江蘇省郵電規(guī)劃設(shè)計院有限責(zé)任公司 袁小明
移動互聯(lián)網(wǎng)的飛速發(fā)展,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)應(yīng)用的落地,使得網(wǎng)絡(luò)與信息安全面臨前所未有的挑戰(zhàn)。當(dāng)前,我國對于網(wǎng)絡(luò)與信息安全的重視日漸提升,保障網(wǎng)絡(luò)與信息安全成為推進(jìn)“網(wǎng)絡(luò)強(qiáng)國”、“互聯(lián)網(wǎng)+”等一系列戰(zhàn)略的基石。在這一背景下,政府主管部門正在積極推進(jìn)相關(guān)政策的落實,而以電信運(yùn)營商為代表的產(chǎn)業(yè)鏈各方也在以技術(shù)為抓手,助力我國網(wǎng)絡(luò)與信息安全水平提升。
隨著“互聯(lián)網(wǎng)+”時代來臨,網(wǎng)絡(luò)與信息安全威脅和風(fēng)險日益突出。我國已將網(wǎng)絡(luò)與信息安全上升到國家安全戰(zhàn)略高度。習(xí)近平總書記在2016年4月19日召開的網(wǎng)絡(luò)安全和信息化工作座談會上進(jìn)一步強(qiáng)調(diào),“網(wǎng)絡(luò)安全和信息化是相輔相成的”“安全和發(fā)展要同步推進(jìn)”“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”。
電信運(yùn)營商網(wǎng)絡(luò)與信息安全的內(nèi)涵和外延發(fā)生了很大變化,面臨著前所未有的挑戰(zhàn)和威脅,同時由于涉及面廣、變化快、新技術(shù)新業(yè)務(wù)層出不窮、基礎(chǔ)較薄弱等因素,網(wǎng)絡(luò)與信息安全工作尚處于被動的應(yīng)急救火階段。江蘇省郵電規(guī)劃設(shè)計院認(rèn)為,電信運(yùn)營企業(yè)可從使命、對象、能力、基礎(chǔ)等四個層面出發(fā),解決為什么、保護(hù)誰、怎么做、如何保障四大問題,構(gòu)建真正符合電信運(yùn)營商特點的網(wǎng)絡(luò)與信息安全體系框架。
肩負(fù)三大使命
貫徹落實黨和國家戰(zhàn)略
面對復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢,數(shù)十個國家已頒布網(wǎng)絡(luò)空間國家安全戰(zhàn)略,我國也高度重視。2013年11月12日成立“中國共產(chǎn)黨中央國家安全委員會”,明確信息安全是國家安全體系的重要組成部分。2014年2月27日,成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,該領(lǐng)導(dǎo)小組著眼國家安全和長遠(yuǎn)發(fā)展,統(tǒng)籌協(xié)調(diào)各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題,研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策。黨的十八屆五中全會、“十三五”規(guī)劃綱要對實施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略作了部署。電信運(yùn)營企業(yè)作為國有大型基礎(chǔ)電信設(shè)施的建設(shè)者、提供者、運(yùn)營者,所建設(shè)和運(yùn)營的信息通信網(wǎng)絡(luò)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞,網(wǎng)絡(luò)上承載著國家、企業(yè)和用戶的重要信息,也是可能遭到重點攻擊的目標(biāo),電信運(yùn)營企業(yè)必須切實貫徹落實好國家有關(guān)網(wǎng)絡(luò)與信息安全的政策要求,做好網(wǎng)絡(luò)與信息的安全防護(hù)。
保障和促進(jìn)企業(yè)發(fā)展
電信運(yùn)營企業(yè)作為信息化的主力軍,運(yùn)營的網(wǎng)絡(luò)是企業(yè)乃至國家和社會的信息化、互聯(lián)網(wǎng)正常發(fā)展的重要基礎(chǔ),隨著運(yùn)營企業(yè)互聯(lián)網(wǎng)化、戰(zhàn)略轉(zhuǎn)型的深入推進(jìn),新興業(yè)務(wù)快速發(fā)展,各類用戶規(guī)模增長,網(wǎng)絡(luò)平臺更加開放,數(shù)據(jù)量爆炸式增長,面臨的網(wǎng)絡(luò)與信息安全風(fēng)險和挑戰(zhàn)愈加突出,用戶信息泄露、信息數(shù)據(jù)被截取、內(nèi)容涉黃涉暴等網(wǎng)絡(luò)與信息安全事件層出不窮,造成業(yè)務(wù)下線、網(wǎng)站關(guān)停等嚴(yán)重影響企業(yè)業(yè)務(wù)發(fā)展的后果,亟須網(wǎng)絡(luò)與信息安全為企業(yè)保駕護(hù)航。
同時,電信運(yùn)營企業(yè)也可利用當(dāng)前社會對網(wǎng)絡(luò)與信息安全空前關(guān)注的機(jī)會,化壓力為動力,化危機(jī)為機(jī)遇,將企業(yè)的網(wǎng)絡(luò)與信息安全能力轉(zhuǎn)化為對外的安全服務(wù)和產(chǎn)品,形成市場競爭新優(yōu)勢,促進(jìn)企業(yè)發(fā)展。
履行企業(yè)社會責(zé)任
正如很多新型技術(shù)都是“雙刃劍”一樣,互聯(lián)網(wǎng)也是如此。快速發(fā)展的互聯(lián)網(wǎng)越來越成為人們學(xué)習(xí)、工作、生活的新空間,在給我們帶來便利的同時,網(wǎng)絡(luò)詐騙、虛假廣告、涉黃涉暴等負(fù)面現(xiàn)象也接踵而至。電信運(yùn)營企業(yè)作為國有大型企業(yè),尤其要率先履行社會責(zé)任,堅持經(jīng)濟(jì)效益和社會效益并重,在企業(yè)經(jīng)營過程中,要擔(dān)起社會責(zé)任、道德責(zé)任,確保網(wǎng)絡(luò)與信息安全,營造一個氣朗風(fēng)清、健康的網(wǎng)絡(luò)空間。
網(wǎng)絡(luò)與信息是企業(yè)的資產(chǎn),具有極其重要的價值,必須保證其安全。因此,從對象上看,電信運(yùn)營商構(gòu)建的安全體系主要包括兩個方面:一個是網(wǎng)絡(luò)安全,一個是信息安全。
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)不因網(wǎng)絡(luò)攻擊、非法入侵等原因而遭到破壞,網(wǎng)絡(luò)連續(xù)可靠正常運(yùn)行,服務(wù)不中斷。網(wǎng)絡(luò)安全主要有主機(jī)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、配置安全、物理環(huán)境安全等。信息安全是指網(wǎng)絡(luò)承載的業(yè)務(wù)、數(shù)據(jù)、內(nèi)容、用戶信息及其交互的安全,在整個運(yùn)營過程中不被非法篡改、泄露,具有完整性、保密性、可用性和合法合規(guī)性。
網(wǎng)絡(luò)安全側(cè)重于網(wǎng)絡(luò)環(huán)境的安全,是對異常、濫用行為的監(jiān)測和防控,是信息安全的基礎(chǔ),是保護(hù)信息安全的重要手段。信息安全側(cè)重于信息產(chǎn)生、存儲、傳輸、處理等過程的安全,是網(wǎng)絡(luò)安全的價值體現(xiàn)和工作目標(biāo),兩者互相作用,相輔相成。
提升四大能力
可靠的防護(hù)能力
防護(hù)能力是指采取手段與措施,使企業(yè)的網(wǎng)絡(luò)、信息系統(tǒng)具備防范抵御各種已知的針對網(wǎng)絡(luò)與信息安全威脅的能力。鑒于互聯(lián)網(wǎng)的開放性與安全的短板效應(yīng),在開放的網(wǎng)絡(luò)空間環(huán)境下的社會主體需要對自身的網(wǎng)絡(luò)與信息進(jìn)行必要的防護(hù),事先采取各種管理與技術(shù)措施,對潛在的威脅進(jìn)行可靠預(yù)防,確保網(wǎng)絡(luò)與信息的保密性、完整性、可用性、不可抵賴性、可靠性。
精確的感知能力
感知能力是指采取手段與措施使得網(wǎng)絡(luò)與信息系統(tǒng)具備監(jiān)測、分析和預(yù)測各種已知或未知的、潛在與事實上的針對網(wǎng)絡(luò)與信息安全威脅的能力。對網(wǎng)絡(luò)與信息進(jìn)行安全監(jiān)測,對現(xiàn)有事件進(jìn)行告警和說明,及時發(fā)現(xiàn),同時對資產(chǎn)數(shù)據(jù)、配置數(shù)據(jù)、漏洞數(shù)據(jù)、內(nèi)外部威脅數(shù)據(jù)和事件數(shù)據(jù)等進(jìn)行收集和梳理,在此基礎(chǔ)上進(jìn)行特征歸納,分析這些安全事件背后的意義,并找出有意義的指標(biāo)和參數(shù),最后再根據(jù)這些指標(biāo)變化來預(yù)測未來的趨勢和變化,這些變化對企業(yè)有什么影響,同時還要提出應(yīng)對建議。
快速的處置能力
處置能力是指采取手段與措施,使得網(wǎng)絡(luò)與信息系統(tǒng)針對所出現(xiàn)的各種突發(fā)事件,具備及時響應(yīng)、處置網(wǎng)絡(luò)與信息系統(tǒng)所遭受的攻擊,恢復(fù)網(wǎng)絡(luò)與信息系統(tǒng)基本服務(wù)的能力。處置能力包含建立應(yīng)急響應(yīng)體系,企業(yè)須按照“平戰(zhàn)”結(jié)合的原則,積極做好網(wǎng)絡(luò)與信息安全事件的應(yīng)急預(yù)案及演練、報告制度、保障工作,以便在事件出現(xiàn)時能夠及時響應(yīng),針對攻擊事件進(jìn)行有效處置,以防止事態(tài)的進(jìn)一步惡化,面向攻擊所出現(xiàn)的故障確保恢復(fù),從而將損失降到最低。
準(zhǔn)確的溯源能力
溯源能力是指采取手段與措施,確定網(wǎng)絡(luò)攻擊者身份或位置信息及其中間介質(zhì)的能力,身份信息包括攻擊者名字、賬號或與之有關(guān)系的類似信息;位置信息包括其地理位置或虛擬地址,如IP地址、MAC地址等。追蹤溯源過程還能夠提供其他輔助信息,比如攻擊路徑和攻擊時序等。管理者可使用追蹤溯源技術(shù)定位真正的攻擊源,以采取多種安全策略和手段,從源頭抑制,防止網(wǎng)絡(luò)攻擊帶來更大破壞, 并記錄攻擊過程, 為司法取證提供必要的信息支撐。
通過溯源,可以確定攻擊源,制定實施針對性的防御策略;采取攔截、隔離等手段,減輕損害,保證網(wǎng)絡(luò)平穩(wěn)健康運(yùn)行;記錄攻擊過程,出現(xiàn)安全問題時提供依據(jù)與手段,具有可審查性;同時,準(zhǔn)確的溯源能力將對網(wǎng)絡(luò)攻擊者或潛在攻擊者產(chǎn)生極大的威懾力。
健全四大體系
完善的規(guī)范體系
電信運(yùn)營企業(yè)的網(wǎng)絡(luò)與信息安全保障工作尚處于起步階段,規(guī)章、制度還不夠完善,缺乏可落地執(zhí)行的結(jié)構(gòu)化、層次化、可擴(kuò)展的標(biāo)準(zhǔn)規(guī)范。結(jié)合國內(nèi)外標(biāo)準(zhǔn)和電信運(yùn)營企業(yè)特點,可從管理和技術(shù)兩個維度,構(gòu)建自上至下的四層安全管理規(guī)范體系模型。
第一層是總綱,涉及網(wǎng)絡(luò)與信息安全工作的范圍、原則、目標(biāo)和策略,具有總體指導(dǎo)意義。
第二層是對總綱的分解,側(cè)重于管理制度和技術(shù)規(guī)范,對安全工作具有實際的指導(dǎo)作用。
第三層是根據(jù)不同類型的網(wǎng)絡(luò)和應(yīng)用環(huán)境,統(tǒng)一制定的具體細(xì)則、流程和規(guī)范。
第四層是操作層面,結(jié)合企業(yè)各部門實際及具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng),分別制訂詳細(xì)的操作步驟與配置方法。
順暢的實施體系
由于企業(yè)的網(wǎng)絡(luò)與信息安全工作包括計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)等眾多專業(yè),涉及電信運(yùn)營企業(yè)后端網(wǎng)絡(luò)的建設(shè)、維護(hù)與管理支撐,以及前端的市場銷售等各環(huán)節(jié),往往某類信息的安全防護(hù)、安全事件的處置等均需要多專業(yè)配合,多部門協(xié)同,因此,網(wǎng)絡(luò)與信息安全需要一套包含工作機(jī)制和工作流程在內(nèi)的順暢的實施體系,明確牽頭、歸口、操作部門的分工界面及職責(zé)劃分,將網(wǎng)絡(luò)與信息安全管理嵌入企業(yè)生產(chǎn)流程的各個環(huán)節(jié),確保企業(yè)網(wǎng)絡(luò)與信息安全工作縱向和橫向協(xié)同推進(jìn),順暢實施。
有效的監(jiān)督體系
電信運(yùn)營企業(yè)當(dāng)前的網(wǎng)絡(luò)與信息安全工作存在安全意識薄弱、工作執(zhí)行打折扣、整改落實不到位等現(xiàn)象,為確保網(wǎng)絡(luò)與信息安全工作推進(jìn)落實不走樣、不打折,需要一套有效的監(jiān)督體系。監(jiān)督措施主要包括檢查督促、考核獎懲、管理和技術(shù)審計、風(fēng)險評估等手段。
有力的保障體系
管理和技術(shù)的有效實施,最終都依賴于各種相關(guān)的資源保障,需要有力的保障體系作支撐。保障措施主要包括組織機(jī)構(gòu)、人員配備、教育培訓(xùn)、安全意識宣貫、管理信息化支撐手段、資產(chǎn)管理、信息報備、特殊通信、重要時期網(wǎng)絡(luò)與信息安全保障等內(nèi)容。
總工點評:
沒有網(wǎng)絡(luò)安全,就沒有國家安全。“互聯(lián)網(wǎng)+”時代,電信運(yùn)營企業(yè)網(wǎng)絡(luò)與信息安全工作面臨新的挑戰(zhàn)。在這一背景下,電信運(yùn)營企業(yè)需肩負(fù)國家政策、社會責(zé)任、企業(yè)發(fā)展三大使命,切實保障網(wǎng)絡(luò)與信息兩大類安全,大力提升網(wǎng)絡(luò)與信息安全的防護(hù)、感知、處置、溯源四大能力,健全規(guī)范、實施、監(jiān)督、保障四大體系,構(gòu)建新一代網(wǎng)絡(luò)與信息安全體系。
——江蘇省郵電規(guī)劃設(shè)計院總工程師袁源
京公網(wǎng)安備 11010502049343號