淺談運營商業務安全評估

王 強，孫建書

（中國移動通信集團設計院有限公司北京分公司，北京 100038）

0 引言

隨著物聯網、云計算以及大數據的普及，網絡攻擊的范圍不斷擴大，攻擊目標泛化，網絡攻擊和信息泄露事件不斷升級，網絡與信息安全已上升到國家戰略高度。運營商作為信息與通信服務的提供商，其網絡與信息安全建設狀況至關重要。為了提供更多元化的服務，近年來運營商上線新業務的種類越來越多，業務上線前的安全評估作為安全的保障和防線，越來越受到運營商的重視。

1 運營商業務安全評估重要性

由于網絡安全事件的不斷升級，全球各國對網絡與信息安全的重視不斷提升，甚至達到了國家戰略高度層面，各大強國及聯盟陸續發布了保護條例和相應計劃。網絡安全目前已變為為各國政府在政治、經濟博弈舞臺上的關注重點。我國也于2017年6月正式實施了《中華人民共和國網絡安全法》，從法律層面明確了各類群體在安全法中各自的責任以及違規后的相應處罰。

作為運營商的業務主管部門，工信部近年來對網絡與信息安全的監管與考核力度也不斷加強，陸續下發一系列關于網絡與信息和業務安全相關的管理辦法、考核要點與評分標準。業務安全評估作為部委考核的重要組成部分，越來越受到運營商的重視。究其原因，運營商目前上線業務越來越多，而上線的新業務作為公眾獲取信息服務的一個入口，是直接暴露的，如果沒有有效地進行安全防護和安全檢測，就容易被不法分子抓住漏洞，進行入侵，通過網絡攻擊造成信息泄露。因此，在業務上線前，充分的做好安全評估工作，能夠事前彌補漏洞和缺陷，有效降低業務系統被入侵的風險，提高業務系統的安全性。業務安全評估也被運營商越來越重視，重要性凸顯。

2 運營商業務安全評估流程

根據對相關法規的解讀與分解，業務安全評估服務的工作流程中幾個環節的作用如下：評估前期準備是正是評估前需要準備的相關資料和工作。評估組織實施是評估工作中的重點、評估總結、評估整改復核使整個評估工作形成閉環。一般在業務上線前或業務相關功能、用戶規模發生較大變化時均可以啟動安全評估工作。

2.1 評估前期準備

當業務滿足部委相關要求需要進行安全評估時，運營商應及時成立評估組，啟動安全評估。

評估前期的準備主要是收集評估相關的資料，主要包括組織管理文檔、總體說明文檔和技術說明文檔等，根據資料對業務系統涉及的資產進行梳理，重點分析業務實現的功能和業務邏輯，同時梳理針對本業務的考核重點，為正式的評估實施做準備。

2.2 評估組織實施

評估組織實施是評估工作中的重點，具體的評估實施，根據評估手段和具體操作的不同，可以分別從網絡安全評估和信息安全評估進行具體實施。

網絡安全評估主要包括業務系統漏洞掃描、基線配置核查和滲透測試等工作。

漏洞掃描可以借助商業化漏掃產品，對主機、平臺中間件、數據庫等進行自動化掃描，然后對掃描結果進行審核確認。基線配置核查可根據基線配置要求進行逐一核查，并根據核查結果進行整改，提高業務系統安全配置基線。滲透測試是網絡安全評估中的重要組成部分，通過模擬黑客攻擊，對業務系統進行安全測試和代碼審計等，保證在不影響業務運行的前提下，及時發現業務系統的隱患。

信息安全評估包括對業務安全風險識別及企業安全保障能力判定。

業務安全風險識別是對業務應用相關的用戶、信息、業務合作、開放接口、業務平臺相關的設施位置分布、資源調度方式、用戶信息管理、業務邏輯安全、通訊信息管理等方面進行全面的識別和分析，評估信息安全風險狀況。

企業安全保障能力判定，是對與業務應用相關的用戶管理，信息內容、搜索等一系列相關管理、應用分發平臺功能管理、安全規劃張貼與主動提示、溯源管理、信息聯動管理、應急處置、業務平臺部署、資源調度、用戶接入要求、用戶個人信息保護、重點電信業務管理、業務邏輯安全管理、號碼傳送規范管理等方面的保障進行判定，全面評估信息安全風險狀況。

2.3 評估總結

評估實施完成以后，需要組織業務上線相關方召開評估工作總結會議，對評估結果進行確認，形成初評報告，同時根據評估結果相關責任部門進行即時整改。

初評報告的內容一般包括三部分：一是業務基本情況，如業務功能、業務實現方式、用戶規模及市場情況等；二是安全評估情況，主要包括評估過程、評估發現風險以及整改建議等；三是安全管理措施，包括日常管理措施、應急管理辦法等。

2.4 評估整改復核

根據初評結果進行相應問題的整改，整改完成后，評估組需要進行再次復核。

復核工作可以通過會議質詢、系統演示、現場測試等方式，針對整改報告逐條復核落實整改情況，重點復核技術改造完成情況、系統是否進行升級、敏感數據是否清理，以及對應業務機制是否完善等。

最后評估組仍需再次評估業務是否有新的安全風險點出現，在復核通過評估組評估后完成終評報告，并給出最終評估結論。

2.5 評估結果報備

最后，終評報告需要根據當地通管局或其他電信管理機構的要求，進行評估結果報備。

3 運營商業務安全評估存在的問題

隨著運營商業務安全評估工作的體系化和流程化，上線新業務的網絡與信息安全得到了很大的保障，作為業務上線前的最后屏障，業務安全評估工作起到了重要作用。但同時網絡環境變化復雜，各種漏洞層出不窮，當前的安全評估工作也面臨一定的挑戰。

首先，業務上線后主要依靠安全檢測與安全防御設備進行防護工作，但此類設備的漏洞庫和病毒庫等一般定時更新，對于0day等新漏洞無法進行實時防護，這給業務安全帶來了威脅。運營商目前過于依賴安全設備進行防護，新漏洞的檢測和排查必須通過安全人員的手動檢測，在此方面運營商需要加強防護工作。

其次，對于使用的平臺中間件、數據庫等在安全評估時能夠保證無重大漏洞，但由于舊版本在使用過程中被爆缺陷等，廠家會發布新版本，運營商業務主管方對版本更新動作較為滯后，一般都是通過安全部門定期審核后再進行整改，這增加了安全風險的暴露時間。對于此類版本更新操作，要加強與廠商的溝通，減少風險暴露時間。

最后，業務安全評估只是業務上線前的規定動作，在業務上線后的整個生命周期內，運營商均需投入精力保證業務相關的網絡與信息安全。比如，業務高速發展期的定期核查和更新，業務下線后也要及時對相關設備進行下電等，在業務發展的整個生命周期內保障網絡與信息安全。

4 結束語

隨著網絡攻擊與信息泄露的不斷升級，國家和部委對于網絡安全的監管越來越嚴格，對于業務安全的考核越來越重要。運營商近年來在業務安全評估中逐步建立了體系化、流程化的工作這在網絡安全建設與信息保護方面起到了重要作用。對于業務安全評估中目前仍存在的問題，運營商需要繼續加強防護工作，作為信息與通信服務的提供商，履行好自己的社會責任，共同營造良好的網絡環境。