运营商等级（jí）保护建（jiàn）设解决方（fāng）案（àn）

一、运营商信息化的现（xiàn）状

随着（zhe）3G业务的推广，三大运营商正在热火朝天的（de）进行移动（dòng）网络（luò）的改（gǎi）造（zào）和建设，为大规模的业务（wù）上线做着积极准备，随之而来的网络（luò）安全建设（shè）也需要（yào）同步展开。传统（tǒng）的电（diàn）信（xìn）网络主（zhǔ）要以（yǐ）专有（yǒu）协议、专有网络（luò）为主，现在移动网络（luò）从承载平台、业务系统到后台的支撑系统都越（yuè）来越（yuè）多地转（zhuǎn）移到了IP承载（zǎi）网（wǎng）络（luò），与互联网（wǎng）的结（jié）合也越来越紧密，因（yīn）此互联网中大（dà）量存在的安全风险都将（jiāng）对运（yùn）营商的移（yí）动网络形成（chéng）威（wēi）胁，也必然会对运营商的移动互联网（wǎng）战（zhàn）略造成影响。因此（cǐ），在网（wǎng）络发展的同（tóng）时进行安（ān）全体系的建设，降低（dī）安全（quán）风险（xiǎn）成为各大（dà）运营商一个急待解决的问题。 作为网络服务的供应商（shāng），运营商为全国各行各业重要系统提供基础网络支撑，其信息安全建设也必须考虑（lǜ）到等级保护的相（xiàng）关（guān）要求。

二、运营商等级保护建设方案

2.1 参考依据

GB/T 22239—2008 《信息安全技术 信息系统安全等级保护基本要求》

GB/T 22240—2008 《信息安全（quán）技术（shù） 信息系统（tǒng）安全保护等级定级指（zhǐ）南》

GB/T 20984—2007 《信息（xī）安（ān）全技（jì）术 信息安全风险评估规范》

GB/T 18336—2001 《信息技术—安全技术—信息技术安全性评估准则（zé）》

公通字（zì）【2007】43号（hào） 《信息安全等级保护管（guǎn）理（lǐ）办（bàn）法》

公（gōng）通字（zì）【2004】66号 《关于（yú）信息安（ān）全等级保护工（gōng）作的实施（shī）意见》

ISO/IEC 27001:2005《信（xìn）息安全技术 信息系统安全管理要（yào）求》

ISO/IEC 13335—1: 2004 《信息技术 信息技术安全管理指南》第（dì）1部（bù）分：信息技术安全概（gài）念和模型

信息（xī）系统安全保（bǎo）障理论模型（xíng）和技术框架IATF

2.2 方案建设思路

信息安全等级保护的重点在于内（nèi）网安全措（cuò）施（shī）的建设和落实，对于运营（yíng）上来（lái）说，支（zhī）撑系统作（zuò）为运营商的（de）内网，承担着公众通（tōng）信（xìn）网络（luò）的管理职责（zé），其各类支撑系统例如网管、计费、营帐、客服等等（děng），不仅与业（yè）务（wù）网络（luò）的配置调度、业务统计等（děng）有着密切（qiē）的（de）相关性，同时还（hái）保有大量的客户基础信（xìn）息，成为实施信息安全（quán）等级保护的重要（yào）IT系统（tǒng）。

各类支撑系统的相关网（wǎng）络和（hé）应用系统伴随着通信业务发展的需要逐步建设形成的，因为（wéi）前期缺乏统一规划，经过（guò）多年的建设积累，形成网络结（jié）构（gòu）复杂、层（céng）次不清、系统管理维护困（kùn）难的（de）现状（zhuàng），网络的有效性和稳（wěn）定性较低。出（chū）于运营商自身的安全（quán）需求，对支（zhī）撑系（xì）统进（jìn）行（háng）区域（yù）划分（fèn），并对区域进行有层次、有重（chóng）点的保护是当前（qián）迫切（qiē）的需求（qiú）。非常一致的要（yào）求也出现在（zài）等级（jí）保（bǎo）护的文件上，等（děng）保规（guī）定，安全系统必须进（jìn）行（háng）“结构安全与（yǔ）网段划分（fèn）”，并针对边界进行“网络访问（wèn）控（kòng）制”、“ 边（biān）界完整（zhěng）性检查”以（yǐ）及“网络入（rù）侵防范”和“恶（è）意代码防范（fàn）”等。

根据信息安全（quán）保障（zhàng）体系的建设（shè）思路，分为三个（gè）阶（jiē）段，分别为基础完善阶段、增强和扩展（zhǎn）阶段、整合建设阶段，具体如下图：

图1信息安全保障体（tǐ）系的（de）建设思路图

基础建设（shè）阶段：基础建设阶段：重点保护、强化管理。工（gōng）作（zuò）重点包括（kuò）：安（ān）全域（yù）划分与实施、等（děng）级（jí）保护整（zhěng）改的设备采购、安全加固、等级保护（hù）测评（píng）等（děng）。

增强与扩展阶段：安全拓展，自我优化。在技术体系建设的基础上（shàng），本阶（jiē）段工（gōng）作重点包括：定期安（ān）全评估、信息系统安全建设、系统上线（xiàn）检查（chá）、管理制度完善和推广、技（jì）术层面其（qí）它加（jiā）固等（děng）。

整合建设阶段：全面整合、平台实现。完善（shàn）管理体系、技（jì）术体（tǐ）系（xì）、运维体系，全面建立信息安全（quán）保障体系。

三、方案（àn）特色

1)建立信息安全纵（zòng）深防御机制，层层设防，提高信息（xī）科（kē）技抗攻击的能力（lì），有效（xiào）保护生产和办公系统的安全性，完善管理体系（xì）、技术体系（xì）和运（yùn）维体系。

2)安（ān）全域建设的成（chéng）果不仅是全面增（zēng）强了运营（yíng）商整体的安（ān）全性（xìng）和制度性，更大的收获（huò）从长（zhǎng）远的角度去（qù）考虑（lǜ）了规划（huá）了（le）未来（lái）发展的安全域管（guǎn）理模（mó）式。

3)通过评估手段发现的典型（xíng）安全（quán）问题通过（guò）技术手段进行解决，建立基（jī）本的（de）安全技术框架，满足关键业务持续、稳定运行的基本要求。