江蘇省郵電規(guī)劃設(shè)計(jì)院有限責(zé)任公司│袁小明

創(chuàng)新構(gòu)建工作體系保障網(wǎng)絡(luò)與信息安全

江蘇省郵電規(guī)劃設(shè)計(jì)院有限責(zé)任公司│袁小明

電信運(yùn)營企業(yè)作為國有大型基礎(chǔ)電信設(shè)施的建設(shè)者、提供者、運(yùn)營者，所建設(shè)和運(yùn)營的信息通信網(wǎng)絡(luò)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，其網(wǎng)絡(luò)上承載著國家、企業(yè)和用戶的重要信息，也是可能遭到重點(diǎn)攻擊的目標(biāo)。

隨著信息技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)與信息的安全威脅和風(fēng)險(xiǎn)也日益突出，我國已將網(wǎng)絡(luò)與信息安全上升到國家安全的戰(zhàn)略高度，習(xí)近平總書記在2016年4月19日召開的“網(wǎng)絡(luò)安全和信息化工作座談會(huì)”上進(jìn)一步強(qiáng)調(diào)“網(wǎng)絡(luò)安全和信息化是相輔相成的”、“安全和發(fā)展要同步推進(jìn)”、“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”。

電信運(yùn)營商網(wǎng)絡(luò)與信息安全的內(nèi)涵和外延也發(fā)生了很大變化，面臨著前所未有的挑戰(zhàn)和威脅，同時(shí)由于涉及面廣、變化快、新技術(shù)及新業(yè)務(wù)層出不窮、基礎(chǔ)較薄弱等因素，網(wǎng)絡(luò)與信息安全工作尚處于被動(dòng)的“應(yīng)急救火”階段，亟需構(gòu)建適合電信運(yùn)營商特點(diǎn)的網(wǎng)絡(luò)與信息安全體系，從使命、對(duì)象、能力、基礎(chǔ)等4個(gè)層面出發(fā)，解決“為什么、保護(hù)誰、怎么做、如何保障”等4類問題，從而有效指導(dǎo)整個(gè)企業(yè)的網(wǎng)絡(luò)與信息安全工作。

使命遠(yuǎn)景：肩負(fù)三大使命

1.貫徹落實(shí)黨和國家戰(zhàn)略

面對(duì)復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，數(shù)十個(gè)國家已頒布網(wǎng)絡(luò)空間國家安全戰(zhàn)略，我國也高度重視。2013年11月12日成立“中國共產(chǎn)黨中央國家安全委員會(huì)”，明確信息安全是國家安全體系的重要組成部分。2014年2月27日，成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，該領(lǐng)導(dǎo)小組著眼國家安全和長遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策。黨的十八屆五中全會(huì)、“十三五”規(guī)劃綱要對(duì)實(shí)施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略作了部署。電信運(yùn)營企業(yè)作為國有大型基礎(chǔ)電信設(shè)施的建設(shè)者、提供者、運(yùn)營者，所建設(shè)和運(yùn)營的信息通信網(wǎng)絡(luò)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，網(wǎng)絡(luò)上承載著國家、企業(yè)和用戶的重要信息，也是可能遭到重點(diǎn)攻擊的目標(biāo)，電信運(yùn)營企業(yè)必須切實(shí)貫徹落實(shí)好國家有關(guān)網(wǎng)絡(luò)與信息安全的政策要求，做好網(wǎng)絡(luò)與信息的安全防護(hù)。

2.保障和促進(jìn)企業(yè)發(fā)展

電信運(yùn)營企業(yè)作為信息化主力軍，運(yùn)營的網(wǎng)絡(luò)是企業(yè)乃至國家和社會(huì)的信息化、互聯(lián)網(wǎng)正常發(fā)展的重要基礎(chǔ)，隨著運(yùn)營企業(yè)互聯(lián)網(wǎng)化、戰(zhàn)略轉(zhuǎn)型的深入推進(jìn)，新興業(yè)務(wù)快速發(fā)展，各類用戶規(guī)模增長，網(wǎng)絡(luò)平臺(tái)更加開放，數(shù)據(jù)量爆炸式增長，面臨的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)和挑戰(zhàn)愈加突出，用戶信息泄露、信息數(shù)據(jù)被截取、內(nèi)容涉黃涉暴等網(wǎng)絡(luò)與信息安全事件層出不窮，造成業(yè)務(wù)下線、網(wǎng)站關(guān)停等嚴(yán)重影響企業(yè)業(yè)務(wù)發(fā)展的后果，亟需網(wǎng)絡(luò)與信息安全為企業(yè)保駕護(hù)航。

同時(shí)，電信運(yùn)營企業(yè)也可利用當(dāng)前社會(huì)對(duì)網(wǎng)絡(luò)與信息安全空前關(guān)注的機(jī)會(huì)，化壓力為動(dòng)力，化危機(jī)為機(jī)遇，將企業(yè)的網(wǎng)絡(luò)與信息安全的能力轉(zhuǎn)化為對(duì)外的安全服務(wù)和產(chǎn)品，形成市場(chǎng)競爭新優(yōu)勢(shì)，促進(jìn)企業(yè)發(fā)展。

3.履行企業(yè)社會(huì)責(zé)任

正如很多新型技術(shù)都是“雙刃劍”一樣，互聯(lián)網(wǎng)也未能幸免?？焖侔l(fā)展的互聯(lián)網(wǎng)越來越成為人們學(xué)習(xí)、工作、生活的新空間，在給我們帶來便利的同時(shí)，網(wǎng)絡(luò)詐騙、虛假廣告、涉黃、涉暴等負(fù)面現(xiàn)象也接踵而至。電信運(yùn)營企業(yè)作為國有大型企業(yè)，尤其要率先履行社會(huì)責(zé)任，堅(jiān)持經(jīng)濟(jì)效益和社會(huì)效益并重，在企業(yè)經(jīng)營過程中，要擔(dān)起社會(huì)責(zé)任、道德責(zé)任，確保網(wǎng)絡(luò)與信息安全，營造一個(gè)氣朗風(fēng)清、健康的網(wǎng)絡(luò)空間。

保護(hù)對(duì)象：保障兩類安全

網(wǎng)絡(luò)與信息是企業(yè)的資產(chǎn)，具有極其重要的價(jià)值，必須保證其安全。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)不因網(wǎng)絡(luò)攻擊、非法入侵等原因而遭到破壞，網(wǎng)絡(luò)連續(xù)可靠正常運(yùn)行，服務(wù)不中斷，網(wǎng)絡(luò)安全主要有主機(jī)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、配置安全、物理環(huán)境安全等。信息安全是指網(wǎng)絡(luò)承載的業(yè)務(wù)、數(shù)據(jù)、內(nèi)容、用戶信息及其交互的安全，在整個(gè)運(yùn)營過程中不被非法篡改、泄露，具有完整性、保密性、可用性和合法合規(guī)性。

網(wǎng)絡(luò)安全側(cè)重于網(wǎng)絡(luò)環(huán)境的安全，是對(duì)異常、濫用行為的監(jiān)測(cè)和防控，是信息安全的基礎(chǔ)，是保護(hù)信息安全的重要手段。信息安全側(cè)重于信息產(chǎn)生、存儲(chǔ)、傳輸、處理等過程的安全，是網(wǎng)絡(luò)安全的價(jià)值體現(xiàn)和工作目標(biāo)，兩者互相作用，相輔相成。

能力建設(shè)：提升四大能力

1.可靠的防護(hù)能力

防護(hù)能力是指采取手段與措施，使得企業(yè)的網(wǎng)絡(luò)、信息系統(tǒng)具備防范、抵御各種已知的針對(duì)網(wǎng)絡(luò)與信息安全威脅的能力。鑒于互聯(lián)網(wǎng)的開放性與安全的短板效應(yīng)，在開放的網(wǎng)絡(luò)空間環(huán)境下，社會(huì)主體需要對(duì)自身的網(wǎng)絡(luò)與信息進(jìn)行必要的防護(hù)，事先采取各種管理與技術(shù)措施，對(duì)潛在的威脅進(jìn)行可靠的預(yù)防，確保網(wǎng)絡(luò)與信息的保密性、完整性、可用性、不可抵賴性、可靠性。

圖 運(yùn)營商網(wǎng)絡(luò)與信息安全工作體系

2.精確的感知能力

感知能力是指采取手段與措施使得網(wǎng)絡(luò)與信息系統(tǒng)具備監(jiān)測(cè)、分析和預(yù)測(cè)各種已知或未知的、潛在與事實(shí)上的針對(duì)網(wǎng)絡(luò)與信息安全威脅的能力。對(duì)網(wǎng)絡(luò)與信息進(jìn)行安全監(jiān)測(cè)，對(duì)現(xiàn)有事件進(jìn)行告警和說明，及時(shí)發(fā)現(xiàn)，同時(shí)對(duì)資產(chǎn)數(shù)據(jù)、配置數(shù)據(jù)、漏洞數(shù)據(jù)、內(nèi)外部威脅數(shù)據(jù)和事件數(shù)據(jù)等進(jìn)行收集和梳理，在此基礎(chǔ)上進(jìn)行特征歸納，分析這些安全事件背后的意義，并找出有意義的指標(biāo)和參數(shù)，最后再根據(jù)這些指標(biāo)變化來預(yù)測(cè)未來的趨勢(shì)和變化，這些變化對(duì)企業(yè)有什么影響，同時(shí)還要提出應(yīng)對(duì)建議。

3.快速的處置能力

處置能力是指采取手段與措施，使得網(wǎng)絡(luò)與信息系統(tǒng)針對(duì)所出現(xiàn)的各種突發(fā)事件，具備及時(shí)響應(yīng)、處置網(wǎng)絡(luò)與信息系統(tǒng)所遭受的攻擊、恢復(fù)網(wǎng)絡(luò)與信息系統(tǒng)基本服務(wù)的能力。處置能力包含建立應(yīng)急響應(yīng)體系，企業(yè)須按照“平戰(zhàn)”結(jié)合的原則，積極做好網(wǎng)絡(luò)與信息安全事件的應(yīng)急預(yù)案及演練、報(bào)告制度、保障工作，以便在事件出現(xiàn)時(shí)能夠及時(shí)響應(yīng)，針對(duì)攻擊事件進(jìn)行有效處置，以防止事態(tài)的進(jìn)一步惡化，面向攻擊所出現(xiàn)的故障確保恢復(fù)，從而將損失降到最低限度。

4.準(zhǔn)確的溯源能力

溯源能力是指采取手段與措施，確定網(wǎng)絡(luò)攻擊者身份或位置信息及其中間介質(zhì)的能力，身份信息包括攻擊者名字、賬號(hào)或與之有關(guān)系的類似信息；位置信息包括其地理位置或虛擬地址，如IP地址、MAC地址等。追蹤溯源過程還能夠提供其他輔助信息，比如攻擊路徑和攻擊時(shí)序等。管理者可使用追蹤溯源技術(shù)定位真正的攻擊源，以采取多種安全策略和手段，從源頭抑制，防止網(wǎng)絡(luò)攻擊帶來更大破壞, 并記錄攻擊過程, 為司法取證提供必要的信息支撐。通過溯源，可以確定攻擊源,制定實(shí)施針對(duì)性的防御策略；采取攔截、隔離等手段,減輕損害,保證網(wǎng)絡(luò)平穩(wěn)健康地運(yùn)行；記錄攻擊過程, 出現(xiàn)安全問題時(shí)提供依據(jù)與手段，具有可審查性；同時(shí)，準(zhǔn)確的溯源能力將對(duì)網(wǎng)絡(luò)攻擊者或潛在攻擊者產(chǎn)生極大的威懾力。

基礎(chǔ)保障：健全四大體系

1.完善的規(guī)范體系

電信運(yùn)營企業(yè)的網(wǎng)絡(luò)與信息安全保障工作尚處于起步階段，規(guī)章、制度還不夠完善，缺乏可落地執(zhí)行的結(jié)構(gòu)化、層次化、可擴(kuò)展的標(biāo)準(zhǔn)規(guī)范。結(jié)合國內(nèi)外標(biāo)準(zhǔn)和電信運(yùn)營企業(yè)特點(diǎn)，可從管理和技術(shù)兩個(gè)維度，構(gòu)建自上至下的四層安全管理規(guī)范體系模型。第一層是總綱，涉及網(wǎng)絡(luò)與信息安全工作的范圍、原則、目標(biāo)和策略，具有總體指導(dǎo)意義；第二層是對(duì)總綱的分解，側(cè)重于管理制度和技術(shù)規(guī)范，對(duì)安全工作具有實(shí)際的指導(dǎo)作用；第三層是根據(jù)不同類型的網(wǎng)絡(luò)和應(yīng)用環(huán)境，統(tǒng)一制定的具體細(xì)則、流程和規(guī)范；第四層是操作層面，結(jié)合企業(yè)各部門的實(shí)際及具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，分別制定詳細(xì)的操作步驟與配置方法。

2.順暢的實(shí)施體系

由于企業(yè)的網(wǎng)絡(luò)與信息安全工作包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)等眾多專業(yè)，涉及電信運(yùn)營企業(yè)后端網(wǎng)絡(luò)的建設(shè)、維護(hù)與管理支撐，以及前端的市場(chǎng)銷售等各環(huán)節(jié)，往往某類信息的安全防護(hù)、安全事件的處置等均需要多專業(yè)配合、多部門協(xié)同，因此，網(wǎng)絡(luò)與信息安全需要一套包含工作機(jī)制和工作流程在內(nèi)的順暢的實(shí)施體系，明確牽頭、歸口、操作部門的分工界面及職責(zé)劃分，將網(wǎng)絡(luò)與信息安全管理嵌入到企業(yè)生產(chǎn)流程的各個(gè)環(huán)節(jié)，確保企業(yè)網(wǎng)絡(luò)與信息安全工作縱向和橫向協(xié)同推進(jìn)，順暢實(shí)施。

3.有效的監(jiān)督體系

電信運(yùn)營企業(yè)當(dāng)前的網(wǎng)絡(luò)與信息安全工作存在安全意識(shí)薄弱、工作執(zhí)行打折扣、整改落實(shí)不到位等現(xiàn)象，為確保網(wǎng)絡(luò)與信息安全工作的推進(jìn)落實(shí)不走樣、不打折，需要一套有效的監(jiān)督體系，監(jiān)督措施主要包括檢查督促、考核獎(jiǎng)懲、管理和技術(shù)審計(jì)、風(fēng)險(xiǎn)評(píng)估等手段。

4.有力的保障體系

管理和技術(shù)的有效實(shí)施，最終都依賴于各種相關(guān)的資源保障，需要有力的保障體系支撐。保障措施主要包括組織機(jī)構(gòu)、人員配備、教育培訓(xùn)、安全意識(shí)宣貫、管理信息化支撐手段、資產(chǎn)管理、信息報(bào)備、特殊通信、重要時(shí)期網(wǎng)絡(luò)與信息安全保障等內(nèi)容。

通過以上分析，我們基本構(gòu)建了適合電信運(yùn)營企業(yè)網(wǎng)絡(luò)與信息安全的工作體系（見圖），明確了企業(yè)所肩負(fù)的國家政策、社會(huì)責(zé)任、企業(yè)發(fā)展等三大使命，保障網(wǎng)絡(luò)與信息兩類安全，提升網(wǎng)絡(luò)與信息安全的防護(hù)、感知、處置、溯源四大能力，健全規(guī)范、實(shí)施、監(jiān)督、保障等四大體系。

編輯｜黃海峰 huanghaifeng@bjxintong.com.cn