构建核心重要IT资源的安全配置基线,建立和动态监控管理,基于强大自动化工具属性,提供入网安全辅导、入网安全验收、日常安全巡检管理等重要场景,同时落实工信部、等保2.0可信计算环境要求和护网安全评估工作,帮助电信运营商开展综合安全合规管理。
中国移动的网络系统是一个庞大复杂的系统,在支持业务不断发展的前提下,对于系统自身的配置合规要求越来越高,如何保证系统自身配置的安全合规是一个巨大的挑战。中国移动已颁布了众多的涉及系统/设备安全配置的安全规章制度、安全配置技术规范等。落实执行这些安全要求,开展系统/设备安全入网验收、日常安全检查等工作,是中国移动安全合规管理的重要内容。
中国移动安全合规平台采取两级方式,设置总部安全合规平台和省级安全合规平台。总部合规平台设置在中国移动通信集团公司总部,对总部自有设备、业务系统进行常态化安全管理,并对各省公司安全合规平台进行监控和管理;省级安全合规平台设置在各省公司,主要对省内设备、业务系统进行管理。 利用安全合规平台的安全基线检查、资源弱口令检查、防火墙策略检查和系统漏洞检查等功能,实现自动化的安全入网检查,大幅降低了设备带病入网的几率;实现覆盖全网的自动化安全检查,并生成灵活多样的检查分析报告;实现客观准确的安全评价,使得安全管理和安全加固更加有的放矢;自动生成针对性的安全加固指导手册,系统管理员可以独立完成安全加固,减少对于安全专家的依赖。
针对业务系统规划环节自动生成安全防护方案、针对业务系统建设环节自动进行安全配置辅导、针对业务系统上线入网环节自动进行安全入网检查和验收、针对业务系统日常运维环节进行安全配置检查的动态安全管理。依据安全合规三同步要求,实现对于业务系统全生命周期的安全合规管理。
安全合规平台已经成为中国移动重要的日常安全管理支撑平台,每年针对中国移动网管支撑系统范围内超过60万台套设备和系统进行安全检查,覆盖范围超过80%。 通过安全合规平台的应用,使得中国移动内部安全管控水平大幅提升,大幅降低了业务系统带病入网的安全风险;内部安全管控效率大幅提升,安全检查效率相比人工检查方式提高近480倍。