杭州移動“三位一體”信息安全保障體系建設

陳龍

摘 要：重大活動期間的信息安全保障是杭州移動信息安全工作中的重要組成部分。近年來，杭州移動在一系列重大活動中，創新提出了“三位一體”信息安全保障體系。該保障體系將航天系統工程與信息安全保障相結合，推動重大活動保障向常態化、體系化轉變，既滿足重大活動期間系統的可靠運行要求，又滿足未來較長時間內系統信息安全的需求。

關鍵詞：信息安全；重大活動保障；動態預警；三重防護

Abstract： Information assurance work during important activities is an important part of the information security work in China Mobile Hangzhou Branch. China Mobile Hangzhou Branch puts forword the Trinity information security system after a series of important activities in recent years. The Trinity information security system combines the space systems sngineering with information security to promote the normalized and systematic information assurance work. It will not only complete the requirement of reliable information system but also meet the demand of information security in a long time of the future.

Key words： information security； security ensuring of important activities； dynamic warning system； triple protection

1 引言

重大活動期間的信息安全保障是杭州移動信息安全工作中的重要組成部分。所謂重大活動是指國家大型活動或在一定區域內舉辦的大型群眾性活動[1]，具有規格高、影響力大、涉及面廣、參與人數多等特點，因此保障工作的要求高、標準嚴、任務艱巨。尤其是隨著我國國力的逐步增強，越來越多國際化、大規模、高水平的大型活動在國內舉辦。面對重大活動頻繁開展的新形勢、新挑戰，如何進一步創新和完善重大活動保障體系，切實解決以往保障工作中存在的各類問題，顯得尤為重要。

2 目的和意義

第一，順應信息安全形勢，貫徹落實網絡安全法規。2014年，我國成立了中央網絡安全和信息化領導小組，因此國家加快了信息安全立法工作。2017年6月正式實施的《網絡安全法》，明確指出要“建立健全網絡安全保障體系，提高網絡安全保護能力”。所以建立新形勢下的信息安全保障體系是當前信息安全工作的必然要求。

第二，應對更專業、更廣泛、更快速的網絡攻擊。隨著大數據、云計算、移動互聯網等技術的應用越來越深入，開放互聯環境中的各類系統更加容易遭到網絡攻擊，黑客入侵、網頁篡改、惡意掛馬等安全事件頻發。由于網絡安全技術的不斷進步，攻擊者可以比較容易地利用自動化工具和分布式系統，對一個目標系統發動破壞性的攻擊。有時甚至不僅僅是單一的攻擊行為，而是多種攻擊行為復合而成，影響面更廣泛，對安全防護、應急響應和攻擊溯源都帶來了極大的困難。網絡攻擊類別從傳統的病毒入侵、掃描攻擊已經發展為更為專業的APT攻擊，傳統的安全保障機制已經無法駕馭APT攻擊，急迫需要新的技術、新的體系來解決網絡攻擊問題。

第三，創新信息安全保障模式，積極應對各類風險。面對嚴峻的形勢，信息安全已成為重大活動保障工作的重中之重。但目前業內尚未形成標準、規范和有效的保障體系，各企業的信息安全管理內容“點多面廣”，實際工作還存在跨部門、跨平臺、跨專業等問題，所以加快探索切實可行的信息安全保障措施和模式已經成為當務之急。

近年來，全國性或地區性的政治、經濟、文化、體育活動和交流越來越多，并且趨于常態化開展。以杭州為例，不僅有西博會、休博會、云棲大會、國際動漫節等一批國內外知名的活動，2016年更舉辦了有史以來保障規格最高、規模最大的全球性會議G20峰會。2022年還將承辦亞運會。隨著重大活動的常態化開展，運營商需要面對高頻次、高負荷的保障任務，過去運動式、突擊式的保障模式已經無法適應新的發展趨勢，信息安全保障工作必須向“制度化、常態化”轉變，進一步完善信息安全保障體系，前瞻性地部署重大活動保障能力建設。

3 “三位一體”信息安全保障體系

近年來，杭州移動在G20峰會、世界互聯網大會、國際動漫節、杭州云棲大會等一系列重大活動中，以“通信暢通與網絡安全并重”為指導理念，以“三零一滿意”（零重大網絡事故、零重大安全事件、零重大客戶投訴、讓主辦方滿意）為總體目標，創新提出了“基于系統工程的航天清單工作法”、“平戰結合的紅黃藍動態預警體系”、“重大活動保障實施的三重防御體系”的“三位一體”信息安全保障體系，如圖1所示。

該保障體系前瞻性地將航天系統工程與信息安全保障相結合，結合國際信息安全解決方案（ISO27001）最佳實踐，推動重大活動保障從運動式、被動式向常態化、體系化轉變，既滿足重大活動期間系統保障的信息安全可靠運行要求，又滿足未來較長時間內平臺信息安全的服務需求。

3.1 基于系統工程的航天清單工作法

在信息安全保障籌備階段，根據信息安全保障要求，借鑒航天發射準備工作，首創“航天清單銷項工作法”，將信息安全梳理、排查、清理工作分解到末端，實行三級責任制，逐項落實、銷項確認，全面徹底地完成保障任務。endprint

第一，梳理全景試圖。根據目前國際上先進的信息安全解決方案ISO/IEC27001的信息安全管理體系（ISMS）[3]，結合國家《信息安全等級保護管理辦法》的相關要求，經過進一步調研、討論、梳理并歸納了“信息安全威脅全景視圖”，如圖2所示。

全景視圖包括內部挑戰、外部威脅兩大方面。其中內部挑戰包括資產安全、保密安全、人員安全和渠道管控；外部威脅包括互聯網內容安全、語音電話安全、垃圾信息和偽基站打擊等，涵蓋11個安全管控點。

第二，制定“航天清單”。公司網絡規模大、業務單元多，風險控制難度大，為了確保各風險個個擊破，實現360度無縫管控，公司細分各部門職責，將每項工作分解到末端工作點，逐項落實工作事項，并實行三級責任制，如圖3所示。

第三，開展銷項作業。如圖4所示，對內圍繞資產安全、保密安全、人員安全、渠道管理四方面，強化管控手段，確保管控無盲區；對外以互聯網內容、語音電話、垃圾短彩信、偽基站打擊為抓手，強化不良信息整治。通過“逐一排查、逐一整治、逐一銷項”，將所有風險逐一銷項或有效控制。

第四，閉環跟蹤反饋。監控信息安全各保障點及保障內容，實施閉環跟蹤。對每項工作設定關鍵目標，明確達成標準，制定關鍵舉措，落實每個細項責任到人。根據清單全面落實，每天跟進落實情況，根據時間進度逐一銷項，并進行每項工作的銷項確認審核。

審核不通過的情況，將再次發送進行整改，直至符合保障要求為止。針對符合要求的工作清單細項，完全銷項后三級責任人簽字確認：實際操作人確認完成情況，上級主管復核完成內容，部門負責人審核確認。

3.2 平戰結合的“紅黃藍”動態預警體系

杭州移動依照《信息系統安全等級保護基本要求》，根據對象受到破壞時所侵害的客體和對客體造成侵害的程度，將信息安全問題劃分為“紅黃藍”三類，制定監控制度，在專業安全團隊支撐的基礎上，定期進行掃描或監測。當問題發現或者發生時，根據“安全事件分級”，對責任部門和人員發布安全預警報告，要求在規定時間內響應修復完畢。同時，在整改修復完成后，提交專業團隊進行復核驗證，確保徹底解決安全隱患。

3.2.1 紅黃藍預警事件分級標準

通過差異化區分預處理，做好具體問題差別應對，有利于更好更快地解決問題，讓各個專業管理部門抓住重點。依據《信息系統安全等級保護定級指南》、《信息安全事件分類分級指南》，事件分級標準如表1所示。

3.2.2 紅黃藍預警系統工作流程

紅黃藍預警系統工作流程如圖5所示，發現問題后，通過大數據分析平臺分析判斷是否為安全事件，如果不是安全事件就忽略，如果是安全事件，那就通過工單系統發放預警牌讓相關責任人去處理問題，解決問題后，驗證是否已經解決，通過就預警結束，沒有通過繼續發放預警牌，直到問題解決完為止。

3.3 重大活動保障實施的三重防護體系

重大活動保障實施的三重防護，根據信息安全保障體系框架（IATF）的基本思路，結合會議保障的要求和特點，以管理、技術、內容為核心實施三重防護，充分確保三者融合與協同，從而確保活動保障的有序開展。

首先，在保障管理方面，建立信息安全三級聯動保障團隊。

在保障決戰時刻，設立指揮中心，以公司管理層、部門經理、保障組成員，根據四個職障范圍“營業廳、網絡、政企、系統”組成三級保障聯動機制，全面開展保障工作。如圖6所示，以G2O峰會信息安全保障為例，專項組建G2O信息安全保障聯動團隊。

其次，在保障技術方面，實現“防篡改、云監控、防攻擊”的一體化。整合專家團隊資源，通過“防篡改、云監測、防攻擊”的一體化，設置三個監控中心，實現三重專業防護、快速修復和緊急處置。

“防篡改”主要是通過部署防篡改系統進行篡改行為監測，提供實時的對掛馬、網頁篡改、網頁敏感內容和網站平穩度的監測。根據不同網站的關注度，配置不同的監測策略，再根據網站中不同頁面的重要程度，設置關鍵頁面，并配置對關鍵頁面進行一定頻率的監測。實現了多維度、不同粒度的風險監測[4]。

“云監控”主要是通過綠盟的云端監測系統享受7×24小時的遠程網站安全監測服務。一旦發現被監測網站存在風險狀況，云端安全技術團隊會第一時間通知系統管理員，并提供專業的安全解決建議。除此之外，云端安全專家團隊會定期為杭州移動出具周期性的綜合評估報告，從而整體掌握網站的風險狀況及安全趨勢。

“防攻擊”一方面是前期通過漏洞掃描器等工具對杭州移動的資產進行全面的漏洞掃描，根據掃描結果，開展準確、快速的漏洞修復工作。如果遇到漏洞無法修復的服務器，則通過部署相應的安全能力進行防護。另一方面是防DDOS攻擊，通過部署云清洗平臺，一旦出現DDOS攻擊，可以通過手機端APP進行自助清洗DDOS。

3.4 三級保障，六大場景

根據會議保障區域及重點企業、單位保障范圍，劃分三級保障內容，并制定不同的保障等級及保障手段。

一級區域：主要涉及到保障內容為企業核心資產、企業所在地區離主會場的距離近，保障的級別最高，保障期間每日監測防護；

二級區域：主要涉及到保障內容為峰會重要服務設施、企業所在地離主會場是毗鄰關系，保障的級別次之，保障期間每周監測防護；

三級區域：主要涉及到合作單位服務平臺、公司日常服務平臺等，保障的級別再次之，保障期間每旬監測防護。

此外，制定了信息安全保障六大場景應急流程，主要包括營業場景應急處置流程、網站應急處置流程、網絡場景應急處置流程、群發場景應急處置流程、外聯場景應急處置流程和營業系統保障場景應急處置流程。為提高實戰經驗，全面開展六大場景的仿真演練，同時在非常時期制定了非常應急手段，比如“急速斷網，后查通報”機制，即如發生緊急事件進行1分鐘斷網，再進行查證整改。

5 結束語

2016年以來，杭州移動成功保障了G20杭州峰會、國際動漫節、杭州馬拉松等193次大型通信保障工作，無重大通信障礙和網絡阻塞，圓滿完成了“三零一滿意”目標。通過對以往重大活動保障模式的總結和創新，明晰了網絡規劃、建設、優化、應急保障和信息安全保障等各階段的保障工作關鍵要點，持續完善保障機制和模式。隨著國家經濟的發展和國際地位的日益提升，諸如亞運會、冬奧會、世界互聯網大會等高規格重大活動將更加頻繁地在國內召開，“三位一體”體系將為后續承擔重大活動活動保障提供有力的支撐。

參考文獻

[1] 宋宇宏，張利.大型活動應急通信保障—大型活動應急通信保障方案及制定[J].警察技術，2011，18（2）：53-56.

[2] 秦安.沒有網絡安全就沒有國家安全[J].中國信息安全，2015，6（8）：25.

[3] 馬遙，黃俊強.信息安全管理體系與等級保護管理要求[J].信息技術，2012，19（6）：140-142.

[4] 綠盟網站安全監測服務[EB/OL]. http：//www.nsfocus.com.cn/operations/details_4_278.html.

[5] 趙霜.信息安全概述[M].西安：西北工業大學出版社，2011.

[6] 吳世忠.信息安全保障導論[M].北京：機械工業出版社，2014.endprint