一.  概述

電信運(yùn)營(yíng)商3G業(yè)務(wù)的推廣，開啟了移動(dòng)互聯(lián)網(wǎng)手機(jī)推廣的新篇章。當(dāng)前，傳統(tǒng)固網(wǎng)電信運(yùn)營(yíng)商正在熱火朝天的進(jìn)行移動(dòng)網(wǎng)絡(luò)的改造和建設(shè)，為大規(guī)模的業(yè)務(wù)上線做著積極準(zhǔn)備，隨之而來的網(wǎng)絡(luò)安全建設(shè)也需要同步展開。傳統(tǒng)的電信網(wǎng)絡(luò)主要以專有協(xié)議、專有網(wǎng)絡(luò)為主，現(xiàn)在移動(dòng)網(wǎng)絡(luò)從承載平臺(tái)、業(yè)務(wù)系統(tǒng)到后臺(tái)的支撐系統(tǒng)都越來越多地轉(zhuǎn)移到了IP承載網(wǎng)絡(luò)，與互聯(lián)網(wǎng)的結(jié)合也越來越緊密，因此互聯(lián)網(wǎng)中大量存在的安全風(fēng)險(xiǎn)都將對(duì)運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò)形成威脅，也必然會(huì)對(duì)運(yùn)營(yíng)商的移動(dòng)互聯(lián)網(wǎng)戰(zhàn)略造成影響。如何在網(wǎng)絡(luò)發(fā)展的同時(shí)進(jìn)行安全體系的建設(shè)，降低安全風(fēng)險(xiǎn)成為一個(gè)急待解決的問題，本文從運(yùn)營(yíng)商移動(dòng)網(wǎng)絡(luò)及相關(guān)業(yè)務(wù)系統(tǒng)現(xiàn)狀出發(fā)，基于對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)安全建設(shè)的長(zhǎng)期積累，對(duì)移動(dòng)網(wǎng)絡(luò)安全建設(shè)進(jìn)行探討。

二.  移動(dòng)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)介紹

電信運(yùn)營(yíng)商移動(dòng)網(wǎng)絡(luò)由無線網(wǎng)、核心網(wǎng)、承載網(wǎng)、業(yè)務(wù)網(wǎng)、支撐網(wǎng)和傳輸網(wǎng)等網(wǎng)絡(luò)系統(tǒng)構(gòu)成。先簡(jiǎn)單了解一下各個(gè)網(wǎng)絡(luò)系統(tǒng)的基本情況，然后再針對(duì)IP網(wǎng)絡(luò)層面的安全問題進(jìn)行重點(diǎn)分析，主要包括業(yè)務(wù)網(wǎng)、承載網(wǎng)和支撐網(wǎng)，本文不涉及無線網(wǎng)和傳輸網(wǎng)部分的安全問題。

核心網(wǎng)由電路域和分組域組成，電路域負(fù)責(zé)話音業(yè)務(wù)的承載和控制，主要網(wǎng)元包括移動(dòng)交換中心、媒體網(wǎng)關(guān)、歸屬位置寄存器/鑒權(quán)中心；分組域負(fù)責(zé)數(shù)據(jù)業(yè)務(wù)的承載和控制，主要網(wǎng)元包括分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)（PDSN）、AAA、DNS等，PDSN負(fù)責(zé)管理用戶通信狀態(tài)，轉(zhuǎn)發(fā)用戶數(shù)據(jù)。通常，PDSN 集中設(shè)置在省會(huì)城市，實(shí)現(xiàn)對(duì)所有分組業(yè)務(wù)用戶的接入。

業(yè)務(wù)網(wǎng)負(fù)責(zé)業(yè)務(wù)邏輯和業(yè)務(wù)數(shù)據(jù)處理，在全國(guó)和省級(jí)兩個(gè)層面進(jìn)行建設(shè)，全國(guó)層面業(yè)務(wù)包括：彩鈴平臺(tái)、流媒體平臺(tái)、郵箱平臺(tái)、BREW下載平臺(tái)等，省級(jí)層面業(yè)務(wù)包括：WAP網(wǎng)關(guān)、短信平臺(tái)、彩信平臺(tái)、IVR等，由省移動(dòng)業(yè)務(wù)管理平臺(tái)統(tǒng)一進(jìn)行業(yè)務(wù)管理。

承載網(wǎng)負(fù)責(zé)跨地市或跨省業(yè)務(wù)數(shù)據(jù)的承載，通過CE+IP承載網(wǎng)方式組網(wǎng)，CE負(fù)責(zé)移動(dòng)網(wǎng)絡(luò)核心網(wǎng)元匯聚，IP承載網(wǎng)負(fù)責(zé)各業(yè)務(wù)VPN的長(zhǎng)途承載。各個(gè)系統(tǒng)通過承載網(wǎng)實(shí)現(xiàn)互聯(lián)互通，IP承載網(wǎng)為每個(gè)系統(tǒng)分配單獨(dú)的VPN，為每個(gè)系統(tǒng)提供獨(dú)立的邏輯通道，比如RP網(wǎng)絡(luò)VPN、PI網(wǎng)絡(luò)VPN、C網(wǎng)軟交換VPN等。

支撐網(wǎng)為電信業(yè)務(wù)的開展提供運(yùn)行維護(hù)和管理決策支持，支撐網(wǎng)主要包括業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)、企業(yè)信息化系統(tǒng)，三個(gè)支撐系統(tǒng)在網(wǎng)絡(luò)的縱向連接上均是三級(jí)結(jié)構(gòu)：集團(tuán)公司－省公司－地市分公司，各支撐系統(tǒng)在三級(jí)結(jié)構(gòu)的承載層面，基本上都考慮了相互隔離。三個(gè)支撐系統(tǒng)之間存在一定的互聯(lián)需求，如網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)均與企業(yè)信息化系統(tǒng)有連接，主要實(shí)現(xiàn)網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)的相關(guān)信息向MIS開放，同時(shí)，業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)的維護(hù)人員也需要訪問企業(yè)信息化系統(tǒng)。其中業(yè)務(wù)支撐系統(tǒng)和網(wǎng)管系統(tǒng)之間的結(jié)合是最為緊密的。

三.  移動(dòng)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)

移動(dòng)網(wǎng)絡(luò)承載了多種業(yè)務(wù)系統(tǒng)，而且各種業(yè)務(wù)系統(tǒng)具有各自的特點(diǎn)，依據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)的關(guān)聯(lián)度不同，可以將移動(dòng)網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)分為三大類：全開放系統(tǒng)、半封閉系統(tǒng)和全封閉系統(tǒng)，全開放系統(tǒng)指完全在互聯(lián)網(wǎng)承載的系統(tǒng)，如郵箱業(yè)務(wù)；半封閉系統(tǒng)指在私網(wǎng)進(jìn)行承載，同時(shí)與互聯(lián)網(wǎng)連接的系統(tǒng)，如彩鈴系統(tǒng)；全封閉系統(tǒng)指無需與互聯(lián)網(wǎng)連接的系統(tǒng)，如智能網(wǎng)。從安全威脅的角度分析，全開發(fā)和半封閉系統(tǒng)面臨的安全威脅最為突出，因此在本章節(jié)中重點(diǎn)進(jìn)行分析，首先分析一下業(yè)務(wù)網(wǎng)面臨的安全分析：

1）智能終端帶來威脅，智能終端發(fā)起經(jīng)由核心網(wǎng)進(jìn)入業(yè)務(wù)系統(tǒng)的攻擊，通常核心網(wǎng)與業(yè)務(wù)網(wǎng)利用網(wǎng)絡(luò)設(shè)備直接連接，沒有任何安全防護(hù)。

2）來自于互聯(lián)網(wǎng)的威脅，從業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)出口進(jìn)入的黑客入侵攻擊、大規(guī)模拒絕服務(wù)攻擊（DDoS）等，網(wǎng)絡(luò)層網(wǎng)關(guān)類訪問控制設(shè)備對(duì)此類攻擊無能為力，最終影響整個(gè)業(yè)務(wù)平臺(tái)的正常訪問。

3）業(yè)務(wù)非法訂閱問題，主要方式包括：不遵循業(yè)務(wù)流程的非法訂購行為，無法進(jìn)行監(jiān)控的非法訂購，比如不經(jīng)過WAP網(wǎng)關(guān)的訂閱、不經(jīng)過計(jì)費(fèi)網(wǎng)關(guān)的訂閱、SP/CP模擬用戶進(jìn)行訂購等。

4）濫用業(yè)務(wù)，通過盜用端口模擬業(yè)務(wù)邏輯或者調(diào)用業(yè)務(wù)進(jìn)程，非法使用業(yè)務(wù)資源。如WAP業(yè)務(wù)中曾經(jīng)泛濫的PUSH群發(fā)。

5）業(yè)務(wù)系統(tǒng)通常與其它業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)或者第三方接入平臺(tái)互聯(lián)互通，業(yè)務(wù)系統(tǒng)之間互聯(lián)并未進(jìn)行嚴(yán)格的訪問控制，可能造成各業(yè)務(wù)平臺(tái)之間的隨意訪問，影響業(yè)務(wù)平臺(tái)安全。

支撐網(wǎng)面臨的安全威脅如下：

1）業(yè)務(wù)系統(tǒng)之間的邊界不清

業(yè)務(wù)系統(tǒng)分期建設(shè)，業(yè)務(wù)系統(tǒng)之間的隔離還是通過系統(tǒng)在自身邊界處通過網(wǎng)絡(luò)設(shè)備ACL和防火墻訪問控制實(shí)現(xiàn)。策略的統(tǒng)一性非常差，且不便于運(yùn)營(yíng)商的運(yùn)維部門統(tǒng)一管理。一旦有新的業(yè)務(wù)系統(tǒng)建立或者某個(gè)重要系統(tǒng)升級(jí)，則相關(guān)系統(tǒng)的管理維護(hù)人員需要大量修改訪問控制策略，甚至有的維護(hù)人員為了減輕維護(hù)的工作量直接配置十分寬松的訪問控制策略，根本無法起到業(yè)務(wù)系統(tǒng)之間嚴(yán)格按需互訪的目的。一旦某個(gè)系統(tǒng)發(fā)生安全事件，可能直接擴(kuò)散到其他重要的業(yè)務(wù)系統(tǒng)中，從而影響的支撐網(wǎng)全網(wǎng)穩(wěn)定運(yùn)行。

2）與互聯(lián)網(wǎng)存在多個(gè)出口

隨著業(yè)務(wù)和管理發(fā)展的需要，各支撐系統(tǒng)（網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、企業(yè)信息化系統(tǒng)）與互聯(lián)網(wǎng)的互聯(lián)需求越來越多，各類支撐系統(tǒng)通常都存在互聯(lián)網(wǎng)接口，各接口都采用了一些安全防護(hù)措施，但這樣獨(dú)立設(shè)置安全防護(hù)系統(tǒng)存在投資大、漏洞多、安全策略不統(tǒng)一，安全建設(shè)投入和管理成本越來越高的問題。

3）終端安全帶來的安全隱患

支撐網(wǎng)中繁雜而瑣碎的安全問題，大都來自網(wǎng)絡(luò)內(nèi)部，主要是補(bǔ)丁升級(jí)與病毒庫更新不及時(shí)、蠕蟲病毒利用漏洞傳播、移動(dòng)電腦設(shè)備隨意接入等由終端帶來的安全隱患。。

4）遠(yuǎn)程維護(hù)存在安全隱患

支撐網(wǎng)中存在大量的遠(yuǎn)程維護(hù)需求，核心設(shè)備一般由運(yùn)維人員遠(yuǎn)端登錄維護(hù)，遇到出現(xiàn)問題的緊急情況會(huì)提供網(wǎng)絡(luò)通道由廠商技術(shù)人員遠(yuǎn)程登錄解決。遠(yuǎn)程維護(hù)的接入控制通常沒有進(jìn)行統(tǒng)一，存在多個(gè)遠(yuǎn)程維護(hù)的接口，維護(hù)的方式也多種多樣。一旦被惡意使用者通過弱口令、控制終端入侵等方式，遠(yuǎn)程登錄到支撐網(wǎng)中，將給支撐網(wǎng)網(wǎng)絡(luò)造成不可估量的損失和極其嚴(yán)重的后果。

承載網(wǎng)面臨的主要威脅來自于大流量的沖擊，比如P2P應(yīng)用消耗大量的骨干網(wǎng)帶寬。對(duì)于流量消耗型的業(yè)務(wù)，按時(shí)長(zhǎng)計(jì)費(fèi)是用戶愿意接受的方式；而長(zhǎng)期在線型小流量的業(yè)務(wù)，按流量計(jì)費(fèi)是用戶愿意接受的方式。運(yùn)營(yíng)商移動(dòng)互聯(lián)網(wǎng)已經(jīng)開始按時(shí)長(zhǎng)計(jì)費(fèi)的嘗試，對(duì)于大流量的沖擊應(yīng)該研究防護(hù)的手段。#p#

四.  移動(dòng)網(wǎng)絡(luò)安全建設(shè)思路探討

4.1  基于業(yè)務(wù)的安全評(píng)估

全面、系統(tǒng)地分析業(yè)務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)，能很好的為設(shè)計(jì)符合業(yè)務(wù)特點(diǎn)的安全方案打下良好基礎(chǔ)。調(diào)研是安全評(píng)估的基礎(chǔ)，那么如何基于業(yè)務(wù)需求來開展調(diào)研呢？

首先準(zhǔn)確、全面的把握評(píng)估的目標(biāo)業(yè)務(wù)是什么，這需要站在企業(yè)組織的業(yè)務(wù)使命、業(yè)務(wù)戰(zhàn)略的高度，了解業(yè)務(wù)，了解達(dá)成或?qū)崿F(xiàn)業(yè)務(wù)戰(zhàn)略的一系列的業(yè)務(wù)流程，以及與業(yè)務(wù)流程正常實(shí)現(xiàn)、運(yùn)作的相關(guān)IT系統(tǒng)，并了解組織的未來發(fā)展、規(guī)劃情況，以全面、有效地把握業(yè)務(wù)現(xiàn)狀、業(yè)務(wù)發(fā)展情況。

其次，從管理角度對(duì)企業(yè)組織結(jié)構(gòu)、部門及崗位職責(zé)、人員配置情況進(jìn)行了解，再根據(jù)部門職責(zé)，了解其管理制度、流程，并分析貫穿管理體系及具體管理流程的管控措施設(shè)計(jì)及落實(shí)情況，并與既定規(guī)范標(biāo)準(zhǔn)、規(guī)范相比較，分析存在的差距與不足。

再次，從技術(shù)角度充分、準(zhǔn)確的把握IT系統(tǒng)對(duì)業(yè)務(wù)流程的支持、承載情況，了解系統(tǒng)承擔(dān)的業(yè)務(wù)使命和業(yè)務(wù)功能（和管理控制功能），了解系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用結(jié)構(gòu)，明確人員及訪問方式，根據(jù)業(yè)務(wù)功能梳理和刻畫IT流程，了解、分析貫穿IT流程數(shù)據(jù)處理活動(dòng)，并對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行分析歸納信息安全威脅、安全風(fēng)險(xiǎn)和安全需求，分析現(xiàn)有安全措施對(duì)安全需求匹配程度，評(píng)價(jià)保證等級(jí)和能力。

最后，對(duì)管理和IT系統(tǒng)調(diào)研結(jié)果進(jìn)行匯總、分析，形成基于業(yè)務(wù)的安全評(píng)估報(bào)告，使整體安全建設(shè)能基于業(yè)務(wù)需求為出發(fā)點(diǎn)，為后續(xù)的安全建設(shè)提供指導(dǎo)依據(jù)。

4.2  業(yè)務(wù)系統(tǒng)安全承載

移動(dòng)網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)利用IP承載網(wǎng)進(jìn)行承載，在IP承載網(wǎng)上為每個(gè)業(yè)務(wù)系統(tǒng)分配單獨(dú)的VPN通道，對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了隔離承載，避免業(yè)務(wù)系統(tǒng)之間互相干擾。業(yè)務(wù)系統(tǒng)安全承載面臨的最大風(fēng)險(xiǎn)是大流量沖擊和大規(guī)模的DDoS攻擊。對(duì)于DDoS攻擊的防護(hù)可以通過在承載網(wǎng)部署流量分析系統(tǒng)和異常流量清洗系統(tǒng)對(duì)大規(guī)模攻擊行為進(jìn)行監(jiān)控。對(duì)于大流量沖擊可以利用深度包檢測(cè)系統(tǒng)對(duì)業(yè)務(wù)流進(jìn)行識(shí)別和控制。

4.3  安全域劃分和邊界整合

業(yè)務(wù)網(wǎng)、核心網(wǎng)、互聯(lián)網(wǎng)、支撐系統(tǒng)、第三方接入系統(tǒng)等系統(tǒng)之間具有網(wǎng)絡(luò)互聯(lián)和數(shù)據(jù)交換，如何保障系統(tǒng)之間的安全隔離，降低安全風(fēng)險(xiǎn)影響的范圍，可以通過劃分安全域及邊界整合的方式進(jìn)行控制。針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的特性可以將業(yè)務(wù)系統(tǒng)劃分以下為四類主要的安全域：核心數(shù)據(jù)域、內(nèi)部互聯(lián)接口域、互聯(lián)網(wǎng)接口域和網(wǎng)絡(luò)交換域等。

核心數(shù)據(jù)域：本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)，該業(yè)務(wù)系統(tǒng)中資產(chǎn)價(jià)值最高的設(shè)備如數(shù)據(jù)庫及存儲(chǔ)位于本區(qū)域，外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備。

內(nèi)部互聯(lián)接口域：本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)互聯(lián)，如與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或第三方互聯(lián)的設(shè)備。

互聯(lián)網(wǎng)接口域：本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。

網(wǎng)絡(luò)交換域：負(fù)責(zé)連接核心數(shù)據(jù)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

安全域劃分完成以后，我們會(huì)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)有很多互聯(lián)接口，這通常是由于大多數(shù)業(yè)務(wù)系統(tǒng)都是分期單獨(dú)建設(shè)，為了達(dá)到業(yè)務(wù)系統(tǒng)之間的互聯(lián)互通而造成的。為了降低業(yè)務(wù)系統(tǒng)之間的邊界接口，增加接口的安全可控性，需要通過邊界整合將不同系統(tǒng)的相同類型安全域整合形成大的安全域，比如統(tǒng)一辦公系統(tǒng)的互聯(lián)網(wǎng)邊界、統(tǒng)一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的互聯(lián)網(wǎng)邊界、統(tǒng)一計(jì)費(fèi)系統(tǒng)與網(wǎng)管系統(tǒng)的邊界，以便于安全管理和維護(hù)。

4.4  網(wǎng)元自身的安全建設(shè)

通過安全域的劃分與邊界整合后，實(shí)現(xiàn)了不同類系統(tǒng)之間的隔離，控制了安全風(fēng)險(xiǎn)的影響范圍，下一步就是提高系統(tǒng)中的網(wǎng)元自身的安全。網(wǎng)元自身的安全主要包括兩個(gè)方面：

安全配置：通常是由于配置不當(dāng)或人為的疏忽造成，主要包括了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)有關(guān)人引起的安全脆弱性。

安全漏洞：通常是屬于系統(tǒng)自身的問題引起的安全風(fēng)險(xiǎn)，一般包括了登錄漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯(cuò)誤等，反映了系統(tǒng)自身的安全脆弱性。

安全配置類威脅產(chǎn)生的主要原因在于移動(dòng)網(wǎng)絡(luò)建設(shè)過程中缺乏一套完善的系統(tǒng)安全配置指導(dǎo)規(guī)范，各系統(tǒng)承建廠商按照各自標(biāo)準(zhǔn)和經(jīng)驗(yàn)進(jìn)行建設(shè)，從而造成同樣的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)配置參差不齊，往往帶來許多安全隱患。為了解決這一問題，我們首先可以制訂標(biāo)準(zhǔn)化一系列的系統(tǒng)安全規(guī)范，包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等設(shè)備、系統(tǒng)的安全配置和漏洞修補(bǔ)規(guī)范。接著對(duì)業(yè)務(wù)網(wǎng)、承載網(wǎng)、支撐網(wǎng)依據(jù)安全規(guī)范進(jìn)行安全整改，對(duì)于新建的系統(tǒng)在割接上線之前進(jìn)行安全測(cè)試，如果不符合安全配置規(guī)范則進(jìn)行相應(yīng)的整改后方可上線運(yùn)行。

4.5  安全技術(shù)防護(hù)手段

在安全評(píng)估的基礎(chǔ)上，基于安全域劃分和邊界整合后，體系化的進(jìn)行安全技術(shù)體系的建設(shè)是提高整體安全性的必要手段。安全管理雖然強(qiáng)調(diào)“七分管理，三分技術(shù)”，但技術(shù)防護(hù)手段不可或缺。在多業(yè)務(wù)環(huán)境中，要統(tǒng)籌考慮不同系統(tǒng)的安全保護(hù)，需要獨(dú)立配置的就獨(dú)立配置，如防病毒 系統(tǒng)的客戶端、關(guān)鍵網(wǎng)段的入侵檢測(cè)；需要集中建設(shè)的要集中建設(shè)，如防火墻、IDS、防病毒的控制端以及賬號(hào)口令管理（AAAA）系統(tǒng)、域管理系統(tǒng)等，避免分系統(tǒng)進(jìn)行安全建設(shè)帶來的投資浪費(fèi)、管理困難、效益低下的問題。同時(shí)，在信息安全領(lǐng)域，目前的攻擊手法已經(jīng)融合了多種技術(shù)，比如蠕蟲融合了緩沖區(qū)溢出、網(wǎng)絡(luò)掃描和病毒感染技術(shù)，如果依賴于安全產(chǎn)品的孤軍作戰(zhàn)，就無法有效地查殺病毒、無法阻止病毒的傳播。

安全技術(shù)控制措施多種多樣，并且在不斷的演化與發(fā)展，使得企業(yè)時(shí)常會(huì)感到困擾，很難清晰了解適合自身安全需求的模塊有哪些，其實(shí)只需將這些技術(shù)模塊進(jìn)行合理的歸類，并與企業(yè)的不同保護(hù)階段的要求相對(duì)應(yīng)，就能夠清晰了解并進(jìn)行合理的規(guī)劃選擇。 

圖 安全技術(shù)及控制措施

在安全技術(shù)體系中，將多種安全技術(shù)相結(jié)合，首先從技術(shù)體系劃分上，各類安全技術(shù)控制模塊可以被分為7個(gè)大類：準(zhǔn)備、預(yù)防、檢測(cè)、保護(hù)、響應(yīng)、監(jiān)控、評(píng)價(jià)等，在整個(gè)安全系統(tǒng)運(yùn)轉(zhuǎn)中，各司其職。進(jìn)而結(jié)合階段性維度，根據(jù)不同業(yè)務(wù)系統(tǒng)的特點(diǎn)，分解到“基本保護(hù)階段”、“中度保護(hù)階段”、“深度保護(hù)階段”，從而明確劃分了技術(shù)手段的同時(shí)，也針對(duì)不同建設(shè)的階段需求，提供有計(jì)劃的、持續(xù)深入的技術(shù)保護(hù)。

4.6  安全管理建設(shè)

安全管理建設(shè)包括組織、流程、制度等方面的內(nèi)容，建立專職的安全隊(duì)伍，從事具體的安全工作，在集團(tuán)層面設(shè)置安全主管機(jī)構(gòu)，各省級(jí)公司設(shè)置專職的安全部門和安全專員員。結(jié)合電信運(yùn)營(yíng)商的運(yùn)維體系，梳理安全工作流程，將安全工作體現(xiàn)在網(wǎng)絡(luò)與信息系統(tǒng)生命周期中的規(guī)劃、設(shè)計(jì)、開發(fā)等各個(gè)階段，保證安全工作的最終落地。

遵循和參考國(guó)際國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)、國(guó)家法律法規(guī)和行業(yè)規(guī)范的基礎(chǔ)上，闡述安全管理體系建設(shè)的目的、適用范圍、安全定義、體系結(jié)構(gòu)、安全原則、關(guān)鍵性成功因素和聲明等內(nèi)容，在技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。完善安全管理制度，根據(jù)電信運(yùn)營(yíng)商的業(yè)務(wù)正常運(yùn)行和發(fā)展需求，綜合各方面的有關(guān)要求，提出公司的信息安全策略、方針，對(duì)信息安全保障體系建設(shè)和完善提供指引。

五.  移動(dòng)網(wǎng)絡(luò)安全建設(shè)實(shí)踐

目前運(yùn)營(yíng)商移動(dòng)網(wǎng)絡(luò)的建設(shè)正如火如荼，市場(chǎng)營(yíng)銷部門緊迫的希望將業(yè)務(wù)盡早推向市場(chǎng)，可是在業(yè)務(wù)和網(wǎng)絡(luò)建設(shè)過程中也不可忽視安全方面的建設(shè)，在系統(tǒng)規(guī)劃和建設(shè)階段同步考慮安全問題可以很大程度上降低系統(tǒng)上線后的整體安全風(fēng)險(xiǎn)和運(yùn)維成本。    

為了保障業(yè)務(wù)的平穩(wěn)安全運(yùn)營(yíng)，電信運(yùn)營(yíng)商開展了大量的安全建設(shè)，下面我們介紹一下某運(yùn)營(yíng)商移動(dòng)網(wǎng)絡(luò)建設(shè)的思路。該運(yùn)營(yíng)商在接收移動(dòng)網(wǎng)絡(luò)以后展開了大量的業(yè)務(wù)系統(tǒng)的擴(kuò)容建設(shè)工作，對(duì)業(yè)務(wù)系統(tǒng)的承載網(wǎng)絡(luò)實(shí)現(xiàn)了割接，利用單一IP承載網(wǎng)實(shí)現(xiàn)多個(gè)業(yè)務(wù)系統(tǒng)的承載，利用VPN隧道將多個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行隔離。安全建設(shè)工作與網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的建設(shè)同步開展，安全建設(shè)的首要工作是安全評(píng)估，通過評(píng)估了解網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全狀況，評(píng)估主要內(nèi)容包括：識(shí)別關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)流程；通過技術(shù)手段、調(diào)研訪談等形式識(shí)別系統(tǒng)所存在的各種技術(shù)、管理以及架構(gòu)上的脆弱性，從而識(shí)別可能被各種威脅源利用的弱點(diǎn)；在脆弱性識(shí)別和分析的基礎(chǔ)上，對(duì)可能面臨的威脅進(jìn)行可能性分析；分析業(yè)務(wù)和信息資產(chǎn)遭到破壞后所造成的影響。在安全評(píng)估的基礎(chǔ)上，對(duì)業(yè)務(wù)網(wǎng)和支撐網(wǎng)進(jìn)行安全域劃分和邊界整合，并且利用相應(yīng)的安全技術(shù)防護(hù)手段進(jìn)一步增強(qiáng)系統(tǒng)的安全性。

“專攻術(shù)業(yè)，成就所托”。綠盟科技一直以“巨人背后的專家”為己任，致力于網(wǎng)絡(luò)安全事業(yè)，經(jīng)過幾年的快速發(fā)展，已成長(zhǎng)為面向國(guó)際市場(chǎng)的網(wǎng)絡(luò)安全解決方案供應(yīng)商。成立至今已先后發(fā)現(xiàn)Microsoft、Sun、Cisco 等廠商的系統(tǒng)漏洞達(dá)40余個(gè)，建立并維護(hù)著全球最大的中文漏洞庫（已經(jīng)成為業(yè)界廣泛參考的標(biāo)準(zhǔn)）。專注于多個(gè)安全領(lǐng)域進(jìn)行了深入的基礎(chǔ)性研究，并大量應(yīng)用于安全產(chǎn)品的研發(fā)和安全服務(wù)的提供中，在多項(xiàng)權(quán)威機(jī)構(gòu)測(cè)試和用戶評(píng)選中獲得高度評(píng)價(jià)和認(rèn)同。我們相信，憑借長(zhǎng)期的安全研究積累、對(duì)行業(yè)的深刻理解、成熟的安全產(chǎn)品、持續(xù)的安全服務(wù)經(jīng)驗(yàn)?zāi)軌驗(yàn)檫\(yùn)營(yíng)商的安全建設(shè)提供值得信賴的安全保障。同時(shí)，我們也希望能繼續(xù)保持與運(yùn)營(yíng)商在網(wǎng)絡(luò)安全方面的長(zhǎng)期合作，共同為電信的網(wǎng)絡(luò)安全事業(yè)貢獻(xiàn)力量。