信息來源：中國信息產業(yè)網

移動互聯網的飛速發(fā)展，云計算、大數據、物聯網應用的落地，使得網絡與信息安全面臨前所未有的挑戰(zhàn)。當前，我國對于網絡與信息安全的重視日漸提升，保障網絡與信息安全成為推進“網絡強國”、“互聯網 ”等一系列戰(zhàn)略的基石。在這一背景下，政府主管部門正在積極推進相關政策的落實，而以電信運營商為代表的產業(yè)鏈各方也在以技術為抓手，助力我國網絡與信息安全水平提升。

隨著“互聯網 ”時代來臨，網絡與信息安全威脅和風險日益突出。我國已將網絡與信息安全上升到國家安全戰(zhàn)略高度。習近平總書記在2016年4月19日召開的網絡安全和信息化工作座談會上進一步強調，“網絡安全和信息化是相輔相成的”“安全和發(fā)展要同步推進”“加快構建關鍵信息基礎設施安全保障體系”。

電信運營商網絡與信息安全的內涵和外延發(fā)生了很大變化，面臨著前所未有的挑戰(zhàn)和威脅，同時由于涉及面廣、變化快、新技術新業(yè)務層出不窮、基礎較薄弱等因素，網絡與信息安全工作尚處于被動的應急救火階段。江蘇省郵電規(guī)劃設計院認為，電信運營企業(yè)可從使命、對象、能力、基礎等四個層面出發(fā)，解決為什么、保護誰、怎么做、如何保障四大問題，構建真正符合電信運營商特點的網絡與信息安全體系框架。

肩負三大使命

貫徹落實黨和國家戰(zhàn)略

面對復雜嚴峻的網絡安全形勢，數十個國家已頒布網絡空間國家安全戰(zhàn)略，我國也高度重視。2013年11月12日成立“中國共產黨中央國家安全委員會”，明確信息安全是國家安全體系的重要組成部分。2014年2月27日，成立中央網絡安全和信息化領導小組，該領導小組著眼國家安全和長遠發(fā)展，統(tǒng)籌協(xié)調各個領域的網絡安全和信息化重大問題，研究制定網絡安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策。黨的十八屆五中全會、“十三五”規(guī)劃綱要對實施網絡強國戰(zhàn)略作了部署。電信運營企業(yè)作為國有大型基礎電信設施的建設者、提供者、運營者，所建設和運營的信息通信網絡設施是經濟社會運行的神經中樞，網絡上承載著國家、企業(yè)和用戶的重要信息，也是可能遭到重點攻擊的目標，電信運營企業(yè)必須切實貫徹落實好國家有關網絡與信息安全的政策要求，做好網絡與信息的安全防護。

保障和促進企業(yè)發(fā)展

電信運營企業(yè)作為信息化的主力軍，運營的網絡是企業(yè)乃至國家和社會的信息化、互聯網正常發(fā)展的重要基礎，隨著運營企業(yè)互聯網化、戰(zhàn)略轉型的深入推進，新興業(yè)務快速發(fā)展，各類用戶規(guī)模增長，網絡平臺更加開放，數據量爆炸式增長，面臨的網絡與信息安全風險和挑戰(zhàn)愈加突出，用戶信息泄露、信息數據被截取、內容涉黃涉暴等網絡與信息安全事件層出不窮，造成業(yè)務下線、網站關停等嚴重影響企業(yè)業(yè)務發(fā)展的后果，亟須網絡與信息安全為企業(yè)保駕護航。

同時，電信運營企業(yè)也可利用當前社會對網絡與信息安全空前關注的機會，化壓力為動力，化危機為機遇，將企業(yè)的網絡與信息安全能力轉化為對外的安全服務和產品，形成市場競爭新優(yōu)勢，促進企業(yè)發(fā)展。

履行企業(yè)社會責任

正如很多新型技術都是“雙刃劍”一樣，互聯網也是如此?？焖侔l(fā)展的互聯網越來越成為人們學習、工作、生活的新空間，在給我們帶來便利的同時，網絡詐騙、虛假廣告、涉黃涉暴等負面現象也接踵而至。電信運營企業(yè)作為國有大型企業(yè)，尤其要率先履行社會責任，堅持經濟效益和社會效益并重，在企業(yè)經營過程中，要擔起社會責任、道德責任，確保網絡與信息安全，營造一個氣朗風清、健康的網絡空間。

網絡與信息是企業(yè)的資產，具有極其重要的價值，必須保證其安全。因此，從對象上看，電信運營商構建的安全體系主要包括兩個方面：一個是網絡安全，一個是信息安全。

網絡安全是指網絡的硬件、軟件及其系統(tǒng)不因網絡攻擊、非法入侵等原因而遭到破壞，網絡連續(xù)可靠正常運行，服務不中斷。網絡安全主要有主機安全、操作系統(tǒng)安全、數據庫安全、配置安全、物理環(huán)境安全等。信息安全是指網絡承載的業(yè)務、數據、內容、用戶信息及其交互的安全，在整個運營過程中不被非法篡改、泄露，具有完整性、保密性、可用性和合法合規(guī)性。

網絡安全側重于網絡環(huán)境的安全，是對異常、濫用行為的監(jiān)測和防控，是信息安全的基礎，是保護信息安全的重要手段。信息安全側重于信息產生、存儲、傳輸、處理等過程的安全，是網絡安全的價值體現和工作目標，兩者互相作用，相輔相成。

提升四大能力

可靠的防護能力

防護能力是指采取手段與措施，使企業(yè)的網絡、信息系統(tǒng)具備防范抵御各種已知的針對網絡與信息安全威脅的能力。鑒于互聯網的開放性與安全的短板效應，在開放的網絡空間環(huán)境下的社會主體需要對自身的網絡與信息進行必要的防護，事先采取各種管理與技術措施，對潛在的威脅進行可靠預防，確保網絡與信息的保密性、完整性、可用性、不可抵賴性、可靠性。

精確的感知能力

感知能力是指采取手段與措施使得網絡與信息系統(tǒng)具備監(jiān)測、分析和預測各種已知或未知的、潛在與事實上的針對網絡與信息安全威脅的能力。對網絡與信息進行安全監(jiān)測，對現有事件進行告警和說明，及時發(fā)現，同時對資產數據、配置數據、漏洞數據、內外部威脅數據和事件數據等進行收集和梳理，在此基礎上進行特征歸納，分析這些安全事件背后的意義，并找出有意義的指標和參數，最后再根據這些指標變化來預測未來的趨勢和變化，這些變化對企業(yè)有什么影響，同時還要提出應對建議。

快速的處置能力

處置能力是指采取手段與措施，使得網絡與信息系統(tǒng)針對所出現的各種突發(fā)事件，具備及時響應、處置網絡與信息系統(tǒng)所遭受的攻擊，恢復網絡與信息系統(tǒng)基本服務的能力。處置能力包含建立應急響應體系，企業(yè)須按照“平戰(zhàn)”結合的原則，積極做好網絡與信息安全事件的應急預案及演練、報告制度、保障工作，以便在事件出現時能夠及時響應，針對攻擊事件進行有效處置，以防止事態(tài)的進一步惡化，面向攻擊所出現的故障確?；謴?，從而將損失降到最低。

準確的溯源能力

溯源能力是指采取手段與措施，確定網絡攻擊者身份或位置信息及其中間介質的能力，身份信息包括攻擊者名字、賬號或與之有關系的類似信息；位置信息包括其地理位置或虛擬地址，如IP地址、MAC地址等。追蹤溯源過程還能夠提供其他輔助信息，比如攻擊路徑和攻擊時序等。管理者可使用追蹤溯源技術定位真正的攻擊源，以采取多種安全策略和手段，從源頭抑制，防止網絡攻擊帶來更大破壞, 并記錄攻擊過程, 為司法取證提供必要的信息支撐。

通過溯源，可以確定攻擊源,制定實施針對性的防御策略；采取攔截、隔離等手段，減輕損害,保證網絡平穩(wěn)健康運行；記錄攻擊過程，出現安全問題時提供依據與手段，具有可審查性；同時，準確的溯源能力將對網絡攻擊者或潛在攻擊者產生極大的威懾力。

健全四大體系

完善的規(guī)范體系

電信運營企業(yè)的網絡與信息安全保障工作尚處于起步階段，規(guī)章、制度還不夠完善，缺乏可落地執(zhí)行的結構化、層次化、可擴展的標準規(guī)范。結合國內外標準和電信運營企業(yè)特點，可從管理和技術兩個維度，構建自上至下的四層安全管理規(guī)范體系模型。

第一層是總綱，涉及網絡與信息安全工作的范圍、原則、目標和策略，具有總體指導意義。

第二層是對總綱的分解，側重于管理制度和技術規(guī)范，對安全工作具有實際的指導作用。

第三層是根據不同類型的網絡和應用環(huán)境，統(tǒng)一制定的具體細則、流程和規(guī)范。

第四層是操作層面，結合企業(yè)各部門實際及具體的網絡和應用系統(tǒng)，分別制訂詳細的操作步驟與配置方法。

順暢的實施體系

由于企業(yè)的網絡與信息安全工作包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術等眾多專業(yè)，涉及電信運營企業(yè)后端網絡的建設、維護與管理支撐，以及前端的市場銷售等各環(huán)節(jié)，往往某類信息的安全防護、安全事件的處置等均需要多專業(yè)配合，多部門協(xié)同，因此，網絡與信息安全需要一套包含工作機制和工作流程在內的順暢的實施體系，明確牽頭、歸口、操作部門的分工界面及職責劃分，將網絡與信息安全管理嵌入企業(yè)生產流程的各個環(huán)節(jié)，確保企業(yè)網絡與信息安全工作縱向和橫向協(xié)同推進，順暢實施。

有效的監(jiān)督體系

電信運營企業(yè)當前的網絡與信息安全工作存在安全意識薄弱、工作執(zhí)行打折扣、整改落實不到位等現象，為確保網絡與信息安全工作推進落實不走樣、不打折，需要一套有效的監(jiān)督體系。監(jiān)督措施主要包括檢查督促、考核獎懲、管理和技術審計、風險評估等手段。

有力的保障體系

管理和技術的有效實施，最終都依賴于各種相關的資源保障，需要有力的保障體系作支撐。保障措施主要包括組織機構、人員配備、教育培訓、安全意識宣貫、管理信息化支撐手段、資產管理、信息報備、特殊通信、重要時期網絡與信息安全保障等內容。

總工點評：

沒有網絡安全，就沒有國家安全?！盎ヂ摼W ”時代，電信運營企業(yè)網絡與信息安全工作面臨新的挑戰(zhàn)。在這一背景下，電信運營企業(yè)需肩負國家政策、社會責任、企業(yè)發(fā)展三大使命，切實保障網絡與信息兩大類安全，大力提升網絡與信息安全的防護、感知、處置、溯源四大能力，健全規(guī)范、實施、監(jiān)督、保障四大體系，構建新一代網絡與信息安全體系。

——江蘇省郵電規(guī)劃設計院總工程師袁源