图文：中国移动网络部副总经理戴忠演讲

图为：中国移动网络部副总经理戴忠演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：中国 移动网络部副总经理戴忠演讲 (骆磊 摄)。

　　以下为戴忠的发言实录：各位领导，各位专家各位代表大家下午好，今天上午我们公司总裁代表各运营企业发表了《构建安全网络 服务和谐社会的倡议书》，鲁总走的时候跟我讲，他算忽悠完了，真正把安全工作做到实处要靠我们网络口，今天难得有机会和各位一起探讨中国 移动在网络安全方面做的工作，这项工作任重道远希望在这工作中得到各位大力支持。

　　今天汇报的题目分三块，一块是电信行业面临网络安全的挑战分析。第二是中国 移动目前做的网络安全保障体系建设情况、第三个是我们在日常网络安全工作中的实践总结。

　　首先是信息技术发展，网络安全带来新的挑战。一个是网络的数据化，传统的通信网已经由封闭的，基于电路交换系统向开放，基于包交换转变，由于开放性带来安全问题更加暴露，我过去长期从事移动网维护的，过去传统电信网从传输到交换都是封闭的网络，从来不担心受攻击和安全性问题，建的安全中心是用户的授权、见证，话音加密。现在有互联网以后，有数据通信网以后体会到外在的威胁对我们网络运行的影响。

　　第二个是终端的智能化，过去拿手机打电话，现在拿手机以后可能看电话，中国 移动有一个广告叫没事摸一下，可以上网可以看彩信非常方便，但随着终端智能化发展，不会有

　　第二个攻击技术的演变导致威胁增强，现在攻击工具越来越多样，而且越来越容易获得，所需要的技能越来越低，现在我们最讨厌网络攻击，一点技术含量没有，这还不像原来黑客要掌握很高深的技术，现在很容易，下载一个黑客程序就可以进行攻击，漏洞利用的时间越来越短，攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。企业面临的风险日益提高，由于网络技术的变化，由于漏洞不断的增多，由于网络向全IP方向发展，这些变化对于电信运营企业带来的风险增多。

　　以上是简单对电信行业面临的挑战做了一个简要的防细。对于中国 移动来讲，把中国 移动安全体系做一个介绍。安全是一项系统工程，涉及的问题是方方面面，我们划分成这样三个层面，一个是管理性的安全，一个物理性安全，第三个是技术性安全。很多人讲网络安全是三分技术，七分管理，所以构建中国 移动整个网络与信息安全体系的时候，从管理性、物理性、安全性几个层次分别设置我们安全体系。

　　我们做的安全体系目标是构建中国 移动网络与信息安全保障体系NISS，对于涉及公司所有信息资产包括通信网，业务支撑系统，包括各个部门网络部、市场部、财务部、研发部、人力等各种重要信息进行保护，对于网络安全性，可用性完整性保密性三个纬度做网络安全工作。

　　NISS主要三个纬度来构建全方位的中国 移动的NISS体系。做这事肯定要靠人，具体从事网络安全的同志感觉形势很紧迫，每天工作做不完，还得让领导重视，好在中国 移动高层领导非常重视这个事，组织架构来讲是一个三层的网络安全组织架构，最高是网络与信息安全领导小组，主要负责网络与信息安全的决策、第二层是管理层由网络与信息安全办公室，主要相关的主要部门管理人员组成、负责网络与信息安全管理层工作，第三个安全人员，负责网络安全生产性的操作。

　　在整个NISS的构架是这样一个构架，这个构架大家可能眼熟我们大的参考17799作为总的参照原则，结合中国 移动的网络特点，构建整个体系，整个体系分三层，最高一层就是总则、总纲、第二层一块技术指南，一块管理规定。我们管理规定比技术指南定得还要多还要细。第三个是操作层面操作手册工作的流程，通过一系列标准体系的制定和完全，和公司内的推广保证安全工作有章可循。

　　这是整个安全运作体系框架，围绕积极预防，及时发现、快速响应、确保恢复十六字方针覆盖整个信息生命周期，包括管理、技术、业务、人员和法律方方面面。从整个安全技术体系框架来看，昨天跟电信管理局汇报的时候，中国 移动做互联网算是后起之秀，我们网的规模跟中国电信、网通、联通比不了，但是王局长反问你们业务最多，确实也是，我们承载在IP网除了传统的互联网业务以外，还有大量跟移动数据通信相关，有短信、WAP、彩信等等，包括WLAN，和GPRS无线接入以后，还要在这上面承载，我们除了这些业务系统企业内部还有支撑系统，比如计费系统，用户关系管理系统，NISS等等一系列支撑系统也是基于IT的网络，因此我们按照分层，分业务再分不同安全事件几个纬度来构建安全体系。

　　以上简单介绍的是整个NISS的构架，下面和大家一起交流一下中国 移动在具体安全过程中碰到的案例，现在做的工作主要是六项加强基础性安全工作，主要包括安全城划分边界整合，生产终端集中安全管理，帐号口令集中管理。有一些省公司在基层单位在实际操作过程中有欠缺，出现过帐号口令几年不变，结果被盗用以后直接造成经济损失。另外技术性工作包括安全的预警、安全不定的管理、还有服务于断口的工作工作，这些工作是历经一年时间在十个省移动 公司做了试点，通过这个工作，因为这工作很简单，但是做完以后效果是立竿见影的。我们通过安全预警和应急响应的有机结合。

　　另外从预警信息渠道来讲，在

　　有两个案例一个是04年1月思科公司发布路由器的漏洞，因为中国 移动网上很多思科的路由器，我们要把它统统升级这工作量非常大，周期很长，2004年1月份马上要春节了，按照运营商的惯例，重大节日要通网，任何升级改造不能动的，我们认真分析面临安全的形势和解决需要的代价，最后跟思科人员共同分析，我们想把风险分析清楚，所需投入也清楚的分析，通过分析以后缩小受影响的范围，跟厂家一起制定了最佳解决方案，激动MPS的流量，在广东移动 公司做了一个测试，升级本身没有问题，系统打了安全补丁以后，经过现场测试没有问题，再在全网络推广。

　　第二个案例是狙击波病毒，这是今年8月份的事，微软公布安全漏洞，当天知道这样一个预警以后，马上向中国 移动网内下发了预警，同时也提供了这样一个补丁，在不能即使装补丁的省下发了预防的措施。16号狙击波病毒已经开始出现了，我们也是向全网提供了解决办法，查杀工具，这事处理比较及时，中国 移动没有受狙击波病毒的影响。

　　对于上午各位领导专家强调，对于攻击者是没有边界的，而防御者是有边界，因此防御者之间需要加强合作，共同构建主动开放有效的网络安全应急体系。中国 移动也得到领导的高度重视，最近领导提了新的要求，一方面我们在构建NISS过程中，参考17799，中国 移动也希望早日通过17799的认证，这在全世界电信运营企业里也没有几家可以通过17799认证的，中国 移动既然立足做世界一流的移动企业至少要把这作为努力的方向。另外关于SOC的建设，作为网络安全的管理者，如果没有好的手段是没有办法有效监控整个网络发生的事件，虽然现在建了防火墙，但是这往往处于头疼医头，脚疼医脚。整个安全体系在路上，没有真正到比较完整的阶段，所以对于SOC的建设题目很热，大家也非常积极的探讨，有很多这方面的专家也问我中国 移动什么时候建SOC，从需求角度来讲有这个需求，但是真正推进这个工作，中国 移动愿意跟在座专家一起探讨来构建我们真正的安全体系。

　　以上就是交流一些中国 移动网络安全的工作，我们非常愿意和大家一起探讨如何做好网络安全工作，谢谢！