一.  概述

電信運營商3G業(yè)務(wù)的推廣，開啟了移動互聯(lián)網(wǎng)手機(jī)推廣的新篇章。當(dāng)前，傳統(tǒng)固網(wǎng)電信運營商正在熱火朝天的進(jìn)行移動網(wǎng)絡(luò)的改造和建設(shè)，為大規(guī)模的業(yè)務(wù)上線做著積極準(zhǔn)備，隨之而來的網(wǎng)絡(luò)安全建設(shè)也需要同步展開。傳統(tǒng)的電信網(wǎng)絡(luò)主要以專有協(xié)議、專有網(wǎng)絡(luò)為主，現(xiàn)在移動網(wǎng)絡(luò)從承載平臺、業(yè)務(wù)系統(tǒng)到后臺的支撐系統(tǒng)都越來越多地轉(zhuǎn)移到了IP承載網(wǎng)絡(luò)，與互聯(lián)網(wǎng)的結(jié)合也越來越緊密，因此互聯(lián)網(wǎng)中大量存在的安全風(fēng)險都將對運營商的移動網(wǎng)絡(luò)形成威脅，也必然會對運營商的移動互聯(lián)網(wǎng)戰(zhàn)略造成影響。如何在網(wǎng)絡(luò)發(fā)展的同時進(jìn)行安全體系的建設(shè)，降低安全風(fēng)險成為一個急待解決的問題，本文從運營商移動網(wǎng)絡(luò)及相關(guān)業(yè)務(wù)系統(tǒng)現(xiàn)狀出發(fā)，基于對運營商網(wǎng)絡(luò)安全建設(shè)的長期積累，對移動網(wǎng)絡(luò)安全建設(shè)進(jìn)行探討。

二.  移動網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)介紹

電信運營商移動網(wǎng)絡(luò)由無線網(wǎng)、核心網(wǎng)、承載網(wǎng)、業(yè)務(wù)網(wǎng)、支撐網(wǎng)和傳輸網(wǎng)等網(wǎng)絡(luò)系統(tǒng)構(gòu)成。先簡單了解一下各個網(wǎng)絡(luò)系統(tǒng)的基本情況，然后再針對IP網(wǎng)絡(luò)層面的安全問題進(jìn)行重點分析，主要包括業(yè)務(wù)網(wǎng)、承載網(wǎng)和支撐網(wǎng)，本文不涉及無線網(wǎng)和傳輸網(wǎng)部分的安全問題。

核心網(wǎng)由電路域和分組域組成，電路域負(fù)責(zé)話音業(yè)務(wù)的承載和控制，主要網(wǎng)元包括移動交換中心、媒體網(wǎng)關(guān)、歸屬位置寄存器/鑒權(quán)中心；分組域負(fù)責(zé)數(shù)據(jù)業(yè)務(wù)的承載和控制，主要網(wǎng)元包括分組數(shù)據(jù)服務(wù)節(jié)點（PDSN）、AAA、DNS等，PDSN負(fù)責(zé)管理用戶通信狀態(tài)，轉(zhuǎn)發(fā)用戶數(shù)據(jù)。通常，PDSN 集中設(shè)置在省會城市，實現(xiàn)對所有分組業(yè)務(wù)用戶的接入。

業(yè)務(wù)網(wǎng)負(fù)責(zé)業(yè)務(wù)邏輯和業(yè)務(wù)數(shù)據(jù)處理，在全國和省級兩個層面進(jìn)行建設(shè)，全國層面業(yè)務(wù)包括：彩鈴平臺、流媒體平臺、郵箱平臺、BREW下載平臺等，省級層面業(yè)務(wù)包括：WAP網(wǎng)關(guān)、短信平臺、彩信平臺、IVR等，由省移動業(yè)務(wù)管理平臺統(tǒng)一進(jìn)行業(yè)務(wù)管理。

承載網(wǎng)負(fù)責(zé)跨地市或跨省業(yè)務(wù)數(shù)據(jù)的承載，通過CE+IP承載網(wǎng)方式組網(wǎng)，CE負(fù)責(zé)移動網(wǎng)絡(luò)核心網(wǎng)元匯聚，IP承載網(wǎng)負(fù)責(zé)各業(yè)務(wù)VPN的長途承載。各個系統(tǒng)通過承載網(wǎng)實現(xiàn)互聯(lián)互通，IP承載網(wǎng)為每個系統(tǒng)分配單獨的VPN，為每個系統(tǒng)提供獨立的邏輯通道，比如RP網(wǎng)絡(luò)VPN、PI網(wǎng)絡(luò)VPN、C網(wǎng)軟交換VPN等。

支撐網(wǎng)為電信業(yè)務(wù)的開展提供運行維護(hù)和管理決策支持，支撐網(wǎng)主要包括業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)、企業(yè)信息化系統(tǒng)，三個支撐系統(tǒng)在網(wǎng)絡(luò)的縱向連接上均是三級結(jié)構(gòu)：集團(tuán)公司－省公司－地市分公司，各支撐系統(tǒng)在三級結(jié)構(gòu)的承載層面，基本上都考慮了相互隔離。三個支撐系統(tǒng)之間存在一定的互聯(lián)需求，如網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)均與企業(yè)信息化系統(tǒng)有連接，主要實現(xiàn)網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)的相關(guān)信息向MIS開放，同時，業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)的維護(hù)人員也需要訪問企業(yè)信息化系統(tǒng)。其中業(yè)務(wù)支撐系統(tǒng)和網(wǎng)管系統(tǒng)之間的結(jié)合是最為緊密的。

三.  移動網(wǎng)絡(luò)面臨的安全風(fēng)險

移動網(wǎng)絡(luò)承載了多種業(yè)務(wù)系統(tǒng)，而且各種業(yè)務(wù)系統(tǒng)具有各自的特點，依據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)的關(guān)聯(lián)度不同，可以將移動網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)分為三大類：全開放系統(tǒng)、半封閉系統(tǒng)和全封閉系統(tǒng)，全開放系統(tǒng)指完全在互聯(lián)網(wǎng)承載的系統(tǒng)，如郵箱業(yè)務(wù)；半封閉系統(tǒng)指在私網(wǎng)進(jìn)行承載，同時與互聯(lián)網(wǎng)連接的系統(tǒng)，如彩鈴系統(tǒng)；全封閉系統(tǒng)指無需與互聯(lián)網(wǎng)連接的系統(tǒng)，如智能網(wǎng)。從安全威脅的角度分析，全開發(fā)和半封閉系統(tǒng)面臨的安全威脅最為突出，因此在本章節(jié)中重點進(jìn)行分析，首先分析一下業(yè)務(wù)網(wǎng)面臨的安全分析：

1）智能終端帶來威脅，智能終端發(fā)起經(jīng)由核心網(wǎng)進(jìn)入業(yè)務(wù)系統(tǒng)的攻擊，通常核心網(wǎng)與業(yè)務(wù)網(wǎng)利用網(wǎng)絡(luò)設(shè)備直接連接，沒有任何安全防護(hù)。

2）來自于互聯(lián)網(wǎng)的威脅，從業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)出口進(jìn)入的黑客入侵攻擊、大規(guī)模拒絕服務(wù)攻擊（DDoS）等，網(wǎng)絡(luò)層網(wǎng)關(guān)類訪問控制設(shè)備對此類攻擊無能為力，最終影響整個業(yè)務(wù)平臺的正常訪問。

3）業(yè)務(wù)非法訂閱問題，主要方式包括：不遵循業(yè)務(wù)流程的非法訂購行為，無法進(jìn)行監(jiān)控的非法訂購，比如不經(jīng)過WAP網(wǎng)關(guān)的訂閱、不經(jīng)過計費網(wǎng)關(guān)的訂閱、SP/CP模擬用戶進(jìn)行訂購等。

4）濫用業(yè)務(wù)，通過盜用端口模擬業(yè)務(wù)邏輯或者調(diào)用業(yè)務(wù)進(jìn)程，非法使用業(yè)務(wù)資源。如WAP業(yè)務(wù)中曾經(jīng)泛濫的PUSH群發(fā)。

5）業(yè)務(wù)系統(tǒng)通常與其它業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)或者第三方接入平臺互聯(lián)互通，業(yè)務(wù)系統(tǒng)之間互聯(lián)并未進(jìn)行嚴(yán)格的訪問控制，可能造成各業(yè)務(wù)平臺之間的隨意訪問，影響業(yè)務(wù)平臺安全。

支撐網(wǎng)面臨的安全威脅如下：

1）業(yè)務(wù)系統(tǒng)之間的邊界不清

業(yè)務(wù)系統(tǒng)分期建設(shè)，業(yè)務(wù)系統(tǒng)之間的隔離還是通過系統(tǒng)在自身邊界處通過網(wǎng)絡(luò)設(shè)備ACL和防火墻訪問控制實現(xiàn)。策略的統(tǒng)一性非常差，且不便于運營商的運維部門統(tǒng)一管理。一旦有新的業(yè)務(wù)系統(tǒng)建立或者某個重要系統(tǒng)升級，則相關(guān)系統(tǒng)的管理維護(hù)人員需要大量修改訪問控制策略，甚至有的維護(hù)人員為了減輕維護(hù)的工作量直接配置十分寬松的訪問控制策略，根本無法起到業(yè)務(wù)系統(tǒng)之間嚴(yán)格按需互訪的目的。一旦某個系統(tǒng)發(fā)生安全事件，可能直接擴(kuò)散到其他重要的業(yè)務(wù)系統(tǒng)中，從而影響的支撐網(wǎng)全網(wǎng)穩(wěn)定運行。

2）與互聯(lián)網(wǎng)存在多個出口

隨著業(yè)務(wù)和管理發(fā)展的需要，各支撐系統(tǒng)（網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、企業(yè)信息化系統(tǒng)）與互聯(lián)網(wǎng)的互聯(lián)需求越來越多，各類支撐系統(tǒng)通常都存在互聯(lián)網(wǎng)接口，各接口都采用了一些安全防護(hù)措施，但這樣獨立設(shè)置安全防護(hù)系統(tǒng)存在投資大、漏洞多、安全策略不統(tǒng)一，安全建設(shè)投入和管理成本越來越高的問題。

3）終端安全帶來的安全隱患

支撐網(wǎng)中繁雜而瑣碎的安全問題，大都來自網(wǎng)絡(luò)內(nèi)部，主要是補丁升級與病毒庫更新不及時、蠕蟲病毒利用漏洞傳播、移動電腦設(shè)備隨意接入等由終端帶來的安全隱患。。

4）遠(yuǎn)程維護(hù)存在安全隱患

支撐網(wǎng)中存在大量的遠(yuǎn)程維護(hù)需求，核心設(shè)備一般由運維人員遠(yuǎn)端登錄維護(hù)，遇到出現(xiàn)問題的緊急情況會提供網(wǎng)絡(luò)通道由廠商技術(shù)人員遠(yuǎn)程登錄解決。遠(yuǎn)程維護(hù)的接入控制通常沒有進(jìn)行統(tǒng)一，存在多個遠(yuǎn)程維護(hù)的接口，維護(hù)的方式也多種多樣。一旦被惡意使用者通過弱口令、控制終端入侵等方式，遠(yuǎn)程登錄到支撐網(wǎng)中，將給支撐網(wǎng)網(wǎng)絡(luò)造成不可估量的損失和極其嚴(yán)重的后果。

承載網(wǎng)面臨的主要威脅來自于大流量的沖擊，比如P2P應(yīng)用消耗大量的骨干網(wǎng)帶寬。對于流量消耗型的業(yè)務(wù)，按時長計費是用戶愿意接受的方式；而長期在線型小流量的業(yè)務(wù)，按流量計費是用戶愿意接受的方式。運營商移動互聯(lián)網(wǎng)已經(jīng)開始按時長計費的嘗試，對于大流量的沖擊應(yīng)該研究防護(hù)的手段。#p#

四.  移動網(wǎng)絡(luò)安全建設(shè)思路探討

4.1  基于業(yè)務(wù)的安全評估

全面、系統(tǒng)地分析業(yè)務(wù)系統(tǒng)面臨的風(fēng)險，能很好的為設(shè)計符合業(yè)務(wù)特點的安全方案打下良好基礎(chǔ)。調(diào)研是安全評估的基礎(chǔ)，那么如何基于業(yè)務(wù)需求來開展調(diào)研呢？

首先準(zhǔn)確、全面的把握評估的目標(biāo)業(yè)務(wù)是什么，這需要站在企業(yè)組織的業(yè)務(wù)使命、業(yè)務(wù)戰(zhàn)略的高度，了解業(yè)務(wù)，了解達(dá)成或?qū)崿F(xiàn)業(yè)務(wù)戰(zhàn)略的一系列的業(yè)務(wù)流程，以及與業(yè)務(wù)流程正常實現(xiàn)、運作的相關(guān)IT系統(tǒng)，并了解組織的未來發(fā)展、規(guī)劃情況，以全面、有效地把握業(yè)務(wù)現(xiàn)狀、業(yè)務(wù)發(fā)展情況。

其次，從管理角度對企業(yè)組織結(jié)構(gòu)、部門及崗位職責(zé)、人員配置情況進(jìn)行了解，再根據(jù)部門職責(zé)，了解其管理制度、流程，并分析貫穿管理體系及具體管理流程的管控措施設(shè)計及落實情況，并與既定規(guī)范標(biāo)準(zhǔn)、規(guī)范相比較，分析存在的差距與不足。

再次，從技術(shù)角度充分、準(zhǔn)確的把握IT系統(tǒng)對業(yè)務(wù)流程的支持、承載情況，了解系統(tǒng)承擔(dān)的業(yè)務(wù)使命和業(yè)務(wù)功能（和管理控制功能），了解系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用結(jié)構(gòu)，明確人員及訪問方式，根據(jù)業(yè)務(wù)功能梳理和刻畫IT流程，了解、分析貫穿IT流程數(shù)據(jù)處理活動，并對數(shù)據(jù)處理活動進(jìn)行分析歸納信息安全威脅、安全風(fēng)險和安全需求，分析現(xiàn)有安全措施對安全需求匹配程度，評價保證等級和能力。

最后，對管理和IT系統(tǒng)調(diào)研結(jié)果進(jìn)行匯總、分析，形成基于業(yè)務(wù)的安全評估報告，使整體安全建設(shè)能基于業(yè)務(wù)需求為出發(fā)點，為后續(xù)的安全建設(shè)提供指導(dǎo)依據(jù)。

4.2  業(yè)務(wù)系統(tǒng)安全承載

移動網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)利用IP承載網(wǎng)進(jìn)行承載，在IP承載網(wǎng)上為每個業(yè)務(wù)系統(tǒng)分配單獨的VPN通道，對各個業(yè)務(wù)系統(tǒng)進(jìn)行了隔離承載，避免業(yè)務(wù)系統(tǒng)之間互相干擾。業(yè)務(wù)系統(tǒng)安全承載面臨的最大風(fēng)險是大流量沖擊和大規(guī)模的DDoS攻擊。對于DDoS攻擊的防護(hù)可以通過在承載網(wǎng)部署流量分析系統(tǒng)和異常流量清洗系統(tǒng)對大規(guī)模攻擊行為進(jìn)行監(jiān)控。對于大流量沖擊可以利用深度包檢測系統(tǒng)對業(yè)務(wù)流進(jìn)行識別和控制。

4.3  安全域劃分和邊界整合

業(yè)務(wù)網(wǎng)、核心網(wǎng)、互聯(lián)網(wǎng)、支撐系統(tǒng)、第三方接入系統(tǒng)等系統(tǒng)之間具有網(wǎng)絡(luò)互聯(lián)和數(shù)據(jù)交換，如何保障系統(tǒng)之間的安全隔離，降低安全風(fēng)險影響的范圍，可以通過劃分安全域及邊界整合的方式進(jìn)行控制。針對運營商網(wǎng)絡(luò)的特性可以將業(yè)務(wù)系統(tǒng)劃分以下為四類主要的安全域：核心數(shù)據(jù)域、內(nèi)部互聯(lián)接口域、互聯(lián)網(wǎng)接口域和網(wǎng)絡(luò)交換域等。

核心數(shù)據(jù)域：本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)，該業(yè)務(wù)系統(tǒng)中資產(chǎn)價值最高的設(shè)備如數(shù)據(jù)庫及存儲位于本區(qū)域，外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備。

內(nèi)部互聯(lián)接口域：本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)互聯(lián)，如與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或第三方互聯(lián)的設(shè)備。

互聯(lián)網(wǎng)接口域：本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。該區(qū)域的設(shè)備具備實現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。

網(wǎng)絡(luò)交換域：負(fù)責(zé)連接核心數(shù)據(jù)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

安全域劃分完成以后，我們會發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)有很多互聯(lián)接口，這通常是由于大多數(shù)業(yè)務(wù)系統(tǒng)都是分期單獨建設(shè)，為了達(dá)到業(yè)務(wù)系統(tǒng)之間的互聯(lián)互通而造成的。為了降低業(yè)務(wù)系統(tǒng)之間的邊界接口，增加接口的安全可控性，需要通過邊界整合將不同系統(tǒng)的相同類型安全域整合形成大的安全域，比如統(tǒng)一辦公系統(tǒng)的互聯(lián)網(wǎng)邊界、統(tǒng)一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的互聯(lián)網(wǎng)邊界、統(tǒng)一計費系統(tǒng)與網(wǎng)管系統(tǒng)的邊界，以便于安全管理和維護(hù)。

4.4  網(wǎng)元自身的安全建設(shè)

通過安全域的劃分與邊界整合后，實現(xiàn)了不同類系統(tǒng)之間的隔離，控制了安全風(fēng)險的影響范圍，下一步就是提高系統(tǒng)中的網(wǎng)元自身的安全。網(wǎng)元自身的安全主要包括兩個方面：

安全配置：通常是由于配置不當(dāng)或人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)有關(guān)人引起的安全脆弱性。

安全漏洞：通常是屬于系統(tǒng)自身的問題引起的安全風(fēng)險，一般包括了登錄漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等，反映了系統(tǒng)自身的安全脆弱性。

安全配置類威脅產(chǎn)生的主要原因在于移動網(wǎng)絡(luò)建設(shè)過程中缺乏一套完善的系統(tǒng)安全配置指導(dǎo)規(guī)范，各系統(tǒng)承建廠商按照各自標(biāo)準(zhǔn)和經(jīng)驗進(jìn)行建設(shè)，從而造成同樣的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)配置參差不齊，往往帶來許多安全隱患。為了解決這一問題，我們首先可以制訂標(biāo)準(zhǔn)化一系列的系統(tǒng)安全規(guī)范，包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等設(shè)備、系統(tǒng)的安全配置和漏洞修補規(guī)范。接著對業(yè)務(wù)網(wǎng)、承載網(wǎng)、支撐網(wǎng)依據(jù)安全規(guī)范進(jìn)行安全整改，對于新建的系統(tǒng)在割接上線之前進(jìn)行安全測試，如果不符合安全配置規(guī)范則進(jìn)行相應(yīng)的整改后方可上線運行。

4.5  安全技術(shù)防護(hù)手段

在安全評估的基礎(chǔ)上，基于安全域劃分和邊界整合后，體系化的進(jìn)行安全技術(shù)體系的建設(shè)是提高整體安全性的必要手段。安全管理雖然強(qiáng)調(diào)“七分管理，三分技術(shù)”，但技術(shù)防護(hù)手段不可或缺。在多業(yè)務(wù)環(huán)境中，要統(tǒng)籌考慮不同系統(tǒng)的安全保護(hù)，需要獨立配置的就獨立配置，如防病毒 系統(tǒng)的客戶端、關(guān)鍵網(wǎng)段的入侵檢測；需要集中建設(shè)的要集中建設(shè)，如防火墻、IDS、防病毒的控制端以及賬號口令管理（AAAA）系統(tǒng)、域管理系統(tǒng)等，避免分系統(tǒng)進(jìn)行安全建設(shè)帶來的投資浪費、管理困難、效益低下的問題。同時，在信息安全領(lǐng)域，目前的攻擊手法已經(jīng)融合了多種技術(shù)，比如蠕蟲融合了緩沖區(qū)溢出、網(wǎng)絡(luò)掃描和病毒感染技術(shù)，如果依賴于安全產(chǎn)品的孤軍作戰(zhàn)，就無法有效地查殺病毒、無法阻止病毒的傳播。

安全技術(shù)控制措施多種多樣，并且在不斷的演化與發(fā)展，使得企業(yè)時常會感到困擾，很難清晰了解適合自身安全需求的模塊有哪些，其實只需將這些技術(shù)模塊進(jìn)行合理的歸類，并與企業(yè)的不同保護(hù)階段的要求相對應(yīng)，就能夠清晰了解并進(jìn)行合理的規(guī)劃選擇。 

圖 安全技術(shù)及控制措施

在安全技術(shù)體系中，將多種安全技術(shù)相結(jié)合，首先從技術(shù)體系劃分上，各類安全技術(shù)控制模塊可以被分為7個大類：準(zhǔn)備、預(yù)防、檢測、保護(hù)、響應(yīng)、監(jiān)控、評價等，在整個安全系統(tǒng)運轉(zhuǎn)中，各司其職。進(jìn)而結(jié)合階段性維度，根據(jù)不同業(yè)務(wù)系統(tǒng)的特點，分解到“基本保護(hù)階段”、“中度保護(hù)階段”、“深度保護(hù)階段”，從而明確劃分了技術(shù)手段的同時，也針對不同建設(shè)的階段需求，提供有計劃的、持續(xù)深入的技術(shù)保護(hù)。

4.6  安全管理建設(shè)

安全管理建設(shè)包括組織、流程、制度等方面的內(nèi)容，建立專職的安全隊伍，從事具體的安全工作，在集團(tuán)層面設(shè)置安全主管機(jī)構(gòu)，各省級公司設(shè)置專職的安全部門和安全專員員。結(jié)合電信運營商的運維體系，梳理安全工作流程，將安全工作體現(xiàn)在網(wǎng)絡(luò)與信息系統(tǒng)生命周期中的規(guī)劃、設(shè)計、開發(fā)等各個階段，保證安全工作的最終落地。

遵循和參考國際國內(nèi)信息安全管理標(biāo)準(zhǔn)、國家法律法規(guī)和行業(yè)規(guī)范的基礎(chǔ)上，闡述安全管理體系建設(shè)的目的、適用范圍、安全定義、體系結(jié)構(gòu)、安全原則、關(guān)鍵性成功因素和聲明等內(nèi)容，在技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。完善安全管理制度，根據(jù)電信運營商的業(yè)務(wù)正常運行和發(fā)展需求，綜合各方面的有關(guān)要求，提出公司的信息安全策略、方針，對信息安全保障體系建設(shè)和完善提供指引。

五.  移動網(wǎng)絡(luò)安全建設(shè)實踐

目前運營商移動網(wǎng)絡(luò)的建設(shè)正如火如荼，市場營銷部門緊迫的希望將業(yè)務(wù)盡早推向市場，可是在業(yè)務(wù)和網(wǎng)絡(luò)建設(shè)過程中也不可忽視安全方面的建設(shè)，在系統(tǒng)規(guī)劃和建設(shè)階段同步考慮安全問題可以很大程度上降低系統(tǒng)上線后的整體安全風(fēng)險和運維成本。    

為了保障業(yè)務(wù)的平穩(wěn)安全運營，電信運營商開展了大量的安全建設(shè)，下面我們介紹一下某運營商移動網(wǎng)絡(luò)建設(shè)的思路。該運營商在接收移動網(wǎng)絡(luò)以后展開了大量的業(yè)務(wù)系統(tǒng)的擴(kuò)容建設(shè)工作，對業(yè)務(wù)系統(tǒng)的承載網(wǎng)絡(luò)實現(xiàn)了割接，利用單一IP承載網(wǎng)實現(xiàn)多個業(yè)務(wù)系統(tǒng)的承載，利用VPN隧道將多個業(yè)務(wù)系統(tǒng)進(jìn)行隔離。安全建設(shè)工作與網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的建設(shè)同步開展，安全建設(shè)的首要工作是安全評估，通過評估了解網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全狀況，評估主要內(nèi)容包括：識別關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)流程；通過技術(shù)手段、調(diào)研訪談等形式識別系統(tǒng)所存在的各種技術(shù)、管理以及架構(gòu)上的脆弱性，從而識別可能被各種威脅源利用的弱點；在脆弱性識別和分析的基礎(chǔ)上，對可能面臨的威脅進(jìn)行可能性分析；分析業(yè)務(wù)和信息資產(chǎn)遭到破壞后所造成的影響。在安全評估的基礎(chǔ)上，對業(yè)務(wù)網(wǎng)和支撐網(wǎng)進(jìn)行安全域劃分和邊界整合，并且利用相應(yīng)的安全技術(shù)防護(hù)手段進(jìn)一步增強(qiáng)系統(tǒng)的安全性。

“專攻術(shù)業(yè)，成就所托”。綠盟科技一直以“巨人背后的專家”為己任，致力于網(wǎng)絡(luò)安全事業(yè)，經(jīng)過幾年的快速發(fā)展，已成長為面向國際市場的網(wǎng)絡(luò)安全解決方案供應(yīng)商。成立至今已先后發(fā)現(xiàn)Microsoft、Sun、Cisco 等廠商的系統(tǒng)漏洞達(dá)40余個，建立并維護(hù)著全球最大的中文漏洞庫（已經(jīng)成為業(yè)界廣泛參考的標(biāo)準(zhǔn)）。專注于多個安全領(lǐng)域進(jìn)行了深入的基礎(chǔ)性研究，并大量應(yīng)用于安全產(chǎn)品的研發(fā)和安全服務(wù)的提供中，在多項權(quán)威機(jī)構(gòu)測試和用戶評選中獲得高度評價和認(rèn)同。我們相信，憑借長期的安全研究積累、對行業(yè)的深刻理解、成熟的安全產(chǎn)品、持續(xù)的安全服務(wù)經(jīng)驗?zāi)軌驗檫\營商的安全建設(shè)提供值得信賴的安全保障。同時，我們也希望能繼續(xù)保持與運營商在網(wǎng)絡(luò)安全方面的長期合作，共同為電信的網(wǎng)絡(luò)安全事業(yè)貢獻(xiàn)力量。