各位同仁下午好!非常高興有這個機會，中國聯(lián)通在安全防護上做一個介紹，做一下交流，有很多在安全方面的服務的需求，一些合作的機會。

　　在這之前，因為我這是一個當時準備的材料，內(nèi)部給領導匯報的材料，有些內(nèi)容過一下，應該說在目前我們這個大的環(huán)境下，網(wǎng)絡安全，釣魚網(wǎng)站，網(wǎng)頁串改、垃圾郵件等等，都面臨一些安全問題，應該說我們業(yè)界有一個說法，尤其跟互聯(lián)網(wǎng)相關的，比較起來非常的安全，這本身也是有些非常傳統(tǒng)的，比如我們的病毒，僵尸，剛才強調的針對互聯(lián)網(wǎng)、云計算，移動互聯(lián)網(wǎng)最新面臨的一些問題。

　　應該說這些問題本身都有一個身體的特點，一個是低門檻，一個是廣泛性，一個是趨利性，目前越來越多的敵意性。低門檻都可以看到這個結構，某一個控制成敗上萬各，趨利性從安全問題出現(xiàn)以來，是一直存在的，并且整個形成一個產(chǎn)業(yè)鏈。在廣泛性上我們也可以了解一下，2010年的時候，原來可能都針對我們計算機網(wǎng)絡的，后來針對工業(yè)控制平臺，專業(yè)網(wǎng)絡無線的出現(xiàn)了，再一個是我們敵意性，應該說從國家安全的角度來說，海陸空天，到網(wǎng)絡空間是成為第五圍的國際戰(zhàn)略空間。這明顯一個，當時伊朗暴露，可能沒有明確的舉證，大家都認為這是一個非官方的，是一個有官方背景的，類似于戰(zhàn)略性的攻擊。

　　應該說從90年代，我們從當時的工程開始到現(xiàn)在為止，我們整個網(wǎng)絡應用，這些服務越來越多的以互聯(lián)網(wǎng)的基礎上承載在網(wǎng)絡上面，空間系統(tǒng)，印痕證券、保險，醫(yī)療教育制造業(yè)，包括游戲，各個方面，包括我們現(xiàn)在，尤其是我們的智能手機，在智能手機上的應用，跟我們個人生活工作是緊密相關的，他們本身針對安全問題，尤其是個人，相應一些企業(yè)，包括我們的國家，都是有很大的危險的，包括最早的熊貓燒香病毒，519斷網(wǎng)，客戶信息的泄漏等等，天涯網(wǎng)客戶信息的泄漏，這些事件給我們一次次敲響了警鐘。跟專家聊天的時候也認為，有時候天涯的信息泄漏，很長時間形成一個泄漏的狀態(tài)，如果說大家調查前，我們會有更多的事件發(fā)生，或者已經(jīng)發(fā)生。

　　目前我們面臨網(wǎng)絡安全的現(xiàn)狀，中國聯(lián)通在這方面開展相應的工作，今天的發(fā)言分四個部分，第一個部分是安全防護工作政策的一個回顧。整個行業(yè)到我們企業(yè)的工作情況，這是我們電信研究院，介紹一下防護背景，最早應該從公安部門，計算機系統(tǒng)的一個安全保護，到后來形成的整個信息系統(tǒng)的防護，一直到通信行業(yè)，通信安全防護，這個在通信行業(yè)是工業(yè)信息化部負責進行管理。

　　從通信角度來講，大概正式開始是從2008年，一個是當年頒布的一系列的各個專業(yè)網(wǎng)絡的人員防護的行業(yè)規(guī)范，開展針對奧運的一些單元的安全檢查，到09年開始，開展3G以上的一個檢查，2010年是一個比較關鍵的事件，2010年工信部的十號令管理辦法出臺，目前開展的工作，基于十號令來做的。到現(xiàn)在應該說從2010年開始，包括今年，形成比較正規(guī)的體系在推進。這是十一號令主要的一些內(nèi)容，明確了這個概念，原則，誰運行誰負責的這樣一個工作要求。以及三同步，最后把網(wǎng)絡單元按照影響的程度，分成了一二三四五級。包括我們單元的劃分，一些備案，以及對二級三級進行評測評估，這種時間的要求，進行不同的明確。

　　這是我們這個通信行業(yè)的網(wǎng)絡體系，包括一個管理指南，系列專業(yè)的安全防護的一些規(guī)范，這是我們開展檢查工作的一個基礎。應該說安全防護工作包括三部分內(nèi)容，一個是安全等級保護，一個是安全風險保護，一個是災難備份及恢復，風險評估方面，對于我們基層人員來說，社會識別，可能有一些方面的基礎，操作起來還是非常困難的。

　　簡要介紹一下這個行業(yè)和我們在安全防護當中的一些情況的回顧，第二部分簡單介紹一下安全防護過程當中發(fā)現(xiàn)的一些問題。這些問題一個是說通過這五年左右的時間，工信部組織安全防護檢查，企業(yè)內(nèi)部的，包括可能我們的一些社會成員安全機構，他們一些在技術方面的操守，他們發(fā)現(xiàn)了一些保護的問題，對一些問題的歸納，技術層面，在安全檢測方面，開放的比較開放的服務，建設方面主要是有帳號，邊界防護方面，比如有一些配置的及時清理，檢測的能力，訪問控制方面沒有對此進行過濾，包括安全審計，有一些保護設備，本身具備這個功能，還有一些可能是說有這些功能，在進行過程當中，由于一些原因，多了一些應用。再就是終端管理，還是有或多或少存在一些內(nèi)網(wǎng)的外網(wǎng)。我們有一些系統(tǒng)，或者是某個單元，開發(fā)過程當中就存在了一些問題，但是在之前已經(jīng)嚴格應用安全的檢測，以至于發(fā)生的狀態(tài)。

　　對這些問題做一個深層次的分析，我們發(fā)現(xiàn)其實應該說，對網(wǎng)絡安全來說，對在座的專業(yè)人士大家都比較理解，可能為于一般的，尤其在計算機或者IP網(wǎng)，對支持背景不足的情況下，對安全的認識不是很清晰的，只是說從大的概念來說，包括領導的安全重要，但是在實際的工作過程當中，沒有把這個意識落實到工作中，包括我們可能在整個的總體要求上，沒有一個明確的防控的一個戰(zhàn)略的特殊的一個安防的目標，我們在基礎職責，流程這些方面都存在這樣那樣的一些問題。

　　其實我現(xiàn)在感覺，在隊伍上，目前面臨一個最大的問題，來之前，在路上，我看到一個微博，看到上面寫，說信息安全，這個人，不管技術有多先進，這個技術仍然是使用的，技術再先進，如果你人的意識不足，投入都是屬于效率低的。我們今天也是考慮在隊伍方面做一些工作，整體提高我們的能力和水平。

　　極高的危害性，包括客戶信息的泄漏，導致客戶的經(jīng)濟的損失，以及對我們企業(yè)帶來的損失，再大就是一些社會政治影響，我們也能看到，對此的報告，包括現(xiàn)在目前在境內(nèi)有多少網(wǎng)站在串改，或者可能嚴重導致有些網(wǎng)站被利用發(fā)布一些違法的信息，或者目前的這個謠言，這方面就是我們企業(yè)運營的保證是我們國家的一個基礎資源，也可能導致被破壞，或者是可用，應該說這些危害是非常大的。對這些問題的分析我們也是，目前我們的考慮，提升我們防護水平這么幾個關鍵點，簡單總結一下，一個是我們提到的人員安全意識，能力不足。

　　我記得跟各位專家交流的時候就說，包括之前我也一直強調，這種狀況沒有太多的資金投入到安全的社會的這種建設這些方面，但是他就說，其實你不用過多地強調資金的投入，只要是簡單的一些，在人員方面的一些安全意識和安全培養(yǎng)，就會達到事半功倍的效果。另外我們的安全制度要切實執(zhí)行，這個制度制訂起來比較容易，怎樣能夠把它執(zhí)行下去，這是一個難點。確實是有了人之后，還是有一些手段，才會做一些對抗，做一些工作的預防。另外從整個的意識來說，因為我們是聯(lián)合部，我們的主要工作是整個通信網(wǎng)絡的一個運行，目前來看，因為我們是基于這個電信網(wǎng)絡互聯(lián)網(wǎng)如何來轉變，但是在日常的維護過程當中，強調的是運行的狀態(tài)，沒有更多的談到網(wǎng)絡安全，應該有一個意識的轉變，把安全工作納入到運行的過程當中。

　　我今天介紹的第三點我們在構建通信網(wǎng)絡安全體系上的一些想法。簡單說一下我們2012年工信部安排的安全防護檢查的要求，今年為了保護任務，8月底準備完成，首次采用平分的方法，增加企業(yè)單元，做一個量化的平分，這對我們來說是一個督促，畢竟通過這種平分可以很量化直觀的看到這些工作的成效。

　　基于我們前幾年的工作情況，對問題的一些認識，以及我們今年面臨的工作要求，我們也是在保障性方面，借這個想法，還是能夠進一步落實，主動防御，重點防護，恢復的一個指導原則，統(tǒng)一法律的保護，安全工作納入到工作當中，在中國聯(lián)通構建一個科學的安全防護體系。

　　我們理解這個科學的安全防護體系包括這幾個方面，一個是機構的職責，規(guī)章制度，工具手段，人員隊伍，外部環(huán)境，外部環(huán)境好的話，我們工作也會比較迅速地推動。在機構整個方面，我們目前面臨一個問題，涉及到安全防護的部門很多，為了形成一個比較順暢的橫向的工作機制。這是我們今年著重考慮的前沿，協(xié)調的會議，初步建立這樣一個機制，但是離我們理想的目標還是有一定的距離，規(guī)章制度建設方面我們考慮做到進入法律概念，有法可依，執(zhí)法必嚴，違法必究，有法必究，三分技術，七分管理，進入到我們的工作落實當中。

　　我一直強調從網(wǎng)絡安全工作來說，三分技術，七分管理是十分貼切的一句話。在隊伍當中你是考慮，一方面提升專業(yè)，另外一個是培養(yǎng)全員的安全意識，安全不僅僅是安全人員，包括我們在座的設備提供商，服務商，包括我們的電信運營企業(yè)，安全專業(yè)人員，也包括我們涉及到的一些，他們網(wǎng)絡安全的一個意識。

　　工具手段建設，開發(fā)研究階段，前沿性，基礎性，適應網(wǎng)絡需要，當中運用這些技術運行穩(wěn)定，快速有效地手段，做流量的一個管控，IP地址的搜索，做一些我們?nèi)粘５膾呙�、檢測這些工具。

　　在web環(huán)境里面，營造良好的環(huán)境，從目前的環(huán)境來說，可能大家對網(wǎng)絡安全認識還都不統(tǒng)一，另外我們可能在通信行業(yè)，管理部門，網(wǎng)絡運行部門，支撐部門能夠共同合作，能夠積極防御非法攻擊，這是個人的，整個社會前沿的，包括他們自身的那種事件的一個防護。通信學會還是在這方面也應該是下一步，建議能夠做更大的一個投入，做這方面的一個工作。

　　我們在建設方面我們開展了一些工作和想法。

　　第一，基礎職責。安全防護工作涉及到我們的建設，包括之前的設立部門，建設、采購，運行維護，包括我們一些專業(yè)化，還有內(nèi)網(wǎng)信息化部，還有一些支撐單位，怎樣能夠建立一個跨部門的機制，形成這樣一個轉控的平臺。

　　第二，推進整個運行維護，體系的一個調整，我們也是提出意見，能夠把安全進入新的港區(qū)的納入。另外一個在各級的其他的部門，在部門職責明確，他們在安全方面承擔了哪些責任。

　　第三，我們也借鑒了，中國電信他們建立這些體系，一個是我們工具手段，還有我們的安全管理中心，電信來說他們是在網(wǎng)絡中心里面成立一個班組，我們也有這方面的考慮，借鑒實際運作的情況。應該說在我們國內(nèi)很多東西，如果沒有機構職責，做起來還是有些困難的。

　　安全制度方面的考慮。首先建立企業(yè)防護管理辦法，考核辦法，技術要求，新網(wǎng)絡運行上線的一些保護辦法。在安全人員隊伍建設方面的考慮，進行人員的開發(fā)，利用學院的課堂，開展一些網(wǎng)絡教學，我們有一個安全的新聞競賽，進行內(nèi)部的隊伍的建設，尋找能力的合作伙伴，幫助開展我們的安全規(guī)劃和架構的建設，人才的培養(yǎng)。

　　在安全工具方面涉及到安全設備、測試工具，網(wǎng)管手段，管控平臺，考慮針對不同的內(nèi)容，開展一些技術規(guī)范的制訂，選擇，工具做一些自己的研發(fā)。逐步推進我們的防護工具手段逐步到位，實現(xiàn)標準化，安全化。