域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

隨著信息化的發(fā)展和后疫情時(shí)代生產(chǎn)方式的轉(zhuǎn)型需求，5G、AI、大數(shù)據(jù)等新型基礎(chǔ)設(shè)施建設(shè)迅速升溫，"新基建"作為推動(dòng)經(jīng)濟(jì)發(fā)展的重要抓手更是受到各界極大關(guān)注。各大運(yùn)營商(移動(dòng)、電信、聯(lián)通)為保持核心競爭力，加持5G商用過程中的業(yè)務(wù)市場占有率，也紛紛嘗試通過遠(yuǎn)程辦公、移動(dòng)辦公開展業(yè)務(wù)。這不僅優(yōu)化了工作流程，也大大提高了工作效率和客戶滿意度。但隨著移動(dòng)化的進(jìn)程不斷加快，移動(dòng)互聯(lián)無邊界的網(wǎng)絡(luò)環(huán)境帶來的安全風(fēng)險(xiǎn)愈發(fā)變大。運(yùn)營商等作為承擔(dān)公共基礎(chǔ)建設(shè)的重要單位，更應(yīng)杜絕以移動(dòng)化風(fēng)險(xiǎn)在內(nèi)的各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此做好移動(dòng)化過程中的網(wǎng)絡(luò)安全防護(hù)，也將是運(yùn)營商的重點(diǎn)工作。那么運(yùn)營商行業(yè)存在哪些移動(dòng)業(yè)務(wù)安全問題?又該如何做好運(yùn)營商移動(dòng)安全建設(shè)工作?本次我們訪談了指掌易運(yùn)營商行業(yè)解決方案專家毛晶晶，為您解碼運(yùn)營商行業(yè)移動(dòng)安全建設(shè)之路。

毛晶晶，指掌易運(yùn)營商行業(yè)高級(jí)解決方案專家，從事信息安全領(lǐng)域工作十余年，具備豐富的移動(dòng)安全方案建設(shè)經(jīng)驗(yàn)。曾任職于多家國內(nèi)知名安全廠商，并為多個(gè)運(yùn)營商移動(dòng)安全項(xiàng)目提供咨詢和規(guī)劃。

一、面對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有關(guān)部門怎么行動(dòng)？運(yùn)營商又是如何應(yīng)對的？

運(yùn)營商作為國家關(guān)鍵基礎(chǔ)設(shè)施的建設(shè)和運(yùn)營單位，其網(wǎng)絡(luò)安全問題一直受到國家和社會(huì)的重點(diǎn)關(guān)注。為促進(jìn)并推動(dòng)重點(diǎn)單位和行業(yè)對關(guān)鍵信息基礎(chǔ)設(shè)施、行業(yè)重要系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)，近年來有關(guān)部門多次組織國家級(jí)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練(下稱"攻防演練")，以此來檢驗(yàn)運(yùn)營商等重點(diǎn)行業(yè)的網(wǎng)絡(luò)安全能力。

此背景下，運(yùn)營商集團(tuán)層面下發(fā)專項(xiàng)規(guī)定和指導(dǎo)，要求下轄單位不僅要滿足攻防演練要求，并以此為契機(jī)，快速完善網(wǎng)絡(luò)安全防護(hù)機(jī)制。近年來，集團(tuán)制定下發(fā)多個(gè)網(wǎng)絡(luò)安全建設(shè)指南，針對以移動(dòng)業(yè)務(wù)風(fēng)險(xiǎn)在內(nèi)的多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行明確，并提出具體建設(shè)要求。

面對攻防演練及集團(tuán)網(wǎng)絡(luò)安全建設(shè)要求，運(yùn)營商下轄單位紛紛制定應(yīng)對計(jì)劃，但采取的應(yīng)對策略卻大相徑庭。有的運(yùn)營商做法簡單粗暴，即在攻防演練期間關(guān)閉互聯(lián)網(wǎng)業(yè)務(wù)，進(jìn)而避免被攻擊。在斷網(wǎng)期間，很多業(yè)務(wù)被迫關(guān)閉，依賴于網(wǎng)絡(luò)進(jìn)行的業(yè)務(wù)無法處理，極大的影響了工作效率和客戶滿意度。且攻防演練是暫時(shí)的，僅僅通過關(guān)閉網(wǎng)絡(luò)服務(wù)來達(dá)成目的，無法根治網(wǎng)絡(luò)安全帶來的威脅。而另一部分運(yùn)營商則積極應(yīng)對，通過技術(shù)手段去實(shí)現(xiàn)合規(guī)要求，不僅滿足攻防演練合規(guī)要求，還通過移動(dòng)安全建設(shè)方案，進(jìn)一步挖掘移動(dòng)化帶來的價(jià)值，促進(jìn)生產(chǎn)效率的提升。

二、理清核心問題，方可對癥下藥

無線網(wǎng)絡(luò)、移動(dòng)智能設(shè)備所具有的開放性、結(jié)構(gòu)復(fù)雜性等特點(diǎn)使其面臨的安全威脅復(fù)雜且危害巨大。要想滿足攻防演練要求，解決運(yùn)營商業(yè)務(wù)移動(dòng)化帶來的安全風(fēng)險(xiǎn)，就要梳理清楚有哪些安全問題。運(yùn)營商企業(yè)在業(yè)務(wù)移動(dòng)化的過程中上線了很多APP，當(dāng)這些APP暴露在互聯(lián)網(wǎng)環(huán)境中時(shí)，或存在大量的高危風(fēng)險(xiǎn)以及業(yè)務(wù)邏輯漏洞，可導(dǎo)致用戶信息泄露、主機(jī)被控制和惡意攻擊。

細(xì)分來看：

一方面 是端上的數(shù)據(jù)安全層面，傳統(tǒng)辦公模式下，企業(yè)業(yè)務(wù)普遍運(yùn)行在內(nèi)網(wǎng)，且使用的辦公設(shè)備基本上都是企業(yè)資產(chǎn)，并配置了相應(yīng)的安全策略，這使得數(shù)據(jù)泄露的風(fēng)險(xiǎn)降到了最低。而隨著移動(dòng)化的發(fā)展和疫情的加持，以移動(dòng)辦公為主的遠(yuǎn)程辦公模式逐漸成為主流，運(yùn)營商企業(yè)順應(yīng)時(shí)代發(fā)展，鼓勵(lì)員工自帶設(shè)備辦公。但因?yàn)橐苿?dòng)化天然的開放性和無邊界性，導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)大大增加，典型場景如客戶信息、經(jīng)營分析數(shù)據(jù)等公司重要信息留存在個(gè)人設(shè)備上，如經(jīng)過有意無意的分享和泄露，便會(huì)給運(yùn)營商企業(yè)帶來重大損失。

另一方面 在網(wǎng)絡(luò)側(cè)，隨著運(yùn)營商業(yè)務(wù)移動(dòng)化的快速推進(jìn)，基于業(yè)務(wù)處理的APP不斷上線。以某省級(jí)運(yùn)營商為例，先后上線的APP多達(dá)20個(gè)，基于APP的移動(dòng)端業(yè)務(wù)處理數(shù)據(jù)越多，暴露在互聯(lián)網(wǎng)上的端口就越多，進(jìn)而數(shù)據(jù)在傳輸?shù)倪^程中就有可能被黑客劫持。除此之外還有服務(wù)器端，由于業(yè)務(wù)應(yīng)用的服務(wù)器資源暴露在互聯(lián)網(wǎng)上，端口被外界掃描時(shí)，或被不法分子攻破漏洞，進(jìn)而以此為跳板潛入內(nèi)網(wǎng)進(jìn)行橫向攻擊。

三、運(yùn)營商移動(dòng)安全建設(shè)現(xiàn)狀

面對移動(dòng)化帶來的安全風(fēng)險(xiǎn)，很多運(yùn)營商企業(yè)的應(yīng)對方式低效且無法滿足需求。由于缺乏對移動(dòng)安全建設(shè)的清晰認(rèn)識(shí)，安全服務(wù)往往就順勢交給了前面提及的業(yè)務(wù)APP軟件開發(fā)商。由于此類開發(fā)商沒有專業(yè)的安全背景，安全意識(shí)和策略還處于傳統(tǒng)安全范疇，所以只能提供一些基礎(chǔ)安全能力。最終因缺乏系統(tǒng)性、規(guī)范性、針對性的安全方案，所以無法滿足攻防演練合規(guī)和移動(dòng)安全防護(hù)要求。

面對市場亂象，運(yùn)營商集團(tuán)研究并下發(fā)安全規(guī)范，如要求各省級(jí)運(yùn)營商要把業(yè)務(wù)APP匯集到統(tǒng)一入口，如"工作助手"。該助手除了具備相應(yīng)的安全能力外，還要實(shí)現(xiàn)業(yè)務(wù)之間相互打通，以便更高效的開展工作和挖掘移動(dòng)化的更多價(jià)值。另外由于攻防演練的要求，存在減少互聯(lián)網(wǎng)暴露面的需求，還要對訪問APP的行為做出限制，通過隱藏到內(nèi)網(wǎng)中去，進(jìn)而減少互聯(lián)網(wǎng)暴露面，降低被惡意攻擊的機(jī)會(huì)。

四、指掌易移動(dòng)安全建設(shè)思路

基于以上需求，各運(yùn)營商單位需要一套完整的移動(dòng)業(yè)務(wù)安全解決方案，來保障安全運(yùn)營。深耕移動(dòng)業(yè)務(wù)安全領(lǐng)域多年的指掌易，為運(yùn)營商行業(yè)理清移動(dòng)安全建設(shè)思路。主要分三步走：

第一步 ，解決外部網(wǎng)絡(luò)威脅 。首先是減少互聯(lián)網(wǎng)暴露面，這一點(diǎn)不管是國家層面還是集團(tuán)層面都有相關(guān)要求，所以在安全建設(shè)上要圍繞減少互聯(lián)網(wǎng)暴露面這一核心要求進(jìn)行。其次，由于各省級(jí)運(yùn)營商移動(dòng)化進(jìn)程不相同，所面臨的問題和需求也不盡相同，所以解決方案應(yīng)是本地化的、針對性的。

第二步 ，解決內(nèi)部安全風(fēng)險(xiǎn) 。目前移動(dòng)辦公等遠(yuǎn)程辦公方式已成為重要的辦公模式，運(yùn)營商幾萬員工的辦公行為都基于線上oa處理、移動(dòng)辦公、審批等，甚至還有巡檢、入戶服務(wù)等都基于移動(dòng)終端，大量的業(yè)務(wù)數(shù)據(jù)存留在員工側(cè)，這些敏感數(shù)據(jù)或被截屏、復(fù)制、轉(zhuǎn)發(fā)等擴(kuò)散出去，造成數(shù)據(jù)泄露。做好數(shù)據(jù)防泄露工作，是第二步的重點(diǎn)建設(shè)方向。

第三步 ，持續(xù)的安全評估 。在滿足網(wǎng)絡(luò)側(cè)和端側(cè)的信任后，還要做持續(xù)的信任建設(shè)，通過收集到來自云管端各個(gè)緯度的業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)態(tài)勢感知。利用大數(shù)據(jù)分析做動(dòng)態(tài)安全策略，并結(jié)合人工智能去做自動(dòng)化的安全策略調(diào)整，從而減輕運(yùn)維工作，提高安全等級(jí)。

最后：

指掌易運(yùn)營商移動(dòng)安全解決方案為運(yùn)營商打造全鏈路、集約化、可擴(kuò)展的移動(dòng)安全賦能平臺(tái)，秉承"安全業(yè)務(wù)化、業(yè)務(wù)安全化"的理念，在不影響原有業(yè)務(wù)基礎(chǔ)上，搭建統(tǒng)一、開放、標(biāo)準(zhǔn)的移動(dòng)化平臺(tái)，對運(yùn)營商內(nèi)部用戶、設(shè)備、應(yīng)用、網(wǎng)絡(luò)接入等多方面進(jìn)行安全保護(hù)，全面賦能運(yùn)營商開展移動(dòng)業(yè)務(wù)和移動(dòng)辦公，保障合規(guī)、安全、高效運(yùn)營。未來，指掌易將繼續(xù)深耕移動(dòng)業(yè)務(wù)安全領(lǐng)域，為保障我國重點(diǎn)單位和行業(yè)的網(wǎng)絡(luò)安全防護(hù)而作出進(jìn)一步貢獻(xiàn)。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！