陳龍

摘 要：重大活動期間的信息安全保障是杭州移動信息安全工作中的重要組成部分。近年來，杭州移動在一系列重大活動中，創(chuàng)新提出了“三位一體”信息安全保障體系。該保障體系將航天系統(tǒng)工程與信息安全保障相結(jié)合，推動重大活動保障向常態(tài)化、體系化轉(zhuǎn)變，既滿足重大活動期間系統(tǒng)的可靠運(yùn)行要求，又滿足未來較長時間內(nèi)系統(tǒng)信息安全的需求。

關(guān)鍵詞：信息安全；重大活動保障；動態(tài)預(yù)警；三重防護(hù)

Abstract： Information assurance work during important activities is an important part of the information security work in China Mobile Hangzhou Branch. China Mobile Hangzhou Branch puts forword the Trinity information security system after a series of important activities in recent years. The Trinity information security system combines the space systems sngineering with information security to promote the normalized and systematic information assurance work. It will not only complete the requirement of reliable information system but also meet the demand of information security in a long time of the future.

Key words： information security； security ensuring of important activities； dynamic warning system； triple protection

1 引言

重大活動期間的信息安全保障是杭州移動信息安全工作中的重要組成部分。所謂重大活動是指國家大型活動或在一定區(qū)域內(nèi)舉辦的大型群眾性活動[1]，具有規(guī)格高、影響力大、涉及面廣、參與人數(shù)多等特點(diǎn)，因此保障工作的要求高、標(biāo)準(zhǔn)嚴(yán)、任務(wù)艱巨。尤其是隨著我國國力的逐步增強(qiáng)，越來越多國際化、大規(guī)模、高水平的大型活動在國內(nèi)舉辦。面對重大活動頻繁開展的新形勢、新挑戰(zhàn)，如何進(jìn)一步創(chuàng)新和完善重大活動保障體系，切實解決以往保障工作中存在的各類問題，顯得尤為重要。

2 目的和意義

第一，順應(yīng)信息安全形勢，貫徹落實網(wǎng)絡(luò)安全法規(guī)。2014年，我國成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，因此國家加快了信息安全立法工作。2017年6月正式實施的《網(wǎng)絡(luò)安全法》，明確指出要“建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力”。所以建立新形勢下的信息安全保障體系是當(dāng)前信息安全工作的必然要求。

第二，應(yīng)對更專業(yè)、更廣泛、更快速的網(wǎng)絡(luò)攻擊。隨著大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等技術(shù)的應(yīng)用越來越深入，開放互聯(lián)環(huán)境中的各類系統(tǒng)更加容易遭到網(wǎng)絡(luò)攻擊，黑客入侵、網(wǎng)頁篡改、惡意掛馬等安全事件頻發(fā)。由于網(wǎng)絡(luò)安全技術(shù)的不斷進(jìn)步，攻擊者可以比較容易地利用自動化工具和分布式系統(tǒng)，對一個目標(biāo)系統(tǒng)發(fā)動破壞性的攻擊。有時甚至不僅僅是單一的攻擊行為，而是多種攻擊行為復(fù)合而成，影響面更廣泛，對安全防護(hù)、應(yīng)急響應(yīng)和攻擊溯源都帶來了極大的困難。網(wǎng)絡(luò)攻擊類別從傳統(tǒng)的病毒入侵、掃描攻擊已經(jīng)發(fā)展為更為專業(yè)的APT攻擊，傳統(tǒng)的安全保障機(jī)制已經(jīng)無法駕馭APT攻擊，急迫需要新的技術(shù)、新的體系來解決網(wǎng)絡(luò)攻擊問題。

第三，創(chuàng)新信息安全保障模式，積極應(yīng)對各類風(fēng)險。面對嚴(yán)峻的形勢，信息安全已成為重大活動保障工作的重中之重。但目前業(yè)內(nèi)尚未形成標(biāo)準(zhǔn)、規(guī)范和有效的保障體系，各企業(yè)的信息安全管理內(nèi)容“點(diǎn)多面廣”，實際工作還存在跨部門、跨平臺、跨專業(yè)等問題，所以加快探索切實可行的信息安全保障措施和模式已經(jīng)成為當(dāng)務(wù)之急。

近年來，全國性或地區(qū)性的政治、經(jīng)濟(jì)、文化、體育活動和交流越來越多，并且趨于常態(tài)化開展。以杭州為例，不僅有西博會、休博會、云棲大會、國際動漫節(jié)等一批國內(nèi)外知名的活動，2016年更舉辦了有史以來保障規(guī)格最高、規(guī)模最大的全球性會議G20峰會。2022年還將承辦亞運(yùn)會。隨著重大活動的常態(tài)化開展，運(yùn)營商需要面對高頻次、高負(fù)荷的保障任務(wù)，過去運(yùn)動式、突擊式的保障模式已經(jīng)無法適應(yīng)新的發(fā)展趨勢，信息安全保障工作必須向“制度化、常態(tài)化”轉(zhuǎn)變，進(jìn)一步完善信息安全保障體系，前瞻性地部署重大活動保障能力建設(shè)。

3 “三位一體”信息安全保障體系

近年來，杭州移動在G20峰會、世界互聯(lián)網(wǎng)大會、國際動漫節(jié)、杭州云棲大會等一系列重大活動中，以“通信暢通與網(wǎng)絡(luò)安全并重”為指導(dǎo)理念，以“三零一滿意”（零重大網(wǎng)絡(luò)事故、零重大安全事件、零重大客戶投訴、讓主辦方滿意）為總體目標(biāo)，創(chuàng)新提出了“基于系統(tǒng)工程的航天清單工作法”、“平戰(zhàn)結(jié)合的紅黃藍(lán)動態(tài)預(yù)警體系”、“重大活動保障實施的三重防御體系”的“三位一體”信息安全保障體系，如圖1所示。

該保障體系前瞻性地將航天系統(tǒng)工程與信息安全保障相結(jié)合，結(jié)合國際信息安全解決方案（ISO27001）最佳實踐，推動重大活動保障從運(yùn)動式、被動式向常態(tài)化、體系化轉(zhuǎn)變，既滿足重大活動期間系統(tǒng)保障的信息安全可靠運(yùn)行要求，又滿足未來較長時間內(nèi)平臺信息安全的服務(wù)需求。

3.1 基于系統(tǒng)工程的航天清單工作法

在信息安全保障籌備階段，根據(jù)信息安全保障要求，借鑒航天發(fā)射準(zhǔn)備工作，首創(chuàng)“航天清單銷項工作法”，將信息安全梳理、排查、清理工作分解到末端，實行三級責(zé)任制，逐項落實、銷項確認(rèn)，全面徹底地完成保障任務(wù)。endprint

第一，梳理全景試圖。根據(jù)目前國際上先進(jìn)的信息安全解決方案ISO/IEC27001的信息安全管理體系（ISMS）[3]，結(jié)合國家《信息安全等級保護(hù)管理辦法》的相關(guān)要求，經(jīng)過進(jìn)一步調(diào)研、討論、梳理并歸納了“信息安全威脅全景視圖”，如圖2所示。

全景視圖包括內(nèi)部挑戰(zhàn)、外部威脅兩大方面。其中內(nèi)部挑戰(zhàn)包括資產(chǎn)安全、保密安全、人員安全和渠道管控；外部威脅包括互聯(lián)網(wǎng)內(nèi)容安全、語音電話安全、垃圾信息和偽基站打擊等，涵蓋11個安全管控點(diǎn)。

第二，制定“航天清單”。公司網(wǎng)絡(luò)規(guī)模大、業(yè)務(wù)單元多，風(fēng)險控制難度大，為了確保各風(fēng)險個個擊破，實現(xiàn)360度無縫管控，公司細(xì)分各部門職責(zé)，將每項工作分解到末端工作點(diǎn)，逐項落實工作事項，并實行三級責(zé)任制，如圖3所示。

第三，開展銷項作業(yè)。如圖4所示，對內(nèi)圍繞資產(chǎn)安全、保密安全、人員安全、渠道管理四方面，強(qiáng)化管控手段，確保管控?zé)o盲區(qū)；對外以互聯(lián)網(wǎng)內(nèi)容、語音電話、垃圾短彩信、偽基站打擊為抓手，強(qiáng)化不良信息整治。通過“逐一排查、逐一整治、逐一銷項”，將所有風(fēng)險逐一銷項或有效控制。

第四，閉環(huán)跟蹤反饋。監(jiān)控信息安全各保障點(diǎn)及保障內(nèi)容，實施閉環(huán)跟蹤。對每項工作設(shè)定關(guān)鍵目標(biāo)，明確達(dá)成標(biāo)準(zhǔn)，制定關(guān)鍵舉措，落實每個細(xì)項責(zé)任到人。根據(jù)清單全面落實，每天跟進(jìn)落實情況，根據(jù)時間進(jìn)度逐一銷項，并進(jìn)行每項工作的銷項確認(rèn)審核。

審核不通過的情況，將再次發(fā)送進(jìn)行整改，直至符合保障要求為止。針對符合要求的工作清單細(xì)項，完全銷項后三級責(zé)任人簽字確認(rèn)：實際操作人確認(rèn)完成情況，上級主管復(fù)核完成內(nèi)容，部門負(fù)責(zé)人審核確認(rèn)。

3.2 平戰(zhàn)結(jié)合的“紅黃藍(lán)”動態(tài)預(yù)警體系

杭州移動依照《信息系統(tǒng)安全等級保護(hù)基本要求》，根據(jù)對象受到破壞時所侵害的客體和對客體造成侵害的程度，將信息安全問題劃分為“紅黃藍(lán)”三類，制定監(jiān)控制度，在專業(yè)安全團(tuán)隊支撐的基礎(chǔ)上，定期進(jìn)行掃描或監(jiān)測。當(dāng)問題發(fā)現(xiàn)或者發(fā)生時，根據(jù)“安全事件分級”，對責(zé)任部門和人員發(fā)布安全預(yù)警報告，要求在規(guī)定時間內(nèi)響應(yīng)修復(fù)完畢。同時，在整改修復(fù)完成后，提交專業(yè)團(tuán)隊進(jìn)行復(fù)核驗證，確保徹底解決安全隱患。

3.2.1 紅黃藍(lán)預(yù)警事件分級標(biāo)準(zhǔn)

通過差異化區(qū)分預(yù)處理，做好具體問題差別應(yīng)對，有利于更好更快地解決問題，讓各個專業(yè)管理部門抓住重點(diǎn)。依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息安全事件分類分級指南》，事件分級標(biāo)準(zhǔn)如表1所示。

3.2.2 紅黃藍(lán)預(yù)警系統(tǒng)工作流程

紅黃藍(lán)預(yù)警系統(tǒng)工作流程如圖5所示，發(fā)現(xiàn)問題后，通過大數(shù)據(jù)分析平臺分析判斷是否為安全事件，如果不是安全事件就忽略，如果是安全事件，那就通過工單系統(tǒng)發(fā)放預(yù)警牌讓相關(guān)責(zé)任人去處理問題，解決問題后，驗證是否已經(jīng)解決，通過就預(yù)警結(jié)束，沒有通過繼續(xù)發(fā)放預(yù)警牌，直到問題解決完為止。

3.3 重大活動保障實施的三重防護(hù)體系

重大活動保障實施的三重防護(hù)，根據(jù)信息安全保障體系框架（IATF）的基本思路，結(jié)合會議保障的要求和特點(diǎn)，以管理、技術(shù)、內(nèi)容為核心實施三重防護(hù)，充分確保三者融合與協(xié)同，從而確保活動保障的有序開展。

首先，在保障管理方面，建立信息安全三級聯(lián)動保障團(tuán)隊。

在保障決戰(zhàn)時刻，設(shè)立指揮中心，以公司管理層、部門經(jīng)理、保障組成員，根據(jù)四個職障范圍“營業(yè)廳、網(wǎng)絡(luò)、政企、系統(tǒng)”組成三級保障聯(lián)動機(jī)制，全面開展保障工作。如圖6所示，以G2O峰會信息安全保障為例，專項組建G2O信息安全保障聯(lián)動團(tuán)隊。

其次，在保障技術(shù)方面，實現(xiàn)“防篡改、云監(jiān)控、防攻擊”的一體化。整合專家團(tuán)隊資源，通過“防篡改、云監(jiān)測、防攻擊”的一體化，設(shè)置三個監(jiān)控中心，實現(xiàn)三重專業(yè)防護(hù)、快速修復(fù)和緊急處置。

“防篡改”主要是通過部署防篡改系統(tǒng)進(jìn)行篡改行為監(jiān)測，提供實時的對掛馬、網(wǎng)頁篡改、網(wǎng)頁敏感內(nèi)容和網(wǎng)站平穩(wěn)度的監(jiān)測。根據(jù)不同網(wǎng)站的關(guān)注度，配置不同的監(jiān)測策略，再根據(jù)網(wǎng)站中不同頁面的重要程度，設(shè)置關(guān)鍵頁面，并配置對關(guān)鍵頁面進(jìn)行一定頻率的監(jiān)測。實現(xiàn)了多維度、不同粒度的風(fēng)險監(jiān)測[4]。

“云監(jiān)控”主要是通過綠盟的云端監(jiān)測系統(tǒng)享受7×24小時的遠(yuǎn)程網(wǎng)站安全監(jiān)測服務(wù)。一旦發(fā)現(xiàn)被監(jiān)測網(wǎng)站存在風(fēng)險狀況，云端安全技術(shù)團(tuán)隊會第一時間通知系統(tǒng)管理員，并提供專業(yè)的安全解決建議。除此之外，云端安全專家團(tuán)隊會定期為杭州移動出具周期性的綜合評估報告，從而整體掌握網(wǎng)站的風(fēng)險狀況及安全趨勢。

“防攻擊”一方面是前期通過漏洞掃描器等工具對杭州移動的資產(chǎn)進(jìn)行全面的漏洞掃描，根據(jù)掃描結(jié)果，開展準(zhǔn)確、快速的漏洞修復(fù)工作。如果遇到漏洞無法修復(fù)的服務(wù)器，則通過部署相應(yīng)的安全能力進(jìn)行防護(hù)。另一方面是防DDOS攻擊，通過部署云清洗平臺，一旦出現(xiàn)DDOS攻擊，可以通過手機(jī)端APP進(jìn)行自助清洗DDOS。

3.4 三級保障，六大場景

根據(jù)會議保障區(qū)域及重點(diǎn)企業(yè)、單位保障范圍，劃分三級保障內(nèi)容，并制定不同的保障等級及保障手段。

一級區(qū)域：主要涉及到保障內(nèi)容為企業(yè)核心資產(chǎn)、企業(yè)所在地區(qū)離主會場的距離近，保障的級別最高，保障期間每日監(jiān)測防護(hù)；

二級區(qū)域：主要涉及到保障內(nèi)容為峰會重要服務(wù)設(shè)施、企業(yè)所在地離主會場是毗鄰關(guān)系，保障的級別次之，保障期間每周監(jiān)測防護(hù)；

三級區(qū)域：主要涉及到合作單位服務(wù)平臺、公司日常服務(wù)平臺等，保障的級別再次之，保障期間每旬監(jiān)測防護(hù)。

此外，制定了信息安全保障六大場景應(yīng)急流程，主要包括營業(yè)場景應(yīng)急處置流程、網(wǎng)站應(yīng)急處置流程、網(wǎng)絡(luò)場景應(yīng)急處置流程、群發(fā)場景應(yīng)急處置流程、外聯(lián)場景應(yīng)急處置流程和營業(yè)系統(tǒng)保障場景應(yīng)急處置流程。為提高實戰(zhàn)經(jīng)驗，全面開展六大場景的仿真演練，同時在非常時期制定了非常應(yīng)急手段，比如“急速斷網(wǎng)，后查通報”機(jī)制，即如發(fā)生緊急事件進(jìn)行1分鐘斷網(wǎng)，再進(jìn)行查證整改。

5 結(jié)束語

2016年以來，杭州移動成功保障了G20杭州峰會、國際動漫節(jié)、杭州馬拉松等193次大型通信保障工作，無重大通信障礙和網(wǎng)絡(luò)阻塞，圓滿完成了“三零一滿意”目標(biāo)。通過對以往重大活動保障模式的總結(jié)和創(chuàng)新，明晰了網(wǎng)絡(luò)規(guī)劃、建設(shè)、優(yōu)化、應(yīng)急保障和信息安全保障等各階段的保障工作關(guān)鍵要點(diǎn)，持續(xù)完善保障機(jī)制和模式。隨著國家經(jīng)濟(jì)的發(fā)展和國際地位的日益提升，諸如亞運(yùn)會、冬奧會、世界互聯(lián)網(wǎng)大會等高規(guī)格重大活動將更加頻繁地在國內(nèi)召開，“三位一體”體系將為后續(xù)承擔(dān)重大活動活動保障提供有力的支撐。

參考文獻(xiàn)

[1] 宋宇宏，張利.大型活動應(yīng)急通信保障—大型活動應(yīng)急通信保障方案及制定[J].警察技術(shù)，2011，18（2）：53-56.

[2] 秦安.沒有網(wǎng)絡(luò)安全就沒有國家安全[J].中國信息安全，2015，6（8）：25.

[3] 馬遙，黃俊強(qiáng).信息安全管理體系與等級保護(hù)管理要求[J].信息技術(shù)，2012，19（6）：140-142.

[4] 綠盟網(wǎng)站安全監(jiān)測服務(wù)[EB/OL]. http：//www.nsfocus.com.cn/operations/details_4_278.html.

[5] 趙霜.信息安全概述[M].西安：西北工業(yè)大學(xué)出版社，2011.

[6] 吳世忠.信息安全保障導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，2014.endprint