杭州移動(dòng)“三位一體”信息安全保障體系建設(shè)

陳龍

摘 要：重大活動(dòng)期間的信息安全保障是杭州移動(dòng)信息安全工作中的重要組成部分。近年來(lái)，杭州移動(dòng)在一系列重大活動(dòng)中，創(chuàng)新提出了“三位一體”信息安全保障體系。該保障體系將航天系統(tǒng)工程與信息安全保障相結(jié)合，推動(dòng)重大活動(dòng)保障向常態(tài)化、體系化轉(zhuǎn)變，既滿足重大活動(dòng)期間系統(tǒng)的可靠運(yùn)行要求，又滿足未來(lái)較長(zhǎng)時(shí)間內(nèi)系統(tǒng)信息安全的需求。

關(guān)鍵詞：信息安全；重大活動(dòng)保障；動(dòng)態(tài)預(yù)警；三重防護(hù)

Abstract： Information assurance work during important activities is an important part of the information security work in China Mobile Hangzhou Branch. China Mobile Hangzhou Branch puts forword the Trinity information security system after a series of important activities in recent years. The Trinity information security system combines the space systems sngineering with information security to promote the normalized and systematic information assurance work. It will not only complete the requirement of reliable information system but also meet the demand of information security in a long time of the future.

Key words： information security； security ensuring of important activities； dynamic warning system； triple protection

1 引言

重大活動(dòng)期間的信息安全保障是杭州移動(dòng)信息安全工作中的重要組成部分。所謂重大活動(dòng)是指國(guó)家大型活動(dòng)或在一定區(qū)域內(nèi)舉辦的大型群眾性活動(dòng)[1]，具有規(guī)格高、影響力大、涉及面廣、參與人數(shù)多等特點(diǎn)，因此保障工作的要求高、標(biāo)準(zhǔn)嚴(yán)、任務(wù)艱巨。尤其是隨著我國(guó)國(guó)力的逐步增強(qiáng)，越來(lái)越多國(guó)際化、大規(guī)模、高水平的大型活動(dòng)在國(guó)內(nèi)舉辦。面對(duì)重大活動(dòng)頻繁開(kāi)展的新形勢(shì)、新挑戰(zhàn)，如何進(jìn)一步創(chuàng)新和完善重大活動(dòng)保障體系，切實(shí)解決以往保障工作中存在的各類問(wèn)題，顯得尤為重要。

2 目的和意義

第一，順應(yīng)信息安全形勢(shì)，貫徹落實(shí)網(wǎng)絡(luò)安全法規(guī)。2014年，我國(guó)成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，因此國(guó)家加快了信息安全立法工作。2017年6月正式實(shí)施的《網(wǎng)絡(luò)安全法》，明確指出要“建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力”。所以建立新形勢(shì)下的信息安全保障體系是當(dāng)前信息安全工作的必然要求。

第二，應(yīng)對(duì)更專業(yè)、更廣泛、更快速的網(wǎng)絡(luò)攻擊。隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的應(yīng)用越來(lái)越深入，開(kāi)放互聯(lián)環(huán)境中的各類系統(tǒng)更加容易遭到網(wǎng)絡(luò)攻擊，黑客入侵、網(wǎng)頁(yè)篡改、惡意掛馬等安全事件頻發(fā)。由于網(wǎng)絡(luò)安全技術(shù)的不斷進(jìn)步，攻擊者可以比較容易地利用自動(dòng)化工具和分布式系統(tǒng)，對(duì)一個(gè)目標(biāo)系統(tǒng)發(fā)動(dòng)破壞性的攻擊。有時(shí)甚至不僅僅是單一的攻擊行為，而是多種攻擊行為復(fù)合而成，影響面更廣泛，對(duì)安全防護(hù)、應(yīng)急響應(yīng)和攻擊溯源都帶來(lái)了極大的困難。網(wǎng)絡(luò)攻擊類別從傳統(tǒng)的病毒入侵、掃描攻擊已經(jīng)發(fā)展為更為專業(yè)的APT攻擊，傳統(tǒng)的安全保障機(jī)制已經(jīng)無(wú)法駕馭APT攻擊，急迫需要新的技術(shù)、新的體系來(lái)解決網(wǎng)絡(luò)攻擊問(wèn)題。

第三，創(chuàng)新信息安全保障模式，積極應(yīng)對(duì)各類風(fēng)險(xiǎn)。面對(duì)嚴(yán)峻的形勢(shì)，信息安全已成為重大活動(dòng)保障工作的重中之重。但目前業(yè)內(nèi)尚未形成標(biāo)準(zhǔn)、規(guī)范和有效的保障體系，各企業(yè)的信息安全管理內(nèi)容“點(diǎn)多面廣”，實(shí)際工作還存在跨部門、跨平臺(tái)、跨專業(yè)等問(wèn)題，所以加快探索切實(shí)可行的信息安全保障措施和模式已經(jīng)成為當(dāng)務(wù)之急。

近年來(lái)，全國(guó)性或地區(qū)性的政治、經(jīng)濟(jì)、文化、體育活動(dòng)和交流越來(lái)越多，并且趨于常態(tài)化開(kāi)展。以杭州為例，不僅有西博會(huì)、休博會(huì)、云棲大會(huì)、國(guó)際動(dòng)漫節(jié)等一批國(guó)內(nèi)外知名的活動(dòng)，2016年更舉辦了有史以來(lái)保障規(guī)格最高、規(guī)模最大的全球性會(huì)議G20峰會(huì)。2022年還將承辦亞運(yùn)會(huì)。隨著重大活動(dòng)的常態(tài)化開(kāi)展，運(yùn)營(yíng)商需要面對(duì)高頻次、高負(fù)荷的保障任務(wù)，過(guò)去運(yùn)動(dòng)式、突擊式的保障模式已經(jīng)無(wú)法適應(yīng)新的發(fā)展趨勢(shì)，信息安全保障工作必須向“制度化、常態(tài)化”轉(zhuǎn)變，進(jìn)一步完善信息安全保障體系，前瞻性地部署重大活動(dòng)保障能力建設(shè)。

3 “三位一體”信息安全保障體系

近年來(lái)，杭州移動(dòng)在G20峰會(huì)、世界互聯(lián)網(wǎng)大會(huì)、國(guó)際動(dòng)漫節(jié)、杭州云棲大會(huì)等一系列重大活動(dòng)中，以“通信暢通與網(wǎng)絡(luò)安全并重”為指導(dǎo)理念，以“三零一滿意”（零重大網(wǎng)絡(luò)事故、零重大安全事件、零重大客戶投訴、讓主辦方滿意）為總體目標(biāo)，創(chuàng)新提出了“基于系統(tǒng)工程的航天清單工作法”、“平戰(zhàn)結(jié)合的紅黃藍(lán)動(dòng)態(tài)預(yù)警體系”、“重大活動(dòng)保障實(shí)施的三重防御體系”的“三位一體”信息安全保障體系，如圖1所示。

該保障體系前瞻性地將航天系統(tǒng)工程與信息安全保障相結(jié)合，結(jié)合國(guó)際信息安全解決方案（ISO27001）最佳實(shí)踐，推動(dòng)重大活動(dòng)保障從運(yùn)動(dòng)式、被動(dòng)式向常態(tài)化、體系化轉(zhuǎn)變，既滿足重大活動(dòng)期間系統(tǒng)保障的信息安全可靠運(yùn)行要求，又滿足未來(lái)較長(zhǎng)時(shí)間內(nèi)平臺(tái)信息安全的服務(wù)需求。

3.1 基于系統(tǒng)工程的航天清單工作法

在信息安全保障籌備階段，根據(jù)信息安全保障要求，借鑒航天發(fā)射準(zhǔn)備工作，首創(chuàng)“航天清單銷項(xiàng)工作法”，將信息安全梳理、排查、清理工作分解到末端，實(shí)行三級(jí)責(zé)任制，逐項(xiàng)落實(shí)、銷項(xiàng)確認(rèn)，全面徹底地完成保障任務(wù)。endprint

第一，梳理全景試圖。根據(jù)目前國(guó)際上先進(jìn)的信息安全解決方案ISO/IEC27001的信息安全管理體系（ISMS）[3]，結(jié)合國(guó)家《信息安全等級(jí)保護(hù)管理辦法》的相關(guān)要求，經(jīng)過(guò)進(jìn)一步調(diào)研、討論、梳理并歸納了“信息安全威脅全景視圖”，如圖2所示。

全景視圖包括內(nèi)部挑戰(zhàn)、外部威脅兩大方面。其中內(nèi)部挑戰(zhàn)包括資產(chǎn)安全、保密安全、人員安全和渠道管控；外部威脅包括互聯(lián)網(wǎng)內(nèi)容安全、語(yǔ)音電話安全、垃圾信息和偽基站打擊等，涵蓋11個(gè)安全管控點(diǎn)。

第二，制定“航天清單”。公司網(wǎng)絡(luò)規(guī)模大、業(yè)務(wù)單元多，風(fēng)險(xiǎn)控制難度大，為了確保各風(fēng)險(xiǎn)個(gè)個(gè)擊破，實(shí)現(xiàn)360度無(wú)縫管控，公司細(xì)分各部門職責(zé)，將每項(xiàng)工作分解到末端工作點(diǎn)，逐項(xiàng)落實(shí)工作事項(xiàng)，并實(shí)行三級(jí)責(zé)任制，如圖3所示。

第三，開(kāi)展銷項(xiàng)作業(yè)。如圖4所示，對(duì)內(nèi)圍繞資產(chǎn)安全、保密安全、人員安全、渠道管理四方面，強(qiáng)化管控手段，確保管控?zé)o盲區(qū)；對(duì)外以互聯(lián)網(wǎng)內(nèi)容、語(yǔ)音電話、垃圾短彩信、偽基站打擊為抓手，強(qiáng)化不良信息整治。通過(guò)“逐一排查、逐一整治、逐一銷項(xiàng)”，將所有風(fēng)險(xiǎn)逐一銷項(xiàng)或有效控制。

第四，閉環(huán)跟蹤反饋。監(jiān)控信息安全各保障點(diǎn)及保障內(nèi)容，實(shí)施閉環(huán)跟蹤。對(duì)每項(xiàng)工作設(shè)定關(guān)鍵目標(biāo)，明確達(dá)成標(biāo)準(zhǔn)，制定關(guān)鍵舉措，落實(shí)每個(gè)細(xì)項(xiàng)責(zé)任到人。根據(jù)清單全面落實(shí)，每天跟進(jìn)落實(shí)情況，根據(jù)時(shí)間進(jìn)度逐一銷項(xiàng)，并進(jìn)行每項(xiàng)工作的銷項(xiàng)確認(rèn)審核。

審核不通過(guò)的情況，將再次發(fā)送進(jìn)行整改，直至符合保障要求為止。針對(duì)符合要求的工作清單細(xì)項(xiàng)，完全銷項(xiàng)后三級(jí)責(zé)任人簽字確認(rèn)：實(shí)際操作人確認(rèn)完成情況，上級(jí)主管復(fù)核完成內(nèi)容，部門負(fù)責(zé)人審核確認(rèn)。

3.2 平戰(zhàn)結(jié)合的“紅黃藍(lán)”動(dòng)態(tài)預(yù)警體系

杭州移動(dòng)依照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，根據(jù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度，將信息安全問(wèn)題劃分為“紅黃藍(lán)”三類，制定監(jiān)控制度，在專業(yè)安全團(tuán)隊(duì)支撐的基礎(chǔ)上，定期進(jìn)行掃描或監(jiān)測(cè)。當(dāng)問(wèn)題發(fā)現(xiàn)或者發(fā)生時(shí)，根據(jù)“安全事件分級(jí)”，對(duì)責(zé)任部門和人員發(fā)布安全預(yù)警報(bào)告，要求在規(guī)定時(shí)間內(nèi)響應(yīng)修復(fù)完畢。同時(shí)，在整改修復(fù)完成后，提交專業(yè)團(tuán)隊(duì)進(jìn)行復(fù)核驗(yàn)證，確保徹底解決安全隱患。

3.2.1 紅黃藍(lán)預(yù)警事件分級(jí)標(biāo)準(zhǔn)

通過(guò)差異化區(qū)分預(yù)處理，做好具體問(wèn)題差別應(yīng)對(duì)，有利于更好更快地解決問(wèn)題，讓各個(gè)專業(yè)管理部門抓住重點(diǎn)。依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息安全事件分類分級(jí)指南》，事件分級(jí)標(biāo)準(zhǔn)如表1所示。

3.2.2 紅黃藍(lán)預(yù)警系統(tǒng)工作流程

紅黃藍(lán)預(yù)警系統(tǒng)工作流程如圖5所示，發(fā)現(xiàn)問(wèn)題后，通過(guò)大數(shù)據(jù)分析平臺(tái)分析判斷是否為安全事件，如果不是安全事件就忽略，如果是安全事件，那就通過(guò)工單系統(tǒng)發(fā)放預(yù)警牌讓相關(guān)責(zé)任人去處理問(wèn)題，解決問(wèn)題后，驗(yàn)證是否已經(jīng)解決，通過(guò)就預(yù)警結(jié)束，沒(méi)有通過(guò)繼續(xù)發(fā)放預(yù)警牌，直到問(wèn)題解決完為止。

3.3 重大活動(dòng)保障實(shí)施的三重防護(hù)體系

重大活動(dòng)保障實(shí)施的三重防護(hù)，根據(jù)信息安全保障體系框架（IATF）的基本思路，結(jié)合會(huì)議保障的要求和特點(diǎn)，以管理、技術(shù)、內(nèi)容為核心實(shí)施三重防護(hù)，充分確保三者融合與協(xié)同，從而確保活動(dòng)保障的有序開(kāi)展。

首先，在保障管理方面，建立信息安全三級(jí)聯(lián)動(dòng)保障團(tuán)隊(duì)。

在保障決戰(zhàn)時(shí)刻，設(shè)立指揮中心，以公司管理層、部門經(jīng)理、保障組成員，根據(jù)四個(gè)職障范圍“營(yíng)業(yè)廳、網(wǎng)絡(luò)、政企、系統(tǒng)”組成三級(jí)保障聯(lián)動(dòng)機(jī)制，全面開(kāi)展保障工作。如圖6所示，以G2O峰會(huì)信息安全保障為例，專項(xiàng)組建G2O信息安全保障聯(lián)動(dòng)團(tuán)隊(duì)。

其次，在保障技術(shù)方面，實(shí)現(xiàn)“防篡改、云監(jiān)控、防攻擊”的一體化。整合專家團(tuán)隊(duì)資源，通過(guò)“防篡改、云監(jiān)測(cè)、防攻擊”的一體化，設(shè)置三個(gè)監(jiān)控中心，實(shí)現(xiàn)三重專業(yè)防護(hù)、快速修復(fù)和緊急處置。

“防篡改”主要是通過(guò)部署防篡改系統(tǒng)進(jìn)行篡改行為監(jiān)測(cè)，提供實(shí)時(shí)的對(duì)掛馬、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)敏感內(nèi)容和網(wǎng)站平穩(wěn)度的監(jiān)測(cè)。根據(jù)不同網(wǎng)站的關(guān)注度，配置不同的監(jiān)測(cè)策略，再根據(jù)網(wǎng)站中不同頁(yè)面的重要程度，設(shè)置關(guān)鍵頁(yè)面，并配置對(duì)關(guān)鍵頁(yè)面進(jìn)行一定頻率的監(jiān)測(cè)。實(shí)現(xiàn)了多維度、不同粒度的風(fēng)險(xiǎn)監(jiān)測(cè)[4]。

“云監(jiān)控”主要是通過(guò)綠盟的云端監(jiān)測(cè)系統(tǒng)享受7×24小時(shí)的遠(yuǎn)程網(wǎng)站安全監(jiān)測(cè)服務(wù)。一旦發(fā)現(xiàn)被監(jiān)測(cè)網(wǎng)站存在風(fēng)險(xiǎn)狀況，云端安全技術(shù)團(tuán)隊(duì)會(huì)第一時(shí)間通知系統(tǒng)管理員，并提供專業(yè)的安全解決建議。除此之外，云端安全專家團(tuán)隊(duì)會(huì)定期為杭州移動(dòng)出具周期性的綜合評(píng)估報(bào)告，從而整體掌握網(wǎng)站的風(fēng)險(xiǎn)狀況及安全趨勢(shì)。

“防攻擊”一方面是前期通過(guò)漏洞掃描器等工具對(duì)杭州移動(dòng)的資產(chǎn)進(jìn)行全面的漏洞掃描，根據(jù)掃描結(jié)果，開(kāi)展準(zhǔn)確、快速的漏洞修復(fù)工作。如果遇到漏洞無(wú)法修復(fù)的服務(wù)器，則通過(guò)部署相應(yīng)的安全能力進(jìn)行防護(hù)。另一方面是防DDOS攻擊，通過(guò)部署云清洗平臺(tái)，一旦出現(xiàn)DDOS攻擊，可以通過(guò)手機(jī)端APP進(jìn)行自助清洗DDOS。

3.4 三級(jí)保障，六大場(chǎng)景

根據(jù)會(huì)議保障區(qū)域及重點(diǎn)企業(yè)、單位保障范圍，劃分三級(jí)保障內(nèi)容，并制定不同的保障等級(jí)及保障手段。

一級(jí)區(qū)域：主要涉及到保障內(nèi)容為企業(yè)核心資產(chǎn)、企業(yè)所在地區(qū)離主會(huì)場(chǎng)的距離近，保障的級(jí)別最高，保障期間每日監(jiān)測(cè)防護(hù)；

二級(jí)區(qū)域：主要涉及到保障內(nèi)容為峰會(huì)重要服務(wù)設(shè)施、企業(yè)所在地離主會(huì)場(chǎng)是毗鄰關(guān)系，保障的級(jí)別次之，保障期間每周監(jiān)測(cè)防護(hù)；

三級(jí)區(qū)域：主要涉及到合作單位服務(wù)平臺(tái)、公司日常服務(wù)平臺(tái)等，保障的級(jí)別再次之，保障期間每旬監(jiān)測(cè)防護(hù)。

此外，制定了信息安全保障六大場(chǎng)景應(yīng)急流程，主要包括營(yíng)業(yè)場(chǎng)景應(yīng)急處置流程、網(wǎng)站應(yīng)急處置流程、網(wǎng)絡(luò)場(chǎng)景應(yīng)急處置流程、群發(fā)場(chǎng)景應(yīng)急處置流程、外聯(lián)場(chǎng)景應(yīng)急處置流程和營(yíng)業(yè)系統(tǒng)保障場(chǎng)景應(yīng)急處置流程。為提高實(shí)戰(zhàn)經(jīng)驗(yàn)，全面開(kāi)展六大場(chǎng)景的仿真演練，同時(shí)在非常時(shí)期制定了非常應(yīng)急手段，比如“急速斷網(wǎng)，后查通報(bào)”機(jī)制，即如發(fā)生緊急事件進(jìn)行1分鐘斷網(wǎng)，再進(jìn)行查證整改。

5 結(jié)束語(yǔ)

2016年以來(lái)，杭州移動(dòng)成功保障了G20杭州峰會(huì)、國(guó)際動(dòng)漫節(jié)、杭州馬拉松等193次大型通信保障工作，無(wú)重大通信障礙和網(wǎng)絡(luò)阻塞，圓滿完成了“三零一滿意”目標(biāo)。通過(guò)對(duì)以往重大活動(dòng)保障模式的總結(jié)和創(chuàng)新，明晰了網(wǎng)絡(luò)規(guī)劃、建設(shè)、優(yōu)化、應(yīng)急保障和信息安全保障等各階段的保障工作關(guān)鍵要點(diǎn)，持續(xù)完善保障機(jī)制和模式。隨著國(guó)家經(jīng)濟(jì)的發(fā)展和國(guó)際地位的日益提升，諸如亞運(yùn)會(huì)、冬奧會(huì)、世界互聯(lián)網(wǎng)大會(huì)等高規(guī)格重大活動(dòng)將更加頻繁地在國(guó)內(nèi)召開(kāi)，“三位一體”體系將為后續(xù)承擔(dān)重大活動(dòng)活動(dòng)保障提供有力的支撐。

參考文獻(xiàn)

[1] 宋宇宏，張利.大型活動(dòng)應(yīng)急通信保障—大型活動(dòng)應(yīng)急通信保障方案及制定[J].警察技術(shù)，2011，18（2）：53-56.

[2] 秦安.沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全[J].中國(guó)信息安全，2015，6（8）：25.

[3] 馬遙，黃俊強(qiáng).信息安全管理體系與等級(jí)保護(hù)管理要求[J].信息技術(shù)，2012，19（6）：140-142.

[4] 綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)[EB/OL]. http：//www.nsfocus.com.cn/operations/details_4_278.html.

[5] 趙霜.信息安全概述[M].西安：西北工業(yè)大學(xué)出版社，2011.

[6] 吳世忠.信息安全保障導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，2014.endprint