浅谈通信运营商的关键信息基础设施保障对策
2017-03-11◆唐蓉
◆唐 蓉
(中国电信股份有限公司重庆分公司 重庆 401121)
浅谈通信运营商的关键信息基础设施保障对策
◆唐 蓉
(中国电信股份有限公司重庆分公司 重庆 401121)
《网络安全法》的颁布进一步明确了关键信息基础设施已成为国家安全战略重点,通信行业作为国家关键信息基础设施之一,其网络与信息安全的内涵和外延已发生了很大变化,面临着前所未有的挑战和威胁,故通信运营商亟需构建关键信息基础设施保障体系,加强主题责任义务,完善安全风险评估机制,落实技术手段,完善应急处置能力以及安全意识教育和人才培养。
网络安全法关键信息基础设施;网络信息安全;保障对策
0 引言
2016年11月,第十二届全国人大常委会第二十四次会议表决通过并将于2017年6月1日起实施的《网络安全法》中明确,国家关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其它一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。在网络安全等级保护制度的基础上实行重点保护,所以公共通信和信息服务是具有关键信息基础设施的行业和领域之一,国家对其实行重点保护,通信运营商作为其建设者、管理者、运营者,具有依法保护的职责和义务。
1 通信运营商保护关键信息基础设施的必要性
1.1 网络安全形势越来越严峻
2013年发生的“棱镜门”事件告知世界,我们正在面对一个复杂而又严峻的网络安全环境,每天都在上演网络DDoS攻击大战,网络空间已成为传统空间之外的第五战场,网络空间的对抗已上升到国家对抗的层面。国际上,数十个国家已颁布网络空间国家安全战略。我国也不例外,在2013年11月成立“中国共产党中央国家安全委员会”,明确信息安全是国家安全体系的重要组成部分,又在2014年2月成立中央网络安全和信息化领导小组,统筹协调各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略。通信运营商作为国资委管辖的国资控股企业,是国有大型基础电信设施的建设者、提供者、运营者,所建设和运营的公共通信和信息服务网络设施是经济社会运行的神经中枢,是网络安全的重中之中,容易遭到重点攻击,所以通信运营商必须要做好关键信息基础设施的网络与信息安全保护。
1.2 新技术新业务的发展形成“双刃剑”
近年来随着通信运营商互联网化、战略转型的深入推进,新兴业务快速发展,网络演进的趋势越来越快,从3G到4G的商用,从拨号上网到百兆光纤入户也不过才短短几年的时间。快速发展的网络和技术给大家带来工作、学习、生活便利的同时,网络诈骗、用户信息泄露、网络攻击、数据被截取篡改等问题也接踵而至,给通信网络的安全带来了新的挑战。
随着云计算、大数据等技术的成熟和商用,通信网络也逐渐向集约化、云化、融合的趋势演进,信息化对通信网络的影响越来越深。但信息化在促进通信网络发展的同时,打破了传统网络安全保护措施的壁垒,带来新的网络安全问题和风险。而目前热门的互联网+、物联网等领域的发展,必然将带动大量的智能设备、数据信息等连入通信网中,形成一个全新的公共通信网。但这些接入设备自身存在的安全防护缺陷,也会给承载的通信网带来较大的安全隐患。
综上情况说明新技术、新业务和新环境的发展形成了一把“双刃剑”,使得通信网络作为基础连接的网络,将面临网络与信息安全方面的严峻挑战和威胁。通信运营商必须要直面这些问题,在企业经营过程中担负起社会责任,营造一个健康有序的网络空间。
1.3 保障和促进企业自身的发展
2008年,信息产业部组织各通信运营商,按照《关于信息安全等级保护工作的实施意见》等级保护的规定开展全网范围的通信网络单元的定级和备案等工作。2010年工业和信息化部发布了《通信网络安全防护管理办法》即简称的11号令,规定了网络安全保障设施“三同步”的建设要求以及开展二级及以上网络单元符合性测评和风险评估的工作。从2011年开始,工业和信息化部每年组织一次对通信运营商定级网络单元的网络安全防护检查,从2013年开始,工业和信息化部又把网络安全工作纳入通信运营商负责人的年度绩效考核中。直到2016年《网络安全法》颁布后,网信部门随即开展关键信息基础设施的安全检查。网络安全工作逐渐被通信运营商重视,并根据等级保护、11号令的要求开展针对公共通信网的安全防护工作,初步建立起公共通信网络的安全防护体系,加强了对公用通信网络关键信息基础设施防护的能力。但要具备防护国家关键信息基础设施的网络安全能力,还有很长的路要走。
现阶段,通信运营商的网络安全防护工作,忽视了其在企业自身发展方面的战略地位。在管理措施方面,组织机构存在信息安全、网络安全、用户信息保护、重要数据保护、业务风险管理分属在不同的职能部门管理,造成条块分隔,难以形成合力,难以建立以风险管理为核心的安全管理流程,缺少专职的企业网络安全负责人全面统筹开展企业的安全工作。
导致网络安全工作顶层设计和总体规划不足,策略体系交错复杂,职责分散等问题。在技术防护手段方面,通信运营商已经建设了如IDS、IPS、流量清洗、僵木蠕监测等系统,对于某一个点的防护能够起到很好的防护作用,但是遇到如 APT的攻击,很难做到对关键信息基础设施的全面监测和总体安全态势感知,难以实现关联分析联合对抗。另外,对于大数据安全防护、云环境安全防护方面还缺乏有效的防护手段,对于用户信息和重要数据保护方面也还缺少防泄露的专业防护手段。而在安全培训和意识教育方面,还未建立一套成熟的网络安全培训体系,对于安全岗位的人员还未完全普及持证上岗。
所以上述的诸多问题导致企业不得不面对网络信息安全事件带来的影响,造成业务下线,系统关停,数据丢失,给国家和社会带来严重的影响,给企业造成无法弥补的损失,影响了企业的发展,亟需采取措施为企业的发展保驾护航。
2 构建通信运营商关键信息基础设施保障策略的建议
虽然,我国关键信息基础设施安全保障建设起步较晚,但好在《网络安全法》已颁布,有了法律的顶层设计,明确了各方的法律责任,确立了关键信息基础设施安全保护的战略地位,搭建了关键信息基础设施安全保护的制度框架。通信运营商作为其安全保障的重要角色之一,应该从以下几个方面实现对关键信息基础设施的重点保护:
2.1 明确保障的两类对象
通信运营商的关键信息基础设施剥离开来不外乎是构成的网络和承载的信息两类:网络安全是指网络的硬件、软件及其系统不因网络攻击、非法入侵等原因而遭到破坏,网络能够连续可靠正常运行,保证服务不中断。主要涉及主机安全、操作系统安全、数据库安全、中间件安全、配置安全、物理环境安全等;信息安全是指网络上承载的业务、数据、内容、用户信息的安全,在运营过程中不被非法篡改、泄露、盗取,具有完整性、保密性、可用性、可控性[1]。网络安全侧重于网络环境的安全,是信息安全的基础。信息安全侧重于信息产生、存储、传输、处理等过程的安全,是网络安全的价值体现,二者相互作用,相互影响。那么通信运营商关键信息基础设施的安全即是实现其网络安全和信息安全。
2.2 重构安全防护保障体系
结合国内外标准和通信运营企业的特点,从管理和技术两个维度构建自上而下的关键信息基础设施安全防护保障体系的策略,分为总册、管理分册和技术分册。总册涉及安全防护工作的原则、目标、范围和策略,具有总体指导作用;管理分册和技术分册侧重于管理制度和技术规范的制定,具有实际操作的指导作用。例如形成安全防护标准、安全防护实施细则等系列的制度文件。
重构安全保障组织机构,从通信运营商的前端市场营销所涉及的各个环节一直到后端的网络建设、维护和管理支撑各个领域梳理企业的安全治理机构和部门职责,设立独立且统一的网络信息安全管理部门,统筹协调负责企业日常的各项网络安全和信息安全的治理工作。同时成立网络信息安全管理委员会,领导网络信息安全管理部门,为其提供重大决策和工作指导。由此建立一套包含工作机制和工作流程在内的顺畅的实施体系,将网络与信息安全管理嵌入到企业生产流程的各个环节,实现企业安全的统一治理,确保安全工作纵向和横向的协调推进。
落实有效的监督措施,包括检查督促、考核奖惩、风险评估和审计等手段。应以风险管理和合规性为核心开展网络信息安全的管控。定期对关键信息基础设施进行风险评估、符合性评测和合规性检查,采用自评估、委托第三方专业机构评估和检查考核的三种方式进行。
2.3 提高纵深防御的技术能力
建设 SOC管理平台,纳入关键信息基础设施的信息资产管理,对其进行属性打标,实现关键信息基础设施的资产动态管控。利用 SOC管理平台的安全态势感知能力对关键信息基础设施进行安全监测,对现有事件进行告警和发现,对资产信息、配置信息、漏洞信息、内外部威胁等情况进行收集和分析,通过大数据分析的数学建模预测出未来的风险趋势和变化。从而尽可能的实现安全事件的提前预警,在预警过程中找到应对策略封堵漏洞,降低安全风险。同时加快推进4A系统的建设和完善,实现网络统一认证、统一授权、统一账号登录和统一审计的安全管控能力,防止外部的非法访问和内部的非法泄露。另外要建设DLP(数据防泄露)的技术管控手段,在涉及用户个人信息或者重要敏感数据的关键环节进行管控,防止数据的泄露。
2.4 提高快速的应急处理能力
针对关键信息基础设施设置应急响应策略,积极做好应急预案和应急演练工作,以便当出现各种突发的安全事件时,具备及时响应和有效处置的能力,以防止事态的进一步恶化,确保故障的恢复,将带来的损失和影响降到最低,保障关键信息基础设施的安全。
2.5 加强安全教育和培训
在诸多的历史教训中发现,对人员的管理是安全管理中最薄弱又是最容易被忽视的一个环节,所以要加强对人员的安全教育和培训,制定网络与信息安全的教育培训计划,定期开展企业内部的安全教育和培训工作。无论是企业的领导还是员工都要参加安全意识的教育培训,提高网络信息安全的防护意识。另外,加强企业网络信息安全管理人才的培养,开展岗位能力认证工作,优化人才使用和激励机制,打造一支全面掌握网络信息安全管理和技术防护能力的专业化队伍。
3 结束语
我国网络的迅速发展促成我们国家成为了“网络大国”,但它并不意味着我们是“网络强国”。要成为真正的网络强国,一定要以发展的眼光积极应对网络信息安全问题,从我国的基本国情出发,加大力度维护我们的《网络安全法》。公共通信和信息服务网络设施作为国家关键信息基础设施的重要组成部分,通信运营商应对关键信息基础设施进行重点保护,构建安全保障体系和加强技术防护能力,履行对关键信息基础设施进行网络信息安全防护的基本法律义务。
[1]王世伟.论信息安全、网络安全、网络空间安全.中国图书馆学报,2016.