运营商等级保护建设解决方案

一、运营商信息化的现状

随着（zhe）3G业务的推（tuī）广，三大运营商（shāng）正在（zài）热火朝天的进行移（yí）动网络（luò）的改造和建设，为大规模的业务上线做着积极准备，随之而来（lái）的网络安全建设也（yě）需要同（tóng）步（bù）展开。传统（tǒng）的电信网络主（zhǔ）要以（yǐ）专有协议、专有网络为主，现在移（yí）动网络（luò）从承载（zǎi）平台（tái）、业务系统到（dào）后台（tái）的支撑（chēng）系统都越（yuè）来（lái）越多地转（zhuǎn）移到了（le）IP承（chéng）载网络，与互联网的结合（hé）也越来越紧密，因此互联网中大量存在（zài）的安全风险都（dōu）将对运（yùn）营商的移动网络形成威胁（xié），也（yě）必然会对（duì）运（yùn）营商的移动（dòng）互联网（wǎng）战略造成影响。因此，在网络（luò）发展的（de）同时进（jìn）行安全体系（xì）的建设，降低安全（quán）风（fēng）险成为各大运营（yíng）商一个急待解决（jué）的问题。 作为网络服（fú）务的（de）供应商，运营商为（wéi）全国各（gè）行各业重要系（xì）统提供基础网（wǎng）络支撑（chēng），其（qí）信息安全（quán）建设也必须（xū）考虑到等（děng）级保护的相关（guān）要求。

二、运营商等（děng）级（jí）保（bǎo）护建设方案

2.1 参（cān）考依据

GB/T 22239—2008 《信息（xī）安（ān）全技（jì）术 信息系统安全等级保护基本要求》

GB/T 22240—2008 《信息安全技术 信息系统安全保护（hù）等级（jí）定级指南》

GB/T 20984—2007 《信息安全（quán）技术 信（xìn）息安全（quán）风险评估规范（fàn）》

GB/T 18336—2001 《信息技术（shù）—安全技（jì）术—信息技（jì）术安全性评估（gū）准则》

公通字【2007】43号（hào） 《信息安全等级保护（hù）管理办法》

公通（tōng）字【2004】66号 《关于信（xìn）息安全等（děng）级保护工作的实施意见》

ISO/IEC 27001:2005《信息安全技术 信（xìn）息系统安全（quán）管理要求》

ISO/IEC 13335—1: 2004 《信（xìn）息技术 信息技术安（ān）全管理指（zhǐ）南》第1部分：信（xìn）息技术安（ān）全概念（niàn）和（hé）模型

信息系统安全保（bǎo）障（zhàng）理论模型和技术（shù）框架IATF

2.2 方案建设思路

信息安全（quán）等级保护的重点在（zài）于内网（wǎng）安全（quán）措（cuò）施（shī）的（de）建设（shè）和落（luò）实，对于运营上来说，支（zhī）撑系统（tǒng）作（zuò）为运营商（shāng）的内（nèi）网，承担着公（gōng）众通信网络（luò）的管理职（zhí）责，其各类（lèi）支撑系统例（lì）如网管、计（jì）费（fèi）、营帐、客服等等，不仅与业务网络（luò）的配置调度、业务（wù）统（tǒng）计等有着密切的相关性，同时还保有大量的客户基础（chǔ）信息（xī），成（chéng）为实（shí）施信息安全等级保护的重要（yào）IT系统。

各类支撑系（xì）统的相关网络和应用系（xì）统（tǒng）伴随（suí）着通信业务发展的（de）需（xū）要逐步建（jiàn）设形成的，因（yīn）为前期缺（quē）乏统一规划，经过多（duō）年的建设积累，形成网（wǎng）络结（jié）构复杂、层次不清、系统管理维护（hù）困难的现状，网络的有效性（xìng）和稳定性较（jiào）低（dī）。出于运营商自身的安全（quán）需求，对支撑系统进行（háng）区域划分，并（bìng）对区域进行有层次（cì）、有重（chóng）点的保护是当前迫切的需（xū）求。非常一致的要求也出（chū）现在等级保护（hù）的（de）文（wén）件上，等保规定（dìng），安全系统必（bì）须（xū）进行（háng）“结构安全与网段划分（fèn）”，并针对边界（jiè）进行“网（wǎng）络（luò）访问控制”、“ 边界完整性检查”以及“网（wǎng）络（luò）入侵防范”和“恶意代码防（fáng）范”等。

根据信息安（ān）全保障体系的建设思路，分（fèn）为三个阶段，分别为基础（chǔ）完善阶（jiē）段（duàn）、增强和扩（kuò）展阶段、整合建设阶段，具（jù）体（tǐ）如下图：

图1信息安（ān）全保障体系的建设思路图

基础建设阶（jiē）段：基础建设阶段：重点保（bǎo）护（hù）、强化（huà）管理。工作重点包括（kuò）：安全（quán）域划分（fèn）与实施、等级保护整改的设（shè）备采购、安全加（jiā）固、等级保护测（cè）评等。

增强（qiáng）与扩展阶段：安全（quán）拓展，自我优化。在技术体（tǐ）系建设的基础上，本（běn）阶（jiē）段工作重点包括：定期（qī）安全评（píng）估（gū）、信息系统（tǒng）安全建设、系统上（shàng）线检（jiǎn）查、管理（lǐ）制（zhì）度完善和（hé）推广、技（jì）术层面其它（tā）加固等。

整合建设阶段：全面整合（hé）、平（píng）台实现。完善（shàn）管（guǎn）理体系、技（jì）术体系（xì）、运维体系，全面（miàn）建立信息安（ān）全保障体（tǐ）系。

三、方案（àn）特色

1)建（jiàn）立信息安全纵（zòng）深防御机制，层层设防，提高信息科技抗攻击（jī）的（de）能力，有效保护生（shēng）产和办公系统的安全性，完善管（guǎn）理（lǐ）体（tǐ）系、技（jì）术（shù）体（tǐ）系和运维体系。

2)安全域建设的成果（guǒ）不仅是全面增强了运营商整体的安全性和制度性，更大的收获从（cóng）长远的角度去考（kǎo）虑（lǜ）了规划了未来发展（zhǎn）的（de）安全域管理模（mó）式。

3)通（tōng）过评（píng）估手段发现（xiàn）的典型安全问题通过技术手段进（jìn）行解决，建立基本的安全技术框架，满足关键业务（wù）持续、稳定运行的基本要求。