【行业访谈系列】指掌易:运营商移动安全建设之路

2020-11-25 15:23:00

来源:指掌易

随着信息化的发展和后疫情时代生产方式的转型需求,5G、AI、大数据等新型基础设施建设迅速升温,“新基建”作为推动经济发展的重要抓手更是受到各界极大关注。各大运营商(移动、电信、联通)为保持核心竞争力,加持5G商用过程中的业务市场占有率,也纷纷尝试通过远程办公、移动办公开展业务。这不仅优化了工作流程,也大大提高了工作效率和客户满意度。但随着移动化的进程不断加快,移动互联无边界的网络环境带来的安全风险愈发变大。运营商等作为承担公共基础建设的重要单位,更应杜绝以移动化风险在内的各类网络安全风险。因此做好移动化过程中的网络安全防护,也将是运营商的重点工作。那么运营商行业存在哪些移动业务安全问题?又该如何做好运营商移动安全建设工作?指掌易运营商行业解决方案专家毛晶晶为您解码运营商行业移动安全建设之路。

专家简介:

毛晶晶,指掌易运营商行业高级解决方案专家,从事信息安全领域工作十余年,具备丰富的移动安全方案建设经验。曾任职于多家国内知名安全厂商,并为多个运营商移动安全项目提供咨询和规划。

01

面对网络安全风险

有关部门怎么行动?

运营商又是如何应对的?

运营商作为国家关键基础设施的建设和运营单位,其网络安全问题一直受到国家和社会的重点关注。为促进并推动重点单位和行业对关键信息基础设施、行业重要系统的网络安全保护,近年来有关部门多次组织国家级的网络安全实战攻防演练(下称“攻防演练”),以此来检验运营商等重点行业的网络安全能力。

此背景下,运营商集团层面下发专项规定和指导,要求下辖单位不仅要满足攻防演练要求,并以此为契机,快速完善网络安全防护机制。近年来,集团制定下发多个网络安全建设指南,针对以移动业务风险在内的多种网络安全风险进行明确,并提出具体建设要求。

面对攻防演练及集团网络安全建设要求,运营商下辖单位纷纷制定应对计划,但采取的应对策略却大相径庭。有的运营商做法简单粗暴,即在攻防演练期间关闭互联网业务,进而避免被攻击。在断网期间,很多业务被迫关闭,依赖于网络进行的业务无法处理,极大的影响了工作效率和客户满意度。且攻防演练是暂时的,仅仅通过关闭网络服务来达成目的,无法根治网络安全带来的威胁。而另一部分运营商则积极应对,通过技术手段去实现合规要求,不仅满足攻防演练合规要求,还通过移动安全建设方案,进一步挖掘移动化带来的价值,促进生产效率的提升。

02

理清核心问题,方可对症下药

无线网络、移动智能设备所具有的开放性、结构复杂性等特点使其面临的安全威胁复杂且危害巨大。要想满足攻防演练要求,解决运营商业务移动化带来的安全风险,就要梳理清楚有哪些安全问题。运营商企业在业务移动化的过程中上线了很多APP,当这些APP暴露在互联网环境中时,或存在大量的高危风险以及业务逻辑漏洞,可导致用户信息泄露、主机被控制和恶意攻击。

细分来看:

一方面是端上的数据安全层面,传统办公模式下,企业业务普遍运行在内网,且使用的办公设备基本上都是企业资产,并配置了相应的安全策略,这使得数据泄露的风险降到了最低。而随着移动化的发展和疫情的加持,以移动办公为主的远程办公模式逐渐成为主流,运营商企业顺应时代发展,鼓励员工自带设备办公。但因为移动化天然的开放性和无边界性,导致数据泄露的风险大大增加,典型场景如客户信息、经营分析数据等公司重要信息留存在个人设备上,如经过有意无意的分享和泄露,便会给运营商企业带来重大损失。

另一方面在网络侧,随着运营商业务移动化的快速推进,基于业务处理的APP不断上线。以某省级运营商为例,先后上线的APP多达20个,基于APP的移动端业务处理数据越多,暴露在互联网上的端口就越多,进而数据在传输的过程中就有可能被黑客劫持。除此之外还有服务器端,由于业务应用的服务器资源暴露在互联网上,端口被外界扫描时,或被不法分子攻破漏洞,进而以此为跳板潜入内网进行横向攻击。

03

运营商移动安全建设现状

面对移动化带来的安全风险,很多运营商企业的应对方式低效且无法满足需求。由于缺乏对移动安全建设的清晰认识,安全服务往往就顺势交给了前面提及的业务APP软件开发商。由于此类开发商没有专业的安全背景,安全意识和策略还处于传统安全范畴,所以只能提供一些基础安全能力。最终因缺乏系统性、规范性、针对性的安全方案,所以无法满足攻防演练合规和移动安全防护要求。

面对市场乱象,运营商集团研究并下发安全规范,如要求各省级运营商要把业务APP汇集到统一入口,如“工作助手”。该助手除了具备相应的安全能力外,还要实现业务之间相互打通,以便更高效的开展工作和挖掘移动化的更多价值。另外由于攻防演练的要求,存在减少互联网暴露面的需求,还要对访问APP的行为做出限制,通过隐藏到内网中去,进而减少互联网暴露面,降低被恶意攻击的机会。

04

指掌易移动安全建设思路

基于以上需求,各运营商单位需要一套完整的移动业务安全解决方案,来保障安全运营。深耕移动业务安全领域多年的指掌易,为运营商行业理清移动安全建设思路。主要分三步走:

第一步,解决外部网络威胁。首先是减少互联网暴露面,这一点不管是国家层面还是集团层面都有相关要求,所以在安全建设上要围绕减少互联网暴露面这一核心要求进行。其次,由于各省级运营商移动化进程不相同,所面临的问题和需求也不尽相同,所以解决方案应是本地化的、针对性的。

第二步,解决内部安全风险。目前移动办公等远程办公方式已成为重要的办公模式,运营商几万员工的办公行为都基于线上oa处理、移动办公、审批等,甚至还有巡检、入户服务等都基于移动终端,大量的业务数据存留在员工侧,这些敏感数据或被截屏、复制、转发等扩散出去,造成数据泄露。做好数据防泄露工作,是第二步的重点建设方向。

第三步,持续的安全评估。在满足网络侧和端侧的信任后,还要做持续的信任建设,通过收集到来自云管端各个纬度的业务数据,实现态势感知。利用大数据分析做动态安全策略,并结合人工智能去做自动化的安全策略调整,从而减轻运维工作,提高安全等级。

指掌易运营商移动安全解决方案为运营商打造全链路、集约化、可扩展的移动安全赋能平台,秉承“安全业务化、业务安全化”的理念,在不影响原有业务基础上,搭建统一、开放、标准的移动化平台,对运营商内部用户、设备、应用、网络接入等多方面进行安全保护,全面赋能运营商开展移动业务和移动办公,保障合规、安全、高效运营。未来,指掌易将继续深耕移动业务安全领域,为保障我国重点单位和行业的网络安全防护而作出进一步贡献。

索取“此产品”详细资料,请留言
  • *姓名:
  • *手机:
  • *邮寄地址: