安全投入不足1%：运营商如何打好网络安全牌？

作者 | 陈亮

近年来，借助信息手段开展诈骗、信息窃取、身份盗用等现象层出不穷，更有专家指出电信运营商在安全投入方面不足1%，在一定程度上反映了信息安全问题的严峻形势。究竟电信运营商在信息安全这个战场上应如何保护用户？单纯依靠电信运营商是否足以抵御当前和未来的信息安全风险？笔者认为还应从长计议，打一场网络安全的“全民战争”。

信息安全问题不容忽视

电信运营商在信息安全中的重要性，是由电信运营商自身的独特地位决定的。一是电信运营商作为国家信息化的基础承载网络提供者，几乎所有的信息流转都必须从电信运营商网络通过，信息流体量巨大、价值巨大；二是电信运营商作为基础通信服务的提供者，信道可以直接通达客户末端，庞大的用户数量和日益频繁的通信行为也给信息安全造成明显压力；三是电信运营商的品牌认知度、信任度高，这就意味着一份沉甸甸的经济和社会责任。由此可见，电信运营商在信息安全方面的作用不容小视。

也正是由于上述因素，导致电信运营商在信息安全方面遭受了严峻的考验。以“伪基站”为例，通过虚拟特服号进行诈骗的案例屡见不鲜。其实，这些诈骗手段并不新鲜，通常都是通过虚构“升级网银”、“积分兑换”、“用户信息更新”、“抽奖中奖”等借口骗取客户的账户或资金信息，以达到骗取利益或倒卖客户隐私的目的。而这种现象的屡禁不绝，说明信息安全的道路依旧任重道远。

运营商并非“全知全能”

近年来电信运营商自身也意识到了安全问题的严重性和迫切性，开始通过多种手段提升信息安全防范的水平。例如，通过加大信息安全防范措施的宣传力度和对诈骗行为的曝光，减少客户被“钓鱼”的几率；通过网络安全模块的部署和升级，加大对危害信息安全行为或漏洞的扫描和防御，对可能存在风险的网站和内容进行干预，及时封禁关停；通过加强信息举报的受理力度和频度，以“人工加自动”的方式及时响应客户投诉，快速做出应对措施。

但这些措施依然无法从根本上杜绝信息安全的风险，这并非由于电信运营商不作为，而是电信运营商非“全知全能”。

首先，经过电信运营商网络的信息流巨大，电信运营商既要保证信息传递的及时有效，又要进行全面深入无遗漏的信息安全过滤，特别是对异常行为和正常行为的有效甄别（例如近期比较多的伪装成“毕业聚会照片”的木马），确实难度巨大；其次，电信运营商既要对信息流进行分析甄别，又要保护客户和第三方的隐私，这需要在司法层面做进一步的探讨和落实，例如目前大部分即时通信软件在通信过程中都采用自身的加密手段，如果不经授权，只是纯粹提供管道的电信运营商又要如何进行监管呢；再者，信息安全是一场“魔高一尺、道高一丈”的“军备竞赛”，处于被攻击一方的消费者和电信运营商却难有主动反击的手段，没有执法权的电信运营商很难从根本上减少信息安全攻击和欺诈。

打一场“全民战争”

我们必须客观地看到，目前的信息安全形势确实严峻，但我们也并非束手无策。最关键的是全社会应当加强对信息安全和利用信息安全漏洞进行欺诈行为的宣传警告，帮助消费者知晓和警醒，而消费者们心里也应多绷一根信息安全的“弦”，在面对诱惑或恫吓时戒贪戒惧，不经多方确认不轻易泄露个人信息、不轻易下载或打开可疑内容，这样可以在相当程度上避免不良后果。

再者，电信运营商应当建立信息安全的内外部支撑机制。目前电信运营商的信息安全工作主要集中在专业部门，而在其他大多数部门，尤其是业务部门对信息安全的了解和掌握情况并不专业；内部的信息安全支撑缺少顺畅的通道和途径、缺少相应的流程和界面支撑；对于外部客户的咨询和投诉也只是停留在“一事一议、头痛医头”的处理阶段，缺少一整套全员重视、行之有效的办法。基于此，电信运营商应当尽快建立起相应的机制，主动应对。

同时，司法介入的力度依旧不足。由于移动互联网“无边界”和“跨地域”的特性，不法分子大多采用“广种薄收、愿者上钩”的方式实施信息安全攻击，同时采用“欺诈、转售、套利”等多种异地分开的方式，使得打击难度增大。而随着信息安全攻击和欺诈手段的不断升级，电信运营商单纯依靠技术手段进行防范势必导致治标不治本、力度不够。所以，电信运营商要加强信息安全的措施，司法机关更应如此，即通过联合执法、联网打击的方式增加不法分子的犯罪成本和被惩治的几率，才有可能减少此类问题的发生。

最后，我们还应对信息安全问题保持清醒和客观的认知，警惕某些单位通过夸大信息安全危机来从中牟利。例如之前某手机杀毒软件公司“左手制毒、右手杀毒”的行径，与信息安全危害事件又有何异呢？

日前，有专家指出电信运营商在安全领域投入不足是导致网络信息安全隐患的主要原因。不过安全是系统工程，它需要的不仅是电信运营商，还需要用户、政府相关部门等各方的共同努力。