论文部分内容阅读
摘 要:随着形势和技术的不断发展变化,确保通信网络的安全逐渐成为电信企业日常工作中的主要内容。本文对现阶段通信网络中存在的安全问题进行了简要介绍,并对如何解决提出了建议。
关键词:通信网络安全 通信网络安全问题解决方案 网络与信息安全
0 引言
最近,国家工业和信息化部联合颁布了《通信网络安全防护管理办法》,目的就是为了在满足通信行业发展需求的同时,进一步增强我国电信企业对通信网络安全问题的预防和处理能力,提升我国通信网络安全保障工作的整体水平,从而在最大程度上避免重特大网络安全事故的发生。由此可见,发现并解决存在于通信网络中安全问题已经成为我国电信企业日常工作中的难点和重点。
1 现阶段通信网络中存在的安全问题
1.1 随着终端智能化、网络lP化和宽带化的不断进行,通信行业遇到了很多新的安全问题,尤其是随着三网融合被提上日程,各类安全问题更是层出不穷。同时,由于电信运营商逐渐由过去那种相互独立的经营模式逐渐转向用户开放互联的模式,因此逐步形成了电信企业、设备集成商、经营分析系统集成商、支撑系统集成商相互交叉的运营关系,这些第三方厂商的开发设备、办公场所、人员管理方面存在的问题日益突出,最终使网络安全管理工作的难度进一步加大。
1.2 由于目前我国电信行业采用的是以客户感知为出发点,以提高客户满意度为最终目的的“客户得利”模式(即当系统出现阻断或发生故障时,运营商采用的是先满足客户需求,后进行处理的方式),因此使通信网络的安全性受到了一定程度的威胁。例如,在通信网络出现因HLR无法连接而导致业务办理失败时,电信企业往往采用先修改程控数据,后进行人工补录的方式进行处理,由于资料的录入方式为非常规途径,因此企业内部资料泄露的风险会急剧增加。另外,为了对客户的投诉进行处理,必须给予工作人员以查询敏感资料的权限,这就相当于在保险柜上开了一个后门,使部分人员可以导出大量敏感信息。
1.3 在实际运行过程中,合法的框架内往往存在着许多非法的行为,例如骚扰电话和垃圾短信就是非常典型的例子。现阶段的垃圾短信已经从以往那种手工发送的方式转为软件自动发送,加之汉字的语音语境变化丰富,字词间的组合方式也较为灵活,给拦截工作带来了很大的困难。而对于骚扰电话的屏蔽则可以用“屏蔽难,难于上青天”来形容。
2 通信网络安全问题的解决方案
2.1 不断提高自身技术水平,合理安排安全工作的流程想要确保通信网络的安全,不仅要不断提高自身的技术水平,更需要合理的安全流程和规范的制度保障。所以,电信企业要将网络与信息安全放在日常工作中的首要位置。并以确保通信网络的安全运营为核心,重点关注业务安全、恶意订购治理、客户信息安全、互联网安全等领域的技术发展,进一步完善网络安全防护体系,落实应急响应、安全运维、安全监控、安全预警、设备入网、工程建设等方面的安全要求,从而为通信网络的安全提供技术保障。
合理的工作流程既是确保通信网络安全的基础,也是实现管理工作“规范化”的关键内容。因此,电信企业应根据本领域形势的发展不断对安全工作的流程进行修改和完善,从而形成一套合理的内控体系,以便将对客户信息的保护工作纳入公司整体的安全防护工作范围内。
2.2 增强企业员工的安全意识归根结底,确保通信网络安全的最重要因素还是“人”,只有企业员工的安全意识提高了,各种规章、制度才能真正得到落实,安全保障工作才能顺利的进行下去。
因此,电信企业应将对员工的安全教育与签订保密协议相结合,特别是敏感岗位,更要利用签订保密协议的机会,组织员工开展内部学习和讨论,提升他们的安全保密意识。另外,还要进一步加强对新员工的业务培训工作,使其明确确保通信网络与信息安全的重要意义。
2.3 对通信网络的安全性进行自检电信企业可以通过积极开展调研的方式来提高自身发现问题的能力,从而将安全保障工作由被动转向主动。具体措施为:按照通信网络的生命周期线,开展对各个环节的能力提供、业务流程、运行维护等方面安全问题的检查和分析,并通过对整个系统的分析报告,来发现一些可能威胁系统安全性疏漏和死角,从而达到推动通信网络安全保障工作不断进步的目标。
2.4 实现业务体系的规范化作为电信运营商,销售肯定还是排在日常工作第一位的,但不能因为盲目追求企业利润而给整个通信网络带来安全风险,所以,要注意实现企业业务体系的规范化,对如何进行加密、如何进行资料补录、如何让用户得利、有关人员的责任和权限的范围等问题进行明确规定,以便使业务流程和对异常情况处理变得更加清楚,从而实现业务需求与网络安全的和谐共存。
2.5 遏制合法框架中的非法行为对于垃圾短信的治理主要依靠对拦截措施的进一步优化,通过智能识别和模糊匹配技术来降低误截率。对于骚扰电话的治理则需要考虑用语音识别系统来代替人工仲裁,以便提高仲裁效率和正确率。
2.6 加强对第三方厂商的管控力度
①要实现对第三方厂商的设备管理、开发维护、介质维护、接口机管理这四方面的综合性管理,凡是涉及到客户个人信息的岗位,必须到总公司指定的场所办公。同时,设置专门的安全管理人员,按照保密协议中的要求不定期的对各部门责任人员进行安全检查。
②从原则上来说,电信企业不能授予第三方厂商使用台式机以外的设备进行技术开发的权利,如果情况特殊,需要向安全管理人员提出专门的申请。
③要对第三方厂商放置在机房内的接口机进行严格的访问控制,限制其访问企业内网设备的权限,并对其异常行为进行全面监控。
3 结语
由于电信企业是技术与业务并重的部门,而安全服务提供商则只注重技术,所以不能将通信网络的安全问题完全交给他们来处理,因为没有哪一种技术是永远安全的,但“人”却可以随着时代和技术的变化而不断进步。
在通信行业新的发展形势下,电信企业一定要将安全技术与管理制度有机的结合到一起,充分发挥安全工作的主体——“人”的作用,从而确保通信网络中出现的新问题能够得到及时有效的解决。
参考文献:
[1]葳鹏,刘沛骞罔络信息安全[M],北京清华大学出版社,2010,6.
[2]杨波,周亚宁,通信基础知识读本[M],北京:人民邮电出版社,2009,5
[3]孙玉:电信网络安全总体防卫讨论[M]!:北京,人民邮电出版社,2008.8
关键词:通信网络安全 通信网络安全问题解决方案 网络与信息安全
0 引言
最近,国家工业和信息化部联合颁布了《通信网络安全防护管理办法》,目的就是为了在满足通信行业发展需求的同时,进一步增强我国电信企业对通信网络安全问题的预防和处理能力,提升我国通信网络安全保障工作的整体水平,从而在最大程度上避免重特大网络安全事故的发生。由此可见,发现并解决存在于通信网络中安全问题已经成为我国电信企业日常工作中的难点和重点。
1 现阶段通信网络中存在的安全问题
1.1 随着终端智能化、网络lP化和宽带化的不断进行,通信行业遇到了很多新的安全问题,尤其是随着三网融合被提上日程,各类安全问题更是层出不穷。同时,由于电信运营商逐渐由过去那种相互独立的经营模式逐渐转向用户开放互联的模式,因此逐步形成了电信企业、设备集成商、经营分析系统集成商、支撑系统集成商相互交叉的运营关系,这些第三方厂商的开发设备、办公场所、人员管理方面存在的问题日益突出,最终使网络安全管理工作的难度进一步加大。
1.2 由于目前我国电信行业采用的是以客户感知为出发点,以提高客户满意度为最终目的的“客户得利”模式(即当系统出现阻断或发生故障时,运营商采用的是先满足客户需求,后进行处理的方式),因此使通信网络的安全性受到了一定程度的威胁。例如,在通信网络出现因HLR无法连接而导致业务办理失败时,电信企业往往采用先修改程控数据,后进行人工补录的方式进行处理,由于资料的录入方式为非常规途径,因此企业内部资料泄露的风险会急剧增加。另外,为了对客户的投诉进行处理,必须给予工作人员以查询敏感资料的权限,这就相当于在保险柜上开了一个后门,使部分人员可以导出大量敏感信息。
1.3 在实际运行过程中,合法的框架内往往存在着许多非法的行为,例如骚扰电话和垃圾短信就是非常典型的例子。现阶段的垃圾短信已经从以往那种手工发送的方式转为软件自动发送,加之汉字的语音语境变化丰富,字词间的组合方式也较为灵活,给拦截工作带来了很大的困难。而对于骚扰电话的屏蔽则可以用“屏蔽难,难于上青天”来形容。
2 通信网络安全问题的解决方案
2.1 不断提高自身技术水平,合理安排安全工作的流程想要确保通信网络的安全,不仅要不断提高自身的技术水平,更需要合理的安全流程和规范的制度保障。所以,电信企业要将网络与信息安全放在日常工作中的首要位置。并以确保通信网络的安全运营为核心,重点关注业务安全、恶意订购治理、客户信息安全、互联网安全等领域的技术发展,进一步完善网络安全防护体系,落实应急响应、安全运维、安全监控、安全预警、设备入网、工程建设等方面的安全要求,从而为通信网络的安全提供技术保障。
合理的工作流程既是确保通信网络安全的基础,也是实现管理工作“规范化”的关键内容。因此,电信企业应根据本领域形势的发展不断对安全工作的流程进行修改和完善,从而形成一套合理的内控体系,以便将对客户信息的保护工作纳入公司整体的安全防护工作范围内。
2.2 增强企业员工的安全意识归根结底,确保通信网络安全的最重要因素还是“人”,只有企业员工的安全意识提高了,各种规章、制度才能真正得到落实,安全保障工作才能顺利的进行下去。
因此,电信企业应将对员工的安全教育与签订保密协议相结合,特别是敏感岗位,更要利用签订保密协议的机会,组织员工开展内部学习和讨论,提升他们的安全保密意识。另外,还要进一步加强对新员工的业务培训工作,使其明确确保通信网络与信息安全的重要意义。
2.3 对通信网络的安全性进行自检电信企业可以通过积极开展调研的方式来提高自身发现问题的能力,从而将安全保障工作由被动转向主动。具体措施为:按照通信网络的生命周期线,开展对各个环节的能力提供、业务流程、运行维护等方面安全问题的检查和分析,并通过对整个系统的分析报告,来发现一些可能威胁系统安全性疏漏和死角,从而达到推动通信网络安全保障工作不断进步的目标。
2.4 实现业务体系的规范化作为电信运营商,销售肯定还是排在日常工作第一位的,但不能因为盲目追求企业利润而给整个通信网络带来安全风险,所以,要注意实现企业业务体系的规范化,对如何进行加密、如何进行资料补录、如何让用户得利、有关人员的责任和权限的范围等问题进行明确规定,以便使业务流程和对异常情况处理变得更加清楚,从而实现业务需求与网络安全的和谐共存。
2.5 遏制合法框架中的非法行为对于垃圾短信的治理主要依靠对拦截措施的进一步优化,通过智能识别和模糊匹配技术来降低误截率。对于骚扰电话的治理则需要考虑用语音识别系统来代替人工仲裁,以便提高仲裁效率和正确率。
2.6 加强对第三方厂商的管控力度
①要实现对第三方厂商的设备管理、开发维护、介质维护、接口机管理这四方面的综合性管理,凡是涉及到客户个人信息的岗位,必须到总公司指定的场所办公。同时,设置专门的安全管理人员,按照保密协议中的要求不定期的对各部门责任人员进行安全检查。
②从原则上来说,电信企业不能授予第三方厂商使用台式机以外的设备进行技术开发的权利,如果情况特殊,需要向安全管理人员提出专门的申请。
③要对第三方厂商放置在机房内的接口机进行严格的访问控制,限制其访问企业内网设备的权限,并对其异常行为进行全面监控。
3 结语
由于电信企业是技术与业务并重的部门,而安全服务提供商则只注重技术,所以不能将通信网络的安全问题完全交给他们来处理,因为没有哪一种技术是永远安全的,但“人”却可以随着时代和技术的变化而不断进步。
在通信行业新的发展形势下,电信企业一定要将安全技术与管理制度有机的结合到一起,充分发挥安全工作的主体——“人”的作用,从而确保通信网络中出现的新问题能够得到及时有效的解决。
参考文献:
[1]葳鹏,刘沛骞罔络信息安全[M],北京清华大学出版社,2010,6.
[2]杨波,周亚宁,通信基础知识读本[M],北京:人民邮电出版社,2009,5
[3]孙玉:电信网络安全总体防卫讨论[M]!:北京,人民邮电出版社,2008.8