1社会信息化进程的加快对信息安全保障提出了新要求
2006-2009年期间,北京移动共组织完成通信保障1 562次,其中一级保障28次,二级保障130次,三级保障1 404次。随着我国社会信息化进程的加速发展,国民经济和社会发展对网络和信息系统的依赖性越来越大,国家基础网络和重要信息系统的脆弱性面临着多方面的恶意攻击,对我国政治、经济、军事安全和社会稳定构成了潜在的威胁。在通信保障工作中,网络与信息安全保障的重要性日益彰显。
2重大事件网络与信息安全保障架构与实施方案的内涵
在“全面防御,重点突出;分段实施,稳扎稳打;加强检验,闭环管理”的工作思想指导下,将保障工作界定为6个阶段,包括保障需求输入阶段、制定方案阶段、实施阶段一(准备阶段)、实施阶段二(冲刺阶段)、保障实施阶段和总结阶段;明确各阶段责任部门和工作任务;制定保障需求单、108份系统安全应急方案、15份针对安全事件的专项预案,奠定模块化管理的基础,可以根据需求在方案库中找相应的应急预案搭建方案;在各阶段明确输入、输出物,制定了一系列标准模板表格,使保障工作标准化,有利于统一调度、闭环管理、做好质量控制;建立闭环安全检验体系,包括安全演练、滚动安全评估、背对背实战演练等,多角度检验系统防护情况及应急人员准备情况;于2008年7月、2009年10月两次组建了实体化跨部门网络与信息安全保障小组,为满足重大事件期间通信保障的快速响应和及时恢复奠定了基础。
3主要做法及措施
⑴引入需求管理,制定重大事件网络与信息安全保障流程
为做好重大事件网络与信息安全保障工作,将重大事件网络与信息安全保障工作界定为6个阶段并且明确责任部门,如图1所示。
第一阶段:保障需求输入阶段。由需求部门确定保障需求,明确保障时间、涉及的业务和系统、保障需求、事件处理及上报时长要求等,将需求提交至网络部。
第二阶段:制定方案阶段。网络部将首先依据标准判断是否为重大事件(一级:政府机关、工业和信息化部、集团公司要求的通信保障工作等;要求相关部门提交事前通信保障方案及事后通信保障总结,安排维护人员现场值守。特级:奥运、建国60周年大庆),并判断需求方提出的保障需求是否明确。保障需求的明确很大程度上决定了保障效果,本阶段要充分沟通并双方确认《保障需求单》,作为备份。保障需求明确后,由网络部牵头制定保障方案,保障方案原则上从108份系统安全应急方案和15份针对安全事件的专项预案中调取模块进搭建,根据需求方的特殊需求,对细节进行修订。方案制定完毕,与需求方沟通确认并报批管理层和管理单位。
第三阶段:实施阶段一(准备阶段),原则上是在接到保障任务到保障开始前1个月的时间段。在本阶段,由网络部组织、维护部门落实实施保障方案中第一阶段的任务,主要任务为3个部分:评估、加固系统;做好基础数据更新和系统安全快照;做好应急演练工作。在本阶段结束前进行总结,根据评估加固演练等情况,对第二阶段方案进行调整,对于暂时无法解决的问题,制定临时方案。
第四阶段:实施阶段二(冲刺阶段),原则上是保障开始前1个月到保障开始的时间段。在本阶段,由网络部组织,维护部门落实保障方案中第二阶段的任务,主要任务为4个部分:断网高危系统,包括但不限于测试系统、在建系统等;知会关联单位和系统,明确对外上报、技术支援接口;进行背对背演练,检验系统加固效果和应急反应能力;做好基础数据最终版《系统基础数据信息表》更新和系统安全快照。在本阶段结束前进行总结,将遗留风险梳理填写到《风险追踪表》,向管理层上报,并且针对遗漏风险修订职守维护作业计划,对高风险进行关注,以勤补拙,集中人力、物力加以看守。
第五阶段:保障实施阶段。组建实体化跨部门网络与信息安全保障小组,小组由各部门网络与信息安全骨干力量组成,负责部门间安全事件的定位及应急处理协调工作。小组集中办公,横向打通部门间的工作流程,纵向简化各部门之间的沟通环节,在保障期间执行《重大事件网络与信息安全保障职守维护作业计划》。当出现安全事件时,进入《网络与信息安全事件处理流程》。
第六阶段:总结阶段。维护部门对本部门涉及的保障工作进行总结,网络部对于整体保障情况进行总结,将保障中个性化的方案调整记录到方案库中,以备下次使用。
⑵提出相应的工作方针
根据国家等级化保护要求,结合企业实际情况及网络与信息安全工作长期性、艰巨性的特点,提出了“全面防御,重点突出;分段实施,稳扎稳打;加强检验,闭环管理”的工作方针。
在重大事件保障备战期间,按照“以全部业务系统安全保障为基础、二级以上系统安全保障为重心、事件直接涉及系统安全保障为灵魂”的网络与信息安全保障思路,在实施阶段结束后,总结分析遗留的风险,制定临时风险控制方案,集中人力、物力重点看防。
⑶将重大事件的网络与信息
安全保障工作模块化、标准化结合北京移动的组织结构, 制定保障需求单,奠定模块化管理的基础,可以根据需求在方案库中找相应的应急预案来搭建方案,在各阶段明确输入、输出物,制定《系统基础数据信息表》、《风险追踪表》、《重大事件网络与信息安全保障职守维护作业计划》、《保障需求单》、《网络与信息安全事件处理流程》等标准模板表格,使保障工作标准化,有利于统一调度、闭环管理以及做好质量控制。
⑷建立安全检验体系,确保保障效果
为检验安全保障效果,创新性地建立闭环安全检验体系,包括安全演练、滚动安全评估、背对背实战演练等,多角度检验系统的防护情况及应急人员准备情况。通过安全检验体系进一步锻炼了队伍,理顺了流程,并且对于安全防护情况有了明确的认识,便于集中力量规避主要安全风险。
⑸组建安全防护队伍
2008年7月、2009年10月两次组建了实体化跨部门的网络与信息安全保障小组。小组由各部门网络与信息安全骨干力量组成,负责日常维护作业计划,出现安全事件时负责部门间安全事件的定位及应急处理协调。为规范安全防护队伍工作,制定了《网络与信息安全日报(中心)》、《xx中心预警及通报信息记录表》、《安全事件上报表格》、《网络与信息安全职守维护作业计划执行纪录》、《通信保障团队成员考勤表》、《网络与信息安全联系人》、《通信保障组网络与信息安全值班表》等模板表格,并明确了工作制度。
⑹安全防护手段组合创新
在“全面防御,重点突出”的思路指导下,分阶段强化业务系统安全防护,组合使用系统自身安全功能、网管安全手段和系统自身安全设备等,并自主创新,开发网络安全监控审计等工具。
4实施效果
通过重大事件网络与信息安全保障组织方案的研究、建立和实践,为北京移动在重大通信保障方面积累了宝贵的理论和实践经验。通过对安全保障成果的不断宣传和推广,重大事件的网络与信息安全保障组织方案经验目前已经在北京移动的日常运营过程和各项安全保障工作中得到广泛的应用。广大员工对于安全保障重要性的认识有了明显提高,有效地推动了方案的完善,各项安全工作健康、可持续地开展,为后续安全管理工作的良性发展打下了良好的基础。
⑴管理水平显著提升
