演讲主题：以创新迎接电信网络安全管理工作新挑战

演讲内容：中国移动网络部网络安全处副经理 周 智

各位来宾、各位同仁，早上好，很高兴有机会代表中国移动通信集团公司在这里介绍我们的一些工作经验或者说是一些需求。分三个方面，首先简单回顾一下当前电信网络安全管理工作所面临的重要挑战，接下来对过去几年以来中国移动安全工作的一些重要阶段、进展情况、其中的一些关键问题做一个总结、分析，最后针对赵司长还有在座的部领导都提到的一个问题，即如何落实安全管理责任，讲一下我们的一些考虑，和大家分享。

从安全威胁发展趋势来说，对电信网络最大的挑战，我们理解就是网络IP化。传统来讲，除了我们的互联网和数据业务系统之外，其它系统是非常封闭的，就是说一般的黑客可能不具备这样的一些知识去攻击网络，另外也很难有一些接入点，IP化时代情况完全不同了。

第二个就是业务开放，中国移动与SP建立了产业联盟，形成了价值链，在紧密合作同时也会引入一些新的安全问题。最后是终端的智能化，现在已经有很多智能手机，也具备了对电信网络去进行攻击或者影响网络侧的能力。
从网络融合角度来看，电信网络安全管理变得更加复杂。融合的电信网络拓扑中，以IP核心网作为骨干，现在的固网、无线网都作为接入形式，上面承载了各种不同的业务系统。从网络层面上来说，由于IP网络作为核心，它固有的一些安全缺陷必然逐步深入到电信网络的核心。另外，由于逐步地转移到IP网络上面，然后各业务系统之间的相互影响的风险也是越来越大。这样就对传统的分业务进行管理这种模式提出了重大挑战。从业务融合来说呢，应用种类的增加，很多对运营商来讲不可控，会对运营企业的利益、用户的服务质量都会产生严重的影响，所以也需要从业务层面去进行权限帐号管理等方面进行统一的集中的管理，从终端来讲，智能化的终端具备了利用网络漏洞进行攻击的可能，另外还有一个明显的挑战就是现在使用智能终端手机这样的用户是逐步增加，但实际上这些用户拥有的IT知识跟传统的使用电脑的用户的知识是不对等的，这样产生一些问题之后，可能由于他不理解，会对电信网络服务投诉。所以也会影响用户感知。

从外部环境来讲，国家加强了对电信网络安全要求，中办27号文已经发布将近五年的时间了，提出重点保障基础信息网络和重要信息系统安全的要求，信产部从2005年底开始去推动等级化的信息安全保护标准体系制订和试点工作。中国移动作为在美国上市的公司，从2006年开始遵循相关萨班斯要求，2007年，我们有更多的系统需要符合要求，要求的深度也在不断加强，从管理方面提出了很大挑战。

另外，公司发展战略对安全工作也提出了新的要求，一方面中国移动提出了“正德厚生、臻于至善”的核心价值观，我们要关注用户的安全的获取服务，体现电信运营企业的社会责任。另一方面，资本市场对运营企业的要求，要求做到高效，达到国际一流电信运营企业的要求，同时降低成本。

尽管面临这些问题，总体来说中国移动网络安全工作处于比较领先的地位，保障了各项业务的安全。但是我们也看到不同的系统、不同的公司还存在着一些需要解决的问题。

具体来说，我们主要取得了如下的成绩：
初步建立了安全保障体系架构，在2006年第一届峰会论坛，我们也介绍了中国移动安全体系建设方面的一些考虑，应该说体系建设到今年没有什么特别突出的变化。

第二个方面，我们初步建立了较为完整的三级的组织架构，规划了网络与信息安全标准体系及针对我们的管理要求的技术规范、操作层面的技术指南；在日常工作当中，结合SOX审计工作，加强了帐号口令管理、审计、终端结构这些方面的日常维护工作。同时，逐步开展了技术手段的建设工作。

总结来看，2006年之前，中国移动网络安全工作经历了两个比较明显的阶段，第一个是2003年以前，主要是部署了单一的安全手段，跟整个中国网络安全发展阶段一致。第二个阶段，从2003年到2006年，主要是体系化建设阶段，也是一个学习阶段，我们参考了7799系列标准，同时也跟很多国际公司做了比较充分、深入的交流。应该说通过阶段，比较清晰地掌握了国际上较为成熟有效的安全工作思想。

到2006年底，我们也发现，虽然体系建设到达了一个比较稳定的阶段，但是跟安全工作要求相比，还存在非常大的差距，总结起来主要包括以下几个方面：

第一个就是标准看得很多，但是由于内容繁杂，大家对标准之间的关系，它的主要精髓掌握得不是很透彻，可能在灵活运用方面产生困难。另外，对安全工作来说，系统管理人员，实际上也是安全工作执行的主体，由于安全要求不够具体、细致，他不清楚地了解本职岗位上来应该做哪些工作、怎么做；而安全人员也做得很辛苦，所以我们理解，2006年之前我们把安全工作局限在安全专业人员小范围之内，这是最大的问题。

从我们总部来讲，也缺乏对全网的把控和指导，工作流程和工作内容不够具体细化，不够标准化、规范化，会产生每一个人做不同的事儿、有不同的效果的情况。另外制订了一些管理标准、技术规范，由于它的执行程度比较差，也难以取得预期的效果。通过萨班斯审计工作，我们深刻理会，一个可行的控制要求，它必须要明确责任、人员、岗位、方法等各个方面，所以非常认同赵司长刚才关于责任落实与安全工作成效之间关系的讲话。
所以，我们需要根本性的变革，而不是说单纯地去理解国际标准基本思路就能够做好工作。同时，我们认为必须要经过比较艰难的一个阶段，因为这是一项需要推动中国移动30万员工、基本上每个岗位都要去掌握了解具体安全要求并执行的工作。

另外，过去几年我们做的网络层面的安全防护，应该说安全专业服务公司做了大量工作，对我们的帮助非常巨大，但是到今天为止我们看到很多专业服务公司存在同质化倾向，就是在网络层面做安全防护、安全咨询，大家的思路、模式是一样的，但是对业务流程、电信网络特点、特殊性这些方面深入挖掘的不是很多，所以我们也希望今后跟安全专业服务公司一起能够做好这项工作。同时，由于第三方不能也没有机会深入介入运营企业的大部分工作，所以我们还是要确立“以我为主、第三方为辅”的原则。

在具体的变革方面，我们参照了BS7799的风险评估思路、PDCA的工作方法以及它全面阐述的安全管理要点；吸收面向生命周期提出目标控制、成功要求KPI的工作方法，来作为我们后续变革的一个主要方式。具体来说，我们后续工作的总体指导原则就是紧扣电信网络和运营管理特点，寻求可行的落地方法，在体系建设方面寻求突破。一方面我们严格执行信产部、国信办等政府部门的要求，同时贯彻中国移动提出的“集中化、精细化、标准化和精英化”要求，全面实现安全保障体系的落地。第三点就是“以我为主、第三方为辅”的原则。第四个方面，逐步通过对网络层面的安全、技术、流程的标准化，把安全专业人员逐步脱离出来，去关注业务流程层面的安全。
符合电信网络运维特点、实现安全工作落地的方法里面很关键的一点就是梳理安全流程、建立安全工作的主线，把其它安全运行、技术、组织这些方面，通过流程粘合在一起。具体的目标就不阐述了。

此外，还要充分考虑安全工作的特点，“七分管理、三分技术”以及安全工作“全民性”特点，所以，如何体现全民性、做好协作体系，这里面就需要层层落实安全责任。具体的实现方法就是要建立顺畅的安全流程。
在最开始我们提到的挑战当中所讲的电信运营企业业务众多、网络规模庞大、人员比较少的问题，只能通过集中管理来提高安全管理的效率、降低成本。通过精细化的管理，来实现我们的风险管理、实现精细运营，通过标准化来达到全网安全工作水平的一致性。

从实施的技巧来说，流程梳理本身并不是新的东西，它是传统运营工作取得今天成就的一个最核心的原因，所以我们也需要把这一方式引入到新生的安全专业里面来，实现安全工作跟现有电信运维体制完美的结合，成为其中的有机组成部分，将来大多数安全工作在日常工作当中被执行，但系统管理人员可能意识不到这是个安全方面的要求，“融于日常”。

具体的变革方法就是首先要按照BS7799讲到的关键要点，建立相应的流程，通过流程的描述、确定流程各岗位职责和相应的一些关键阶段的考核指标，另外，针对每一个阶段工作需求，制订相应的技术标准、技术指南、操作手册来指导相关人员去实施，最后还要提供相应的技术手段，便于安全管理要求的落地，包括保护业务系统和通信网的安全需求。

具体梳理当中，我们贯彻的就是生命周期的方法，就是从系统规划开始到系统的废弃阶段，把安全工作内容分布到各个环节，这些确定之后，我们根据需要制订技术规范，根据需要来设定相应的管理岗位，事例就不简述了，能够看到，在原有的运维体制当中，在业务开通、变更网络配置这些方面，我们都加入了安全方面的工作内容。
根据流程需要，我们针对服务流程各个环节规划了需要制订的技术规范、标准，这里面我们定义了一个分层的标准，首先是安全总纲，也就是大家所说的安全策略。第二层是管理要求和宏观的安全规范，接下来就是这些技术、手段以及支撑类的相关标准。

最后介绍一下我们在技术防护体系方面的思路，其中很重要的一点就是要结合等级保护、逐步建立安全防护体系。我们认为国家各部委正在推动的基于安全域划分和风险评估的等级保护就是从技术角度解决“复杂巨系统”工作的有效方法之一，通过将复杂的电信网络分解为一些可控制的小单元进行有效管理。结合中国移动安全域划分、设备安全功能、基础性安全手段和安全运行管理平台四层安全技术防护体系架构，以及简化的等级划分和等级防护手段的对应原则。我们可以对全网安全防护方案做到标准化，很容易做到细化规划。

技术防护体系架构包含四个层面，在组网方面首先做到安全域划分和规划，确定边界；对网络、设备、网元层面提出具体的安全功能要求和配置要求；部署基础性的安全防护手段；在最高层次我们建立业界称作“SOC”而我们叫信息安全管理平台的ISMP，我们更加强调ISMP是对整个安全运行工作的技术支撑，而不仅仅是安全事件集中监控为主的手段。

等级防护更多的是强调分系统定级、分系统提安全要求这样的思路，但是在电信企业当中，我们理解，由于业务系统的众多，只能采用集中化的防护方案，就是以局址为最小单元进行综合防护，才能解决问题。局址当中有很多系统，根据系统不同等级要求，对它的边界实行不同程度的防护。在集中管理层面，我们并不区分这些系统间的差异。

我们认为，电信运营企业首先要得到国家法律方面的支持，需要国家主管部门在政策和标准方面的指导，在事件处理等方面的协调，同时也希望跟兄弟公司之间进行协作和经验共享，也离不开我们各安全厂家、设备厂家的大力支持，谢谢大家。