风险的浮出

由于运营商内部第三方主机、网络设备、应用系统和维护人员众多，对各系统的访问控制、权限分配、口令等管理比较分散，都是由各自的运维人员进行管理，存在比较大的安全隐患，容易发生误操作、恶意操作，同时对人员的运维操作不能实时监控审计，无法监测、阻断高危风险的操作。

曾为某移动运营商进行设备安装工作的工程师王强（备注，“本文人物均为化名”）利用他为用户做技术支持时使用的密码（此密码自王强离开后一直没有更改），轻松进入了用户的。从而通过修改用户系统的轻松获得了14000个充值卡密码并获得380万元的利润。对该运营商造成了巨大的经济损失，并严重损害企业形象。

庞大系统背后的困惑

随着运营商业务的不断发展，网络规模日益扩大，重要应用及服务器、网络设备、安全设备日益增多，其业务支撑系统网络结构也变得越来越复杂，并且随着3G业务的不断开展，运营商面临着各种业务系统和数据量激增带来的企业内部管理问题。

运营商内部运行着众多应用系统（包括BSS、经营分析、结算、OCS和网管系统等）的同时，后台也部署了大量的数据库系统，如何对内网不同用户操作各类数据库的行为过程进行有效的监管；如何应对众多数据库自身安全策略的漏洞；如何及时的对内部违规操作进行记录和报警；如何对多种数据库日常维护、升级时的操作审计、如何在业务发生故障时迅速找出源头等问题都是运营商重点需要解决的问题。

²  数据库账户和权限的滥用

²  数据库自身日志审计的缺陷

²  数据库与业务系统无法关联分析

²  数据库自身存在问题

²  系统的运维工作存在隐患

行业标准的陆续推进

2006年电信运营商启动了电信网和的网络安全防护的系列标准制定工作，并从2008年开始陆续颁布了关于电信网和互联网的安全防护方面的系列行业标准，于2008年1月14日一次性发布了该系列的32项标准。

该系列标准参照我国关于方面的国家标准要求，以指导安全防护工作为目的，结合电信网全程全网、网络分层的特点。其安全防护范围包括基础网络、业务单元和控制单元、非核心生产单元、互联网的其它网络或信息系统等四大部分。该系列标准对电信网和互联网安全防护体系各部分内容及其关系、安全等级划分和定级方法、安全等级保护实施过程中的基本原则，风险评估的要素及实施流程、工作形式、遵循的原则、灾难备份及恢复工作的目标和原则等做出了具体规定。

同时在《CTG-MBOSS 安全规范总册》、《企业内部控制规范----基本规范的内部审计机制》以及《电信网与互联网安全等级保护实施指南》、《移动通信网安全防护要求》的相关要求中，其安全审计环节是必不可少的一项。