中国移动网络安全建设的思路

network

中国移动网络安全建设的思路

在2009第四届通信行业网络信息安全峰会上，中国移动设计院副院长兼总工张同须做了一个报告。其中，对于中国移动的网络安全建设的一些思路摘录如下： 关于划分安全域的原则 在建设互联网的时候我们要做一定的分层和区隔，所以我们就提到了安全域的划分原则，原则主要包括四个方面：方面一：业务保障原则。这个原则的根本目标是能够更好地保障网络上的承载业务。 方面二：结构简化原则。要划分安全域不能搞得过于复杂，它的目的和效果就是要把网络变得更加简单，便于设计防护体系。 方面三：等级保护原则。安全域的划分以及边际整合，要遵循业务系统等级防护的要求。 方面四：生命周期原则。对于安全域的划分和布防，不仅考虑静态设计，还要考虑动态、不断变化调整的工作。 在这四个方面来讲，我们要对互联网的建设划分一定的安全域。 我们有骨干网、省网，特别是从省网或者接入网的角度来讲会划分为若干个安全区，包括：IDC安全域、城域网的安全域、业务的安全域、分组域的安全域、域名服务器的安全域等等。通过这几个划分，在一定程度上保证我们互联网的安全。 安全防护建设的原则 从互联网的安全防护建设来看，我们有这三个方面的原则： 原则一：全方位多层次综合防护原则。移动互联网安全防护体系包括网络防护、重要业务系统防护、基础设施安全防护等多个方面，保证立体的防护措施。 原则二：在安全建设方面要有适度的原则。刚才也谈到，实际上安全性和我们网络的成本以及网络的可用性和效率是成反比的。因此在考虑安全性的时候应该考虑到平衡，不能追求极度安全而降低了网络的性能，反之同样 原则三：分步实施原则。有不同安全级别或者不同程度的安全性的问题，根据情况逐步实施。应该讲重要系统的安全建设和面临高危险系统的安全建设放在首位，同时要考虑安全体系的变化趋势以及系统本身的发展。这样的话就能够有效地平衡网络的可用性和效率，网络的安全性和成本这几个方面的问题。 安全防护建设要考虑到的安全技术 从安全技术来看，这五个方面需要进行考虑。 方面一：鉴别、认证。大家都清楚，只有授权的用户认证之后才能进入到网络中。 方面二：冗余、恢复。网络设备应该支持相关的协议，实现路由的备份以及设备的备份。 方面三：对关键数据访问合理划分权限进行控制 方面四：内容安全方面，要对穿过各种接口的流量、信令以及管理数据和敏感数据进行保护。 方面五：要对网络设备和各业务系统建立一些安全性的日志，也就是审计机制，一旦问题出现了以后可以跟踪到底是谁、什么问题引起的。 安全防护建设的三个建设阶段 整个的防护具体建设步骤有三个方面：方面一：分散防护阶段。 方面二：集中防护阶段。 方面三：集成防护阶段。 这三个阶段虽然有前后之分，但是应该说也没有过分严格的限制，只是根据不同的侧重点来进行实施。 我们在分散防护这样的一个阶段，主要是要建设分系统的防火墙的部署，基础类的安全防护技术以及设备自身安全防护，以这方面为主来做一些建设，就是比较分散的一些的手段。 集中防护阶段主要是以安全域的划分以及边界整合为依托，分析各个安全区域的安全威胁和防护需求，合理地划分安全的纵深的一些体系，实现对整个系统的保护框架。 第三个我们叫集成防护阶段，这个阶段需要建立安全管理的平台和安全运行管理平台（SOC），同时要融合安全预警、安全威胁管理、事件响应、安全态势分析……。 这几个手段加在一起才能够形成快速和流畅的安全闭环管理和反应机制。刚才讲到的三个方面是相互融合、相互交叉的。 除此之外还要提到一点，安全本身并不只是技术问题，我们通常说的是三分技术七分管理，对于每一个部门、每一个企业来讲，有了这些措施远远不够，我们依然需要很多管理手段保证企业的网络运行安全和可靠。所以我们说要解决目前的安全问题，是一个综合治理的系统工程，除了技术手段、网络手段和防病毒等等方面之外，管理手段也是必不可少的。