基础信息安全综合管理体系

侯芳，颜骏，朱东来，孙润涛，孙晶

（中国移动通信集团北京有限公司，北京 100007）

中国移动北京公司以电信网和互联网安全等级保护工作为思路，以“适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则、保密性原则、三同步原则”为原则，以保护“机密性、完整性、可用性”为基本点，建立了分阶层、多维度、全周期的网络与信息安全综合管理体系。

1 安全体系简介

1.1 体系设计目标

体系设计目标是保障公司的网络与信息安全建设能够依照体系化的发展方向不断进行建设和完善，充分覆盖公司、部门、系统的发展目标、规划和具体的安全控制措施。

体系以公司信息安全现状为基础，设定安全保障的建设目标，使公司的信息安全工作与安全目标相结合，部门的信息安全工作与部门的安全目标相结合，系统的信息安全工作与系统的安全目标相结合，最终实现公司总体的安全目标。

1.2 体系自身建设

应用PDCA方法，以自然年为周期，对安全体系进行周期性闭环管理，保持体系的先进性和完整性，实现体系的持续改进。

（1）计划。根据国家相关法律法规和安全要求、根据中国移动集团公司安全规范和要求，根据公司业务和网络安全现状和下一步建设的安全需求，补充、完善安全体系中的流程和要求，设定本年度安全工作目标，将安全目标落实到各个部门；

（2）执行。公司各部门根据已经确定的安全目标，落实工作；

（3）检查。各维护部门、公司安全职能管理部门根据既定的安全目标，对要求执行情况进行核查，收集落实效果和存在问题；

（4）改进。分析存在问题，若体系内容不适用于实际的工作情况、体系内容落后于实际情况的发展等，则其结果作为下一年度体系目标改进和更新的重要依据之一。

1.3 体系结构与内容

安全综合管理体系按照不同的工作侧重点，可划分为纵向和横向两个维度。

纵向维度包括3部分：面向体系自身，规范对安全体系自身的管理和维护工作；面向外部人员，通过具有法律效力的合同条款，规范外部人员的安全；面向内部人员，明确公司网络与信息系统运维中的安全管理制度和技术要求。

横向维度包括3部分：

（1）安全管理细则部分。贯穿整个信息系统生命周期，对规划设计、项目采购、施工验收、运行维护、下线退网阶段应遵循的工作流程、管理要求和技术要求进行了规范；

（2）安全专业手段部分。根据公司网络和信息系统特点，立体打造多维安全防护手段。重点建设安全专业系统，广泛使用安全软、硬件工具，积极利用辅助支撑系统，全面提升安全工作能力；

（3）汇报与考核部分。建立安全报表定期上报制度和安全月例会汇报机制，各维护部门把安全目标的落实进度、达成情况定期上报公司管理层。通过建立综合评价指标体系，将关键工作指标化，量化地掌握公司整体层面的安全工作推进情况。建立多层次、多维度的考核制度和考核项目。考核依据综合报表和汇报结果与管理层组织的安全检查结果得出，督促维护部门有效落实安全要求，按时保质达成安全目标。

2 安全管理细则

安全管理细则面向内部用户，覆盖系统生命周期全部环节。安全流程控制点基于现有控制点，紧密结合，确保融合并有效执行，如图1所示。

2.1 规划设计安全管理

在项目建设规划阶段，进行安全评审，从系统诞生源头做好安全管控，降低系统架构不合规导致的安全风险，减少后期安全维护成本。

项目立项部门与维护部门（有时二者为同一部门）根据系统功能、存储信息等情况，对系统保护等级进行预定级。根据等级高低，分别由立项部门、维护部门、公司安全职能管理部门或公司安全专家小组参与评审。对不合规问题，立项部门调整方案，待输出最终正式的评审结果后，作为立项审批的必备材料之一。

将安全评审内容条目化、标准化、模板化，降低因评审人员经验不同造成评审结果参差不齐的影响，提高评审效率。

2.2 项目采购安全管理

在设备、软件和系统集成的采购阶段，明确厂商及其产品应满足的安全要求，降低因厂商资质不足或产品安全功能不合规而导致的风险。

对厂商提供的产品，在采购书中明确安全规范，包括厂商产品应符合的安全功能、厂商建设项目应遵循的技术规范、服务厂商应具备的安全资质等内容，最终选定的产品或厂商要满足以上要求。

对厂商主体及其人员，在所签订的合同中，明确其公司主体及人员应承担的保密责任和安全责任，必要时作为追究其安全责任的法律依据。

2.3 施工验收安全管理

明确本公司建设部门和厂商在项目实施阶段应遵循的安全管理要求，降低对现有网络和系统带来的安全风险。

图1 贯穿信息系统生命周期的安全管理细则

在系统入网验收时，根据采购书的内容，对系统进行技术达标验收，确保系统入网时满足技术规范。

由于系统入网有多种场景，为了对该环节进行严格的把控，验收过程分为4个关键点：（1）与现网互联：因需与现网联调等需求而导致新建系统与现网进行连接；（2）设备验收：与功能测试等设备验收同期；（3）入网割接：业务割接和上线的同期；（4）正式交维：设备交付维护部门。

对于验收中的不合规问题，由相关责任人进行整改。原则上，正式入网前，所有要求均必须满足。对于短时间内无法解决的问题，写入验收结果备忘录，由厂商和建设部门在约定的期限前完成整改。

2.4 运行维护安全管理

根据系统运行维护的安全工作的不同方面，可划分为基础安全、安全应急和安全检查3部分。

2.4.1 基础安全工作

基础安全维护工作包括多个方面多个程序，各类工作互相关联或重叠。通过安全基础数据、安全域、账号口令、服务与端口、网络互联、生产终端、办公终端、移动存储介质、远程接入、客户信息保密、日志审计、安全监控、系统维护作业计划等管理细则，规范相关部门和人员应遵守的安全流程和具体要求。

2.4.2 安全应急工作

安全预警内容以国家权威机构、中国移动通信集团公司发布的预警信息为主，以行业内外发生的安全事件原因为补充。维护部门对预警信息涉及的设备和软件进行核查，及时修补加固。

制定专项安全应急预案，应对多种典型的安全攻击事件；对各个网络与信息系统制定应急方案，根据系统的特点进行安全事件处理。同时，定期开展模拟应急演练和实战应急演练，总结演练中存在的问题，提高安全事件处置能力。

2.4.3 安全检查工作

安全检查包括安全审计与风险评估，是发现问题的重要手段，是解决问题的重要前提。安全检查分为手段自动巡检和人工智能抽检两种方式，如图2所示，自动与手动有效协同，互相补充，及时准确发现问题，并形成“闭环管理、螺旋上升”的工作机制。

图2 多维多层次的安全审计与风险评估工作

2.4.3.1 安全检查开展形式与内容

根据检查开展的不同形式，分为3个层面：基础层、系统层和专业层。

基础层：各系统维护部门在年初制定安全审计与风险评估计划，部门内定期开展系统漏洞扫描、安全配置检查等自检工作，并对发现的问题进行加固。

系统层：由各部门安全人员组成的专家检查队伍，进行面向系统和业务的评估。检查由公司网络与信息安全办公室组织，每月抽取公司内的两个重要系统进行检查，各部门派遣1～2名安全人员参与。检查内容包括综合风险评估、安全漏洞扫描、设备基本配置检查、应用软件检查、管理安全落实情况检查、维护作业计划执行情况检查等。

专业层：借助专业安全厂商的技术优势，补充安全检查能力，对面向公网服务的系统进行漏洞挖掘、白客渗透等。

2.4.3.2 安全问题加固

对安全检查发现的问题，相关责任部门或责任人制定整改计划和措施，在尽可能短的时间内，完成加固工作。为确保安全加固起到良好效果，通过复查，对其效果进行验证。

对于短期内无法整改的问题，通过加强周边防护，降低核心风险热度。

2.5 下线退网安全管理

在系统下线退网阶段，实施部门要在执行设备下线操作前向相关管理部门和业务部门进行申请，通过会签才可操作。

设备下线后，要对存储介质中的敏感数据进行转移或销毁。存储介质本身也要进行销毁或多次格式化处理。

3 安全手段建设

在人工开展基础安全工作之上，深入分析安全风险和威胁来源，建设专业的安全手段，有效应用自动化工具，对加强安全能力至关重要。

中国移动北京公司已经建设并应用了定制化开发的安全管控平台（4A）和安全管理平台（SOC）、数据网安全整合平台、流量清洗系统、网页防篡改系统、代码审计系统等专业安全手段。各维护部门还配置了漏洞扫描器、Web应用扫描器、安全基线检查工具、口令破解工具等软、硬件安全工具。专业系统与安全工具“长短结合、优势互补”，全面提升安全能力。

安全管控平台（4A）：实现全部维护人员（含第三方人员）在系统设备上的账号口令、使用权限和操作内容的管控。完整记录人员操作，进行日志审计。对超级权限实现多人制衡的金库模式管理。

安全管理平台（SOC）：提供多元化、人性化的安全服务系统，实现“快速发现、及时响应、闭环管理”的目标。

4 安全人员建设

提升全民安全意识，是快速、全面落实安全工作的基础。具备高素质高水平的安全专业队伍，是有效推进安全工作发展的核心。

中国移动北京公司将安全相关人员分为6类：安全管理、安全审计、安全技术、系统安全维护、安全监控和主管安全的3级经理。

人员培养方面，坚持全面铺开，重点突出的原则。对普通人员进行安全意识和基础知识培训；对安全专业人员，根据不同专业，进行针对性的深入培训。通过培训提高人员理论知识水平，通过内部安全检查提高人员实操技术能力。

5 结束语

中国移动北京公司自主建立的安全体系，较完善地贯彻了国家相关安全规定，落实了中国移动的相关安全规范，提升了网络与信息安全的基础防护能力，也体现了中国移动良好的社会责任形象。