2004年5月中旬,国内迄今为止规模最大、要求最高、难度最高的项目——“广东移动2003安全评估服务项目”顺利通过项目终验!为此,记者采访了承担此项目的启明星辰信息技术有限公司首席技术官刘恒博士,他向记者介绍了项目情况以及对我国网络安全风险评估工作的看法。
一、项目背景
由启明星辰信息技术有限公司承接的“广东移动2003安全评估服务项目”是中国移动首次进行的全省规模的安全评估项目,涉及广东移动全省6大业务系统及6个地市4000多台设备。该项目具有业务和网络情况复杂、涉及人员众多、工作量巨大等特点,其重点在于强调解决方案的可操作性,即根据评估结果进行最具有建设性、完整性、系统性的安全环境建设。广东移动是我国通信行业中规模最大的省级公司,其2003年的营业额约占整个中国移动集团公司的六分之一。同时,该项目还是国内迄今为止同类项目中规模最大、要求最高、难度最高的网络安全评估项目。
此次项目的验收工作,邀请了中国信息安全产品测评认证中心、国家计算机网络与信息安全管理中心等业界权威机构和中国移动集团公司的专家进行评审,经过专家们的严格审核,长达六个月的评估工作圆满结束,得到了专家们的高度认可。
作为评审结论,专家组一致认为:
1. 此评估项目在全国移动通信行业范围内,从规模、投入、周期、技术等诸方面处于领先水平,评估结果基本反映了广东移动目前的安全风险状况;
2. 此项目以威胁分析为基础,在国内首次采用ERD的管理评估方法,并结合目前国内外其它先进的评估方法,从技术和管理等方面进行评估,实现了管理评估的可量化和可视化,为明确需求和实际操作提供了较好的指导意见,整个评估过程比较完整;
3. 针对风险评估结果,提出了具有较好可操作性的解决方案建议,提供了较完善的安全策略和加固手册,为系统进一步的安全规划、设计和验收奠定了良好的基础;
4. 此项目建立了基于业务、系统、资产的资产管理模型和以CNCVE漏洞库为基准的信息库,为广东移动提供了一个较好的辅助管理工具。
更为难得的是,此项目得到了客户从高层领导到基层技术人员的一致认可,这也许是整个项目最值得自豪之处。作为国内第一个基于业务方面的安全评估的经典案例,广东移动公司务实的风格也给启明星辰公司留下了很深刻的印象,广东移动的网络安全工作一直在有针对性、有目的性的进行,不是盲目的做评估,更不是盲目的进行安全建设,而是首先重视人才培养,然后发现根本问题,从实际出发解决问题,探索出本企业独有的先进的安全之路。
同时,在整个评估过程中,广东移动最值得称赞的是内部不仅从上到下极力配合,选出精良的高素质的业务骨干全程参加评估,外部又在整个中国首次采用了非常严格的“打分制”来考核服务提供商,并且直接同服务提供商的经济利益挂钩。通过这种量化的标准和考核,启明星辰公司建立了一套相适应的规范和标准流程,有了这套标准和流程,即使是初次参加评估项目的新人也能很好的完成任务。可以说此次评估项目的成功,较大程度上可以说是广东移动高素质人才队伍、先进的企业文化、严格的管理机制的成功。
