◆林任遠

（中國電信股份有限公司江門分公司 廣東 529000）

企業(yè)信息化是運用先進的管理思想和方法，以先進的計算機、網(wǎng)絡(luò)技術(shù)為手段，整合企業(yè)現(xiàn)有的生產(chǎn)、經(jīng)營、設(shè)計、制造和管理，及時為企業(yè)的決策提供準確而有效的數(shù)據(jù)信息，以對需求做出迅速地反應(yīng)[1]。信息化后的企業(yè)具有明顯的競爭優(yōu)勢，信息共享、交換、傳遞效率顯著提升，對促進生產(chǎn)力有重大意義；同時也帶來新的風險，由于通信運營商的信息包含商業(yè)機密和敏感數(shù)據(jù)，甚至是國家機密，所以難免會吸引世界各地的各種人為攻擊，例如信息泄漏、信息竊取、數(shù)據(jù)篡改、計算機病毒等[2]。在信息化水平不斷提高的背景下，通信運營商的網(wǎng)絡(luò)規(guī)模、系統(tǒng)復(fù)雜性、用戶數(shù)量、數(shù)字資源等呈指數(shù)級遞增，同時，各種系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊層出不窮，導(dǎo)致了一系列信息和網(wǎng)絡(luò)安全事件，對企業(yè)甚至國家造成直接的經(jīng)濟損失。在企業(yè)信息化如此普及的當下，本文探討如何通過限制互聯(lián)網(wǎng)暴露面，最大限度地減少企業(yè)信息化系統(tǒng)暴露于互聯(lián)網(wǎng)，降低信息和網(wǎng)絡(luò)安全隱患，為企業(yè)信息化保駕護航。

1 通信運營商企業(yè)信息化安全的現(xiàn)狀與面臨的困境

（1）通信運營商信息化安全等級要求遠高于一般企業(yè)。通信運營商的用戶數(shù)量數(shù)以億計，每個用戶的姓名、身份證號碼、聯(lián)系方式、銀行賬戶名稱等私人敏感信息都保存于企業(yè)的數(shù)據(jù)庫，如發(fā)生數(shù)據(jù)泄露事件將對社會造成嚴重的負面的影響；通信運營商提供基礎(chǔ)網(wǎng)絡(luò)通信服務(wù)，如黑客使用技術(shù)手段取得通信網(wǎng)絡(luò)的控制權(quán)，輕則造成網(wǎng)絡(luò)中斷，重則危害國家安全，所以運營商必須具備抵御全世界黑客入侵的能力。

（2）超大型的企業(yè)規(guī)模導(dǎo)致管理難度指數(shù)級增加。企業(yè)信息化安全管理遵循木桶原理，任何一名員工出現(xiàn)問題都可能危及整個企業(yè)的信息化安全。通信運營商的超大規(guī)模同時體現(xiàn)在員工數(shù)量和管理層級，在企業(yè)人數(shù)、層級如此龐大和復(fù)雜的情況下，在管理上把安全意識、行為考核有效地傳遞和落實到每一名員工，并按要求執(zhí)行，存在極大的困難。

（3）網(wǎng)絡(luò)的多樣性和復(fù)雜性下隱藏著大量安全隱患。通信運營商作為超大型IT企業(yè)，擁有數(shù)量龐大的計算機服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端等IT基礎(chǔ)設(shè)施，為保障企業(yè)不受制于某個設(shè)備提供商以及維護網(wǎng)絡(luò)的健壯性，這些設(shè)施采用了數(shù)十個設(shè)備提供商數(shù)以萬計的產(chǎn)品，這些設(shè)備構(gòu)成了通信運營商多樣且復(fù)雜的網(wǎng)絡(luò)。由于每個提供商的產(chǎn)品都不可避免地存在一定數(shù)量的漏洞，所以網(wǎng)絡(luò)的整體漏洞數(shù)可能相當巨大，這是不可忽視的安全隱患。

2 限制互聯(lián)網(wǎng)暴露面對提升通信運營商信息化安全防護能力的意義

通信運營商的命脈在于用戶，用戶與企業(yè)的交互通道為互聯(lián)網(wǎng)，這注定通信運營商的信息化系統(tǒng)必然會暴露于互聯(lián)網(wǎng)。互聯(lián)網(wǎng)是公共網(wǎng)絡(luò)，雖然有政策的約束、國家的監(jiān)督，但網(wǎng)絡(luò)攻擊始終層出不窮、屢禁不止，信息化系統(tǒng)暴露于互聯(lián)網(wǎng)，難免成為全世界黑客的眾矢之的，企業(yè)信息化安全面臨巨大的挑戰(zhàn)。本文提出要限制互聯(lián)網(wǎng)暴露面，并非指企業(yè)信息化系統(tǒng)與互聯(lián)網(wǎng)完全隔離，而是盡可能減少系統(tǒng)的暴露程度，從根本上消除黑客在互聯(lián)網(wǎng)上對被限制暴露的軟件服務(wù)及其硬件設(shè)施進行直接攻擊，保障企業(yè)信息化安全。

（1）管理上將信息化系統(tǒng)的部分脆弱性與互聯(lián)網(wǎng)隔離，降低受攻擊的頻次。限制互聯(lián)網(wǎng)暴露，意味著信息化系統(tǒng)在互聯(lián)網(wǎng)暴露的漏洞數(shù)量減少，黑客能攻擊的范圍也相應(yīng)變窄，從而降低攻擊頻次，一定程度上還能緩解系統(tǒng)服務(wù)器的負荷。

（2）技術(shù)上黑客無法通過互聯(lián)網(wǎng)直接攻擊，只能采取間接攻擊，難度大幅增加。黑客攻擊企業(yè)信息化系統(tǒng)，必須通過網(wǎng)絡(luò)通道，通過暴露的IP、端口、應(yīng)用接口，可直接發(fā)起攻擊，但限制訪問后，黑客必須先破解企業(yè)的VPN或通過木馬入侵DMZ主機，才能對限制互聯(lián)網(wǎng)訪問的服務(wù)發(fā)起攻擊，這種間接攻擊難度遠高于直接攻擊。

3 限制互聯(lián)網(wǎng)暴露面的管理辦法和技術(shù)手段

互聯(lián)網(wǎng)暴露面網(wǎng)絡(luò)安全管理應(yīng)按照集團、省、市三級進行，貫穿企業(yè)信息化系統(tǒng)的規(guī)劃、方案設(shè)計、建設(shè)實施、入網(wǎng)運行、維護及下線退網(wǎng)等整個生命周期，工作上按照“誰主管誰負責、誰運營誰負責”、“管業(yè)務(wù)必須管安全、管生產(chǎn)必須管安全”的原則實施。

（1）系統(tǒng)規(guī)劃階段申請互聯(lián)網(wǎng)暴露必須評估必要性。只開通必須向公眾用戶提供服務(wù)的、必須與其他互聯(lián)網(wǎng)系統(tǒng)連接的、工作需要必不可少的系統(tǒng)。

（2）方案設(shè)計階段要求暴露面必須遵循最小化開通原則。僅開放業(yè)務(wù)必需的IP、端口與域名。開通方案應(yīng)明確該暴露面與互聯(lián)網(wǎng)其他系統(tǒng)、內(nèi)網(wǎng)系統(tǒng)的連接關(guān)系，以及可訪問該暴露面的對象，并明確落實訪問控制策略和數(shù)據(jù)安全措施。

（3）建設(shè)實施階段落實安全防護措施。必須落實入侵防護系統(tǒng)（IPS）覆蓋，其中網(wǎng)站類的，必須全部落實網(wǎng)站應(yīng)用防火墻（WAF）覆蓋。遠程管理與維護必須通過企業(yè)4A平臺。做好脆弱性隱患核查和加固，使系統(tǒng)具備全面的防護能力，包括但不限于防病毒、防入侵、防篡改、防DDoS等。

（4）入網(wǎng)運行階段實施暴露面威脅信息的一點監(jiān)測、集約防御。設(shè)立省級云資源池，集中部署存量和新增系統(tǒng)；由省公司建設(shè)集中的日志審計系統(tǒng)，使互聯(lián)網(wǎng)暴露面信息系統(tǒng)的安全日志、告警日志、中間件等關(guān)鍵日志信息可集中管理；通過流量遷轉(zhuǎn)、網(wǎng)站類暴露面域名牽引等方式實現(xiàn)集約防護。

（5）維護階段要定期自查和整改。省公司信息安全管理部門至少每半年組織開展一次全面自查，綜合使用批量探測、搜索引擎、遠程掃描等技術(shù)手段對互聯(lián)網(wǎng)暴露面進行主動探測。各責任單位每季度組織對互聯(lián)網(wǎng)暴露面的暴露必要性、安全防護要求落實情況、安全責任落實情況、安全風險情況、等級保護工作落實情況等，針對問題進行整改。

4 結(jié)束語

通信運營商的企業(yè)信息化建設(shè)將不斷迭代、升級，所面臨的安全威脅也隨著信息技術(shù)進步而層出不窮，如何在不確定的未來持續(xù)提高企業(yè)信息化安全管理能力，維護網(wǎng)絡(luò)的穩(wěn)定，確保數(shù)據(jù)的安全，限制互聯(lián)網(wǎng)暴露面是簡單、有效的重要舉措之一，它的根本解決之道是“隔離”。限制互聯(lián)網(wǎng)暴露面在一定程度上隔離了互聯(lián)網(wǎng)上數(shù)以萬計的攻擊，是企業(yè)信息化安全體系建設(shè)的必經(jīng)之路。