阿里云優(yōu)惠券 先領券再下單

隨著信息化的發(fā)展和后疫情時代生產方式的轉型需求，5G、AI、大數據等新型基礎設施建設迅速升溫，"新基建"作為推動經濟發(fā)展的重要抓手更是受到各界極大關注。各大運營商(移動、電信、聯通)為保持核心競爭力，加持5G商用過程中的業(yè)務市場占有率，也紛紛嘗試通過遠程辦公、移動辦公開展業(yè)務。這不僅優(yōu)化了工作流程，也大大提高了工作效率和客戶滿意度。但隨著移動化的進程不斷加快，移動互聯無邊界的網絡環(huán)境帶來的安全風險愈發(fā)變大。運營商等作為承擔公共基礎建設的重要單位，更應杜絕以移動化風險在內的各類網絡安全風險。因此做好移動化過程中的網絡安全防護，也將是運營商的重點工作。那么運營商行業(yè)存在哪些移動業(yè)務安全問題?又該如何做好運營商移動安全建設工作?本次我們訪談了指掌易運營商行業(yè)解決方案專家毛晶晶，為您解碼運營商行業(yè)移動安全建設之路。

毛晶晶，指掌易運營商行業(yè)高級解決方案專家，從事信息安全領域工作十余年，具備豐富的移動安全方案建設經驗。曾任職于多家國內知名安全廠商，并為多個運營商移動安全項目提供咨詢和規(guī)劃。

一、面對網絡安全風險，有關部門怎么行動？運營商又是如何應對的？

運營商作為國家關鍵基礎設施的建設和運營單位，其網絡安全問題一直受到國家和社會的重點關注。為促進并推動重點單位和行業(yè)對關鍵信息基礎設施、行業(yè)重要系統(tǒng)的網絡安全保護，近年來有關部門多次組織國家級的網絡安全實戰(zhàn)攻防演練(下稱"攻防演練")，以此來檢驗運營商等重點行業(yè)的網絡安全能力。

此背景下，運營商集團層面下發(fā)專項規(guī)定和指導，要求下轄單位不僅要滿足攻防演練要求，并以此為契機，快速完善網絡安全防護機制。近年來，集團制定下發(fā)多個網絡安全建設指南，針對以移動業(yè)務風險在內的多種網絡安全風險進行明確，并提出具體建設要求。

面對攻防演練及集團網絡安全建設要求，運營商下轄單位紛紛制定應對計劃，但采取的應對策略卻大相徑庭。有的運營商做法簡單粗暴，即在攻防演練期間關閉互聯網業(yè)務，進而避免被攻擊。在斷網期間，很多業(yè)務被迫關閉，依賴于網絡進行的業(yè)務無法處理，極大的影響了工作效率和客戶滿意度。且攻防演練是暫時的，僅僅通過關閉網絡服務來達成目的，無法根治網絡安全帶來的威脅。而另一部分運營商則積極應對，通過技術手段去實現合規(guī)要求，不僅滿足攻防演練合規(guī)要求，還通過移動安全建設方案，進一步挖掘移動化帶來的價值，促進生產效率的提升。

二、理清核心問題，方可對癥下藥

無線網絡、移動智能設備所具有的開放性、結構復雜性等特點使其面臨的安全威脅復雜且危害巨大。要想滿足攻防演練要求，解決運營商業(yè)務移動化帶來的安全風險，就要梳理清楚有哪些安全問題。運營商企業(yè)在業(yè)務移動化的過程中上線了很多APP，當這些APP暴露在互聯網環(huán)境中時，或存在大量的高危風險以及業(yè)務邏輯漏洞，可導致用戶信息泄露、主機被控制和惡意攻擊。

細分來看：

一方面 是端上的數據安全層面，傳統(tǒng)辦公模式下，企業(yè)業(yè)務普遍運行在內網，且使用的辦公設備基本上都是企業(yè)資產，并配置了相應的安全策略，這使得數據泄露的風險降到了最低。而隨著移動化的發(fā)展和疫情的加持，以移動辦公為主的遠程辦公模式逐漸成為主流，運營商企業(yè)順應時代發(fā)展，鼓勵員工自帶設備辦公。但因為移動化天然的開放性和無邊界性，導致數據泄露的風險大大增加，典型場景如客戶信息、經營分析數據等公司重要信息留存在個人設備上，如經過有意無意的分享和泄露，便會給運營商企業(yè)帶來重大損失。

另一方面 在網絡側，隨著運營商業(yè)務移動化的快速推進，基于業(yè)務處理的APP不斷上線。以某省級運營商為例，先后上線的APP多達20個，基于APP的移動端業(yè)務處理數據越多，暴露在互聯網上的端口就越多，進而數據在傳輸的過程中就有可能被黑客劫持。除此之外還有服務器端，由于業(yè)務應用的服務器資源暴露在互聯網上，端口被外界掃描時，或被不法分子攻破漏洞，進而以此為跳板潛入內網進行橫向攻擊。

三、運營商移動安全建設現狀

面對移動化帶來的安全風險，很多運營商企業(yè)的應對方式低效且無法滿足需求。由于缺乏對移動安全建設的清晰認識，安全服務往往就順勢交給了前面提及的業(yè)務APP軟件開發(fā)商。由于此類開發(fā)商沒有專業(yè)的安全背景，安全意識和策略還處于傳統(tǒng)安全范疇，所以只能提供一些基礎安全能力。最終因缺乏系統(tǒng)性、規(guī)范性、針對性的安全方案，所以無法滿足攻防演練合規(guī)和移動安全防護要求。

面對市場亂象，運營商集團研究并下發(fā)安全規(guī)范，如要求各省級運營商要把業(yè)務APP匯集到統(tǒng)一入口，如"工作助手"。該助手除了具備相應的安全能力外，還要實現業(yè)務之間相互打通，以便更高效的開展工作和挖掘移動化的更多價值。另外由于攻防演練的要求，存在減少互聯網暴露面的需求，還要對訪問APP的行為做出限制，通過隱藏到內網中去，進而減少互聯網暴露面，降低被惡意攻擊的機會。

四、指掌易移動安全建設思路

基于以上需求，各運營商單位需要一套完整的移動業(yè)務安全解決方案，來保障安全運營。深耕移動業(yè)務安全領域多年的指掌易，為運營商行業(yè)理清移動安全建設思路。主要分三步走：

第一步 ，解決外部網絡威脅 。首先是減少互聯網暴露面，這一點不管是國家層面還是集團層面都有相關要求，所以在安全建設上要圍繞減少互聯網暴露面這一核心要求進行。其次，由于各省級運營商移動化進程不相同，所面臨的問題和需求也不盡相同，所以解決方案應是本地化的、針對性的。

第二步 ，解決內部安全風險 。目前移動辦公等遠程辦公方式已成為重要的辦公模式，運營商幾萬員工的辦公行為都基于線上oa處理、移動辦公、審批等，甚至還有巡檢、入戶服務等都基于移動終端，大量的業(yè)務數據存留在員工側，這些敏感數據或被截屏、復制、轉發(fā)等擴散出去，造成數據泄露。做好數據防泄露工作，是第二步的重點建設方向。

第三步 ，持續(xù)的安全評估 。在滿足網絡側和端側的信任后，還要做持續(xù)的信任建設，通過收集到來自云管端各個緯度的業(yè)務數據，實現態(tài)勢感知。利用大數據分析做動態(tài)安全策略，并結合人工智能去做自動化的安全策略調整，從而減輕運維工作，提高安全等級。

最后：

指掌易運營商移動安全解決方案為運營商打造全鏈路、集約化、可擴展的移動安全賦能平臺，秉承"安全業(yè)務化、業(yè)務安全化"的理念，在不影響原有業(yè)務基礎上，搭建統(tǒng)一、開放、標準的移動化平臺，對運營商內部用戶、設備、應用、網絡接入等多方面進行安全保護，全面賦能運營商開展移動業(yè)務和移動辦公，保障合規(guī)、安全、高效運營。未來，指掌易將繼續(xù)深耕移動業(yè)務安全領域，為保障我國重點單位和行業(yè)的網絡安全防護而作出進一步貢獻。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！