通信世界网(CWW)11月20日消息今天,由中国通信企业协会主办,中国通信企业协会通信网络运维专业委员会、北京中通运科技有限公司、中国通信运维网承办的“第四届中国通信网络运维年会”在北京南粤苑宾馆隆重召开。通信世界网作为本次大会的独家特邀媒体支持单位,将会对本次会议进行全程、深入报道。
图为北京移动数据业务中心 张博
张博:各位领导、各位代表,大家下午好!
今天很荣幸在这里跟大家分享一下我们北京移动以集中防护为核心的安全体系构建的过程和实施的过程,以及实施后它所达到的效果。
我今天介绍的内容主要分为两大部分,以集中防护为核心的安全体系,顾名思义,分为安全体系的建设和集中防护手段的建设这两大块。首先,我先介绍一下北京移动的信息安全体系的建设过程。
这个体系为什么要建起来,先介绍一下背景。随着通信企业的不断发展,业务种类和规模快速增加,而企业面对的外界网络安全环境却日趋严峻,对公司网络与信息安全管理工作提出了更高的要求和挑战。北京移动地处首都,国家重大活动频繁。确保重点大型活动的通信安全是关系到国家声誉和形象,也要求网络与信息安全保障方面必须做到万无一失。
而在公司的内部,随着各业务系统的建设越来越大,数量越来越多,网络结构越来越复杂,原有分散管理模式很难满足现有系统的安全保障要求。因此,我们必须建立一个整体的信息安全与网络防护体系,这样才能满足客户和业务发展的需求。
中国移动北京公司引入了国际先进的安全管理的理念和方法,紧密地结合公司的实际,积极构建了有通信行业特色以集中防护为核心的网络与信息安全管理体系。对于公司的业务发展、网络运营、通信保障等方面都起到了十分重要的作用。
这是体现了我们信息安全管理体系建设的过程。首先,通过一系列的安全调查和风险评估项目的实施,我们建立了公司安全的使命,以及要完成的目标。在这个使命、目标之下,我们通过一系列的体系设计、安全的规划、策略的设计,建立了北京移动公司安全体系的框架和指标。结合公司的安全现状,我们制定了我们信息安全工作的近期和远期规划。这些规划是通过管理体系的推广实施和技术体系的实施、工程建设这两条主线来加以推进的。
在体系建设完毕之后,我们又通过一系列平时体系的全面推广、定时的评估和审计、安全的巡检,使信息安全体系不断地向前发展。
下面介绍一下北京移动信息安全战略与使命,我们从保护竞争优势、规范业务秩序、依从法律法规、维护企业声誉四个方面定义的北京移动信息安全战略和使命。具体体现在以下四个方面,保障业务安全和稳定的运行,保证业务连续性,保护公司的商业机密和技术机密,为公司日常运转提供良好的基础,支持和促进公司业务目标的实现。其次,保护用户隐私,保护用户资料的机密性,维护广大用户的利益。第三,达到国际一流、国内领先的信息安全保障水平,成为广大用户对公司信赖的基础,提高公司的形象,确保客户的信心。最后,为社会和用户提供安全和持续的通信服务,维护国家和首都的社会稳定和经济秩序,维护公众利益。
从北京移动信息安全战略与使命,我们得出了北京移动信息安全工作的长期目标,以及近期目标。长期目标就是把北京移动的信息安全工作建立成国际一流、国内领先的安全保障体系,达到国内领先的保障水平,同步和领先的公司信息化水平,保障和促进公司业务发展和业务目标的实现。而近期目标就是要逐步地建设、推广和完善这套体系,满足集团公司网络与信息安全标准,萨班斯的要求以及等级保护的要求,达到领先的水平。
我们这套体系包含的资产范围,包括了公司所有的业务系统和支撑网络,包含了IT支撑网、业务支撑网、通信支撑网。我们又结合了等级保护的相关思想,将不同重要级别的系统,划分到不同的级别区域内,加以各自不同的保护手段。
下面,介绍一下北京移动网络与信息安全体系的一个整体架构。以集中防护为核心的网络与信息安全管理体系主要由六个核心模块组成。其中,安全方针是原则和指导,决定了公司信息安全管理的定位。信息安全组织体系、信息安全运作体系、信息安全技术体系、信息安全策略体系是体系的核心组成,构成了体系的组织、运作、实施、策略模块。信息安全风险分析体系贯穿于策略、组织、运作和技术体系之中,是设计和运行整个体系的核心指导方法。六大模块形成了完整的信息安全体系,使公司信息安全工作全面有序开展。
这张图片大家可以看到,这就是刚才提到的四个核心模块里面我们所需要做的一些具体重点工作。比如说在安全策略体系里面,我们需要制定公司级别的信息安全的政策,以及公司层面的安全管理制度,定义各部门的组织职责,以及要建立起来全公司的技术标准和技术规范。比如说在安全技术体系方面,我们需要建立、健全一系列的安全防护手段,需要加强身份认证、访问控制、加密、恶意代码防护、备份、审计、监控,以及系统加固等方面比较重要的工作。
刚才提到的这些工作,都已经落实到了实际工作的计划之中。这张图表显示了这些工作的一些计划和完成的情况。介质到目前为止,这套体系已经步入了正常的实施和正常的运转过程,已经正常运转了5年的时间。到目前为止体系的实施情况如图表所示,在策略体系方面我们已经建立起来了比较完整的信息安全管理制度,满足了等级保护和萨班斯的要求。在组织体系我们已经完成了公司级别和部门级别的安全组织的建设,进行了丰富的教育,对于各部门的信息安全工作进行了严格的考核和审计。在日常运作方面,我们着重完成了以下的工作。第一是安全体系的推广和落实,第二是在日常的项目建设之中,完善我们的安全管理工作。第三是建立起周期性的风险管理和评估工作。第四是将日常的维护中加入安全运行和维护的工作。在技术平台管理,我们建立起了全程全网的监控和评估审计系统,这些工作都纳入了安全管理中心的管理之中。安全管理中心作为北京移动信息安全体系支撑的非常有效的管理系统,目前已经投入了正常的实施和使用之中。
上面我向大家介绍的是北京移动这套信息安全管理体系的建设,以及现状是什么情况。下面,向大家介绍一下以集中防护为核心的防御体系,北京移动是怎么建成的。
这主要分为四个主要的集中防护的手段。第一,我们在网络方面建成了网络安全统一的整合平台。为什么要建成这样一个整合平台呢?刚才我提到了,业务系统是越来越多,而且种类越来越复杂大量的系统独立建设各自的安全防护手段,第一造成了极大地浪费,第二很难形成合力,集中地防护来自外界的攻击。为了提高集中防护水平,我们建成了整体的安全防护建设,进行了网络安全整合的改造工程。通过该改造工程,我们统一了公司业务系统的出口,实现了具有清晰的安全域划分、集中安全防护的网络模型。大家可以看到,我们在这个地方已经实现了所有安全防护手段的集中,出口的整合。根据不同的业务系统的级别,我们还设立了一级和二级生产系统的接入区,以及三级重要核心系统的接入区。
这个平台建设将来的思路,主要有下面三个方面。第一个是积极利用现有的安全管理平台,不但挖掘安全整合平台安全管理需求,与安全管理中心相融合,充分发挥安全于网络管理分析功能,提高整个平台的综合维护与安全监控的效率。第二是可以在这个平台上面集中部署安全防护手段,比如异常流量检测系统、生产网审计系统、防病毒系统、终端管理系统均可纳入安全整合平台统一考虑。最后,网络整合作为性平台,推动公司安全体系推广和全网安全评估工作。将来安全整合的平台,将要达到一个全面性、层次性,以及可管理性的效果。
