随着信息化的发展和后疫情时代生产方式的转型需求,5G、AI、大数据等新型基础设施建设迅速升温,"新基建"作为推动经济发展的重要抓手更是受到各界极大关注。各大运营商(移动、电信、联通)为保持核心竞争力,加持5G商用过程中的业务市场占有率,也纷纷尝试通过远程办公、移动办公开展业务。这不仅优化了工作流程,也大大提高了工作效率和客户满意度。但随着移动化的进程不断加快,移动互联无边界的网络环境带来的安全风险愈发变大。运营商等作为承担公共基础建设的重要单位,更应杜绝以移动化风险在内的各类网络安全风险。因此做好移动化过程中的网络安全防护,也将是运营商的重点工作。那么运营商行业存在哪些移动业务安全问题?又该如何做好运营商移动安全建设工作?本次我们访谈了指掌易运营商行业解决方案专家毛晶晶,为您解码运营商行业移动安全建设之路。
毛晶晶,指掌易运营商行业高级解决方案专家,从事信息安全领域工作十余年,具备丰富的移动安全方案建设经验。曾任职于多家国内知名安全厂商,并为多个运营商移动安全项目提供咨询和规划。
一、面对网络安全风险,有关部门怎么行动?运营商又是如何应对的?
运营商作为国家关键基础设施的建设和运营单位,其网络安全问题一直受到国家和社会的重点关注。为促进并推动重点单位和行业对关键信息基础设施、行业重要系统的网络安全保护,近年来有关部门多次组织国家级的网络安全实战攻防演练(下称"攻防演练"),以此来检验运营商等重点行业的网络安全能力。
此背景下,运营商集团层面下发专项规定和指导,要求下辖单位不仅要满足攻防演练要求,并以此为契机,快速完善网络安全防护机制。近年来,集团制定下发多个网络安全建设指南,针对以移动业务风险在内的多种网络安全风险进行明确,并提出具体建设要求。
面对攻防演练及集团网络安全建设要求,运营商下辖单位纷纷制定应对计划,但采取的应对策略却大相径庭。有的运营商做法简单粗暴,即在攻防演练期间关闭互联网业务,进而避免被攻击。在断网期间,很多业务被迫关闭,依赖于网络进行的业务无法处理,极大的影响了工作效率和客户满意度。且攻防演练是暂时的,仅仅通过关闭网络服务来达成目的,无法根治网络安全带来的威胁。而另一部分运营商则积极应对,通过技术手段去实现合规要求,不仅满足攻防演练合规要求,还通过移动安全建设方案,进一步挖掘移动化带来的价值,促进生产效率的提升。
二、理清核心问题,方可对症下药
无线网络、移动智能设备所具有的开放性、结构复杂性等特点使其面临的安全威胁复杂且危害巨大。要想满足攻防演练要求,解决运营商业务移动化带来的安全风险,就要梳理清楚有哪些安全问题。运营商企业在业务移动化的过程中上线了很多APP,当这些APP暴露在互联网环境中时,或存在大量的高危风险以及业务逻辑漏洞,可导致用户信息泄露、主机被控制和恶意攻击。
细分来看:
一方面 是端上的数据安全层面,传统办公模式下,企业业务普遍运行在内网,且使用的办公设备基本上都是企业资产,并配置了相应的安全策略,这使得数据泄露的风险降到了最低。而随着移动化的发展和疫情的加持,以移动办公为主的远程办公模式逐渐成为主流,运营商企业顺应时代发展,鼓励员工自带设备办公。但因为移动化天然的开放性和无边界性,导致数据泄露的风险大大增加,典型场景如客户信息、经营分析数据等公司重要信息留存在个人设备上,如经过有意无意的分享和泄露,便会给运营商企业带来重大损失。
另一方面 在网络侧,随着运营商业务移动化的快速推进,基于业务处理的APP不断上线。以某省级运营商为例,先后上线的APP多达20个,基于APP的移动端业务处理数据越多,暴露在互联网上的端口就越多,进而数据在传输的过程中就有可能被黑客劫持。除此之外还有服务器端,由于业务应用的服务器资源暴露在互联网上,端口被外界扫描时,或被不法分子攻破漏洞,进而以此为跳板潜入内网进行横向攻击。
三、运营商移动安全建设现状
面对移动化带来的安全风险,很多运营商企业的应对方式低效且无法满足需求。由于缺乏对移动安全建设的清晰认识,安全服务往往就顺势交给了前面提及的业务APP软件开发商。由于此类开发商没有专业的安全背景,安全意识和策略还处于传统安全范畴,所以只能提供一些基础安全能力。最终因缺乏系统性、规范性、针对性的安全方案,所以无法满足攻防演练合规和移动安全防护要求。
面对市场乱象,运营商集团研究并下发安全规范,如要求各省级运营商要把业务APP汇集到统一入口,如"工作助手"。该助手除了具备相应的安全能力外,还要实现业务之间相互打通,以便更高效的开展工作和挖掘移动化的更多价值。另外由于攻防演练的要求,存在减少互联网暴露面的需求,还要对访问APP的行为做出限制,通过隐藏到内网中去,进而减少互联网暴露面,降低被恶意攻击的机会。
四、指掌易移动安全建设思路
基于以上需求,各运营商单位需要一套完整的移动业务安全解决方案,来保障安全运营。深耕移动业务安全领域多年的指掌易,为运营商行业理清移动安全建设思路。主要分三步走:
第一步 ,解决外部网络威胁 。首先是减少互联网暴露面,这一点不管是国家层面还是集团层面都有相关要求,所以在安全建设上要围绕减少互联网暴露面这一核心要求进行。其次,由于各省级运营商移动化进程不相同,所面临的问题和需求也不尽相同,所以解决方案应是本地化的、针对性的。
第二步 ,解决内部安全风险 。目前移动办公等远程办公方式已成为重要的办公模式,运营商几万员工的办公行为都基于线上oa处理、移动办公、审批等,甚至还有巡检、入户服务等都基于移动终端,大量的业务数据存留在员工侧,这些敏感数据或被截屏、复制、转发等扩散出去,造成数据泄露。做好数据防泄露工作,是第二步的重点建设方向。
第三步 ,持续的安全评估 。在满足网络侧和端侧的信任后,还要做持续的信任建设,通过收集到来自云管端各个纬度的业务数据,实现态势感知。利用大数据分析做动态安全策略,并结合人工智能去做自动化的安全策略调整,从而减轻运维工作,提高安全等级。
最后:
指掌易运营商移动安全解决方案为运营商打造全链路、集约化、可扩展的移动安全赋能平台,秉承"安全业务化、业务安全化"的理念,在不影响原有业务基础上,搭建统一、开放、标准的移动化平台,对运营商内部用户、设备、应用、网络接入等多方面进行安全保护,全面赋能运营商开展移动业务和移动办公,保障合规、安全、高效运营。未来,指掌易将继续深耕移动业务安全领域,为保障我国重点单位和行业的网络安全防护而作出进一步贡献。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!