摘要：在數(shù)字化時代，各種數(shù)字化系統(tǒng)越來越繁雜，外網(wǎng)與內(nèi)網(wǎng)連接界限也越來越模糊。在此背景下，內(nèi)網(wǎng)系統(tǒng)的運(yùn)行安全主要是通過統(tǒng)一的硬件或軟件安全平臺來實(shí)現(xiàn)，包括防火墻、IDS和IPS入侵檢測系統(tǒng)、UTM威脅管理系統(tǒng)、上網(wǎng)行為管理系統(tǒng)，等。本文從內(nèi)網(wǎng)管理者如何做到安全合規(guī)的問題切入，探討了運(yùn)營商如何采取有效的安全合規(guī)管控手段來支撐內(nèi)網(wǎng)系統(tǒng)的正常運(yùn)作，從而實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)字化系統(tǒng)安全、快捷、合規(guī)的運(yùn)營，并提出了通過搭建內(nèi)網(wǎng)安全合規(guī)運(yùn)營平臺，建立創(chuàng)新的立體防護(hù)體系的建議，以期實(shí)現(xiàn)規(guī)范、可管、可控、可視、高效的內(nèi)網(wǎng)安全合規(guī)運(yùn)營目標(biāo)，賦能企業(yè)量質(zhì)構(gòu)效的高質(zhì)量發(fā)展。

關(guān)鍵詞：規(guī)范化管理；預(yù)警提醒管理；管理可視；智能分析可視；評價考核

一、引言

當(dāng)前，國內(nèi)運(yùn)營商都在推進(jìn)數(shù)字化轉(zhuǎn)型。隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn)，系統(tǒng)數(shù)量和業(yè)務(wù)規(guī)模持續(xù)增長，主要涉及B、D、M域，均與日常生產(chǎn)和管理相關(guān)，對系統(tǒng)安全和穩(wěn)定性運(yùn)行要求極高。但是，目前大部分系統(tǒng)缺少有效的安全合規(guī)管控手段，對系統(tǒng)的管理多以系統(tǒng)主管和安全主管的個人經(jīng)驗(yàn)為基礎(chǔ)，存在管控效率低、運(yùn)行不透明、流程不可視、任務(wù)協(xié)同差、文檔不健全、操作無臺賬等諸多安全風(fēng)險隱患。

安全管控過程中的各類痛點(diǎn)問題不斷涌現(xiàn)，主要集中在以下八個方面：①安全檢查耗時耗力。通信通訊公司的年度安全檢查，涉及人員多，時間跨度長，資料龐雜，耗時耗力，成本高。②安全整改流程不規(guī)范。一方面，系統(tǒng)安全漏洞整改涉及的系統(tǒng)多、廠家多，另一方面，漏洞檢測結(jié)果和復(fù)測結(jié)果未上傳，導(dǎo)致整改過程無法跟蹤，增加了整改任務(wù)檢查工作量。③重保工作難協(xié)同。重保工作頻率高、參與人員多、檢查點(diǎn)多；缺乏對重保全流程管理機(jī)制，且沒有重保工作臺賬記錄相關(guān)工作過程。④關(guān)鍵操作無提醒。在系統(tǒng)管理過程中，每年都會有一些固定的關(guān)鍵操作，例如證書到期續(xù)費(fèi)、定期擴(kuò)容等，目前全靠主管自己手動記錄，過程不透明，。一旦關(guān)鍵操作過期未執(zhí)行，會導(dǎo)致系統(tǒng)運(yùn)行異常。⑤重要任務(wù)無臺賬。數(shù)據(jù)安全合規(guī)檢查缺少臺賬，在研發(fā)團(tuán)隊(duì)、研發(fā)管理制度、代碼審查、外包人員管理、代碼管理和數(shù)據(jù)防泄漏等方面沒有規(guī)范的流程，更沒有明確的臺賬記錄。⑥系統(tǒng)巡檢分散不透明。系統(tǒng)巡檢都在支撐廠家手里，檢查內(nèi)容和結(jié)果不透明，導(dǎo)致相關(guān)管理人員無法準(zhǔn)確把握系統(tǒng)巡檢相關(guān)工作，不能及時了解系統(tǒng)運(yùn)行情況。⑦工號權(quán)限違規(guī)無記錄。工號權(quán)限每年審計(jì)，每年都有違規(guī)，而目前無系統(tǒng)支撐常規(guī)化工作，沒有進(jìn)行檢查記錄和整改記錄的能力，無法追溯問題根源。⑧缺乏日常工作推行開展機(jī)制。省內(nèi)自建系統(tǒng)的應(yīng)急預(yù)案、故障管理、隱患排查等工作，缺少日常工作推行開展機(jī)制，缺少工作臺賬、缺少流程支撐、工作各環(huán)節(jié)不透明。內(nèi)網(wǎng)安全合規(guī)運(yùn)營平臺方案的出臺，旨在解決上述數(shù)字化系統(tǒng)安全合規(guī)管控過程中遇到的上述痛點(diǎn)問題，提升內(nèi)網(wǎng)信息安全生產(chǎn)保障能力，推動相關(guān)規(guī)章制度的落地執(zhí)行，促進(jìn)日常生產(chǎn)運(yùn)營、維護(hù)及信息系統(tǒng)安全管理及維護(hù)等工作的合規(guī)性，理清規(guī)范責(zé)任，規(guī)避管理風(fēng)險。

二、內(nèi)網(wǎng)安全合規(guī)運(yùn)營平臺

通過制定合規(guī)運(yùn)營規(guī)程、強(qiáng)化數(shù)字化支撐手段、嚴(yán)格監(jiān)管運(yùn)營過程三個步驟，從而建立內(nèi)網(wǎng)安全合規(guī)運(yùn)營體系，加強(qiáng)對數(shù)字化系統(tǒng)的合規(guī)運(yùn)營管控能力，做到系統(tǒng)清、文檔全、合規(guī)運(yùn)營任務(wù)流程可視、任務(wù)執(zhí)行過程可回溯、運(yùn)營風(fēng)險提前預(yù)防、運(yùn)營任務(wù)高效協(xié)同。

（一）內(nèi)網(wǎng)安全合規(guī)運(yùn)營體系

為了切實(shí)做好內(nèi)網(wǎng)運(yùn)行安全合規(guī)工作，進(jìn)一步提升數(shù)字化系統(tǒng)運(yùn)營維護(hù)管理水平，推動相關(guān)規(guī)章制度的落地執(zhí)行，促進(jìn)日常生產(chǎn)運(yùn)營、維護(hù)及信息系統(tǒng)安全管理及維護(hù)等工作的規(guī)范性，理清規(guī)范責(zé)任，規(guī)避管理風(fēng)險，更好地推進(jìn)生產(chǎn)運(yùn)營工作，全面梳理數(shù)字化各項(xiàng)規(guī)章制度，從應(yīng)急預(yù)案和故障、IT安全管理、重保管理、風(fēng)險和合規(guī)監(jiān)控、賬號權(quán)限管理、維護(hù)操作管理、系統(tǒng)變更管理、計(jì)費(fèi)賬務(wù)管理、數(shù)據(jù)安全、合作方管理、系統(tǒng)巡檢、隱患排查整治、規(guī)程培訓(xùn)等13個方面進(jìn)行數(shù)字化系統(tǒng)安全合規(guī)運(yùn)營管控，并以月為單位執(zhí)行，從而推動精細(xì)化管理，具體如表1所示。

（二）平臺概述

以目前內(nèi)網(wǎng)安全合規(guī)運(yùn)營過程中出現(xiàn)的各類痛點(diǎn)問題為突破口，基于云平臺，進(jìn)行內(nèi)網(wǎng)合規(guī)運(yùn)營能力建設(shè)，支撐各應(yīng)用系統(tǒng)的信息管理、安全管理、規(guī)程培訓(xùn)、合規(guī)檢查、應(yīng)急預(yù)案、故障管理、隱患排查等安全合規(guī)任務(wù)管理，實(shí)現(xiàn)系統(tǒng)可管、任務(wù)可控、流程可視、人員可評，如圖1所示。

（三）內(nèi)網(wǎng)安全合規(guī)運(yùn)營規(guī)范化管理

通過工作流技術(shù)BPM，進(jìn)行應(yīng)急演練流程管理、IT安全流程管理、重保流程管理、合規(guī)檢查任務(wù)管理、常態(tài)化檢查任務(wù)管理、規(guī)程培訓(xùn)管理等，實(shí)現(xiàn)任從務(wù)自動或手動生成、派發(fā)、處理，到審核、關(guān)閉的全生命周期管理。其中，合規(guī)檢查任務(wù)管理包含對賬號權(quán)限、維護(hù)操作、計(jì)費(fèi)賬務(wù)、數(shù)據(jù)安全、合作方管理和系統(tǒng)變更進(jìn)行合規(guī)檢查；常態(tài)化檢查任務(wù)管理包含系統(tǒng)日常巡檢、隱患排查整治等日常工作。全流程任務(wù)完成后進(jìn)行評分評價。包含功能：1.流程設(shè)計(jì)；2.表單管理；3.表單業(yè)務(wù)組件配置；4.系統(tǒng)場景配置；5.活動列表；6.任務(wù)起草；7.我的申請；8.我的待辦；9.我的已辦。

（四）預(yù)警提醒管理

根據(jù)預(yù)警規(guī)則配置，對逾期任務(wù)、緊急任務(wù)等進(jìn)行預(yù)警和提醒，從而節(jié)省人力管理任務(wù)進(jìn)度的時間，保障任務(wù)的順利及時完成。針對應(yīng)用模塊下線、故障配件更換、應(yīng)用證書延期等關(guān)鍵操作設(shè)置提醒，確保關(guān)鍵操作無遺漏。包含功能：1.任務(wù)預(yù)警規(guī)則配置；2.對逾期任務(wù)、緊急任務(wù)等進(jìn)行預(yù)警和提醒；3.關(guān)鍵操作提醒設(shè)置；4.關(guān)鍵操作提醒發(fā)送及展現(xiàn)；5.關(guān)鍵操作登記內(nèi)容的查詢及管理。

（五）系統(tǒng)全生命周期管理

對應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一納管，及時管理各系統(tǒng)的版本變更和運(yùn)行情況。將各系統(tǒng)對應(yīng)的負(fù)責(zé)人與支撐廠家進(jìn)行匹配，確保各系統(tǒng)安全任務(wù)責(zé)任到人。將各系統(tǒng)的重要文檔進(jìn)行統(tǒng)一收集、維護(hù)并及時更新，確保知識共享，為各應(yīng)用系統(tǒng)的安全管理提供系統(tǒng)化保障。

包含功能：1.各系統(tǒng)信息統(tǒng)一管理；2.各系統(tǒng)主管、地市、廠家人員的維護(hù)管理；3.文檔組維護(hù)、系統(tǒng)文檔共享、通用文檔共享；4.各種業(yè)務(wù)參數(shù)等基礎(chǔ)數(shù)據(jù)的管理和維護(hù)。

（六）安全管理可視

設(shè)置系統(tǒng)工作臺，一屏總覽各應(yīng)用模塊的詳細(xì)信息，包含系統(tǒng)基本信息、系統(tǒng)評分信息、巡檢情況、安全運(yùn)行狀態(tài)、共享文檔信息，以及安全任務(wù)執(zhí)行臺賬等。各類安全管理任務(wù)均可在系統(tǒng)工作臺全流程可視，從而實(shí)現(xiàn)派發(fā)任務(wù)的可看、可管、可跟蹤。

包含功能：1.系統(tǒng)工作臺展示內(nèi)容及數(shù)據(jù)指標(biāo)計(jì)算；2.多維度統(tǒng)計(jì)視圖；3.預(yù)警可視化視圖；4.工作臺提醒功能；5.系統(tǒng)任務(wù)軌跡查詢；6.歷史信息查詢。

（七）智能分析可視

根據(jù)安全規(guī)則自定義形成分析報告，可視化呈現(xiàn)各系統(tǒng)信息概覽、安全隱患、任務(wù)完成、系統(tǒng)訪問、文檔收集、巡檢、排班情況等，并支持以安全管理者視角或系統(tǒng)責(zé)任人視角定期推送分析報告。

包含功能：1.任務(wù)全流程可視；2.任務(wù)全流程節(jié)點(diǎn)下鉆、展示；3.整體分析報告；4.專項(xiàng)分析報告；5.安全檢查報告；6.自定義模板設(shè)置；7.報告導(dǎo)出和推送功能。

（八）評價考核

根據(jù)維護(hù)的系統(tǒng)評價規(guī)則、責(zé)任人評價規(guī)則、支撐廠家評價規(guī)則，對系統(tǒng)、責(zé)任人、支撐廠家給出綜合評分，可以提供按周、按月、按年的評價，按年的評價根據(jù)月評價綜合計(jì)算。

包含功能：1.系統(tǒng)評價規(guī)則維護(hù)；2.責(zé)任人評價規(guī)則維護(hù)；3.支撐廠家評價規(guī)則維護(hù)；4.根據(jù)評價規(guī)則，對系統(tǒng)、責(zé)任人、支撐廠家給出綜合評分。

（九）人員角色管理

根據(jù)員工角色和職責(zé)為工號設(shè)置菜單權(quán)限、按鈕權(quán)限、數(shù)據(jù)權(quán)限等，精確管控工號的操作權(quán)限。包含功能：1.用戶管理；2.角色管理；3.菜單管理。

三、實(shí)施效果

（一）主動預(yù)防，合規(guī)管控。

對日常巡檢、系統(tǒng)變更、故障、隱患、應(yīng)急預(yù)案、安全漏洞、重保等，進(jìn)行規(guī)范化、常態(tài)化、全生命周期的管理，保障系統(tǒng)安全、穩(wěn)定、高效運(yùn)行。根據(jù)各模塊檢查結(jié)果及時預(yù)防風(fēng)險，及時規(guī)范責(zé)任人操作，減少每年因客戶投訴爭端而造成的補(bǔ)償費(fèi)用支出。

（二）及時定位，高效協(xié)同

建立內(nèi)網(wǎng)安全運(yùn)行規(guī)范管理的立體防護(hù)體系，優(yōu)化風(fēng)險處理模式，實(shí)現(xiàn)風(fēng)險的準(zhǔn)確定位，提供更加靈活、有效的手段，提升安全管控效率，從而組建清晰、高效的內(nèi)網(wǎng)應(yīng)用系統(tǒng)防護(hù)網(wǎng)。

（三）賦能市場，規(guī)避風(fēng)險

降低業(yè)務(wù)操作風(fēng)險。通過賬號權(quán)限管理，減少賬號越權(quán)辦理業(yè)務(wù)。對于用戶強(qiáng)感知業(yè)務(wù)，如攜號轉(zhuǎn)網(wǎng)、停復(fù)話業(yè)務(wù)進(jìn)行全流程管控，贏得市場認(rèn)可，提升公司品牌形象、減少負(fù)面輿情。

（四）規(guī)范服務(wù)，賦能一線

為一線和市場人員提供隨時查詢、調(diào)取業(yè)務(wù)合規(guī)文件內(nèi)容的平臺，規(guī)范業(yè)務(wù)辦理流程管理。定期進(jìn)行安全規(guī)范的宣貫及培訓(xùn)，確保一線人員對系統(tǒng)安全、數(shù)據(jù)安全的正確認(rèn)知，加強(qiáng)一線人員的安全防范意識。

四、結(jié)束語

數(shù)字化轉(zhuǎn)型是利用數(shù)字化技術(shù)改造現(xiàn)有的傳統(tǒng)和非數(shù)字化業(yè)務(wù)流程和服務(wù)，以滿足不斷變化的市場和客戶期望，從而徹底改變企業(yè)的運(yùn)營管理模式的過程。建立內(nèi)網(wǎng)立體防護(hù)體系是數(shù)字化轉(zhuǎn)型中的一個服務(wù)單元，完善此單元的功能和管理，可以提升所有業(yè)務(wù)流程的安全性和合規(guī)性，從而支持業(yè)務(wù)發(fā)展和線上線下訂單量的拓展，為企業(yè)發(fā)展保駕護(hù)航。

作者單位：王小錦 中國聯(lián)通山西省分公司

參考文獻(xiàn)

[1]張潤滋，劉文懋. AISecOps智能安全運(yùn)營技術(shù)體系框架[J].數(shù)據(jù)與計(jì)算發(fā)展前沿，2021，3（03）： 32-47.

[2]侯鑫美.企業(yè)網(wǎng)絡(luò)信息平臺運(yùn)行安全監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱工業(yè)大學(xué)，2017.

[3]鄭暉男.校園內(nèi)網(wǎng)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通訊世界，2015，（02）：58-59.