运营商等级（jí）保护建设解（jiě）决（jué）方案

一（yī）、运营商（shāng）信息化的现状（zhuàng）

随着（zhe）3G业（yè）务的（de）推广，三（sān）大运营（yíng）商正在热火朝（cháo）天的进行移动网（wǎng）络（luò）的改（gǎi）造（zào）和建设，为大规模的业务上线做着积（jī）极准备（bèi），随之（zhī）而来的网（wǎng）络安全建设也需要同（tóng）步展开。传统的电信网络主（zhǔ）要（yào）以专（zhuān）有协（xié）议、专有网络为主，现在移动网络从承载平台、业（yè）务系统到后台的支撑系统都（dōu）越来越（yuè）多（duō）地转移到了IP承载网络，与互联网的结（jié）合也越来越紧密，因此互联（lián）网中大量（liàng）存在的安（ān）全风险都将（jiāng）对运营（yíng）商（shāng）的移动网络形成威胁，也必然会对运营商的移动互联网战略造（zào）成影响。因此，在网络发展的同时（shí）进行安全（quán）体（tǐ）系的建设，降低安全风险成为各大运（yùn）营商一个（gè）急待解决（jué）的问题。 作为网络（luò）服务的供应商，运（yùn）营商为全国各行（háng）各（gè）业重要系统提供（gòng）基（jī）础网络支撑（chēng），其信（xìn）息安（ān）全建设也必须考（kǎo）虑到等级保护的相关要求。

二（èr）、运营商等（děng）级保（bǎo）护建设方案（àn）

2.1 参考（kǎo）依据（jù）

GB/T 22239—2008 《信息（xī）安全技（jì）术 信息系统安（ān）全等级（jí）保（bǎo）护基本（běn）要求》

GB/T 22240—2008 《信息安全技术 信（xìn）息系统安全保护等级定级（jí）指南》

GB/T 20984—2007 《信息安全（quán）技术 信（xìn）息安全风险评估规范》

GB/T 18336—2001 《信息技术—安全技术—信息技术安全性（xìng）评估（gū）准则（zé）》

公通字【2007】43号 《信息安（ān）全等级保护（hù）管（guǎn）理办法》

公通字【2004】66号 《关于信（xìn）息安（ān）全等（děng）级保（bǎo）护工作的（de）实施（shī）意见（jiàn）》

ISO/IEC 27001:2005《信息安全技术 信（xìn）息系统安全管理要求》

ISO/IEC 13335—1: 2004 《信息（xī）技术 信息技术安全管理指南》第1部分（fèn）：信息技术安全概念（niàn）和模型

信息系统安全保障（zhàng）理（lǐ）论（lùn）模型和技（jì）术框架IATF

2.2 方案建设思路

信息安全等级保护（hù）的重点在于内网安全（quán）措施的建设和落（luò）实，对于运（yùn）营上来说，支撑系统作为运（yùn）营（yíng）商的内网，承担着公（gōng）众通（tōng）信网络的管理职（zhí）责（zé），其各类支撑（chēng）系统例如网管、计费、营帐、客服等等，不仅与业（yè）务网络（luò）的配置调度、业务统计等（děng）有着密切的相关性，同时还保有大量的客户基础信息，成为（wéi）实施信息安全等级保护的重要IT系（xì）统。

各类支撑系（xì）统的相关网（wǎng）络和应用系统伴（bàn）随着通信业（yè）务发展的（de）需要逐步建设形成的，因（yīn）为（wéi）前（qián）期（qī）缺乏统（tǒng）一（yī）规划，经（jīng）过多年（nián）的建设（shè）积累（lèi），形成网络结构（gòu）复杂（zá）、层次不清、系统管理维护困难的现（xiàn）状，网络（luò）的有（yǒu）效性和稳定性较低。出于运营商自身的安（ān）全需求，对（duì）支撑系统进行（háng）区域划分，并（bìng）对区域进（jìn）行有层次、有重点的保护是（shì）当前迫切的需求。非常一致的要求也（yě）出现在等级保护的文（wén）件上（shàng），等保规（guī）定，安全系统必须进行“结构安全（quán）与网段划分”，并针对边界进（jìn）行“网络（luò）访（fǎng）问控（kòng）制（zhì）”、“ 边界完整性检查”以及“网络入侵防范”和“恶意代码防范”等。

根据信息安全保障体系的建设（shè）思路，分（fèn）为三个阶段，分别为基础完善阶段（duàn）、增强和扩展阶段、整合建设阶段（duàn），具体如下图：

图1信息安全保障体系（xì）的建设（shè）思路图（tú）

基础建设阶段：基础建设阶（jiē）段：重点（diǎn）保护、强化管理。工作重（chóng）点包（bāo）括：安（ān）全（quán）域划分（fèn）与实施、等级保护整改（gǎi）的设备采购、安全（quán）加固、等级保护测评等。

增（zēng）强与扩展（zhǎn）阶段：安（ān）全拓展，自我优化。在技术体系建设（shè）的基础上，本阶段（duàn）工作重点包括（kuò）：定（dìng）期安（ān）全评估、信息（xī）系统安全建设、系统上（shàng）线检查、管理制（zhì）度完善和推广（guǎng）、技术层（céng）面其它加固等（děng）。

整合建（jiàn）设阶段：全面整合、平台实现（xiàn）。完善管（guǎn）理体系、技（jì）术体（tǐ）系、运维体系，全面建立（lì）信息安（ān）全保障体系。

三、方案（àn）特色

1)建立信（xìn）息安全纵深防（fáng）御机制（zhì），层层设防，提高信（xìn）息科技抗攻击的（de）能（néng）力，有效保护生产和办公系统的安全性，完善（shàn）管（guǎn）理体（tǐ）系、技术体系和运维（wéi）体系。

2)安全域建（jiàn）设的成果不仅（jǐn）是（shì）全面增强了运营商整体（tǐ）的安全（quán）性和制度性，更大的收获从长（zhǎng）远的角度去考虑了规（guī）划了未来发（fā）展（zhǎn）的安全域管（guǎn）理（lǐ）模（mó）式。

3)通过评（píng）估手段发现（xiàn）的典型安全问题（tí）通过技术手段进行解（jiě）决，建（jiàn）立基本的安全技（jì）术框（kuàng）架，满（mǎn）足关键（jiàn）业务持（chí）续、稳定运行的基本要（yào）求。