李雪娜

通信網(wǎng)絡(luò)安全防護管理辦法

李雪娜

Point

我國通信網(wǎng)絡(luò)安全保障體系的確立需要有相應(yīng)的管理辦法去對其進行規(guī)范，而我國的信息化部發(fā)布的《通信網(wǎng)絡(luò)安全防護管理辦法》就是針對通信網(wǎng)絡(luò)新出現(xiàn)的問題進行管理，繼而增強對網(wǎng)絡(luò)安全事件的預(yù)防能力，在最大限度上減少網(wǎng)絡(luò)安全事件的出現(xiàn)。在通信網(wǎng)絡(luò)安全防護中，非傳統(tǒng)問題成為了關(guān)注的重點，本文就將針對這一問題進行分析。

1.通信行業(yè)的非傳統(tǒng)安全問題

自從我國的通信行業(yè)從傳統(tǒng)領(lǐng)域轉(zhuǎn)到非傳統(tǒng)領(lǐng)域之后，新的安全問題不斷出現(xiàn)，網(wǎng)絡(luò)寬帶化、終端智能化對網(wǎng)絡(luò)安全帶來的挑戰(zhàn)，三網(wǎng)融合狀態(tài)下出現(xiàn)的安全問題，這些都是通信網(wǎng)絡(luò)安全防護中急需解決的問題，在之前傳統(tǒng)的網(wǎng)絡(luò)安全問題主要是由自身拓?fù)浣Y(jié)構(gòu)上出現(xiàn)的，因此我們也常常通過組網(wǎng)來解決此類問題，但是社會每一天都是在發(fā)展當(dāng)中的，而且科學(xué)技術(shù)水平也在不斷更新，所以網(wǎng)絡(luò)安全的隱患已經(jīng)從傳統(tǒng)的拓?fù)浣Y(jié)構(gòu)轉(zhuǎn)變?yōu)榱送獠苛α坷镁W(wǎng)絡(luò)缺陷進行破壞，比如說對網(wǎng)絡(luò)的非法利用和惡意破壞等等，而我們的通信行業(yè)在面對這些問題的時候并不是沒有辦法，因為這些新出現(xiàn)的問題仍舊在傳統(tǒng)的通信網(wǎng)絡(luò)范疇內(nèi)的，也就是說我們只要從IT技術(shù)的角度入手，網(wǎng)絡(luò)的安全問題是可以解決的，只不過是時間的問題。

2.非傳統(tǒng)安全問題的

2.1 通信運營商與第三方合作之間的問題

隨著通信業(yè)務(wù)的不斷開展，運營商與第三方的合作也日益增多，之前是通過銀行來實現(xiàn)代繳費用，如今又新增了銀聯(lián)接口等等，再加上運營商與第三方之間存在的差異比較明顯，所以當(dāng)二者在合作的時候，產(chǎn)生的安全問題都是非常復(fù)雜的。

2.2 安全技術(shù)與通信業(yè)務(wù)發(fā)展之間的問題

當(dāng)前通信行業(yè)的業(yè)務(wù)發(fā)展模式都是從客戶的感知入手的，也就是說所關(guān)注的都是客戶的得利，這樣也就導(dǎo)致安全系統(tǒng)受到了很大的叢集，當(dāng)系統(tǒng)在發(fā)生故障的時候，運營商一般的做法都是先滿足客戶的相關(guān)需求，然后再去補辦其他的資料，但是由于人工錄入資料所泄露風(fēng)險的幾率會很大，所以在營業(yè)銷售渠道上一定允許存在敏感資料查詢的權(quán)限，由于管理漏洞的存在，一部分管理人員甚至能夠?qū)С隹蛻舻南嚓P(guān)信息，這也就相當(dāng)于在安全防護的系統(tǒng)上開了一個洞。

3.通信網(wǎng)絡(luò)安全防護的解決方法

3.1 創(chuàng)建良好的安全流程及制度保障體系

在通信網(wǎng)絡(luò)的安全防護中，網(wǎng)絡(luò)安全不在局限于技術(shù)范疇，它需要我們的通信運營商創(chuàng)建一個良好的安全防護流程，并且將網(wǎng)絡(luò)與信息的相關(guān)安全工作放在關(guān)鍵位置，重點關(guān)注一下互聯(lián)網(wǎng)安全、客戶信息安全領(lǐng)域，進一步深化安全規(guī)范體系，推動設(shè)備入網(wǎng)等方面規(guī)定的安全要求。除此之外，還要創(chuàng)建安全檢查制度，加快安全IT產(chǎn)業(yè)的建設(shè)，提升工作人員的安全技能，做好相關(guān)活動的安全保障工作，也就是說網(wǎng)絡(luò)的安全防護需要規(guī)范化的管理，因此我們的通信運營商只有不斷地去修訂管理辦法，建立內(nèi)部的控制體系，將客戶的相關(guān)信息納入到內(nèi)部控制體系當(dāng)中，并提出相應(yīng)的控制措施，制定好每一個環(huán)節(jié)的客戶信息數(shù)據(jù)保護的責(zé)任人規(guī)范，除此之外還要設(shè)置相關(guān)的機制來確保網(wǎng)絡(luò)安全防護管理的可行性。而網(wǎng)絡(luò)安全防護工作的規(guī)范化流程主要包括電子化的流程，將工作人員的操作技術(shù)與日常的網(wǎng)絡(luò)安全防護運行工作有機的結(jié)合在一起，進而實現(xiàn)以日常維護為主的一體化管理。最后我們還要制定安全維護規(guī)范來進一步強化安全日常維護作業(yè)計劃，做到每周進行一次安全工作檢查，適當(dāng)?shù)囊部梢圆扇〕椴榈姆绞絹頇z查工作，將安全維護問題責(zé)任化。

3.2 主動開展網(wǎng)絡(luò)安全調(diào)研工作

通信運營商可以通過調(diào)研的方式來提高自身發(fā)現(xiàn)問題的能力，并將安全工作由被動轉(zhuǎn)變?yōu)橹鲃?，比如說，我們可以先成立一個由技術(shù)人才組成的網(wǎng)絡(luò)信息安全調(diào)研小組，深入到生產(chǎn)一線當(dāng)中，運用調(diào)研、提問以及檢查等工作方式來開展調(diào)查分析高職，所調(diào)研的內(nèi)容可以是指定的某一個專題，也可以是運營商自行規(guī)定調(diào)研內(nèi)容，按照生命周期線，對線上各環(huán)節(jié)的運行維護、業(yè)務(wù)流程等安全問題進行相應(yīng)的調(diào)研分析，通過調(diào)研我們會非常明顯的發(fā)現(xiàn)網(wǎng)絡(luò)安全防護中存在的問題，這樣也更加方便我們的運營商進行安全整改，從而推動網(wǎng)絡(luò)信息安全工作的發(fā)展。

3.3 加強安全意識

網(wǎng)絡(luò)信息安全工作中最關(guān)鍵的一個組成部分就是工作人員，可以說所有的工作操作都要我們的工作人員去執(zhí)行，因此只有我們工作人員的安全意識提高了才可以進一步的確保各項規(guī)章制度的順利進行，網(wǎng)絡(luò)與信息安全的保障工作也才會順利開展，在開展安全保障工作的過程當(dāng)中逐漸形成科學(xué)有效的運營發(fā)展機制，各個部門要組織開展內(nèi)部學(xué)習(xí)，通過這樣的一種方式來提高工作人員的技術(shù)水平與網(wǎng)絡(luò)安全意識，讓工作人員時刻以安全第一為主要的工作基準(zhǔn)，除此之外還要進一步的加強新員工的教育培訓(xùn)工作，用大家所熟知的案例說明網(wǎng)絡(luò)與信息安全的重要性。讓員工內(nèi)心對安全有一個全新的認(rèn)識。

3.4 創(chuàng)建規(guī)范化的業(yè)務(wù)構(gòu)架體系

作為通信行業(yè)，雖然是以業(yè)務(wù)為重，但是也要注意不能讓網(wǎng)絡(luò)承擔(dān)安全風(fēng)險，有效的解決辦法就是創(chuàng)建規(guī)范化的業(yè)務(wù)架構(gòu)體系，我們的通信行業(yè)要清楚在什么樣的情況下能夠讓客戶得利，在后續(xù)補錄資料的時候怎樣做才不會泄露客戶信息，對資料補錄人員要增設(shè)哪些規(guī)定，一個最有效的方法就是創(chuàng)建通信業(yè)務(wù)端到端的質(zhì)量服務(wù)工作流，并且要求在正常的業(yè)務(wù)流程之外，將各種可能出現(xiàn)的異常狀況都確定清楚，這樣才能夠進一步的確保通信行業(yè)業(yè)務(wù)要求與網(wǎng)絡(luò)安全的和諧共存。

3.5 規(guī)范通信網(wǎng)絡(luò)框架下的一些非法行為

在通信網(wǎng)絡(luò)的發(fā)展中，由于自身安全防護方面的漏洞，使得一些非法行為出現(xiàn)在了通信網(wǎng)絡(luò)的發(fā)展中，其中人們關(guān)注比較多的就是騷擾電話和垃圾短信，對于騷擾電話的治理，我們可以設(shè)置語音識別系統(tǒng)來代替人工攔截，這樣也能夠進一步的提高裁效率。而對垃圾短信的治理則需要進一步的考慮攔截策略，對攔截策略進行深度優(yōu)化，并通過字符的模糊匹配、智能識別，以此來降低錯誤攔截現(xiàn)象的發(fā)生。

而在第三方的廠商管理上，還要實現(xiàn)集中辦公、開發(fā)維護設(shè)備管理、介質(zhì)管理以及接口管理四方面的內(nèi)容，要求所有涉及客戶信息的工作人員全部在制定的辦公區(qū)域工作，除此之外還要設(shè)置專門的安全管理人員，按照所簽訂的保密協(xié)議中的內(nèi)容來開展工作，安全責(zé)任人要定期的進行檢查，廠商的工作人員不允許在辦公產(chǎn)所是有私人優(yōu)盤，如果有急事需要處理必須要用到優(yōu)盤的話，需經(jīng)過安全人員審核之后才可以使用，另外，絕對不允許將客戶的相關(guān)信息調(diào)走，也絕對不可以隨意的拆卸工作機器的硬盤，在工作的過程當(dāng)中不可以使用自己的私人電腦，如果有特殊情況要用到私人電腦的時候，要向我們的安全管理人員備案。

而對于第三廠商在移動機房放置的接口機，還需要進行嚴(yán)格的訪問控制，廠商人員想要訪問接口機的時候需要安全管理人員的審核批準(zhǔn)之后才可以進行訪問，而且還要限制訪問內(nèi)網(wǎng)設(shè)備，限制發(fā)起請求的類型，最重要的是對這些接口機可能出現(xiàn)的異常行為進行全方位的監(jiān)控。

總結(jié)

我們的通信企業(yè)不可以將安全問題全部都交給安全服務(wù)提供商，因為安全服務(wù)提供商更關(guān)注的是技術(shù)領(lǐng)域的研究和開發(fā)，而電信運營商是技術(shù)和業(yè)務(wù)共同研究開發(fā)的，技術(shù)發(fā)展固然重要，但是管理要比技術(shù)更重要，在我國通信行業(yè)不斷發(fā)展的今天，安全技術(shù)一定要與業(yè)務(wù)需要和管理制度結(jié)合在一起，我們的科研人員研究出的安全技術(shù)都是相對來說的，并不是說有了安全技術(shù)就會百分之百安全，沒有絕對安全的安全技術(shù)，但是只要我們將安全技術(shù)運用的合理，那么還是可以保證其在一定的范圍和一定時期內(nèi)是安全的。

（作者單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司哈爾濱市分公司）