事一議、頭痛醫頭”的處理階段，缺少一整套全員重視、行之有效的辦法。基于此，電信運營商應當盡快建立起相應的機制，主動應對。

同時，司法介入的力度依舊不足。由于移動互聯網“無邊界”和“跨地域”的特性，不法分子大多采用“廣種薄收、愿者上鉤”的方式實施信息安全攻擊，同時采用“欺詐、轉售、套利”等多種異地分開的方式，使得打擊難度增大。而隨著信息安全攻擊和欺詐手段的不斷升級，電信運營商單純依靠技術手段進行防范勢必導致治標不治本、力度不夠。所以，電信運營商要加強信息安全的措施，司法機關更應如此，即通過聯合執法、聯網打擊的方式增加不法分子的犯罪成本和被懲治的幾率，才有可能減少此類問題的發生。

最后，我們還應對信息安全問題保持清醒和客觀的認知，警惕某些單位通過夸大信息安全危機來從中牟利。例如之前某手機殺毒軟件公司“左手制毒、右手殺毒”的行徑，與信息安全危害事件又有何異呢？

日前，有專家指出電信運營商在安全領域投入不足是導致網絡信息安全隱患的主要原因。不過安全是系統工程，它需要的不僅是電信運營商，還需要用戶、政府相關部門等各方的共同努力。