淺談新技術(shù)新業(yè)務(wù)信息安全論文

　　1新技術(shù)新業(yè)務(wù)信息安全評估

　　當前，網(wǎng)絡(luò )信息安全形勢嚴峻，國內有關(guān)評估工作還處于起步階段，云南電信在這方面作了積極的探索。云南電信20xx年成立信息安全評估專(zhuān)家項目組，項目組經(jīng)過(guò)研究工業(yè)和信息化部以及集團總部相關(guān)文件，一致認為要在集團規范指導下抓細節、治痛點(diǎn)，不能流于形式，應通過(guò)創(chuàng )新，完善評估流程和方法，真正使信息安全評估為新技術(shù)新業(yè)務(wù)的運營(yíng)保駕護航，所做工作要對800多萬(wàn)云南電信用戶(hù)負責，要能有效地防范用戶(hù)隱私泄露和惡意扣費的風(fēng)險。

　　2云南電信的創(chuàng )新實(shí)踐

　　云南電信公司新技術(shù)新業(yè)務(wù)信息安全評估的創(chuàng )新性實(shí)踐，主要從機制、管理和技術(shù)手段方面進(jìn)行執行細化，具體創(chuàng )新點(diǎn)如下。

　　2。1基于二加一多層次的信息安全評估模式創(chuàng )新

　　項目依據新技術(shù)信息安全評估的總體原則，從解決業(yè)務(wù)運營(yíng)中可能出現的安全技術(shù)風(fēng)險和安全管理風(fēng)險出發(fā)，采用機制設計、管理控制和技術(shù)監測建立一套新型多維度的信息安全評估模式。該模式包含兩個(gè)內部評估機制，即輸出新業(yè)務(wù)項目組自評估報告和信息安全專(zhuān)家評估報告；一個(gè)外部技術(shù)測評，即輸出第三方安全測評系列報告，故稱(chēng)為二加一評估模式。新業(yè)務(wù)項目組自評估報告重點(diǎn)要求開(kāi)發(fā)方承諾在產(chǎn)品中沒(méi)有無(wú)關(guān)后門(mén)程序存在，同時(shí)要求電信業(yè)務(wù)管理部門(mén)、維護支撐部門(mén)及開(kāi)發(fā)方組成的項目組對產(chǎn)品按模板條款進(jìn)行全面梳理，保證產(chǎn)品上線(xiàn)和運營(yíng)營(yíng)銷(xiāo)后，其信息安全從技術(shù)、管理措施方面按模板要求合法合規，且項目組所有成員應達成共識，簽字確認。由業(yè)務(wù)管理和建設維護、IT支撐部門(mén)組成的專(zhuān)家組對新技術(shù)新業(yè)務(wù)的自評估報告、新業(yè)務(wù)的安全管理措施和第三方安全測評報告共同進(jìn)行審查，各方面達標則出具信息安全評估報告，不達標則對項目組提出整改要求。此外，本評估模式還包括年度業(yè)務(wù)評估計劃統計、已評估檔案管理和評估數據積累機制，以確保評估工作的嚴謹和權威性。

　　2。2基于新業(yè)務(wù)平臺測評手段的評估技術(shù)集成創(chuàng )新

　　通過(guò)具有安全服務(wù)能力評定資質(zhì)的第三方機構對新技術(shù)新業(yè)務(wù)進(jìn)行平臺安全脆弱性?huà)呙�，出具第三方安全測評系列報告，報告新業(yè)務(wù)的平臺漏洞狀態(tài)、賬戶(hù)弱口令狀態(tài)、主機安全危險狀態(tài)等信息。如果新產(chǎn)品有移動(dòng)APP客戶(hù)端，則通過(guò)國家信息產(chǎn)業(yè)通信軟件測評中心的移動(dòng)互聯(lián)網(wǎng)應用測試服務(wù)平臺和手機應用安全測試儀，對業(yè)務(wù)加測移動(dòng)惡意代碼程序和手機病毒進(jìn)行掃描，出具相應的測評報告。有安全隱患的發(fā)回整改，復查達標才算報告完結。同時(shí)，業(yè)務(wù)上線(xiàn)運營(yíng)后還將定期對業(yè)務(wù)進(jìn)行跟蹤復測，出現安全漏洞或病毒的出具復測通知書(shū)，限期整改。項目在技術(shù)手段方面的集成創(chuàng )新，充分保障了新技術(shù)新業(yè)務(wù)運營(yíng)的可靠性和安全性，為電信運營(yíng)商業(yè)務(wù)的長(cháng)期應用和持續發(fā)展提供了重要的技術(shù)支撐。

　　3推廣效果

　　本項目實(shí)施從20xx年第四季度正式啟動(dòng)，選定了涵蓋前后端的專(zhuān)家組成員，初步確定了評估流程和方式，開(kāi)始進(jìn)行評估實(shí)踐。20xx年3月，根據實(shí)踐，在評估工作中細分出項目組自評估報告和專(zhuān)家評估報告，重點(diǎn)要求產(chǎn)品開(kāi)發(fā)方簽字承諾在產(chǎn)品中沒(méi)有無(wú)關(guān)后門(mén)和惡意程序存在，并要求所有省級新技術(shù)新業(yè)務(wù)必須進(jìn)行信息安全評估，通過(guò)評估后方能上線(xiàn)運營(yíng)。20xx年7月，隨著(zhù)手機惡意吸費、用戶(hù)隱私泄露等移動(dòng)互聯(lián)網(wǎng)安全事件的增多，為了更加嚴謹評估移動(dòng)類(lèi)新業(yè)務(wù)的安全狀況，引入了技術(shù)量化測評，云南電信開(kāi)始針對新業(yè)務(wù)移動(dòng)APP客戶(hù)端，委托具有安全評定資質(zhì)的第三方單位進(jìn)行移動(dòng)惡意程序和手機病毒的掃描測評，不達標的要求整改復測。從2015年1月開(kāi)始，云南電信開(kāi)始委托具有安全資質(zhì)的第三方單位進(jìn)行新業(yè)務(wù)平臺安全掃描測評，同樣，不達標的要求整改加固，完成后再次復測，達標后專(zhuān)家組才簽字通過(guò)。至此，完善而成體系化的云南電信評估流程基本建成，新技術(shù)新業(yè)務(wù)信息安全評估的創(chuàng )新實(shí)踐對云南電信新技術(shù)新業(yè)務(wù)運營(yíng)管理起到了質(zhì)的提升作用。自20xx年以來(lái)，信息安全評估工作已覆蓋云南電信所有部門(mén)和單位的新技術(shù)新業(yè)務(wù)，業(yè)務(wù)類(lèi)型包括信息服務(wù)類(lèi)、視頻監控類(lèi)、娛樂(lè )類(lèi)、移動(dòng)即時(shí)通信類(lèi)，產(chǎn)品形式包括Web、WAP、APP、iTV等類(lèi)型。在評估過(guò)程中通過(guò)安全測評確實(shí)發(fā)現多起安全漏洞，甚至是高危漏洞，有些業(yè)務(wù)管理賬號存在弱口令設置，有些信息發(fā)布功能審查缺失等。通過(guò)嚴格評估后，上線(xiàn)運營(yíng)的新技術(shù)新業(yè)務(wù)目前均工作穩定正常，未出現過(guò)任何信息安全事故，這無(wú)形中為企業(yè)和用戶(hù)挽回了潛在的經(jīng)濟損失。因此，云南電信的評估工作也得到了集團總部和政府管理部門(mén)的肯定。今后本項目提供的評估流程將繼續嚴格實(shí)施，并有望在中國電信全國體系中推廣。

　　4信息安全評估創(chuàng )造性工作的思考

　　在信息安全評估創(chuàng )造性工作過(guò)程中，有以下幾點(diǎn)思考。第一，今后的評估工作應分級分類(lèi)，根據不同的等級和風(fēng)險程度，執行不同的評估措施。如對于涉及視頻監控、位置服務(wù)和用戶(hù)自媒體發(fā)送功能的技術(shù)業(yè)務(wù)，應提升測評審查等級。第二，應加大對評估測評技術(shù)的研究和應用，不法分子的技術(shù)手段在不斷翻新發(fā)展，因此，安全評估測評的技術(shù)和方式也應與時(shí)俱進(jìn)。同時(shí)，信息安全評估過(guò)程并不代表一勞永逸，定期業(yè)務(wù)抽查復測也非常必要。第三，應加大對安全評估和安全技術(shù)人員的培養。人才是信息時(shí)代的第一要素，不僅要培養通信和互聯(lián)網(wǎng)人才，還要重視信息安全專(zhuān)業(yè)人才的培養；同時(shí)，信息安全人員的穩定性也不容忽視。第四，對信息安全評估的建立檔案管理和評估數據積累機制也至關(guān)重要，這既是為新技術(shù)新業(yè)務(wù)安全建檔，也是信息安全工作管理和經(jīng)驗的積累過(guò)程。第五，信息安全評估是對業(yè)務(wù)運營(yíng)的事前進(jìn)行安全防范，與此同時(shí)，事中安全監控和技術(shù)攔截、事后的應急處置能力也是電信運營(yíng)商必須同等重視的環(huán)節。

　　5結束語(yǔ)

　　在集團總部規范總體指導下，云南電信公司結合國內外過(guò)去在新業(yè)務(wù)新技術(shù)運營(yíng)中遇到的若干問(wèn)題，逐步創(chuàng )新完善出一套有別于其他運營(yíng)商的信息安全評估模式，并成功應用推廣。通過(guò)體系化的信息安全評估審查，新上線(xiàn)的新技術(shù)新業(yè)務(wù)能有效規避可能的安全風(fēng)險和政治風(fēng)險，為云南電信業(yè)務(wù)和技術(shù)平臺的信息化與互聯(lián)網(wǎng)化提供有力保障，此舉對健全我國信息安全技術(shù)和管理體制做出了應有的貢獻。

【淺談新技術(shù)新業(yè)務(wù)信息安全論文】相關(guān)文章：

新技術(shù)新業(yè)務(wù)匯報總結11-28

淺談校園網(wǎng)絡(luò )信息安全07-12

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

信息安全管理論文(通用)06-14