張濱

（中國移動通信集團公司，北京 100032）

張 濱 高級工程師，現(xiàn)任中國移動通信集團公司信息安全管理部副總經(jīng)理。清華大學(xué)無線電系畢業(yè)，曾擔(dān)任江西省移動通信局副局長，中國移動通信集團公司計劃部、管理信息系統(tǒng)部副總經(jīng)理，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會信息中心副主任。長期從事通信網(wǎng)規(guī)劃建設(shè)、信息化推進、信息安全管理工作，參與了中央企業(yè)信息化政策措施研究，組織了中國移動ERP項目的實施，在通信、互聯(lián)網(wǎng)、信息化和信息安全領(lǐng)域有較深入的研究。

移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的迅速發(fā)展，極大地促進了社會發(fā)展、經(jīng)濟繁榮、人民生活水平的提高，通信網(wǎng)的基礎(chǔ)性、社會性、全局性地位日益凸顯。當(dāng)前，互聯(lián)網(wǎng)已經(jīng)滲透到金融、商貿(mào)、交通及通信等各個領(lǐng)域，整個國家的民用和軍用基礎(chǔ)設(shè)施都愈加依賴互聯(lián)網(wǎng)，網(wǎng)絡(luò)已經(jīng)成為政治、經(jīng)濟、文化和軍事活動的中心。在“2008俄格戰(zhàn)爭”、“2009伊朗大選”等國際事件中，網(wǎng)絡(luò)戰(zhàn)、信息戰(zhàn)的全面運用，充分說明了信息安全已經(jīng)上升到國家高度，直接關(guān)系到國家安全。

近年來，內(nèi)外部信息安全形勢日益嚴峻，一些較大級別的信息安全事件逐漸增多，安全風(fēng)險繼續(xù)處于高危水平。病毒樣本和木馬數(shù)量急劇增長，網(wǎng)絡(luò)攻擊和網(wǎng)頁篡改事件頻繁發(fā)生，用戶密碼、賬號被盜比例已上升到安全事件的第一位（27%）。2010年發(fā)生多起黑客DoS攻擊事件，造成運營商域名系統(tǒng)癱瘓從而導(dǎo)致大范圍斷網(wǎng)。網(wǎng)絡(luò)詐騙、客戶信息盜用、垃圾短信和手機色情等事件頻頻曝光，社會影響力和關(guān)注度已達到前所未有的高度。種種事件表明，信息安全直接關(guān)系到經(jīng)濟和社會的穩(wěn)定，各類信息安全事件直接影響到企業(yè)的聲譽和正常業(yè)務(wù)運營。

我國信息安全面臨的嚴峻形勢，究其原因主要表現(xiàn)為信息安全意識不強，安全技術(shù)相對落后，安全防范措施比較薄弱。對此，我們必須在思想上高度重視，努力加強信息安全體系建設(shè)，強化落實各項工作，切實提高信息安全整體水平。

1 信息安全工作目標(biāo)

隨著傳統(tǒng)網(wǎng)絡(luò)IP化、設(shè)備實現(xiàn)軟件化、3G業(yè)務(wù)等新技術(shù)新形式的出現(xiàn)，電信網(wǎng)、互聯(lián)網(wǎng)和重要信息系統(tǒng)面臨的安全形勢愈發(fā)嚴峻，信息安全事件包羅萬象。面對當(dāng)前形勢，中國移動充分認識到信息安全內(nèi)容的復(fù)雜性、任務(wù)的艱巨性和過程的長期性，從自身實際情況出發(fā)建立起一套“3S”信息安全管理體系。目標(biāo)是能夠覆蓋信息安全的各個領(lǐng)域，能夠按照需求的變化不斷提升安全指導(dǎo)能力，同時能夠兼顧長期目標(biāo)與短期落地的順利結(jié)合。

“3S”信息安全管理體系圍繞“Scope”目標(biāo)指引、“Support”實施框架和“Solution”實施計劃3個環(huán)節(jié)依次展開。如圖1所示。

在“3S”信息安全管理體系中，“目標(biāo)指引”作為信息安全工作的長期指導(dǎo)體系，用于信息安全的長期愿景制定、安全領(lǐng)域界定和理念指導(dǎo)，從戰(zhàn)略的角度幫助中國移動建立信息安全發(fā)展規(guī)劃。在目標(biāo)指引的指導(dǎo)下，通過信息安全“實施框架”具體落實各項工作，建立起整套的信息安全管理機制、執(zhí)行體系和支撐體系。實施框架借助各項“實施計劃”，通過分期規(guī)劃，制定信息安全的近期目標(biāo)、工作任務(wù)和主要工作，逐步實現(xiàn)信息安全工作的目標(biāo)指引。三者依次指引、相互推動，螺旋式推進信息安全工作，最終實現(xiàn)“量變到質(zhì)變”的飛躍。

在構(gòu)建“3S”信息安全管理體系過程中，中國移動根據(jù)當(dāng)前信息安全形勢和國家監(jiān)管部門的具體要求，通過對X.805、ISF、ISO 27002等信息安全標(biāo)準(zhǔn)規(guī)范、國外最佳實踐和當(dāng)前行業(yè)環(huán)境進行分析，明確了信息安全工作的指導(dǎo)理念、涉及領(lǐng)域和管控支撐體系，為國際一流信息安全體系奠定了目標(biāo)基礎(chǔ)。

中國移動把“構(gòu)建國際一流信息安全體系，承擔(dān)中國移動企業(yè)社會責(zé)任”作為信息安全工作的長期發(fā)展愿景，以“以科學(xué)發(fā)展觀為指導(dǎo)，落實國家信息化發(fā)展戰(zhàn)略，以安全保發(fā)展，在發(fā)展中求安全，源頭抓起，健全制度，明確責(zé)任，整合資源，同步建設(shè)與網(wǎng)絡(luò)、業(yè)務(wù)、用戶發(fā)展相適應(yīng)的信息安全管理體系，協(xié)調(diào)各單位全面完成各項信息安全工作任務(wù)”為指導(dǎo)思想，堅持“統(tǒng)一領(lǐng)導(dǎo)、分級管理；部門領(lǐng)導(dǎo)、一崗雙責(zé)；業(yè)務(wù)拓展到哪里、管理覆蓋到哪里；規(guī)劃、建設(shè)、運行三同步”四項基本原則，進一步完善了信息安全管理工作的指導(dǎo)體系。

在指導(dǎo)體系的指引下，中國移動信息安全工作從安全策略、安全組織、安全技術(shù)、安全運營4個維度依次展開，并結(jié)合中國國情，制定了應(yīng)用安全、內(nèi)容安全、網(wǎng)絡(luò)安全和基礎(chǔ)安全四大信息安全領(lǐng)域。通過各個領(lǐng)域的獨立及配合工作，形成全面覆蓋，立體防護的安全體系，實現(xiàn)信息安全管控支撐的可感知、可控制、可管理，全面提升入侵感知能力、事件監(jiān)控處置能力和安全合規(guī)管理能力。

圖1 “3S”信息安全管理體系循環(huán)圖

圖2 中國移動信息安全工作目標(biāo)指引

2 信息安全實施框架

中國移動信息安全實施框架以信息安全目標(biāo)指引為重要依據(jù)，從安全工作理念、信息安全領(lǐng)域和管控與支撐3個維度建立起系統(tǒng)的管理機制、執(zhí)行體系和業(yè)務(wù)支撐體系。分別解決了信息安全工作開展的機制是什么、需要關(guān)注哪些領(lǐng)域以及為滿足信息安全要求，需要哪些管控支撐等問題，切實做好專崗專責(zé)，協(xié)同負責(zé)，形成穩(wěn)固的信息安全長效機制。

中國移動根據(jù)信息安全工作存在的屬性差異，在制定實施框架的過程中，分別從以下3個角度進行具體規(guī)劃。

（1）圍繞責(zé)任制度、人才隊伍、安全運營和技術(shù)創(chuàng)新四方面完善管理機制，建立規(guī)范、高效的管理體系，形成對業(yè)務(wù)、系統(tǒng)、網(wǎng)絡(luò)安全工作的長效管理機制；

（2）加強信息安全前臺執(zhí)行工作，重點抓好手機淫穢色情治理、垃圾短信治理、手機惡意軟件防護、基礎(chǔ)信息安全保護四大專項治理工作，建立保障業(yè)務(wù)開展的安全執(zhí)行體系，為中國移動的業(yè)務(wù)發(fā)展保駕護航；

（3）穩(wěn)固信息安全后臺保障工作，培育安全評估、安全測試、監(jiān)控響應(yīng)、合規(guī)管理、協(xié)同工作、監(jiān)督考核六大能力，建立信息安全工作服務(wù)于管控手段，形成可感知、可控制、可管理的支撐體系。

3 創(chuàng)造性運用“柵欄模式”，全面建立信息安全體系

中國移動遵循信息安全的合規(guī)要求，認真落實工信部信息安全責(zé)任制，創(chuàng)造性的運用“柵欄模式”的管理方式，以“責(zé)任共擔(dān)，齊抓共管”為指導(dǎo)思想，從“人盯人”到“打聯(lián)防”，螺旋式的持續(xù)推進信息安全管理工作。

圖3 中國移動信息安全工作實施框架

“柵欄模式”是中國移動特有的信息安全管理模式，對完善各項信息安全管理工作，提升國內(nèi)信息安全整體水平具有重要的歷史意義和現(xiàn)實意義?！皷艡谀Ｊ健笔且浴皹I(yè)務(wù)流程”為柵，以“信息安全管理責(zé)任、制度建設(shè)、技術(shù)手段建設(shè)”為欄，以“規(guī)劃、服務(wù)、管控、改進”為樁，推動業(yè)務(wù)流程和信息安全責(zé)任相結(jié)合，與業(yè)務(wù)制度相結(jié)合，并配套以相應(yīng)的技術(shù)手段，通過不斷細化，完善各流程環(huán)節(jié)的信息安全責(zé)任為端口，持續(xù)的推進信息安全管理。

3.1 建立信息安全責(zé)任管理體系，做到“事有人管”

以策略、組織、運營、技術(shù)為“欄”，通過建立信息安全責(zé)任制和加強技術(shù)手段建設(shè)，做到“事有人管”。

具體措施表現(xiàn)為：在安全策略上，加強安全規(guī)范、制度、要求等安全策略的制定，統(tǒng)一管理，提高管理效率；在安全組織上，通過安全責(zé)任矩陣明確責(zé)任，實現(xiàn)一崗雙責(zé)，為“事有人管”奠定基礎(chǔ)；在安全運營上，規(guī)范安全管理流程，做到“三個同步”，即同步規(guī)劃，同步建設(shè)，同步運行；在安全技術(shù)上，加強基礎(chǔ)型安全技術(shù)平臺，規(guī)范技術(shù)平臺規(guī)劃建設(shè)，實現(xiàn)平臺的一致性和可整合性。

3.2 落實信息安全執(zhí)行管理體系，做到“大事做好”

以安全項目為“柵”，分領(lǐng)域?qū)嵤?，在統(tǒng)籌規(guī)劃的基礎(chǔ)上，與業(yè)務(wù)部門一起細化，完善管理職能，優(yōu)化技術(shù)手段，加強監(jiān)督，保證“大事做好”。

具體措施表現(xiàn)為：在4大安全領(lǐng)域，基于“信息安全管理實施框架”，柵欄管理模式將工作內(nèi)容分為：應(yīng)用安全、內(nèi)容安全、網(wǎng)絡(luò)安全和基礎(chǔ)安全四部分。在安全項目的選擇上：每年選擇最重要的安全項目在各領(lǐng)域建設(shè)，加強與現(xiàn)有管理體系（“欄”）的承載，通過加大“柵”的密度，不斷提升信息安全能力。在安全項目方面，要與現(xiàn)有的規(guī)范、流程、責(zé)任和支撐體系相融合，實現(xiàn)“柵”與“欄”的完美固定。

3.3 打造信息安全支撐管理體系，做到“事事做好”

以規(guī)劃、服務(wù)、管控、改進作為基礎(chǔ)，形成閉環(huán)管理，實現(xiàn)對安全工作進行整體規(guī)劃、為業(yè)務(wù)部門開展的安全工作提供支撐服務(wù)、對安全工作進行管控、對新需求和安全管理提升進行推動。

通過堅持和開展流程優(yōu)化和完善運營工作，加強手段建設(shè)提高安全管理支撐能力，螺旋式持續(xù)提升信息安全優(yōu)勢，支持中國移動的可持續(xù)發(fā)展。

4 信息安全工作實踐

圖4 “柵欄模式”：建立“欄”

圖5 “柵欄模式”：夯實“欄”

圖6 “柵欄模式”：打好“欄”

中國移動在“3S”信息安全管理體系的指導(dǎo)下，創(chuàng)造性的依托“柵欄模式”， 通過強化管理機制、執(zhí)行體系和支撐體系，對客戶信息保護、手機淫穢色情治理、垃圾短信治理和手機病毒防護等各項工作進行重點規(guī)劃，全面落實，各項工作均取得了顯著的成效。

以“打擊手機淫穢色情專項行動”為例，中國移動從集團公司到各省公司，全力配合相關(guān)監(jiān)管部門，做好各項指標(biāo)考核工作。依托不良信息監(jiān)測系統(tǒng)和北京、上海、廣東3大撥測中心的人工審核團隊，從投訴、時長、治理效果等各方面進一步完善手機淫穢色情治理考核指標(biāo)體系，加強“欄”的安全規(guī)范建設(shè)。同時，組織開展第三方評估測試，建立責(zé)任追究制度，具體落實“欄”責(zé)任矩陣。通過對現(xiàn)有不良信息過濾技術(shù)進行研究，提出優(yōu)化改進建議；推動不良信息監(jiān)測系統(tǒng)、上網(wǎng)日志留存系統(tǒng)的建設(shè)，提高不良信息發(fā)現(xiàn)和封堵的稽查能力；利用ROCM平臺開展不良網(wǎng)站封堵有效性驗證，實現(xiàn)管理閉環(huán)等途徑，從技術(shù)層面上強化“欄”的技術(shù)保障，實現(xiàn)平臺的一致性和可整合性。

在建立“欄”的基礎(chǔ)上，夯實手機淫穢色情治理的“柵”。在前期專項行動工作基礎(chǔ)上，進一步改進客戶舉報受理、不良信息處理等流程，確保舉報渠道暢通，同時對現(xiàn)有業(yè)務(wù)開展梳理，研究并解決存在的安全風(fēng)險，實現(xiàn)“柵”的穩(wěn)固。

通過細化“欄”、夯實“柵”，“柵”與“欄”彼此支撐，相互配合，中國移動手機淫穢色情治理工作取得了顯著成效。僅2011年上半年，我公司查獲并封堵淫穢色情網(wǎng)站310952個域名，較去年全年增長278%；不良網(wǎng)站判定平均時由41min，縮短到17min，提升效果明顯；開啟ROCM平臺每日域名驗證功能，目前已累計驗證29萬個等，治理成效得到了上級主管部門的充分肯定。

5 結(jié)語

在“十二五”規(guī)劃綱要的指引下，中國移動信息安全管理工作基于信息安全實施框架，提出了信息安全工作的“三步走”戰(zhàn)略。第一步，2011基礎(chǔ)能力建設(shè)年，積極做到建立信息安全管理體系，夯實信息安全管理基礎(chǔ)能力。第二步，2012業(yè)務(wù)服務(wù)應(yīng)用年，通過安全專項工作和常態(tài)化工作強化信息安全對集團業(yè)務(wù)的支撐。第三步，2013綜合能力提升年，推動信息安全工作向系統(tǒng)化、規(guī)范化、協(xié)同化發(fā)展，實現(xiàn)信息安全工作的量化控制。

為實現(xiàn)這一戰(zhàn)略目標(biāo)，中國移動緊緊圍繞信息安全管理工作發(fā)展思路，通過不斷完善信息安全管理體系，建立長效工作機制、堅持技術(shù)創(chuàng)新，探索新領(lǐng)域，強化信息安全技術(shù)優(yōu)勢和承擔(dān)社會責(zé)任，強化合規(guī)管理，保障公司可持續(xù)發(fā)展等3大重點舉措，將信息安全工作思路落實到信息安全日常工作行動上來。

面對復(fù)雜的信息安全形勢，在信息安全工作發(fā)展思路的指導(dǎo)下，加強信息安全管理工作具有重要的歷史意義。它是弘揚先進文化、傳播正確輿論思想、維護客戶合法權(quán)益的根本需要，也是實現(xiàn)中國特色社會主義長治久安和中國移動可持續(xù)發(fā)展的重要保障。

肩負著歷史的重任，中國移動信息安全工作將繼續(xù)圍繞“3S”信息安全體系這個核心，全面落實管理責(zé)任，全力構(gòu)筑防護“柵欄”，堅持職能化、規(guī)范化、職業(yè)化、系統(tǒng)化、服務(wù)化，逐步建立具有自主創(chuàng)新能力和拓展能力的國際一流信息安全體系，努力維護國家安全、社會穩(wěn)定和客戶合法權(quán)益，切實履行國有骨干企業(yè)的社會責(zé)任。