王 強(qiáng)，孫建書

（中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司北京分公司，北京 100038）

0 引言

隨著物聯(lián)網(wǎng)、云計(jì)算以及大數(shù)據(jù)的普及，網(wǎng)絡(luò)攻擊的范圍不斷擴(kuò)大，攻擊目標(biāo)泛化，網(wǎng)絡(luò)攻擊和信息泄露事件不斷升級，網(wǎng)絡(luò)與信息安全已上升到國家戰(zhàn)略高度。運(yùn)營商作為信息與通信服務(wù)的提供商，其網(wǎng)絡(luò)與信息安全建設(shè)狀況至關(guān)重要。為了提供更多元化的服務(wù)，近年來運(yùn)營商上線新業(yè)務(wù)的種類越來越多，業(yè)務(wù)上線前的安全評估作為安全的保障和防線，越來越受到運(yùn)營商的重視。

1 運(yùn)營商業(yè)務(wù)安全評估重要性

由于網(wǎng)絡(luò)安全事件的不斷升級，全球各國對網(wǎng)絡(luò)與信息安全的重視不斷提升，甚至達(dá)到了國家戰(zhàn)略高度層面，各大強(qiáng)國及聯(lián)盟陸續(xù)發(fā)布了保護(hù)條例和相應(yīng)計(jì)劃。網(wǎng)絡(luò)安全目前已變?yōu)闉楦鲊谡?、?jīng)濟(jì)博弈舞臺(tái)上的關(guān)注重點(diǎn)。我國也于2017年6月正式實(shí)施了《中華人民共和國網(wǎng)絡(luò)安全法》，從法律層面明確了各類群體在安全法中各自的責(zé)任以及違規(guī)后的相應(yīng)處罰。

作為運(yùn)營商的業(yè)務(wù)主管部門，工信部近年來對網(wǎng)絡(luò)與信息安全的監(jiān)管與考核力度也不斷加強(qiáng)，陸續(xù)下發(fā)一系列關(guān)于網(wǎng)絡(luò)與信息和業(yè)務(wù)安全相關(guān)的管理辦法、考核要點(diǎn)與評分標(biāo)準(zhǔn)。業(yè)務(wù)安全評估作為部委考核的重要組成部分，越來越受到運(yùn)營商的重視。究其原因，運(yùn)營商目前上線業(yè)務(wù)越來越多，而上線的新業(yè)務(wù)作為公眾獲取信息服務(wù)的一個(gè)入口，是直接暴露的，如果沒有有效地進(jìn)行安全防護(hù)和安全檢測，就容易被不法分子抓住漏洞，進(jìn)行入侵，通過網(wǎng)絡(luò)攻擊造成信息泄露。因此，在業(yè)務(wù)上線前，充分的做好安全評估工作，能夠事前彌補(bǔ)漏洞和缺陷，有效降低業(yè)務(wù)系統(tǒng)被入侵的風(fēng)險(xiǎn)，提高業(yè)務(wù)系統(tǒng)的安全性。業(yè)務(wù)安全評估也被運(yùn)營商越來越重視，重要性凸顯。

2 運(yùn)營商業(yè)務(wù)安全評估流程

根據(jù)對相關(guān)法規(guī)的解讀與分解，業(yè)務(wù)安全評估服務(wù)的工作流程中幾個(gè)環(huán)節(jié)的作用如下：評估前期準(zhǔn)備是正是評估前需要準(zhǔn)備的相關(guān)資料和工作。評估組織實(shí)施是評估工作中的重點(diǎn)、評估總結(jié)、評估整改復(fù)核使整個(gè)評估工作形成閉環(huán)。一般在業(yè)務(wù)上線前或業(yè)務(wù)相關(guān)功能、用戶規(guī)模發(fā)生較大變化時(shí)均可以啟動(dòng)安全評估工作。

2.1 評估前期準(zhǔn)備

當(dāng)業(yè)務(wù)滿足部委相關(guān)要求需要進(jìn)行安全評估時(shí)，運(yùn)營商應(yīng)及時(shí)成立評估組，啟動(dòng)安全評估。

評估前期的準(zhǔn)備主要是收集評估相關(guān)的資料，主要包括組織管理文檔、總體說明文檔和技術(shù)說明文檔等，根據(jù)資料對業(yè)務(wù)系統(tǒng)涉及的資產(chǎn)進(jìn)行梳理，重點(diǎn)分析業(yè)務(wù)實(shí)現(xiàn)的功能和業(yè)務(wù)邏輯，同時(shí)梳理針對本業(yè)務(wù)的考核重點(diǎn)，為正式的評估實(shí)施做準(zhǔn)備。

2.2 評估組織實(shí)施

評估組織實(shí)施是評估工作中的重點(diǎn)，具體的評估實(shí)施，根據(jù)評估手段和具體操作的不同，可以分別從網(wǎng)絡(luò)安全評估和信息安全評估進(jìn)行具體實(shí)施。

網(wǎng)絡(luò)安全評估主要包括業(yè)務(wù)系統(tǒng)漏洞掃描、基線配置核查和滲透測試等工作。

漏洞掃描可以借助商業(yè)化漏掃產(chǎn)品，對主機(jī)、平臺(tái)中間件、數(shù)據(jù)庫等進(jìn)行自動(dòng)化掃描，然后對掃描結(jié)果進(jìn)行審核確認(rèn)?；€配置核查可根據(jù)基線配置要求進(jìn)行逐一核查，并根據(jù)核查結(jié)果進(jìn)行整改，提高業(yè)務(wù)系統(tǒng)安全配置基線。滲透測試是網(wǎng)絡(luò)安全評估中的重要組成部分，通過模擬黑客攻擊，對業(yè)務(wù)系統(tǒng)進(jìn)行安全測試和代碼審計(jì)等，保證在不影響業(yè)務(wù)運(yùn)行的前提下，及時(shí)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的隱患。

信息安全評估包括對業(yè)務(wù)安全風(fēng)險(xiǎn)識別及企業(yè)安全保障能力判定。

業(yè)務(wù)安全風(fēng)險(xiǎn)識別是對業(yè)務(wù)應(yīng)用相關(guān)的用戶、信息、業(yè)務(wù)合作、開放接口、業(yè)務(wù)平臺(tái)相關(guān)的設(shè)施位置分布、資源調(diào)度方式、用戶信息管理、業(yè)務(wù)邏輯安全、通訊信息管理等方面進(jìn)行全面的識別和分析，評估信息安全風(fēng)險(xiǎn)狀況。

企業(yè)安全保障能力判定，是對與業(yè)務(wù)應(yīng)用相關(guān)的用戶管理，信息內(nèi)容、搜索等一系列相關(guān)管理、應(yīng)用分發(fā)平臺(tái)功能管理、安全規(guī)劃張貼與主動(dòng)提示、溯源管理、信息聯(lián)動(dòng)管理、應(yīng)急處置、業(yè)務(wù)平臺(tái)部署、資源調(diào)度、用戶接入要求、用戶個(gè)人信息保護(hù)、重點(diǎn)電信業(yè)務(wù)管理、業(yè)務(wù)邏輯安全管理、號碼傳送規(guī)范管理等方面的保障進(jìn)行判定，全面評估信息安全風(fēng)險(xiǎn)狀況。

2.3 評估總結(jié)

評估實(shí)施完成以后，需要組織業(yè)務(wù)上線相關(guān)方召開評估工作總結(jié)會(huì)議，對評估結(jié)果進(jìn)行確認(rèn)，形成初評報(bào)告，同時(shí)根據(jù)評估結(jié)果相關(guān)責(zé)任部門進(jìn)行即時(shí)整改。

初評報(bào)告的內(nèi)容一般包括三部分：一是業(yè)務(wù)基本情況，如業(yè)務(wù)功能、業(yè)務(wù)實(shí)現(xiàn)方式、用戶規(guī)模及市場情況等；二是安全評估情況，主要包括評估過程、評估發(fā)現(xiàn)風(fēng)險(xiǎn)以及整改建議等；三是安全管理措施，包括日常管理措施、應(yīng)急管理辦法等。

2.4 評估整改復(fù)核

根據(jù)初評結(jié)果進(jìn)行相應(yīng)問題的整改，整改完成后，評估組需要進(jìn)行再次復(fù)核。

復(fù)核工作可以通過會(huì)議質(zhì)詢、系統(tǒng)演示、現(xiàn)場測試等方式，針對整改報(bào)告逐條復(fù)核落實(shí)整改情況，重點(diǎn)復(fù)核技術(shù)改造完成情況、系統(tǒng)是否進(jìn)行升級、敏感數(shù)據(jù)是否清理，以及對應(yīng)業(yè)務(wù)機(jī)制是否完善等。

最后評估組仍需再次評估業(yè)務(wù)是否有新的安全風(fēng)險(xiǎn)點(diǎn)出現(xiàn)，在復(fù)核通過評估組評估后完成終評報(bào)告，并給出最終評估結(jié)論。

2.5 評估結(jié)果報(bào)備

最后，終評報(bào)告需要根據(jù)當(dāng)?shù)赝ü芫只蚱渌娦殴芾頇C(jī)構(gòu)的要求，進(jìn)行評估結(jié)果報(bào)備。

3 運(yùn)營商業(yè)務(wù)安全評估存在的問題

隨著運(yùn)營商業(yè)務(wù)安全評估工作的體系化和流程化，上線新業(yè)務(wù)的網(wǎng)絡(luò)與信息安全得到了很大的保障，作為業(yè)務(wù)上線前的最后屏障，業(yè)務(wù)安全評估工作起到了重要作用。但同時(shí)網(wǎng)絡(luò)環(huán)境變化復(fù)雜，各種漏洞層出不窮，當(dāng)前的安全評估工作也面臨一定的挑戰(zhàn)。

首先，業(yè)務(wù)上線后主要依靠安全檢測與安全防御設(shè)備進(jìn)行防護(hù)工作，但此類設(shè)備的漏洞庫和病毒庫等一般定時(shí)更新，對于0day等新漏洞無法進(jìn)行實(shí)時(shí)防護(hù)，這給業(yè)務(wù)安全帶來了威脅。運(yùn)營商目前過于依賴安全設(shè)備進(jìn)行防護(hù)，新漏洞的檢測和排查必須通過安全人員的手動(dòng)檢測，在此方面運(yùn)營商需要加強(qiáng)防護(hù)工作。

其次，對于使用的平臺(tái)中間件、數(shù)據(jù)庫等在安全評估時(shí)能夠保證無重大漏洞，但由于舊版本在使用過程中被爆缺陷等，廠家會(huì)發(fā)布新版本，運(yùn)營商業(yè)務(wù)主管方對版本更新動(dòng)作較為滯后，一般都是通過安全部門定期審核后再進(jìn)行整改，這增加了安全風(fēng)險(xiǎn)的暴露時(shí)間。對于此類版本更新操作，要加強(qiáng)與廠商的溝通，減少風(fēng)險(xiǎn)暴露時(shí)間。

最后，業(yè)務(wù)安全評估只是業(yè)務(wù)上線前的規(guī)定動(dòng)作，在業(yè)務(wù)上線后的整個(gè)生命周期內(nèi)，運(yùn)營商均需投入精力保證業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)與信息安全。比如，業(yè)務(wù)高速發(fā)展期的定期核查和更新，業(yè)務(wù)下線后也要及時(shí)對相關(guān)設(shè)備進(jìn)行下電等，在業(yè)務(wù)發(fā)展的整個(gè)生命周期內(nèi)保障網(wǎng)絡(luò)與信息安全。

4 結(jié)束語

隨著網(wǎng)絡(luò)攻擊與信息泄露的不斷升級，國家和部委對于網(wǎng)絡(luò)安全的監(jiān)管越來越嚴(yán)格，對于業(yè)務(wù)安全的考核越來越重要。運(yùn)營商近年來在業(yè)務(wù)安全評估中逐步建立了體系化、流程化的工作這在網(wǎng)絡(luò)安全建設(shè)與信息保護(hù)方面起到了重要作用。對于業(yè)務(wù)安全評估中目前仍存在的問題，運(yùn)營商需要繼續(xù)加強(qiáng)防護(hù)工作，作為信息與通信服務(wù)的提供商，履行好自己的社會(huì)責(zé)任，共同營造良好的網(wǎng)絡(luò)環(huán)境。