我们刚才已经听了北邮杨义先教授和各个安全厂家产品的一些介绍，包括我们IBM服务提供商的一些介绍。

　　实际上，大家可以了解到，前期这些同志们的介绍，主要是从技术的角度，怎么样提升网络的服务和运营管理的安全性。实际上作为运营商而言，我们也面临着各种各样的问题，另外，我们更多地可能是从管理的角度逐步地提升我们网络的安全性。

　　实际上，应该这么讲，由我们管理水平的提升到技术服务的提升，到最后和我们业界知名厂家的服务的合作，最终达到我们运营商最终的核心目的。

　　那么按照我们大会的安排，给我这样一个题目，一开始大会人员问我具体讲什么样的题目，我觉得他们起这个题目就很好，所以我就按照这个题目的命题，给大家从中国电信运营管理的角度，也从我个人从安全管理的角度，去看一下以创新来迎接网络安全工作的新的挑战。

　　那么我的介绍主要分两个部分，一部分是网络安全发展新的趋势，第二部分是网络安全管理的探索。

　　应该说，网络安全发展的新趋势，我想应该是我们业界的安全厂商和安全服务提供商，应该是比我更专业，或者是技术角度更深厚。实际上，我重点介绍一下我们网络安全管理，从运营商的角度，我们怎么看。

　　网络的危害状况不是最新的数据，主要是看一下互联网上的攻击已经越来越频繁，危害也越来越高。我想，后面的演讲也会介绍这些方面，包括给大家带来的损失也是很大的。

　　那么，安全威胁实际上，应该说以风险评估的角度来看的话，威胁实际上是很多种类的，包括我们硬件、软件的故障，物理环境，操作管理，恶意代码，越权等等的。类似这些，都是我们林林总总会影响我们服务或者是网络的一些所谓的威胁。那么实际上，我们的网络会有薄弱点，那么当然利用这个威胁或者是薄弱点，会对我们的网络产生风险，这就是安全管理里面最基点的过程。

　　实际上网络攻击发展的趋势，实际上也是我们从业界看到这样一个趋势。实际上，从攻击的手段或者是密度，或者是攻击的技术水平来看，是不断上升的，实际上需要攻击的复杂程度和攻击者本身的技术水平也是在下降的，这是两种相反的关系。

　　那么安全威胁攻击发展的趋势，实际上我们面临的威胁是越来越大，那么外部的攻击是一个线性或者是指数级增长的过程。那么非人为或者是非故意的威胁或者是自然灾害的威胁，对于我们来说，也是非常重要的一种损害。为什么这么讲呢?因为作为运营商而言，他可能和安全服务商或者是跟我们的一些应用、生产类型的企业不一样，我们的网络是一个覆盖非常广泛的网络。可能是数百万的公里网络，光纤或者是电缆。那么实际上，不管我们社会进行当中的工程建设，还是我们所谓的光电缆的盗割的现象，或者是自然灾害，都会对我们的网络有很大的影响。还有一些非人为的或者是自然灾害也是跟我们的拓朴数是联系的，就是说运营商不能给大家提供一个绝对安全的网络，任何的运营商也达不到。

　　那么内部的威胁很容易理解，比如说内部管理的威胁，或者是内部非故意产生的一些安全事件，这些都是比较容易理解的。

　　那么现在看来我们安全网络管理工作的发展趋势，实际上我们现在从这几个角度理解，一个是我们范围现在看来是从IT资产到网络的技术层面，逐步向企业的信息资产，或者是我们的信息系统这种有一定管理功能的，或者说企业的网络，或者是员工过程、客户、合作伙伴等一系列广范围的角度去扩展。那么原来我们的网络安全主要是以计算机信息系统为主的，但是现在各种的业务部门都是依托信息系统进行业务运营，所以实际上业务运营部门的安全，也是直接受作用于网络安全的。

　　这原有只是针对简单的设备和技术的损害，现在实际上我们关注的是整个业务过程当中是否存在风险。那么整个侧重的是一个整体，或者是我们有步骤的工作。

　　那么从投资的角度来看，实际上原有的我们主要是以采购相对独立的一些所谓的服务或者是设备，那么将来，我们要有明确的投资规划和方向，实际上我们更多考虑的是投资回报率。IBM讲过我们要成为利润中心，所以实际上我们要考虑投资回报率。

　　那么驱动力，原有从安全的角度，我们企业有一个相对被动跟随的，国家制度就是一部分，那么实际上现在安全管理的角度的认识不断地加强，实际上我们在内部业务自己的管理战略我们也会认为，我们要加强安全管理。

　　那么途径比如说依靠个人的能力和阶段性的方法和工具，到逐步地依靠整个的企业的发展的一个过程，或者是说整体的集成做一些工具的方法。因为它越来越系统化，所以不是采用很简单的设备或者是系统就可以管理好。

　　这是安全管理发展的趋势，实际上我们也讲到了政策的需求和企业实际的需求。那么安全管理从政策的管理上来讲，实际上政策的管理包括行业或者是国家标准，它都是一个相对基础或者是相对比较低的标准。那么实际上，我们企业应该是一个水涨船高的支配方式，如果基础标准的水平面不断上升，那么企业要达到的标准水平面也会不断地上升。一般来讲，企业的安全运行，基本上都是高于安全标准的。那么从政策来看，一般来说对于企业作用力比较大的，比如说等级保护的要求，系统要定级或者是进行备案，或者是达到安全标准里面的指标，或者是达到安全检测评测的要求，这些都是我们政府的角度。

　　那么另外，从实际我们自己的需求，实际上我们除了满足政府的监管以外，我们还要满足客户实际的需求。因为客户才是我们真正利润的来源，所以我们要融合现有的安全体系、安全措施，同时，满足客户其他的一些复合型的要求。甚至包括这个客户要有萨班斯的标准，要有自己的行业要求。另外，我们要不断地适应要求的特性和千差万别的特性。

　　比如说做金融的客户要求的质量和方式不一样，比如说金融的客户要求你晚上0点以后保证很稳定的网络，那么我们的政企网络，在白天的办公系统运行的时候，或者是开会议电视的时候，可能更关注这个网络的安全性。像这些，都是有差异的，但是我们要以同样的一张网络满足这不同的差异。另外，我们要整体地考虑所有的系统，统一进行安全建设和管理，实际上就是说安全系统是一个全程全网的概念，而不是某个系统的概念。

　　另外，最后就是我们想的长效机制，可持续运行发展和完善。安全网络是一个持续的过程，只有开始是没有结束的，我们任何的服务不可能开始以后，安全就中断了，要一直给客户提供安全的服务。所以，我们希望安全的机制可以不断地滚动和延续。

　　那么从行业的标准和制度的演进，大家有的可能比较了解，我这里简要介绍一下。所谓对企业的监管，它也是从这样一个过程来的。实际上，最早会从某个文件当中强调每个环节的工作，然后我们的各个职能部门或者是监管部门会制定相应地标准。标准实际上就是把核心战略里面的某句话进行系列化，那么它就会起作用于企业。那么以什么样的手段来保证呢?就是不断地监管，发放各种各样的标准，或者是要求我们企业做各种各样的工作。最后，实际上还有一个反馈和检查还有认证和审核，我们觉得任何的工作开展，都是包括这个，包括安全网络也是这样一个过程。

　　第二部分就是我们中国电信在安全管理方面的探索。

　　实际上网络安全我们考虑的范围也很广泛，现在在考虑网络安全，第一步要问你的安全状况是什么样的，然后再考虑提升。那么所谓的风险评估这样的理论，就是我们回答我们网络安全性的依据。基本的方法，也是我们最近从2000年以后，中国也是比较关注的一种方法。实际上中国电信也是在沿着这种技术路线，去逐渐探索我们网络安全怎么样保证公众网络。从我们建安全体系到评测等等，我们是一个体系。那么从06年开始，一直到08年，我们在不断地滚动和完善我们所有网络薄弱的点和提升我们的网络安全性。

　　实际上这个过程很多，包括我们参与各种国家标准和参与国家安全统计的要求。这可以通过风险评估加固，也包括了灾难了良性体系的循环，来保证了运营商最大体系的安全服务。

　　实际上我们也理解这个标准里面有几个难点，这个难点可能很多，因为标准可能是某一个阶段的工作，但是运营商的工作是整体的。那么我们怎么样配合不同阶段的标准体系呢?这有一个适配的问题，而且标准肯定是以行业的主流状况为主的，但是各个企业不同，包括我们中国电信和其他企业的安全水平是不一样的，就是说我们每一个区域时间是不一样的，那么怎么样反映这种差异性，这也是我们企业值得关注的。另外，我们的标准不管是多少侧，每个侧也是从单个的系统出发的。我们整合起来的安全性，还需要我们运营商自己的考虑。

　　另外，刚才也讲到了，我们是一个成本为主的行业。那么任何的运营商，在咱们国家的基本任务以外，我们是公民，我们也要考虑我们自身的利润发展的空间。另外，这个标准需要稳定一段时间。

　　那么管理策略的探讨，如何从下面这些角度，来去规避我们上面遇到的那些问题呢?

　　第一个，我们要整体考虑、整体规划。网络安全实际上就是不同领域的，它有最短板，那么最短板可以逐步地解决，那么实际上网络的安全水平在逐步地提升。另外，是企业的网络安全需要有一个战略的高度，不能单独从某一个系统或者是用户的角度去考虑，我们要要一个合理的保护。我们中国电信的网络，经常是哪个方面的影响，会因为大家整个的服务。但是实际上，像这样的网络我们已经规避了大量的问题，可能现在再打电话或者是租用所谓的专线或者是上互联网的时候，大家可以感受到基本上是比较平稳的。这个时候，也是我们从战略的高度，不断地考虑这些。

　　那么战略的管理实际上也不一样，那么我们也在考虑怎么样集中地保护。另外像管理和技术的区别，技术上花钱可以买，管理上花钱不一定短期能够实现。实际上，运营商更多地是从管理的角度出发的。另外，我们在政府的监管制度下，我们要把我们的风险评估或者是安全管理这样的工作，向企业标准或者是行业标准，甚至是政府标准平滑地演进，这都是我们采取的策略。

　　那么要完成这些主要策略，我们会面临一些问题，这是中国电信亟待解决或者是已经解决的问题。

　　第一个是安全统一管理和组织建设的问题，像很多的面向业务和面向安全的问题，是有很多的差距。业务主要是看业务的开放、业务的质量统计、业务的受理或者业务的服务，但是真正从安全的角度来看，我们还是要逐步地做统一的安全管理模式。那么安全管理首先要从人开始，大家有一个统一的认识，有统一的人员，才能够完成这项工作。那么需求，实际上比如说我们现在要有比较明确的组织架构，或者是同时解决各个部门的分工和协调的问题。那么方法，实际上安全组织体系服务厂家和管理厂家会讲得比较多。那么我们中国电信，会从领导层面或者是管理层面解决这个问题，这包括了机构的管理、人员的划分等等方面考虑侧重，最后就是统一的建设。

　　第二个讲到的是我们制定网络安全战略统一的目标。那么网络是一个什么使命?除了提供服务以外，我们还要有法律法规的建设，我们要提高企业的优势，我们要有自身的竞争规范等等。这些都是我们的运行的规范。那么下一个就是保护资料的机密性和正常的运行，还要保证用户资料的机密性，另外，我们的企业达到了企业一流的目标和水平，这都是我们的战略，实际上我们也朝着这个战略一步一步在走。

　　那么网络安全管理系统化这方面出现的问题，不能从单一的方面出发，不能头痛医头脚痛医脚去做，实际上我们要从企业规划的战略来看，有了战略还要有规划，还要有实施的方法，有1年的规划，也有3年的规划，还有不同时期的规划。

　　那么建立长效机制，这可能也是安全服务商最愿意讲的一部分，那么长效机制，我们有很多种的做法，但是我们要避免安全管理成为一时一次的运动，或者是一次安全检查。

　　那么建立安全体系，这个体系的建设，这是各个运营商自己的考虑，那么我们服务提供商也有各种各样服务的产品。那么这个体系的建设，就要企业依靠自己的所谓的策略、战略、方法，甚至是我们的投入和我们客户的关注度这几个角度，去考虑我们建设怎么样一个体系。那么所谓的体系建设，从我们人员的管理，到我们项目的安全建设，到我们的风险管理甚至是运行维护，甚至是到业务的设备等等，整个的工作都在这个体系当中。这以上就是中国电信的考虑，谢谢各位!