面向重大活动的网络安全保障体系研究与实践
- 来源:网络空间安全 smarty:if $article.tag?>
- 关键字:重大活动,网络安全保障,可视化 smarty:/if?>
- 发布时间:2020-05-29 15:39
摘 要:为落实重大活动保障对网络安全管理的相关要求,中国移动通信集团江苏有限公司(简称江苏移动)总结历次的安全保障经验,将重大活动保障安全管理要求转化为工作流和信息流,将流程、人员、工具纳入一个紧密的安全闭环中进行衔接融合,使重大活动保障工作由靠“经验”变为靠“规范”。同时,建设支撑平台对重大活动保障安全管理工作进行可视化管理,实现了重大活动保障工作平台化、流程化、高效化。
关键词:重大活动;网络安全保障;可视化
Abstract: For guaranteeing the relevant requirements for network security management of important activities assurance, Jiangsu Mobile summarizes previous security assurance experiences. It transforms requirements for network security requirements into workflow and information flow, and it integrates processes, people, and tools into a tight security closed loop for convergence, which makes the assurance work from “experience” to “normative”. At the same time, the construction of support platform is able to visually manage the important activities assurance work, and realize the platform, process and efficiency of the important activities assurance work.
Key words: important activities; network security assurance; visualization
1 引言
近年来,我国陆续举办了G20、一带一路峰会、金砖峰会、十九大、新中国70周年阅兵等重大活动,数量之多、规格之高、要求之严前所未有。这些重点活动能否圆满成功与我国的国际影响和社会影响紧密相关。而随着技术的发展,来自网络安全的威胁也愈加复杂和频繁,因此网络安全保障又成为了重大活动保障中的重要组成部分,受到行业主管部门和网络安全主管部门的高度重视。由于运营商网络和业务的重要性,结合重大活动本身的特点,重大活动的保障工作,特别是其中的网络安全保障,已成为运营商的重要工作,是国家赋予电信运营企业的重大政治责任和社会责任。
2 当前挑战
通信行业主管部门要求运营商部署落实保障工作任务,防止自身发生重大网络安全事件。重大活动保障工作既是网络安全日常工作的集中体现和聚焦,也是对安全管理总体水平的一种检验和提升。
当前,网络安全保障工作存在一些共性问题。
首先,工作复杂度高。重大活动保障工作是一个系统工程,环节多、角色多、流程多、标准多,容易导致工作不畅。
其次,沟通协调难。一项任务往往涉及多个单位多个责任人,由于标准化程度低造成工作落实费时费力。
最后,整体性较差。多以事中和事后处置为主,缺乏事前、事中、事后的整体布局,保障活动的成功经验难以推广复制。
目前,业内缺少统一、标准的重大活动网络安全保障制度,突击式运动式的工作模式,难以形成“点线面”完整的保障体系。因此,如何创新安全管理模式以解决重大活动保障工作中的痛点,成为目前亟需解决的问题。
3 网络安全保障体系方法论
3.1 保障思路
按照上级单位的决策部署,为营造良好的网络秩序和网络环境,坚决防范网络安全重大风险,坚决遏制网络安全重大事件,以“万无一失”为目标,通过“五个强化” 努力实现工业和信息化部“四个确保”的要求。通过总结历次的安全保障经验,遵循“统一领导、集中指挥、分工负责”的工作原则,将重大活动保障安全管理要求、应急预案转化为工作流和信息流,最终总结出一套适用于运营商各类重大活动安全保障的方法论,使重大活动保障工作由靠“经验”变为靠“规范”,保证各项工作落实到人,确保重保任务高效运转,如图1所示。
3.2 保障等级
归纳梳理国家、行业、企业相关重保要求,参照等级保护的工作思路,根据重大活动的重要程度将重保任务分为特级、一级、二级、三级共四个级别。通过划分不同等级,实现不同强度的安全保障。
(1)特级:党和国家主要领导参加、具有国际影响力、活动地点在本省;上级单位要求按照最高等级进行保障的。
(2)一级:党和国家主要领导参加,具有国际影响力,活动地点在外省。
(3)二级:国家领导人参加,具有全国影响力/国际行业影响力。
(4)三级:其他活动。
3.3 保障阶段
根据保障工作的时间顺序和紧迫性,将重大活动保障分为备战、临战、实战、决战四个阶段,结合重大活动保障级别和相关安全日常运营工作,梳理提炼各阶段核心重点保障工作,形成重大活动保障工作任务清单及工作模板。
3.3.1 備战阶段
按照“专项工作常态化、常态工作专项化”的原则,制定整体保障方案。明确重点保障对象,梳理上级单位要求的和自有系统的重保对象资产清单。各单位将保障任务纳入重点管理,统一部署,统一安排,明确保障人员,并签订网络与信息安全保障承诺书。
3.3.2 临战阶段
各单位按照保障方案要求,细化本单位的保障工作方案和应急预案,开展应急演练,制定保障值班表,加强扫描评估。对本单位重要系统开展全面自查整改,对各单位重要网站、系统和业务组织监督检查,督促落实整改,及时消除安全隐患。
3.3.3 实战阶段
进一步梳理核准本单位关键基础设施和重要网络设施相关系统和资产,特别是互联网暴露面资产和关键基础设施,非核心业务系统考虑临时关停。完善网络安全监测体系,建立事件上报和信息共享机制。
3.3.4 决战阶段
严格执行7×24小時值班备勤和每日“零报告”制度。做好重大突发事件应急处置,发现安全事件快速响应,按照预案果断处置,确保业务尽快恢复,不良影响得到消除。在保障工作结束后完成安全保障工作总结,包括保障方案、保障效果和成果、问题梳理及经验总结、持续改善计划等,夯实基础,巩固成效,推动形成保障工作长效机制。
3.4 保障步骤
根据国家对关键信息基础设施安全保护和网络安全等级保护的相关要求,结合集团公司整体工作部署,参照“航天销项作业法”,将重大活动保障期间需要周期性收集汇总相关工作、疑难问题和困难罗列出来,并对罗列出来的问题和任务清单逐一进行闭环销项。这样的方式,将各类任务安排到相应单位和责任人,计划到时间点,定期对工作任务进行更新、对工作进程进行回顾,定期对工作进展进行通报,并对发现的问题及时进行闭环处理。
首先,制定“作业清单”。将保障方案、应急预案中的总体要求不断细化,梳理提炼核心保障工作,对应明确落实责任人、完成时限,通过支撑系统下发到对应责任部门和责任人。
其次,开展销项作业。对任务完成进展进行实施跟踪,用不同颜色表示不同进展情况,延期未完成的要开展定期通报。通过逐一排查、逐一整治、逐一销项的方式,将所有风险逐一销项或有效控制。
最后,闭环反馈。对每一项任务的结果实施闭环跟踪,明确达成标准,制定关键举措,确认关键目标点是否完成。按照保障阶段时间安排进行每项工作的销项确认审核。
4 重保流程可视化管理
4.1 平台架构
前期,江苏移动建设了网络与信息安全管理平台,作为面向决策层、管理层、执行层的安全综合管理协作平台。对照重大活动保障方法论,在平台上新增安全保障功能模块,将方法论在操作层面落地:一方面将网安、信安的工作嵌入到重保的各个阶段中,确保各项工作可控;另一方面通过规范安全管理流程,推动安全任务的标准化、可视化、闭环管理,建立安全工作人员协同配合机制,如图2所示。
4.2 安全保障主要功能点
4.2.1 安全保障阶段展示
保障分为备战、临战、实战、决战四个阶段,明确表明每个阶段的起止时间点,当前阶段用不同颜色高亮标记,保障工作时间进度一目了然。
4.2.2 安全保障任务进展
参照 “航天销项作业法”,以表格形式列出当前阶段每个部门有哪些任务,每个任务当前的完成情况。其中,绿色表示按时完成,黄色表示正在进行,红色表示任务延期。点击任务后显示对应任务的流程图,准确了解当前工作进展、责任单位和责任人。
4.2.3 安全保障人员情况
分别展示全公司参与保障的人员通讯录、省市公司保障值班表,当天值班人员突出显示。
4.2.4 安全保障相关资料
相关文档列表,例如本次保障方案、各类应急预案等,以便随时查阅。
4.3 应用效果
目前,平台支撑重大会议安全保障活动达9次。2019年,通过安全保障功能模块支撑新中国70周年庆典活动网络安全保障。开展安全任务督办工作,实现责任到人,保障相关安全任务在规定截止时间前完成,使安全保障工作基于任务方式有序进行,圆满完成保障任务。
安全保障模块上线后,大幅度提高了重大活动保障期间安全管理的工作效率,降低了企业的组织管理成本与人员投入成本,同时将提高安全人员整体的协同能力,节约了大量人力物力财力。依托该平台更好地落实了党委网络安全工作责任制和省管局属地化考核的要求,进一步完善了重大活动保障安全管理工作的“工作流程化、过程可视化、台账电子化”,确保了各项任务的及时可控,达到了重大活动保障“三个零”的目标,从而更好地落实了央企社会责任。
5 结束语
本文聚焦面向重大活动保障网络安全管理体系框架的研究,通过总结历次安全保障的工作经验,以安全任务方式驱动安全管理,将重大活动保障的各项任务理清理顺,将安全工作过程规范化、标准化,形成了统一的、基于安全任务的闭环管理模型,进而总结出了一套通用的重大活动保障安全管理方法论,更好地分阶段、分层次地指导重大活动保障工作开展。同时,建设了江苏移动网络与信息安全管理平台安全保障功能模块,对重大活动的保障组织、任务落实等进行集中管理和安全保障状况可视化展示,便于全面掌握保障工作总体情况,及时发现当前工作中存在的问题,督促及时整改,确保各项任务都闭环落实到位。
参考文献
[1] 邬敏华.重大活动网络安全保障研究与实践[J].信息安全研究,2017,3(02):177-181.
[2] 黄磊.重大会议期间网络安全保障工作实践及方法探讨[A].信息产业信息安全测评中心.2018第七届全国安全等级保护技术大会论文集[C].信息产业信息安全测评中心:北京市海淀区太极计算机培训中心,2018:9.
[3] 刘人铭.重大活动网络安全保障技术研究与应用[A].信息产业信息安全测评中心.2018第七届全国安全等级保护技术大会论文集[C].信息产业信息安全测评中心:北京市海淀区太极计算机培训中心,2018:7.
[4] 侯芳,颜骏,孙润涛,朱东来.重大活动网络与信息安全保障技术体系研究[J].电信技术,2013(05):40-44.
[5] 陈龙.杭州移动“三位一体”信息安全保障体系建设[J].网络空间安全,2017,8(Z4):98-102.
段炼