北京移动：以集中防护为核心的安全体系的构建

    2008年11月20日，由中国通信企业协会网络运维专业委员会主办的“第四届中国通信网络运维年会”在北京召开。大会将围绕“推动运维管理创新，保障通信网络安全”的主题展开讨论，届时将有来自工业和信息化部相关领导、中国通信企业协会领导、各运营集团公司相关领导、知名企业家、专家、学者等齐聚一堂，来自各运营公司网络部、通信行业产品开发商、服务商、媒体代表均将出席参加并关注，为您奉上通信运维领域的年度盛典，慧聪通信网对本届大会进行了全程直播。

    以下是中国移动北京有限公司数据业务中心张博报告实录，他报告的内容是《以集中防护为核心的安全体系的构建与实施》。

中国移动北京公司 张博

点击此处查看全部新闻图片

    张博：各位领导、各位代表，大家下午好！

    今天很荣幸在这里跟大家分享一下我们北京移动以集中防护为核心的安全体系构建的过程和实施的过程，以及实施后它所达到的效果。

    我今天介绍的内容主要分为两大部分，以集中防护为核心的安全体系，顾名思义，分为安全体系的建设和集中防护手段的建设这两大块。首先，我先介绍一下北京移动的信息安全体系的建设过程。

    这个体系为什么要建起来，先介绍一下背景。随着通信企业的不断发展，业务种类和规模快速增加，而企业面对的外界网络安全环境却日趋严峻，对公司网络与信息安全管理工作提出了更高的要求和挑战。北京移动地处首都，国家重大活动频繁。确保重点大型活动的通信安全是关系到国家声誉和形象，也要求网络与信息安全保障方面必须做到万无一失。

    而在公司的内部，随着各业务系统的建设越来越大，数量越来越多，网络结构越来越复杂，原有分散管理模式很难满足现有系统的安全保障要求。因此，我们必须建立一个整体的信息安全与网络防护体系，这样才能满足客户和业务发展的需求。

    中国移动北京公司引入了国际先进的安全管理的理念和方法，紧密地结合公司的实际，积极构建了有通信行业特色以集中防护为核心的网络与信息安全管理体系。对于公司的业务发展、网络运营、通信保障等方面都起到了十分重要的作用。

    这是体现了我们信息安全管理体系建设的过程。首先，通过一系列的安全调查和风险评估项目的实施，我们建立了公司安全的使命，以及要完成的目标。在这个使命、目标之下，我们通过一系列的体系设计、安全的规划、策略的设计，建立了北京移动公司安全体系的框架和指标。结合公司的安全现状，我们制定了我们信息安全工作的近期和远期规划。这些规划是通过管理体系的推广实施和技术体系的实施、工程建设这两条主线来加以推进的。

    在体系建设完毕之后，我们又通过一系列平时体系的全面推广、定时的评估和审计、安全的巡检，使信息安全体系不断地向前发展。

    下面介绍一下北京移动信息安全战略与使命，我们从保护竞争优势、规范业务秩序、依从法律法规、维护企业声誉四个方面定义的北京移动信息安全战略和使命。具体体现在以下四个方面，保障业务安全和稳定的运行，保证业务连续性，保护公司的商业机密和技术机密，为公司日常运转提供良好的基础，支持和促进公司业务目标的实现。其次，保护用户隐私，保护用户资料的机密性，维护广大用户的利益。第三，达到国际一流、国内领先的信息安全保障水平，成为广大用户对公司信赖的基础，提高公司的形象，确保客户的信心。最后，为社会和用户提供安全和持续的通信服务，维护国家和首都的社会稳定和经济秩序，维护公众利益。

    从北京移动信息安全战略与使命，我们得出了北京移动信息安全工作的长期目标，以及近期目标。长期目标就是把北京移动的信息安全工作建立成国际一流、国内领先的安全保障体系，达到国内领先的保障水平，同步和领先的公司信息化水平，保障和促进公司业务发展和业务目标的实现。而近期目标就是要逐步地建设、推广和完善这套体系，满足集团公司网络与信息安全标准，萨班斯的要求以及等级保护的要求，达到领先的水平。

    我们这套体系包含的资产范围，包括了公司所有的业务系统和支撑网络，包含了IT支撑网、业务支撑网、通信支撑网。我们又结合了等级保护的相关思想，将不同重要级别的系统，划分到不同的级别区域内，加以各自不同的保护手段。

    下面，介绍一下北京移动网络与信息安全体系的一个整体架构。以集中防护为核心的网络与信息安全管理体系主要由六个核心模块组成。其中，安全方针是原则和指导，决定了公司信息安全管理的定位。信息安全组织体系、信息安全运作体系、信息安全技术体系、信息安全策略体系是体系的核心组成，构成了体系的组织、运作、实施、策略模块。信息安全风险分析体系贯穿于策略、组织、运作和技术体系之中，是设计和运行整个体系的核心指导方法。六大模块形成了完整的信息安全体系，使公司信息安全工作全面有序开展。

    这张图片大家可以看到，这就是刚才提到的四个核心模块里面我们所需要做的一些具体重点工作。比如说在安全策略体系里面，我们需要制定公司级别的信息安全的政策，以及公司层面的安全管理制度，定义各部门的组织职责，以及要建立起来全公司的技术标准和技术规范。比如说在安全技术体系方面，我们需要建立、健全一系列的安全防护手段，需要加强身份认证、访问控制、加密、恶意代码防护、备份、审计、监控，以及系统加固等方面比较重要的工作。

    刚才提到的这些工作，都已经落实到了实际工作的计划之中。这张图表显示了这些工作的一些计划和完成的情况。介质到目前为止，这套体系已经步入了正常的实施和正常的运转过程，已经正常运转了5年的时间。到目前为止体系的实施情况如图表所示，在策略体系方面我们已经建立起来了比较完整的信息安全管理制度，满足了等级保护和萨班斯的要求。在组织体系我们已经完成了公司级别和部门级别的安全组织的建设，进行了丰富的教育，对于各部门的信息安全工作进行了严格的考核和审计。在日常运作方面，我们着重完成了以下的工作。第一是安全体系的推广和落实，第二是在日常的项目建设之中，完善我们的安全管理工作。第三是建立起周期性的风险管理和评估工作。第四是将日常的维护中加入安全运行和维护的工作。在技术平台管理，我们建立起了全程全网的监控和评估审计系统，这些工作都纳入了安全管理中心的管理之中。安全管理中心作为北京移动信息安全体系支撑的非常有效的管理系统，目前已经投入了正常的实施和使用之中。

    上面我向大家介绍的是北京移动这套信息安全管理体系的建设，以及现状是什么情况。下面，向大家介绍一下以集中防护为核心的防御体系，北京移动是怎么建成的。

    这主要分为四个主要的集中防护的手段。第一，我们在网络方面建成了网络安全统一的整合平台。为什么要建成这样一个整合平台呢？刚才我提到了，业务系统是越来越多，而且种类越来越复杂大量的系统独立建设各自的安全防护手段，第一造成了极大地浪费，第二很难形成合力，集中地防护来自外界的攻击。为了提高集中防护水平，我们建成了整体的安全防护建设，进行了网络安全整合的改造工程。通过该改造工程，我们统一了公司业务系统的出口，实现了具有清晰的安全域划分、集中安全防护的网络模型。大家可以看到，我们在这个地方已经实现了所有安全防护手段的集中，出口的整合。根据不同的业务系统的级别，我们还设立了一级和二级生产系统的接入区，以及三级重要核心系统的接入区。

    这个平台建设将来的思路，主要有下面三个方面。第一个是积极利用现有的安全管理平台，不但挖掘安全整合平台安全管理需求，与安全管理中心相融合，充分发挥安全于网络管理分析功能，提高整个平台的综合维护与安全监控的效率。第二是可以在这个平台上面集中部署安全防护手段，比如异常流量检测系统、生产网审计系统、防病毒系统、终端管理系统均可纳入安全整合平台统一考虑。最后，网络整合作为性平台，推动公司安全体系推广和全网安全评估工作。将来安全整合的平台，将要达到一个全面性、层次性，以及可管理性的效果。

    第二个要提到的集中防护的手段就是安全管理中心。现在北京移动的安全防护技术阶段已经非常全面了，包括了防病毒、防火墙、IDS、主机防护、身份监控、扫描等等，现在这些技术手段已经全部纳入了安全管理中心的管理之中。安全管理中心不仅完成了对于这些技术手段的整合，还满足了公司日常管理的需求。比如说安全资产的管理，安全风险评估策略、防病毒管理策略、安全事故的处置流程等等。

    安全管理中心实现了四大主要功能，第一个是集中监控，这是实现对于工作非常重要的业务系统的统一安全管理，通过事件关联分析和问题的定位，实现了多个系统统一的安全监控。第二是同现在的运维流程相结合，基于安全管理中心可以贯彻合理的安全策略和现有的运维流程，对于安全事件的发现、分析、预警、解决提供了有力的工具。第三是安全管理平台可以提供丰富的统计报表流程，实现可量化、可视化、可考核化。最后，安全管理中心提供了丰富的知识库系统，保证维护人员在其帮助下发现问题、跟踪问题、解决问题，实现知识库的集中和共享。

    这个图片显示的是一个总体风险的信息，这是当天的信息。在图表里面有仪表盘、饼图、折线图，可以丰富地展现这个风险出现的情况。

    第二是可以察看刚才风险出现的状况，风险察看支持是按地域察看和按业务系统察看。通过风险察看模块我们可以知道哪个系统、哪个地方会产生问题，问题产生的原因是什么，我们可以逐步地点击进去察看问题的所在。

    对于告警我们分为四类，分别是一级、二级、三级、四级，分别用红色、橙色、黄色、蓝色来表示。这个图里面显示的是红色和黄色的告警标识。基于Web为的报表中心，可以方便地根据自身需求导入报表，也可以进行丰富的展现。

    通过安全管理中心的建设，我们已经实现了对重要系统的安全事件的实时监控。对于每日的网络扫描、系统漏洞的注入情况，网络病毒的传播、系统完整性和可用性是否异常，是否有一些越权用户的非法的操作访问，对于这样事件都进行了重点的监控分析。这套系统最核心的价值所在，它可以大大缩减人工的监控量。安全系统每天是20万条信息，经过系统进行关联分析，呈现的是600条以上，经过人工分析，需要进行重点确认的信息为10到20条，这样可以实现系统的自动监控，极大地提高了实时性和分析效率，以及提高了分析的准确性。这样，对于系统的安全运行、辅助分析起到了非常重要的作用，提高了系统整体的安全性。

    第三个是在支撑网络方面，对于复杂性、开放性和互联性的网络特点，我们从防内和防外两个角度，综合运用多种安全技术，逐步形成全方位、多层次、可扩展的终端安全技术防护技术体系。防内主要是防范误操作，保护敏感数据，我们是通过强认证、权限控制、网络防病毒等来进行的，防外主要是防范黑客入侵、浸透、木马主要是通过防火墙、安全加固、数据扫描等等。

    以下是我们部署的终端管理的技术措施，我们进行了安全域划分与边界整合，内部网络进行MPLSVPN改造。全公司的员工上网现在已经通过部署安全代理服务器，所有的员工必须通过代理来进行网络访问。这样，所有的上网行为都可以得到一个有效的监控。在其他的技术手段方面，我们对IDS进行了一个定制的开发，部署了Mcafee防病毒的软件和防木马、恶意插件的部署。

    第四个集中防护的手段是安全内控和审计。众所周知，在通信企业里面最核心的系统、最核心的资产，是我们最要核心保护的东西。这些东西怎么保护呢？首先，我们分析一下它的使用对象，使用对象主要是由系统管理员，以及开发和维护厂商来组成的。那么，我们通过分析使用人员，以及核心资产的重要性，我们主要是通过四项集中的防护手段来达到对核心资产的防护。

    第一，登陆地点的限制。只能从获得授权可信网段才能访问系统的后台。第二，强认证。这要求支撑系统的管理员，以及厂家的工程师，人手配备一个USB的硬盘，通过硬盘认证才能登陆系统后台。第三，非常细致和苛刻的权限控制。用户只能访问自己所管理的主机、服务、文件、进程。对于系统管理员和开发厂商所有的操作行为，我们都进行了日志的收集，收集之后进行了非常完备的日志审计。重点关注其中的一些违规行为，定期要提交审计的报告。

    以上是我所介绍的两大方面，一个是北京移动信息安全管理体系，一个是北京移动集中防护的防御体系建设和现在的状况。北京移动以集中防护为核心的网络与信息安全管理体系经过长期研制和推广工作，是从2003年开始进行体系的研制和推广了。日前，已经在公司业务和日常运行过程之中，以及前一段大家非常瞩目的奥运保障工作织轴，已经得到了非常广泛的运用。通过这一体系系统化的运作，北京移动公司在信息安全的管理和运营方面，已经步入了健康、持续和良性的运行轨道。不仅成功地保障了北京奥运会，更为公司在新一代3G业务和网络运营方面，做了良好、全面的准备。

    这套体系主要的应用成果，主要体现在以下三个方面。

    第一，管理效益显著提升，公司的安全管理水平以及管理能力，得到了有效的提高。经济方面也日益显现，大大降低了公司现有安全方面的投资成本以及管理成本。最后，社会效益也逐步强化，提升了公司的影响力以及辐射力。

    以上，就是我今天要给大家介绍的内容，谢谢大家！

【我要评论】

【大 中 小】 【打印】

关于“中国移动”的

• 资讯
• 供应
• 求购
• 吧