运营商行业解决方案蓝皮书

运营商安全解决方案 蓝皮书 BlueBook 前言 运营商是国家信息通信领域的基石，也是数字化应用创新的先锋队，在网络强国和数字中国战略背景下更是我国极其重要的关键信息基础设施。 电信、移动、联通三大运营商已成为推动整个信息行业进步和提升核心竞争力的关键所在。近年来，国家工信部、国资委、信通院以及各级政府出台一系列相关政策，旨在促进推动运营商行业的信息化进程，支持运营商开展信息化项目建设和研发创新。行业的发展趋势也呈现出多元化、智能化的特点。 在信息化产业链整合中，运营商起到至关重要的作用，运营商在信息化过程中与软硬件供应商、内容提供商等产业链上下游企业形成了紧密的合作关系，共同推动行业的发展。 全国工业和信息化工作会议对运营商2024年的工作提出了四点要求：“稳增长、促改革、惠民生、保安全”，其中“保安全”特别强调加强网络和数据安全管理，持续提升应急通信能力。同时工信部、国资委、信通院等对运营商的考核要求越来越高，围绕网络和数据安全事件、网络安全技术手段、重要数据安全管理、关键信息基础设施防护以及新技术新业务展开重点建设工作。 安恒信息多年来一直致力于助力运营商信息安全建设，深度参与到运营商生态合作中，并与运营商共同探索技术创新的最前沿。安恒信息从运营商的云、网、数、智、密等核心数字化工作着手，从端、边、运、管等安全角度出发，规划和落地了满足客户业务场景需求的行业特性解决方案与产品，帮助运营商集团、各省公司及各专业公司客户满足各类场景下的安全需求。 安恒信息将自身对运营商行业信息安全的理解和对行业未来的洞察进行编汇，正式发布此蓝皮书，旨在为运营商用户的信息安全提供成熟落地参考和创新解决思路。 版权声明 本文的所有内容，其版权属于杭州安恒信息技术股份有限公司（以下简称“安恒信息”）所有，未经安恒信息的许可，任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担保、立场倾向或其他暗示。 若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失，安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考，不构成任何要约或承诺，有关内容可能会随时更新，安恒信息恕不承担另行通知之义务。 版权所有不得翻印 ©安恒信息 目录 1 中国电信篇 中国电信场景化聚焦方案03 态势感知方案04 安全运营方案06 电信数据安全贯标方案07 天翼云一城一池方案09 天翼安全大脑方案11 中国电信典型案例13 江苏电信密评密改14 某省电信5G态势感知15 2 中国移动篇 中国移动场景化聚焦方案19 数据安全方案20 安全态势感知与智能风险评估方案22 安全资源池方案24 中国移动典型案例27 某移动高级持续性威胁监测分析项目28 3 中国联通篇 中国联通场景化聚焦方案31 5G+工业安全方案32 数据安全方案34 密码安全方案36 中国联通典型案例37 某省联通产互数据安全38 生态合作篇一体化云安全合作方案 40 联合政企运营中心方案 42 联合工业互联网安全平台方案 44 5创新方案篇AI大模型赋能安全运营方案 48 供应链安全方案 50 5G双域安全零信任方案 52 4 运营商安全解决方案-蓝皮书-2024 中国电信篇 近年来，中国电信在数字化转型、技术创新、市场拓展、服务升级及社会责任等领域取得了显著成就。然而，随着云网边端应用系统的快速增加，网络和信息安全问题日益凸显，成为行业发展的重大挑战。违规操作导致用户数据泄露、非法出售个人信息、系统漏洞被勒索病毒攻击等事件频发，不仅损害了用户利益，也对运营商的声誉和业务发展造成了严重影响。 鉴于电信运营商掌握着庞大的用户信息、单位数据、生产及运营资料，数据的安全存储与应用面临多重风险。一旦核心应用遭遇攻击，不仅个人隐私将遭受侵犯，运营商的稳健发展乃至国家的整体安全亦将受到巨大冲击。因此，网络数据安全建设已成为刻不容缓的任务。 在此背景下，中国电信肩负着建设数字中国、维护国家网信安全的重任。中国电信充分发挥自身在数据资源和网络安全技术方面的优势，推动安全能力的对外输出，为各行业提供坚实的安全保障，并在此过程中开拓了新的价值增长点。为应对新兴技术和业务带来的安全威胁，中国电信采用全新的安全思路和技术，构建网络安全能力验证、评价、示范和认证平台，打造适应新网络架构和应用场景的安全体系。 为实现这一目标，运营商需致力于提供云网安全、数据安全等多元化安全产品和服务，筑牢安全防线。同时，构建一个涵盖数据安全管理体系、数据安全运营体系、数据安全技术体系的全面安全架构，为内外部网络提供全方位保障。未来，中国电信将着力构建“云-网-边-端-业-安”协同的融合创新安全能力，推动传统通信网络向新一代数字基础设施转型，为数字中国的建设及国家网信安全的维护贡献新力量。 中国电信篇 0102 运营商安全解决方案-蓝皮书-2024 中国电信篇 中国电信安全解决方案 态势感知方案 第一章 中国电信 场景化聚焦方案 方案背景 中国电信通信网络和支撑系统是国家关键信息基础设施，按照《关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函》（工网安函〔2019〕1494号）以及《2021年-2023年云网发展滚动规划编制说明-安全专业》要求，需要通过整合电信各安全类数据，打造安全数据中心，实时掌握网络安全态势，以提升安全事件应急处置能力，提高重大活动保障能力，支撑安全监控部门开展网络安全工作，保障电信企业网络安全。 解决方案 本方案主要由基础数据采集模块、大数据基础能力模块、态势感知模块3部分组成。 在生产网侧建设前置采集平台，实现“业务日志和安全告警日志”采集，并经数据预处理后上报“安全态势感知系统”。前置采集平台对木马僵尸、移动恶意程序、DDoS攻击等全网性数据进行采集、预处理，并推送“安全态势感知系统”。 网络安全态势感知平台，上收安全态势源数据，集中进行存储分析和可视化展示，将相关态势预警信息上报监管部门，并且接收上级监管部门的策略或指令。 0304 中国电信安全解决方案 安全运营方案 方案价值 满足国家和主管部门考核要求 按照《中华人民共和国网络安全法》和《关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函》（工网安函〔2019〕1494号）要求，对集团、专业公司和省公司的安全风险信息进行数据采集、建模分析、多维态势展示，并将态势数据同步给工信部和省管局。 提升企业安全管理水平 通过对全网段存活资产识别、端口识别，及时发现最新的安全漏洞隐患，确保所有资产可控，并对业务系统进行安全事件关联分析，发现异常点和残余风险，及时处置，将安全事件的影响降到最低。 提升重大活动保障能力 在重要会议、重要活动等重大活动期间，为中国电信由日常监控向战时应急的迅速转换提供抓手，加强网络安全资源协调调度能力，全天候全方位掌握单位的安全态势，帮助单位在重大活动期间快速发现问题、处理问题，全面提升中国电信在重大活动期间的安全保障能力。 方案背景 随着数字化转型的不断深入，中国电信积极实施“云改数转”战略，以云网融合为核心，推动业务创新和服务升级。在这一过程中，安全能力建设显得尤为重要，而且可以融合第三方安全底座，这也是云网融合成功的关键要素。 然而，现有的安全运营平台也存在一些不足，如产品开通和退订流程不够自动化，平台可靠性和集群能力不足，无法有效纳管第三方安全资源池与安全组件，以及安全数据缺乏统一存储和分析等。这些问题限制了平台的服务能力，影响了用户体验，也无法满足日益增长的安全需求。 因此，需要构建一个高效、智能、可靠的安全运营平台，成为当前迫切的需求。该平台需要能够覆盖更广泛的客户群体，提供针对多云场景政企客户的安全服务，解决现有平台存在的问题，并不断提升安全服务能力和用户体验。 解决方案 （1）安恒信息与中国电信合作联合开发“智云护航”安全运营平台，实现对共享及近源安全能力的全方位管理，涵盖订购、开通、运营、运维等多个关键环节。通过该平台，我们能够为用户提供更加便捷、高效的安全服务体验。同时，为了满足专线用户对于安全防护的特定需求，我们特别开发了针对云盒的管理能力，确保用户的数据传输安全无忧。 （2）安全运营平台方案支持与云盒、安全资源池以及第三方安全组件的综合性管理。该平台实现了对这些组件的运维、运营、监控以及安全分析等多项功能，为用户提供更加全面、细致的安全服务。此外，我们充分利用安全云盒与电信网络的优势，与边缘安全资源池节点建立网络隧道，实现客户网络与安全资源池网络的互通。这样，客户不仅能够共享云端安全资源池的安全能力，还能通过安全云盒将流量引入边缘安全资源池进行安全检测与清洗，从而构建一个云边端协同的安全运营服务体系，为用户提供更加稳固、可靠的安全保障。 方案价值 （1）实现对多场景政企用户安全需求的支撑。 （2）支持多厂商安全能力的统一运营与管理，提高浙江电信对外输出安全能力的竞争力。 （3）安全能力原子化、容器化推进，适配业务上云、云原生等技术发展趋势。 （4）将安全服务作为差异化优势引入，提升对外服务的综合竞争力，以安全增值服务助力业务转型升级。 0506 中国电信安全解决方案 电信数据安全贯标方案 方案背景 2020年3月，我国中共中央、国务院对外发布《关于构建更加完善的要素市场化配置体制机制的意见》，将数据定义为新型的生产要素，被正式纳入国家所定义的要素市场化配置中，成为企业发展乃至国家发展的重要战略资产。 运营商业务系统中，存在着包含企业商业秘密和用户敏感信息的大量业务数据，如果这些商业秘密和用户敏感数据发生外泄等安全事件，轻则影响业务开展，重则将可能影响到企业核心竞争力。所以，电信行业的主管单位和集团公司对省里的数据安全工作提出了更高的监管要求。中国电信按照工业和信息化部年度基础电信企业行业数据安全标准贯标工作方案内容，严格落实电信集团和省通信管理局关于数据安全标准贯标工作要求，按照两部委考核内容，数据“谁生成谁负责，谁使用谁负责，谁存储谁负责，谁运营谁负责、谁主管谁负责，谁审批谁监管”的总体原则，统一归口管理、分专业负责的方式推进贯标工作。 解决方案 建立数据安全管控平台和数据安全原子防护能力，对防护组件或系统数据信息进行采集、分析、审计、可视化展示，实现敏感数据发现、敏感数据分类分级、敏感数据分布、数据异常操作审计和数据安全态势展示；推动了数据中心的业务敏感数据的规范化、标准化和常态化的管理，且数据安全管控目标的落地。利用数据安全管理平台，结合人工方式，形成数据分类分级清单及重要数据清单。通过数据安全管控平台，实现了数据自动识别和数据分类分级，具备对数据资产的标识脱敏、接口安全管理、访问和操作行为安全审计等技术能力，且具备数据安全态势感知能力，最后通过与人工结合方式，形成数据安全态势报告。 方案价值 （1）满足国家和主管部门数据安全能力建设要求 按照主管部门数据安全考核与安全能力建设要求，实现对重要数据和核心数据识别、分级保护，探索行业内数据安全最佳实践，推动电信行业加快数据安全的落地和执行，能够让数据安全变得可控、可管，为业务发展保驾护航。 （2）建立数据资产驱动的安全体系 以数据资产保护对象为核心构建，把所有需要进行保护的数据和高风险操作都定义为资产，使其可以统一进行资产管理和风险管理。当需要扩展或者分离保护目标的时候，只需简单的定义一类新的数据资产就可以提供完善的保护措施。 （3）构建完善的访问控制管理体系 一是在敏感数据和敏感操作上建立三权分立机制，彻底解决特权账户问题，及各种非授权访问、越权访问和权限滥用问题。二是通过多种控制因素，构建完善的身份体系，并通过认证证书实现真实身份映射，最终实现所有的访问控制和审计追踪都可以依赖真实身份进行，真正做到责任到人。 0708 中国电信安全解决方案 天翼云一城一池方案 方案背景 为满足IDC、云、专线客户多样化、灵活化、定制化的安全需求，