通信網絡安全防護管理辦法

李雪娜

通信網絡安全防護管理辦法

李雪娜

Point

我國通信網絡安全保障體系的確立需要有相應的管理辦法去對其進行規(guī)范，而我國的信息化部發(fā)布的《通信網絡安全防護管理辦法》就是針對通信網絡新出現(xiàn)的問題進行管理，繼而增強對網絡安全事件的預防能力，在最大限度上減少網絡安全事件的出現(xiàn)。在通信網絡安全防護中，非傳統(tǒng)問題成為了關注的重點，本文就將針對這一問題進行分析。

1.通信行業(yè)的非傳統(tǒng)安全問題

自從我國的通信行業(yè)從傳統(tǒng)領域轉到非傳統(tǒng)領域之后，新的安全問題不斷出現(xiàn)，網絡寬帶化、終端智能化對網絡安全帶來的挑戰(zhàn)，三網融合狀態(tài)下出現(xiàn)的安全問題，這些都是通信網絡安全防護中急需解決的問題，在之前傳統(tǒng)的網絡安全問題主要是由自身拓撲結構上出現(xiàn)的，因此我們也常常通過組網來解決此類問題，但是社會每一天都是在發(fā)展當中的，而且科學技術水平也在不斷更新，所以網絡安全的隱患已經從傳統(tǒng)的拓撲結構轉變?yōu)榱送獠苛α坷镁W絡缺陷進行破壞，比如說對網絡的非法利用和惡意破壞等等，而我們的通信行業(yè)在面對這些問題的時候并不是沒有辦法，因為這些新出現(xiàn)的問題仍舊在傳統(tǒng)的通信網絡范疇內的，也就是說我們只要從IT技術的角度入手，網絡的安全問題是可以解決的，只不過是時間的問題。

2.非傳統(tǒng)安全問題的

2.1 通信運營商與第三方合作之間的問題

隨著通信業(yè)務的不斷開展，運營商與第三方的合作也日益增多，之前是通過銀行來實現(xiàn)代繳費用，如今又新增了銀聯(lián)接口等等，再加上運營商與第三方之間存在的差異比較明顯，所以當二者在合作的時候，產生的安全問題都是非常復雜的。

2.2 安全技術與通信業(yè)務發(fā)展之間的問題

當前通信行業(yè)的業(yè)務發(fā)展模式都是從客戶的感知入手的，也就是說所關注的都是客戶的得利，這樣也就導致安全系統(tǒng)受到了很大的叢集，當系統(tǒng)在發(fā)生故障的時候，運營商一般的做法都是先滿足客戶的相關需求，然后再去補辦其他的資料，但是由于人工錄入資料所泄露風險的幾率會很大，所以在營業(yè)銷售渠道上一定允許存在敏感資料查詢的權限，由于管理漏洞的存在，一部分管理人員甚至能夠導出客戶的相關信息，這也就相當于在安全防護的系統(tǒng)上開了一個洞。

3.通信網絡安全防護的解決方法

3.1 創(chuàng)建良好的安全流程及制度保障體系

在通信網絡的安全防護中，網絡安全不在局限于技術范疇，它需要我們的通信運營商創(chuàng)建一個良好的安全防護流程，并且將網絡與信息的相關安全工作放在關鍵位置，重點關注一下互聯(lián)網安全、客戶信息安全領域，進一步深化安全規(guī)范體系，推動設備入網等方面規(guī)定的安全要求。除此之外，還要創(chuàng)建安全檢查制度，加快安全IT產業(yè)的建設，提升工作人員的安全技能，做好相關活動的安全保障工作，也就是說網絡的安全防護需要規(guī)范化的管理，因此我們的通信運營商只有不斷地去修訂管理辦法，建立內部的控制體系，將客戶的相關信息納入到內部控制體系當中，并提出相應的控制措施，制定好每一個環(huán)節(jié)的客戶信息數據保護的責任人規(guī)范，除此之外還要設置相關的機制來確保網絡安全防護管理的可行性。而網絡安全防護工作的規(guī)范化流程主要包括電子化的流程，將工作人員的操作技術與日常的網絡安全防護運行工作有機的結合在一起，進而實現(xiàn)以日常維護為主的一體化管理。最后我們還要制定安全維護規(guī)范來進一步強化安全日常維護作業(yè)計劃，做到每周進行一次安全工作檢查，適當的也可以采取抽查的方式來檢查工作，將安全維護問題責任化。

3.2 主動開展網絡安全調研工作

通信運營商可以通過調研的方式來提高自身發(fā)現(xiàn)問題的能力，并將安全工作由被動轉變?yōu)橹鲃?，比如說，我們可以先成立一個由技術人才組成的網絡信息安全調研小組，深入到生產一線當中，運用調研、提問以及檢查等工作方式來開展調查分析高職，所調研的內容可以是指定的某一個專題，也可以是運營商自行規(guī)定調研內容，按照生命周期線，對線上各環(huán)節(jié)的運行維護、業(yè)務流程等安全問題進行相應的調研分析，通過調研我們會非常明顯的發(fā)現(xiàn)網絡安全防護中存在的問題，這樣也更加方便我們的運營商進行安全整改，從而推動網絡信息安全工作的發(fā)展。

3.3 加強安全意識

網絡信息安全工作中最關鍵的一個組成部分就是工作人員，可以說所有的工作操作都要我們的工作人員去執(zhí)行，因此只有我們工作人員的安全意識提高了才可以進一步的確保各項規(guī)章制度的順利進行，網絡與信息安全的保障工作也才會順利開展，在開展安全保障工作的過程當中逐漸形成科學有效的運營發(fā)展機制，各個部門要組織開展內部學習，通過這樣的一種方式來提高工作人員的技術水平與網絡安全意識，讓工作人員時刻以安全第一為主要的工作基準，除此之外還要進一步的加強新員工的教育培訓工作，用大家所熟知的案例說明網絡與信息安全的重要性。讓員工內心對安全有一個全新的認識。

3.4 創(chuàng)建規(guī)范化的業(yè)務構架體系

作為通信行業(yè)，雖然是以業(yè)務為重，但是也要注意不能讓網絡承擔安全風險，有效的解決辦法就是創(chuàng)建規(guī)范化的業(yè)務架構體系，我們的通信行業(yè)要清楚在什么樣的情況下能夠讓客戶得利，在后續(xù)補錄資料的時候怎樣做才不會泄露客戶信息，對資料補錄人員要增設哪些規(guī)定，一個最有效的方法就是創(chuàng)建通信業(yè)務端到端的質量服務工作流，并且要求在正常的業(yè)務流程之外，將各種可能出現(xiàn)的異常狀況都確定清楚，這樣才能夠進一步的確保通信行業(yè)業(yè)務要求與網絡安全的和諧共存。

3.5 規(guī)范通信網絡框架下的一些非法行為

在通信網絡的發(fā)展中，由于自身安全防護方面的漏洞，使得一些非法行為出現(xiàn)在了通信網絡的發(fā)展中，其中人們關注比較多的就是騷擾電話和垃圾短信，對于騷擾電話的治理，我們可以設置語音識別系統(tǒng)來代替人工攔截，這樣也能夠進一步的提高裁效率。而對垃圾短信的治理則需要進一步的考慮攔截策略，對攔截策略進行深度優(yōu)化，并通過字符的模糊匹配、智能識別，以此來降低錯誤攔截現(xiàn)象的發(fā)生。

而在第三方的廠商管理上，還要實現(xiàn)集中辦公、開發(fā)維護設備管理、介質管理以及接口管理四方面的內容，要求所有涉及客戶信息的工作人員全部在制定的辦公區(qū)域工作，除此之外還要設置專門的安全管理人員，按照所簽訂的保密協(xié)議中的內容來開展工作，安全責任人要定期的進行檢查，廠商的工作人員不允許在辦公產所是有私人優(yōu)盤，如果有急事需要處理必須要用到優(yōu)盤的話，需經過安全人員審核之后才可以使用，另外，絕對不允許將客戶的相關信息調走，也絕對不可以隨意的拆卸工作機器的硬盤，在工作的過程當中不可以使用自己的私人電腦，如果有特殊情況要用到私人電腦的時候，要向我們的安全管理人員備案。

而對于第三廠商在移動機房放置的接口機，還需要進行嚴格的訪問控制，廠商人員想要訪問接口機的時候需要安全管理人員的審核批準之后才可以進行訪問，而且還要限制訪問內網設備，限制發(fā)起請求的類型，最重要的是對這些接口機可能出現(xiàn)的異常行為進行全方位的監(jiān)控。

總結

我們的通信企業(yè)不可以將安全問題全部都交給安全服務提供商，因為安全服務提供商更關注的是技術領域的研究和開發(fā)，而電信運營商是技術和業(yè)務共同研究開發(fā)的，技術發(fā)展固然重要，但是管理要比技術更重要，在我國通信行業(yè)不斷發(fā)展的今天，安全技術一定要與業(yè)務需要和管理制度結合在一起，我們的科研人員研究出的安全技術都是相對來說的，并不是說有了安全技術就會百分之百安全，沒有絕對安全的安全技術，但是只要我們將安全技術運用的合理，那么還是可以保證其在一定的范圍和一定時期內是安全的。

（作者單位：中國聯(lián)合網絡通信有限公司哈爾濱市分公司）