新技术新业务信息安全论文(共2663字).doc

《新技术新业务信息安全论文(共2663字).doc》由会员分享，可在线阅读，更多相关《新技术新业务信息安全论文(共2663字).doc（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、新技术新业务信息安全论文(共2663字)新技术新业务信息安全论文 1新技术新业务信息安全评估当前，网络信息安全形势严峻，国内有关评估工作还处于起步阶段，云南电信在这方面作了积极的探索。云南电信2013年成立信息安全评估专家项目组，项目组经过研究工业和信息化部以及集团总部相关文件，一致认为要在集团规范指导下抓细节、治痛点，不能流于形式，应通过创新，完善评估流程和方法，真正使信息安全评估为新技术新业务的运营保驾护航，所做工作要对800多万云南电信用户负责，要能有效地防范用户隐私泄露和恶意扣费的风险。2云南电信的创新实践云南电信公司新技术新业务信息安全评估的创新性实践，主要从机制、管理和技术手段方面

2、进行执行细化，具体创新点如下。2.1基于二加一多层次的信息安全评估模式创新项目依据新技术信息安全评估的总体原则，从解决业务运营中可能出现的安全技术风险和安全管理风险出发，采用机制设计、管理控制和技术监测建立一套新型多维度的信息安全评估模式。该模式包含两个内部评估机制，即输出新业务项目组自评估报告和信息安全专家评估报告；一个外部技术测评，即输出第三方安全测评系列报告，故称为二加一评估模式。新业务项目组自评估报告重点要求开发方承诺在产品中没有无关后门程序存在，同时要求电信业务管理部门、维护支撑部门及开发方组成的项目组对产品按模板条款进行全面梳理，保证产品上线和运营营销后，其信息安全从技术、管理措施

3、方面按模板要求合法合规，且项目组所有成员应达成共识，签字确认。由业务管理和建设维护、IT支撑部门组成的专家组对新技术新业务的自评估报告、新业务的安全管理措施和第三方安全测评报告共同进行审查，各方面达标则出具信息安全评估报告，不达标则对项目组提出整改要求。此外，本评估模式还包括年度业务评估计划统计、已评估档案管理和评估数据积累机制，以确保评估工作的严谨和权威性。2.2基于新业务平台测评手段的评估技术集成创新通过具有安全服务能力评定资质的第三方机构对新技术新业务进行平台安全脆弱性扫描，出具第三方安全测评系列报告，报告新业务的平台漏洞状态、账户弱口令状态、主机安全危险状态等信息。如果新产品有移动AP

4、P客户端，则通过国家信息产业通信软件测评中心的移动互联网应用测试服务平台和手机应用安全测试仪，对业务加测移动恶意代码程序和手机病毒进行扫描，出具相应的测评报告。有安全隐患的发回整改，复查达标才算报告完结。同时，业务上线运营后还将定期对业务进行跟踪复测，出现安全漏洞或病毒的出具复测通知书，限期整改。项目在技术手段方面的集成创新，充分保障了新技术新业务运营的可靠性和安全性，为电信运营商业务的长期应用和持续发展提供了重要的技术支撑。3推广效果本项目实施从2013年第四季度正式启动，选定了涵盖前后端的专家组成员，初步确定了评估流程和方式，开始进行评估实践。2014年3月，根据实践，在评估工作中细分出项

5、目组自评估报告和专家评估报告，重点要求产品开发方签字承诺在产品中没有无关后门和恶意程序存在，并要求所有省级新技术新业务必须进行信息安全评估，通过评估后方能上线运营。2014年7月，随着手机恶意吸费、用户隐私泄露等移动互联网安全事件的增多，为了更加严谨评估移动类新业务的安全状况，引入了技术量化测评，云南电信开始针对新业务移动APP客户端，委托具有安全评定资质的第三方单位进行移动恶意程序和手机病毒的扫描测评，不达标的要求整改复测。从2015年1月开始，云南电信开始委托具有安全资质的第三方单位进行新业务平台安全扫描测评，同样，不达标的要求整改加固，完成后再次复测，达标后专家组才签字通过。至此，完善而

6、成体系化的云南电信评估流程基本建成，新技术新业务信息安全评估的创新实践对云南电信新技术新业务运营管理起到了质的提升作用。自2014年以来，信息安全评估工作已覆盖云南电信所有部门和单位的新技术新业务，业务类型包括信息服务类、视频监控类、娱乐类、移动即时通信类，产品形式包括Web、WAP、APP、iTV等类型。在评估过程中通过安全测评确实发现多起安全漏洞，甚至是高危漏洞，有些业务管理账号存在弱口令设置，有些信息功能审查缺失等。通过严格评估后，上线运营的新技术新业务目前均工作稳定正常，未出现过任何信息安全事故，这无形中为企业和用户挽回了潜在的经济损失。因此，云南电信的评估工作也得到了集团总部和政府管

7、理部门的肯定。今后本项目提供的评估流程将继续严格实施，并有望在中国电信全国体系中推广。4信息安全评估创造性工作的思考在信息安全评估创造性工作过程中，有以下几点思考。第一，今后的评估工作应分级分类，根据不同的等级和风险程度，执行不同的评估措施。如对于涉及视频监控、位置服务和用户自媒体发送功能的技术业务，应提升测评审查等级。第二，应加大对评估测评技术的研究和应用，黑客的技术手段在不断翻新发展，因此，安全评估测评的技术和方式也应与时俱进。同时，信息安全评估过程并不代表一劳永逸，定期业务抽查复测也非常必要。第三，应加大对安全评估和安全技术人员的培养。人才是信息时代的第一要素，不仅要培养通信和互联网人才

8、，还要重视信息安全专业人才的培养；同时，信息安全人员的稳定性也不容忽视。第四，对信息安全评估的建立档案管理和评估数据积累机制也至关重要，这既是为新技术新业务安全建档，也是信息安全工作管理和经验的积累过程。第五，信息安全评估是对业务运营的事前进行安全防范，与此同时，事中安全监控和技术拦截、事后的应急处置能力也是电信运营商必须同等重视的环节。5结束语在集团总部规范总体指导下，云南电信公司结合国内外过去在新业务新技术运营中遇到的若干问题，逐步创新完善出一套有别于其他运营商的信息安全评估模式，并成功应用推广。通过体系化的信息安全评估审查，新上线的新技术新业务能有效规避可能的安全风险和政治风险，为云南电信业务和技术平台的信息化与互联网化提供有力保障，此举对健全我国信息安全技术和管理体制做出了应有的贡献。第 5 页 共 5 页