运（yùn）营商等级保护（hù）建（jiàn）设（shè）解决（jué）方案

一、运营商信息化的现（xiàn）状

随着3G业务的推广，三大运营商正在热火朝天的进行（háng）移动（dòng）网（wǎng）络（luò）的改造和建设，为（wéi）大规模的业（yè）务上线做着积极准备（bèi），随之而来（lái）的网络安全建设也需要同步展开。传统（tǒng）的电信网络主要以专有协（xié）议、专有网络为主，现在移动网（wǎng）络从承载平台（tái）、业务系统到后台的支撑系（xì）统都越来越多地（dì）转移到了IP承载网络（luò），与互联网的（de）结合（hé）也越来越紧密（mì），因此互联网中大量存（cún）在的（de）安全（quán）风险都将对运营商的移动网络形成（chéng）威胁（xié），也必然会对运营商的（de）移动（dòng）互（hù）联网战略（luè）造（zào）成（chéng）影响。因此，在网络发展的同时进行安全（quán）体系的建设，降低安全风险成为各大运（yùn）营商一个急待解（jiě）决的问题。 作为网络服务的（de）供应商，运营商为全国各行各业重要系统提（tí）供基础网络支撑，其信（xìn）息安全建设也必须（xū）考虑到等级保护的（de）相关要求。

二、运营（yíng）商等级保护（hù）建设（shè）方案

2.1 参考依据

GB/T 22239—2008 《信息安全技（jì）术 信息系统安全等级保护基本要求》

GB/T 22240—2008 《信息（xī）安全技术 信息系统安全保（bǎo）护等级定（dìng）级指（zhǐ）南（nán）》

GB/T 20984—2007 《信（xìn）息安全技术（shù） 信息安全风险评估规范（fàn）》

GB/T 18336—2001 《信息技术—安全技术（shù）—信息（xī）技（jì）术安全性评估准则》

公通字【2007】43号 《信（xìn）息安全等（děng）级保护管理办法》

公通字【2004】66号 《关于信息（xī）安全等级（jí）保护工作（zuò）的实施意见》

ISO/IEC 27001:2005《信息安全技术 信（xìn）息系统安全管理要求（qiú）》

ISO/IEC 13335—1: 2004 《信（xìn）息技术 信息技术安全管理（lǐ）指（zhǐ）南》第1部分：信息（xī）技（jì）术安全（quán）概（gài）念（niàn）和模（mó）型（xíng）

信息系统安全保障（zhàng）理论（lùn）模型和技术框架IATF

2.2 方案建设（shè）思（sī）路

信息安全等（děng）级保护（hù）的重点在于内网（wǎng）安全措施（shī）的建（jiàn）设和落实，对于运（yùn）营上（shàng）来（lái）说，支（zhī）撑系统作（zuò）为运营商的（de）内网，承（chéng）担着公众通（tōng）信网（wǎng）络的（de）管（guǎn）理职责，其各类支撑系统例（lì）如网管、计费、营帐、客服等等，不仅与业务网络的配（pèi）置调（diào）度、业务统计等有着密切的相关性，同时（shí）还保有大量的客户基础信息，成（chéng）为实施信（xìn）息安（ān）全（quán）等（děng）级（jí）保护的重要IT系（xì）统。

各类支撑系统的相关网络和应用系统伴（bàn）随（suí）着通信（xìn）业务发展的需要逐步建设形成的，因为前期缺乏（fá）统一规划，经过多年的建设积累（lèi），形成网（wǎng）络结构复杂、层次不清、系统管理维护困难的现状（zhuàng），网络的有效性和稳定性较低。出于运营商自身的安（ān）全需求（qiú），对支（zhī）撑系统进行区域划分，并（bìng）对区（qū）域进行（háng）有层次、有重点的保护是（shì）当前迫（pò）切的需求。非常一致的要求也出现在等级保（bǎo）护的文件上，等保规定，安全系（xì）统必（bì）须进行“结构（gòu）安全（quán）与（yǔ）网段划分”，并针对边界进行“网（wǎng）络访问（wèn）控制”、“ 边界完整（zhěng）性检查”以（yǐ）及（jí）“网络入侵防（fáng）范（fàn）”和“恶意（yì）代码防范”等。

根（gēn）据（jù）信息安全保障体（tǐ）系的建（jiàn）设思路，分为三个（gè）阶（jiē）段，分别为基础完善阶段（duàn）、增强和扩（kuò）展阶段、整（zhěng）合建设阶段，具体（tǐ）如下图：

图1信（xìn）息（xī）安全保（bǎo）障体系的建设思路图（tú）

基础（chǔ）建设阶段：基础（chǔ）建设阶段：重（chóng）点保护、强化管（guǎn）理。工作重点包括：安全域划分与实施、等级保（bǎo）护整改的设（shè）备采购、安全加（jiā）固、等级保（bǎo）护测评等。

增（zēng）强与扩展（zhǎn）阶段：安全拓展（zhǎn），自我优化。在技术体（tǐ）系建设的基础上（shàng），本阶段工作重点包括：定期安全评估、信（xìn）息系统安全（quán）建设、系统上线检查、管（guǎn）理制度完善和推广、技术层面其它加固等（děng）。

整（zhěng）合建（jiàn）设阶段：全（quán）面整合、平台实现。完善（shàn）管理体系、技（jì）术体系、运（yùn）维体系，全面建立信息安全保障体系。

三、方案（àn）特色

1)建立信息安全（quán）纵深防御机制，层层设防，提高信息科技抗攻击的能力，有效保护（hù）生（shēng）产和办公系统的安（ān）全性，完善管理体系、技术（shù）体系和（hé）运维体系。

2)安全（quán）域建设的成果不仅是全面增强（qiáng）了运营商整体的（de）安全（quán）性（xìng）和制度性，更大的收获从长远的角度去考（kǎo）虑了规划了（le）未来发展（zhǎn）的安全域管理模（mó）式（shì）。

3)通（tōng）过评估（gū）手段发现的典型安全问题通过技术手段进行解决，建立基本的安全技（jì）术框架，满足关键业务持续、稳定运（yùn）行的基本要（yào）求。