中國(guó)電信IT安全保障體系研究與設(shè)計(jì)

1、中國(guó)電信IT安全保障體系研究與設(shè)計(jì)張新躍 華汪明 黃禮蓮 高儒振2012-3-5 11:09:56來(lái)源：現(xiàn)代電信科技2011年第09期摘要：文章首先分析了全業(yè)務(wù)運(yùn)營(yíng)形勢(shì)下中國(guó)電信IT支撐系統(tǒng)面臨的安全新挑戰(zhàn)，從多個(gè)角度出發(fā)，闡述了電信運(yùn)營(yíng)商CTG-MBOSS支撐系統(tǒng)安全現(xiàn)狀和當(dāng)下亟需解決的安全問(wèn)題，在分析和比較了當(dāng)前國(guó)際最先進(jìn)的安全保障體系模型，基于多年來(lái)電信在IT安全管理方面的實(shí)踐，結(jié)合了行業(yè)最佳實(shí)踐，設(shè)計(jì)了適用于中國(guó)電信全業(yè)務(wù)支撐要求的安全保障體系模型框架，并給出了安全保障體系建設(shè)路線規(guī)劃和演進(jìn)策略。1 IT安全概況近年來(lái)，在國(guó)家信息化戰(zhàn)略的指引下，越來(lái)越多的生產(chǎn)系統(tǒng)和企業(yè)核心數(shù)據(jù)承載在網(wǎng)

2、絡(luò)環(huán)境中，IT網(wǎng)絡(luò)環(huán)境下的信息安全問(wèn)題成為每一位信息管理者都關(guān)注的問(wèn)題，如何構(gòu)建信息安全保障體系1-3，保障企業(yè)核心系統(tǒng)安全穩(wěn)定運(yùn)行，企業(yè)核心數(shù)據(jù)不丟失，一直是學(xué)術(shù)界和企業(yè)共同關(guān)注的焦點(diǎn)。根據(jù)中國(guó)電信企業(yè)信息化戰(zhàn)略規(guī)范IT-SP2.0，以及中國(guó)電信的CTG-MBOSS安全規(guī)范，由管理支撐系統(tǒng)(MSS)、業(yè)務(wù)支撐系統(tǒng)(BSS)、運(yùn)營(yíng)支撐系統(tǒng)(OSS)和企業(yè)數(shù)據(jù)架構(gòu)(EDA)組成。伴隨著中國(guó)電信深度轉(zhuǎn)型戰(zhàn)略背景下，如何加強(qiáng)IT系統(tǒng)的統(tǒng)一管理，提高信息化支撐能力成為電信IT工作的主要目標(biāo)，而IT系統(tǒng)的安全性將直接影響電信業(yè)務(wù)的開(kāi)展。一方面，移動(dòng)互聯(lián)網(wǎng)、終端智能化、物聯(lián)網(wǎng)和云計(jì)算等新技術(shù)的發(fā)展對(duì)IT系

3、統(tǒng)的安全提出了新的挑戰(zhàn)；另一方面，隨著全網(wǎng)IP化技術(shù)的演進(jìn)，IT系統(tǒng)由封閉轉(zhuǎn)向開(kāi)放，業(yè)務(wù)運(yùn)營(yíng)模式的變化帶來(lái)安全管控點(diǎn)的增多，系統(tǒng)的安全風(fēng)險(xiǎn)也隨之增大；同時(shí)，由于運(yùn)營(yíng)商IT支撐系統(tǒng)數(shù)據(jù)的大集中增加了提高系統(tǒng)架構(gòu)的復(fù)雜程度，安全事件帶來(lái)的經(jīng)濟(jì)損失也將隨之加大。但是，IT系統(tǒng)的安全建設(shè)滯后于系統(tǒng)建設(shè)的事實(shí)一直困擾著IT系統(tǒng)管理者。因此，從基礎(chǔ)網(wǎng)絡(luò)環(huán)境入手，以安全域?yàn)榍腥朦c(diǎn)，構(gòu)建全方位多層次的綜合IT安全保障體系，實(shí)現(xiàn)IT資產(chǎn)對(duì)象可管可控的安全運(yùn)行環(huán)境，為企業(yè)全業(yè)務(wù)運(yùn)營(yíng)保駕護(hù)航，成為IT安全工作追求的目標(biāo)。2 安全保障體系框架近年來(lái)，隨著信息技術(shù)的進(jìn)一步發(fā)展，人們逐漸認(rèn)識(shí)到，構(gòu)建安全保障體系必須從各個(gè)

4、方商進(jìn)行綜合考慮，只有將組織、策略、運(yùn)行和技術(shù)等各方面緊密結(jié)合，構(gòu)成全方位一體化的安全保障體系，才能真正保障企業(yè)核心資產(chǎn)的安全。一個(gè)完整的IT安全架構(gòu)，需要從總體上進(jìn)行統(tǒng)籌規(guī)劃，逐一落實(shí)每項(xiàng)安全管理制度，統(tǒng)一部署安全防護(hù)措施，循序漸進(jìn)地構(gòu)建一個(gè)科學(xué)全面的安全保障體系。從管理和技術(shù)層面執(zhí)行嚴(yán)格的管控措施，使之能夠抵御來(lái)自外部和內(nèi)部的各種安全威脅。中國(guó)電信IT安全保障體系是支撐企業(yè)IT安全建設(shè)和管理的基礎(chǔ)架構(gòu)，是指導(dǎo)企業(yè)進(jìn)行安全規(guī)劃與建設(shè)的依據(jù)，整體安全保障體系框架如圖1所示。中國(guó)電信IT安全保障體系以CTG-MBOSS信息化架構(gòu)為基礎(chǔ)，以IT安全戰(zhàn)略為指導(dǎo)，實(shí)現(xiàn)可管、可控和可信的三個(gè)IT安全階段

5、目標(biāo)目標(biāo)。體系建設(shè)遵循“管技結(jié)合、預(yù)防為主、注重長(zhǎng)效、循序漸進(jìn)”十六字方針，最終實(shí)現(xiàn)可信賴的IT安全運(yùn)營(yíng)環(huán)境愿景。IT安全保障體系的三個(gè)階段目標(biāo)特征定義如下：可管階段的特征是“職責(zé)明晰、預(yù)防為主、有效識(shí)別”，可控階段的特征是“主動(dòng)防御、及時(shí)響應(yīng)、集中管控”，可信階段的特征是“體系完善、流程通暢、全員參與”。整個(gè)IT安全保障體系由安全管理體系和安全技術(shù)體系兩個(gè)重要部分組成。圖1 中國(guó)電信IT安全保障體系框架圖2.1 IT安全管理體系管理在整個(gè)體系中占有重要的地位，包括安全策略、安全組織和安全運(yùn)行三大體系。安全策略體系總述了中國(guó)電信IT安全的總體方針政策、演進(jìn)策略、標(biāo)準(zhǔn)和指南、以及各類實(shí)施細(xì)則組成

6、。它明確了企業(yè)IT安全的總體目標(biāo)和建設(shè)任務(wù)，明確了演進(jìn)路線和指導(dǎo)原則，是企業(yè)統(tǒng)一部署安全建設(shè)工作的總體綱領(lǐng)和依據(jù)。安全組織體系定義了保障IT安全策略有效執(zhí)行需要的角色和職責(zé)，為安全策略能夠貫徹實(shí)施的組織保障的保證，從職能上分為決策、管理和執(zhí)行類別。該部分從管理制度的規(guī)定和落實(shí)上明確了信息安全職責(zé)與考核管理規(guī)定，從人員和組織上約定了主體和客體以及第三方安全管理規(guī)定。安全運(yùn)行體系從IT系統(tǒng)生命周期和安全風(fēng)險(xiǎn)管控流程出發(fā)，從開(kāi)發(fā)、建設(shè)、維護(hù)、響應(yīng)和核查五個(gè)階段提出安全風(fēng)險(xiǎn)管控的要點(diǎn)，明確了不同階段安全防護(hù)的具體要求，涵蓋了風(fēng)險(xiǎn)管理、系統(tǒng)開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)、事件響應(yīng)、安全監(jiān)控和安全檢查等內(nèi)容4-5。如

7、圖2所示，在具體的執(zhí)行過(guò)程中，安全管理體系在邏輯層面上又分為決策層、管理層和執(zhí)行層三個(gè)層面，分別對(duì)應(yīng)IT安全管理策略，制定安全管理規(guī)定及相應(yīng)的安全管理細(xì)則、流程文件和操作手冊(cè)提高IT安全保障能力。在決策層面，通過(guò)IT安全管理策略對(duì)信息安全方針進(jìn)一步進(jìn)行詮釋和明確。包括了信息安全組織策略、人員信息安全管理策略、信息資產(chǎn)安全管理策略、物理環(huán)境安全管理策略、訪問(wèn)控制管理策略、IT系統(tǒng)建設(shè)管理策略、IT運(yùn)維管理策略、法律法規(guī)復(fù)合型管理策略等。在管理層面，圍繞電信IT安全管理策略，通過(guò)具體的各個(gè)管理制度，同時(shí)參考國(guó)際信息安全管理和信息技術(shù)服務(wù)最佳實(shí)踐，明確集團(tuán)層面對(duì)信息安全管理工作的各項(xiàng)具體要求，以全面

8、覆蓋和滿足外部法律法規(guī)、主管單位、監(jiān)管機(jī)構(gòu)、技術(shù)發(fā)展及相關(guān)合同協(xié)議的最新信息安全要求。執(zhí)行層將管理層面的規(guī)定和要求進(jìn)一步落實(shí)為具體的管理細(xì)則、操作流程及指南等，用以指導(dǎo)具體的信息安全操作行為。包含了物理環(huán)境操作、網(wǎng)絡(luò)連接與準(zhǔn)入、終端安全管理、文檔與信息安全管理、賬號(hào)與密碼管理、應(yīng)用系統(tǒng)開(kāi)發(fā)與驗(yàn)收、安全維護(hù)作業(yè)流程、安全事件應(yīng)急響應(yīng)、連續(xù)性作業(yè)計(jì)劃、合規(guī)性檢查、安全基線達(dá)標(biāo)管理等各種配套的操作指南。3 IT安全技術(shù)體系技術(shù)是實(shí)現(xiàn)IT安全保障體系的重要手段，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全和終端安全六個(gè)方面實(shí)現(xiàn)安全檢測(cè)與識(shí)別、安全防護(hù)、安全審計(jì)與恢復(fù)三大保障能力。其中，安全檢測(cè)與

9、識(shí)別能力主要包含了威脅識(shí)別、入侵檢測(cè)、漏洞掃描等內(nèi)容；安全防護(hù)能力主要包含了身份認(rèn)證、攻擊防護(hù)、數(shù)據(jù)加密、訪問(wèn)控制、安全配置等內(nèi)容；安全審計(jì)與恢復(fù)能力主要包含了操作審計(jì)、應(yīng)急響應(yīng)、災(zāi)備恢復(fù)等。圖2 中國(guó)電信IT安全保障體系管理視圖安全技術(shù)體系圍繞中國(guó)電信IT安全目標(biāo)和方針，遵循國(guó)家和工信部IT系統(tǒng)安全等級(jí)保護(hù)相關(guān)要求，結(jié)合IT技術(shù)發(fā)展現(xiàn)狀和中國(guó)電信實(shí)際安全需求。通過(guò)定義安全對(duì)象和技術(shù)防護(hù)要求，確定IT安全集中管控目標(biāo)，明確安全防護(hù)措施，制定通用安全配置和作業(yè)指南等，來(lái)提高整個(gè)企業(yè)的IT全網(wǎng)安全防護(hù)能力。安全技術(shù)體系在邏輯上分為“定義層”，“管控層”和“防護(hù)層”三個(gè)層面。中國(guó)電信IT安全保障體系

10、技術(shù)視圖如圖3所示。定義層明確了中國(guó)電信的IT信息安全防護(hù)對(duì)象等級(jí)和等級(jí)化的安全防護(hù)目標(biāo)和要求，對(duì)不同安全等級(jí)的IT系統(tǒng)采取相應(yīng)級(jí)別的IT安全保障技術(shù)措施和手段，提高安全防護(hù)能力。中國(guó)電信業(yè)務(wù)系統(tǒng)主體由MSS、BSS、OSS、EDA等4大系統(tǒng)組成，每個(gè)系統(tǒng)包含若干子系統(tǒng)。為了能夠?qū)Ω鱾€(gè)子系統(tǒng)進(jìn)行合理有效地安全防護(hù)，根據(jù)中國(guó)電信IT安全保障體系安全等級(jí)劃分原則，對(duì)各個(gè)子系統(tǒng)進(jìn)行等級(jí)劃分，并且依照安全等級(jí)防護(hù)標(biāo)準(zhǔn)對(duì)IT系統(tǒng)進(jìn)行安全防護(hù)。體系中對(duì)IT防護(hù)對(duì)象的安全等級(jí)劃分滿足國(guó)家等級(jí)保護(hù)和工信部“電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)”對(duì)電信網(wǎng)的要求6-8，并且做了相應(yīng)的增強(qiáng)與擴(kuò)充，將遭受攻擊后“會(huì)對(duì)中國(guó)電信的正常

11、運(yùn)行和企業(yè)合法權(quán)益包括(企業(yè)形象、經(jīng)濟(jì)運(yùn)行)造成比較嚴(yán)重的損害，但尚未損害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)運(yùn)行和公共利益”的重要系統(tǒng)定義為2.2級(jí)，等級(jí)定義如表1如所示。防護(hù)層根據(jù)防護(hù)對(duì)象的安全等級(jí)，分別從網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用、數(shù)據(jù)、物理等6個(gè)方面，提出相應(yīng)的安全防護(hù)要求。定義了網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)和設(shè)備等IT基礎(chǔ)設(shè)施的通用配置規(guī)范，同時(shí)依據(jù)中國(guó)電信IT系統(tǒng)的不同安全等級(jí)，明確和部署相應(yīng)的安全防護(hù)措施，以提高中國(guó)電信信息安全防護(hù)能力和水平。它包括了IT系統(tǒng)安全防護(hù)措施和IT基礎(chǔ)設(shè)施安全配置指南兩大部分。其中IT系統(tǒng)安全防護(hù)措施從安全監(jiān)測(cè)與識(shí)別、安全防護(hù)、安全審計(jì)與恢復(fù)三大類安全防護(hù)能力產(chǎn)品的功能與定義，

12、包括了以下三種。圖3 中國(guó)電信IT安全保障體系建設(shè)規(guī)范技術(shù)視圖(1)檢測(cè)與識(shí)別類：身份認(rèn)證、漏洞掃描和入侵檢測(cè)；(2)安全防護(hù)類：網(wǎng)絡(luò)防火墻、入侵防御、DDOS防護(hù)、VPN、數(shù)據(jù)庫(kù)安全、惡意代碼防護(hù)、網(wǎng)頁(yè)防篡改、WEB防火墻、行為管理、終端安全、數(shù)據(jù)防泄露；(3)安全審計(jì)與恢復(fù)類：安全審計(jì)、堡壘主機(jī)、備份恢復(fù)。IT基礎(chǔ)設(shè)施安全配置指南從網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)、應(yīng)用等幾個(gè)層面制定了IT基礎(chǔ)設(shè)施的安全配置要求。包括了網(wǎng)絡(luò)設(shè)備安全配置、主機(jī)安全配置、數(shù)據(jù)庫(kù)安全配置、終端安全配置、應(yīng)用和中間件安全配置、網(wǎng)絡(luò)安全域劃分等具體內(nèi)容。管控層主要包括集中用戶認(rèn)證管理和安全控制管理兩個(gè)方面，定義了安全管控組件功能、接

13、口標(biāo)準(zhǔn)、實(shí)施與演進(jìn)路線。其中集中用戶認(rèn)證管理主要功能是建立集中用戶管理管理機(jī)制，進(jìn)行賬號(hào)管理、認(rèn)證管理、授權(quán)管理與統(tǒng)一審計(jì)管理，實(shí)現(xiàn)IT系統(tǒng)“四實(shí)名”；安全控制管理的主要功能是建立安全運(yùn)維管控機(jī)制，進(jìn)行安全設(shè)備監(jiān)控、安全日志審計(jì)、安全事件處理等管理行為，實(shí)現(xiàn)核心系統(tǒng)和數(shù)據(jù)操作可告警、可阻斷、可審計(jì)、可追溯6。4 安全保障體系建設(shè)演進(jìn)路線如圖4所示，中國(guó)電信IT安全保障體系建設(shè)需要分階段逐步建設(shè)實(shí)施，結(jié)合電信的實(shí)際安全需求和安全風(fēng)險(xiǎn)級(jí)別，規(guī)劃出符合企業(yè)實(shí)際的安全實(shí)施和建設(shè)演進(jìn)路線圖?？晒茈A段的主要工作包括明確IT安全資產(chǎn)防護(hù)等級(jí)、建立安全組織架構(gòu)、明確安全責(zé)任、編制企業(yè)安全策略和管理制度，引入安

14、全運(yùn)維流程，以安全域?yàn)榍腥朦c(diǎn)，規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)體系架構(gòu)，全面部署安全監(jiān)控與預(yù)警措施，對(duì)重要系統(tǒng)部署有針對(duì)性的安全防護(hù)措施。實(shí)現(xiàn)“職責(zé)明晰、預(yù)防為主、有效識(shí)別”的要求?？煽仉A段的主要工作包括細(xì)化安全管理流程，建立安全主動(dòng)防御體系，部署全方位的安全防護(hù)措施，遵循縱深防御的防護(hù)思路，部署統(tǒng)一IT安全運(yùn)維平臺(tái)，實(shí)現(xiàn)對(duì)IT設(shè)備和系統(tǒng)的集中管理和維護(hù)；建立集中用戶賬號(hào)管理平臺(tái)，實(shí)現(xiàn)用戶賬號(hào)統(tǒng)一認(rèn)證、統(tǒng)一授和審計(jì)。實(shí)現(xiàn)“主動(dòng)防御、及時(shí)響應(yīng)、集中管控”的要求?？尚烹A段實(shí)現(xiàn)IT安全工作全員參與，將安全工作逐步融入到企業(yè)文化中；固化安全運(yùn)維管理流程，建立可實(shí)現(xiàn)的IT安全考量體系，形成持續(xù)優(yōu)化、不斷演進(jìn)的長(zhǎng)效安全管理機(jī)

15、制；針對(duì)重要系統(tǒng)建立安全備份與恢復(fù)機(jī)制，逐步建設(shè)成“安全可信環(huán)境”，打造集預(yù)警、監(jiān)控、響應(yīng)、恢復(fù)為一體的全方位安全保障體系。圖4 中國(guó)電信IT安全保障體系建設(shè)演進(jìn)路線5 結(jié)語(yǔ)本文分析了中國(guó)電信在全業(yè)務(wù)運(yùn)營(yíng)環(huán)境下IT支撐系統(tǒng)面臨的安全挑戰(zhàn)，通過(guò)比較當(dāng)前國(guó)際最先進(jìn)的安全保障體系模型，結(jié)合中國(guó)電信業(yè)務(wù)保障需求，設(shè)計(jì)出了新的IT安全保障體系模型框架，給出了各個(gè)框架的功能和建設(shè)要求，闡述了安全保障體系如何建設(shè)路和實(shí)現(xiàn)的演進(jìn)路線，對(duì)于指導(dǎo)未來(lái)整個(gè)電信運(yùn)營(yíng)商安全體系建設(shè)工作具有重要意義。作者簡(jiǎn)介：張新躍，中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司高級(jí)工程師；華汪明，中國(guó)電信集團(tuán)公司高級(jí)工程師；黃禮蓮，中國(guó)電信集團(tuán)公司企業(yè)信息化部高級(jí)工程師；高儒振，中國(guó)電信集團(tuán)公司企業(yè)信息化部高級(jí)工程師。參考文獻(xiàn)1王娜，方濱興，羅建中，等.“5432戰(zhàn)略”國(guó)家信息安全保障體系框架研究J.通信學(xué)報(bào)，2004(7).2方濱興.建設(shè)網(wǎng)絡(luò)應(yīng)急體系，保障網(wǎng)絡(luò)空間安全J.通信學(xué)報(bào)，2002(5).3白云，張鳳鳴，黃浩，等.信息系統(tǒng)安全體系結(jié)構(gòu)發(fā)展