他认为,电信网络安全问题不能单独依靠通信企业,而是需要政府监管部门担负起建立健全政策法规、保护和管理网络使用环境、规范行业及用户行为的职责,需要提供网络服务的企业承担研究、开发、部署和强化网络安全措施的责任,需要广大用户履行自觉接受规范约束和保护网络的责任。
当前,网络融合在加深,电信业务日益复杂,基础电信网络安全已经成为确保电信运营企业和整个社会稳定的关键一环。
江常青指出,目前运营商网络安全问题已突破网络层面,上升到了系统、数据和应用层面,针对特定系统与应用的威胁和攻击行为日益增多。而运营商的拆分、重组以及电信网络的不断扩容、升级带来网络结构的复杂和某些设备、链路配置部署的不合理,亟待进行网络安全架构设计的改造和网络性能、安全性的优化。业务种类的复杂,造成基础电信网络管理、控制和整体防护、纵深防御的难度越来越大。某些关键核心业务缺乏重点保障,部分业务没有进行安全保障措施的部署。对网络异常流量、恶意代码、垃圾邮件、复杂多样的用户群体、不良信息、突发安全事件等情况缺乏全面、及时、有效的监控预警处置措施,致使运营商面临着被动发现、被动处理、被动防范的局面。
针对基础电信网络业务可持续性、可监测性、可控制性和可赢利性的特点,江常青认为,通信企业应坚持“积极防御,综合防范”的方针,应根据国家信息化领导小组《关于加强信息安全保障工作的意见》、信息产业部《互联网网络安全应急预案》等相关政策文件、国内外信息安全法律法规和标准,结合自身的安全环境,建立层次化的安全策略体系,并应建立专门信息安全组织机构和健全的信息安全预警响应机制,及加强对人员的信息安全培训和用户信息安全意识教育。江常青表示,依据国际电信联盟ITU/TX.805标准提出的点到点通信系统安全架构模型,运营商应全面进行安全机制的部署,并积极跟踪先进安全技术,加强对即时通信,搜索引擎,P2P,移动互联网等新应用、新业务管理制度和安全控制措施的探索,最终保障电信网络基础设施安全层、服务安全层和应用安全层保密性、完整性和可用性安全目标的实现,构建起具有防护、监控、预警、响应、恢复和取证等功能的纵深防御体系。同时通过对安全运行中心(SOC) 的建设和运行,将网络安全管理纳入日常生产运行维护体系中,实时、全面地监控网络异常流量、恶意代码、垃圾邮件、不良信息等情况,做到快速发现、快速响应和快速处理,并确保及时恢复。