張濱

（中國(guó)移動(dòng)通信集團(tuán)公司，北京 100032）

張 濱 高級(jí)工程師，現(xiàn)任中國(guó)移動(dòng)通信集團(tuán)公司信息安全管理部副總經(jīng)理。清華大學(xué)無(wú)線電系畢業(yè)，曾擔(dān)任江西省移動(dòng)通信局副局長(zhǎng)，中國(guó)移動(dòng)通信集團(tuán)公司計(jì)劃部、管理信息系統(tǒng)部副總經(jīng)理，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)信息中心副主任。長(zhǎng)期從事通信網(wǎng)規(guī)劃建設(shè)、信息化推進(jìn)、信息安全管理工作，參與了中央企業(yè)信息化政策措施研究，組織了中國(guó)移動(dòng)ERP項(xiàng)目的實(shí)施，在通信、互聯(lián)網(wǎng)、信息化和信息安全領(lǐng)域有較深入的研究。

移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的迅速發(fā)展，極大地促進(jìn)了社會(huì)發(fā)展、經(jīng)濟(jì)繁榮、人民生活水平的提高，通信網(wǎng)的基礎(chǔ)性、社會(huì)性、全局性地位日益凸顯。當(dāng)前，互聯(lián)網(wǎng)已經(jīng)滲透到金融、商貿(mào)、交通及通信等各個(gè)領(lǐng)域，整個(gè)國(guó)家的民用和軍用基礎(chǔ)設(shè)施都愈加依賴(lài)互聯(lián)網(wǎng)，網(wǎng)絡(luò)已經(jīng)成為政治、經(jīng)濟(jì)、文化和軍事活動(dòng)的中心。在“2008俄格戰(zhàn)爭(zhēng)”、“2009伊朗大選”等國(guó)際事件中，網(wǎng)絡(luò)戰(zhàn)、信息戰(zhàn)的全面運(yùn)用，充分說(shuō)明了信息安全已經(jīng)上升到國(guó)家高度，直接關(guān)系到國(guó)家安全。

近年來(lái)，內(nèi)外部信息安全形勢(shì)日益嚴(yán)峻，一些較大級(jí)別的信息安全事件逐漸增多，安全風(fēng)險(xiǎn)繼續(xù)處于高危水平。病毒樣本和木馬數(shù)量急劇增長(zhǎng)，網(wǎng)絡(luò)攻擊和網(wǎng)頁(yè)篡改事件頻繁發(fā)生，用戶(hù)密碼、賬號(hào)被盜比例已上升到安全事件的第一位（27%）。2010年發(fā)生多起黑客DoS攻擊事件，造成運(yùn)營(yíng)商域名系統(tǒng)癱瘓從而導(dǎo)致大范圍斷網(wǎng)。網(wǎng)絡(luò)詐騙、客戶(hù)信息盜用、垃圾短信和手機(jī)色情等事件頻頻曝光，社會(huì)影響力和關(guān)注度已達(dá)到前所未有的高度。種種事件表明，信息安全直接關(guān)系到經(jīng)濟(jì)和社會(huì)的穩(wěn)定，各類(lèi)信息安全事件直接影響到企業(yè)的聲譽(yù)和正常業(yè)務(wù)運(yùn)營(yíng)。

我國(guó)信息安全面臨的嚴(yán)峻形勢(shì)，究其原因主要表現(xiàn)為信息安全意識(shí)不強(qiáng)，安全技術(shù)相對(duì)落后，安全防范措施比較薄弱。對(duì)此，我們必須在思想上高度重視，努力加強(qiáng)信息安全體系建設(shè)，強(qiáng)化落實(shí)各項(xiàng)工作，切實(shí)提高信息安全整體水平。

1 信息安全工作目標(biāo)

隨著傳統(tǒng)網(wǎng)絡(luò)IP化、設(shè)備實(shí)現(xiàn)軟件化、3G業(yè)務(wù)等新技術(shù)新形式的出現(xiàn)，電信網(wǎng)、互聯(lián)網(wǎng)和重要信息系統(tǒng)面臨的安全形勢(shì)愈發(fā)嚴(yán)峻，信息安全事件包羅萬(wàn)象。面對(duì)當(dāng)前形勢(shì)，中國(guó)移動(dòng)充分認(rèn)識(shí)到信息安全內(nèi)容的復(fù)雜性、任務(wù)的艱巨性和過(guò)程的長(zhǎng)期性，從自身實(shí)際情況出發(fā)建立起一套“3S”信息安全管理體系。目標(biāo)是能夠覆蓋信息安全的各個(gè)領(lǐng)域，能夠按照需求的變化不斷提升安全指導(dǎo)能力，同時(shí)能夠兼顧長(zhǎng)期目標(biāo)與短期落地的順利結(jié)合。

“3S”信息安全管理體系圍繞“Scope”目標(biāo)指引、“Support”實(shí)施框架和“Solution”實(shí)施計(jì)劃3個(gè)環(huán)節(jié)依次展開(kāi)。如圖1所示。

在“3S”信息安全管理體系中，“目標(biāo)指引”作為信息安全工作的長(zhǎng)期指導(dǎo)體系，用于信息安全的長(zhǎng)期愿景制定、安全領(lǐng)域界定和理念指導(dǎo)，從戰(zhàn)略的角度幫助中國(guó)移動(dòng)建立信息安全發(fā)展規(guī)劃。在目標(biāo)指引的指導(dǎo)下，通過(guò)信息安全“實(shí)施框架”具體落實(shí)各項(xiàng)工作，建立起整套的信息安全管理機(jī)制、執(zhí)行體系和支撐體系。實(shí)施框架借助各項(xiàng)“實(shí)施計(jì)劃”，通過(guò)分期規(guī)劃，制定信息安全的近期目標(biāo)、工作任務(wù)和主要工作，逐步實(shí)現(xiàn)信息安全工作的目標(biāo)指引。三者依次指引、相互推動(dòng)，螺旋式推進(jìn)信息安全工作，最終實(shí)現(xiàn)“量變到質(zhì)變”的飛躍。

在構(gòu)建“3S”信息安全管理體系過(guò)程中，中國(guó)移動(dòng)根據(jù)當(dāng)前信息安全形勢(shì)和國(guó)家監(jiān)管部門(mén)的具體要求，通過(guò)對(duì)X.805、ISF、ISO 27002等信息安全標(biāo)準(zhǔn)規(guī)范、國(guó)外最佳實(shí)踐和當(dāng)前行業(yè)環(huán)境進(jìn)行分析，明確了信息安全工作的指導(dǎo)理念、涉及領(lǐng)域和管控支撐體系，為國(guó)際一流信息安全體系奠定了目標(biāo)基礎(chǔ)。

中國(guó)移動(dòng)把“構(gòu)建國(guó)際一流信息安全體系，承擔(dān)中國(guó)移動(dòng)企業(yè)社會(huì)責(zé)任”作為信息安全工作的長(zhǎng)期發(fā)展愿景，以“以科學(xué)發(fā)展觀為指導(dǎo)，落實(shí)國(guó)家信息化發(fā)展戰(zhàn)略，以安全保發(fā)展，在發(fā)展中求安全，源頭抓起，健全制度，明確責(zé)任，整合資源，同步建設(shè)與網(wǎng)絡(luò)、業(yè)務(wù)、用戶(hù)發(fā)展相適應(yīng)的信息安全管理體系，協(xié)調(diào)各單位全面完成各項(xiàng)信息安全工作任務(wù)”為指導(dǎo)思想，堅(jiān)持“統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理；部門(mén)領(lǐng)導(dǎo)、一崗雙責(zé)；業(yè)務(wù)拓展到哪里、管理覆蓋到哪里；規(guī)劃、建設(shè)、運(yùn)行三同步”四項(xiàng)基本原則，進(jìn)一步完善了信息安全管理工作的指導(dǎo)體系。

在指導(dǎo)體系的指引下，中國(guó)移動(dòng)信息安全工作從安全策略、安全組織、安全技術(shù)、安全運(yùn)營(yíng)4個(gè)維度依次展開(kāi)，并結(jié)合中國(guó)國(guó)情，制定了應(yīng)用安全、內(nèi)容安全、網(wǎng)絡(luò)安全和基礎(chǔ)安全四大信息安全領(lǐng)域。通過(guò)各個(gè)領(lǐng)域的獨(dú)立及配合工作，形成全面覆蓋，立體防護(hù)的安全體系，實(shí)現(xiàn)信息安全管控支撐的可感知、可控制、可管理，全面提升入侵感知能力、事件監(jiān)控處置能力和安全合規(guī)管理能力。

圖1 “3S”信息安全管理體系循環(huán)圖

圖2 中國(guó)移動(dòng)信息安全工作目標(biāo)指引

2 信息安全實(shí)施框架

中國(guó)移動(dòng)信息安全實(shí)施框架以信息安全目標(biāo)指引為重要依據(jù)，從安全工作理念、信息安全領(lǐng)域和管控與支撐3個(gè)維度建立起系統(tǒng)的管理機(jī)制、執(zhí)行體系和業(yè)務(wù)支撐體系。分別解決了信息安全工作開(kāi)展的機(jī)制是什么、需要關(guān)注哪些領(lǐng)域以及為滿(mǎn)足信息安全要求，需要哪些管控支撐等問(wèn)題，切實(shí)做好專(zhuān)崗專(zhuān)責(zé)，協(xié)同負(fù)責(zé)，形成穩(wěn)固的信息安全長(zhǎng)效機(jī)制。

中國(guó)移動(dòng)根據(jù)信息安全工作存在的屬性差異，在制定實(shí)施框架的過(guò)程中，分別從以下3個(gè)角度進(jìn)行具體規(guī)劃。

（1）圍繞責(zé)任制度、人才隊(duì)伍、安全運(yùn)營(yíng)和技術(shù)創(chuàng)新四方面完善管理機(jī)制，建立規(guī)范、高效的管理體系，形成對(duì)業(yè)務(wù)、系統(tǒng)、網(wǎng)絡(luò)安全工作的長(zhǎng)效管理機(jī)制；

（2）加強(qiáng)信息安全前臺(tái)執(zhí)行工作，重點(diǎn)抓好手機(jī)淫穢色情治理、垃圾短信治理、手機(jī)惡意軟件防護(hù)、基礎(chǔ)信息安全保護(hù)四大專(zhuān)項(xiàng)治理工作，建立保障業(yè)務(wù)開(kāi)展的安全執(zhí)行體系，為中國(guó)移動(dòng)的業(yè)務(wù)發(fā)展保駕護(hù)航；

（3）穩(wěn)固信息安全后臺(tái)保障工作，培育安全評(píng)估、安全測(cè)試、監(jiān)控響應(yīng)、合規(guī)管理、協(xié)同工作、監(jiān)督考核六大能力，建立信息安全工作服務(wù)于管控手段，形成可感知、可控制、可管理的支撐體系。

3 創(chuàng)造性運(yùn)用“柵欄模式”，全面建立信息安全體系

中國(guó)移動(dòng)遵循信息安全的合規(guī)要求，認(rèn)真落實(shí)工信部信息安全責(zé)任制，創(chuàng)造性的運(yùn)用“柵欄模式”的管理方式，以“責(zé)任共擔(dān)，齊抓共管”為指導(dǎo)思想，從“人盯人”到“打聯(lián)防”，螺旋式的持續(xù)推進(jìn)信息安全管理工作。

圖3 中國(guó)移動(dòng)信息安全工作實(shí)施框架

“柵欄模式”是中國(guó)移動(dòng)特有的信息安全管理模式，對(duì)完善各項(xiàng)信息安全管理工作，提升國(guó)內(nèi)信息安全整體水平具有重要的歷史意義和現(xiàn)實(shí)意義?！皷艡谀Ｊ健笔且浴皹I(yè)務(wù)流程”為柵，以“信息安全管理責(zé)任、制度建設(shè)、技術(shù)手段建設(shè)”為欄，以“規(guī)劃、服務(wù)、管控、改進(jìn)”為樁，推動(dòng)業(yè)務(wù)流程和信息安全責(zé)任相結(jié)合，與業(yè)務(wù)制度相結(jié)合，并配套以相應(yīng)的技術(shù)手段，通過(guò)不斷細(xì)化，完善各流程環(huán)節(jié)的信息安全責(zé)任為端口，持續(xù)的推進(jìn)信息安全管理。

3.1 建立信息安全責(zé)任管理體系，做到“事有人管”

以策略、組織、運(yùn)營(yíng)、技術(shù)為“欄”，通過(guò)建立信息安全責(zé)任制和加強(qiáng)技術(shù)手段建設(shè)，做到“事有人管”。

具體措施表現(xiàn)為：在安全策略上，加強(qiáng)安全規(guī)范、制度、要求等安全策略的制定，統(tǒng)一管理，提高管理效率；在安全組織上，通過(guò)安全責(zé)任矩陣明確責(zé)任，實(shí)現(xiàn)一崗雙責(zé)，為“事有人管”奠定基礎(chǔ)；在安全運(yùn)營(yíng)上，規(guī)范安全管理流程，做到“三個(gè)同步”，即同步規(guī)劃，同步建設(shè)，同步運(yùn)行；在安全技術(shù)上，加強(qiáng)基礎(chǔ)型安全技術(shù)平臺(tái)，規(guī)范技術(shù)平臺(tái)規(guī)劃建設(shè)，實(shí)現(xiàn)平臺(tái)的一致性和可整合性。

3.2 落實(shí)信息安全執(zhí)行管理體系，做到“大事做好”

以安全項(xiàng)目為“柵”，分領(lǐng)域?qū)嵤?，在統(tǒng)籌規(guī)劃的基礎(chǔ)上，與業(yè)務(wù)部門(mén)一起細(xì)化，完善管理職能，優(yōu)化技術(shù)手段，加強(qiáng)監(jiān)督，保證“大事做好”。

具體措施表現(xiàn)為：在4大安全領(lǐng)域，基于“信息安全管理實(shí)施框架”，柵欄管理模式將工作內(nèi)容分為：應(yīng)用安全、內(nèi)容安全、網(wǎng)絡(luò)安全和基礎(chǔ)安全四部分。在安全項(xiàng)目的選擇上：每年選擇最重要的安全項(xiàng)目在各領(lǐng)域建設(shè)，加強(qiáng)與現(xiàn)有管理體系（“欄”）的承載，通過(guò)加大“柵”的密度，不斷提升信息安全能力。在安全項(xiàng)目方面，要與現(xiàn)有的規(guī)范、流程、責(zé)任和支撐體系相融合，實(shí)現(xiàn)“柵”與“欄”的完美固定。

3.3 打造信息安全支撐管理體系，做到“事事做好”

以規(guī)劃、服務(wù)、管控、改進(jìn)作為基礎(chǔ)，形成閉環(huán)管理，實(shí)現(xiàn)對(duì)安全工作進(jìn)行整體規(guī)劃、為業(yè)務(wù)部門(mén)開(kāi)展的安全工作提供支撐服務(wù)、對(duì)安全工作進(jìn)行管控、對(duì)新需求和安全管理提升進(jìn)行推動(dòng)。

通過(guò)堅(jiān)持和開(kāi)展流程優(yōu)化和完善運(yùn)營(yíng)工作，加強(qiáng)手段建設(shè)提高安全管理支撐能力，螺旋式持續(xù)提升信息安全優(yōu)勢(shì)，支持中國(guó)移動(dòng)的可持續(xù)發(fā)展。

4 信息安全工作實(shí)踐

圖4 “柵欄模式”：建立“欄”

圖5 “柵欄模式”：夯實(shí)“欄”

圖6 “柵欄模式”：打好“欄”

中國(guó)移動(dòng)在“3S”信息安全管理體系的指導(dǎo)下，創(chuàng)造性的依托“柵欄模式”， 通過(guò)強(qiáng)化管理機(jī)制、執(zhí)行體系和支撐體系，對(duì)客戶(hù)信息保護(hù)、手機(jī)淫穢色情治理、垃圾短信治理和手機(jī)病毒防護(hù)等各項(xiàng)工作進(jìn)行重點(diǎn)規(guī)劃，全面落實(shí)，各項(xiàng)工作均取得了顯著的成效。

以“打擊手機(jī)淫穢色情專(zhuān)項(xiàng)行動(dòng)”為例，中國(guó)移動(dòng)從集團(tuán)公司到各省公司，全力配合相關(guān)監(jiān)管部門(mén)，做好各項(xiàng)指標(biāo)考核工作。依托不良信息監(jiān)測(cè)系統(tǒng)和北京、上海、廣東3大撥測(cè)中心的人工審核團(tuán)隊(duì)，從投訴、時(shí)長(zhǎng)、治理效果等各方面進(jìn)一步完善手機(jī)淫穢色情治理考核指標(biāo)體系，加強(qiáng)“欄”的安全規(guī)范建設(shè)。同時(shí)，組織開(kāi)展第三方評(píng)估測(cè)試，建立責(zé)任追究制度，具體落實(shí)“欄”責(zé)任矩陣。通過(guò)對(duì)現(xiàn)有不良信息過(guò)濾技術(shù)進(jìn)行研究，提出優(yōu)化改進(jìn)建議；推動(dòng)不良信息監(jiān)測(cè)系統(tǒng)、上網(wǎng)日志留存系統(tǒng)的建設(shè)，提高不良信息發(fā)現(xiàn)和封堵的稽查能力；利用ROCM平臺(tái)開(kāi)展不良網(wǎng)站封堵有效性驗(yàn)證，實(shí)現(xiàn)管理閉環(huán)等途徑，從技術(shù)層面上強(qiáng)化“欄”的技術(shù)保障，實(shí)現(xiàn)平臺(tái)的一致性和可整合性。

在建立“欄”的基礎(chǔ)上，夯實(shí)手機(jī)淫穢色情治理的“柵”。在前期專(zhuān)項(xiàng)行動(dòng)工作基礎(chǔ)上，進(jìn)一步改進(jìn)客戶(hù)舉報(bào)受理、不良信息處理等流程，確保舉報(bào)渠道暢通，同時(shí)對(duì)現(xiàn)有業(yè)務(wù)開(kāi)展梳理，研究并解決存在的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)“柵”的穩(wěn)固。

通過(guò)細(xì)化“欄”、夯實(shí)“柵”，“柵”與“欄”彼此支撐，相互配合，中國(guó)移動(dòng)手機(jī)淫穢色情治理工作取得了顯著成效。僅2011年上半年，我公司查獲并封堵淫穢色情網(wǎng)站310952個(gè)域名，較去年全年增長(zhǎng)278%；不良網(wǎng)站判定平均時(shí)由41min，縮短到17min，提升效果明顯；開(kāi)啟ROCM平臺(tái)每日域名驗(yàn)證功能，目前已累計(jì)驗(yàn)證29萬(wàn)個(gè)等，治理成效得到了上級(jí)主管部門(mén)的充分肯定。

5 結(jié)語(yǔ)

在“十二五”規(guī)劃綱要的指引下，中國(guó)移動(dòng)信息安全管理工作基于信息安全實(shí)施框架，提出了信息安全工作的“三步走”戰(zhàn)略。第一步，2011基礎(chǔ)能力建設(shè)年，積極做到建立信息安全管理體系，夯實(shí)信息安全管理基礎(chǔ)能力。第二步，2012業(yè)務(wù)服務(wù)應(yīng)用年，通過(guò)安全專(zhuān)項(xiàng)工作和常態(tài)化工作強(qiáng)化信息安全對(duì)集團(tuán)業(yè)務(wù)的支撐。第三步，2013綜合能力提升年，推動(dòng)信息安全工作向系統(tǒng)化、規(guī)范化、協(xié)同化發(fā)展，實(shí)現(xiàn)信息安全工作的量化控制。

為實(shí)現(xiàn)這一戰(zhàn)略目標(biāo)，中國(guó)移動(dòng)緊緊圍繞信息安全管理工作發(fā)展思路，通過(guò)不斷完善信息安全管理體系，建立長(zhǎng)效工作機(jī)制、堅(jiān)持技術(shù)創(chuàng)新，探索新領(lǐng)域，強(qiáng)化信息安全技術(shù)優(yōu)勢(shì)和承擔(dān)社會(huì)責(zé)任，強(qiáng)化合規(guī)管理，保障公司可持續(xù)發(fā)展等3大重點(diǎn)舉措，將信息安全工作思路落實(shí)到信息安全日常工作行動(dòng)上來(lái)。

面對(duì)復(fù)雜的信息安全形勢(shì)，在信息安全工作發(fā)展思路的指導(dǎo)下，加強(qiáng)信息安全管理工作具有重要的歷史意義。它是弘揚(yáng)先進(jìn)文化、傳播正確輿論思想、維護(hù)客戶(hù)合法權(quán)益的根本需要，也是實(shí)現(xiàn)中國(guó)特色社會(huì)主義長(zhǎng)治久安和中國(guó)移動(dòng)可持續(xù)發(fā)展的重要保障。

肩負(fù)著歷史的重任，中國(guó)移動(dòng)信息安全工作將繼續(xù)圍繞“3S”信息安全體系這個(gè)核心，全面落實(shí)管理責(zé)任，全力構(gòu)筑防護(hù)“柵欄”，堅(jiān)持職能化、規(guī)范化、職業(yè)化、系統(tǒng)化、服務(wù)化，逐步建立具有自主創(chuàng)新能力和拓展能力的國(guó)際一流信息安全體系，努力維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和客戶(hù)合法權(quán)益，切實(shí)履行國(guó)有骨干企業(yè)的社會(huì)責(zé)任。