通信网络安全防护管理办法

李雪娜

通信网络安全防护管理办法

李雪娜

Point

我国通信网络安全保障体系的确立需要有相应的管理办法去对其进行规范，而我国的信息化部发布的《通信网络安全防护管理办法》就是针对通信网络新出现的问题进行管理，继而增强对网络安全事件的预防能力，在最大限度上减少网络安全事件的出现。在通信网络安全防护中，非传统问题成为了关注的重点，本文就将针对这一问题进行分析。

1.通信行业的非传统安全问题

自从我国的通信行业从传统领域转到非传统领域之后，新的安全问题不断出现，网络宽带化、终端智能化对网络安全带来的挑战，三网融合状态下出现的安全问题，这些都是通信网络安全防护中急需解决的问题，在之前传统的网络安全问题主要是由自身拓扑结构上出现的，因此我们也常常通过组网来解决此类问题，但是社会每一天都是在发展当中的，而且科学技术水平也在不断更新，所以网络安全的隐患已经从传统的拓扑结构转变为了外部力量利用网络缺陷进行破坏，比如说对网络的非法利用和恶意破坏等等，而我们的通信行业在面对这些问题的时候并不是没有办法，因为这些新出现的问题仍旧在传统的通信网络范畴内的，也就是说我们只要从IT技术的角度入手，网络的安全问题是可以解决的，只不过是时间的问题。

2.非传统安全问题的

2.1 通信运营商与第三方合作之间的问题

随着通信业务的不断开展，运营商与第三方的合作也日益增多，之前是通过银行来实现代缴费用，如今又新增了银联接口等等，再加上运营商与第三方之间存在的差异比较明显，所以当二者在合作的时候，产生的安全问题都是非常复杂的。

2.2 安全技术与通信业务发展之间的问题

当前通信行业的业务发展模式都是从客户的感知入手的，也就是说所关注的都是客户的得利，这样也就导致安全系统受到了很大的丛集，当系统在发生故障的时候，运营商一般的做法都是先满足客户的相关需求，然后再去补办其他的资料，但是由于人工录入资料所泄露风险的几率会很大，所以在营业销售渠道上一定允许存在敏感资料查询的权限，由于管理漏洞的存在，一部分管理人员甚至能够导出客户的相关信息，这也就相当于在安全防护的系统上开了一个洞。

3.通信网络安全防护的解决方法

3.1 创建良好的安全流程及制度保障体系

在通信网络的安全防护中，网络安全不在局限于技术范畴，它需要我们的通信运营商创建一个良好的安全防护流程，并且将网络与信息的相关安全工作放在关键位置，重点关注一下互联网安全、客户信息安全领域，进一步深化安全规范体系，推动设备入网等方面规定的安全要求。除此之外，还要创建安全检查制度，加快安全IT产业的建设，提升工作人员的安全技能，做好相关活动的安全保障工作，也就是说网络的安全防护需要规范化的管理，因此我们的通信运营商只有不断地去修订管理办法，建立内部的控制体系，将客户的相关信息纳入到内部控制体系当中，并提出相应的控制措施，制定好每一个环节的客户信息数据保护的责任人规范，除此之外还要设置相关的机制来确保网络安全防护管理的可行性。而网络安全防护工作的规范化流程主要包括电子化的流程，将工作人员的操作技术与日常的网络安全防护运行工作有机的结合在一起，进而实现以日常维护为主的一体化管理。最后我们还要制定安全维护规范来进一步强化安全日常维护作业计划，做到每周进行一次安全工作检查，适当的也可以采取抽查的方式来检查工作，将安全维护问题责任化。

3.2 主动开展网络安全调研工作

通信运营商可以通过调研的方式来提高自身发现问题的能力，并将安全工作由被动转变为主动，比如说，我们可以先成立一个由技术人才组成的网络信息安全调研小组，深入到生产一线当中，运用调研、提问以及检查等工作方式来开展调查分析高职，所调研的内容可以是指定的某一个专题，也可以是运营商自行规定调研内容，按照生命周期线，对线上各环节的运行维护、业务流程等安全问题进行相应的调研分析，通过调研我们会非常明显的发现网络安全防护中存在的问题，这样也更加方便我们的运营商进行安全整改，从而推动网络信息安全工作的发展。

3.3 加强安全意识

网络信息安全工作中最关键的一个组成部分就是工作人员，可以说所有的工作操作都要我们的工作人员去执行，因此只有我们工作人员的安全意识提高了才可以进一步的确保各项规章制度的顺利进行，网络与信息安全的保障工作也才会顺利开展，在开展安全保障工作的过程当中逐渐形成科学有效的运营发展机制，各个部门要组织开展内部学习，通过这样的一种方式来提高工作人员的技术水平与网络安全意识，让工作人员时刻以安全第一为主要的工作基准，除此之外还要进一步的加强新员工的教育培训工作，用大家所熟知的案例说明网络与信息安全的重要性。让员工内心对安全有一个全新的认识。

3.4 创建规范化的业务构架体系

作为通信行业，虽然是以业务为重，但是也要注意不能让网络承担安全风险，有效的解决办法就是创建规范化的业务架构体系，我们的通信行业要清楚在什么样的情况下能够让客户得利，在后续补录资料的时候怎样做才不会泄露客户信息，对资料补录人员要增设哪些规定，一个最有效的方法就是创建通信业务端到端的质量服务工作流，并且要求在正常的业务流程之外，将各种可能出现的异常状况都确定清楚，这样才能够进一步的确保通信行业业务要求与网络安全的和谐共存。

3.5 规范通信网络框架下的一些非法行为

在通信网络的发展中，由于自身安全防护方面的漏洞，使得一些非法行为出现在了通信网络的发展中，其中人们关注比较多的就是骚扰电话和垃圾短信，对于骚扰电话的治理，我们可以设置语音识别系统来代替人工拦截，这样也能够进一步的提高裁效率。而对垃圾短信的治理则需要进一步的考虑拦截策略，对拦截策略进行深度优化，并通过字符的模糊匹配、智能识别，以此来降低错误拦截现象的发生。

而在第三方的厂商管理上，还要实现集中办公、开发维护设备管理、介质管理以及接口管理四方面的内容，要求所有涉及客户信息的工作人员全部在制定的办公区域工作，除此之外还要设置专门的安全管理人员，按照所签订的保密协议中的内容来开展工作，安全责任人要定期的进行检查，厂商的工作人员不允许在办公产所是有私人优盘，如果有急事需要处理必须要用到优盘的话，需经过安全人员审核之后才可以使用，另外，绝对不允许将客户的相关信息调走，也绝对不可以随意的拆卸工作机器的硬盘，在工作的过程当中不可以使用自己的私人电脑，如果有特殊情况要用到私人电脑的时候，要向我们的安全管理人员备案。

而对于第三厂商在移动机房放置的接口机，还需要进行严格的访问控制，厂商人员想要访问接口机的时候需要安全管理人员的审核批准之后才可以进行访问，而且还要限制访问内网设备，限制发起请求的类型，最重要的是对这些接口机可能出现的异常行为进行全方位的监控。

总结

我们的通信企业不可以将安全问题全部都交给安全服务提供商，因为安全服务提供商更关注的是技术领域的研究和开发，而电信运营商是技术和业务共同研究开发的，技术发展固然重要，但是管理要比技术更重要，在我国通信行业不断发展的今天，安全技术一定要与业务需要和管理制度结合在一起，我们的科研人员研究出的安全技术都是相对来说的，并不是说有了安全技术就会百分之百安全，没有绝对安全的安全技术，但是只要我们将安全技术运用的合理，那么还是可以保证其在一定的范围和一定时期内是安全的。

（作者单位：中国联合网络通信有限公司哈尔滨市分公司）