定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《安恒信息:运营商安全解决方案蓝皮书(2024)(31页).pdf》由会员分享,可在线阅读,更多相关《安恒信息:运营商安全解决方案蓝皮书(2024)(31页).pdf(31页珍藏版)》请在本站上搜索。 1、运营商安全解决方案蓝皮书Blue Book前言运营商是国家信息通信领域的基石,也是数字化应用创新的先锋队,在网络强国和数字中国战略背景下更是我国极其重要的关键信息基础设施。电信、移动、联通三大运营商已成为推动整个信息行业进步和提升核心竞争力的关键所在。近年来,国家工信部、国资委、信通院以及各级政府出台一系列相关政策,旨在促进推动运营商行业的信息化进程,支持运营商开展信息化项目建设和研发创新。行业的发展趋势也呈现出多元化、智能化的特点。在信息化产业链整合中,运营商起到至关重要的作用,运营商在信息化过程中与软硬件供应商、内容提供商等产业链上下游企业形成了紧密的合作关系,共同推动行业的发展。全国工业2、和信息化工作会议对运营商2024年的工作提出了四点要求:“稳增长、促改革、惠民生、保安全”,其中“保安全”特别强调加强网络和数据安全管理,持续提升应急通信能力。同时工信部、国资委、信通院等对运营商的考核要求越来越高,围绕网络和数据安全事件、网络安全技术手段、重要数据安全管理、关键信息基础设施防护以及新技术新业务展开重点建设工作。安恒信息多年来一直致力于助力运营商信息安全建设,深度参与到运营商生态合作中,并与运营商共同探索技术创新的最前沿。安恒信息从运营商的云、网、数、智、密等核心数字化工作着手,从端、边、运、管等安全角度出发,规划和落地了满足客户业务场景需求的行业特性解决方案与产品,帮助运营商3、集团、各省公司及各专业公司客户满足各类场景下的安全需求。安恒信息将自身对运营商行业信息安全的理解和对行业未来的洞察进行编汇,正式发布此蓝皮书,旨在为运营商用户的信息安全提供成熟落地参考和创新解决思路。本文的所有内容,其版权属于杭州安恒信息技术股份有限公司(以下简称“安恒信息”)所有,未经安恒信息的许可,任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担保、立场倾向或其他暗示。安恒信息若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失,安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考,不构成任何要约或承诺,有关内容可能会随时更新,安恒信息恕不承担另行通知之义务4、。版权所有不得翻印版权声明目录中国电信篇中国电信场景化聚焦方案态势感知方案 安全运营方案 电信数据安全贯标方案天翼云一城一池方案天翼安全大脑方案 中国电信典型案例 江苏电信密评密改 某省电信5G态势感知1030406070911131415192022242728中国移动篇中国移动场景化聚焦方案数据安全方案 安全态势感知与智能风险评估方案安全资源池方案 中国移动典型案例 某移动高级持续性威胁监测分析项目2中国联通篇中国联通场景化聚焦方案5G+工业安全方案 数据安全方案密码安全方案 中国联通典型案例 某省联通产互数据安全3生态合作篇一体化云安全合作方案联合政企运营中心方案联合工业互联网安全平台方5、案4创新方案篇AI大模型赋能安全运营方案供应链安全方案5G双域安全零信任方案5313234363738404244485052中国电信篇运营商安全解决方案 -蓝皮书 -20240201近年来,中国电信在数字化转型、技术创新、市场拓展、服务升级及社会责任等领域取得了显著成就。然而,随着云网边端应用系统的快速增加,网络和信息安全问题日益凸显,成为行业发展的重大挑战。违规操作导致用户数据泄露、非法出售个人信息、系统漏洞被勒索病毒攻击等事件频发,不仅损害了用户利益,也对运营商的声誉和业务发展造成了严重影响。鉴于电信运营商掌握着庞大的用户信息、单位数据、生产及运营资料,数据的安全存储与应用面临多重风险。6、一旦核心应用遭遇攻击,不仅个人隐私将遭受侵犯,运营商的稳健发展乃至国家的整体安全亦将受到巨大冲击。因此,网络数据安全建设已成为刻不容缓的任务。在此背景下,中国电信肩负着建设数字中国、维护国家网信安全的重任。中国电信充分发挥自身在数据资源和网络安全技术方面的优势,推动安全能力的对外输出,为各行业提供坚实的安全保障,并在此过程中开拓了新的价值增长点。为应对新兴技术和业务带来的安全威胁,中国电信采用全新的安全思路和技术,构建网络安全能力验证、评价、示范和认证平台,打造适应新网络架构和应用场景的安全体系。为实现这一目标,运营商需致力于提供云网安全、数据安全等多元化安全产品和服务,筑牢安全防线。同时,构7、建一个涵盖数据安全管理体系、数据安全运营体系、数据安全技术体系的全面安全架构,为内外部网络提供全方位保障。未来,中国电信将着力构建“云-网-边-端-业-安”协同的融合创新安全能力,推动传统通信网络向新一代数字基础设施转型,为数字中国的建设及国家网信安全的维护贡献新力量。中国电信篇中国电信场景化聚焦方案运营商安全解决方案 -蓝皮书 -2024第一章04中国电信篇03态势感知方案中国电信安全解决方案方案背景中国电信通信网络和支撑系统是国家关键信息基础设施,按照关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函(工网安函20191494号)以及2021年-2023年云网发展滚动规8、划编制说明-安全专业要求,需要通过整合电信各安全类数据,打造安全数据中心,实时掌握网络安全态势,以提升安全事件应急处置能力,提高重大活动保障能力,支撑安全监控部门开展网络安全工作,保障电信企业网络安全。解决方案本方案主要由基础数据采集模块、大数据基础能力模块、态势感知模块3部分组成。在生产网侧建设前置采集平台,实现“业务日志和安全告警日志”采集,并经数据预处理后上报“安全态势感知系统”。前置采集平台对木马僵尸、移动恶意程序、DDoS攻击等全网性数据进行采集、预处理,并推送“安全态势感知系统”。网络安全态势感知平台,上收安全态势源数据,集中进行存储分析和可视化展示,将相关态势预警信息上报监管部门9、,并且接收上级监管部门的策略或指令。方案价值满足国家和主管部门考核要求按照中华人民共和国网络安全法和关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函(工网安函20191494号)要求,对集团、专业公司和省公司的安全风险信息进行数据采集、建模分析、多维态势展示,并将态势数据同步给工信部和省管局。提升企业安全管理水平通过对全网段存活资产识别、端口识别,及时发现最新的安全漏洞隐患,确保所有资产可控,并对业务系统进行安全事件关联分析,发现异常点和残余风险,及时处置,将安全事件的影响降到最低。提升重大活动保障能力在重要会议、重要活动等重大活动期间,为中国电信由日常监控向战时应急的迅10、速转换提供抓手,加强网络安全资源协调调度能力,全天候全方位掌握单位的安全态势,帮助单位在重大活动期间快速发现问题、处理问题,全面提升中国电信在重大活动期间的安全保障能力。方案价值(1)实现对多场景政企用户安全需求的支撑。(2)支持多厂商安全能力的统一运营与管理,提高浙江电信对外输出安全能力的竞争力。(3)安全能力原子化、容器化推进,适配业务上云、云原生等技术发展趋势。(4)将安全服务作为差异化优势引入,提升对外服务的综合竞争力,以安全增值服务助力业务转型升级。安全运营方案中国电信安全解决方案方案背景随着数字化转型的不断深入,中国电信积极实施“云改数转”战略,以云网融合为核心,推动业务创新和服务11、升级。在这一过程中,安全能力建设显得尤为重要,而且可以融合第三方安全底座,这也是云网融合成功的关键要素。然而,现有的安全运营平台也存在一些不足,如产品开通和退订流程不够自动化,平台可靠性和集群能力不足,无法有效纳管第三方安全资源池与安全组件,以及安全数据缺乏统一存储和分析等。这些问题限制了平台的服务能力,影响了用户体验,也无法满足日益增长的安全需求。因此,需要构建一个高效、智能、可靠的安全运营平台,成为当前迫切的需求。该平台需要能够覆盖更广泛的客户群体,提供针对多云场景政企客户的安全服务,解决现有平台存在的问题,并不断提升安全服务能力和用户体验。解决方案(1)安恒信息与中国电信合作联合开发“智12、云护航”安全运营平台,实现对共享及近源安全能力的全方位管理,涵盖订购、开通、运营、运维等多个关键环节。通过该平台,我们能够为用户提供更加便捷、高效的安全服务体验。同时,为了满足专线用户对于安全防护的特定需求,我们特别开发了针对云盒的管理能力,确保用户的数据传输安全无忧。(2)安全运营平台方案支持与云盒、安全资源池以及第三方安全组件的综合性管理。该平台实现了对这些组件的运维、运营、监控以及安全分析等多项功能,为用户提供更加全面、细致的安全服务。此外,我们充分利用安全云盒与电信网络的优势,与边缘安全资源池节点建立网络隧道,实现客户网络与安全资源池网络的互通。这样,客户不仅能够共享云端安全资源池的安13、全能力,还能通过安全云盒将流量引入边缘安全资源池进行安全检测与清洗,从而构建一个云边端协同的安全运营服务体系,为用户提供更加稳固、可靠的安全保障。运营商安全解决方案 -蓝皮书 -2024中国电信篇0605运营商安全解决方案 -蓝皮书 -2024中国电信篇0807电信数据安全贯标方案中国电信安全解决方案方案背景2020年3月,我国中共中央、国务院对外发布关于构建更加完善的要素市场化配置体制机制的意见,将数据定义为新型的生产要素,被正式纳入国家所定义的要素市场化配置中,成为企业发展乃至国家发展的重要战略资产。运营商业务系统中,存在着包含企业商业秘密和用户敏感信息的大量业务数据,如果这些商业秘密和用14、户敏感数据发生外泄等安全事件,轻则影响业务开展,重则将可能影响到企业核心竞争力。所以,电信行业的主管单位和集团公司对省里的数据安全工作提出了更高的监管要求。中国电信按照工业和信息化部年度基础电信企业行业数据安全标准贯标工作方案内容,严格落实电信集团和省通信管理局关于数据安全标准贯标工作要求,按照两部委考核内容,数据“谁生成谁负责,谁使用谁负责,谁存储谁负责,谁运营谁负责、谁主管谁负责,谁审批谁监管”的总体原则,统一归口管理、分专业负责的方式推进贯标工作。方案价值(1)满足国家和主管部门数据安全能力建设要求按照主管部门数据安全考核与安全能力建设要求,实现对重要数据和核心数据识别、分级保护,探索行15、业内数据安全最佳实践,推动电信行业加快数据安全的落地和执行,能够让数据安全变得可控、可管,为业务发展保驾护航。(2)建立数据资产驱动的安全体系以数据资产保护对象为核心构建,把所有需要进行保护的数据和高风险操作都定义为资产,使其可以统一进行资产管理和风险管理。当需要扩展或者分离保护目标的时候,只需简单的定义一类新的数据资产就可以提供完善的保护措施。(3)构建完善的访问控制管理体系一是在敏感数据和敏感操作上建立三权分立机制,彻底解决特权账户问题,及各种非授权访问、越权访问和权限滥用问题。二是通过多种控制因素,构建完善的身份体系,并通过认证证书实现真实身份映射,最终实现所有的访问控制和审计追踪都可以16、依赖真实身份进行,真正做到责任到人。解决方案建立数据安全管控平台和数据安全原子防护能力,对防护组件或系统数据信息进行采集、分析、审计、可视化展示,实现敏感数据发现、敏感数据分类分级、敏感数据分布、数据异常操作审计和数据安全态势展示;推动了数据中心的业务敏感数据的规范化、标准化和常态化的管理,且数据安全管控目标的落地。利用数据安全管理平台,结合人工方式,形成数据分类分级清单及重要数据清单。通过数据安全管控平台,实现了数据自动识别和数据分类分级,具备对数据资产的标识脱敏、接口安全管理、访问和操作行为安全审计等技术能力,且具备数据安全态势感知能力,最后通过与人工结合方式,形成数据安全态势报告。运营商17、安全解决方案 -蓝皮书 -2024中国电信篇1009天翼云一城一池方案中国电信安全解决方案方案价值满足合规性要求满足中华人民共和国网络安全法、信息安全技术网络安全等级保护基本要求、信息安全技信息系统安全等级保护-云计算安全技术要求等安全能力统一管理一个平台,可覆盖多个场景,建设一个多云安全与管理平台,降低安全建设以及安全运维成本。MEC安全增值服务除了提供传统IT基础设施服务外,通过发展存量及挖掘潜在客户,提升安全增值服务收益。安全服务弹性扩展当系统监测到某安全能力不足时,可即时生成新的安全能力实例,快速调整,即时生效。有效提高天翼云一城一池在政企安全领域的竞争力全省一盘棋打造对外统一的安全服18、务,有效激活云、IDC、专线全场景客户,有效减低建设成本和运营成本,以安全增值服务助力业务转型升级。通用许可:通用授权许可更加灵活,运营商前期不需要确定安全产品的种类和规格,只需要购买通用授权,可根据后期用户的需求随意转换,激活任意安全产品,满足用户多样化的安全需求。授权回收:当安全产品被删除时,会将开通安全产品所需要的通用授权释放,释放出的安全许可授权继续开通其他不同的安全模块组件,以保护运营商的投资。安全组件SaaS化:SaaS组件具有高性能、易维护、省资源的多重优势,将安全资源最大化利用,有效降低资源的投入,以及降低运维成本。方案背景为满足IDC、云、专线客户多样化、灵活化、定制化的安全19、需求,天翼云通过建设城市级安全资源池的方式,汇聚多种安全能力,开展云安全业务,以安全产品和服务为抓手,发力政府机关、大型国企等优质政企市场,实现天翼云一城一池云安全能力按需调度,需求灵活响应。解决方案安恒云统一安全中心解决方案由1个安全运营平台、1个集中安全防护能力和N个近源安全节点组成,云安全中心对集中安全防护能力和N个近源安全节点进行统一管理,运营商及其租户使用安全能力时,优先选择集中安全防护能力,然后根据其他安全需求,选择近源安全能力,如下图所示:运营商安全解决方案 -蓝皮书 -2024中国电信篇1211天翼安全大脑方案中国电信安全解决方案方案背景在信息时代,数字经济已经成为我国经济高质20、量发展的核心动力,新基建本质是“数字化基建”,是推动我国经济提质增效、转型升级的新引擎,近年来,人们生活中运用的新技术越多,数字化、自动化、智能化的程度越高,全社会全行业数字化背后最大的挑战还是安全。网络信息安全边界不断弱化,网络威胁层出不穷、勒索病毒及其变种的频繁出现,严重威胁到用户、企业、国家网络安全,网络安全对国家安全牵一发而动全身;针对网络安全防护与运维的难题,中国电信推出天翼安全大脑和天翼安全网关,集大数据之势,架智能安全引擎,显主动安全之能,保障电信通讯网安全无忧。天翼安全大脑和网关整合云、管、端、服,打造一体化安全SaaS服务;结合AI技术对不同安全场景进行智能分析,精准预测安全21、态势,多维度制定安全防护策略,提供多终端的一键防护能力,在保护用户、企业、国家网络安全基础上,开放、协同、联动。方案价值(1)低成本,大保护:满足多行业合规需求,如政府、金融、医院、校园、酒店、连锁机构企业等各类企事业单位、低成本实现,保安全、符法规、省成本、缩流程、保稳定、易管理、提效率。(2)托管式服务:用户根据带宽选择套餐即可,无需做任何部署操作、安全分析事件告警可通过平台实时查看、电信天翼安全大脑网关不同于传统运营商产品或安全厂商硬件,设备非人为损坏后免费更换、软件升级和售后服务不限次、专线+天翼安全大脑网关,安全感知上云,打造一条龙服务。(3)根据用户不同场景进行升级服务,可根据用户22、需求进行定制化服务,包括安全服务、渗透服务、风险评估、等保建设等服务,应对实时攻击,可以升级专家技术服务支撑。政企客户无需花费数万、数十万建设网络安全、购买防火墙、IPS、防病毒网关,支付高额软件升级授权、售后服务费用等;天翼安全大脑为政企客户提供了经济实惠的一体化方案,可降低一次性投资90%以上,节约综合使用成本约25%,托管式服务为用户排忧解难,用户无需聘请安全专员,服务过程全程专家托管,让用户安心上网,安心工作。用户根据带宽选择套餐即可,网关非人为损坏免费更换,软件升级和售后服务不限次。电信专线+天翼安全大脑网关为用户提供云网端服一体化能力,安全感知上云。解决方案中国电信典型案例运营商安23、全解决方案 -蓝皮书 -2024第二章14中国电信篇1305江苏电信密评密改中国电信典型案例项目背景依据GB/T 39786-2021信息安全技术 信息系统密码应用基本要求,在等级保护第三级信息系统要求中的应用和数据安全方面,数据传输和存储过程中都需要机密性和完整性保护。江苏电信2022年度商用密码应用需要在移动通信网络、重点业务支撑系统、重要增值业务、数据中心、云服务5个重点领域至少选取3个开展密评密改工作。目前江苏电信在统一工号系统已具备国产商用密码应用条件。解决方案根据云平台拓扑的部署方式和实现业务功能,在满足总体性、完备性、经济性原则的基础上,主要通过在机房部署的服务器密码机、国密浏览24、器、SSL VPN安全网关、签名验签服务器、传输透明加密系统 等 密 码 产 品,并 向 本 单 位 运 维 人 员 提 供USBkey+数字证书并正确配置,以满足云平台的密码应用需求。另外,建议部署符合国密要求的安全门禁系统和国密视频监控系统。具体方案功能框架如右图所示:项目价值1、统一工号系统完成数据传输安全与数据存储安全建设,实现与符合国家有关标准和要求的商用密码的兼容适配攻关,切实保障系统内重要数据在传输、存储过程中的机密性、完整性保护。2、统一工号系统中商用密码应用发现存在的问题与不足,为江苏电信网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。3、统一工号系统开展25、密评,有利于网络安全运营者的法定责任和义务:建设方案在等保建设与关基建设的基础上,落实“三同步一评估”要求。项目价值(1)5G态势感知大屏有效拓展态势感知覆盖范围,新增5G安全威胁监测场景,接入第三方安全厂商的恶意软件检测系统5G告警信息进行分析并展示。(2)APT安全监测5G网络协议,主要包括GTP、PFCP、NGAP协议等。(3)新增接入5G专网安全告警数据:接入网络安全态势感知平台所采集的5G专网安全告警数据,进行集中监测、研判、处置和展示,提升了5G态势可视化感知。某省电信5G态势感知中国电信典型案例项目背景某省电信企业基于工信部和通信管理局2022年基础电信企业专业公司网络与信息安全26、工作考核要点与评分标准和5G网络自身提升网络安全防护的需求,建立5G态势感知平台,旨在解决以下业务问题:安全威胁分析、处置等能力不足,需要进行优化与升级,以实现更准确、丰富的安全监测场景;未形成安全能力的共享与输出,需对安全能力进行封装;数据与上线主管部门相关接口不完善。解决方案某省电信企业态势感知项目,一级功能点共计10个,其中数据源,包含5G安全事件数据接入,5G安全态势展示,安全编排与自动化响应(SOAR)和攻击溯源能力,处置联动能力,优化全流量安全监测能力,安全监控预警能力,集团接口对接。建设内容包括:项目本地部署多节点AiLPHA态势感知平台、SOAR平台、6台日志审计平台等;全流量27、安全监测数据源,对全流量新增设备进行采集,用以安全分析与告警,对网络进行实时威胁预警;联动防火墙一键解禁封禁IP,联动EDR系统实现对失陷资产进行取证;根据集团需求,建设5G专网安全防护能力,将5G安全事件接入省级态势感知平台,进行统一监测、分析、处置和呈现;5G安全态势展示,支持基于采集的5G数据分屏可视化;运营商安全解决方案 -蓝皮书 -2024中国电信篇1615中国移动篇运营商安全解决方案 -蓝皮书 -202418中国移动篇17新一轮科技革命和产业变革正在重塑全球经济结构,算力作为数字经济的核心生产力,成为全球战略竞争的新焦点,将带动数字经济的创新和发展迈向新台阶。中国移动牢固把握数字经28、济新赛道带来的“重要窗口期”,锚定创建世界一流信息服务科技创新公司新定位,基于自身5G和算力网络优势,全力构建基于5G+算力网络+智慧中台的“连接+算力+能力”新型信息服务体系,统筹推进CHBN全向发力、融合发展。以推进数智化转型、实现高质量发展为主线。中国移动对内推动业务、能力、组织体系的全方位、系统性数智化转型,提升关键基础设施网络安全保障水平,打造攻击监测、协同防御、追踪溯源一体化网络防护体系,加快实现网络内生安全。横向增强安全管理力度,纵向深化集省协同机制。对外通过数字化、网络化、智能化赋能全社会数智化转型,助力实体经济提升全要素生产率,促进经济发展变革,体系化构建面向云、大数据、新型29、工业化等场景的安全产品,提供一站式安全服务,积极开拓政企市场。中国移动进一步延展和完善网络安全工作领域的具体任务,在基础安全、业务安全、数据安全、生态安全等方面进行持续提升。健全网络安全运营体系和防护根基,构筑数据安全堤坝,强化内容安全风控体系,并面向工业互联网、数字政府、车联网等领域健全安全服务能力,提高服务范围和产品数量。中国移动场景化聚焦方案运营商安全解决方案 -蓝皮书 -2024第一章20中国移动篇19数据安全方案中国移动安全解决方案方案背景伴随着数字化转型的高速发展,数据成为了数字经济发展的核心关键,数据要素存在巨大价值和潜能。国家对于数据安全愈加重视,各项法律法规及行业规范对数据安30、全工作提出明确监管和考核要求,数据安全已经上升到国家战略层面。随着中国移动生态产业链的持续发展及技术革新,数据量急速增加且种类庞杂、业务复杂多变,数据安全工作面临巨大挑战。另外由于中国移动数据安全防护能力的建设起步较早,通常采购了不同数据安全厂商的诸多工具及平台类产品,存在能力多样且碎、数据孤岛且散、效力覆盖面不足、技术防御手段滞后、技术支撑与管理运营割裂等问题,未能实现数据安全集中管理和运营机制。解决方案针对运营商行业面临的数据安全立体化防护、智能化管理、体系化运营等需求,面向中国移动,安恒数盾数据安全解决方案以恒脑大模型为技术底座,以CAPE能力模型(风险核查Check数据梳理Assort31、数据保护Protect监控预警Examine”)为核心思想,围绕让数据应用可信、安全流通、智能防护为目标,整体协同各项数据安全能力,对数据资源合理使用提供全场景、全链路、全生命周期的感知保护,并建立“数据安全运营”的全过程自适应安全支撑能力,最终实现整体智治的安全目标。方案价值以身份和数据为双中心安恒数盾数据安全解决方案同时从访问者“身份”和访问对象“数据”两个方向进行切入,阻止未授权用户的非法访问/操作,采用零信任机制建立动态访问控制。并以数据为中心,基于敏感级别提供灵活适配的防护策略及手段,建立阶梯化数据安全防护模式。提供多元化、体系化的能力生态提供平台、原子能力、咨询服务、风险评估等能力32、类型,支持与第三方数据安全能力的生态构筑。横向覆盖数据生命周期各环节及开发/测试/运维场景,纵向打通数据梳理、风险评估、管理策略、威胁监测等能力子域,并结合监管考核、保障组织、人员、流程,自上而下建立立体化数据安全防护体系。提供智能化、可落地的防护手段基于恒脑大模型实现数据安全能力的跃迁,显著增强敏感数据自动分类和预测、敏感内容自识别的能力及精准度,并实现未知风险监测及预警。安全态势感知与智能风险评估方案中国移动安全解决方案方案背景网络安全法、“等保2.0”等政策条例的出台,推动网络安全建设思路已经从传统被动防御转变为以威胁感知、风险监测、预警通报为主体的主动安全运营体系,基于基础安全构架,结33、合威胁情报、态势感知等新技术实现安全协同、风险预警、管理闭环的安全能力叠加,进一步健全完善网络安全综合防控体系,有效防范网络安全威胁,有力处置重大网络安全事件,切实保障关键信息基础设施、重要网络和数据安全。随着安全监管及管理的日益严格,安全威胁愈演愈烈,现有安全防护手段对于“安全防护有效性”的评估验证存在验证覆盖面窄、修复范围小、过多依赖人工、成本高等问题,运营商需要建设自动化可持续的安全防护有效性验证能力。解决方案安全态势感知与智能风险评估平台(AiLPHA)采用业界领先的大数据分析技术架构,依托雄厚研发实力与专业安全经验,为运营商用户提供安全态势感知与智能风险评估能力,为业务不间断运行提供34、安全保障。平台以基础安全资源为底层基础支撑,安全中台为中层能力输出,上层业务应用可灵活满足安全运营需求,整体架构图如下:基础安全环境为上层提供基础安全能力,包括威胁识别、安全防护、安全检测、安全响应能力设备。安全数据中台对安全数据要素进行整理汇集,为上层应用提供安全数据服务。安全能力中台对安全能力进行梳理管理调度,为上层应用提供标准安全能力。安全运营业务应用包括资产管理、威胁监测、溯源研判、应急响应、智能风险评估等模块,其中智能风险评估聚焦风险度量,对安全防护能力的有效性进行持续验证,通过攻击场景构造和攻击向量编排技术,实现控制措施及过程的验证和风险态势的度量。运营商安全解决方案 -蓝皮书 -35、2024中国移动篇2221方案价值业界领先大数据处理及威胁分析能力采用业界领先的大数据分析处理架构,支持分析计算能力的纵、横向扩展,可适应业务增长。平台基于IPDR集中管理安全能力,支持多种设备联动协同能力,基于 ATT&CK、大数据、AI 智能分析技术发现高级威胁,具备12+X场景化事件聚合,支持200+字段任意聚合,自由灵活。无损化、实战化的自动化风险评估支持外部入侵攻击模拟、内网横移攻击模拟、主机侧攻击模拟。并支持对安全设备有效性、漏洞可利用性、企业纵深安全防御体系、容器安全、人员安全意识、攻击编排等场景开展可用及有效性的风险评估。在整个攻击模拟过程中探针作为攻击的源头和目标,不对业务产36、生影响。有效提升企业安全感知能力与安全评估水平通过BAS从实战视角排查企业安全防御体系存在的风险及不足,提升事前感知能力。并且聚合了安全实验室的专家能力,通过自动化平台对企业安全防御体系的有效性进行安全评估,解决了传统依靠人工渗透测试存在的时间、范围、效果有限等问题。安全资源池方案中国移动安全解决方案方案背景随着社会数智化转型的深入,算力网络出现爆发式增长,电信运营商充分发挥央企主力军作用,积极构建“连接+算力+能力”新型信息服务体系,致力于构筑算力网络安全防护屏障,满足云、IDC、专线用户对算网安全的需求。在上述业务需求以及运营商云网融合的技术驱动下,安恒提出并建设云网安一体化的安全能力资源37、池,与算力网络进行融合,由算网大脑统一编排和调度,作为电信运营商的安全算力服务对外赋能,实现数智化安全运营。解决方案安全能力资源池基于边缘云技术自动化云端部署安全防护能力,通过软件化、服务化的方式为用户提供灵活定制的算网安全防护能力。通过算网安全能力底座对安全能力进行编排,利用云原生、虚拟化和容器技术,将安全原子能力的逻辑设计、部署流程进行深度融合,形成标准化的网络安全服务能力,实现安全原子能力的的自动化部署和按需调用,实现流量调度和服务链编排。方案支持多级部署模式,可在总部建设管理中心,负责集中运维和管理;各分节点可构建二级管理中心,在地市侧建设安全资源池节点,其中安全资源提供的安全能力按服38、务类型的角度可以划分为等保合规型、数据安全型、增强安全型和密码安全型等四大类。从安全能力部署方式的角度,可以划分为流量型、探针型、路由型等三大类。运营商安全解决方案 -蓝皮书 -2024中国移动篇2423方案价值多种类型安全原子能力网元的集成:安全资源池整合了多种类型的安全原子能力网元,包括流量型和非流量型,资源池能够对外提供多样化的安全服务,包括但不限于流量监控、威胁检测、入侵防御等,满足不同安全需求。第三方安全网关的统一纳管:安全资源池支持第三方安全网元的纳管,通过开发适配中间件的方式实现对第三方安全网元的兼容定制和适配性。增强了资源池的兼容性和灵活性,促进了第三方安全产品的集成和利用,扩39、大了安全资源池的功能范围。算网内生安全原子能力的灵活调度:安全资源池具备多种安全原子能力网元调度能力,包括探针型、流量型和路由型,安全资源池能够适应不同的算力网络环境和需求,提供灵活的安全服务。例如,探针型调度能力允许直接在目标服务器安装探针,无需复杂的流量引导;流量型调度通过算力网络SRv6封装和IP工作台编排实现精确的流量转发。运营商安全解决方案 -蓝皮书 -2024中国移动篇25中国移动典型案例运营商安全解决方案 -蓝皮书 -2024第二章28中国移动篇27某移动高级持续性威胁监测分析项目中国移动典型案例项目背景某移动积极发挥运营商在国家网络安全中的作用与担当,需要建设业界领先的APT监40、测分析能力,实现对境外APT攻击组织的持续跟踪分析、APT威胁监测与深度挖掘能力,筑牢现有技术手段在APT风险快速发现、深度分析和及时处置等能力方面存在的不足。项目价值建设业界领先的APT监测分析能力:建设业界领先的APT监测分析能力,实现对境外尤其是欧美APT攻击组织的持续跟踪分析及威胁监测能力。建设全网APT攻击事件的深度挖掘能力:利用移动公司网络及数据优势,实现全网APT攻击事件的深度挖掘、关联分析及全链条监测。生成专业APT威胁研究分析报告:发现隐匿复杂的APT威胁和攻击事件,结合专家分析生成专业威胁研究分析报告,具备核心竞争力。项目构建全流量采集、威胁检测、溯源取证、联动响应等能力,41、实现高级威胁监测分析及溯源取证,实时发现网络已知与未知威胁,提升安全事件感知能力,助力溯源分析及事件取证,满足合规要求,并建立业界领先的APT监测分析及溯源取证能力。解决方案中国联通篇运营商安全解决方案 -蓝皮书 -20243029全国工业和信息化工作会议对运营商2024年的工作提出了四点要求:“稳增长、促改革、惠民生、保安全”,其中“保安全”特别强调加强网络和数据安全管理,持续提升应急通信能力。同时工信部、国资委、信通院等对运营商的考核要求越来越高,围绕网络和数据安全事件、网络安全技术手段、重要数据安全管理、关键信息基础设施防护以及新技术新业务展开重点建设工作。在战略性新兴产业领域,中国联通42、积极布局前沿创新领域,在面向未来的重点领域从未停止探索的脚步,2024年,中国联通将在AI大模型领域,新一代移动通信领域,智算中心和算力网安全领域,工业互联网领域等创新领域方向投入更多的探索。中国联通作为运营商的中坚力量,已成为推动整个信息行业进步和提升核心竞争力的关键所在。2023年11月21日,中国联通网络安全现代产业链共链行动计划正式启动,为下一步产业链共链提供行动指引,中国联通积极担负网络安全现代产业链“链长”,为布局战新产业和未来产业发展迈出重要一步。以“安全荟”产业链安全云市场为载体,以“墨攻”安全运营服务平台为平台,在产业链整合中起到至关重要的作用,共同推动行业的发展。中国联通通43、过共链行动在行业努力推动共链行动、构建安全生态,安恒信息同样积极拥抱网络安全现代产业链,与中国联通成功联合共创众多合作领域。中国联通篇中国联通场景化聚焦方案运营商安全解决方案 -蓝皮书 -2024第一章32中国联通篇315G+工业安全方案中国联通安全解决方案方案背景中国联通利用5G专网赋能智慧制造等工业互联网企业,以智能工厂为载体,以关键制造环节智能化为核心,以端到端数据流为基础,以5G网络为支撑,实现5G+工业互联网领域的创新应用。目前主要面临四个方面安全威胁:5G智能泛终端安全威胁及网络安全威胁:5G接入设备数量庞大,类型众多,容易被实施分布式拒绝服务攻击,边缘计算节点部署位置下沉,攻击者44、可通过非法连接访问网络端口,获取网络传输的数据。5G工业控制专网安全威胁:工业控制系统用于封闭的生产业务需求,由于自身的高可用和稳定性要求,没有内生安全,存在着大量的脆弱性,5G将工业生产网络暴漏在互联网的攻击面下,带来了巨大的生产安全风险。5GMEC平台安全威胁:边缘云计算平台MEP基于虚拟化基础设施部署,攻击者对MEP服务接口进行非授权访问,拦截或篡改MEP与APP之间的通信数据,对MEP实施DDoS攻击。攻击者可通过恶意应用访问MEP上的敏感数据,窃取、篡改和删除用户的敏感数据。5G+工业互联网应用安全威胁:5G+工业互联应用给业务带来便利性的同时也带了大的网络安全威胁。例如,未经身份认45、证和访问控制带来的非法访问,以及对MEP的DDos攻击,降低了系统可用性带来的业务风险;数据传输和使用过程中的被篡改或泄露的风险,特别是控制指令在传输过程中被篡改带来的生产安全问题。解决方案安恒信息打造5G+工业互联网安全解决方案,覆盖了端、管、云、边下的应用场景方案,实现了可信端、可监管、可控云、可防边的部署架构,具体网络安全场景包括:5G泛终端内生安全能力感知、网络切片流量安全检测、MEC云安全资源池以及构筑纵深防御体系的工业控制系统信息安全。终端接入安全工业互联网企业用户数据安全网络隔离安全边缘计算安全运营商安全服务平台Internet行业私有云能源电力 制造工厂 园区办公 车联网RAN46、5GC边缘云PCFUPFAPP1APP2N6N4MEC平台AMFAUSFSMFNSSFUPF承载网数据安全方案中国联通安全解决方案方案背景伴随着数字化转型的高速发展,数据成为了数字经济发展的核心关键,数据要素存在巨大价值和潜能。国家对于数据安全愈加重视,各项法律法规及行业规范对数据安全工作提出明确监管和考核要求,数据安全已经上升到国家战略层面。随着中国联通生态产业链的持续发展及技术革新,数据量急速增加且种类庞杂、业务复杂多变,数据安全工作面临巨大挑战。另外由于中国联通数据安全防护能力的建设起步较早,通常采购了不同数据安全厂商的诸多工具及平台类产品,存在能力多样且碎、数据孤岛且散、效力覆盖面不足47、、技术防御手段滞后、技术支撑与管理运营割裂等问题,未能实现数据安全集中管理和运营机制。解决方案针对运营商行业面临的数据安全立体化防护、智能化管理、体系化运营等需求,面向中国联通,安恒数盾数据安全解决方案以恒脑大模型为技术底座,以CAPE能力模型(风险核查Check数据梳理Assort数据保护Protect监控预警Examine”)为核心思想,围绕让数据应用可信、安全流通、智能防护为目标,整体协同各项数据安全能力,对数据资源合理使用提供全场景、全链路、全生命周期的感知保护,并建立“数据安全运营”的全过程自适应安全支撑能力,最终实现整体智治的安全目标。运营商安全解决方案 -蓝皮书 -2024中国联48、通篇3433方案价值5G泛终端内生安全能力感知:通过在5G智能终端内部配置可信轻量级SDK软件,完成5G泛终端的安全监测、内核级进程文件防护、数据采集、数据加密、异常分析和5G泛终端大数据智能分析和态势感知等。MEC云安全覆盖:云平台上的安全措施由安全资源池提供,安全管理员通过云安全管理中心界面统一管理云安全资源池组件,同时监控边缘云安全资源池的占用率、边缘云安全资源一键分配和整个边缘云平台的安全情况等功能。云安全资源池组件包括了:下一代防云火墙、云综合日志审计、云堡垒机、云WEB应用防火墙、网页防篡改、云服务深度防御系统软件等。工业控制系统信息安全:工业控制系统专网,依据工业控制系统自身业务49、特性,建立以白名单技术和UEBA(用户行为分析)技术为核心、以纵向分层、横向分区为理念,构建以生产安全为目的的纵深防御体系。5G安全编排与自动化运营能力:5G泛终端产生大量的安全数据,通过手工、人工智能分析后进行分类,通过编排技术,将编排的结果按照一系列预案执行。执行过程中可使用类似工单的技术驱动责任人与状态的流转,执行结果可保存为知识库、案例库;然后通过自动化联动安全防护设备进行处置,执行包括但不限于:通过与外部设备/系统的集成,自动化完成安全事件上下文丰富化、持续追踪、联动处置。集团可使用SOAR 集成工具来数字化的定义事件分析与响应工作流程。比如蠕虫爆发处理流程、挖矿病毒告警处理流程、疑50、似钓鱼邮件处理流程等等,数字化管理起来形成预案。CAPECAPE数据安全能力框架风险核查Check通 过 风 险 核 查 让 数 据 资产 管 理 员 全 面 了 解 数 据库 资 产 运 行 环 境 是 否 存在安全风险。数据保护Examine基 于 数 据 使 用 场 景 需 求 制定 并 实 施 相 应 的 安 全 保 护技 术 措 施,以 确 保 敏 感 数据全生命周期内的安全。数 据 开 发 人 员B I分析人员测试库科 研 教 学 人 员中华人民共和国数据安全法中华人民共和国个人信息保护法全场景、全链路、全生命周期数据安全数据安全管控平台数据分类分级风险事件溯源以身份为中心合规知识51、库运营工单管理数据链路测绘实体行为分析以数据为中心检查指标模型安全风险处置访问热度分析数据安全态势动态权限策略自查督查协同安全事件处置生产区共享开放区报 表 系 统数 据 分 析 师数 据 挖 掘 工 程 师API 接口共享库运维管理区应用区数据要素安全流通区“可用不可见”“可用不可取”数 据 集 加 密 上 传授 权“数 据 模 型 运 营 方”的 数 据 集 申 请授 权“结 果 获 益 方”结 果 集 下 载区块链行为审计行业指引基础电信企业数据分类分级方法金融数据安全 数据生命周期安全规范汽车数据安全管理若干规定(试行)CA智 能 化、体 系 化EP数据采集数据传输数据存储数据处理数据52、交换数据销毁安全能力运维审计与风险控制系统(堡垒机)DAS-USMAPI网关API风险监测数据安全岛AiLand数据防泄漏系统AiDLP数据脱敏系统AiMask数据安全咨询与服务数据安全网关AiGate用户与实体行为分析系统AiThink零信任AiTrust数据安全管控平台数据库审计系统DBAuditor数据安全分级与风险评估系统AiSortAiGate数据库安全网关AiTrust TAM零信任身份服务中心AiThink/UEBA用户与实体行为分析系统AiSort数据安全分级与风险评估系统蓝图绘制级别判定路线设计国家法律中华人民共和国网络安全法AiDLP数据防泄漏(网络&终端)AiTTE透明传53、输加密信息安全技术个人信息安全影响评估指南信息安全技术大数据服务安全能力要求信息安全技术数据安全能力成熟度模型数据安全风险持续评估监测全局性可视化制度设计规范制定意识培养元 数 据 与 主 数 据 管 理数据库漏洞开发测试环节数据泄露数据资产底数不清数据稽核难过度授权特权账号终端数据泄露风险重要数据明文存储运维人员篡改拖库风险数据泄露无法取证溯源合规解读流程设计战略定位组织设计AiTrust API 代理网关(应用身份鉴别、接口敏感信息识别、API 访问控制、API 动态脱敏)DAS-USM运维审计与风险控制系统(堡垒机)数据梳理Assort数据梳理阶段,包含以身份为中心的身份认证和设备识别、54、以数据为中心的识别与分 类 分 级、账 号 权 限 的 梳理、形成数据目录。AiMask数据脱敏系统(静态脱敏、数据溯源)分类分级分级保护策略设计架构设计数据要素市场公共数据授权运营政务数据共享交换远程办公关键信息基础设施API 安全大数据交易中心东数西算智慧城市数据上云数据中台终端安全专题库主题库基础库业务系统数据安全要素设计差距分析风险识别影响评估AiMask 数据脱敏系统(静态脱敏、水印溯源)非结构化数据接口配置可 信 执 行 环 境,M P C,联 邦 学 习,同 态 加 密,P S I,差 分 隐 私 等多 种 隐 私 计 算 前 沿 技 术)DBAuditor数据库审计结构化数据库55、业务表业务表AiTrust API 代理网关(应用身份鉴别、接口敏感信息识别、API 访问控制、API 动态脱敏)攻击防护运维审批动态脱敏数据安全运营运营指标制定数据提供方数据模型运营方结果获益方安全能力提升安全基线梳理数据安全合规AiGate(动态脱敏、访问控制、漏洞防护、运维管控)数据资产地图数据风险感知动态权限管理AiTrust 应用代理网关(用户身份鉴别、应用访问控制、页面水印)数据安全咨询与服务AiSort(数据发现、分类分级、风险评估)安全评估通 过 全 方 位 监 控 数 据 的 使用 和 流 动,最 终 形 成 数 据安全态势感知。AiMask(ETL、静态脱敏、水印溯源)贯 56、穿 数 据 流 通 全 生 命 周 期 的 用 户 行为审计业务卡点设计安全流程制定数据安全场景测试开发区DBAuditor(数据库审计)数据治理数据目录动态鉴权访问控制账号准入多因子认证身份与访问管理业务应用C业务应用A业务应用B国家标准AiTDE(透明数据加密)可用可管可信AiLand数据安全岛第 三 方 开 发 人 员.脱 机 文 件顶层规划建设评估持续运营前 置 库监控预警应 用 生 产 库模 型 开 发 调 试 执 行下 载 加 密 结 果 集数 据 仓 库数据湖/数据中台权责分配目标制定API 接 口API 接 口API 接 口开放库风险评估数据发现主机风险数据风险分类分级账号风险57、WEB端后期前期中期Protect库表文件全 面 覆 盖立 体 化 防 护以 身 份 和数 据 双 中 心APP文件.密码安全中国联通安全解决方案运营商安全解决方案 -蓝皮书 -2024中国联通篇3635方案价值以身份和数据为双中心安恒数盾数据安全解决方案同时从访问者“身份”和访问对象“数据”两个方向进行切入,阻止未授权用户的非法访问/操作,采用零信任机制建立动态访问控制。并以数据为中心,基于敏感级别提供灵活适配的防护策略及手段,建立阶梯化数据安全防护模式。提供多元化、体系化的能力生态提供平台、原子能力、咨询服务、风险评估等能力类型,支持与第三方数据安全能力的生态构筑。横向覆盖数据生命周期各环58、节及开发/测试/运维场景,纵向打通数据梳理、风险评估、管理策略、威胁监测等能力子域,并结合监管考核、保障组织、人员、流程,自上而下建立立体化数据安全防护体系。提供智能化、可落地的防护手段基于恒脑大模型实现数据安全能力的跃迁,显著增强敏感数据自动分类和预测、敏感内容自识别的能力及精准度,并实现未知风险监测及预警。方案背景密码技术是运营商保障网络与信息安全的核心技术和基础支撑,密码法及相关法律法规明确了商用密码应用与安全性评估的法定要求。2021年3月9日,国家市场监管总局、国家标准化管理委员会正式发布国家标准GB/T39786-2021信息安全技术信息系统密码应用基本要求,已于2021年10月159、日起实施。基本要求结合近年来商用密码应用与安全性评估工作实践,按照信息系统安全等级分别提出了相应的密码应用要求。解决方案密码服务平台是一种全新的密码功能交付模式,是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。密码服务提供商按照云计算技术架构的要求整合密码产品、密码使用策略、密码服务接口和服务流程,将密码系统设计、部署、运维、管理、计费等组合成一种服务,来解决用户的密码应用需求。用户可不再“购买”密码硬件或密码系统等密码产品,而是以“租用”的方式使用云中提供的各种密码功能。方案价值满足密评合规要求安恒所有密码产品均按照国家/行业标准设计实现,采用国密SM2/SM3/S60、M4算法实现加解密能力,具备商用密码产品认证证书,帮助用户满足密码安全合规要求。避免系统二次开发改造安恒具有无需信息系统集成改造的透明传输加密、透明存储加密等产品,能够应对多样化的信息系统,满足不同应用在密评上的需求,减少系统二次改造的成本。密码安全一站合规通过密码资源池通过“ECS承载应用+调用VSM虚拟密码机”进行国密运算。密码资源池支持以服务目录的方式向租户提供商密能力,能够像订购等保产品一样订购商密服务。方案价值数字化助力精准运营,全面汇聚安全运营数据“一个池”形成汇聚数据采集管理、数据存储监控、数据共享监测、业务合规监管、数据使用管理等全方位要素安全“数据池”,为数据安全运营管理决策61、提供有力的数据支撑,形成数据采集、存储、加工、共享、使用等场景下的数据安全趋势分析,为数据安全运营决策提供研判支撑,通过数据安全管理运营平台,形成全环节、全流程、全要素信息“闭环”,实现“数”战速决。可视化助力高效运营,率先启用数据安全运营“一张图”整合安全工具资源,助力客户打牢涵盖全域资产的数据安全网,打造数据安全运营“一张图”,实时监控数据安全态势,高效调配安全防御能力与风险处置能力,大幅提升安全运营管理效率,建设“高位安全监管-中位监测分析-低位合规检查”三位一体数据安全监管支撑体系。中国联通典型案例运营商安全解决方案 -蓝皮书 -2024第二章38中国联通篇37某省联通产互数据安全中国62、联通典型案例方案背景当前以数字经济为代表的新经济已经成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,对数据安全的保护成为国策。中国联通具有数据资产规模大、数据增长快、数据种类多、数据资产台账不够清晰等特点,导致在对数据进行存储应用时会容易遭遇各种内外部风险。此外,中国联通支撑某省探索政务数据管理新模式,需要协助政数领域的管理者建立合法合规的数据安全管理平台,健全数据安全防御体系,以应对接踵而至的安全挑战。解决方案通过统一、高效的管理大数据中心的安全能力,建设满足数据安全全生命周期管理新要求,实现数据流向全流程、自动化管理。从安全管理体系、运营体系、技术体系出发,通过平台化管理,实现63、资产梳理、分类分级,形成数据资产地图,并进行多层级管理、流程审批、运营监管、安全产品纳管、态势感知和告警展示等,打造完整的数据安全管理生态链。数据安全风险生态合作篇运营商安全解决方案 -蓝皮书 -202405中国联通网络安全发展趋势第一章 3940一体化云安全合作方案生态合作解决方案方案背景在数字化中国的国家战略引领下,云网融合成为运营商的重点工作,中国联通投资了大量云基础设施建设,除了自用外,还为政企众多行业客户提供云计算能力。这意味着运营商具备多云、多IDC的IT环境,同时具有庞大的租户群体,云、IDC基础设施及庞大的租户群体都有着多样性的云上安全需求,包括云等保、云密评、云数据安全、容器64、安全等能力。云上各类安全能力往往采用“拼凑式”的方式补齐,能力割裂过于碎片化,难以现成统一的运营机制。解决方案针对运营商面临的云安全能力一体化输出、安全建设成本控制、多云安全的统一管理等个性化需求,面向中国联通,安恒信息提供一体化的云安全解决方案安恒信息天池一体化云安全平台集成网络安全、数据安全、密码安全、容器安全等安全原子能力于一身,统一管理、统一弹性授权,为云平台和云租户提供一站式云安全综合解决方案。在部署方式上支持融云部署,融合云管统一运营,授权弹性灵活可回收。数据安全风险生态合作篇数据安全中国移动解决方案运营商安全解决方案 -蓝皮书 -2024生态合作篇4241联合政企运营中心方案生态65、合作解决方案方案背景运营商有着丰富的云、网、IDC等基础设施,承载着政府、教育、医疗、金融、企业等众多行业客户的业务系统及数据。在网络安全形势越来越严峻和国家越来越重视网络安全的背景下,运营商需要将社会责任与政企市场的拓展有机地结合起来,积极把握数字中国建设中的机遇。当前,政府类单位作为运营商政企业务的重要客户,受限于财政资金紧张的现状,在数字化能力建设上的投资管控非常严格,以某省政府2024年的信息化投资规划来看,当年不新增IT项目立项,IT服务费用压缩50%。这必然也要求运营商提供更加经济、高效的安全服务方式。充分利用运营商的云网资源提供服务化的安全能力,是当下运营商面向政企安全市场的适用66、的解决方案,但运营商作为非专业安全厂商,介入政企安全市场相对较晚,安全能力、产品建设、服务能力、人员团队等缺乏全面规划,存在机会拓展难、交付体验差、持续运营难等一系列问题,需要协同专业的安全厂商一起快速建立起相应的能力。解决方案首先,构建覆盖云、网的安全监测和防护能力,如安全云盒、天池云安全资源池、APT/XDR探针等,以及租户级的态势感知能力。其次,构建MSS安全托管运营能力,建设安全托管运营服务平台和打造安全服务团队。此外,充分利用生成式AI在安全运营领域的应用,通过建设恒脑安全垂域大模型,赋能托管运营团队,提高运营效率。方案价值全栈能力,一站式满足云上各类安全需求:一体化平台将多种维度安67、全能力以及多云环境场景下的云安全能力,无需多次投资重复建设,即可实现多合一安全资源池。融云部署,助力运营商补齐融云安全能力:支持融云部署,平台支持隐藏化模块化,无需额外管理投入,助力运营商快速满足各类云安全能力补足需求。灵活订阅,联合打造共创生态盈利新模式:面向租户能力按需订购,自主配置。租户可自助式服务按需选择,自动化完成部署激活及使用。安恒信息拥有最丰富的云安全生态经验,愿与运营商携手探索共赢创收新模式。运营商安全解决方案 -蓝皮书 -2024生态合作篇4443联合工业互联网安全平台方案生态合作解决方案方案背景作为新一代信息技术与工业经济深度融合的产物,工业互联网连续多年被写入了政府工作报68、告,并在各工业领域的应用逐渐走向纵深。工业互联网的安全关系到各工业企业生产系统的稳定运行和生产数据的安全性,是稳定工业体系建设的基础。近年来国家工信部十分重视工业互联网安全的建设,并出台一系列措施鼓励运营商建设本地工业互联网安全平台。解决方案中国联通省公司通过建立工业互联网安全综合服务平台,协助支撑省通管局/工信厅建立面向地方工业企业的安全预警与协同应急管理能力,并向上实现与工信部国家平台对接。同时中国联通也可以利用此平台为工业企业提供公共服务,满足工业企业的合规要求,进而带动运营商省公司为当地工业企业提供安全服务和安全能力。方案价值满足运营商积极响应政策安恒信息协助中国联通省公司实现与工信部69、侧的国家工业互联网平台的数据上报和接口对接满足考核要求;支撑国家平台建立与部平台的常态化安全运营支撑能力,充分发挥运营商自身优势,为今后更多赋能建立基础;赋能地方主管单位为地方省通管局或信/经信厅提供数据与安全运营支撑,为运营商扩展更多面向企业的公共服务能力。方案价值能力融通打造新服务:该方案可以充分的发挥运营商的云、网资源和安全厂家的安、服资源,在此基础上打造覆盖云安全、专线安全、合规安全、监管安全、安全托管运营的安全服务能力。多维提升成就强队伍:以安恒、运营商组成的安全团队,共同支撑产品包装、服务交付、应急响应等工作,相互促进;通过培训赋能,针对性的快速提升运营队伍的理论和技术能力;通过运70、营实践,提升运营人员的实战能力,并逐步筛选出L1、L2、L3梯队人员。AI大模型赋能智运营:省级运营商安全托管运营中心,将面对千行百业的客户、海量的安全告警,恒脑可以在告警分析、事件分级、处置建议、运营报告等多维度赋能运营工作,提升运营效率。运营商安全解决方案 -蓝皮书 -2024生态合作篇46455G态势感知方案生态合作解决方案方案背景为强化关键信息基础设施保护的系列重要指示精神,落实网络安全法关键信息基础设施保护条例关于保护关键信息基础设施运行安全的要求,做好国家标准的落地实施,不断提升关键信息基础设施安全保护能力。5GC作为关键信息基础设施之一,它的安全防护目前还比较薄弱,需对标GB/T71、 392042022信息安全技术 关键信息基础设施安全保护要求的安全能力进行建设,本方案构建5G态势感知平台,旨在解决5G安全分析、安全防护、检测评估、监测预警、主动防御、事件处置能力不足问题,需要进行优化与升级,以实现更为准确、丰富的安全监测场景,对标国标关基要求进行补齐。方案价值5G态势感知系统不仅有效展示了全面的态势感知能力,还通过融合第三方系统的5G告警数据,进一步丰富了安全威胁监测场景,显著增强了安全防护的精准性和及时性。该系统具备对5G协议的深度解析能力,包括GTP、PFCP、NGAP等关键协议,从而能够全面洞察网络流量中的安全威胁。同时,5G态势感知可成功接入网络安全态势感知平台72、,实现了对5G专网安全告警数据的集中监测、研判、处置和直观展示。这一举措极大地提升了5G态势的可视化感知能力,使得安全管理人员能够更直观、更高效地把握网络的安全状况,及时应对各类安全挑战。总体而言,5G态势感知系统通过其强大的态势感知、协议解析和告警数据集成能力,为5G网络的安全防护提供了有力支持,是保障5G网络安全不可或缺的重要工具。解决方案5G网络安全态势感知系统是为5G网络量身打造的安全监测与分析工具,它能够深入分析网络场景,提供精准的安全态势感知与展示功能。这一系统可以是完整的外挂产品、系统或平台,也可以作为功能组件内生于5G网元系统中。其核心功能涵盖了数据管理、安全分析、安全评估、预73、警与处置以及可视化展示等多个方面。在数据采集方面,系统通过集成流量采集探针、资产安全管理平台、日志平台和安全设备等多元化数据源,并结合与公共漏洞发布平台的对接,实时获取最新的漏洞和威胁情报。这确保了数据的全面性和时效性,为后续的安全分析提供了坚实基础。数据管理模块则负责数据的采集、处理与存储。通过高效的数据清洗、整合和存储策略,系统能够确保数据的准确性和可靠性,为安全分析提供有力的数据支持。在安全分析层面,系统针对5G网络的脆弱性进行深入分析,包括漏洞扫描、配置合规性检查以及弱口令检测等。同时,结合5G网络的具体架构和场景,系统还提供了对5G RAN、承载、5G MEC、5G核心网以及运维操作74、的安全分析检测,全面覆盖5G网络的安全风险点。为了对5G网络的安全状况进行量化评估,系统建立了科学的评估模型和指标体系。通过对各项安全指标的综合分析,系统能够客观评价网络的安全水平,为安全决策提供有力依据。在安全态势预警及处置方面,系统采用先进的预警机制,能够实时监测网络状态并发现潜在威胁。一旦发生安全事件,系统能够迅速触发预警并生成应急处置建议,帮助管理人员快速响应并降低安全风险。此外,系统还支持安全威胁溯源和检索查询功能,便于管理人员定位和处理安全问题。在可视化展示方面,系统采用直观易懂的视图形式,全面展示5G网络的整体安全态势、专题安全态势以及区域安全态势。这有助于管理人员快速了解网络的75、安全状况,及时发现潜在风险并采取相应措施。为确保系统的安全可靠运行,系统从多个方面进行了安全设计。包括加强标识与鉴别、访问控制、通信安全、安全审计、数据保护以及系统升级等方面的安全防护措施。这些措施共同构成了系统的安全防线,有效保障了系统的稳定性和数据的安全性。综上所述,5G网络安全态势感知系统是一个功能全面、安全可靠的解决方案,能够为5G网络的安全管理提供有力支持。通过实时感知网络安全态势、深度分析安全风险并直观展示安全信息,系统有助于提升5G网络的安全防护能力并降低安全风险。创新方案篇运营商安全解决方案 -蓝皮书 -202405中国联通网络安全发展趋势第一章 4748AI大模型赋能安全运营76、方案创新安全解决方案方案背景运营商网络作为关键的信息基础设施,国家和主管单位对运营商网络的安全提出了很高的要求,从多个维度提出了相应的考核目标。运营商的云、网、通信系统、业务应用,存在架构多样、规模庞大、技术复杂等特点,导致围绕这些设施、业务展开的安全监测与防护手段,存在攻击面管理难、安全告警多、处置难度高等困难。运营商安全管理部门需要围绕关键信息基础设施、云网业务应用系统,在安全管理岗位和安全专业技术人员有限的现状下,规范网络安全运营体系,打造高效敏捷的安全运营能力,做深做广做强网络安全运营场景,从而更好的应对复杂的网络空间环境。解决方案在现有安全运营平台的基础上,建设基于恒脑安全垂域大模型77、的本地化人机协同系统,实现企业安全运营效能的提升。恒脑安全垂域大模型系统作为本地化安全运营场景中的AI Copilot,辅助运营团队,构建全面的脆弱性评估能力、提升受保护目标的安全韧性、提升安全事件研判与分析效能,全面实现安全运营新目标。数据安全风险创新方案篇密码安全运营商安全解决方案 -蓝皮书 -2024创新方案篇5049方案价值运营提效基于恒脑安全垂域大模型系统的智能安全运营能够自动解析和解读辅助的告警日志数据,并提供智能研判告警信息的能力。通过辅助驾驶模式,将恒脑大模型系统融入到日常安全运营中,为安全团队提供实时的辅助决策,推荐最佳的响应方案,实现高效的人机协同,进一步增强安全防御的智能78、化与时效能力。全天候安全值守通过大模型技术固化安全专家专业知识,以数字身份扮演安全运营角色,基于授权策略,可以确保安全运营的连续性,7*24小时即时响应和处置安全事件。(1)告警日志获取:由平台将日志进行汇聚,恒脑大模型系统可通过接口主动获取告警日志,可进行全量、增量的周期性获取。(2)告警降噪:对告警日志按条件进行聚合,形成告警聚合组;按照攻击者、受害者、告警类型、告警名称这4个字段完全一致进行告警聚合,将业务强相关策略,在降噪过程中进行;在降噪过程中进一步使用威胁情报进行碰撞,对威胁情报命中的告警进行打标。(3)告警解读:将单个告警聚合组的攻击者IP、受害者IP、告警类型、告警名称、告警时79、间等字段作为输入,通过模板的方式对上下文进行解读。调用IP地址的威胁问答能力获取攻击者IP对应的威胁研判结果。结合大模型对HTTP报文进行分析,包括攻击方式、攻击意图、攻击载荷等信息。(4)辅助决策:安全垂域大模型辅助开展安全监测、威胁感知、决策分析等工作。利用其强大的自然语言处理、逻辑推理等能力自动化加强安全预警和响应的速度和准确度,提高安全感知和识别的效率及安全运营的效能。供应链安全方案创新安全解决方案方案背景由于国内数字化经济的高速发展,给运营商及广大企业带来了前所未有的发展机遇,软件供应链根据软件生命周期的各个环节,基于传统供应链扩展而来,具有较强的互联网特性。而基于软件价值链的不断延80、展,促进了软件供应链的长链化、复杂化和多样化,对于管理软件供应链的安全问题带来了更大的威胁和挑战。解决方案供应链全生命周期可分为采购阶段、集成开发、软件交付和运营维护4个阶段。安恒信息为运营商提供供应链安全所需要的流程规范咨询和专业技术工具,包括面向整体供应链周期依据DevSecOps理念设计的安全开发一体化平台,针对软件成分开源组件管理的有效工具,以及针对代码的多维度的安全测试分析工具。供应链安全管理的另一个目标是对于供应链人员终端的安全管控。供应商人员往往会携带自己的终端进入单位内部网络,这对于运营商系统而言是一个极大的不确定性因素。安恒信息提供面向供应链人员管理的一体化工具,实现集终端安81、全、DLP数据防泄漏、零信任身份安全、终端行为审计于一体的一站式管控平台。供应商资质审查与可信分级供应商安全监督管理规范供应商安全考核指标供应流程风险分析供应商服务与应急处置安全开发一体化平台-供应链安全管理模块身份管理认证管理权限策略管理暴露面收缩入网准入与隔离访问传输加密敏感文件识别敏感文件发现文件分级分类文件外发管控文件外发审批文件外发审计图片敏感信息识别软硬件监控账户监控启动项监控进程服务监控开关机监控文件操作审计多系统监控移动存储管控打印管控刻录审计主机连接监控违规外联防护主机流量监控共享监控资产盘点远程桌面消息推送远程运维组织架构管理外设管控弹窗防护病毒查杀实时防护挖矿防御勒索防御82、沙箱分析屏幕水印应用水印截屏水印打印水印隐形水印文字水印图片水印漏洞扫描补丁管理基线检查文件落地加密文件透明解密加密权限控制安全开发一体化平台软件成分分析工具SCA静态安全审计工具SAST应用交互式测试工具IAST威胁建模分析工具黑盒安全扫描工具DAST软件成分分析工具SCA静态安全审计工具SAST应用交互式测试工具IAST黑盒安全扫描工具DAST容器环境安全检测工具零信任身份安全管理终端一站式管控平台应用安全防护系统RASP安恒全链路安全运营工具套装采购软件安全验收规范软件安全部署规范安全运营体系建设外包人员开发管理规范开发环境和工具安全管理规范安全开发管理体系安全开发流程建设安全开发知识体83、系建设安全开发训练体系建设供应链风险管理指南云计算服务安全能力要求信息系统安全等级保护基本要求信息技术产品供应方行为安全准则软件供应链安全开发评估服务供应链安全评估服务软件供应链专家咨询服务运营商安全解决方案 -蓝皮书 -2024创新方案篇52515G双域安全零信任方案创新安全解决方案方案背景随着5G应用的推广,在政务、警务、企业及校园场景利用5G网络访问企业内部应用已经成为普遍性的需求,通过5G网络替代或协同企业已有的Wi-Fi网络,在实现企业员工(如在校师生或政务人员等)使用个人手机正常访问互联网的同时,可以满足员工在企业园区内问企业应用的数据流不出企业内网的需求,实现2C和2B业务的双跨84、与共融,从而助力运营商提升集团成员粘性,引导集团成员携转,支撑政企信息化业务拓展。客户对5G专网接入企业内网的安全要求较高,比如政务外网承载业务量大,业务种类多,承载各级政府关键信息,在确保网络体验的同时,须确保安全性、可靠性。客户现有应用为增加安全接入和安全防护能力,需进行相应的改造,在一定程度上影响用户体验,从而阻碍5G专网的大规模应用推广。解决方案采用“可信访问,持续鉴权、智能运营”的理念,通过终端身份认证、终端环境安全评估、业务资产访问控制等核心能力,帮助用户实现流量身份化、权限最小化、信任度量化、业务安全访问的新一代网络安全架构转型。方案价值满足合规满足网络安全法、数据安全法、个人信85、息保护法、关基条例、等保等合规要求,同时满足国家对于电信企业供应商安全管理技术的要求。加快响应速度提供针对BSSMSSOSS三级定级系统的关键基础设施和应用供应商全链路实时告警等能力,加快违规行为和敏感数据泄漏事件响应速度。提高监管能力覆盖供应商安全管理的设计、采购、建设、运行、维护等重点环节人员和软件安全保障措施,提升数据安全监管能力,降低数据泄漏几率。解决追责难题通过软件供应链安全能力、零信任系统和敏感数据监测等技术手段精准定责、准确溯源、数据稽核。结束语在网络安全形势日益严峻的时代,运营商以坚定的决心和有力的措施,继续坚持创新,蓬勃发展。本蓝皮书旨在为各运营商集团、各运营商省公司及各专业86、子公司用户提供有参考价值的建设思路和技术路线,以帮助运营商应对不断变化的网络安全威胁,同时促进行业合作和知识共享。安恒信息认识到,网络安全在于技术创新,更在于合作共赢。安恒信息愿与运营商携手,融汇生态产业,普惠政企客户,共建网络安全新格局。最后,我们要感谢所有为本蓝皮书做出贡献的人员和组织。我们希望这份蓝皮书能够为运营商行业提供有价值的参考,并在网络和数据安全领域推动进一步的发展。运营商安全解决方案 -蓝皮书 -2024创新方案篇53在5G双域专网上引入零信任体系,建设零信任服务中心、零信任应用代理、UEBA分析引擎等安全能力,对接入园区的用户按角色进行细粒度访问控制,并进行持续化、动态化的用87、户行为分析和管控。完成零信任身份服务中心和园区UPF的对接适配,完成零信任身份服务中心和企业侧身份、权限数据的同步。等有新的用户会话到达园区的UPF时,触发园区UPF向零信任身份服务中心发起用户信息注册流程。园区UPF通过RADIUS消息,将相关用户的IP地址、手机号等信息同步给零信任身份服务中心。当园区内用户发起对内部应用访问时,相关访问信息到达零信任应用代理。零信任应用代理将访问用户的相关信息发给零信任身份服务中心进行鉴权。鉴权通过后,合法用户将获得对应权限的应用系统列表,进入正常访问环节。UEBA分析引擎根据用户在访问过程中的行为数据进行分析,发现不正常的操作行为时,及时联动零信任应用代88、理阻断用户访问通道。方案价值 无感认证:对使用用户的身份信息(手机号)进行实名认证,形成身份标签,不需要在用户手机上部署插件,用户也不需要进行登录内网的人工认证。权限控制:园区管理者按照用户的身份信息分配访问的应用系统权限,做到最小权限访问原则。风险响应:根据用户访问行为、基线、风险评分等信息,计算用户信任度量值,预设规则执行连接停止、用户锁定等动作。流量控制:针对用户访问请求消息进行流量控制,基于请求的内容大小、速度、连接数等进行检查,当超过预设的条件阈值时即自动实时流量控制措施。访问审计:对应用系统的访问行为进行日志记录和审计,包括身份、时间、目标应用、流量等,为用户单位提供有效的回溯依据。安恒信息 行业行销专家部为您定制运营商行业安全解决方案方案咨询