1加强安全管理,助力企业转型
在国际信息安全环境日趋恶劣,国家全面倡导信息安全的大环境下,为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行,依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神,同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准,制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等,率先在企业内建立并实施该体系,全面倡导企业向信息安全生产经营转型,同时积极引导合作伙伴树立信息安全意识,规范自身的生产及合作行为,明确安全风险责任、细化管理要求,立足自身,兼顾第三方,共同打造信息安全的绿色长城,确保企业长足健康发展。通过该安全管理体系的实施,从中全面深入地挖掘现有安全体系的不足之处,并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警,确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先,组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作,将平台安全管理工作落实到具体的责任人,并签署责任状,从而树立全员安全责任意识,实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计,并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核,发现相关漏洞与脆弱点,并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击39处,合作业务信息系统存在各类安全漏洞14处,目前这些漏洞已经全部整改与加固完毕,消除了安全隐患。其次,以信息安全管理为导向,组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队,通过从合作业务管理规范的建立到合作伙伴安全技能培训,从信息安全制度宣贯到系统安全处罚办法的落实执行,从系统安全的定期评估到系统漏洞的及时加固等一系列举措,最终创建一套业务信息系统全新的安全管理模型,提高业务信息系统运行质量和服务能力,提升创新业务品牌形象。从安全管理模型启用至今,未发生一起信息安全事故,这样强化了合作伙伴的信息安全概念,督促合作伙伴在发展业务的同时也重点关注信息安全问题,极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率,此类原因造成创新业务投诉比率和往年相比降低了15%,改变了用户对创新业务的固有印象,建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性,可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系,包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范,业务系统安全管理体系的先进性和时效性在通信行业内名列前茅,同时通过近两年的安全理论研究和安全评估加固实践,针对当前企业业务平台系统在信息安全监管中面临的一些问题,对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上,就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘,从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,通过对此类信息的统计、浓缩、总结、关联和分类,抽象出利于进行判断和比较的特征库,并智能地学习和维护其特征库,从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统,得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许,并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系,确保产品的各项安全性能指标。
2创新点
为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。
3结语
全新的移动互联网业务安全管理体系具备创新性、可复制性,对此领域企业具备示范和指导意义。目前已经被省公司相关专业部门采纳,计划结合信安部工作在全国范围内进行推广,同时在移动互联网行业领域,成为行业巨头制定与电信运营商合作开发产品的管理规范。此安全管理体系在企业应用范围涵盖的业务生产中,带来了巨大经济效益和社会效益,通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击67处,合作业务信息系统存在各类安全漏洞30处,成功处理异常安全入侵26次,避免了平台业务收入的损失。
作者:彭敏 廖振松 单位:湖北移动政企分公司湖北移动网管中心
