淺談運營商業(yè)務安全評估

王 強，孫建書

（中國移動通信集團設計院有限公司北京分公司，北京 100038）

0 引言

隨著物聯(lián)網(wǎng)、云計算以及大數(shù)據(jù)的普及，網(wǎng)絡攻擊的范圍不斷擴大，攻擊目標泛化，網(wǎng)絡攻擊和信息泄露事件不斷升級，網(wǎng)絡與信息安全已上升到國家戰(zhàn)略高度。運營商作為信息與通信服務的提供商，其網(wǎng)絡與信息安全建設狀況至關(guān)重要。為了提供更多元化的服務，近年來運營商上線新業(yè)務的種類越來越多，業(yè)務上線前的安全評估作為安全的保障和防線，越來越受到運營商的重視。

1 運營商業(yè)務安全評估重要性

由于網(wǎng)絡安全事件的不斷升級，全球各國對網(wǎng)絡與信息安全的重視不斷提升，甚至達到了國家戰(zhàn)略高度層面，各大強國及聯(lián)盟陸續(xù)發(fā)布了保護條例和相應計劃。網(wǎng)絡安全目前已變?yōu)闉楦鲊谡巍⒔?jīng)濟博弈舞臺上的關(guān)注重點。我國也于2017年6月正式實施了《中華人民共和國網(wǎng)絡安全法》，從法律層面明確了各類群體在安全法中各自的責任以及違規(guī)后的相應處罰。

作為運營商的業(yè)務主管部門，工信部近年來對網(wǎng)絡與信息安全的監(jiān)管與考核力度也不斷加強，陸續(xù)下發(fā)一系列關(guān)于網(wǎng)絡與信息和業(yè)務安全相關(guān)的管理辦法、考核要點與評分標準。業(yè)務安全評估作為部委考核的重要組成部分，越來越受到運營商的重視。究其原因，運營商目前上線業(yè)務越來越多，而上線的新業(yè)務作為公眾獲取信息服務的一個入口，是直接暴露的，如果沒有有效地進行安全防護和安全檢測，就容易被不法分子抓住漏洞，進行入侵，通過網(wǎng)絡攻擊造成信息泄露。因此，在業(yè)務上線前，充分的做好安全評估工作，能夠事前彌補漏洞和缺陷，有效降低業(yè)務系統(tǒng)被入侵的風險，提高業(yè)務系統(tǒng)的安全性。業(yè)務安全評估也被運營商越來越重視，重要性凸顯。

2 運營商業(yè)務安全評估流程

根據(jù)對相關(guān)法規(guī)的解讀與分解，業(yè)務安全評估服務的工作流程中幾個環(huán)節(jié)的作用如下：評估前期準備是正是評估前需要準備的相關(guān)資料和工作。評估組織實施是評估工作中的重點、評估總結(jié)、評估整改復核使整個評估工作形成閉環(huán)。一般在業(yè)務上線前或業(yè)務相關(guān)功能、用戶規(guī)模發(fā)生較大變化時均可以啟動安全評估工作。

2.1 評估前期準備

當業(yè)務滿足部委相關(guān)要求需要進行安全評估時，運營商應及時成立評估組，啟動安全評估。

評估前期的準備主要是收集評估相關(guān)的資料，主要包括組織管理文檔、總體說明文檔和技術(shù)說明文檔等，根據(jù)資料對業(yè)務系統(tǒng)涉及的資產(chǎn)進行梳理，重點分析業(yè)務實現(xiàn)的功能和業(yè)務邏輯，同時梳理針對本業(yè)務的考核重點，為正式的評估實施做準備。

2.2 評估組織實施

評估組織實施是評估工作中的重點，具體的評估實施，根據(jù)評估手段和具體操作的不同，可以分別從網(wǎng)絡安全評估和信息安全評估進行具體實施。

網(wǎng)絡安全評估主要包括業(yè)務系統(tǒng)漏洞掃描、基線配置核查和滲透測試等工作。

漏洞掃描可以借助商業(yè)化漏掃產(chǎn)品，對主機、平臺中間件、數(shù)據(jù)庫等進行自動化掃描，然后對掃描結(jié)果進行審核確認?；€配置核查可根據(jù)基線配置要求進行逐一核查，并根據(jù)核查結(jié)果進行整改，提高業(yè)務系統(tǒng)安全配置基線。滲透測試是網(wǎng)絡安全評估中的重要組成部分，通過模擬黑客攻擊，對業(yè)務系統(tǒng)進行安全測試和代碼審計等，保證在不影響業(yè)務運行的前提下，及時發(fā)現(xiàn)業(yè)務系統(tǒng)的隱患。

信息安全評估包括對業(yè)務安全風險識別及企業(yè)安全保障能力判定。

業(yè)務安全風險識別是對業(yè)務應用相關(guān)的用戶、信息、業(yè)務合作、開放接口、業(yè)務平臺相關(guān)的設施位置分布、資源調(diào)度方式、用戶信息管理、業(yè)務邏輯安全、通訊信息管理等方面進行全面的識別和分析，評估信息安全風險狀況。

企業(yè)安全保障能力判定，是對與業(yè)務應用相關(guān)的用戶管理，信息內(nèi)容、搜索等一系列相關(guān)管理、應用分發(fā)平臺功能管理、安全規(guī)劃張貼與主動提示、溯源管理、信息聯(lián)動管理、應急處置、業(yè)務平臺部署、資源調(diào)度、用戶接入要求、用戶個人信息保護、重點電信業(yè)務管理、業(yè)務邏輯安全管理、號碼傳送規(guī)范管理等方面的保障進行判定，全面評估信息安全風險狀況。

2.3 評估總結(jié)

評估實施完成以后，需要組織業(yè)務上線相關(guān)方召開評估工作總結(jié)會議，對評估結(jié)果進行確認，形成初評報告，同時根據(jù)評估結(jié)果相關(guān)責任部門進行即時整改。

初評報告的內(nèi)容一般包括三部分：一是業(yè)務基本情況，如業(yè)務功能、業(yè)務實現(xiàn)方式、用戶規(guī)模及市場情況等；二是安全評估情況，主要包括評估過程、評估發(fā)現(xiàn)風險以及整改建議等；三是安全管理措施，包括日常管理措施、應急管理辦法等。

2.4 評估整改復核

根據(jù)初評結(jié)果進行相應問題的整改，整改完成后，評估組需要進行再次復核。

復核工作可以通過會議質(zhì)詢、系統(tǒng)演示、現(xiàn)場測試等方式，針對整改報告逐條復核落實整改情況，重點復核技術(shù)改造完成情況、系統(tǒng)是否進行升級、敏感數(shù)據(jù)是否清理，以及對應業(yè)務機制是否完善等。

最后評估組仍需再次評估業(yè)務是否有新的安全風險點出現(xiàn)，在復核通過評估組評估后完成終評報告，并給出最終評估結(jié)論。

2.5 評估結(jié)果報備

最后，終評報告需要根據(jù)當?shù)赝ü芫只蚱渌娦殴芾頇C構(gòu)的要求，進行評估結(jié)果報備。

3 運營商業(yè)務安全評估存在的問題

隨著運營商業(yè)務安全評估工作的體系化和流程化，上線新業(yè)務的網(wǎng)絡與信息安全得到了很大的保障，作為業(yè)務上線前的最后屏障，業(yè)務安全評估工作起到了重要作用。但同時網(wǎng)絡環(huán)境變化復雜，各種漏洞層出不窮，當前的安全評估工作也面臨一定的挑戰(zhàn)。

首先，業(yè)務上線后主要依靠安全檢測與安全防御設備進行防護工作，但此類設備的漏洞庫和病毒庫等一般定時更新，對于0day等新漏洞無法進行實時防護，這給業(yè)務安全帶來了威脅。運營商目前過于依賴安全設備進行防護，新漏洞的檢測和排查必須通過安全人員的手動檢測，在此方面運營商需要加強防護工作。

其次，對于使用的平臺中間件、數(shù)據(jù)庫等在安全評估時能夠保證無重大漏洞，但由于舊版本在使用過程中被爆缺陷等，廠家會發(fā)布新版本，運營商業(yè)務主管方對版本更新動作較為滯后，一般都是通過安全部門定期審核后再進行整改，這增加了安全風險的暴露時間。對于此類版本更新操作，要加強與廠商的溝通，減少風險暴露時間。

最后，業(yè)務安全評估只是業(yè)務上線前的規(guī)定動作，在業(yè)務上線后的整個生命周期內(nèi)，運營商均需投入精力保證業(yè)務相關(guān)的網(wǎng)絡與信息安全。比如，業(yè)務高速發(fā)展期的定期核查和更新，業(yè)務下線后也要及時對相關(guān)設備進行下電等，在業(yè)務發(fā)展的整個生命周期內(nèi)保障網(wǎng)絡與信息安全。

4 結(jié)束語

隨著網(wǎng)絡攻擊與信息泄露的不斷升級，國家和部委對于網(wǎng)絡安全的監(jiān)管越來越嚴格，對于業(yè)務安全的考核越來越重要。運營商近年來在業(yè)務安全評估中逐步建立了體系化、流程化的工作這在網(wǎng)絡安全建設與信息保護方面起到了重要作用。對于業(yè)務安全評估中目前仍存在的問題，運營商需要繼續(xù)加強防護工作，作為信息與通信服務的提供商，履行好自己的社會責任，共同營造良好的網(wǎng)絡環(huán)境。