侯芳，顏駿，朱東來，孫潤濤，孫晶

（中國移動通信集團北京有限公司，北京 100007）

中國移動北京公司以電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護工作為思路，以“適度安全原則、標準性原則、可控性原則、完備性原則、最小影響原則、保密性原則、三同步原則”為原則，以保護“機密性、完整性、可用性”為基本點，建立了分階層、多維度、全周期的網(wǎng)絡與信息安全綜合管理體系。

1 安全體系簡介

1.1 體系設計目標

體系設計目標是保障公司的網(wǎng)絡與信息安全建設能夠依照體系化的發(fā)展方向不斷進行建設和完善，充分覆蓋公司、部門、系統(tǒng)的發(fā)展目標、規(guī)劃和具體的安全控制措施。

體系以公司信息安全現(xiàn)狀為基礎，設定安全保障的建設目標，使公司的信息安全工作與安全目標相結合，部門的信息安全工作與部門的安全目標相結合，系統(tǒng)的信息安全工作與系統(tǒng)的安全目標相結合，最終實現(xiàn)公司總體的安全目標。

1.2 體系自身建設

應用PDCA方法，以自然年為周期，對安全體系進行周期性閉環(huán)管理，保持體系的先進性和完整性，實現(xiàn)體系的持續(xù)改進。

（1）計劃。根據(jù)國家相關法律法規(guī)和安全要求、根據(jù)中國移動集團公司安全規(guī)范和要求，根據(jù)公司業(yè)務和網(wǎng)絡安全現(xiàn)狀和下一步建設的安全需求，補充、完善安全體系中的流程和要求，設定本年度安全工作目標，將安全目標落實到各個部門；

（2）執(zhí)行。公司各部門根據(jù)已經(jīng)確定的安全目標，落實工作；

（3）檢查。各維護部門、公司安全職能管理部門根據(jù)既定的安全目標，對要求執(zhí)行情況進行核查，收集落實效果和存在問題；

（4）改進。分析存在問題，若體系內(nèi)容不適用于實際的工作情況、體系內(nèi)容落后于實際情況的發(fā)展等，則其結果作為下一年度體系目標改進和更新的重要依據(jù)之一。

1.3 體系結構與內(nèi)容

安全綜合管理體系按照不同的工作側重點，可劃分為縱向和橫向兩個維度。

縱向維度包括3部分：面向體系自身，規(guī)范對安全體系自身的管理和維護工作；面向外部人員，通過具有法律效力的合同條款，規(guī)范外部人員的安全；面向內(nèi)部人員，明確公司網(wǎng)絡與信息系統(tǒng)運維中的安全管理制度和技術要求。

橫向維度包括3部分：

（1）安全管理細則部分。貫穿整個信息系統(tǒng)生命周期，對規(guī)劃設計、項目采購、施工驗收、運行維護、下線退網(wǎng)階段應遵循的工作流程、管理要求和技術要求進行了規(guī)范；

（2）安全專業(yè)手段部分。根據(jù)公司網(wǎng)絡和信息系統(tǒng)特點，立體打造多維安全防護手段。重點建設安全專業(yè)系統(tǒng)，廣泛使用安全軟、硬件工具，積極利用輔助支撐系統(tǒng)，全面提升安全工作能力；

（3）匯報與考核部分。建立安全報表定期上報制度和安全月例會匯報機制，各維護部門把安全目標的落實進度、達成情況定期上報公司管理層。通過建立綜合評價指標體系，將關鍵工作指標化，量化地掌握公司整體層面的安全工作推進情況。建立多層次、多維度的考核制度和考核項目?？己艘罁?jù)綜合報表和匯報結果與管理層組織的安全檢查結果得出，督促維護部門有效落實安全要求，按時保質達成安全目標。

2 安全管理細則

安全管理細則面向內(nèi)部用戶，覆蓋系統(tǒng)生命周期全部環(huán)節(jié)。安全流程控制點基于現(xiàn)有控制點，緊密結合，確保融合并有效執(zhí)行，如圖1所示。

2.1 規(guī)劃設計安全管理

在項目建設規(guī)劃階段，進行安全評審，從系統(tǒng)誕生源頭做好安全管控，降低系統(tǒng)架構不合規(guī)導致的安全風險，減少后期安全維護成本。

項目立項部門與維護部門（有時二者為同一部門）根據(jù)系統(tǒng)功能、存儲信息等情況，對系統(tǒng)保護等級進行預定級。根據(jù)等級高低，分別由立項部門、維護部門、公司安全職能管理部門或公司安全專家小組參與評審。對不合規(guī)問題，立項部門調(diào)整方案，待輸出最終正式的評審結果后，作為立項審批的必備材料之一。

將安全評審內(nèi)容條目化、標準化、模板化，降低因評審人員經(jīng)驗不同造成評審結果參差不齊的影響，提高評審效率。

2.2 項目采購安全管理

在設備、軟件和系統(tǒng)集成的采購階段，明確廠商及其產(chǎn)品應滿足的安全要求，降低因廠商資質不足或產(chǎn)品安全功能不合規(guī)而導致的風險。

對廠商提供的產(chǎn)品，在采購書中明確安全規(guī)范，包括廠商產(chǎn)品應符合的安全功能、廠商建設項目應遵循的技術規(guī)范、服務廠商應具備的安全資質等內(nèi)容，最終選定的產(chǎn)品或廠商要滿足以上要求。

對廠商主體及其人員，在所簽訂的合同中，明確其公司主體及人員應承擔的保密責任和安全責任，必要時作為追究其安全責任的法律依據(jù)。

2.3 施工驗收安全管理

明確本公司建設部門和廠商在項目實施階段應遵循的安全管理要求，降低對現(xiàn)有網(wǎng)絡和系統(tǒng)帶來的安全風險。

圖1 貫穿信息系統(tǒng)生命周期的安全管理細則

在系統(tǒng)入網(wǎng)驗收時，根據(jù)采購書的內(nèi)容，對系統(tǒng)進行技術達標驗收，確保系統(tǒng)入網(wǎng)時滿足技術規(guī)范。

由于系統(tǒng)入網(wǎng)有多種場景，為了對該環(huán)節(jié)進行嚴格的把控，驗收過程分為4個關鍵點：（1）與現(xiàn)網(wǎng)互聯(lián)：因需與現(xiàn)網(wǎng)聯(lián)調(diào)等需求而導致新建系統(tǒng)與現(xiàn)網(wǎng)進行連接；（2）設備驗收：與功能測試等設備驗收同期；（3）入網(wǎng)割接：業(yè)務割接和上線的同期；（4）正式交維：設備交付維護部門。

對于驗收中的不合規(guī)問題，由相關責任人進行整改。原則上，正式入網(wǎng)前，所有要求均必須滿足。對于短時間內(nèi)無法解決的問題，寫入驗收結果備忘錄，由廠商和建設部門在約定的期限前完成整改。

2.4 運行維護安全管理

根據(jù)系統(tǒng)運行維護的安全工作的不同方面，可劃分為基礎安全、安全應急和安全檢查3部分。

2.4.1 基礎安全工作

基礎安全維護工作包括多個方面多個程序，各類工作互相關聯(lián)或重疊。通過安全基礎數(shù)據(jù)、安全域、賬號口令、服務與端口、網(wǎng)絡互聯(lián)、生產(chǎn)終端、辦公終端、移動存儲介質、遠程接入、客戶信息保密、日志審計、安全監(jiān)控、系統(tǒng)維護作業(yè)計劃等管理細則，規(guī)范相關部門和人員應遵守的安全流程和具體要求。

2.4.2 安全應急工作

安全預警內(nèi)容以國家權威機構、中國移動通信集團公司發(fā)布的預警信息為主，以行業(yè)內(nèi)外發(fā)生的安全事件原因為補充。維護部門對預警信息涉及的設備和軟件進行核查，及時修補加固。

制定專項安全應急預案，應對多種典型的安全攻擊事件；對各個網(wǎng)絡與信息系統(tǒng)制定應急方案，根據(jù)系統(tǒng)的特點進行安全事件處理。同時，定期開展模擬應急演練和實戰(zhàn)應急演練，總結演練中存在的問題，提高安全事件處置能力。

2.4.3 安全檢查工作

安全檢查包括安全審計與風險評估，是發(fā)現(xiàn)問題的重要手段，是解決問題的重要前提。安全檢查分為手段自動巡檢和人工智能抽檢兩種方式，如圖2所示，自動與手動有效協(xié)同，互相補充，及時準確發(fā)現(xiàn)問題，并形成“閉環(huán)管理、螺旋上升”的工作機制。

圖2 多維多層次的安全審計與風險評估工作

2.4.3.1 安全檢查開展形式與內(nèi)容

根據(jù)檢查開展的不同形式，分為3個層面：基礎層、系統(tǒng)層和專業(yè)層。

基礎層：各系統(tǒng)維護部門在年初制定安全審計與風險評估計劃，部門內(nèi)定期開展系統(tǒng)漏洞掃描、安全配置檢查等自檢工作，并對發(fā)現(xiàn)的問題進行加固。

系統(tǒng)層：由各部門安全人員組成的專家檢查隊伍，進行面向系統(tǒng)和業(yè)務的評估。檢查由公司網(wǎng)絡與信息安全辦公室組織，每月抽取公司內(nèi)的兩個重要系統(tǒng)進行檢查，各部門派遣1～2名安全人員參與。檢查內(nèi)容包括綜合風險評估、安全漏洞掃描、設備基本配置檢查、應用軟件檢查、管理安全落實情況檢查、維護作業(yè)計劃執(zhí)行情況檢查等。

專業(yè)層：借助專業(yè)安全廠商的技術優(yōu)勢，補充安全檢查能力，對面向公網(wǎng)服務的系統(tǒng)進行漏洞挖掘、白客滲透等。

2.4.3.2 安全問題加固

對安全檢查發(fā)現(xiàn)的問題，相關責任部門或責任人制定整改計劃和措施，在盡可能短的時間內(nèi)，完成加固工作。為確保安全加固起到良好效果，通過復查，對其效果進行驗證。

對于短期內(nèi)無法整改的問題，通過加強周邊防護，降低核心風險熱度。

2.5 下線退網(wǎng)安全管理

在系統(tǒng)下線退網(wǎng)階段，實施部門要在執(zhí)行設備下線操作前向相關管理部門和業(yè)務部門進行申請，通過會簽才可操作。

設備下線后，要對存儲介質中的敏感數(shù)據(jù)進行轉移或銷毀。存儲介質本身也要進行銷毀或多次格式化處理。

3 安全手段建設

在人工開展基礎安全工作之上，深入分析安全風險和威脅來源，建設專業(yè)的安全手段，有效應用自動化工具，對加強安全能力至關重要。

中國移動北京公司已經(jīng)建設并應用了定制化開發(fā)的安全管控平臺（4A）和安全管理平臺（SOC）、數(shù)據(jù)網(wǎng)安全整合平臺、流量清洗系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、代碼審計系統(tǒng)等專業(yè)安全手段。各維護部門還配置了漏洞掃描器、Web應用掃描器、安全基線檢查工具、口令破解工具等軟、硬件安全工具。專業(yè)系統(tǒng)與安全工具“長短結合、優(yōu)勢互補”，全面提升安全能力。

安全管控平臺（4A）：實現(xiàn)全部維護人員（含第三方人員）在系統(tǒng)設備上的賬號口令、使用權限和操作內(nèi)容的管控。完整記錄人員操作，進行日志審計。對超級權限實現(xiàn)多人制衡的金庫模式管理。

安全管理平臺（SOC）：提供多元化、人性化的安全服務系統(tǒng)，實現(xiàn)“快速發(fā)現(xiàn)、及時響應、閉環(huán)管理”的目標。

4 安全人員建設

提升全民安全意識，是快速、全面落實安全工作的基礎。具備高素質高水平的安全專業(yè)隊伍，是有效推進安全工作發(fā)展的核心。

中國移動北京公司將安全相關人員分為6類：安全管理、安全審計、安全技術、系統(tǒng)安全維護、安全監(jiān)控和主管安全的3級經(jīng)理。

人員培養(yǎng)方面，堅持全面鋪開，重點突出的原則。對普通人員進行安全意識和基礎知識培訓；對安全專業(yè)人員，根據(jù)不同專業(yè)，進行針對性的深入培訓。通過培訓提高人員理論知識水平，通過內(nèi)部安全檢查提高人員實操技術能力。

5 結束語

中國移動北京公司自主建立的安全體系，較完善地貫徹了國家相關安全規(guī)定，落實了中國移動的相關安全規(guī)范，提升了網(wǎng)絡與信息安全的基礎防護能力，也體現(xiàn)了中國移動良好的社會責任形象。