基礎(chǔ)信息安全綜合管理體系

侯芳，顏駿，朱東來(lái)，孫潤(rùn)濤，孫晶

（中國(guó)移動(dòng)通信集團(tuán)北京有限公司，北京 100007）

中國(guó)移動(dòng)北京公司以電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)工作為思路，以“適度安全原則、標(biāo)準(zhǔn)性原則、可控性原則、完備性原則、最小影響原則、保密性原則、三同步原則”為原則，以保護(hù)“機(jī)密性、完整性、可用性”為基本點(diǎn)，建立了分階層、多維度、全周期的網(wǎng)絡(luò)與信息安全綜合管理體系。

1 安全體系簡(jiǎn)介

1.1 體系設(shè)計(jì)目標(biāo)

體系設(shè)計(jì)目標(biāo)是保障公司的網(wǎng)絡(luò)與信息安全建設(shè)能夠依照體系化的發(fā)展方向不斷進(jìn)行建設(shè)和完善，充分覆蓋公司、部門、系統(tǒng)的發(fā)展目標(biāo)、規(guī)劃和具體的安全控制措施。

體系以公司信息安全現(xiàn)狀為基礎(chǔ)，設(shè)定安全保障的建設(shè)目標(biāo)，使公司的信息安全工作與安全目標(biāo)相結(jié)合，部門的信息安全工作與部門的安全目標(biāo)相結(jié)合，系統(tǒng)的信息安全工作與系統(tǒng)的安全目標(biāo)相結(jié)合，最終實(shí)現(xiàn)公司總體的安全目標(biāo)。

1.2 體系自身建設(shè)

應(yīng)用PDCA方法，以自然年為周期，對(duì)安全體系進(jìn)行周期性閉環(huán)管理，保持體系的先進(jìn)性和完整性，實(shí)現(xiàn)體系的持續(xù)改進(jìn)。

（1）計(jì)劃。根據(jù)國(guó)家相關(guān)法律法規(guī)和安全要求、根據(jù)中國(guó)移動(dòng)集團(tuán)公司安全規(guī)范和要求，根據(jù)公司業(yè)務(wù)和網(wǎng)絡(luò)安全現(xiàn)狀和下一步建設(shè)的安全需求，補(bǔ)充、完善安全體系中的流程和要求，設(shè)定本年度安全工作目標(biāo)，將安全目標(biāo)落實(shí)到各個(gè)部門；

（2）執(zhí)行。公司各部門根據(jù)已經(jīng)確定的安全目標(biāo)，落實(shí)工作；

（3）檢查。各維護(hù)部門、公司安全職能管理部門根據(jù)既定的安全目標(biāo)，對(duì)要求執(zhí)行情況進(jìn)行核查，收集落實(shí)效果和存在問(wèn)題；

（4）改進(jìn)。分析存在問(wèn)題，若體系內(nèi)容不適用于實(shí)際的工作情況、體系內(nèi)容落后于實(shí)際情況的發(fā)展等，則其結(jié)果作為下一年度體系目標(biāo)改進(jìn)和更新的重要依據(jù)之一。

1.3 體系結(jié)構(gòu)與內(nèi)容

安全綜合管理體系按照不同的工作側(cè)重點(diǎn)，可劃分為縱向和橫向兩個(gè)維度。

縱向維度包括3部分：面向體系自身，規(guī)范對(duì)安全體系自身的管理和維護(hù)工作；面向外部人員，通過(guò)具有法律效力的合同條款，規(guī)范外部人員的安全；面向內(nèi)部人員，明確公司網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維中的安全管理制度和技術(shù)要求。

橫向維度包括3部分：

（1）安全管理細(xì)則部分。貫穿整個(gè)信息系統(tǒng)生命周期，對(duì)規(guī)劃設(shè)計(jì)、項(xiàng)目采購(gòu)、施工驗(yàn)收、運(yùn)行維護(hù)、下線退網(wǎng)階段應(yīng)遵循的工作流程、管理要求和技術(shù)要求進(jìn)行了規(guī)范；

（2）安全專業(yè)手段部分。根據(jù)公司網(wǎng)絡(luò)和信息系統(tǒng)特點(diǎn)，立體打造多維安全防護(hù)手段。重點(diǎn)建設(shè)安全專業(yè)系統(tǒng)，廣泛使用安全軟、硬件工具，積極利用輔助支撐系統(tǒng)，全面提升安全工作能力；

（3）匯報(bào)與考核部分。建立安全報(bào)表定期上報(bào)制度和安全月例會(huì)匯報(bào)機(jī)制，各維護(hù)部門把安全目標(biāo)的落實(shí)進(jìn)度、達(dá)成情況定期上報(bào)公司管理層。通過(guò)建立綜合評(píng)價(jià)指標(biāo)體系，將關(guān)鍵工作指標(biāo)化，量化地掌握公司整體層面的安全工作推進(jìn)情況。建立多層次、多維度的考核制度和考核項(xiàng)目?？己艘罁?jù)綜合報(bào)表和匯報(bào)結(jié)果與管理層組織的安全檢查結(jié)果得出，督促維護(hù)部門有效落實(shí)安全要求，按時(shí)保質(zhì)達(dá)成安全目標(biāo)。

2 安全管理細(xì)則

安全管理細(xì)則面向內(nèi)部用戶，覆蓋系統(tǒng)生命周期全部環(huán)節(jié)。安全流程控制點(diǎn)基于現(xiàn)有控制點(diǎn)，緊密結(jié)合，確保融合并有效執(zhí)行，如圖1所示。

2.1 規(guī)劃設(shè)計(jì)安全管理

在項(xiàng)目建設(shè)規(guī)劃階段，進(jìn)行安全評(píng)審，從系統(tǒng)誕生源頭做好安全管控，降低系統(tǒng)架構(gòu)不合規(guī)導(dǎo)致的安全風(fēng)險(xiǎn)，減少后期安全維護(hù)成本。

項(xiàng)目立項(xiàng)部門與維護(hù)部門（有時(shí)二者為同一部門）根據(jù)系統(tǒng)功能、存儲(chǔ)信息等情況，對(duì)系統(tǒng)保護(hù)等級(jí)進(jìn)行預(yù)定級(jí)。根據(jù)等級(jí)高低，分別由立項(xiàng)部門、維護(hù)部門、公司安全職能管理部門或公司安全專家小組參與評(píng)審。對(duì)不合規(guī)問(wèn)題，立項(xiàng)部門調(diào)整方案，待輸出最終正式的評(píng)審結(jié)果后，作為立項(xiàng)審批的必備材料之一。

將安全評(píng)審內(nèi)容條目化、標(biāo)準(zhǔn)化、模板化，降低因評(píng)審人員經(jīng)驗(yàn)不同造成評(píng)審結(jié)果參差不齊的影響，提高評(píng)審效率。

2.2 項(xiàng)目采購(gòu)安全管理

在設(shè)備、軟件和系統(tǒng)集成的采購(gòu)階段，明確廠商及其產(chǎn)品應(yīng)滿足的安全要求，降低因廠商資質(zhì)不足或產(chǎn)品安全功能不合規(guī)而導(dǎo)致的風(fēng)險(xiǎn)。

對(duì)廠商提供的產(chǎn)品，在采購(gòu)書中明確安全規(guī)范，包括廠商產(chǎn)品應(yīng)符合的安全功能、廠商建設(shè)項(xiàng)目應(yīng)遵循的技術(shù)規(guī)范、服務(wù)廠商應(yīng)具備的安全資質(zhì)等內(nèi)容，最終選定的產(chǎn)品或廠商要滿足以上要求。

對(duì)廠商主體及其人員，在所簽訂的合同中，明確其公司主體及人員應(yīng)承擔(dān)的保密責(zé)任和安全責(zé)任，必要時(shí)作為追究其安全責(zé)任的法律依據(jù)。

2.3 施工驗(yàn)收安全管理

明確本公司建設(shè)部門和廠商在項(xiàng)目實(shí)施階段應(yīng)遵循的安全管理要求，降低對(duì)現(xiàn)有網(wǎng)絡(luò)和系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。

圖1 貫穿信息系統(tǒng)生命周期的安全管理細(xì)則

在系統(tǒng)入網(wǎng)驗(yàn)收時(shí)，根據(jù)采購(gòu)書的內(nèi)容，對(duì)系統(tǒng)進(jìn)行技術(shù)達(dá)標(biāo)驗(yàn)收，確保系統(tǒng)入網(wǎng)時(shí)滿足技術(shù)規(guī)范。

由于系統(tǒng)入網(wǎng)有多種場(chǎng)景，為了對(duì)該環(huán)節(jié)進(jìn)行嚴(yán)格的把控，驗(yàn)收過(guò)程分為4個(gè)關(guān)鍵點(diǎn)：（1）與現(xiàn)網(wǎng)互聯(lián)：因需與現(xiàn)網(wǎng)聯(lián)調(diào)等需求而導(dǎo)致新建系統(tǒng)與現(xiàn)網(wǎng)進(jìn)行連接；（2）設(shè)備驗(yàn)收：與功能測(cè)試等設(shè)備驗(yàn)收同期；（3）入網(wǎng)割接：業(yè)務(wù)割接和上線的同期；（4）正式交維：設(shè)備交付維護(hù)部門。

對(duì)于驗(yàn)收中的不合規(guī)問(wèn)題，由相關(guān)責(zé)任人進(jìn)行整改。原則上，正式入網(wǎng)前，所有要求均必須滿足。對(duì)于短時(shí)間內(nèi)無(wú)法解決的問(wèn)題，寫入驗(yàn)收結(jié)果備忘錄，由廠商和建設(shè)部門在約定的期限前完成整改。

2.4 運(yùn)行維護(hù)安全管理

根據(jù)系統(tǒng)運(yùn)行維護(hù)的安全工作的不同方面，可劃分為基礎(chǔ)安全、安全應(yīng)急和安全檢查3部分。

2.4.1 基礎(chǔ)安全工作

基礎(chǔ)安全維護(hù)工作包括多個(gè)方面多個(gè)程序，各類工作互相關(guān)聯(lián)或重疊。通過(guò)安全基礎(chǔ)數(shù)據(jù)、安全域、賬號(hào)口令、服務(wù)與端口、網(wǎng)絡(luò)互聯(lián)、生產(chǎn)終端、辦公終端、移動(dòng)存儲(chǔ)介質(zhì)、遠(yuǎn)程接入、客戶信息保密、日志審計(jì)、安全監(jiān)控、系統(tǒng)維護(hù)作業(yè)計(jì)劃等管理細(xì)則，規(guī)范相關(guān)部門和人員應(yīng)遵守的安全流程和具體要求。

2.4.2 安全應(yīng)急工作

安全預(yù)警內(nèi)容以國(guó)家權(quán)威機(jī)構(gòu)、中國(guó)移動(dòng)通信集團(tuán)公司發(fā)布的預(yù)警信息為主，以行業(yè)內(nèi)外發(fā)生的安全事件原因?yàn)檠a(bǔ)充。維護(hù)部門對(duì)預(yù)警信息涉及的設(shè)備和軟件進(jìn)行核查，及時(shí)修補(bǔ)加固。

制定專項(xiàng)安全應(yīng)急預(yù)案，應(yīng)對(duì)多種典型的安全攻擊事件；對(duì)各個(gè)網(wǎng)絡(luò)與信息系統(tǒng)制定應(yīng)急方案，根據(jù)系統(tǒng)的特點(diǎn)進(jìn)行安全事件處理。同時(shí)，定期開(kāi)展模擬應(yīng)急演練和實(shí)戰(zhàn)應(yīng)急演練，總結(jié)演練中存在的問(wèn)題，提高安全事件處置能力。

2.4.3 安全檢查工作

安全檢查包括安全審計(jì)與風(fēng)險(xiǎn)評(píng)估，是發(fā)現(xiàn)問(wèn)題的重要手段，是解決問(wèn)題的重要前提。安全檢查分為手段自動(dòng)巡檢和人工智能抽檢兩種方式，如圖2所示，自動(dòng)與手動(dòng)有效協(xié)同，互相補(bǔ)充，及時(shí)準(zhǔn)確發(fā)現(xiàn)問(wèn)題，并形成“閉環(huán)管理、螺旋上升”的工作機(jī)制。

圖2 多維多層次的安全審計(jì)與風(fēng)險(xiǎn)評(píng)估工作

2.4.3.1 安全檢查開(kāi)展形式與內(nèi)容

根據(jù)檢查開(kāi)展的不同形式，分為3個(gè)層面：基礎(chǔ)層、系統(tǒng)層和專業(yè)層。

基礎(chǔ)層：各系統(tǒng)維護(hù)部門在年初制定安全審計(jì)與風(fēng)險(xiǎn)評(píng)估計(jì)劃，部門內(nèi)定期開(kāi)展系統(tǒng)漏洞掃描、安全配置檢查等自檢工作，并對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行加固。

系統(tǒng)層：由各部門安全人員組成的專家檢查隊(duì)伍，進(jìn)行面向系統(tǒng)和業(yè)務(wù)的評(píng)估。檢查由公司網(wǎng)絡(luò)與信息安全辦公室組織，每月抽取公司內(nèi)的兩個(gè)重要系統(tǒng)進(jìn)行檢查，各部門派遣1～2名安全人員參與。檢查內(nèi)容包括綜合風(fēng)險(xiǎn)評(píng)估、安全漏洞掃描、設(shè)備基本配置檢查、應(yīng)用軟件檢查、管理安全落實(shí)情況檢查、維護(hù)作業(yè)計(jì)劃執(zhí)行情況檢查等。

專業(yè)層：借助專業(yè)安全廠商的技術(shù)優(yōu)勢(shì)，補(bǔ)充安全檢查能力，對(duì)面向公網(wǎng)服務(wù)的系統(tǒng)進(jìn)行漏洞挖掘、白客滲透等。

2.4.3.2 安全問(wèn)題加固

對(duì)安全檢查發(fā)現(xiàn)的問(wèn)題，相關(guān)責(zé)任部門或責(zé)任人制定整改計(jì)劃和措施，在盡可能短的時(shí)間內(nèi)，完成加固工作。為確保安全加固起到良好效果，通過(guò)復(fù)查，對(duì)其效果進(jìn)行驗(yàn)證。

對(duì)于短期內(nèi)無(wú)法整改的問(wèn)題，通過(guò)加強(qiáng)周邊防護(hù)，降低核心風(fēng)險(xiǎn)熱度。

2.5 下線退網(wǎng)安全管理

在系統(tǒng)下線退網(wǎng)階段，實(shí)施部門要在執(zhí)行設(shè)備下線操作前向相關(guān)管理部門和業(yè)務(wù)部門進(jìn)行申請(qǐng)，通過(guò)會(huì)簽才可操作。

設(shè)備下線后，要對(duì)存儲(chǔ)介質(zhì)中的敏感數(shù)據(jù)進(jìn)行轉(zhuǎn)移或銷毀。存儲(chǔ)介質(zhì)本身也要進(jìn)行銷毀或多次格式化處理。

3 安全手段建設(shè)

在人工開(kāi)展基礎(chǔ)安全工作之上，深入分析安全風(fēng)險(xiǎn)和威脅來(lái)源，建設(shè)專業(yè)的安全手段，有效應(yīng)用自動(dòng)化工具，對(duì)加強(qiáng)安全能力至關(guān)重要。

中國(guó)移動(dòng)北京公司已經(jīng)建設(shè)并應(yīng)用了定制化開(kāi)發(fā)的安全管控平臺(tái)（4A）和安全管理平臺(tái)（SOC）、數(shù)據(jù)網(wǎng)安全整合平臺(tái)、流量清洗系統(tǒng)、網(wǎng)頁(yè)防篡改系統(tǒng)、代碼審計(jì)系統(tǒng)等專業(yè)安全手段。各維護(hù)部門還配置了漏洞掃描器、Web應(yīng)用掃描器、安全基線檢查工具、口令破解工具等軟、硬件安全工具。專業(yè)系統(tǒng)與安全工具“長(zhǎng)短結(jié)合、優(yōu)勢(shì)互補(bǔ)”，全面提升安全能力。

安全管控平臺(tái)（4A）：實(shí)現(xiàn)全部維護(hù)人員（含第三方人員）在系統(tǒng)設(shè)備上的賬號(hào)口令、使用權(quán)限和操作內(nèi)容的管控。完整記錄人員操作，進(jìn)行日志審計(jì)。對(duì)超級(jí)權(quán)限實(shí)現(xiàn)多人制衡的金庫(kù)模式管理。

安全管理平臺(tái)（SOC）：提供多元化、人性化的安全服務(wù)系統(tǒng)，實(shí)現(xiàn)“快速發(fā)現(xiàn)、及時(shí)響應(yīng)、閉環(huán)管理”的目標(biāo)。

4 安全人員建設(shè)

提升全民安全意識(shí)，是快速、全面落實(shí)安全工作的基礎(chǔ)。具備高素質(zhì)高水平的安全專業(yè)隊(duì)伍，是有效推進(jìn)安全工作發(fā)展的核心。

中國(guó)移動(dòng)北京公司將安全相關(guān)人員分為6類：安全管理、安全審計(jì)、安全技術(shù)、系統(tǒng)安全維護(hù)、安全監(jiān)控和主管安全的3級(jí)經(jīng)理。

人員培養(yǎng)方面，堅(jiān)持全面鋪開(kāi)，重點(diǎn)突出的原則。對(duì)普通人員進(jìn)行安全意識(shí)和基礎(chǔ)知識(shí)培訓(xùn)；對(duì)安全專業(yè)人員，根據(jù)不同專業(yè)，進(jìn)行針對(duì)性的深入培訓(xùn)。通過(guò)培訓(xùn)提高人員理論知識(shí)水平，通過(guò)內(nèi)部安全檢查提高人員實(shí)操技術(shù)能力。

5 結(jié)束語(yǔ)

中國(guó)移動(dòng)北京公司自主建立的安全體系，較完善地貫徹了國(guó)家相關(guān)安全規(guī)定，落實(shí)了中國(guó)移動(dòng)的相關(guān)安全規(guī)范，提升了網(wǎng)絡(luò)與信息安全的基礎(chǔ)防護(hù)能力，也體現(xiàn)了中國(guó)移動(dòng)良好的社會(huì)責(zé)任形象。