1 前言
中国移动通信网络是国家基础信息网络和重要信息系统的组成部分,更是中国移动赖以生存和发展的基本条件,随着网络IP化进程、终端智能化以及业务、服务多样化趋势的加快,移动通信网络面临的威胁和攻击也越来越多,网络与信息安全工作日趋重要。
为了确保网络安全,现在很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品,提高了本企业的网络安全水平,但是这些改善仍没有达到理想的目标,病毒、黑客和计算机犯罪依然猖獗,这给信息安全的理论界、厂商和用户提出了一系列问题,促使人们开始对安全体系进行思考和研究。在网络安全建设时,不单单是考虑某一项安全技术或者某一种安全产品,而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络和信息安全体系,全面营造一个良好的网络安全运行环境。
2 网络与信息安全体系概述
一个完整的信息安全体系应该是安全管理和安全技术实施的结合,两者缺一不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国外安全保障理论也在不断的发展之中,美国国家安全局从1998年以来开展了信息安全保障技术框架(IATF)的研究工作,并在2000年10月发布了IATF 3.1版本,在IATF中提出信息安全保障的深度防御战略模型,将防御体系分为策略、组织、技术和操作4个要素,强调在安全体系中进行多层保护。安全机制的实现应具有以下相对固定的模式,即“组织(或人)在安全策略下借助于一定的安全技术手段进行持续的运作”。
图1 信息安全保障体系
在建设中国移动通信集团西藏有限公司(以下简称为西藏移动)网络安全体系时,从横向主要包含安全管理和安全技术两个方面的要素,在采用各种安全技术控制措施的同时,制定层次化的安全策略,完善安全管理组织机构和安全管理人员配备,提高系统管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和安全管理实现对网络和系统的多层保护,减小其受到攻击的可能性,防范安全事件的发生,提高对安全事件的应急响应能力,在发生安全事件时尽量减少因事件造成的损失。
其次,为了使安全体系更具有针对性,在构建时还考虑了信息安全本身的特点:动态性、相对性和整体性。
信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变化之中,从内因看,信息系统本身就在变化和发展之中,信息系统中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看,各种软硬件系统的安全漏洞不断被发现、各种攻击手段在不断发展,这些都可能使得今天还处于相对安全状态的信息系统在明天就出现了新的风险。
信息系统安全的相对性指的是信息安全的目标实现总是相对的,由于成本以及实际业务需求的约束,任何安全解决方案都不可能解决所有的安全问题,百分之百安全的信息系统是不存在的,不管安全管理和安全技术实施多完善,安全问题总会在某个情况下发生。信息安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要环节。
信息安全的整体性指的是信息安全是一个整体的目标,正如木桶的装水容量取决于最短的木板一样,一个信息系统的安全水平也取决于防御最薄弱的环节,因此,均衡应该是信息安全保障体系的一个重要原则。这包括体系中安全管理、安全技术实施、各个安全环节及各个保护对象的防御措施等方面的均衡,以实现整体的信息安全目标。
综上考虑,西藏移动构建了包含策略体系、组织体系、技术体系、运作体系在内的信息安全保障体系,如图1所示。
策略体系:安全策略体系主要通过建立完整的信息安全策略体系,提高员工的安全意识和技术水平,完善各种安全策略和安全机制;利用多种安全技术措施和信息安全管理实现对网络的多层保护,防范信息安全事件的发生,减小网络受到攻击的可能性,提高对安全事件的反应处理能力。
目前西藏移动已经从各个管理角度(物理安全、网络安全、系统安全、应用安全)制定了不同的安全策略,实现了多个层次的安全防护。例如在物理安全方面,通过对机房的改造、增加门禁系统、出入登记等方法,加强对机房的安全管理;在网络安全方面,采取VLAN、NAT等多种技术手段进行必要的网络隔离,对终端采取IP-MAC绑定的方式等;在系统安全方面通过账号口令管理、安全配置加固、安装防病毒软件等手段;在应用安全方面通过配置应用层网关、对系统开放的服务和端口进行核查、进行应用软件安全配置加固等手段。
组织体系:主要包括安全组织和管理制度建设、安全管理人员的培训教育等。
目前西藏移动已经建立起了网络与信息安全分级管理体系,成立了网络安全应急响应小组、安全审计组、风险评估组等专业化的安全服务组,今后还将在网络安全管理机构和专业人员配置方面进行有意义的研究,达成建立全方位的网络与信息安全保障组织机构的目标;在管理制度建设方面,西藏移动在中国移动NISS总纲的指导下,建立了包含20多个制度在内的安全管理制度体系,从安全事件管理、系统入网管理到账号口令管理、终端接入管理都作出了明确的要求,从而指导开展各项网络安全工作;在安全培训方面,建立了网络安全内训制度,成立了专业化的网络安全内训师队伍,在全公司层面组织开展网络安全培训,提升员工的安全意识和知识水平,此外还选拔出优秀的网络安全管理人员参加各种国内外的安全认证工作,并取得了良好的成绩,为提升网络安全维护打下了坚实的基础。
技术体系:其核心是构建一个主动、深层、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品,加强对风险的控制和管理,将保护对象分成网络基础设施、网络边界、终端计算环境以及支撑性基础设施等防御领域,实现预警、保护、检测、响应、恢复等安全环节,为用户提供全方位、多层次的防护。
西藏移动在各系统建设时充分考虑网络安全的“同步规划、同步建设、同步维护”的三同步要求,积极开展各系统的网络安全项目同步建设,例如对网管系统、业务系统、运营支撑系统等增加了安全预警、入侵保护等多项先进的安全防护技术手段。由于安全技术是不断发展演进的,因此西藏移动也在不断加强学习,引进先进公司的经验。
运作体系:系统安全运作管理是整个系统安全体系的驱动和执行环节。建立有效的信息安全保障体系需要在系统安全策略的指导下,依托系统安全技术,强化安全组织管理,全面实现系统安全运作与保障。
西藏移动本着将“安全工作融入日常维护工作”的原则,力求在日常维护环节加强安全管理,落实各项网络安全规范和要求,以预防为主,通过安全检查、风险评估和安全审计等专业安全工作及时发现安全漏洞,并对其进行加固;在出现问题后,积极响应,根据制定的各项网络安全应急预案进行有效的处置。目前西藏移动每年都要定期组织风险评估和安全审计工作,并将对其制度化、流程化,开展安全流程的试点工作。