运营商等级保（bǎo）护（hù）建设解决方案（àn）

一、运营商（shāng）信息化的现（xiàn）状（zhuàng）

随着（zhe）3G业务的推广（guǎng），三大（dà）运营商正在热火朝天的进行移动网络的改造和建设，为大（dà）规模（mó）的业务上（shàng）线（xiàn）做着积（jī）极准备（bèi），随（suí）之而（ér）来的网络安（ān）全建设（shè）也需要同步展开。传（chuán）统的电（diàn）信网络主要以（yǐ）专有协议（yì）、专有（yǒu）网络为（wéi）主，现（xiàn）在移动网络从承载平台（tái）、业务系统到后（hòu）台（tái）的支撑系统都越来（lái）越多地转移到了（le）IP承载（zǎi）网络，与互联网的结（jié）合也越来越（yuè）紧密，因此（cǐ）互（hù）联（lián）网（wǎng）中大量（liàng）存在的安全风险（xiǎn）都将对运（yùn）营商（shāng）的移动网络（luò）形成威胁，也必然会对（duì）运（yùn）营商（shāng）的移动互联网战略造成影（yǐng）响（xiǎng）。因此，在网络发（fā）展（zhǎn）的同时进（jìn）行安全体系（xì）的（de）建设，降低安全风险成为（wéi）各（gè）大运营商一个急待解决的问题。 作为网络服务的供应（yīng）商，运营商为全国各（gè）行各（gè）业重要系统（tǒng）提供基础网（wǎng）络（luò）支（zhī）撑，其信（xìn）息（xī）安全建设也必须考虑到等级保护的相关要求。

二、运营商等级保护建设（shè）方（fāng）案

2.1 参考（kǎo）依据

GB/T 22239—2008 《信息安全（quán）技术 信息系统（tǒng）安全等级（jí）保护基（jī）本要求》

GB/T 22240—2008 《信息安全技（jì）术 信（xìn）息系统安全保（bǎo）护等级（jí）定级指南》

GB/T 20984—2007 《信息安全技（jì）术 信息（xī）安全风险（xiǎn）评（píng）估规范》

GB/T 18336—2001 《信息技术—安全技术—信（xìn）息技术安全性（xìng）评估准则（zé）》

公（gōng）通字【2007】43号 《信息安全等级（jí）保护管理办法》

公（gōng）通字【2004】66号 《关于信息（xī）安（ān）全等级保（bǎo）护工作的实施意见》

ISO/IEC 27001:2005《信息安全技术（shù） 信息系统安全管理要求（qiú）》

ISO/IEC 13335—1: 2004 《信息（xī）技术 信（xìn）息技术安全（quán）管理指南》第1部（bù）分：信息技（jì）术安全概念和模型

信息（xī）系统安全保障理（lǐ）论模型和技术框架（jià）IATF

2.2 方案（àn）建（jiàn）设思路

信息（xī）安全等级保护（hù）的重点在于（yú）内网（wǎng）安全措施的建设和落实，对（duì）于运营上来说，支撑系统作为运营商的内网，承担着公众通信网（wǎng）络的管理职责，其各（gè）类支（zhī）撑系统例如网管、计费、营（yíng）帐、客（kè）服（fú）等等（děng），不仅与业务网络的配置调度、业务统计等有（yǒu）着密（mì）切的相关性，同时还保有大（dà）量的（de）客（kè）户（hù）基础信息，成为实施信（xìn）息安全等（děng）级保护（hù）的（de）重要IT系统。

各（gè）类支撑系统的相关网络和应（yīng）用系（xì）统伴随着通信业务发（fā）展的需要逐步建设形（xíng）成的，因为前期缺乏统（tǒng）一规划，经过多年的（de）建（jiàn）设（shè）积累，形成网络（luò）结构复杂、层（céng）次不清、系统管理维护困难的现状，网络的有效（xiào）性和稳定性较低。出于运营商（shāng）自身的安全需求，对支撑系统进行（háng）区域划分（fèn），并对区域进（jìn）行有层（céng）次、有重点的保护是当前迫（pò）切的需求。非常一致的要求也出现在等级保护的文件上，等保规（guī）定（dìng），安全系统必须进行“结构安全与网（wǎng）段划分”，并（bìng）针对边界进行“网络访问控制”、“ 边界完整（zhěng）性检查”以及“网络入侵防（fáng）范”和（hé）“恶（è）意代（dài）码防范”等。

根（gēn）据信（xìn）息安全保（bǎo）障体系的建设思路，分为三个阶段，分别为基础完善阶段（duàn）、增（zēng）强和扩展阶段、整合建设阶段，具体（tǐ）如下图：

图1信息安（ān）全保障体系的建设思（sī）路图

基础（chǔ）建设阶段（duàn）：基础（chǔ）建设阶段：重点保护、强化管理。工作重（chóng）点包括：安全域划（huá）分与实施（shī）、等级保护整（zhěng）改的设备（bèi）采购、安全加固、等（děng）级保护（hù）测评等。

增强与扩展阶段：安全拓展，自我优化。在（zài）技术体系建设的（de）基础上，本阶段工作重点包（bāo）括：定期安全评估、信息（xī）系（xì）统安（ān）全（quán）建设（shè）、系统上（shàng）线检查（chá）、管理制度完善和推广（guǎng）、技（jì）术层面（miàn）其它（tā）加固（gù）等。

整合建（jiàn）设阶段：全面整合、平台实现。完善管理体系、技术体（tǐ）系、运（yùn）维（wéi）体（tǐ）系，全面（miàn）建（jiàn）立信息安全保障体系。

三、方（fāng）案特色

1)建立信息安全纵深防御机（jī）制，层层设防，提高信息科技抗攻击的能力，有效保护生产和办公系统（tǒng）的安全性，完（wán）善管理体系、技术体系和运维体系。

2)安全域（yù）建（jiàn）设的（de）成果不仅是全（quán）面增强了运营商整体的（de）安全性和制度性，更大的收获（huò）从（cóng）长（zhǎng）远的角度（dù）去考（kǎo）虑了规划了未来发展的安全域（yù）管理模式（shì）。

3)通过评估（gū）手段发现的典型安全问题通（tōng）过技术手段（duàn）进行解决，建立基本的（de）安全技（jì）术框（kuàng）架（jià），满足关键业（yè）务持续、稳定运（yùn）行（háng）的基本要（yào）求。