运营商等级保护建设解决方案

一、运营商信息化的现状

随着3G业务的推广，三大运营商正在热火朝天的进行移动网络的改造和建设，为大规模的业务上线做着积极准备，随之而来的网络安全建设也需要同步展开。传统的电信网络主要以专有协议、专有网络为主，现在移动网络从承载平台、业务系统到后台的支撑系统都越来越多地转移到了IP承载网络，与互联网的结合也越来越紧密，因此互联网中大量存在的安全风险都将对运营商的移动网络形成威胁，也必然会对运营商的移动互联网战略造成影响。因此，在网络发展的同时进行安全体系的建设，降低安全风险成为各大运营商一个急待解决的问题。 作为网络服务的供应商，运营商为全国各行各业重要系统提供基础网络支撑，其信息安全建设也必须考虑到等级保护的相关要求。

二、运营商等级保护建设方案

2.1 参考依据

GB/T 22239—2008 《信息安全技术 信息系统安全等级保护基本要求》

GB/T 22240—2008 《信息安全技术 信息系统安全保护等级定级指南》

GB/T 20984—2007 《信息安全技术 信息安全风险评估规范》

GB/T 18336—2001 《信息技术—安全技术—信息技术安全性评估准则》

公通字【2007】43号 《信息安全等级保护管理办法》

公通字【2004】66号 《关于信息安全等级保护工作的实施意见》

ISO/IEC 27001:2005《信息安全技术 信息系统安全管理要求》

ISO/IEC 13335—1: 2004 《信息技术 信息技术安全管理指南》第1部分：信息技术安全概念和模型

信息系统安全保障理论模型和技术框架IATF

2.2 方案建设思路

信息安全等级保护的重点在于内网安全措施的建设和落实，对于运营上来说，支撑系统作为运营商的内网，承担着公众通信网络的管理职责，其各类支撑系统例如网管、计费、营帐、客服等等，不仅与业务网络的配置调度、业务统计等有着密切的相关性，同时还保有大量的客户基础信息，成为实施信息安全等级保护的重要IT系统。

各类支撑系统的相关网络和应用系统伴随着通信业务发展的需要逐步建设形成的，因为前期缺乏统一规划，经过多年的建设积累，形成网络结构复杂、层次不清、系统管理维护困难的现状，网络的有效性和稳定性较低。出于运营商自身的安全需求，对支撑系统进行区域划分，并对区域进行有层次、有重点的保护是当前迫切的需求。非常一致的要求也出现在等级保护的文件上，等保规定，安全系统必须进行“结构安全与网段划分”，并针对边界进行“网络访问控制”、“ 边界完整性检查”以及“网络入侵防范”和“恶意代码防范”等。

根据信息安全保障体系的建设思路，分为三个阶段，分别为基础完善阶段、增强和扩展阶段、整合建设阶段，具体如下图：

图1信息安全保障体系的建设思路图

基础建设阶段：基础建设阶段：重点保护、强化管理。工作重点包括：安全域划分与实施、等级保护整改的设备采购、安全加固、等级保护测评等。

增强与扩展阶段：安全拓展，自我优化。在技术体系建设的基础上，本阶段工作重点包括：定期安全评估、信息系统安全建设、系统上线检查、管理制度完善和推广、技术层面其它加固等。

整合建设阶段：全面整合、平台实现。完善管理体系、技术体系、运维体系，全面建立信息安全保障体系。

三、方案特色

1)建立信息安全纵深防御机制，层层设防，提高信息科技抗攻击的能力，有效保护生产和办公系统的安全性，完善管理体系、技术体系和运维体系。

2)安全域建设的成果不仅是全面增强了运营商整体的安全性和制度性，更大的收获从长远的角度去考虑了规划了未来发展的安全域管理模式。

3)通过评估手段发现的典型安全问题通过技术手段进行解决，建立基本的安全技术框架，满足关键业务持续、稳定运行的基本要求。