杭州移动“三位一体”信息安全保障体系建设

陈龙

摘 要：重大活动期间的信息安全保障是杭州移动信息安全工作中的重要组成部分。近年来，杭州移动在一系列重大活动中，创新提出了“三位一体”信息安全保障体系。该保障体系将航天系统工程与信息安全保障相结合，推动重大活动保障向常态化、体系化转变，既满足重大活动期间系统的可靠运行要求，又满足未来较长时间内系统信息安全的需求。

关键词：信息安全；重大活动保障；动态预警；三重防护

Abstract： Information assurance work during important activities is an important part of the information security work in China Mobile Hangzhou Branch. China Mobile Hangzhou Branch puts forword the Trinity information security system after a series of important activities in recent years. The Trinity information security system combines the space systems sngineering with information security to promote the normalized and systematic information assurance work. It will not only complete the requirement of reliable information system but also meet the demand of information security in a long time of the future.

Key words： information security； security ensuring of important activities； dynamic warning system； triple protection

1 引言

重大活动期间的信息安全保障是杭州移动信息安全工作中的重要组成部分。所谓重大活动是指国家大型活动或在一定区域内举办的大型群众性活动[1]，具有规格高、影响力大、涉及面广、参与人数多等特点，因此保障工作的要求高、标准严、任务艰巨。尤其是随着我国国力的逐步增强，越来越多国际化、大规模、高水平的大型活动在国内举办。面对重大活动频繁开展的新形势、新挑战，如何进一步创新和完善重大活动保障体系，切实解决以往保障工作中存在的各类问题，显得尤为重要。

2 目的和意义

第一，顺应信息安全形势，贯彻落实网络安全法规。2014年，我国成立了中央网络安全和信息化领导小组，因此国家加快了信息安全立法工作。2017年6月正式实施的《网络安全法》，明确指出要“建立健全网络安全保障体系，提高网络安全保护能力”。所以建立新形势下的信息安全保障体系是当前信息安全工作的必然要求。

第二，应对更专业、更广泛、更快速的网络攻击。随着大数据、云计算、移动互联网等技术的应用越来越深入，开放互联环境中的各类系统更加容易遭到网络攻击，黑客入侵、网页篡改、恶意挂马等安全事件频发。由于网络安全技术的不断进步，攻击者可以比较容易地利用自动化工具和分布式系统，对一个目标系统发动破坏性的攻击。有时甚至不仅仅是单一的攻击行为，而是多种攻击行为复合而成，影响面更广泛，对安全防护、应急响应和攻击溯源都带来了极大的困难。网络攻击类别从传统的病毒入侵、扫描攻击已经发展为更为专业的APT攻击，传统的安全保障机制已经无法驾驭APT攻击，急迫需要新的技术、新的体系来解决网络攻击问题。

第三，创新信息安全保障模式，积极应对各类风险。面对严峻的形势，信息安全已成为重大活动保障工作的重中之重。但目前业内尚未形成标准、规范和有效的保障体系，各企业的信息安全管理内容“点多面广”，实际工作还存在跨部门、跨平台、跨专业等问题，所以加快探索切实可行的信息安全保障措施和模式已经成为当务之急。

近年来，全国性或地区性的政治、经济、文化、体育活动和交流越来越多，并且趋于常态化开展。以杭州为例，不仅有西博会、休博会、云栖大会、国际动漫节等一批国内外知名的活动，2016年更举办了有史以来保障规格最高、规模最大的全球性会议G20峰会。2022年还将承办亚运会。随着重大活动的常态化开展，运营商需要面对高频次、高负荷的保障任务，过去运动式、突击式的保障模式已经无法适应新的发展趋势，信息安全保障工作必须向“制度化、常态化”转变，进一步完善信息安全保障体系，前瞻性地部署重大活动保障能力建设。

3 “三位一体”信息安全保障体系

近年来，杭州移动在G20峰会、世界互联网大会、国际动漫节、杭州云棲大会等一系列重大活动中，以“通信畅通与网络安全并重”为指导理念，以“三零一满意”（零重大网络事故、零重大安全事件、零重大客户投诉、让主办方满意）为总体目标，创新提出了“基于系统工程的航天清单工作法”、“平战结合的红黄蓝动态预警体系”、“重大活动保障实施的三重防御体系”的“三位一体”信息安全保障体系，如图1所示。

该保障体系前瞻性地将航天系统工程与信息安全保障相结合，结合国际信息安全解决方案（ISO27001）最佳实践，推动重大活动保障从运动式、被动式向常态化、体系化转变，既满足重大活动期间系统保障的信息安全可靠运行要求，又满足未来较长时间内平台信息安全的服务需求。

3.1 基于系统工程的航天清单工作法

在信息安全保障筹备阶段，根据信息安全保障要求，借鉴航天发射准备工作，首创“航天清单销项工作法”，将信息安全梳理、排查、清理工作分解到末端，实行三级责任制，逐项落实、销项确认，全面彻底地完成保障任务。endprint

第一，梳理全景试图。根据目前国际上先进的信息安全解决方案ISO/IEC27001的信息安全管理体系（ISMS）[3]，结合国家《信息安全等级保护管理办法》的相关要求，经过进一步调研、讨论、梳理并归纳了“信息安全威胁全景视图”，如图2所示。

全景视图包括内部挑战、外部威胁两大方面。其中内部挑战包括资产安全、保密安全、人员安全和渠道管控；外部威胁包括互联网内容安全、语音电话安全、垃圾信息和伪基站打击等，涵盖11个安全管控点。

第二，制定“航天清单”。公司网络规模大、业务单元多，风险控制难度大，为了确保各风险个个击破，实现360度无缝管控，公司细分各部门职责，将每项工作分解到末端工作点，逐项落实工作事项，并实行三级责任制，如图3所示。

第三，开展销项作业。如图4所示，对内围绕资产安全、保密安全、人员安全、渠道管理四方面，强化管控手段，确保管控无盲区；对外以互联网内容、语音电话、垃圾短彩信、伪基站打击为抓手，强化不良信息整治。通过“逐一排查、逐一整治、逐一销项”，将所有风险逐一销项或有效控制。

第四，闭环跟踪反馈。监控信息安全各保障点及保障内容，实施闭环跟踪。对每项工作设定关键目标，明确达成标准，制定关键举措，落实每个细项责任到人。根据清单全面落实，每天跟进落实情况，根据时间进度逐一销项，并进行每项工作的销项确认审核。

审核不通过的情况，将再次发送进行整改，直至符合保障要求为止。针对符合要求的工作清单细项，完全销项后三级责任人签字确认：实际操作人确认完成情况，上级主管复核完成内容，部门负责人审核确认。

3.2 平战结合的“红黄蓝”动态预警体系

杭州移动依照《信息系统安全等级保护基本要求》，根据对象受到破坏时所侵害的客体和对客体造成侵害的程度，将信息安全问题划分为“红黄蓝”三类，制定监控制度，在专业安全团队支撑的基础上，定期进行扫描或监测。当问题发现或者发生时，根据“安全事件分级”，对责任部门和人员发布安全预警报告，要求在规定时间内响应修复完毕。同时，在整改修复完成后，提交专业团队进行复核验证，确保彻底解决安全隐患。

3.2.1 红黄蓝预警事件分级标准

通过差异化区分预处理，做好具体问题差别应对，有利于更好更快地解决问题，让各个专业管理部门抓住重点。依据《信息系统安全等级保护定级指南》、《信息安全事件分类分级指南》，事件分级标准如表1所示。

3.2.2 红黄蓝预警系统工作流程

红黄蓝预警系统工作流程如图5所示，发现问题后，通过大数据分析平台分析判断是否为安全事件，如果不是安全事件就忽略，如果是安全事件，那就通过工单系统发放预警牌让相关责任人去处理问题，解决问题后，验证是否已经解决，通过就预警结束，没有通过继续发放预警牌，直到问题解决完为止。

3.3 重大活动保障实施的三重防护体系

重大活动保障实施的三重防护，根据信息安全保障体系框架（IATF）的基本思路，结合会议保障的要求和特点，以管理、技术、内容为核心实施三重防护，充分确保三者融合与协同，从而确保活动保障的有序开展。

首先，在保障管理方面，建立信息安全三级联动保障团队。

在保障决战时刻，设立指挥中心，以公司管理层、部门经理、保障组成员，根据四个职障范围“营业厅、网络、政企、系统”组成三级保障联动机制，全面开展保障工作。如图6所示，以G2O峰会信息安全保障为例，专项组建G2O信息安全保障联动团队。

其次，在保障技术方面，实现“防篡改、云监控、防攻击”的一体化。整合专家团队资源，通过“防篡改、云监测、防攻击”的一体化，设置三个监控中心，实现三重专业防护、快速修复和紧急处置。

“防篡改”主要是通过部署防篡改系统进行篡改行为监测，提供实时的对挂马、网页篡改、网页敏感内容和网站平稳度的监测。根据不同网站的关注度，配置不同的监测策略，再根据网站中不同页面的重要程度，设置关键页面，并配置对关键页面进行一定频率的监测。实现了多维度、不同粒度的风险监测[4]。

“云监控”主要是通过绿盟的云端监测系统享受7×24小时的远程网站安全监测服务。一旦发现被监测网站存在风险状况，云端安全技术团队会第一时间通知系统管理员，并提供专业的安全解决建议。除此之外，云端安全专家团队会定期为杭州移动出具周期性的综合评估报告，从而整体掌握网站的风险状况及安全趋势。

“防攻击”一方面是前期通过漏洞扫描器等工具对杭州移动的资产进行全面的漏洞扫描，根据扫描结果，开展准确、快速的漏洞修复工作。如果遇到漏洞无法修复的服务器，则通过部署相应的安全能力进行防护。另一方面是防DDOS攻击，通过部署云清洗平台，一旦出现DDOS攻击，可以通过手机端APP进行自助清洗DDOS。

3.4 三级保障，六大场景

根据会议保障區域及重点企业、单位保障范围，划分三级保障内容，并制定不同的保障等级及保障手段。

一级区域：主要涉及到保障内容为企业核心资产、企业所在地区离主会场的距离近，保障的级别最高，保障期间每日监测防护；

二级区域：主要涉及到保障内容为峰会重要服务设施、企业所在地离主会场是毗邻关系，保障的级别次之，保障期间每周监测防护；

三级区域：主要涉及到合作单位服务平台、公司日常服务平台等，保障的级别再次之，保障期间每旬监测防护。

此外，制定了信息安全保障六大场景应急流程，主要包括营业场景应急处置流程、网站应急处置流程、网络场景应急处置流程、群发场景应急处置流程、外联场景应急处置流程和营业系统保障场景应急处置流程。为提高实战经验，全面开展六大场景的仿真演练，同时在非常时期制定了非常应急手段，比如“急速断网，后查通报”机制，即如发生紧急事件进行1分钟断网，再进行查证整改。

5 结束语

2016年以来，杭州移动成功保障了G20杭州峰会、国际动漫节、杭州马拉松等193次大型通信保障工作，无重大通信障碍和网络阻塞，圆满完成了“三零一满意”目标。通过对以往重大活动保障模式的总结和创新，明晰了网络规划、建设、优化、应急保障和信息安全保障等各阶段的保障工作关键要点，持续完善保障机制和模式。随着国家经济的发展和国际地位的日益提升，诸如亚运会、冬奥会、世界互联网大会等高规格重大活动将更加频繁地在国内召开，“三位一体”体系将为后续承担重大活动活动保障提供有力的支撑。

参考文献

[1] 宋宇宏，张利.大型活动应急通信保障—大型活动应急通信保障方案及制定[J].警察技术，2011，18（2）：53-56.

[2] 秦安.没有网络安全就没有国家安全[J].中国信息安全，2015，6（8）：25.

[3] 马遥，黄俊强.信息安全管理体系与等级保护管理要求[J].信息技术，2012，19（6）：140-142.

[4] 绿盟网站安全监测服务[EB/OL]. http：//www.nsfocus.com.cn/operations/details_4_278.html.

[5] 赵霜.信息安全概述[M].西安：西北工业大学出版社，2011.

[6] 吴世忠.信息安全保障导论[M].北京：机械工业出版社，2014.endprint