淺談通信運營商的關鍵信息基礎設施保障對策

◆唐 蓉

(中國電信股份有限公司重慶分公司 重慶 401121)

淺談通信運營商的關鍵信息基礎設施保障對策

◆唐 蓉

(中國電信股份有限公司重慶分公司 重慶 401121)

《網(wǎng)絡安全法》的頒布進一步明確了關鍵信息基礎設施已成為國家安全戰(zhàn)略重點，通信行業(yè)作為國家關鍵信息基礎設施之一，其網(wǎng)絡與信息安全的內(nèi)涵和外延已發(fā)生了很大變化，面臨著前所未有的挑戰(zhàn)和威脅，故通信運營商亟需構建關鍵信息基礎設施保障體系，加強主題責任義務，完善安全風險評估機制，落實技術手段，完善應急處置能力以及安全意識教育和人才培養(yǎng)。

網(wǎng)絡安全法關鍵信息基礎設施；網(wǎng)絡信息安全；保障對策

0 引言

2016年11月，第十二屆全國人大常委會第二十四次會議表決通過并將于2017年6月1日起實施的《網(wǎng)絡安全法》中明確，國家關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其它一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。在網(wǎng)絡安全等級保護制度的基礎上實行重點保護，所以公共通信和信息服務是具有關鍵信息基礎設施的行業(yè)和領域之一，國家對其實行重點保護，通信運營商作為其建設者、管理者、運營者，具有依法保護的職責和義務。

1 通信運營商保護關鍵信息基礎設施的必要性

1.1 網(wǎng)絡安全形勢越來越嚴峻

2013年發(fā)生的“棱鏡門”事件告知世界，我們正在面對一個復雜而又嚴峻的網(wǎng)絡安全環(huán)境，每天都在上演網(wǎng)絡DDoS攻擊大戰(zhàn)，網(wǎng)絡空間已成為傳統(tǒng)空間之外的第五戰(zhàn)場，網(wǎng)絡空間的對抗已上升到國家對抗的層面。國際上，數(shù)十個國家已頒布網(wǎng)絡空間國家安全戰(zhàn)略。我國也不例外，在2013年11月成立“中國共產(chǎn)黨中央國家安全委員會”，明確信息安全是國家安全體系的重要組成部分，又在2014年2月成立中央網(wǎng)絡安全和信息化領導小組，統(tǒng)籌協(xié)調各個領域的網(wǎng)絡安全和信息化重大問題，研究制定網(wǎng)絡安全和信息化發(fā)展戰(zhàn)略。通信運營商作為國資委管轄的國資控股企業(yè)，是國有大型基礎電信設施的建設者、提供者、運營者，所建設和運營的公共通信和信息服務網(wǎng)絡設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之中，容易遭到重點攻擊，所以通信運營商必須要做好關鍵信息基礎設施的網(wǎng)絡與信息安全保護。

1.2 新技術新業(yè)務的發(fā)展形成“雙刃劍”

近年來隨著通信運營商互聯(lián)網(wǎng)化、戰(zhàn)略轉型的深入推進，新興業(yè)務快速發(fā)展，網(wǎng)絡演進的趨勢越來越快，從3G到4G的商用，從撥號上網(wǎng)到百兆光纖入戶也不過才短短幾年的時間。快速發(fā)展的網(wǎng)絡和技術給大家?guī)砉ぷ鳌W習、生活便利的同時，網(wǎng)絡詐騙、用戶信息泄露、網(wǎng)絡攻擊、數(shù)據(jù)被截取篡改等問題也接踵而至，給通信網(wǎng)絡的安全帶來了新的挑戰(zhàn)。

隨著云計算、大數(shù)據(jù)等技術的成熟和商用，通信網(wǎng)絡也逐漸向集約化、云化、融合的趨勢演進，信息化對通信網(wǎng)絡的影響越來越深。但信息化在促進通信網(wǎng)絡發(fā)展的同時，打破了傳統(tǒng)網(wǎng)絡安全保護措施的壁壘，帶來新的網(wǎng)絡安全問題和風險。而目前熱門的互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)等領域的發(fā)展，必然將帶動大量的智能設備、數(shù)據(jù)信息等連入通信網(wǎng)中，形成一個全新的公共通信網(wǎng)。但這些接入設備自身存在的安全防護缺陷，也會給承載的通信網(wǎng)帶來較大的安全隱患。

綜上情況說明新技術、新業(yè)務和新環(huán)境的發(fā)展形成了一把“雙刃劍”，使得通信網(wǎng)絡作為基礎連接的網(wǎng)絡，將面臨網(wǎng)絡與信息安全方面的嚴峻挑戰(zhàn)和威脅。通信運營商必須要直面這些問題，在企業(yè)經(jīng)營過程中擔負起社會責任，營造一個健康有序的網(wǎng)絡空間。

1.3 保障和促進企業(yè)自身的發(fā)展

2008年，信息產(chǎn)業(yè)部組織各通信運營商，按照《關于信息安全等級保護工作的實施意見》等級保護的規(guī)定開展全網(wǎng)范圍的通信網(wǎng)絡單元的定級和備案等工作。2010年工業(yè)和信息化部發(fā)布了《通信網(wǎng)絡安全防護管理辦法》即簡稱的11號令，規(guī)定了網(wǎng)絡安全保障設施“三同步”的建設要求以及開展二級及以上網(wǎng)絡單元符合性測評和風險評估的工作。從2011年開始，工業(yè)和信息化部每年組織一次對通信運營商定級網(wǎng)絡單元的網(wǎng)絡安全防護檢查，從2013年開始，工業(yè)和信息化部又把網(wǎng)絡安全工作納入通信運營商負責人的年度績效考核中。直到2016年《網(wǎng)絡安全法》頒布后，網(wǎng)信部門隨即開展關鍵信息基礎設施的安全檢查。網(wǎng)絡安全工作逐漸被通信運營商重視，并根據(jù)等級保護、11號令的要求開展針對公共通信網(wǎng)的安全防護工作，初步建立起公共通信網(wǎng)絡的安全防護體系，加強了對公用通信網(wǎng)絡關鍵信息基礎設施防護的能力。但要具備防護國家關鍵信息基礎設施的網(wǎng)絡安全能力，還有很長的路要走。

現(xiàn)階段，通信運營商的網(wǎng)絡安全防護工作，忽視了其在企業(yè)自身發(fā)展方面的戰(zhàn)略地位。在管理措施方面，組織機構存在信息安全、網(wǎng)絡安全、用戶信息保護、重要數(shù)據(jù)保護、業(yè)務風險管理分屬在不同的職能部門管理，造成條塊分隔，難以形成合力，難以建立以風險管理為核心的安全管理流程，缺少專職的企業(yè)網(wǎng)絡安全負責人全面統(tǒng)籌開展企業(yè)的安全工作。

導致網(wǎng)絡安全工作頂層設計和總體規(guī)劃不足，策略體系交錯復雜，職責分散等問題。在技術防護手段方面，通信運營商已經(jīng)建設了如IDS、IPS、流量清洗、僵木蠕監(jiān)測等系統(tǒng)，對于某一個點的防護能夠起到很好的防護作用，但是遇到如 APT的攻擊，很難做到對關鍵信息基礎設施的全面監(jiān)測和總體安全態(tài)勢感知，難以實現(xiàn)關聯(lián)分析聯(lián)合對抗。另外，對于大數(shù)據(jù)安全防護、云環(huán)境安全防護方面還缺乏有效的防護手段，對于用戶信息和重要數(shù)據(jù)保護方面也還缺少防泄露的專業(yè)防護手段。而在安全培訓和意識教育方面，還未建立一套成熟的網(wǎng)絡安全培訓體系，對于安全崗位的人員還未完全普及持證上崗。

所以上述的諸多問題導致企業(yè)不得不面對網(wǎng)絡信息安全事件帶來的影響，造成業(yè)務下線，系統(tǒng)關停，數(shù)據(jù)丟失，給國家和社會帶來嚴重的影響，給企業(yè)造成無法彌補的損失，影響了企業(yè)的發(fā)展，亟需采取措施為企業(yè)的發(fā)展保駕護航。

2 構建通信運營商關鍵信息基礎設施保障策略的建議

雖然，我國關鍵信息基礎設施安全保障建設起步較晚，但好在《網(wǎng)絡安全法》已頒布，有了法律的頂層設計，明確了各方的法律責任，確立了關鍵信息基礎設施安全保護的戰(zhàn)略地位，搭建了關鍵信息基礎設施安全保護的制度框架。通信運營商作為其安全保障的重要角色之一，應該從以下幾個方面實現(xiàn)對關鍵信息基礎設施的重點保護：

2.1 明確保障的兩類對象

通信運營商的關鍵信息基礎設施剝離開來不外乎是構成的網(wǎng)絡和承載的信息兩類：網(wǎng)絡安全是指網(wǎng)絡的硬件、軟件及其系統(tǒng)不因網(wǎng)絡攻擊、非法入侵等原因而遭到破壞，網(wǎng)絡能夠連續(xù)可靠正常運行，保證服務不中斷。主要涉及主機安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、中間件安全、配置安全、物理環(huán)境安全等；信息安全是指網(wǎng)絡上承載的業(yè)務、數(shù)據(jù)、內(nèi)容、用戶信息的安全，在運營過程中不被非法篡改、泄露、盜取，具有完整性、保密性、可用性、可控性[1]。網(wǎng)絡安全側重于網(wǎng)絡環(huán)境的安全，是信息安全的基礎。信息安全側重于信息產(chǎn)生、存儲、傳輸、處理等過程的安全，是網(wǎng)絡安全的價值體現(xiàn)，二者相互作用，相互影響。那么通信運營商關鍵信息基礎設施的安全即是實現(xiàn)其網(wǎng)絡安全和信息安全。

2.2 重構安全防護保障體系

結合國內(nèi)外標準和通信運營企業(yè)的特點，從管理和技術兩個維度構建自上而下的關鍵信息基礎設施安全防護保障體系的策略，分為總冊、管理分冊和技術分冊。總冊涉及安全防護工作的原則、目標、范圍和策略，具有總體指導作用；管理分冊和技術分冊側重于管理制度和技術規(guī)范的制定，具有實際操作的指導作用。例如形成安全防護標準、安全防護實施細則等系列的制度文件。

重構安全保障組織機構，從通信運營商的前端市場營銷所涉及的各個環(huán)節(jié)一直到后端的網(wǎng)絡建設、維護和管理支撐各個領域梳理企業(yè)的安全治理機構和部門職責，設立獨立且統(tǒng)一的網(wǎng)絡信息安全管理部門，統(tǒng)籌協(xié)調負責企業(yè)日常的各項網(wǎng)絡安全和信息安全的治理工作。同時成立網(wǎng)絡信息安全管理委員會，領導網(wǎng)絡信息安全管理部門，為其提供重大決策和工作指導。由此建立一套包含工作機制和工作流程在內(nèi)的順暢的實施體系，將網(wǎng)絡與信息安全管理嵌入到企業(yè)生產(chǎn)流程的各個環(huán)節(jié)，實現(xiàn)企業(yè)安全的統(tǒng)一治理，確保安全工作縱向和橫向的協(xié)調推進。

落實有效的監(jiān)督措施，包括檢查督促、考核獎懲、風險評估和審計等手段。應以風險管理和合規(guī)性為核心開展網(wǎng)絡信息安全的管控。定期對關鍵信息基礎設施進行風險評估、符合性評測和合規(guī)性檢查，采用自評估、委托第三方專業(yè)機構評估和檢查考核的三種方式進行。

2.3 提高縱深防御的技術能力

建設 SOC管理平臺，納入關鍵信息基礎設施的信息資產(chǎn)管理，對其進行屬性打標，實現(xiàn)關鍵信息基礎設施的資產(chǎn)動態(tài)管控。利用 SOC管理平臺的安全態(tài)勢感知能力對關鍵信息基礎設施進行安全監(jiān)測，對現(xiàn)有事件進行告警和發(fā)現(xiàn)，對資產(chǎn)信息、配置信息、漏洞信息、內(nèi)外部威脅等情況進行收集和分析，通過大數(shù)據(jù)分析的數(shù)學建模預測出未來的風險趨勢和變化。從而盡可能的實現(xiàn)安全事件的提前預警，在預警過程中找到應對策略封堵漏洞，降低安全風險。同時加快推進4A系統(tǒng)的建設和完善，實現(xiàn)網(wǎng)絡統(tǒng)一認證、統(tǒng)一授權、統(tǒng)一賬號登錄和統(tǒng)一審計的安全管控能力，防止外部的非法訪問和內(nèi)部的非法泄露。另外要建設DLP（數(shù)據(jù)防泄露）的技術管控手段，在涉及用戶個人信息或者重要敏感數(shù)據(jù)的關鍵環(huán)節(jié)進行管控，防止數(shù)據(jù)的泄露。

2.4 提高快速的應急處理能力

針對關鍵信息基礎設施設置應急響應策略，積極做好應急預案和應急演練工作，以便當出現(xiàn)各種突發(fā)的安全事件時，具備及時響應和有效處置的能力，以防止事態(tài)的進一步惡化，確保故障的恢復，將帶來的損失和影響降到最低，保障關鍵信息基礎設施的安全。

2.5 加強安全教育和培訓

在諸多的歷史教訓中發(fā)現(xiàn)，對人員的管理是安全管理中最薄弱又是最容易被忽視的一個環(huán)節(jié)，所以要加強對人員的安全教育和培訓，制定網(wǎng)絡與信息安全的教育培訓計劃，定期開展企業(yè)內(nèi)部的安全教育和培訓工作。無論是企業(yè)的領導還是員工都要參加安全意識的教育培訓，提高網(wǎng)絡信息安全的防護意識。另外，加強企業(yè)網(wǎng)絡信息安全管理人才的培養(yǎng)，開展崗位能力認證工作，優(yōu)化人才使用和激勵機制，打造一支全面掌握網(wǎng)絡信息安全管理和技術防護能力的專業(yè)化隊伍。

3 結束語

我國網(wǎng)絡的迅速發(fā)展促成我們國家成為了“網(wǎng)絡大國”，但它并不意味著我們是“網(wǎng)絡強國”。要成為真正的網(wǎng)絡強國，一定要以發(fā)展的眼光積極應對網(wǎng)絡信息安全問題，從我國的基本國情出發(fā)，加大力度維護我們的《網(wǎng)絡安全法》。公共通信和信息服務網(wǎng)絡設施作為國家關鍵信息基礎設施的重要組成部分，通信運營商應對關鍵信息基礎設施進行重點保護，構建安全保障體系和加強技術防護能力，履行對關鍵信息基礎設施進行網(wǎng)絡信息安全防護的基本法律義務。

[1]王世偉.論信息安全、網(wǎng)絡安全、網(wǎng)絡空間安全.中國圖書館學報，2016.