截止今年6月����,中國移動江蘇、廣東公司對“屏蔽10086短信”手機惡意軟件專項監(jiān)測發(fā)現(xiàn)有394種此類軟件����。這意味著����,中國移動面對嚴(yán)峻的信息安全挑戰(zhàn)����。具體表現(xiàn)為:
一,基礎(chǔ)網(wǎng)絡(luò)安全形勢嚴(yán)峻:網(wǎng)絡(luò)犯罪越來越組織化����、趨利化����;竊密木馬不斷演變升級,出售惡意代碼軟件已形成地下產(chǎn)業(yè)鏈����;釣魚網(wǎng)站詐騙成為新型詐騙手段。
二����,移動互聯(lián)網(wǎng)安全面臨挑戰(zhàn):據(jù)悉,2011年CNCERT捕獲移動互聯(lián)網(wǎng)惡意軟件6249個����,包括惡意扣費����、隱私竊取����、遠程控制等多種危害用戶的功能;中高危惡意軟件占80%����,大部分移動互聯(lián)網(wǎng)惡意軟件都具有嚴(yán)重的危害性。
三����,手機病毒及惡意軟件損害客戶利益:截至2011年12月,移動總部發(fā)布手機惡意軟件預(yù)警通報10期����。江蘇和廣東監(jiān)測系統(tǒng)共監(jiān)測到手機惡意軟件700余種,涉及Symbian ����、Android、Windows mobile等多個平臺����。
四����,業(yè)務(wù)系統(tǒng)也面臨著安全挑戰(zhàn):比如業(yè)務(wù)系統(tǒng)可能被惡意人員免費使用����,或者業(yè)務(wù)系統(tǒng)存在安全漏洞,影響自身系統(tǒng)的安全����。
五,新業(yè)務(wù)管控難度大:微博����、社交網(wǎng)站等新業(yè)務(wù)具有兩面性����,安全管控的難度大。
面對嚴(yán)峻的信息安全挑戰(zhàn)����,中國移動方認(rèn)為信息安全工作不該是被動的防范,而應(yīng)是主動的防御����。其安全管理思路已經(jīng)從過去單個業(yè)務(wù)“門上裝把鎖”的方式����,發(fā)展到現(xiàn)在全方位考慮����。
1. 全方位開展安全工作
首先,2010年����,中移動設(shè)立了信息安全管理部,主要負責(zé)安全系統(tǒng)管理和運營����。經(jīng)過兩年多的努力,該部門工作內(nèi)容包括:首先是關(guān)注制度與標(biāo)準(zhǔn)����,建立完善的信息安全制度和標(biāo)準(zhǔn)體系,覆蓋公司級策略和方針����、管理辦法和規(guī)范及具體的作業(yè)指南等,有效指導(dǎo)公司安全運營的全過程����。
其次����,中移動關(guān)注技術(shù)手段發(fā)展����。公司的安全技術(shù)體系包括五個層次,即基礎(chǔ)安全架構(gòu)����、基礎(chǔ)安全技術(shù)防護手段、通信網(wǎng)和支撐系統(tǒng)安全手段����、信息安全管理手段、安全集中運營設(shè)施����。這五個層次安全技術(shù)手段的實施����,有效支撐著中移動網(wǎng)絡(luò)與信息安全工作落地。
再次����,中移動建立了信息安全集中管控平臺����。該平臺對垃圾短信����、色情網(wǎng)站、騷擾電話����、手機病毒、虛假號碼等5類不良信息進行了集中治理����。
第四,中移動關(guān)注業(yè)務(wù)安全評估����。以基地業(yè)務(wù)為突破口,開展全流程的業(yè)務(wù)安全評估����,探索業(yè)務(wù)流程與安全流程的有機統(tǒng)一,從而確保業(yè)務(wù)安全����。
第五����,關(guān)注客戶信息保護����。公司從責(zé)任制、制度建設(shè)����、技術(shù)手段、監(jiān)督檢查等幾個領(lǐng)域開展客戶信息保護工作 ����,建立較完善的客戶信息安全保護體系 。
2. 加強產(chǎn)業(yè)鏈合作
據(jù)中移動相關(guān)人士表示“從提升管理水平來說����,我們還要完善四個管理體系,包括信息安全制度體系����、信息安全評價體系����、技術(shù)支撐體系和完整的運營體系?���!?同時,遵循著“開門搞安全”的精神����,中移動在國內(nèi)外廣泛開展多方位合作。
首先����,國內(nèi)方面,中移動與國家信息安全隊伍建立情報交流����、信息服務(wù)、戰(zhàn)略合作等互動機制����,共同開展信息安全風(fēng)險排查、第三方監(jiān)測����、應(yīng)急處置等安全保障工作����;加強與產(chǎn)業(yè)界在通信網(wǎng)安全防護����、不良信息治理、手機惡意軟件防護����、業(yè)務(wù)安全評估、客戶信息保護等各方面的合作����,共同應(yīng)對日益嚴(yán)峻的安全形勢;加強與國家互聯(lián)網(wǎng)辦����、公安部、工信部等部委在不良信息治理����、客戶信息安全保護及安全政策法規(guī)等方面的溝通。
其次����,國際方面����,中移動積極參加ITU����、3GPP ����、FIRST、ISF等國際會議和國際組織����;與業(yè)界聯(lián)手,推動相關(guān)安全需求����、標(biāo)準(zhǔn)進入國際組織,擴大影響����。
3. 側(cè)重評估與監(jiān)測
根據(jù)工信部對運營商提出的明確要求“作為運營商的研究機構(gòu),首先要把安全防護手段做在事件發(fā)生之前����,盡量去避免����,把風(fēng)險控制到最小的狀態(tài)����。”中移動從安全設(shè)計入手����,積極進行安全主動防御。
在管理方面����,目前,中國移動運營著一張非常大的網(wǎng)絡(luò)����,后期會逐漸建設(shè)LTE網(wǎng)絡(luò)。對于整個網(wǎng)絡(luò)����,中國移動計劃開展全程的網(wǎng)絡(luò)安全防護,從底層設(shè)備到協(xié)議安全����,從每個參數(shù)的安全到LTE上層業(yè)務(wù)安全承載等����,最終建設(shè)可信賴的網(wǎng)絡(luò)設(shè)備安全環(huán)境����。
在網(wǎng)絡(luò)方面����,中國移動主要關(guān)注兩個問題,即隱私保護和虛擬化安全����。目前中國移動已經(jīng)開發(fā)了“大云系統(tǒng)”,該系統(tǒng)支持公司私有云和公有云的建設(shè)����。中國移動希望打造完善的云安全系統(tǒng),讓更多的用戶放心使用云服務(wù)����。
在終端方面,中國移動開發(fā)了移動安全衛(wèi)士����,并且配合網(wǎng)絡(luò)側(cè)手機惡意的判別平臺共同推廣����?���!拔覀儠屑械牟涣夹畔⒅卫砥脚_?���!眲㈧潮硎荆撝卫砥脚_非常重要的一項工作就是做策略的配置����,通過這些平臺規(guī)則庫和終端病毒庫的互動,做到網(wǎng)絡(luò)與終端安全防護的聯(lián)動����。
中國移動主動防御的另一方面是態(tài)勢感知,即收集一些熱點信息����,分析以后及時發(fā)出預(yù)警,具體包括大規(guī)模網(wǎng)絡(luò)安全的風(fēng)險感知及預(yù)警����、業(yè)務(wù)系統(tǒng)安全自動監(jiān)測����、日常安全運維自動化以及移動互聯(lián)網(wǎng)安全新風(fēng)險控制����。
然而,中移動信息安全之路只是開始����,沒有止境����。正在苦練“內(nèi)功”的中國移動,積極進行著信息安全集中運營和不良信息集中治理����,拓展對外合作,與政府����、企業(yè)、技術(shù)組織等合作各方攜手共贏����,以創(chuàng)建國際國內(nèi)一流的信息安全體系����。(作者:朱萬秋)
來源:慧聰研究
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力����。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
