公務(wù)員期刊網(wǎng) 論文中心 正文

新技術(shù)新業(yè)務(wù)信息安全論文

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了新技術(shù)新業(yè)務(wù)信息安全論文范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

新技術(shù)新業(yè)務(wù)信息安全論文

1新技術(shù)新業(yè)務(wù)信息安全評(píng)估

當(dāng)前,網(wǎng)絡(luò)信息安全形勢(shì)嚴(yán)峻,國(guó)內(nèi)有關(guān)評(píng)估工作還處于起步階段,云南電信在這方面作了積極的探索。云南電信2013年成立信息安全評(píng)估專家項(xiàng)目組,項(xiàng)目組經(jīng)過研究工業(yè)和信息化部以及集團(tuán)總部相關(guān)文件,一致認(rèn)為要在集團(tuán)規(guī)范指導(dǎo)下抓細(xì)節(jié)、治痛點(diǎn),不能流于形式,應(yīng)通過創(chuàng)新,完善評(píng)估流程和方法,真正使信息安全評(píng)估為新技術(shù)新業(yè)務(wù)的運(yùn)營(yíng)保駕護(hù)航,所做工作要對(duì)800多萬云南電信用戶負(fù)責(zé),要能有效地防范用戶隱私泄露和惡意扣費(fèi)的風(fēng)險(xiǎn)。

2云南電信的創(chuàng)新實(shí)踐

云南電信公司新技術(shù)新業(yè)務(wù)信息安全評(píng)估的創(chuàng)新性實(shí)踐,主要從機(jī)制、管理和技術(shù)手段方面進(jìn)行執(zhí)行細(xì)化,具體創(chuàng)新點(diǎn)如下。

2.1基于二加一多層次的信息安全評(píng)估模式創(chuàng)新

項(xiàng)目依據(jù)新技術(shù)信息安全評(píng)估的總體原則,從解決業(yè)務(wù)運(yùn)營(yíng)中可能出現(xiàn)的安全技術(shù)風(fēng)險(xiǎn)和安全管理風(fēng)險(xiǎn)出發(fā),采用機(jī)制設(shè)計(jì)、管理控制和技術(shù)監(jiān)測(cè)建立一套新型多維度的信息安全評(píng)估模式。該模式包含兩個(gè)內(nèi)部評(píng)估機(jī)制,即輸出新業(yè)務(wù)項(xiàng)目組自評(píng)估報(bào)告和信息安全專家評(píng)估報(bào)告;一個(gè)外部技術(shù)測(cè)評(píng),即輸出第三方安全測(cè)評(píng)系列報(bào)告,故稱為二加一評(píng)估模式。新業(yè)務(wù)項(xiàng)目組自評(píng)估報(bào)告重點(diǎn)要求開發(fā)方承諾在產(chǎn)品中沒有無關(guān)后門程序存在,同時(shí)要求電信業(yè)務(wù)管理部門、維護(hù)支撐部門及開發(fā)方組成的項(xiàng)目組對(duì)產(chǎn)品按模板條款進(jìn)行全面梳理,保證產(chǎn)品上線和運(yùn)營(yíng)營(yíng)銷后,其信息安全從技術(shù)、管理措施方面按模板要求合法合規(guī),且項(xiàng)目組所有成員應(yīng)達(dá)成共識(shí),簽字確認(rèn)。由業(yè)務(wù)管理和建設(shè)維護(hù)、IT支撐部門組成的專家組對(duì)新技術(shù)新業(yè)務(wù)的自評(píng)估報(bào)告、新業(yè)務(wù)的安全管理措施和第三方安全測(cè)評(píng)報(bào)告共同進(jìn)行審查,各方面達(dá)標(biāo)則出具信息安全評(píng)估報(bào)告,不達(dá)標(biāo)則對(duì)項(xiàng)目組提出整改要求。此外,本評(píng)估模式還包括年度業(yè)務(wù)評(píng)估計(jì)劃統(tǒng)計(jì)、已評(píng)估檔案管理和評(píng)估數(shù)據(jù)積累機(jī)制,以確保評(píng)估工作的嚴(yán)謹(jǐn)和權(quán)威性。

2.2基于新業(yè)務(wù)平臺(tái)測(cè)評(píng)手段的評(píng)估技術(shù)集成創(chuàng)新

通過具有安全服務(wù)能力評(píng)定資質(zhì)的第三方機(jī)構(gòu)對(duì)新技術(shù)新業(yè)務(wù)進(jìn)行平臺(tái)安全脆弱性掃描,出具第三方安全測(cè)評(píng)系列報(bào)告,報(bào)告新業(yè)務(wù)的平臺(tái)漏洞狀態(tài)、賬戶弱口令狀態(tài)、主機(jī)安全危險(xiǎn)狀態(tài)等信息。如果新產(chǎn)品有移動(dòng)APP客戶端,則通過國(guó)家信息產(chǎn)業(yè)通信軟件測(cè)評(píng)中心的移動(dòng)互聯(lián)網(wǎng)應(yīng)用測(cè)試服務(wù)平臺(tái)和手機(jī)應(yīng)用安全測(cè)試儀,對(duì)業(yè)務(wù)加測(cè)移動(dòng)惡意代碼程序和手機(jī)病毒進(jìn)行掃描,出具相應(yīng)的測(cè)評(píng)報(bào)告。有安全隱患的發(fā)回整改,復(fù)查達(dá)標(biāo)才算報(bào)告完結(jié)。同時(shí),業(yè)務(wù)上線運(yùn)營(yíng)后還將定期對(duì)業(yè)務(wù)進(jìn)行跟蹤復(fù)測(cè),出現(xiàn)安全漏洞或病毒的出具復(fù)測(cè)通知書,限期整改。項(xiàng)目在技術(shù)手段方面的集成創(chuàng)新,充分保障了新技術(shù)新業(yè)務(wù)運(yùn)營(yíng)的可靠性和安全性,為電信運(yùn)營(yíng)商業(yè)務(wù)的長(zhǎng)期應(yīng)用和持續(xù)發(fā)展提供了重要的技術(shù)支撐。

3推廣效果

本項(xiàng)目實(shí)施從2013年第四季度正式啟動(dòng),選定了涵蓋前后端的專家組成員,初步確定了評(píng)估流程和方式,開始進(jìn)行評(píng)估實(shí)踐。2014年3月,根據(jù)實(shí)踐,在評(píng)估工作中細(xì)分出項(xiàng)目組自評(píng)估報(bào)告和專家評(píng)估報(bào)告,重點(diǎn)要求產(chǎn)品開發(fā)方簽字承諾在產(chǎn)品中沒有無關(guān)后門和惡意程序存在,并要求所有省級(jí)新技術(shù)新業(yè)務(wù)必須進(jìn)行信息安全評(píng)估,通過評(píng)估后方能上線運(yùn)營(yíng)。2014年7月,隨著手機(jī)惡意吸費(fèi)、用戶隱私泄露等移動(dòng)互聯(lián)網(wǎng)安全事件的增多,為了更加嚴(yán)謹(jǐn)評(píng)估移動(dòng)類新業(yè)務(wù)的安全狀況,引入了技術(shù)量化測(cè)評(píng),云南電信開始針對(duì)新業(yè)務(wù)移動(dòng)APP客戶端,委托具有安全評(píng)定資質(zhì)的第三方單位進(jìn)行移動(dòng)惡意程序和手機(jī)病毒的掃描測(cè)評(píng),不達(dá)標(biāo)的要求整改復(fù)測(cè)。從2015年1月開始,云南電信開始委托具有安全資質(zhì)的第三方單位進(jìn)行新業(yè)務(wù)平臺(tái)安全掃描測(cè)評(píng),同樣,不達(dá)標(biāo)的要求整改加固,完成后再次復(fù)測(cè),達(dá)標(biāo)后專家組才簽字通過。至此,完善而成體系化的云南電信評(píng)估流程基本建成,新技術(shù)新業(yè)務(wù)信息安全評(píng)估的創(chuàng)新實(shí)踐對(duì)云南電信新技術(shù)新業(yè)務(wù)運(yùn)營(yíng)管理起到了質(zhì)的提升作用。自2014年以來,信息安全評(píng)估工作已覆蓋云南電信所有部門和單位的新技術(shù)新業(yè)務(wù),業(yè)務(wù)類型包括信息服務(wù)類、視頻監(jiān)控類、娛樂類、移動(dòng)即時(shí)通信類,產(chǎn)品形式包括Web、WAP、APP、iTV等類型。在評(píng)估過程中通過安全測(cè)評(píng)確實(shí)發(fā)現(xiàn)多起安全漏洞,甚至是高危漏洞,有些業(yè)務(wù)管理賬號(hào)存在弱口令設(shè)置,有些信息功能審查缺失等。通過嚴(yán)格評(píng)估后,上線運(yùn)營(yíng)的新技術(shù)新業(yè)務(wù)目前均工作穩(wěn)定正常,未出現(xiàn)過任何信息安全事故,這無形中為企業(yè)和用戶挽回了潛在的經(jīng)濟(jì)損失。因此,云南電信的評(píng)估工作也得到了集團(tuán)總部和政府管理部門的肯定。今后本項(xiàng)目提供的評(píng)估流程將繼續(xù)嚴(yán)格實(shí)施,并有望在中國(guó)電信全國(guó)體系中推廣。

4信息安全評(píng)估創(chuàng)造性工作的思考

在信息安全評(píng)估創(chuàng)造性工作過程中,有以下幾點(diǎn)思考。第一,今后的評(píng)估工作應(yīng)分級(jí)分類,根據(jù)不同的等級(jí)和風(fēng)險(xiǎn)程度,執(zhí)行不同的評(píng)估措施。如對(duì)于涉及視頻監(jiān)控、位置服務(wù)和用戶自媒體發(fā)送功能的技術(shù)業(yè)務(wù),應(yīng)提升測(cè)評(píng)審查等級(jí)。第二,應(yīng)加大對(duì)評(píng)估測(cè)評(píng)技術(shù)的研究和應(yīng)用,黑客的技術(shù)手段在不斷翻新發(fā)展,因此,安全評(píng)估測(cè)評(píng)的技術(shù)和方式也應(yīng)與時(shí)俱進(jìn)。同時(shí),信息安全評(píng)估過程并不代表一勞永逸,定期業(yè)務(wù)抽查復(fù)測(cè)也非常必要。第三,應(yīng)加大對(duì)安全評(píng)估和安全技術(shù)人員的培養(yǎng)。人才是信息時(shí)代的第一要素,不僅要培養(yǎng)通信和互聯(lián)網(wǎng)人才,還要重視信息安全專業(yè)人才的培養(yǎng);同時(shí),信息安全人員的穩(wěn)定性也不容忽視。第四,對(duì)信息安全評(píng)估的建立檔案管理和評(píng)估數(shù)據(jù)積累機(jī)制也至關(guān)重要,這既是為新技術(shù)新業(yè)務(wù)安全建檔,也是信息安全工作管理和經(jīng)驗(yàn)的積累過程。第五,信息安全評(píng)估是對(duì)業(yè)務(wù)運(yùn)營(yíng)的事前進(jìn)行安全防范,與此同時(shí),事中安全監(jiān)控和技術(shù)攔截、事后的應(yīng)急處置能力也是電信運(yùn)營(yíng)商必須同等重視的環(huán)節(jié)。

5結(jié)束語

在集團(tuán)總部規(guī)范總體指導(dǎo)下,云南電信公司結(jié)合國(guó)內(nèi)外過去在新業(yè)務(wù)新技術(shù)運(yùn)營(yíng)中遇到的若干問題,逐步創(chuàng)新完善出一套有別于其他運(yùn)營(yíng)商的信息安全評(píng)估模式,并成功應(yīng)用推廣。通過體系化的信息安全評(píng)估審查,新上線的新技術(shù)新業(yè)務(wù)能有效規(guī)避可能的安全風(fēng)險(xiǎn)和政治風(fēng)險(xiǎn),為云南電信業(yè)務(wù)和技術(shù)平臺(tái)的信息化與互聯(lián)網(wǎng)化提供有力保障,此舉對(duì)健全我國(guó)信息安全技術(shù)和管理體制做出了應(yīng)有的貢獻(xiàn)。

作者:車力軍 單位:中國(guó)電信股份有限公司云南分公司

相關(guān)熱門標(biāo)簽