◆林任远

（中国电信股份有限公司江门分公司 广东 529000）

企业信息化是运用先进的管理思想和方法，以先进的计算机、网络技术为手段，整合企业现有的生产、经营、设计、制造和管理，及时为企业的决策提供准确而有效的数据信息，以对需求做出迅速地反应[1]。信息化后的企业具有明显的竞争优势，信息共享、交换、传递效率显著提升，对促进生产力有重大意义；同时也带来新的风险，由于通信运营商的信息包含商业机密和敏感数据，甚至是国家机密，所以难免会吸引世界各地的各种人为攻击，例如信息泄漏、信息窃取、数据篡改、计算机病毒等[2]。在信息化水平不断提高的背景下，通信运营商的网络规模、系统复杂性、用户数量、数字资源等呈指数级递增，同时，各种系统漏洞、网络攻击层出不穷，导致了一系列信息和网络安全事件，对企业甚至国家造成直接的经济损失。在企业信息化如此普及的当下，本文探讨如何通过限制互联网暴露面，最大限度地减少企业信息化系统暴露于互联网，降低信息和网络安全隐患，为企业信息化保驾护航。

1 通信运营商企业信息化安全的现状与面临的困境

（1）通信运营商信息化安全等级要求远高于一般企业。通信运营商的用户数量数以亿计，每个用户的姓名、身份证号码、联系方式、银行账户名称等私人敏感信息都保存于企业的数据库，如发生数据泄露事件将对社会造成严重的负面的影响；通信运营商提供基础网络通信服务，如黑客使用技术手段取得通信网络的控制权，轻则造成网络中断，重则危害国家安全，所以运营商必须具备抵御全世界黑客入侵的能力。

（2）超大型的企业规模导致管理难度指数级增加。企业信息化安全管理遵循木桶原理，任何一名员工出现问题都可能危及整个企业的信息化安全。通信运营商的超大规模同时体现在员工数量和管理层级，在企业人数、层级如此庞大和复杂的情况下，在管理上把安全意识、行为考核有效地传递和落实到每一名员工，并按要求执行，存在极大的困难。

（3）网络的多样性和复杂性下隐藏着大量安全隐患。通信运营商作为超大型IT企业，拥有数量庞大的计算机服务器、网络设备、终端等IT基础设施，为保障企业不受制于某个设备提供商以及维护网络的健壮性，这些设施采用了数十个设备提供商数以万计的产品，这些设备构成了通信运营商多样且复杂的网络。由于每个提供商的产品都不可避免地存在一定数量的漏洞，所以网络的整体漏洞数可能相当巨大，这是不可忽视的安全隐患。

2 限制互联网暴露面对提升通信运营商信息化安全防护能力的意义

通信运营商的命脉在于用户，用户与企业的交互通道为互联网，这注定通信运营商的信息化系统必然会暴露于互联网。互联网是公共网络，虽然有政策的约束、国家的监督，但网络攻击始终层出不穷、屡禁不止，信息化系统暴露于互联网，难免成为全世界黑客的众矢之的，企业信息化安全面临巨大的挑战。本文提出要限制互联网暴露面，并非指企业信息化系统与互联网完全隔离，而是尽可能减少系统的暴露程度，从根本上消除黑客在互联网上对被限制暴露的软件服务及其硬件设施进行直接攻击，保障企业信息化安全。

（1）管理上将信息化系统的部分脆弱性与互联网隔离，降低受攻击的频次。限制互联网暴露，意味着信息化系统在互联网暴露的漏洞数量减少，黑客能攻击的范围也相应变窄，从而降低攻击频次，一定程度上还能缓解系统服务器的负荷。

（2）技术上黑客无法通过互联网直接攻击，只能采取间接攻击，难度大幅增加。黑客攻击企业信息化系统，必须通过网络通道，通过暴露的IP、端口、应用接口，可直接发起攻击，但限制访问后，黑客必须先破解企业的VPN或通过木马入侵DMZ主机，才能对限制互联网访问的服务发起攻击，这种间接攻击难度远高于直接攻击。

3 限制互联网暴露面的管理办法和技术手段

互联网暴露面网络安全管理应按照集团、省、市三级进行，贯穿企业信息化系统的规划、方案设计、建设实施、入网运行、维护及下线退网等整个生命周期，工作上按照“谁主管谁负责、谁运营谁负责”、“管业务必须管安全、管生产必须管安全”的原则实施。

（1）系统规划阶段申请互联网暴露必须评估必要性。只开通必须向公众用户提供服务的、必须与其他互联网系统连接的、工作需要必不可少的系统。

（2）方案设计阶段要求暴露面必须遵循最小化开通原则。仅开放业务必需的IP、端口与域名。开通方案应明确该暴露面与互联网其他系统、内网系统的连接关系，以及可访问该暴露面的对象，并明确落实访问控制策略和数据安全措施。

（3）建设实施阶段落实安全防护措施。必须落实入侵防护系统（IPS）覆盖，其中网站类的，必须全部落实网站应用防火墙（WAF）覆盖。远程管理与维护必须通过企业4A平台。做好脆弱性隐患核查和加固，使系统具备全面的防护能力，包括但不限于防病毒、防入侵、防篡改、防DDoS等。

（4）入网运行阶段实施暴露面威胁信息的一点监测、集约防御。设立省级云资源池，集中部署存量和新增系统；由省公司建设集中的日志审计系统，使互联网暴露面信息系统的安全日志、告警日志、中间件等关键日志信息可集中管理；通过流量迁转、网站类暴露面域名牵引等方式实现集约防护。

（5）维护阶段要定期自查和整改。省公司信息安全管理部门至少每半年组织开展一次全面自查，综合使用批量探测、搜索引擎、远程扫描等技术手段对互联网暴露面进行主动探测。各责任单位每季度组织对互联网暴露面的暴露必要性、安全防护要求落实情况、安全责任落实情况、安全风险情况、等级保护工作落实情况等，针对问题进行整改。

4 结束语

通信运营商的企业信息化建设将不断迭代、升级，所面临的安全威胁也随着信息技术进步而层出不穷，如何在不确定的未来持续提高企业信息化安全管理能力，维护网络的稳定，确保数据的安全，限制互联网暴露面是简单、有效的重要举措之一，它的根本解决之道是“隔离”。限制互联网暴露面在一定程度上隔离了互联网上数以万计的攻击，是企业信息化安全体系建设的必经之路。