浅谈运营商业务安全评估

王 强，孙建书

（中国移动通信集团设计院有限公司北京分公司，北京 100038）

0 引言

随着物联网、云计算以及大数据的普及，网络攻击的范围不断扩大，攻击目标泛化，网络攻击和信息泄露事件不断升级，网络与信息安全已上升到国家战略高度。运营商作为信息与通信服务的提供商，其网络与信息安全建设状况至关重要。为了提供更多元化的服务，近年来运营商上线新业务的种类越来越多，业务上线前的安全评估作为安全的保障和防线，越来越受到运营商的重视。

1 运营商业务安全评估重要性

由于网络安全事件的不断升级，全球各国对网络与信息安全的重视不断提升，甚至达到了国家战略高度层面，各大强国及联盟陆续发布了保护条例和相应计划。网络安全目前已变为为各国政府在政治、经济博弈舞台上的关注重点。我国也于2017年6月正式实施了《中华人民共和国网络安全法》，从法律层面明确了各类群体在安全法中各自的责任以及违规后的相应处罚。

作为运营商的业务主管部门，工信部近年来对网络与信息安全的监管与考核力度也不断加强，陆续下发一系列关于网络与信息和业务安全相关的管理办法、考核要点与评分标准。业务安全评估作为部委考核的重要组成部分，越来越受到运营商的重视。究其原因，运营商目前上线业务越来越多，而上线的新业务作为公众获取信息服务的一个入口，是直接暴露的，如果没有有效地进行安全防护和安全检测，就容易被不法分子抓住漏洞，进行入侵，通过网络攻击造成信息泄露。因此，在业务上线前，充分的做好安全评估工作，能够事前弥补漏洞和缺陷，有效降低业务系统被入侵的风险，提高业务系统的安全性。业务安全评估也被运营商越来越重视，重要性凸显。

2 运营商业务安全评估流程

根据对相关法规的解读与分解，业务安全评估服务的工作流程中几个环节的作用如下：评估前期准备是正是评估前需要准备的相关资料和工作。评估组织实施是评估工作中的重点、评估总结、评估整改复核使整个评估工作形成闭环。一般在业务上线前或业务相关功能、用户规模发生较大变化时均可以启动安全评估工作。

2.1 评估前期准备

当业务满足部委相关要求需要进行安全评估时，运营商应及时成立评估组，启动安全评估。

评估前期的准备主要是收集评估相关的资料，主要包括组织管理文档、总体说明文档和技术说明文档等，根据资料对业务系统涉及的资产进行梳理，重点分析业务实现的功能和业务逻辑，同时梳理针对本业务的考核重点，为正式的评估实施做准备。

2.2 评估组织实施

评估组织实施是评估工作中的重点，具体的评估实施，根据评估手段和具体操作的不同，可以分别从网络安全评估和信息安全评估进行具体实施。

网络安全评估主要包括业务系统漏洞扫描、基线配置核查和渗透测试等工作。

漏洞扫描可以借助商业化漏扫产品，对主机、平台中间件、数据库等进行自动化扫描，然后对扫描结果进行审核确认。基线配置核查可根据基线配置要求进行逐一核查，并根据核查结果进行整改，提高业务系统安全配置基线。渗透测试是网络安全评估中的重要组成部分，通过模拟黑客攻击，对业务系统进行安全测试和代码审计等，保证在不影响业务运行的前提下，及时发现业务系统的隐患。

信息安全评估包括对业务安全风险识别及企业安全保障能力判定。

业务安全风险识别是对业务应用相关的用户、信息、业务合作、开放接口、业务平台相关的设施位置分布、资源调度方式、用户信息管理、业务逻辑安全、通讯信息管理等方面进行全面的识别和分析，评估信息安全风险状况。

企业安全保障能力判定，是对与业务应用相关的用户管理，信息内容、搜索等一系列相关管理、应用分发平台功能管理、安全规划张贴与主动提示、溯源管理、信息联动管理、应急处置、业务平台部署、资源调度、用户接入要求、用户个人信息保护、重点电信业务管理、业务逻辑安全管理、号码传送规范管理等方面的保障进行判定，全面评估信息安全风险状况。

2.3 评估总结

评估实施完成以后，需要组织业务上线相关方召开评估工作总结会议，对评估结果进行确认，形成初评报告，同时根据评估结果相关责任部门进行即时整改。

初评报告的内容一般包括三部分：一是业务基本情况，如业务功能、业务实现方式、用户规模及市场情况等；二是安全评估情况，主要包括评估过程、评估发现风险以及整改建议等；三是安全管理措施，包括日常管理措施、应急管理办法等。

2.4 评估整改复核

根据初评结果进行相应问题的整改，整改完成后，评估组需要进行再次复核。

复核工作可以通过会议质询、系统演示、现场测试等方式，针对整改报告逐条复核落实整改情况，重点复核技术改造完成情况、系统是否进行升级、敏感数据是否清理，以及对应业务机制是否完善等。

最后评估组仍需再次评估业务是否有新的安全风险点出现，在复核通过评估组评估后完成终评报告，并给出最终评估结论。

2.5 评估结果报备

最后，终评报告需要根据当地通管局或其他电信管理机构的要求，进行评估结果报备。

3 运营商业务安全评估存在的问题

随着运营商业务安全评估工作的体系化和流程化，上线新业务的网络与信息安全得到了很大的保障，作为业务上线前的最后屏障，业务安全评估工作起到了重要作用。但同时网络环境变化复杂，各种漏洞层出不穷，当前的安全评估工作也面临一定的挑战。

首先，业务上线后主要依靠安全检测与安全防御设备进行防护工作，但此类设备的漏洞库和病毒库等一般定时更新，对于0day等新漏洞无法进行实时防护，这给业务安全带来了威胁。运营商目前过于依赖安全设备进行防护，新漏洞的检测和排查必须通过安全人员的手动检测，在此方面运营商需要加强防护工作。

其次，对于使用的平台中间件、数据库等在安全评估时能够保证无重大漏洞，但由于旧版本在使用过程中被爆缺陷等，厂家会发布新版本，运营商业务主管方对版本更新动作较为滞后，一般都是通过安全部门定期审核后再进行整改，这增加了安全风险的暴露时间。对于此类版本更新操作，要加强与厂商的沟通，减少风险暴露时间。

最后，业务安全评估只是业务上线前的规定动作，在业务上线后的整个生命周期内，运营商均需投入精力保证业务相关的网络与信息安全。比如，业务高速发展期的定期核查和更新，业务下线后也要及时对相关设备进行下电等，在业务发展的整个生命周期内保障网络与信息安全。

4 结束语

随着网络攻击与信息泄露的不断升级，国家和部委对于网络安全的监管越来越严格，对于业务安全的考核越来越重要。运营商近年来在业务安全评估中逐步建立了体系化、流程化的工作这在网络安全建设与信息保护方面起到了重要作用。对于业务安全评估中目前仍存在的问题，运营商需要继续加强防护工作，作为信息与通信服务的提供商，履行好自己的社会责任，共同营造良好的网络环境。