安全419宣布启动《甲方安全建设精品采购指南》案例征集,面向金融、政府、工业、运营商、车联网、医疗、教育七大重点行业,并细化至诸如数据安全、安全运营、应用安全、身份安全、网络及端点安全等具体的应用场景,呈现对口的、经市场验证的一系列优质产品/系统/方案,解决甲方客户在数字化转型过程中采购安全产品及解决方案的选择困难。

打开网易新闻 查看更多图片

为了方便甲方用户了解安全形势、明确需求,同时方便安全企业有针对性地进行报名,接下来我们将分别针对七大行业进行供需两端的市场及技术趋势分析。今天,我们走进运营商行业。

从近年来各大运营商的战略发展路线来看,其基础设施以及科技创新等维度正在不断升级,已为国家未来数智化发展奠定了高位基础能力。由于相关法律法规有着明确要求,作为国家关键基础设施行业,各大运营商也均高度重视自身的系统化网络安全能力建设,加之国际形势阴云笼罩,实现自主可控的高质量发展和高水平安全统一更是当前运营商核心工作目标之一。同时运营商也一直是网络安全生态的主要参与者,观察来看,虽然当前各大运营商均在不断提升其在安全市场上的存在地位,但随着算力时代的来临,中国电信提出“云网融合”战略规划,中国移动提出“算力网络”战略规划,中国联通则以CUBE-Net3.0为顶层架构设计打造“连接+计算+智能”的融合服务,未来的安全需求仍然拥有很大空间。

网络安全

运营商的网络安全工作,从外而内的第一要务仍是如何做好边界防护工作,考虑到数字新基建一直是近年来运营商的核心工作之一,那么如何守土拓疆也将是接下来的核心重点。比如5G加速应用打开的应用场景和网络边界的加速融合,网络复杂性增加的同时也加大了网络安全边界变化延伸的不可预测性,导致攻击面扩大,这就给安全防护和保障体系提出了更高的要求,从而有效面对并解决更加复杂的网络攻击。

运营商体积庞大,网络复杂,各阶段性信息化建设附带的安全保障投入难以形成有效的联动,一旦资产暴露在外,运营保障没有及时跟进,极容易成为攻击的突破口。另外随着运营商业务的发展,移动化办公成了必然的需求。目前运营商的许多内部业务系统已发布在互联网上,包括众多内部APP业务系统,存在被黑客扫描、篡改、攻击等各类安全风险,简单的安全设备不能起到有效防护作用。

所以我们也就会看到行业如此呼吁,新型信息基础设施安全防护应深入到设备结构、流程、功能、机制等每个环节,并按等级保护2.0标准、可信计算3.0设计主动防御总体安全框架,搭建安全可信、主动免疫的防御体系。

数据安全

近年来针对全球的网络安全事件总结发现,大型运营商的数据泄露事件频发,总结数据泄露事件原因大体可归纳以下三种类型,一是外部攻击导致的信息系统失守,其占比高达60%;二是内部的安全管理不足导致的意外或恶意的数据泄露,其占比达15%;三是由于合作伙伴的防护失守或管理不当,占比为25%。在数据安全强监管时代,各行业企业都应高度重视自身的数据安全防护工作,从实际的数据泄露事件来看,数据安全防护工作确实面临着诸多的挑战。其中主要的难点工作为软硬件长效化漏洞管理,极易发生的云产品错误配置,尚未建立严格的内外部全生命周期数据流转的全面监控等。

做好数据安全防护是一方面,做好数据安全管理又是另一项艰巨的工作,从运营商角度来看,由于集中了大量个人隐私信息,导致数据在采集、存储、处理、应用、传输等环节存在较大风险,而随着业务发展不断建设扩容的业务系统,导致数据来源非常庞杂,数据体量大、维度多,同时内部安全措施的不完善及外部威胁加剧,其带来的数据安全管理合规性挑战也与其他行业完全不同。好的方面是随着AI技术,以及数据安全产业技术创新的不断进步,相关的技术和解决方案也不断在实践中加以磨炼。

供应链安全

对于各级行业而言,综合的软硬件供应链安全工作都是一项巨大的挑战,就各大运营商而言,其供应商数量庞大,多达数万甚至十几万家,造就了旗下信息化资产的具体规格型号高达几十万种,每年采购金额达到上千亿元的现有规模。从网络安全角度来讲供应链安全就要涉及整个生命周期,主要是海量终端的异构化均可能被利用成为新攻击源或者成为攻击对象,防护较弱的环节会导致产品、服务及其所包含的组件等遭受恶意篡改、植入、替换、伪造等,从而使供应链完整性遭受威胁,造成网络和数据安全风险。

从各大运营商未来发展规划来看,均有提及将重点保障产业链和供应链安全这一具体工作,而这一目标的最终达成,需要采取有效的安全治理技术来提高供应链的可靠性和安全性,同时加强与产业链各方的协同努力,共同应对这些安全困境。

总结运营商在供应链安全方面当前面临的核心困境主要为以下几大方面,如软件供应链安全威胁、开源代码和API风险、5G供应链安全挑战、ICT供应链风险等等。从另一方面来讲,能够成为运营商的供应商和合作商,也必须加强自身的供应链安全工作。

身份安全

如今身份安全的管理工作在各行业当中都是一项重要工作,一旦管理不善,极容易遭受不同的意外入侵。比如在臭名昭著的勒索软件攻击当中,窃取合法身份就是常见的入侵手段之一。而运营商众多的分支机构,庞大的员工队伍,错综复杂的业务系统,同时业务云化,远程移动办公的发展,导致网络边界模糊,准入权限控制复杂,身份管理不统一,特权账号管理能力不足,缺少统一有效的风险管控体系等,尤其是其身份管理平台本身安全能力不足,也容易遭受恶意攻击。

从另外一个维度上来讲,全球移动通信厂商正积极推动数字身份与未来网络的融合,数字身份是建设数字中国的底座,发展可信数字身份成为数字中国建设的重要战略,运营商未来的数字身份安全管理工作也是其重中之重,当前而言虽拥有民用领域最高级别的安全标准,也难免成为未来的恶意攻击重点,如此而言也需未雨绸缪,采用最新的安全技术加以应对。

业务安全

对于运营商而言,随着《反电信网络诈骗法》的实施,黑卡治理,涉诈黑灰产业链治理,广告推广、虚假营销黑灰产业链治理、涉诈号码短信识别等都是需要重点投入的内容,而如今更是面临着更加复杂的新型业务载体下的业务安全风险,如新通话业务带来的数据安全、反诈骗等,以及新通话业务带来的内生安全风险问题已成为运营商亟须解决的难题。运营商的业务安全能力已成为其能够获得用户信赖的关键,国家相关部门阶段性实施的业务安全和内容安全相关监管行动也在考验各大运营商的具体行动能力。

这一方面的具体考验是运营商需要不断引入新技术,来持续增强业务安全的监测和管理水平,比如利用最新的AI技术来增加业务安全能力的自动化监测水平,利用AI赋能安全处置能力等等。另外各大运营商也需要更加专业的安全服务团队来持续根进,一方面保障自身业务安全开展,同时保障客户业务安全稳定运行。

报名须知

通用方案的大包大揽并不意味着能力满级和覆盖全面,反而会造成选型迷茫和落地困难,拳拳到肉的产品/系统/方案,更能够体现出针对性和应用价值,促进了解和合作意愿达成。