淺談通信運(yùn)營商的關(guān)鍵信息基礎(chǔ)設(shè)施保障對策

◆唐 蓉

(中國電信股份有限公司重慶分公司 重慶 401121)

淺談通信運(yùn)營商的關(guān)鍵信息基礎(chǔ)設(shè)施保障對策

◆唐 蓉

(中國電信股份有限公司重慶分公司 重慶 401121)

《網(wǎng)絡(luò)安全法》的頒布進(jìn)一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施已成為國家安全戰(zhàn)略重點(diǎn)，通信行業(yè)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施之一，其網(wǎng)絡(luò)與信息安全的內(nèi)涵和外延已發(fā)生了很大變化，面臨著前所未有的挑戰(zhàn)和威脅，故通信運(yùn)營商亟需構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保障體系，加強(qiáng)主題責(zé)任義務(wù)，完善安全風(fēng)險評估機(jī)制，落實(shí)技術(shù)手段，完善應(yīng)急處置能力以及安全意識教育和人才培養(yǎng)。

網(wǎng)絡(luò)安全法關(guān)鍵信息基礎(chǔ)設(shè)施；網(wǎng)絡(luò)信息安全；保障對策

0 引言

2016年11月，第十二屆全國人大常委會第二十四次會議表決通過并將于2017年6月1日起實(shí)施的《網(wǎng)絡(luò)安全法》中明確，國家關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其它一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)，所以公共通信和信息服務(wù)是具有關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域之一，國家對其實(shí)行重點(diǎn)保護(hù)，通信運(yùn)營商作為其建設(shè)者、管理者、運(yùn)營者，具有依法保護(hù)的職責(zé)和義務(wù)。

1 通信運(yùn)營商保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的必要性

1.1 網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻

2013年發(fā)生的“棱鏡門”事件告知世界，我們正在面對一個復(fù)雜而又嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境，每天都在上演網(wǎng)絡(luò)DDoS攻擊大戰(zhàn)，網(wǎng)絡(luò)空間已成為傳統(tǒng)空間之外的第五戰(zhàn)場，網(wǎng)絡(luò)空間的對抗已上升到國家對抗的層面。國際上，數(shù)十個國家已頒布網(wǎng)絡(luò)空間國家安全戰(zhàn)略。我國也不例外，在2013年11月成立“中國共產(chǎn)黨中央國家安全委員會”，明確信息安全是國家安全體系的重要組成部分，又在2014年2月成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略。通信運(yùn)營商作為國資委管轄的國資控股企業(yè)，是國有大型基礎(chǔ)電信設(shè)施的建設(shè)者、提供者、運(yùn)營者，所建設(shè)和運(yùn)營的公共通信和信息服務(wù)網(wǎng)絡(luò)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之中，容易遭到重點(diǎn)攻擊，所以通信運(yùn)營商必須要做好關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)與信息安全保護(hù)。

1.2 新技術(shù)新業(yè)務(wù)的發(fā)展形成“雙刃劍”

近年來隨著通信運(yùn)營商互聯(lián)網(wǎng)化、戰(zhàn)略轉(zhuǎn)型的深入推進(jìn)，新興業(yè)務(wù)快速發(fā)展，網(wǎng)絡(luò)演進(jìn)的趨勢越來越快，從3G到4G的商用，從撥號上網(wǎng)到百兆光纖入戶也不過才短短幾年的時間。快速發(fā)展的網(wǎng)絡(luò)和技術(shù)給大家?guī)砉ぷ鳌W(xué)習(xí)、生活便利的同時，網(wǎng)絡(luò)詐騙、用戶信息泄露、網(wǎng)絡(luò)攻擊、數(shù)據(jù)被截取篡改等問題也接踵而至，給通信網(wǎng)絡(luò)的安全帶來了新的挑戰(zhàn)。

隨著云計算、大數(shù)據(jù)等技術(shù)的成熟和商用，通信網(wǎng)絡(luò)也逐漸向集約化、云化、融合的趨勢演進(jìn)，信息化對通信網(wǎng)絡(luò)的影響越來越深。但信息化在促進(jìn)通信網(wǎng)絡(luò)發(fā)展的同時，打破了傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)措施的壁壘，帶來新的網(wǎng)絡(luò)安全問題和風(fēng)險。而目前熱門的互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)等領(lǐng)域的發(fā)展，必然將帶動大量的智能設(shè)備、數(shù)據(jù)信息等連入通信網(wǎng)中，形成一個全新的公共通信網(wǎng)。但這些接入設(shè)備自身存在的安全防護(hù)缺陷，也會給承載的通信網(wǎng)帶來較大的安全隱患。

綜上情況說明新技術(shù)、新業(yè)務(wù)和新環(huán)境的發(fā)展形成了一把“雙刃劍”，使得通信網(wǎng)絡(luò)作為基礎(chǔ)連接的網(wǎng)絡(luò)，將面臨網(wǎng)絡(luò)與信息安全方面的嚴(yán)峻挑戰(zhàn)和威脅。通信運(yùn)營商必須要直面這些問題，在企業(yè)經(jīng)營過程中擔(dān)負(fù)起社會責(zé)任，營造一個健康有序的網(wǎng)絡(luò)空間。

1.3 保障和促進(jìn)企業(yè)自身的發(fā)展

2008年，信息產(chǎn)業(yè)部組織各通信運(yùn)營商，按照《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》等級保護(hù)的規(guī)定開展全網(wǎng)范圍的通信網(wǎng)絡(luò)單元的定級和備案等工作。2010年工業(yè)和信息化部發(fā)布了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》即簡稱的11號令，規(guī)定了網(wǎng)絡(luò)安全保障設(shè)施“三同步”的建設(shè)要求以及開展二級及以上網(wǎng)絡(luò)單元符合性測評和風(fēng)險評估的工作。從2011年開始，工業(yè)和信息化部每年組織一次對通信運(yùn)營商定級網(wǎng)絡(luò)單元的網(wǎng)絡(luò)安全防護(hù)檢查，從2013年開始，工業(yè)和信息化部又把網(wǎng)絡(luò)安全工作納入通信運(yùn)營商負(fù)責(zé)人的年度績效考核中。直到2016年《網(wǎng)絡(luò)安全法》頒布后，網(wǎng)信部門隨即開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全檢查。網(wǎng)絡(luò)安全工作逐漸被通信運(yùn)營商重視，并根據(jù)等級保護(hù)、11號令的要求開展針對公共通信網(wǎng)的安全防護(hù)工作，初步建立起公共通信網(wǎng)絡(luò)的安全防護(hù)體系，加強(qiáng)了對公用通信網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的能力。但要具備防護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力，還有很長的路要走。

現(xiàn)階段，通信運(yùn)營商的網(wǎng)絡(luò)安全防護(hù)工作，忽視了其在企業(yè)自身發(fā)展方面的戰(zhàn)略地位。在管理措施方面，組織機(jī)構(gòu)存在信息安全、網(wǎng)絡(luò)安全、用戶信息保護(hù)、重要數(shù)據(jù)保護(hù)、業(yè)務(wù)風(fēng)險管理分屬在不同的職能部門管理，造成條塊分隔，難以形成合力，難以建立以風(fēng)險管理為核心的安全管理流程，缺少專職的企業(yè)網(wǎng)絡(luò)安全負(fù)責(zé)人全面統(tǒng)籌開展企業(yè)的安全工作。

導(dǎo)致網(wǎng)絡(luò)安全工作頂層設(shè)計和總體規(guī)劃不足，策略體系交錯復(fù)雜，職責(zé)分散等問題。在技術(shù)防護(hù)手段方面，通信運(yùn)營商已經(jīng)建設(shè)了如IDS、IPS、流量清洗、僵木蠕監(jiān)測等系統(tǒng)，對于某一個點(diǎn)的防護(hù)能夠起到很好的防護(hù)作用，但是遇到如 APT的攻擊，很難做到對關(guān)鍵信息基礎(chǔ)設(shè)施的全面監(jiān)測和總體安全態(tài)勢感知，難以實(shí)現(xiàn)關(guān)聯(lián)分析聯(lián)合對抗。另外，對于大數(shù)據(jù)安全防護(hù)、云環(huán)境安全防護(hù)方面還缺乏有效的防護(hù)手段，對于用戶信息和重要數(shù)據(jù)保護(hù)方面也還缺少防泄露的專業(yè)防護(hù)手段。而在安全培訓(xùn)和意識教育方面，還未建立一套成熟的網(wǎng)絡(luò)安全培訓(xùn)體系，對于安全崗位的人員還未完全普及持證上崗。

所以上述的諸多問題導(dǎo)致企業(yè)不得不面對網(wǎng)絡(luò)信息安全事件帶來的影響，造成業(yè)務(wù)下線，系統(tǒng)關(guān)停，數(shù)據(jù)丟失，給國家和社會帶來嚴(yán)重的影響，給企業(yè)造成無法彌補(bǔ)的損失，影響了企業(yè)的發(fā)展，亟需采取措施為企業(yè)的發(fā)展保駕護(hù)航。

2 構(gòu)建通信運(yùn)營商關(guān)鍵信息基礎(chǔ)設(shè)施保障策略的建議

雖然，我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保障建設(shè)起步較晚，但好在《網(wǎng)絡(luò)安全法》已頒布，有了法律的頂層設(shè)計，明確了各方的法律責(zé)任，確立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的戰(zhàn)略地位，搭建了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的制度框架。通信運(yùn)營商作為其安全保障的重要角色之一，應(yīng)該從以下幾個方面實(shí)現(xiàn)對關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保護(hù)：

2.1 明確保障的兩類對象

通信運(yùn)營商的關(guān)鍵信息基礎(chǔ)設(shè)施剝離開來不外乎是構(gòu)成的網(wǎng)絡(luò)和承載的信息兩類：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)不因網(wǎng)絡(luò)攻擊、非法入侵等原因而遭到破壞，網(wǎng)絡(luò)能夠連續(xù)可靠正常運(yùn)行，保證服務(wù)不中斷。主要涉及主機(jī)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、中間件安全、配置安全、物理環(huán)境安全等；信息安全是指網(wǎng)絡(luò)上承載的業(yè)務(wù)、數(shù)據(jù)、內(nèi)容、用戶信息的安全，在運(yùn)營過程中不被非法篡改、泄露、盜取，具有完整性、保密性、可用性、可控性[1]。網(wǎng)絡(luò)安全側(cè)重于網(wǎng)絡(luò)環(huán)境的安全，是信息安全的基礎(chǔ)。信息安全側(cè)重于信息產(chǎn)生、存儲、傳輸、處理等過程的安全，是網(wǎng)絡(luò)安全的價值體現(xiàn)，二者相互作用，相互影響。那么通信運(yùn)營商關(guān)鍵信息基礎(chǔ)設(shè)施的安全即是實(shí)現(xiàn)其網(wǎng)絡(luò)安全和信息安全。

2.2 重構(gòu)安全防護(hù)保障體系

結(jié)合國內(nèi)外標(biāo)準(zhǔn)和通信運(yùn)營企業(yè)的特點(diǎn)，從管理和技術(shù)兩個維度構(gòu)建自上而下的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)保障體系的策略，分為總冊、管理分冊和技術(shù)分冊?？們陨婕鞍踩雷o(hù)工作的原則、目標(biāo)、范圍和策略，具有總體指導(dǎo)作用；管理分冊和技術(shù)分冊側(cè)重于管理制度和技術(shù)規(guī)范的制定，具有實(shí)際操作的指導(dǎo)作用。例如形成安全防護(hù)標(biāo)準(zhǔn)、安全防護(hù)實(shí)施細(xì)則等系列的制度文件。

重構(gòu)安全保障組織機(jī)構(gòu)，從通信運(yùn)營商的前端市場營銷所涉及的各個環(huán)節(jié)一直到后端的網(wǎng)絡(luò)建設(shè)、維護(hù)和管理支撐各個領(lǐng)域梳理企業(yè)的安全治理機(jī)構(gòu)和部門職責(zé)，設(shè)立獨(dú)立且統(tǒng)一的網(wǎng)絡(luò)信息安全管理部門，統(tǒng)籌協(xié)調(diào)負(fù)責(zé)企業(yè)日常的各項網(wǎng)絡(luò)安全和信息安全的治理工作。同時成立網(wǎng)絡(luò)信息安全管理委員會，領(lǐng)導(dǎo)網(wǎng)絡(luò)信息安全管理部門，為其提供重大決策和工作指導(dǎo)。由此建立一套包含工作機(jī)制和工作流程在內(nèi)的順暢的實(shí)施體系，將網(wǎng)絡(luò)與信息安全管理嵌入到企業(yè)生產(chǎn)流程的各個環(huán)節(jié)，實(shí)現(xiàn)企業(yè)安全的統(tǒng)一治理，確保安全工作縱向和橫向的協(xié)調(diào)推進(jìn)。

落實(shí)有效的監(jiān)督措施，包括檢查督促、考核獎懲、風(fēng)險評估和審計等手段。應(yīng)以風(fēng)險管理和合規(guī)性為核心開展網(wǎng)絡(luò)信息安全的管控。定期對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行風(fēng)險評估、符合性評測和合規(guī)性檢查，采用自評估、委托第三方專業(yè)機(jī)構(gòu)評估和檢查考核的三種方式進(jìn)行。

2.3 提高縱深防御的技術(shù)能力

建設(shè) SOC管理平臺，納入關(guān)鍵信息基礎(chǔ)設(shè)施的信息資產(chǎn)管理，對其進(jìn)行屬性打標(biāo)，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)動態(tài)管控。利用 SOC管理平臺的安全態(tài)勢感知能力對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行安全監(jiān)測，對現(xiàn)有事件進(jìn)行告警和發(fā)現(xiàn)，對資產(chǎn)信息、配置信息、漏洞信息、內(nèi)外部威脅等情況進(jìn)行收集和分析，通過大數(shù)據(jù)分析的數(shù)學(xué)建模預(yù)測出未來的風(fēng)險趨勢和變化。從而盡可能的實(shí)現(xiàn)安全事件的提前預(yù)警，在預(yù)警過程中找到應(yīng)對策略封堵漏洞，降低安全風(fēng)險。同時加快推進(jìn)4A系統(tǒng)的建設(shè)和完善，實(shí)現(xiàn)網(wǎng)絡(luò)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一賬號登錄和統(tǒng)一審計的安全管控能力，防止外部的非法訪問和內(nèi)部的非法泄露。另外要建設(shè)DLP（數(shù)據(jù)防泄露）的技術(shù)管控手段，在涉及用戶個人信息或者重要敏感數(shù)據(jù)的關(guān)鍵環(huán)節(jié)進(jìn)行管控，防止數(shù)據(jù)的泄露。

2.4 提高快速的應(yīng)急處理能力

針對關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)置應(yīng)急響應(yīng)策略，積極做好應(yīng)急預(yù)案和應(yīng)急演練工作，以便當(dāng)出現(xiàn)各種突發(fā)的安全事件時，具備及時響應(yīng)和有效處置的能力，以防止事態(tài)的進(jìn)一步惡化，確保故障的恢復(fù)，將帶來的損失和影響降到最低，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全。

2.5 加強(qiáng)安全教育和培訓(xùn)

在諸多的歷史教訓(xùn)中發(fā)現(xiàn)，對人員的管理是安全管理中最薄弱又是最容易被忽視的一個環(huán)節(jié)，所以要加強(qiáng)對人員的安全教育和培訓(xùn)，制定網(wǎng)絡(luò)與信息安全的教育培訓(xùn)計劃，定期開展企業(yè)內(nèi)部的安全教育和培訓(xùn)工作。無論是企業(yè)的領(lǐng)導(dǎo)還是員工都要參加安全意識的教育培訓(xùn)，提高網(wǎng)絡(luò)信息安全的防護(hù)意識。另外，加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理人才的培養(yǎng)，開展崗位能力認(rèn)證工作，優(yōu)化人才使用和激勵機(jī)制，打造一支全面掌握網(wǎng)絡(luò)信息安全管理和技術(shù)防護(hù)能力的專業(yè)化隊伍。

3 結(jié)束語

我國網(wǎng)絡(luò)的迅速發(fā)展促成我們國家成為了“網(wǎng)絡(luò)大國”，但它并不意味著我們是“網(wǎng)絡(luò)強(qiáng)國”。要成為真正的網(wǎng)絡(luò)強(qiáng)國，一定要以發(fā)展的眼光積極應(yīng)對網(wǎng)絡(luò)信息安全問題，從我國的基本國情出發(fā)，加大力度維護(hù)我們的《網(wǎng)絡(luò)安全法》。公共通信和信息服務(wù)網(wǎng)絡(luò)設(shè)施作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，通信運(yùn)營商應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)保護(hù)，構(gòu)建安全保障體系和加強(qiáng)技術(shù)防護(hù)能力，履行對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)信息安全防護(hù)的基本法律義務(wù)。

[1]王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全.中國圖書館學(xué)報，2016.