安全投入不足1%：運(yùn)營商如何打好網(wǎng)絡(luò)安全牌？

安全投入不足1%：運(yùn)營商如何打好網(wǎng)絡(luò)安全牌？

作者 | 陳亮

近年來，借助信息手段開展詐騙、信息竊取、身份盜用等現(xiàn)象層出不窮，更有專家指出電信運(yùn)營商在安全投入方面不足1%，在一定程度上反映了信息安全問題的嚴(yán)峻形勢。究竟電信運(yùn)營商在信息安全這個戰(zhàn)場上應(yīng)如何保護(hù)用戶？單純依靠電信運(yùn)營商是否足以抵御當(dāng)前和未來的信息安全風(fēng)險？筆者認(rèn)為還應(yīng)從長計議，打一場網(wǎng)絡(luò)安全的“全民戰(zhàn)爭”。

信息安全問題不容忽視

電信運(yùn)營商在信息安全中的重要性，是由電信運(yùn)營商自身的獨(dú)特地位決定的。一是電信運(yùn)營商作為國家信息化的基礎(chǔ)承載網(wǎng)絡(luò)提供者，幾乎所有的信息流轉(zhuǎn)都必須從電信運(yùn)營商網(wǎng)絡(luò)通過，信息流體量巨大、價值巨大；二是電信運(yùn)營商作為基礎(chǔ)通信服務(wù)的提供者，信道可以直接通達(dá)客戶末端，龐大的用戶數(shù)量和日益頻繁的通信行為也給信息安全造成明顯壓力；三是電信運(yùn)營商的品牌認(rèn)知度、信任度高，這就意味著一份沉甸甸的經(jīng)濟(jì)和社會責(zé)任。由此可見，電信運(yùn)營商在信息安全方面的作用不容小視。

也正是由于上述因素，導(dǎo)致電信運(yùn)營商在信息安全方面遭受了嚴(yán)峻的考驗。以“偽基站”為例，通過虛擬特服號進(jìn)行詐騙的案例屢見不鮮。其實，這些詐騙手段并不新鮮，通常都是通過虛構(gòu)“升級網(wǎng)銀”、“積分兌換”、“用戶信息更新”、“抽獎中獎”等借口騙取客戶的賬戶或資金信息，以達(dá)到騙取利益或倒賣客戶隱私的目的。而這種現(xiàn)象的屢禁不絕，說明信息安全的道路依舊任重道遠(yuǎn)。

運(yùn)營商并非“全知全能”

近年來電信運(yùn)營商自身也意識到了安全問題的嚴(yán)重性和迫切性，開始通過多種手段提升信息安全防范的水平。例如，通過加大信息安全防范措施的宣傳力度和對詐騙行為的曝光，減少客戶被“釣魚”的幾率；通過網(wǎng)絡(luò)安全模塊的部署和升級，加大對危害信息安全行為或漏洞的掃描和防御，對可能存在風(fēng)險的網(wǎng)站和內(nèi)容進(jìn)行干預(yù)，及時封禁關(guān)停；通過加強(qiáng)信息舉報的受理力度和頻度，以“人工加自動”的方式及時響應(yīng)客戶投訴，快速做出應(yīng)對措施。

但這些措施依然無法從根本上杜絕信息安全的風(fēng)險，這并非由于電信運(yùn)營商不作為，而是電信運(yùn)營商非“全知全能”。

首先，經(jīng)過電信運(yùn)營商網(wǎng)絡(luò)的信息流巨大，電信運(yùn)營商既要保證信息傳遞的及時有效，又要進(jìn)行全面深入無遺漏的信息安全過濾，特別是對異常行為和正常行為的有效甄別（例如近期比較多的偽裝成“畢業(yè)聚會照片”的木馬），確實難度巨大；其次，電信運(yùn)營商既要對信息流進(jìn)行分析甄別，又要保護(hù)客戶和第三方的隱私，這需要在司法層面做進(jìn)一步的探討和落實，例如目前大部分即時通信軟件在通信過程中都采用自身的加密手段，如果不經(jīng)授權(quán)，只是純粹提供管道的電信運(yùn)營商又要如何進(jìn)行監(jiān)管呢；再者，信息安全是一場“魔高一尺、道高一丈”的“軍備競賽”，處于被攻擊一方的消費(fèi)者和電信運(yùn)營商卻難有主動反擊的手段，沒有執(zhí)法權(quán)的電信運(yùn)營商很難從根本上減少信息安全攻擊和欺詐。

打一場“全民戰(zhàn)爭”

我們必須客觀地看到，目前的信息安全形勢確實嚴(yán)峻，但我們也并非束手無策。最關(guān)鍵的是全社會應(yīng)當(dāng)加強(qiáng)對信息安全和利用信息安全漏洞進(jìn)行欺詐行為的宣傳警告，幫助消費(fèi)者知曉和警醒，而消費(fèi)者們心里也應(yīng)多繃一根信息安全的“弦”，在面對誘惑或恫嚇時戒貪戒懼，不經(jīng)多方確認(rèn)不輕易泄露個人信息、不輕易下載或打開可疑內(nèi)容，這樣可以在相當(dāng)程度上避免不良后果。

再者，電信運(yùn)營商應(yīng)當(dāng)建立信息安全的內(nèi)外部支撐機(jī)制。目前電信運(yùn)營商的信息安全工作主要集中在專業(yè)部門，而在其他大多數(shù)部門，尤其是業(yè)務(wù)部門對信息安全的了解和掌握情況并不專業(yè)；內(nèi)部的信息安全支撐缺少順暢的通道和途徑、缺少相應(yīng)的流程和界面支撐；對于外部客戶的咨詢和投訴也只是停留在“一事一議、頭痛醫(yī)頭”的處理階段，缺少一整套全員重視、行之有效的辦法?；诖?，電信運(yùn)營商應(yīng)當(dāng)盡快建立起相應(yīng)的機(jī)制，主動應(yīng)對。

同時，司法介入的力度依舊不足。由于移動互聯(lián)網(wǎng)“無邊界”和“跨地域”的特性，不法分子大多采用“廣種薄收、愿者上鉤”的方式實施信息安全攻擊，同時采用“欺詐、轉(zhuǎn)售、套利”等多種異地分開的方式，使得打擊難度增大。而隨著信息安全攻擊和欺詐手段的不斷升級，電信運(yùn)營商單純依靠技術(shù)手段進(jìn)行防范勢必導(dǎo)致治標(biāo)不治本、力度不夠。所以，電信運(yùn)營商要加強(qiáng)信息安全的措施，司法機(jī)關(guān)更應(yīng)如此，即通過聯(lián)合執(zhí)法、聯(lián)網(wǎng)打擊的方式增加不法分子的犯罪成本和被懲治的幾率，才有可能減少此類問題的發(fā)生。

最后，我們還應(yīng)對信息安全問題保持清醒和客觀的認(rèn)知，警惕某些單位通過夸大信息安全危機(jī)來從中牟利。例如之前某手機(jī)殺毒軟件公司“左手制毒、右手殺毒”的行徑，與信息安全危害事件又有何異呢？

日前，有專家指出電信運(yùn)營商在安全領(lǐng)域投入不足是導(dǎo)致網(wǎng)絡(luò)信息安全隱患的主要原因。不過安全是系統(tǒng)工程，它需要的不僅是電信運(yùn)營商，還需要用戶、政府相關(guān)部門等各方的共同努力。