新技術新業務信息安全論文

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了新技術新業務信息安全論文范文，希望能給你帶來靈感和參考，敬請閱讀。

1新技術新業務信息安全評估

當前，網絡信息安全形勢嚴峻，國內有關評估工作還處于起步階段，云南電信在這方面作了積極的探索。云南電信2013年成立信息安全評估專家項目組，項目組經過研究工業和信息化部以及集團總部相關文件，一致認為要在集團規范指導下抓細節、治痛點，不能流于形式，應通過創新，完善評估流程和方法，真正使信息安全評估為新技術新業務的運營保駕護航，所做工作要對800多萬云南電信用戶負責，要能有效地防范用戶隱私泄露和惡意扣費的風險。

2云南電信的創新實踐

云南電信公司新技術新業務信息安全評估的創新性實踐，主要從機制、管理和技術手段方面進行執行細化，具體創新點如下。

2.1基于二加一多層次的信息安全評估模式創新

項目依據新技術信息安全評估的總體原則，從解決業務運營中可能出現的安全技術風險和安全管理風險出發，采用機制設計、管理控制和技術監測建立一套新型多維度的信息安全評估模式。該模式包含兩個內部評估機制，即輸出新業務項目組自評估報告和信息安全專家評估報告；一個外部技術測評，即輸出第三方安全測評系列報告，故稱為二加一評估模式。新業務項目組自評估報告重點要求開發方承諾在產品中沒有無關后門程序存在，同時要求電信業務管理部門、維護支撐部門及開發方組成的項目組對產品按模板條款進行全面梳理，保證產品上線和運營營銷后，其信息安全從技術、管理措施方面按模板要求合法合規，且項目組所有成員應達成共識，簽字確認。由業務管理和建設維護、IT支撐部門組成的專家組對新技術新業務的自評估報告、新業務的安全管理措施和第三方安全測評報告共同進行審查，各方面達標則出具信息安全評估報告，不達標則對項目組提出整改要求。此外，本評估模式還包括年度業務評估計劃統計、已評估檔案管理和評估數據積累機制，以確保評估工作的嚴謹和權威性。

2.2基于新業務平臺測評手段的評估技術集成創新

通過具有安全服務能力評定資質的第三方機構對新技術新業務進行平臺安全脆弱性掃描，出具第三方安全測評系列報告，報告新業務的平臺漏洞狀態、賬戶弱口令狀態、主機安全危險狀態等信息。如果新產品有移動APP客戶端，則通過國家信息產業通信軟件測評中心的移動互聯網應用測試服務平臺和手機應用安全測試儀，對業務加測移動惡意代碼程序和手機病毒進行掃描，出具相應的測評報告。有安全隱患的發回整改，復查達標才算報告完結。同時，業務上線運營后還將定期對業務進行跟蹤復測，出現安全漏洞或病毒的出具復測通知書，限期整改。項目在技術手段方面的集成創新，充分保障了新技術新業務運營的可靠性和安全性，為電信運營商業務的長期應用和持續發展提供了重要的技術支撐。

3推廣效果

本項目實施從2013年第四季度正式啟動，選定了涵蓋前后端的專家組成員，初步確定了評估流程和方式，開始進行評估實踐。2014年3月，根據實踐，在評估工作中細分出項目組自評估報告和專家評估報告，重點要求產品開發方簽字承諾在產品中沒有無關后門和惡意程序存在，并要求所有省級新技術新業務必須進行信息安全評估，通過評估后方能上線運營。2014年7月，隨著手機惡意吸費、用戶隱私泄露等移動互聯網安全事件的增多，為了更加嚴謹評估移動類新業務的安全狀況，引入了技術量化測評，云南電信開始針對新業務移動APP客戶端，委托具有安全評定資質的第三方單位進行移動惡意程序和手機病毒的掃描測評，不達標的要求整改復測。從2015年1月開始，云南電信開始委托具有安全資質的第三方單位進行新業務平臺安全掃描測評，同樣，不達標的要求整改加固，完成后再次復測，達標后專家組才簽字通過。至此，完善而成體系化的云南電信評估流程基本建成，新技術新業務信息安全評估的創新實踐對云南電信新技術新業務運營管理起到了質的提升作用。自2014年以來，信息安全評估工作已覆蓋云南電信所有部門和單位的新技術新業務，業務類型包括信息服務類、視頻監控類、娛樂類、移動即時通信類，產品形式包括Web、WAP、APP、iTV等類型。在評估過程中通過安全測評確實發現多起安全漏洞，甚至是高危漏洞，有些業務管理賬號存在弱口令設置，有些信息功能審查缺失等。通過嚴格評估后，上線運營的新技術新業務目前均工作穩定正常，未出現過任何信息安全事故，這無形中為企業和用戶挽回了潛在的經濟損失。因此，云南電信的評估工作也得到了集團總部和政府管理部門的肯定。今后本項目提供的評估流程將繼續嚴格實施，并有望在中國電信全國體系中推廣。

4信息安全評估創造性工作的思考

在信息安全評估創造性工作過程中，有以下幾點思考。第一，今后的評估工作應分級分類，根據不同的等級和風險程度，執行不同的評估措施。如對于涉及視頻監控、位置服務和用戶自媒體發送功能的技術業務，應提升測評審查等級。第二，應加大對評估測評技術的研究和應用，黑客的技術手段在不斷翻新發展，因此，安全評估測評的技術和方式也應與時俱進。同時，信息安全評估過程并不代表一勞永逸，定期業務抽查復測也非常必要。第三，應加大對安全評估和安全技術人員的培養。人才是信息時代的第一要素，不僅要培養通信和互聯網人才，還要重視信息安全專業人才的培養；同時，信息安全人員的穩定性也不容忽視。第四，對信息安全評估的建立檔案管理和評估數據積累機制也至關重要，這既是為新技術新業務安全建檔，也是信息安全工作管理和經驗的積累過程。第五，信息安全評估是對業務運營的事前進行安全防范，與此同時，事中安全監控和技術攔截、事后的應急處置能力也是電信運營商必須同等重視的環節。

5結束語

在集團總部規范總體指導下，云南電信公司結合國內外過去在新業務新技術運營中遇到的若干問題，逐步創新完善出一套有別于其他運營商的信息安全評估模式，并成功應用推廣。通過體系化的信息安全評估審查，新上線的新技術新業務能有效規避可能的安全風險和政治風險，為云南電信業務和技術平臺的信息化與互聯網化提供有力保障，此舉對健全我國信息安全技術和管理體制做出了應有的貢獻。

作者：車力軍 單位：中國電信股份有限公司云南分公司