數(shù)字化時代內(nèi)網(wǎng)安全合規(guī)運營實踐探究

摘要：在數(shù)字化時代，各種數(shù)字化系統(tǒng)越來越繁雜，外網(wǎng)與內(nèi)網(wǎng)連接界限也越來越模糊。在此背景下，內(nèi)網(wǎng)系統(tǒng)的運行安全主要是通過統(tǒng)一的硬件或軟件安全平臺來實現(xiàn)，包括防火墻、IDS和IPS入侵檢測系統(tǒng)、UTM威脅管理系統(tǒng)、上網(wǎng)行為管理系統(tǒng)，等。本文從內(nèi)網(wǎng)管理者如何做到安全合規(guī)的問題切入，探討了運營商如何采取有效的安全合規(guī)管控手段來支撐內(nèi)網(wǎng)系統(tǒng)的正常運作，從而實現(xiàn)內(nèi)網(wǎng)數(shù)字化系統(tǒng)安全、快捷、合規(guī)的運營，并提出了通過搭建內(nèi)網(wǎng)安全合規(guī)運營平臺，建立創(chuàng)新的立體防護體系的建議，以期實現(xiàn)規(guī)范、可管、可控、可視、高效的內(nèi)網(wǎng)安全合規(guī)運營目標，賦能企業(yè)量質(zhì)構效的高質(zhì)量發(fā)展。

關鍵詞：規(guī)范化管理；預警提醒管理；管理可視；智能分析可視；評價考核

一、引言

當前，國內(nèi)運營商都在推進數(shù)字化轉(zhuǎn)型。隨著數(shù)字化轉(zhuǎn)型的深入推進，系統(tǒng)數(shù)量和業(yè)務規(guī)模持續(xù)增長，主要涉及B、D、M域，均與日常生產(chǎn)和管理相關，對系統(tǒng)安全和穩(wěn)定性運行要求極高。但是，目前大部分系統(tǒng)缺少有效的安全合規(guī)管控手段，對系統(tǒng)的管理多以系統(tǒng)主管和安全主管的個人經(jīng)驗為基礎，存在管控效率低、運行不透明、流程不可視、任務協(xié)同差、文檔不健全、操作無臺賬等諸多安全風險隱患。

安全管控過程中的各類痛點問題不斷涌現(xiàn)，主要集中在以下八個方面：①安全檢查耗時耗力。通信通訊公司的年度安全檢查，涉及人員多，時間跨度長，資料龐雜，耗時耗力，成本高。②安全整改流程不規(guī)范。一方面，系統(tǒng)安全漏洞整改涉及的系統(tǒng)多、廠家多，另一方面，漏洞檢測結(jié)果和復測結(jié)果未上傳，導致整改過程無法跟蹤，增加了整改任務檢查工作量。③重保工作難協(xié)同。重保工作頻率高、參與人員多、檢查點多；缺乏對重保全流程管理機制，且沒有重保工作臺賬記錄相關工作過程。④關鍵操作無提醒。在系統(tǒng)管理過程中，每年都會有一些固定的關鍵操作，例如證書到期續(xù)費、定期擴容等，目前全靠主管自己手動記錄，過程不透明，。一旦關鍵操作過期未執(zhí)行，會導致系統(tǒng)運行異常。⑤重要任務無臺賬。數(shù)據(jù)安全合規(guī)檢查缺少臺賬，在研發(fā)團隊、研發(fā)管理制度、代碼審查、外包人員管理、代碼管理和數(shù)據(jù)防泄漏等方面沒有規(guī)范的流程，更沒有明確的臺賬記錄。⑥系統(tǒng)巡檢分散不透明。系統(tǒng)巡檢都在支撐廠家手里，檢查內(nèi)容和結(jié)果不透明，導致相關管理人員無法準確把握系統(tǒng)巡檢相關工作，不能及時了解系統(tǒng)運行情況。⑦工號權限違規(guī)無記錄。工號權限每年審計，每年都有違規(guī)，而目前無系統(tǒng)支撐常規(guī)化工作，沒有進行檢查記錄和整改記錄的能力，無法追溯問題根源。⑧缺乏日常工作推行開展機制。省內(nèi)自建系統(tǒng)的應急預案、故障管理、隱患排查等工作，缺少日常工作推行開展機制，缺少工作臺賬、缺少流程支撐、工作各環(huán)節(jié)不透明。內(nèi)網(wǎng)安全合規(guī)運營平臺方案的出臺，旨在解決上述數(shù)字化系統(tǒng)安全合規(guī)管控過程中遇到的上述痛點問題，提升內(nèi)網(wǎng)信息安全生產(chǎn)保障能力，推動相關規(guī)章制度的落地執(zhí)行，促進日常生產(chǎn)運營、維護及信息系統(tǒng)安全管理及維護等工作的合規(guī)性，理清規(guī)范責任，規(guī)避管理風險。

二、內(nèi)網(wǎng)安全合規(guī)運營平臺

通過制定合規(guī)運營規(guī)程、強化數(shù)字化支撐手段、嚴格監(jiān)管運營過程三個步驟，從而建立內(nèi)網(wǎng)安全合規(guī)運營體系，加強對數(shù)字化系統(tǒng)的合規(guī)運營管控能力，做到系統(tǒng)清、文檔全、合規(guī)運營任務流程可視、任務執(zhí)行過程可回溯、運營風險提前預防、運營任務高效協(xié)同。

（一）內(nèi)網(wǎng)安全合規(guī)運營體系

為了切實做好內(nèi)網(wǎng)運行安全合規(guī)工作，進一步提升數(shù)字化系統(tǒng)運營維護管理水平，推動相關規(guī)章制度的落地執(zhí)行，促進日常生產(chǎn)運營、維護及信息系統(tǒng)安全管理及維護等工作的規(guī)范性，理清規(guī)范責任，規(guī)避管理風險，更好地推進生產(chǎn)運營工作，全面梳理數(shù)字化各項規(guī)章制度，從應急預案和故障、IT安全管理、重保管理、風險和合規(guī)監(jiān)控、賬號權限管理、維護操作管理、系統(tǒng)變更管理、計費賬務管理、數(shù)據(jù)安全、合作方管理、系統(tǒng)巡檢、隱患排查整治、規(guī)程培訓等13個方面進行數(shù)字化系統(tǒng)安全合規(guī)運營管控，并以月為單位執(zhí)行，從而推動精細化管理，具體如表1所示。

（二）平臺概述

以目前內(nèi)網(wǎng)安全合規(guī)運營過程中出現(xiàn)的各類痛點問題為突破口，基于云平臺，進行內(nèi)網(wǎng)合規(guī)運營能力建設，支撐各應用系統(tǒng)的信息管理、安全管理、規(guī)程培訓、合規(guī)檢查、應急預案、故障管理、隱患排查等安全合規(guī)任務管理，實現(xiàn)系統(tǒng)可管、任務可控、流程可視、人員可評，如圖1所示。

（三）內(nèi)網(wǎng)安全合規(guī)運營規(guī)范化管理

通過工作流技術BPM，進行應急演練流程管理、IT安全流程管理、重保流程管理、合規(guī)檢查任務管理、常態(tài)化檢查任務管理、規(guī)程培訓管理等，實現(xiàn)任從務自動或手動生成、派發(fā)、處理，到審核、關閉的全生命周期管理。其中，合規(guī)檢查任務管理包含對賬號權限、維護操作、計費賬務、數(shù)據(jù)安全、合作方管理和系統(tǒng)變更進行合規(guī)檢查；常態(tài)化檢查任務管理包含系統(tǒng)日常巡檢、隱患排查整治等日常工作。全流程任務完成后進行評分評價。包含功能：1.流程設計；2.表單管理；3.表單業(yè)務組件配置；4.系統(tǒng)場景配置；5.活動列表；6.任務起草；7.我的申請；8.我的待辦；9.我的已辦。

（四）預警提醒管理

根據(jù)預警規(guī)則配置，對逾期任務、緊急任務等進行預警和提醒，從而節(jié)省人力管理任務進度的時間，保障任務的順利及時完成。針對應用模塊下線、故障配件更換、應用證書延期等關鍵操作設置提醒，確保關鍵操作無遺漏。包含功能：1.任務預警規(guī)則配置；2.對逾期任務、緊急任務等進行預警和提醒；3.關鍵操作提醒設置；4.關鍵操作提醒發(fā)送及展現(xiàn)；5.關鍵操作登記內(nèi)容的查詢及管理。

（五）系統(tǒng)全生命周期管理

對應用系統(tǒng)進行統(tǒng)一納管，及時管理各系統(tǒng)的版本變更和運行情況。將各系統(tǒng)對應的負責人與支撐廠家進行匹配，確保各系統(tǒng)安全任務責任到人。將各系統(tǒng)的重要文檔進行統(tǒng)一收集、維護并及時更新，確保知識共享，為各應用系統(tǒng)的安全管理提供系統(tǒng)化保障。

包含功能：1.各系統(tǒng)信息統(tǒng)一管理；2.各系統(tǒng)主管、地市、廠家人員的維護管理；3.文檔組維護、系統(tǒng)文檔共享、通用文檔共享；4.各種業(yè)務參數(shù)等基礎數(shù)據(jù)的管理和維護。

（六）安全管理可視

設置系統(tǒng)工作臺，一屏總覽各應用模塊的詳細信息，包含系統(tǒng)基本信息、系統(tǒng)評分信息、巡檢情況、安全運行狀態(tài)、共享文檔信息，以及安全任務執(zhí)行臺賬等。各類安全管理任務均可在系統(tǒng)工作臺全流程可視，從而實現(xiàn)派發(fā)任務的可看、可管、可跟蹤。

包含功能：1.系統(tǒng)工作臺展示內(nèi)容及數(shù)據(jù)指標計算；2.多維度統(tǒng)計視圖；3.預警可視化視圖；4.工作臺提醒功能；5.系統(tǒng)任務軌跡查詢；6.歷史信息查詢。

（七）智能分析可視

根據(jù)安全規(guī)則自定義形成分析報告，可視化呈現(xiàn)各系統(tǒng)信息概覽、安全隱患、任務完成、系統(tǒng)訪問、文檔收集、巡檢、排班情況等，并支持以安全管理者視角或系統(tǒng)責任人視角定期推送分析報告。

包含功能：1.任務全流程可視；2.任務全流程節(jié)點下鉆、展示；3.整體分析報告；4.專項分析報告；5.安全檢查報告；6.自定義模板設置；7.報告導出和推送功能。

（八）評價考核

根據(jù)維護的系統(tǒng)評價規(guī)則、責任人評價規(guī)則、支撐廠家評價規(guī)則，對系統(tǒng)、責任人、支撐廠家給出綜合評分，可以提供按周、按月、按年的評價，按年的評價根據(jù)月評價綜合計算。

包含功能：1.系統(tǒng)評價規(guī)則維護；2.責任人評價規(guī)則維護；3.支撐廠家評價規(guī)則維護；4.根據(jù)評價規(guī)則，對系統(tǒng)、責任人、支撐廠家給出綜合評分。

（九）人員角色管理

根據(jù)員工角色和職責為工號設置菜單權限、按鈕權限、數(shù)據(jù)權限等，精確管控工號的操作權限。包含功能：1.用戶管理；2.角色管理；3.菜單管理。

三、實施效果

（一）主動預防，合規(guī)管控。

對日常巡檢、系統(tǒng)變更、故障、隱患、應急預案、安全漏洞、重保等，進行規(guī)范化、常態(tài)化、全生命周期的管理，保障系統(tǒng)安全、穩(wěn)定、高效運行。根據(jù)各模塊檢查結(jié)果及時預防風險，及時規(guī)范責任人操作，減少每年因客戶投訴爭端而造成的補償費用支出。

（二）及時定位，高效協(xié)同

建立內(nèi)網(wǎng)安全運行規(guī)范管理的立體防護體系，優(yōu)化風險處理模式，實現(xiàn)風險的準確定位，提供更加靈活、有效的手段，提升安全管控效率，從而組建清晰、高效的內(nèi)網(wǎng)應用系統(tǒng)防護網(wǎng)。

（三）賦能市場，規(guī)避風險

降低業(yè)務操作風險。通過賬號權限管理，減少賬號越權辦理業(yè)務。對于用戶強感知業(yè)務，如攜號轉(zhuǎn)網(wǎng)、停復話業(yè)務進行全流程管控，贏得市場認可，提升公司品牌形象、減少負面輿情。

（四）規(guī)范服務，賦能一線

為一線和市場人員提供隨時查詢、調(diào)取業(yè)務合規(guī)文件內(nèi)容的平臺，規(guī)范業(yè)務辦理流程管理。定期進行安全規(guī)范的宣貫及培訓，確保一線人員對系統(tǒng)安全、數(shù)據(jù)安全的正確認知，加強一線人員的安全防范意識。

四、結(jié)束語

數(shù)字化轉(zhuǎn)型是利用數(shù)字化技術改造現(xiàn)有的傳統(tǒng)和非數(shù)字化業(yè)務流程和服務，以滿足不斷變化的市場和客戶期望，從而徹底改變企業(yè)的運營管理模式的過程。建立內(nèi)網(wǎng)立體防護體系是數(shù)字化轉(zhuǎn)型中的一個服務單元，完善此單元的功能和管理，可以提升所有業(yè)務流程的安全性和合規(guī)性，從而支持業(yè)務發(fā)展和線上線下訂單量的拓展，為企業(yè)發(fā)展保駕護航。

作者單位：王小錦 中國聯(lián)通山西省分公司

參考文獻

[1]張潤滋，劉文懋. AISecOps智能安全運營技術體系框架[J].數(shù)據(jù)與計算發(fā)展前沿，2021，3（03）： 32-47.

[2]侯鑫美.企業(yè)網(wǎng)絡信息平臺運行安全監(jiān)控系統(tǒng)的設計與實現(xiàn)[D].哈爾濱工業(yè)大學，2017.

[3]鄭暉男.校園內(nèi)網(wǎng)安全系統(tǒng)的設計與實現(xiàn)[J].通訊世界，2015，（02）：58-59.