张滨

（中国移动通信集团公司，北京 100032）

张 滨 高级工程师，现任中国移动通信集团公司信息安全管理部副总经理。清华大学无线电系毕业，曾担任江西省移动通信局副局长，中国移动通信集团公司计划部、管理信息系统部副总经理，国务院国有资产监督管理委员会信息中心副主任。长期从事通信网规划建设、信息化推进、信息安全管理工作，参与了中央企业信息化政策措施研究，组织了中国移动ERP项目的实施，在通信、互联网、信息化和信息安全领域有较深入的研究。

移动互联网和物联网的迅速发展，极大地促进了社会发展、经济繁荣、人民生活水平的提高，通信网的基础性、社会性、全局性地位日益凸显。当前，互联网已经渗透到金融、商贸、交通及通信等各个领域，整个国家的民用和军用基础设施都愈加依赖互联网，网络已经成为政治、经济、文化和军事活动的中心。在“2008俄格战争”、“2009伊朗大选”等国际事件中，网络战、信息战的全面运用，充分说明了信息安全已经上升到国家高度，直接关系到国家安全。

近年来，内外部信息安全形势日益严峻，一些较大级别的信息安全事件逐渐增多，安全风险继续处于高危水平。病毒样本和木马数量急剧增长，网络攻击和网页篡改事件频繁发生，用户密码、账号被盗比例已上升到安全事件的第一位（27%）。2010年发生多起黑客DoS攻击事件，造成运营商域名系统瘫痪从而导致大范围断网。网络诈骗、客户信息盗用、垃圾短信和手机色情等事件频频曝光，社会影响力和关注度已达到前所未有的高度。种种事件表明，信息安全直接关系到经济和社会的稳定，各类信息安全事件直接影响到企业的声誉和正常业务运营。

我国信息安全面临的严峻形势，究其原因主要表现为信息安全意识不强，安全技术相对落后，安全防范措施比较薄弱。对此，我们必须在思想上高度重视，努力加强信息安全体系建设，强化落实各项工作，切实提高信息安全整体水平。

1 信息安全工作目标

随着传统网络IP化、设备实现软件化、3G业务等新技术新形式的出现，电信网、互联网和重要信息系统面临的安全形势愈发严峻，信息安全事件包罗万象。面对当前形势，中国移动充分认识到信息安全内容的复杂性、任务的艰巨性和过程的长期性，从自身实际情况出发建立起一套“3S”信息安全管理体系。目标是能够覆盖信息安全的各个领域，能够按照需求的变化不断提升安全指导能力，同时能够兼顾长期目标与短期落地的顺利结合。

“3S”信息安全管理体系围绕“Scope”目标指引、“Support”实施框架和“Solution”实施计划3个环节依次展开。如图1所示。

在“3S”信息安全管理体系中，“目标指引”作为信息安全工作的长期指导体系，用于信息安全的长期愿景制定、安全领域界定和理念指导，从战略的角度帮助中国移动建立信息安全发展规划。在目标指引的指导下，通过信息安全“实施框架”具体落实各项工作，建立起整套的信息安全管理机制、执行体系和支撑体系。实施框架借助各项“实施计划”，通过分期规划，制定信息安全的近期目标、工作任务和主要工作，逐步实现信息安全工作的目标指引。三者依次指引、相互推动，螺旋式推进信息安全工作，最终实现“量变到质变”的飞跃。

在构建“3S”信息安全管理体系过程中，中国移动根据当前信息安全形势和国家监管部门的具体要求，通过对X.805、ISF、ISO 27002等信息安全标准规范、国外最佳实践和当前行业环境进行分析，明确了信息安全工作的指导理念、涉及领域和管控支撑体系，为国际一流信息安全体系奠定了目标基础。

中国移动把“构建国际一流信息安全体系，承担中国移动企业社会责任”作为信息安全工作的长期发展愿景，以“以科学发展观为指导，落实国家信息化发展战略，以安全保发展，在发展中求安全，源头抓起，健全制度，明确责任，整合资源，同步建设与网络、业务、用户发展相适应的信息安全管理体系，协调各单位全面完成各项信息安全工作任务”为指导思想，坚持“统一领导、分级管理；部门领导、一岗双责；业务拓展到哪里、管理覆盖到哪里；规划、建设、运行三同步”四项基本原则，进一步完善了信息安全管理工作的指导体系。

在指导体系的指引下，中国移动信息安全工作从安全策略、安全组织、安全技术、安全运营4个维度依次展开，并结合中国国情，制定了应用安全、内容安全、网络安全和基础安全四大信息安全领域。通过各个领域的独立及配合工作，形成全面覆盖，立体防护的安全体系，实现信息安全管控支撑的可感知、可控制、可管理，全面提升入侵感知能力、事件监控处置能力和安全合规管理能力。

图1 “3S”信息安全管理体系循环图

图2 中国移动信息安全工作目标指引

2 信息安全实施框架

中国移动信息安全实施框架以信息安全目标指引为重要依据，从安全工作理念、信息安全领域和管控与支撑3个维度建立起系统的管理机制、执行体系和业务支撑体系。分别解决了信息安全工作开展的机制是什么、需要关注哪些领域以及为满足信息安全要求，需要哪些管控支撑等问题，切实做好专岗专责，协同负责，形成稳固的信息安全长效机制。

中国移动根据信息安全工作存在的属性差异，在制定实施框架的过程中，分别从以下3个角度进行具体规划。

（1）围绕责任制度、人才队伍、安全运营和技术创新四方面完善管理机制，建立规范、高效的管理体系，形成对业务、系统、网络安全工作的长效管理机制；

（2）加强信息安全前台执行工作，重点抓好手机淫秽色情治理、垃圾短信治理、手机恶意软件防护、基础信息安全保护四大专项治理工作，建立保障业务开展的安全执行体系，为中国移动的业务发展保驾护航；

（3）稳固信息安全后台保障工作，培育安全评估、安全测试、监控响应、合规管理、协同工作、监督考核六大能力，建立信息安全工作服务于管控手段，形成可感知、可控制、可管理的支撑体系。

3 创造性运用“栅栏模式”，全面建立信息安全体系

中国移动遵循信息安全的合规要求，认真落实工信部信息安全责任制，创造性的运用“栅栏模式”的管理方式，以“责任共担，齐抓共管”为指导思想，从“人盯人”到“打联防”，螺旋式的持续推进信息安全管理工作。

图3 中国移动信息安全工作实施框架

“栅栏模式”是中国移动特有的信息安全管理模式，对完善各项信息安全管理工作，提升国内信息安全整体水平具有重要的历史意义和现实意义。“栅栏模式”是以“业务流程”为栅，以“信息安全管理责任、制度建设、技术手段建设”为栏，以“规划、服务、管控、改进”为桩，推动业务流程和信息安全责任相结合，与业务制度相结合，并配套以相应的技术手段，通过不断细化，完善各流程环节的信息安全责任为端口，持续的推进信息安全管理。

3.1 建立信息安全责任管理体系，做到“事有人管”

以策略、组织、运营、技术为“栏”，通过建立信息安全责任制和加强技术手段建设，做到“事有人管”。

具体措施表现为：在安全策略上，加强安全规范、制度、要求等安全策略的制定，统一管理，提高管理效率；在安全组织上，通过安全责任矩阵明确责任，实现一岗双责，为“事有人管”奠定基础；在安全运营上，规范安全管理流程，做到“三个同步”，即同步规划，同步建设，同步运行；在安全技术上，加强基础型安全技术平台，规范技术平台规划建设，实现平台的一致性和可整合性。

3.2 落实信息安全执行管理体系，做到“大事做好”

以安全项目为“栅”，分领域实施，在统筹规划的基础上，与业务部门一起细化，完善管理职能，优化技术手段，加强监督，保证“大事做好”。

具体措施表现为：在4大安全领域，基于“信息安全管理实施框架”，栅栏管理模式将工作内容分为：应用安全、内容安全、网络安全和基础安全四部分。在安全项目的选择上：每年选择最重要的安全项目在各领域建设，加强与现有管理体系（“栏”）的承载，通过加大“栅”的密度，不断提升信息安全能力。在安全项目方面，要与现有的规范、流程、责任和支撑体系相融合，实现“栅”与“栏”的完美固定。

3.3 打造信息安全支撑管理体系，做到“事事做好”

以规划、服务、管控、改进作为基础，形成闭环管理，实现对安全工作进行整体规划、为业务部门开展的安全工作提供支撑服务、对安全工作进行管控、对新需求和安全管理提升进行推动。

通过坚持和开展流程优化和完善运营工作，加强手段建设提高安全管理支撑能力，螺旋式持续提升信息安全优势，支持中国移动的可持续发展。

4 信息安全工作实践

图4 “栅栏模式”：建立“栏”

图5 “栅栏模式”：夯实“栏”

图6 “栅栏模式”：打好“栏”

中国移动在“3S”信息安全管理体系的指导下，创造性的依托“栅栏模式”， 通过强化管理机制、执行体系和支撑体系，对客户信息保护、手机淫秽色情治理、垃圾短信治理和手机病毒防护等各项工作进行重点规划，全面落实，各项工作均取得了显著的成效。

以“打击手机淫秽色情专项行动”为例，中国移动从集团公司到各省公司，全力配合相关监管部门，做好各项指标考核工作。依托不良信息监测系统和北京、上海、广东3大拨测中心的人工审核团队，从投诉、时长、治理效果等各方面进一步完善手机淫秽色情治理考核指标体系，加强“栏”的安全规范建设。同时，组织开展第三方评估测试，建立责任追究制度，具体落实“栏”责任矩阵。通过对现有不良信息过滤技术进行研究，提出优化改进建议；推动不良信息监测系统、上网日志留存系统的建设，提高不良信息发现和封堵的稽查能力；利用ROCM平台开展不良网站封堵有效性验证，实现管理闭环等途径，从技术层面上强化“栏”的技术保障，实现平台的一致性和可整合性。

在建立“栏”的基础上，夯实手机淫秽色情治理的“栅”。在前期专项行动工作基础上，进一步改进客户举报受理、不良信息处理等流程，确保举报渠道畅通，同时对现有业务开展梳理，研究并解决存在的安全风险，实现“栅”的稳固。

通过细化“栏”、夯实“栅”，“栅”与“栏”彼此支撑，相互配合，中国移动手机淫秽色情治理工作取得了显著成效。仅2011年上半年，我公司查获并封堵淫秽色情网站310952个域名，较去年全年增长278%；不良网站判定平均时由41min，缩短到17min，提升效果明显；开启ROCM平台每日域名验证功能，目前已累计验证29万个等，治理成效得到了上级主管部门的充分肯定。

5 结语

在“十二五”规划纲要的指引下，中国移动信息安全管理工作基于信息安全实施框架，提出了信息安全工作的“三步走”战略。第一步，2011基础能力建设年，积极做到建立信息安全管理体系，夯实信息安全管理基础能力。第二步，2012业务服务应用年，通过安全专项工作和常态化工作强化信息安全对集团业务的支撑。第三步，2013综合能力提升年，推动信息安全工作向系统化、规范化、协同化发展，实现信息安全工作的量化控制。

为实现这一战略目标，中国移动紧紧围绕信息安全管理工作发展思路，通过不断完善信息安全管理体系，建立长效工作机制、坚持技术创新，探索新领域，强化信息安全技术优势和承担社会责任，强化合规管理，保障公司可持续发展等3大重点举措，将信息安全工作思路落实到信息安全日常工作行动上来。

面对复杂的信息安全形势，在信息安全工作发展思路的指导下，加强信息安全管理工作具有重要的历史意义。它是弘扬先进文化、传播正确舆论思想、维护客户合法权益的根本需要，也是实现中国特色社会主义长治久安和中国移动可持续发展的重要保障。

肩负着历史的重任，中国移动信息安全工作将继续围绕“3S”信息安全体系这个核心，全面落实管理责任，全力构筑防护“栅栏”，坚持职能化、规范化、职业化、系统化、服务化，逐步建立具有自主创新能力和拓展能力的国际一流信息安全体系，努力维护国家安全、社会稳定和客户合法权益，切实履行国有骨干企业的社会责任。