运 营 商 专 栏

            用通信网络关键信息基础设施防护的能力。但要具备防护国家                          的指导作用。例如形成安全防护标准、安全防护实施细则等系
            关键信息基础设施的网络安全能力，还有很长的路要走。                            列的制度文件。
                现阶段，通信运营商的网络安全防护工作，忽视了其在企                            重构安全保障组织机构，从通信运营商的前端市场营销
            业自身发展方面的战略地位。在管理措施方面，组织机构存在                          所涉及的各个环节一直到后端的网络建设、维护和管理支撑各
            信息安全、网络安全、用户信息保护、重要数据保护、业务风                          个领域梳理企业的安全治理机构和部门职责，设立独立且统一
            险管理分属在不同的职能部门管理，造成条块分隔，难以形成                          的网络信息安全管理部门，统筹协调负责企业日常的各项网络
            合力，难以建立以风险管理为核心的安全管理流程，缺少专职                          安全和信息安全的治理工作。同时成立网络信息安全管理委员
            的企业网络安全负责人全面统筹开展企业的安全工作。                             会，领导网络信息安全管理部门，为其提供重大决策和工作指
                导致网络安全工作顶层设计和总体规划不足，策略体系交                        导。由此建立一套包含工作机制和工作流程在内的顺畅的实施
            错复杂，职责分散等问题。在技术防护手段方面，通信运营商                          体系，将网络与信息安全管理嵌入到企业生产流程的各个环
            已经建设了如IDS、IPS、流量清洗、僵木蠕监测等系统，对于                       节，实现企业安全的统一治理，确保安全工作纵向和横向的协
            某一个点的防护能够起到很好的防护作用，但是遇到如APT  的                       调推进。
            攻击，很难做到对关键信息基础设施的全面监测和总体安全态                              落实有效的监督措施，包括检查督促、考核奖惩、风险评
            势感知，难以实现关联分析联合对抗。另外，对于大数据安全                          估和审计等手段。应以风险管理和合规性为核心开展网络信息
            防护、云环境安全防护方面还缺乏有效的防护手段，对于用户                          安全的管控。定期对关键信息基础设施进行风险评估、符合性
            信息和重要数据保护方面也还缺少防泄露的专业防护手段。而                          评测和合规性检查，采用自评估、委托第三方专业机构评估和
            在安全培训和意识教育方面，还未建立一套成熟的网络安全培                          检查考核的三种方式进行。
            训体系，对于安全岗位的人员还未完全普及持证上岗。                                 3.提高纵深防御的技术能力
                所以上述的诸多问题导致企业不得不面对网络信息安全事                            建设SOC  管理平台，纳入关键信息基础设施的信息资产管
            件带来的影响，造成业务下线，系统关停，数据丢失，给国家                          理，对其进行属性打标，实现关键信息基础设施的资产动态管
            和社会带来严重的影响，给企业造成无法弥补的损失，影响了                          控。利用SOC  管理平台的安全态势感知能力对关键信息基础设
            企业的发展，亟需采取措施为企业的发展保驾护航。                              施进行安全监测，对现有事件进行告警和发现，对资产信息、
                                                                 配置信息、漏洞信息、内外部威胁等情况进行收集和分析，通
                三、构建通信运营商关键信息基础设施保障                              过大数据分析的数学建模预测出未来的风险趋势和变化。从而
            策略的建议                                                尽可能的实现安全事件的提前预警，在预警过程中找到应对策
                虽然，我国关键信息基础设施安全保障建设起步较晚，                         略封堵漏洞，降低安全风险。同时加快推进4A  系统的建设和
            但好在《网络安全法》已颁布，有了法律的顶层设计，明确了                          完善，实现网络统一认证、统一授权、统一账号登录和统一审
            各方的法律责任，确立了关键信息基础设施安全保护的战略地                          计的安全管控能力，防止外部的非法访问和内部的非法泄露。
            位，搭建了关键信息基础设施安全保护的制度框架。通信运营                          另外要建设DLP（数据防泄露）的技术管控手段，在涉及用户个
            商作为其安全保障的重要角色之一，应该从以下几个方面实现                          人信息或者重要敏感数据的关键环节进行管控，防止数据的泄
            对关键信息基础设施的重点保护：                                      露。
                1.明确保障的两类对象                                          4.提高快速的应急处理能力
                通信运营商的关键信息基础设施剥离开来不外乎是构成的                            针对关键信息基础设施设置应急响应策略，积极做好应急
            网络和承载的信息两类：网络安全是指网络的硬件、软件及其                          预案和应急演练工作，以便当出现各种突发的安全事件时，具
            系统不因网络攻击、非法入侵等原因而遭到破坏，网络能够连                          备及时响应和有效处置的能力，以防止事态的进一步恶化，确
            续可靠正常运行，保证服务不中断。主要涉及主机安全、操作                          保故障的恢复，将带来的损失和影响降到最低，保障关键信息
            系统安全、数据库安全、中间件安全、配置安全、物理环境安                          基础设施的安全。
            全等；信息安全是指网络上承载的业务、数据、内容、用户信                              5.加强安全教育和培训
            息的安全，在运营过程中不被非法篡改、泄露、盗取，具有完                              在诸多的历史教训中发现，对人员的管理是安全管理中
            整性、保密性、可用性、可控性[1]。网络安全侧重于网络环                         最薄弱又是最容易被忽视的一个环节，所以要加强对人员的安
            境的安全，是信息安全的基础。信息安全侧重于信息产生、存                          全教育和培训，制定网络与信息安全的教育培训计划，定期开
            储、传输、处理等过程的安全，是网络安全的价值体现，二者                          展企业内部的安全教育和培训工作。无论是企业的领导还是员
            相互作用，相互影响。那么通信运营商关键信息基础设施的安                          工都要参加安全意识的教育培训，提高网络信息安全的防护意
            全即是实现其网络安全和信息安全。                                     识。另外，加强企业网络信息安全管理人才的培养，开展岗位
                2.重构安全防护保障体系                                     能力认证工作，优化人才使用和激励机制，打造一支全面掌握
                结合国内外标准和通信运营企业的特点，从管理和技术两                        网络信息安全管理和技术防护能力的专业化队伍。
            个维度构建自上而下的关键信息基础设施安全防护保障体系的
            策略，分为总册、管理分册和技术分册。总册涉及安全防护工                              四、结束语
            作的原则、目标、范围和策略，具有总体指导作用；管理分册                              我国网络的迅速发展促成我们国家成为了“网络大国”，
            和技术分册侧重于管理制度和技术规范的制定，具有实际操作                          但它并不意味着我们是“网络强国”。要成为真正的网络强

            20                                         网络电信 二零一七年七月