乐鱼

乐鱼

      首页 > 安全集成 > 等级保护建设解决方案(àn)

      运营商等(děng)级(jí)保护建设解决方案

      一、运营(yíng)商信息(xī)化的(de)现状

      随着3G业(yè)务的推广,三大(dà)运营商正在热火朝天(tiān)的进行移动网络的改(gǎi)造和建设,为大规模的业(yè)务(wù)上线做着积极(jí)准备,随之而来的网络安全建设也需要同步展(zhǎn)开。传统的电信网络主要以(yǐ)专有(yǒu)协议(yì)、专有网络为主,现在移动网络从承载平(píng)台(tái)、业务系(xì)统到(dào)后台的支撑系统都越来越多地转移到了IP承载网络,与互联网的结合也(yě)越来越紧密,因此互联网(wǎng)中(zhōng)大(dà)量存在的安全风险(xiǎn)都将对运营商的移(yí)动网络形成威胁,也(yě)必(bì)然(rán)会(huì)对运营商(shāng)的移(yí)动(dòng)互(hù)联网战略造成影响。因此(cǐ),在网络发展的同时进(jìn)行安全体系(xì)的建设,降低安全风险成为各(gè)大运(yùn)营商一个急待解(jiě)决的问题。 作(zuò)为网络服务的供应商,运营商(shāng)为全国各行各(gè)业重要系统提供基础网络支撑,其信(xìn)息安全(quán)建设也必须(xū)考虑到等级保护的相关要(yào)求。

      二、运营商(shāng)等级(jí)保护建设方案

      2.1 参考依据(jù)

      GB/T 22239—2008 《信息安全(quán)技术 信息系统安(ān)全等级(jí)保护基本要求》

      GB/T 22240—2008 《信息(xī)安(ān)全技(jì)术 信息系统安全(quán)保护等级定级(jí)指(zhǐ)南(nán)》

      GB/T 20984—2007 《信息(xī)安全(quán)技术 信息安全风(fēng)险评估规范(fàn)》

      GB/T 18336—2001 《信息(xī)技术—安全(quán)技(jì)术—信息技术安全性评估准则》

      公通字【2007】43号 《信息安全等级保护(hù)管(guǎn)理办法》

      公通字【2004】66号 《关于信(xìn)息安全(quán)等级保护工作的实(shí)施意见(jiàn)》

      ISO/IEC 27001:2005《信息安全技术 信(xìn)息系统安全管理(lǐ)要(yào)求》

      ISO/IEC 13335—1: 2004 《信息技术 信息技(jì)术安全管(guǎn)理(lǐ)指南》第(dì)1部(bù)分:信息技术安全概念和模(mó)型(xíng)

      信息系(xì)统安全保障理论模(mó)型和技术框(kuàng)架IATF

      2.2 方案(àn)建设思路

      信(xìn)息安全等级保护的重点在于内网安全措施的建设和落实(shí),对于运营上来(lái)说,支撑系统作为运(yùn)营商的内网,承担着公众通信网络的管(guǎn)理职责,其各(gè)类(lèi)支撑系统例如网管、计费、营帐、客服等等,不仅与业务(wù)网络的配置(zhì)调度、业(yè)务统(tǒng)计等有着密切的(de)相关性,同时还保有(yǒu)大(dà)量的(de)客户基础信(xìn)息(xī),成为实(shí)施信(xìn)息(xī)安全等级保护的重要IT系统。

      各(gè)类支(zhī)撑系(xì)统的(de)相关网络和应用系统伴随着通信业务发展的需要逐步建设形成(chéng)的,因为(wéi)前期缺(quē)乏统一规(guī)划,经过多年的建设积累,形成网络结构复杂、层次不(bú)清(qīng)、系(xì)统管理维护困难(nán)的现状,网络(luò)的有效性和稳定性(xìng)较低。出于运营商自身的安全需求,对支撑(chēng)系统进(jìn)行区域划分(fèn),并对区域进行有层次、有重(chóng)点的保护是当前迫切的需求(qiú)。非常一致的要求也出现在等级(jí)保护的文件上,等保规定,安全系统必须进行“结构安(ān)全与网段(duàn)划分”,并针(zhēn)对边界进行“网络访问控(kòng)制”、“ 边界完(wán)整性检查(chá)”以及(jí)“网络入侵防范”和“恶意代码防范”等。

      根据(jù)信息(xī)安(ān)全保(bǎo)障体系的建设(shè)思路,分为三个阶段(duàn),分别为基础完(wán)善阶段、增(zēng)强和扩展阶段(duàn)、整合(hé)建设阶(jiē)段,具(jù)体如下(xià)图:

      乐鱼

      图1信息(xī)安全(quán)保障体系的建(jiàn)设思路(lù)图


      基础建设(shè)阶段(duàn):基础(chǔ)建设阶段:重点保护、强化管理。工作重(chóng)点(diǎn)包括:安全(quán)域划分与实施、等(děng)级保(bǎo)护整改(gǎi)的设备采购、安全加固、等级(jí)保护测(cè)评(píng)等。

      增(zēng)强(qiáng)与扩展阶段(duàn):安(ān)全拓展,自我优(yōu)化。在(zài)技术体系建设的基础上,本阶段工(gōng)作重点包括:定期(qī)安全(quán)评估(gū)、信息(xī)系(xì)统安全建(jiàn)设、系统上线检查、管理(lǐ)制(zhì)度完善(shàn)和推广、技术层面其它加固等(děng)。

      整合建设阶段:全面整合、平台实现(xiàn)。完善管理体(tǐ)系、技术(shù)体系、运维体系(xì),全面建立信息安全保障(zhàng)体系(xì)。

      三、方案特色(sè)

      1)建立信(xìn)息安全纵深防御机制,层(céng)层(céng)设防,提高信(xìn)息科技(jì)抗攻(gōng)击的(de)能力,有效保(bǎo)护生产和办(bàn)公系统的(de)安(ān)全性,完(wán)善管理体系、技术体系和运维(wéi)体系。

      2)安全(quán)域建(jiàn)设(shè)的成(chéng)果不仅是(shì)全面(miàn)增强了运营商整体的安全性和(hé)制度性(xìng),更大的收(shōu)获从长远(yuǎn)的角度去考虑了规划了未来(lái)发展的安全域管理模式。

      3)通(tōng)过评(píng)估(gū)手段发现(xiàn)的典(diǎn)型安全问题(tí)通过技术手段(duàn)进(jìn)行解决,建立基本的安全技(jì)术框架,满足关键业务持(chí)续、稳定运行的基本(běn)要求。

      乐鱼

      乐鱼