各位同仁下午好!非常高興有這個機(jī)會，中國聯(lián)通在安全防護(hù)上做一個介紹，做一下交流，有很多在安全方面的服務(wù)的需求，一些合作的機(jī)會。

　　在這之前，因為我這是一個當(dāng)時準(zhǔn)備的材料，內(nèi)部給領(lǐng)導(dǎo)匯報的材料，有些內(nèi)容過一下，應(yīng)該說在目前我們這個大的環(huán)境下，網(wǎng)絡(luò)安全，釣魚網(wǎng)站，網(wǎng)頁串改、垃圾郵件等等，都面臨一些安全問題，應(yīng)該說我們業(yè)界有一個說法，尤其跟互聯(lián)網(wǎng)相關(guān)的，比較起來非常的安全，這本身也是有些非常傳統(tǒng)的，比如我們的病毒，僵尸，剛才強(qiáng)調(diào)的針對互聯(lián)網(wǎng)、云計算，移動互聯(lián)網(wǎng)最新面臨的一些問題。

　　應(yīng)該說這些問題本身都有一個身體的特點，一個是低門檻，一個是廣泛性，一個是趨利性，目前越來越多的敵意性。低門檻都可以看到這個結(jié)構(gòu)，某一個控制成敗上萬各，趨利性從安全問題出現(xiàn)以來，是一直存在的，并且整個形成一個產(chǎn)業(yè)鏈。在廣泛性上我們也可以了解一下，2010年的時候，原來可能都針對我們計算機(jī)網(wǎng)絡(luò)的，后來針對工業(yè)控制平臺，專業(yè)網(wǎng)絡(luò)無線的出現(xiàn)了，再一個是我們敵意性，應(yīng)該說從國家安全的角度來說，海陸空天，到網(wǎng)絡(luò)空間是成為第五圍的國際戰(zhàn)略空間。這明顯一個，當(dāng)時伊朗暴露，可能沒有明確的舉證，大家都認(rèn)為這是一個非官方的，是一個有官方背景的，類似于戰(zhàn)略性的攻擊。

　　應(yīng)該說從90年代，我們從當(dāng)時的工程開始到現(xiàn)在為止，我們整個網(wǎng)絡(luò)應(yīng)用，這些服務(wù)越來越多的以互聯(lián)網(wǎng)的基礎(chǔ)上承載在網(wǎng)絡(luò)上面，空間系統(tǒng)，印痕證券、保險，醫(yī)療教育制造業(yè)，包括游戲，各個方面，包括我們現(xiàn)在，尤其是我們的智能手機(jī)，在智能手機(jī)上的應(yīng)用，跟我們個人生活工作是緊密相關(guān)的，他們本身針對安全問題，尤其是個人，相應(yīng)一些企業(yè)，包括我們的國家，都是有很大的危險的，包括最早的熊貓燒香病毒，519斷網(wǎng)，客戶信息的泄漏等等，天涯網(wǎng)客戶信息的泄漏，這些事件給我們一次次敲響了警鐘。跟專家聊天的時候也認(rèn)為，有時候天涯的信息泄漏，很長時間形成一個泄漏的狀態(tài)，如果說大家調(diào)查前，我們會有更多的事件發(fā)生，或者已經(jīng)發(fā)生。

　　目前我們面臨網(wǎng)絡(luò)安全的現(xiàn)狀，中國聯(lián)通在這方面開展相應(yīng)的工作，今天的發(fā)言分四個部分，第一個部分是安全防護(hù)工作政策的一個回顧。整個行業(yè)到我們企業(yè)的工作情況，這是我們電信研究院，介紹一下防護(hù)背景，最早應(yīng)該從公安部門，計算機(jī)系統(tǒng)的一個安全保護(hù)，到后來形成的整個信息系統(tǒng)的防護(hù)，一直到通信行業(yè)，通信安全防護(hù)，這個在通信行業(yè)是工業(yè)信息化部負(fù)責(zé)進(jìn)行管理。

　　從通信角度來講，大概正式開始是從2008年，一個是當(dāng)年頒布的一系列的各個專業(yè)網(wǎng)絡(luò)的人員防護(hù)的行業(yè)規(guī)范，開展針對奧運的一些單元的安全檢查，到09年開始，開展3G以上的一個檢查，2010年是一個比較關(guān)鍵的事件，2010年工信部的十號令管理辦法出臺，目前開展的工作，基于十號令來做的。到現(xiàn)在應(yīng)該說從2010年開始，包括今年，形成比較正規(guī)的體系在推進(jìn)。這是十一號令主要的一些內(nèi)容，明確了這個概念，原則，誰運行誰負(fù)責(zé)的這樣一個工作要求。以及三同步，最后把網(wǎng)絡(luò)單元按照影響的程度，分成了一二三四五級。包括我們單元的劃分，一些備案，以及對二級三級進(jìn)行評測評估，這種時間的要求，進(jìn)行不同的明確。

　　這是我們這個通信行業(yè)的網(wǎng)絡(luò)體系，包括一個管理指南，系列專業(yè)的安全防護(hù)的一些規(guī)范，這是我們開展檢查工作的一個基礎(chǔ)。應(yīng)該說安全防護(hù)工作包括三部分內(nèi)容，一個是安全等級保護(hù)，一個是安全風(fēng)險保護(hù)，一個是災(zāi)難備份及恢復(fù)，風(fēng)險評估方面，對于我們基層人員來說，社會識別，可能有一些方面的基礎(chǔ)，操作起來還是非常困難的。

　　簡要介紹一下這個行業(yè)和我們在安全防護(hù)當(dāng)中的一些情況的回顧，第二部分簡單介紹一下安全防護(hù)過程當(dāng)中發(fā)現(xiàn)的一些問題。這些問題一個是說通過這五年左右的時間，工信部組織安全防護(hù)檢查，企業(yè)內(nèi)部的，包括可能我們的一些社會成員安全機(jī)構(gòu)，他們一些在技術(shù)方面的操守，他們發(fā)現(xiàn)了一些保護(hù)的問題，對一些問題的歸納，技術(shù)層面，在安全檢測方面，開放的比較開放的服務(wù)，建設(shè)方面主要是有帳號，邊界防護(hù)方面，比如有一些配置的及時清理，檢測的能力，訪問控制方面沒有對此進(jìn)行過濾，包括安全審計，有一些保護(hù)設(shè)備，本身具備這個功能，還有一些可能是說有這些功能，在進(jìn)行過程當(dāng)中，由于一些原因，多了一些應(yīng)用。再就是終端管理，還是有或多或少存在一些內(nèi)網(wǎng)的外網(wǎng)。我們有一些系統(tǒng)，或者是某個單元，開發(fā)過程當(dāng)中就存在了一些問題，但是在之前已經(jīng)嚴(yán)格應(yīng)用安全的檢測，以至于發(fā)生的狀態(tài)。

　　對這些問題做一個深層次的分析，我們發(fā)現(xiàn)其實應(yīng)該說，對網(wǎng)絡(luò)安全來說，對在座的專業(yè)人士大家都比較理解，可能為于一般的，尤其在計算機(jī)或者IP網(wǎng)，對支持背景不足的情況下，對安全的認(rèn)識不是很清晰的，只是說從大的概念來說，包括領(lǐng)導(dǎo)的安全重要，但是在實際的工作過程當(dāng)中，沒有把這個意識落實到工作中，包括我們可能在整個的總體要求上，沒有一個明確的防控的一個戰(zhàn)略的特殊的一個安防的目標(biāo)，我們在基礎(chǔ)職責(zé)，流程這些方面都存在這樣那樣的一些問題。

　　其實我現(xiàn)在感覺，在隊伍上，目前面臨一個最大的問題，來之前，在路上，我看到一個微博，看到上面寫，說信息安全，這個人，不管技術(shù)有多先進(jìn)，這個技術(shù)仍然是使用的，技術(shù)再先進(jìn)，如果你人的意識不足，投入都是屬于效率低的。我們今天也是考慮在隊伍方面做一些工作，整體提高我們的能力和水平。

　　極高的危害性，包括客戶信息的泄漏，導(dǎo)致客戶的經(jīng)濟(jì)的損失，以及對我們企業(yè)帶來的損失，再大就是一些社會政治影響，我們也能看到，對此的報告，包括現(xiàn)在目前在境內(nèi)有多少網(wǎng)站在串改，或者可能嚴(yán)重導(dǎo)致有些網(wǎng)站被利用發(fā)布一些違法的信息，或者目前的這個謠言，這方面就是我們企業(yè)運營的保證是我們國家的一個基礎(chǔ)資源，也可能導(dǎo)致被破壞，或者是可用，應(yīng)該說這些危害是非常大的。對這些問題的分析我們也是，目前我們的考慮，提升我們防護(hù)水平這么幾個關(guān)鍵點，簡單總結(jié)一下，一個是我們提到的人員安全意識，能力不足。

　　我記得跟各位專家交流的時候就說，包括之前我也一直強(qiáng)調(diào)，這種狀況沒有太多的資金投入到安全的社會的這種建設(shè)這些方面，但是他就說，其實你不用過多地強(qiáng)調(diào)資金的投入，只要是簡單的一些，在人員方面的一些安全意識和安全培養(yǎng)，就會達(dá)到事半功倍的效果。另外我們的安全制度要切實執(zhí)行，這個制度制訂起來比較容易，怎樣能夠把它執(zhí)行下去，這是一個難點。確實是有了人之后，還是有一些手段，才會做一些對抗，做一些工作的預(yù)防。另外從整個的意識來說，因為我們是聯(lián)合部，我們的主要工作是整個通信網(wǎng)絡(luò)的一個運行，目前來看，因為我們是基于這個電信網(wǎng)絡(luò)互聯(lián)網(wǎng)如何來轉(zhuǎn)變，但是在日常的維護(hù)過程當(dāng)中，強(qiáng)調(diào)的是運行的狀態(tài)，沒有更多的談到網(wǎng)絡(luò)安全，應(yīng)該有一個意識的轉(zhuǎn)變，把安全工作納入到運行的過程當(dāng)中。

　　我今天介紹的第三點我們在構(gòu)建通信網(wǎng)絡(luò)安全體系上的一些想法。簡單說一下我們2012年工信部安排的安全防護(hù)檢查的要求，今年為了保護(hù)任務(wù)，8月底準(zhǔn)備完成，首次采用平分的方法，增加企業(yè)單元，做一個量化的平分，這對我們來說是一個督促，畢竟通過這種平分可以很量化直觀的看到這些工作的成效。

　　基于我們前幾年的工作情況，對問題的一些認(rèn)識，以及我們今年面臨的工作要求，我們也是在保障性方面，借這個想法，還是能夠進(jìn)一步落實，主動防御，重點防護(hù)，恢復(fù)的一個指導(dǎo)原則，統(tǒng)一法律的保護(hù)，安全工作納入到工作當(dāng)中，在中國聯(lián)通構(gòu)建一個科學(xué)的安全防護(hù)體系。

　　我們理解這個科學(xué)的安全防護(hù)體系包括這幾個方面，一個是機(jī)構(gòu)的職責(zé)，規(guī)章制度，工具手段，人員隊伍，外部環(huán)境，外部環(huán)境好的話，我們工作也會比較迅速地推動。在機(jī)構(gòu)整個方面，我們目前面臨一個問題，涉及到安全防護(hù)的部門很多，為了形成一個比較順暢的橫向的工作機(jī)制。這是我們今年著重考慮的前沿，協(xié)調(diào)的會議，初步建立這樣一個機(jī)制，但是離我們理想的目標(biāo)還是有一定的距離，規(guī)章制度建設(shè)方面我們考慮做到進(jìn)入法律概念，有法可依，執(zhí)法必嚴(yán)，違法必究，有法必究，三分技術(shù)，七分管理，進(jìn)入到我們的工作落實當(dāng)中。

　　我一直強(qiáng)調(diào)從網(wǎng)絡(luò)安全工作來說，三分技術(shù)，七分管理是十分貼切的一句話。在隊伍當(dāng)中你是考慮，一方面提升專業(yè)，另外一個是培養(yǎng)全員的安全意識，安全不僅僅是安全人員，包括我們在座的設(shè)備提供商，服務(wù)商，包括我們的電信運營企業(yè)，安全專業(yè)人員，也包括我們涉及到的一些，他們網(wǎng)絡(luò)安全的一個意識。

　　工具手段建設(shè)，開發(fā)研究階段，前沿性，基礎(chǔ)性，適應(yīng)網(wǎng)絡(luò)需要，當(dāng)中運用這些技術(shù)運行穩(wěn)定，快速有效地手段，做流量的一個管控，IP地址的搜索，做一些我們?nèi)粘５膾呙�、檢測這些工具。

　　在web環(huán)境里面，營造良好的環(huán)境，從目前的環(huán)境來說，可能大家對網(wǎng)絡(luò)安全認(rèn)識還都不統(tǒng)一，另外我們可能在通信行業(yè)，管理部門，網(wǎng)絡(luò)運行部門，支撐部門能夠共同合作，能夠積極防御非法攻擊，這是個人的，整個社會前沿的，包括他們自身的那種事件的一個防護(hù)。通信學(xué)會還是在這方面也應(yīng)該是下一步，建議能夠做更大的一個投入，做這方面的一個工作。

　　我們在建設(shè)方面我們開展了一些工作和想法。

　　第一，基礎(chǔ)職責(zé)。安全防護(hù)工作涉及到我們的建設(shè)，包括之前的設(shè)立部門，建設(shè)、采購，運行維護(hù)，包括我們一些專業(yè)化，還有內(nèi)網(wǎng)信息化部，還有一些支撐單位，怎樣能夠建立一個跨部門的機(jī)制，形成這樣一個轉(zhuǎn)控的平臺。

　　第二，推進(jìn)整個運行維護(hù)，體系的一個調(diào)整，我們也是提出意見，能夠把安全進(jìn)入新的港區(qū)的納入。另外一個在各級的其他的部門，在部門職責(zé)明確，他們在安全方面承擔(dān)了哪些責(zé)任。

　　第三，我們也借鑒了，中國電信他們建立這些體系，一個是我們工具手段，還有我們的安全管理中心，電信來說他們是在網(wǎng)絡(luò)中心里面成立一個班組，我們也有這方面的考慮，借鑒實際運作的情況。應(yīng)該說在我們國內(nèi)很多東西，如果沒有機(jī)構(gòu)職責(zé)，做起來還是有些困難的。

　　安全制度方面的考慮。首先建立企業(yè)防護(hù)管理辦法，考核辦法，技術(shù)要求，新網(wǎng)絡(luò)運行上線的一些保護(hù)辦法。在安全人員隊伍建設(shè)方面的考慮，進(jìn)行人員的開發(fā)，利用學(xué)院的課堂，開展一些網(wǎng)絡(luò)教學(xué)，我們有一個安全的新聞競賽，進(jìn)行內(nèi)部的隊伍的建設(shè)，尋找能力的合作伙伴，幫助開展我們的安全規(guī)劃和架構(gòu)的建設(shè)，人才的培養(yǎng)。

　　在安全工具方面涉及到安全設(shè)備、測試工具，網(wǎng)管手段，管控平臺，考慮針對不同的內(nèi)容，開展一些技術(shù)規(guī)范的制訂，選擇，工具做一些自己的研發(fā)。逐步推進(jìn)我們的防護(hù)工具手段逐步到位，實現(xiàn)標(biāo)準(zhǔn)化，安全化。