《安恒信息：運營商安全解決方案藍皮書（2024）（31頁）.pdf》由會員分享，可在線閱讀，更多相關《安恒信息：運營商安全解決方案藍皮書（2024）（31頁）.pdf（31頁珍藏版）》請在三個皮匠報告上搜索。

1、運營商安全解決方案藍皮書Blue Book前言運營商是國家信息通信領域的基石，也是數字化應用創新的先鋒隊，在網絡強國和數字中國戰略背景下更是我國極其重要的關鍵信息基礎設施。電信、移動、聯通三大運營商已成為推動整個信息行業進步和提升核心競爭力的關鍵所在。近年來，國家工信部、國資委、信通院以及各級政府出臺一系列相關政策，旨在促進推動運營商行業的信息化進程，支持運營商開展信息化項目建設和研發創新。行業的發展趨勢也呈現出多元化、智能化的特點。在信息化產業鏈整合中，運營商起到至關重要的作用，運營商在信息化過程中與軟硬件供應商、內容提供商等產業鏈上下游企業形成了緊密的合作關系，共同推動行業的發展。全國工業

2、和信息化工作會議對運營商2024年的工作提出了四點要求：“穩增長、促改革、惠民生、保安全”，其中“保安全”特別強調加強網絡和數據安全管理，持續提升應急通信能力。同時工信部、國資委、信通院等對運營商的考核要求越來越高，圍繞網絡和數據安全事件、網絡安全技術手段、重要數據安全管理、關鍵信息基礎設施防護以及新技術新業務展開重點建設工作。安恒信息多年來一直致力于助力運營商信息安全建設，深度參與到運營商生態合作中，并與運營商共同探索技術創新的最前沿。安恒信息從運營商的云、網、數、智、密等核心數字化工作著手，從端、邊、運、管等安全角度出發，規劃和落地了滿足客戶業務場景需求的行業特性解決方案與產品，幫助運營商

3、集團、各省公司及各專業公司客戶滿足各類場景下的安全需求。安恒信息將自身對運營商行業信息安全的理解和對行業未來的洞察進行編匯，正式發布此藍皮書，旨在為運營商用戶的信息安全提供成熟落地參考和創新解決思路。本文的所有內容，其版權屬于杭州安恒信息技術股份有限公司（以下簡稱“安恒信息”）所有，未經安恒信息的許可，任何人不得防制、拷貝、轉譯或任意引用。本文沒有任何形式的擔保、立場傾向或其他暗示。安恒信息若因本文或其所提到的任何信息引起的直接或間接的資料流失、利益損失，安恒信息及其員工恕不承擔任何責任。本文所提到的解決方案僅供參考，不構成任何要約或承諾，有關內容可能會隨時更新，安恒信息恕不承擔另行通知之義務

4、。版權所有不得翻印版權聲明目錄中國電信篇中國電信場景化聚焦方案態勢感知方案 安全運營方案 電信數據安全貫標方案天翼云一城一池方案天翼安全大腦方案 中國電信典型案例 江蘇電信密評密改 某省電信5G態勢感知1030406070911131415192022242728中國移動篇中國移動場景化聚焦方案數據安全方案 安全態勢感知與智能風險評估方案安全資源池方案 中國移動典型案例 某移動高級持續性威脅監測分析項目2中國聯通篇中國聯通場景化聚焦方案5G+工業安全方案 數據安全方案密碼安全方案 中國聯通典型案例 某省聯通產互數據安全3生態合作篇一體化云安全合作方案聯合政企運營中心方案聯合工業互聯網安全平臺方

5、案4創新方案篇AI大模型賦能安全運營方案供應鏈安全方案5G雙域安全零信任方案5313234363738404244485052中國電信篇運營商安全解決方案 -藍皮書 -20240201近年來，中國電信在數字化轉型、技術創新、市場拓展、服務升級及社會責任等領域取得了顯著成就。然而，隨著云網邊端應用系統的快速增加，網絡和信息安全問題日益凸顯，成為行業發展的重大挑戰。違規操作導致用戶數據泄露、非法出售個人信息、系統漏洞被勒索病毒攻擊等事件頻發，不僅損害了用戶利益，也對運營商的聲譽和業務發展造成了嚴重影響。鑒于電信運營商掌握著龐大的用戶信息、單位數據、生產及運營資料，數據的安全存儲與應用面臨多重風險。

6、一旦核心應用遭遇攻擊，不僅個人隱私將遭受侵犯，運營商的穩健發展乃至國家的整體安全亦將受到巨大沖擊。因此，網絡數據安全建設已成為刻不容緩的任務。在此背景下，中國電信肩負著建設數字中國、維護國家網信安全的重任。中國電信充分發揮自身在數據資源和網絡安全技術方面的優勢，推動安全能力的對外輸出，為各行業提供堅實的安全保障，并在此過程中開拓了新的價值增長點。為應對新興技術和業務帶來的安全威脅，中國電信采用全新的安全思路和技術，構建網絡安全能力驗證、評價、示范和認證平臺，打造適應新網絡架構和應用場景的安全體系。為實現這一目標，運營商需致力于提供云網安全、數據安全等多元化安全產品和服務，筑牢安全防線。同時，構

7、建一個涵蓋數據安全管理體系、數據安全運營體系、數據安全技術體系的全面安全架構，為內外部網絡提供全方位保障。未來，中國電信將著力構建“云-網-邊-端-業-安”協同的融合創新安全能力，推動傳統通信網絡向新一代數字基礎設施轉型，為數字中國的建設及國家網信安全的維護貢獻新力量。中國電信篇中國電信場景化聚焦方案運營商安全解決方案 -藍皮書 -2024第一章04中國電信篇03態勢感知方案中國電信安全解決方案方案背景中國電信通信網絡和支撐系統是國家關鍵信息基礎設施，按照關于印發基礎電信企業資產安全管理平臺和網絡安全態勢感知平臺建設指南的函（工網安函20191494號）以及2021年-2023年云網發展滾動規

8、劃編制說明-安全專業要求，需要通過整合電信各安全類數據，打造安全數據中心，實時掌握網絡安全態勢，以提升安全事件應急處置能力，提高重大活動保障能力，支撐安全監控部門開展網絡安全工作，保障電信企業網絡安全。解決方案本方案主要由基礎數據采集模塊、大數據基礎能力模塊、態勢感知模塊3部分組成。在生產網側建設前置采集平臺，實現“業務日志和安全告警日志”采集，并經數據預處理后上報“安全態勢感知系統”。前置采集平臺對木馬僵尸、移動惡意程序、DDoS攻擊等全網性數據進行采集、預處理，并推送“安全態勢感知系統”。網絡安全態勢感知平臺，上收安全態勢源數據，集中進行存儲分析和可視化展示，將相關態勢預警信息上報監管部門

9、，并且接收上級監管部門的策略或指令。方案價值滿足國家和主管部門考核要求按照中華人民共和國網絡安全法和關于印發基礎電信企業資產安全管理平臺和網絡安全態勢感知平臺建設指南的函（工網安函20191494號）要求，對集團、專業公司和省公司的安全風險信息進行數據采集、建模分析、多維態勢展示，并將態勢數據同步給工信部和省管局。提升企業安全管理水平通過對全網段存活資產識別、端口識別，及時發現最新的安全漏洞隱患，確保所有資產可控，并對業務系統進行安全事件關聯分析，發現異常點和殘余風險，及時處置，將安全事件的影響降到最低。提升重大活動保障能力在重要會議、重要活動等重大活動期間，為中國電信由日常監控向戰時應急的迅

10、速轉換提供抓手，加強網絡安全資源協調調度能力，全天候全方位掌握單位的安全態勢，幫助單位在重大活動期間快速發現問題、處理問題，全面提升中國電信在重大活動期間的安全保障能力。方案價值（1）實現對多場景政企用戶安全需求的支撐。（2）支持多廠商安全能力的統一運營與管理，提高浙江電信對外輸出安全能力的競爭力。（3）安全能力原子化、容器化推進，適配業務上云、云原生等技術發展趨勢。（4）將安全服務作為差異化優勢引入，提升對外服務的綜合競爭力，以安全增值服務助力業務轉型升級。安全運營方案中國電信安全解決方案方案背景隨著數字化轉型的不斷深入，中國電信積極實施“云改數轉”戰略，以云網融合為核心，推動業務創新和服務

11、升級。在這一過程中，安全能力建設顯得尤為重要，而且可以融合第三方安全底座，這也是云網融合成功的關鍵要素。然而，現有的安全運營平臺也存在一些不足，如產品開通和退訂流程不夠自動化，平臺可靠性和集群能力不足，無法有效納管第三方安全資源池與安全組件，以及安全數據缺乏統一存儲和分析等。這些問題限制了平臺的服務能力，影響了用戶體驗，也無法滿足日益增長的安全需求。因此，需要構建一個高效、智能、可靠的安全運營平臺，成為當前迫切的需求。該平臺需要能夠覆蓋更廣泛的客戶群體，提供針對多云場景政企客戶的安全服務，解決現有平臺存在的問題，并不斷提升安全服務能力和用戶體驗。解決方案（1）安恒信息與中國電信合作聯合開發“智

12、云護航”安全運營平臺，實現對共享及近源安全能力的全方位管理，涵蓋訂購、開通、運營、運維等多個關鍵環節。通過該平臺，我們能夠為用戶提供更加便捷、高效的安全服務體驗。同時，為了滿足專線用戶對于安全防護的特定需求，我們特別開發了針對云盒的管理能力，確保用戶的數據傳輸安全無憂。（2）安全運營平臺方案支持與云盒、安全資源池以及第三方安全組件的綜合性管理。該平臺實現了對這些組件的運維、運營、監控以及安全分析等多項功能，為用戶提供更加全面、細致的安全服務。此外，我們充分利用安全云盒與電信網絡的優勢，與邊緣安全資源池節點建立網絡隧道，實現客戶網絡與安全資源池網絡的互通。這樣，客戶不僅能夠共享云端安全資源池的安

13、全能力，還能通過安全云盒將流量引入邊緣安全資源池進行安全檢測與清洗，從而構建一個云邊端協同的安全運營服務體系，為用戶提供更加穩固、可靠的安全保障。運營商安全解決方案 -藍皮書 -2024中國電信篇0605運營商安全解決方案 -藍皮書 -2024中國電信篇0807電信數據安全貫標方案中國電信安全解決方案方案背景2020年3月，我國中共中央、國務院對外發布關于構建更加完善的要素市場化配置體制機制的意見，將數據定義為新型的生產要素，被正式納入國家所定義的要素市場化配置中，成為企業發展乃至國家發展的重要戰略資產。運營商業務系統中，存在著包含企業商業秘密和用戶敏感信息的大量業務數據，如果這些商業秘密和用

14、戶敏感數據發生外泄等安全事件，輕則影響業務開展，重則將可能影響到企業核心競爭力。所以，電信行業的主管單位和集團公司對省里的數據安全工作提出了更高的監管要求。中國電信按照工業和信息化部年度基礎電信企業行業數據安全標準貫標工作方案內容，嚴格落實電信集團和省通信管理局關于數據安全標準貫標工作要求，按照兩部委考核內容，數據“誰生成誰負責，誰使用誰負責，誰存儲誰負責，誰運營誰負責、誰主管誰負責，誰審批誰監管”的總體原則，統一歸口管理、分專業負責的方式推進貫標工作。方案價值（1）滿足國家和主管部門數據安全能力建設要求按照主管部門數據安全考核與安全能力建設要求，實現對重要數據和核心數據識別、分級保護，探索行

15、業內數據安全最佳實踐，推動電信行業加快數據安全的落地和執行，能夠讓數據安全變得可控、可管，為業務發展保駕護航。（2）建立數據資產驅動的安全體系以數據資產保護對象為核心構建，把所有需要進行保護的數據和高風險操作都定義為資產，使其可以統一進行資產管理和風險管理。當需要擴展或者分離保護目標的時候，只需簡單的定義一類新的數據資產就可以提供完善的保護措施。（3）構建完善的訪問控制管理體系一是在敏感數據和敏感操作上建立三權分立機制，徹底解決特權賬戶問題，及各種非授權訪問、越權訪問和權限濫用問題。二是通過多種控制因素，構建完善的身份體系，并通過認證證書實現真實身份映射，最終實現所有的訪問控制和審計追蹤都可以

16、依賴真實身份進行，真正做到責任到人。解決方案建立數據安全管控平臺和數據安全原子防護能力，對防護組件或系統數據信息進行采集、分析、審計、可視化展示，實現敏感數據發現、敏感數據分類分級、敏感數據分布、數據異常操作審計和數據安全態勢展示；推動了數據中心的業務敏感數據的規范化、標準化和常態化的管理，且數據安全管控目標的落地。利用數據安全管理平臺，結合人工方式，形成數據分類分級清單及重要數據清單。通過數據安全管控平臺，實現了數據自動識別和數據分類分級，具備對數據資產的標識脫敏、接口安全管理、訪問和操作行為安全審計等技術能力，且具備數據安全態勢感知能力，最后通過與人工結合方式，形成數據安全態勢報告。運營商

17、安全解決方案 -藍皮書 -2024中國電信篇1009天翼云一城一池方案中國電信安全解決方案方案價值滿足合規性要求滿足中華人民共和國網絡安全法、信息安全技術網絡安全等級保護基本要求、信息安全技信息系統安全等級保護-云計算安全技術要求等安全能力統一管理一個平臺，可覆蓋多個場景，建設一個多云安全與管理平臺，降低安全建設以及安全運維成本。MEC安全增值服務除了提供傳統IT基礎設施服務外，通過發展存量及挖掘潛在客戶，提升安全增值服務收益。安全服務彈性擴展當系統監測到某安全能力不足時，可即時生成新的安全能力實例，快速調整，即時生效。有效提高天翼云一城一池在政企安全領域的競爭力全省一盤棋打造對外統一的安全服

18、務，有效激活云、IDC、專線全場景客戶，有效減低建設成本和運營成本，以安全增值服務助力業務轉型升級。通用許可：通用授權許可更加靈活，運營商前期不需要確定安全產品的種類和規格，只需要購買通用授權，可根據后期用戶的需求隨意轉換，激活任意安全產品，滿足用戶多樣化的安全需求。授權回收：當安全產品被刪除時，會將開通安全產品所需要的通用授權釋放，釋放出的安全許可授權繼續開通其他不同的安全模塊組件，以保護運營商的投資。安全組件SaaS化：SaaS組件具有高性能、易維護、省資源的多重優勢，將安全資源最大化利用，有效降低資源的投入，以及降低運維成本。方案背景為滿足IDC、云、專線客戶多樣化、靈活化、定制化的安全

19、需求，天翼云通過建設城市級安全資源池的方式，匯聚多種安全能力，開展云安全業務，以安全產品和服務為抓手，發力政府機關、大型國企等優質政企市場，實現天翼云一城一池云安全能力按需調度，需求靈活響應。解決方案安恒云統一安全中心解決方案由1個安全運營平臺、1個集中安全防護能力和N個近源安全節點組成，云安全中心對集中安全防護能力和N個近源安全節點進行統一管理，運營商及其租戶使用安全能力時，優先選擇集中安全防護能力，然后根據其他安全需求，選擇近源安全能力，如下圖所示：運營商安全解決方案 -藍皮書 -2024中國電信篇1211天翼安全大腦方案中國電信安全解決方案方案背景在信息時代，數字經濟已經成為我國經濟高質

20、量發展的核心動力，新基建本質是“數字化基建”，是推動我國經濟提質增效、轉型升級的新引擎，近年來，人們生活中運用的新技術越多，數字化、自動化、智能化的程度越高，全社會全行業數字化背后最大的挑戰還是安全。網絡信息安全邊界不斷弱化，網絡威脅層出不窮、勒索病毒及其變種的頻繁出現，嚴重威脅到用戶、企業、國家網絡安全，網絡安全對國家安全牽一發而動全身；針對網絡安全防護與運維的難題，中國電信推出天翼安全大腦和天翼安全網關，集大數據之勢，架智能安全引擎，顯主動安全之能，保障電信通訊網安全無憂。天翼安全大腦和網關整合云、管、端、服，打造一體化安全SaaS服務；結合AI技術對不同安全場景進行智能分析，精準預測安全

21、態勢，多維度制定安全防護策略，提供多終端的一鍵防護能力，在保護用戶、企業、國家網絡安全基礎上，開放、協同、聯動。方案價值（1）低成本，大保護：滿足多行業合規需求，如政府、金融、醫院、校園、酒店、連鎖機構企業等各類企事業單位、低成本實現，保安全、符法規、省成本、縮流程、保穩定、易管理、提效率。（2）托管式服務：用戶根據帶寬選擇套餐即可，無需做任何部署操作、安全分析事件告警可通過平臺實時查看、電信天翼安全大腦網關不同于傳統運營商產品或安全廠商硬件，設備非人為損壞后免費更換、軟件升級和售后服務不限次、專線+天翼安全大腦網關，安全感知上云，打造一條龍服務。（3）根據用戶不同場景進行升級服務，可根據用戶

22、需求進行定制化服務，包括安全服務、滲透服務、風險評估、等保建設等服務，應對實時攻擊，可以升級專家技術服務支撐。政企客戶無需花費數萬、數十萬建設網絡安全、購買防火墻、IPS、防病毒網關，支付高額軟件升級授權、售后服務費用等；天翼安全大腦為政企客戶提供了經濟實惠的一體化方案，可降低一次性投資90%以上，節約綜合使用成本約25%，托管式服務為用戶排憂解難，用戶無需聘請安全專員，服務過程全程專家托管，讓用戶安心上網，安心工作。用戶根據帶寬選擇套餐即可，網關非人為損壞免費更換，軟件升級和售后服務不限次。電信專線+天翼安全大腦網關為用戶提供云網端服一體化能力，安全感知上云。解決方案中國電信典型案例運營商安

23、全解決方案 -藍皮書 -2024第二章14中國電信篇1305江蘇電信密評密改中國電信典型案例項目背景依據GB/T 39786-2021信息安全技術 信息系統密碼應用基本要求，在等級保護第三級信息系統要求中的應用和數據安全方面，數據傳輸和存儲過程中都需要機密性和完整性保護。江蘇電信2022年度商用密碼應用需要在移動通信網絡、重點業務支撐系統、重要增值業務、數據中心、云服務5個重點領域至少選取3個開展密評密改工作。目前江蘇電信在統一工號系統已具備國產商用密碼應用條件。解決方案根據云平臺拓撲的部署方式和實現業務功能，在滿足總體性、完備性、經濟性原則的基礎上，主要通過在機房部署的服務器密碼機、國密瀏覽

24、器、SSL VPN安全網關、簽名驗簽服務器、傳輸透明加密系統 等 密 碼 產 品，并 向 本 單 位 運 維 人 員 提 供USBkey+數字證書并正確配置，以滿足云平臺的密碼應用需求。另外，建議部署符合國密要求的安全門禁系統和國密視頻監控系統。具體方案功能框架如右圖所示：項目價值1、統一工號系統完成數據傳輸安全與數據存儲安全建設，實現與符合國家有關標準和要求的商用密碼的兼容適配攻關，切實保障系統內重要數據在傳輸、存儲過程中的機密性、完整性保護。2、統一工號系統中商用密碼應用發現存在的問題與不足，為江蘇電信網絡和信息系統的安全提供科學評價方法，逐步規范商用密碼的使用和管理。3、統一工號系統開展

25、密評，有利于網絡安全運營者的法定責任和義務：建設方案在等保建設與關基建設的基礎上，落實“三同步一評估”要求。項目價值（1）5G態勢感知大屏有效拓展態勢感知覆蓋范圍，新增5G安全威脅監測場景，接入第三方安全廠商的惡意軟件檢測系統5G告警信息進行分析并展示。（2）APT安全監測5G網絡協議，主要包括GTP、PFCP、NGAP協議等。（3）新增接入5G專網安全告警數據：接入網絡安全態勢感知平臺所采集的5G專網安全告警數據，進行集中監測、研判、處置和展示，提升了5G態勢可視化感知。某省電信5G態勢感知中國電信典型案例項目背景某省電信企業基于工信部和通信管理局2022年基礎電信企業專業公司網絡與信息安全

26、工作考核要點與評分標準和5G網絡自身提升網絡安全防護的需求，建立5G態勢感知平臺，旨在解決以下業務問題：安全威脅分析、處置等能力不足，需要進行優化與升級，以實現更準確、豐富的安全監測場景；未形成安全能力的共享與輸出，需對安全能力進行封裝；數據與上線主管部門相關接口不完善。解決方案某省電信企業態勢感知項目，一級功能點共計10個，其中數據源，包含5G安全事件數據接入，5G安全態勢展示，安全編排與自動化響應（SOAR）和攻擊溯源能力，處置聯動能力，優化全流量安全監測能力，安全監控預警能力，集團接口對接。建設內容包括：項目本地部署多節點AiLPHA態勢感知平臺、SOAR平臺、6臺日志審計平臺等；全流量

27、安全監測數據源，對全流量新增設備進行采集，用以安全分析與告警，對網絡進行實時威脅預警；聯動防火墻一鍵解禁封禁IP，聯動EDR系統實現對失陷資產進行取證；根據集團需求，建設5G專網安全防護能力，將5G安全事件接入省級態勢感知平臺，進行統一監測、分析、處置和呈現；5G安全態勢展示，支持基于采集的5G數據分屏可視化；運營商安全解決方案 -藍皮書 -2024中國電信篇1615中國移動篇運營商安全解決方案 -藍皮書 -202418中國移動篇17新一輪科技革命和產業變革正在重塑全球經濟結構，算力作為數字經濟的核心生產力，成為全球戰略競爭的新焦點，將帶動數字經濟的創新和發展邁向新臺階。中國移動牢固把握數字經

28、濟新賽道帶來的“重要窗口期”，錨定創建世界一流信息服務科技創新公司新定位，基于自身5G和算力網絡優勢，全力構建基于5G+算力網絡+智慧中臺的“連接+算力+能力”新型信息服務體系，統籌推進CHBN全向發力、融合發展。以推進數智化轉型、實現高質量發展為主線。中國移動對內推動業務、能力、組織體系的全方位、系統性數智化轉型，提升關鍵基礎設施網絡安全保障水平，打造攻擊監測、協同防御、追蹤溯源一體化網絡防護體系，加快實現網絡內生安全。橫向增強安全管理力度，縱向深化集省協同機制。對外通過數字化、網絡化、智能化賦能全社會數智化轉型，助力實體經濟提升全要素生產率，促進經濟發展變革，體系化構建面向云、大數據、新型

29、工業化等場景的安全產品，提供一站式安全服務，積極開拓政企市場。中國移動進一步延展和完善網絡安全工作領域的具體任務，在基礎安全、業務安全、數據安全、生態安全等方面進行持續提升。健全網絡安全運營體系和防護根基，構筑數據安全堤壩，強化內容安全風控體系，并面向工業互聯網、數字政府、車聯網等領域健全安全服務能力，提高服務范圍和產品數量。中國移動場景化聚焦方案運營商安全解決方案 -藍皮書 -2024第一章20中國移動篇19數據安全方案中國移動安全解決方案方案背景伴隨著數字化轉型的高速發展，數據成為了數字經濟發展的核心關鍵，數據要素存在巨大價值和潛能。國家對于數據安全愈加重視，各項法律法規及行業規范對數據安

30、全工作提出明確監管和考核要求，數據安全已經上升到國家戰略層面。隨著中國移動生態產業鏈的持續發展及技術革新，數據量急速增加且種類龐雜、業務復雜多變，數據安全工作面臨巨大挑戰。另外由于中國移動數據安全防護能力的建設起步較早，通常采購了不同數據安全廠商的諸多工具及平臺類產品，存在能力多樣且碎、數據孤島且散、效力覆蓋面不足、技術防御手段滯后、技術支撐與管理運營割裂等問題，未能實現數據安全集中管理和運營機制。解決方案針對運營商行業面臨的數據安全立體化防護、智能化管理、體系化運營等需求，面向中國移動，安恒數盾數據安全解決方案以恒腦大模型為技術底座，以CAPE能力模型（風險核查Check數據梳理Assort

31、數據保護Protect監控預警Examine”）為核心思想，圍繞讓數據應用可信、安全流通、智能防護為目標，整體協同各項數據安全能力，對數據資源合理使用提供全場景、全鏈路、全生命周期的感知保護，并建立“數據安全運營”的全過程自適應安全支撐能力，最終實現整體智治的安全目標。方案價值以身份和數據為雙中心安恒數盾數據安全解決方案同時從訪問者“身份”和訪問對象“數據”兩個方向進行切入，阻止未授權用戶的非法訪問/操作，采用零信任機制建立動態訪問控制。并以數據為中心，基于敏感級別提供靈活適配的防護策略及手段，建立階梯化數據安全防護模式。提供多元化、體系化的能力生態提供平臺、原子能力、咨詢服務、風險評估等能力

32、類型，支持與第三方數據安全能力的生態構筑。橫向覆蓋數據生命周期各環節及開發/測試/運維場景，縱向打通數據梳理、風險評估、管理策略、威脅監測等能力子域，并結合監管考核、保障組織、人員、流程，自上而下建立立體化數據安全防護體系。提供智能化、可落地的防護手段基于恒腦大模型實現數據安全能力的躍遷，顯著增強敏感數據自動分類和預測、敏感內容自識別的能力及精準度，并實現未知風險監測及預警。安全態勢感知與智能風險評估方案中國移動安全解決方案方案背景網絡安全法、“等保2.0”等政策條例的出臺，推動網絡安全建設思路已經從傳統被動防御轉變為以威脅感知、風險監測、預警通報為主體的主動安全運營體系，基于基礎安全構架，結

33、合威脅情報、態勢感知等新技術實現安全協同、風險預警、管理閉環的安全能力疊加，進一步健全完善網絡安全綜合防控體系，有效防范網絡安全威脅，有力處置重大網絡安全事件，切實保障關鍵信息基礎設施、重要網絡和數據安全。隨著安全監管及管理的日益嚴格，安全威脅愈演愈烈，現有安全防護手段對于“安全防護有效性”的評估驗證存在驗證覆蓋面窄、修復范圍小、過多依賴人工、成本高等問題，運營商需要建設自動化可持續的安全防護有效性驗證能力。解決方案安全態勢感知與智能風險評估平臺（AiLPHA）采用業界領先的大數據分析技術架構，依托雄厚研發實力與專業安全經驗，為運營商用戶提供安全態勢感知與智能風險評估能力，為業務不間斷運行提供

34、安全保障。平臺以基礎安全資源為底層基礎支撐，安全中臺為中層能力輸出，上層業務應用可靈活滿足安全運營需求，整體架構圖如下：基礎安全環境為上層提供基礎安全能力，包括威脅識別、安全防護、安全檢測、安全響應能力設備。安全數據中臺對安全數據要素進行整理匯集，為上層應用提供安全數據服務。安全能力中臺對安全能力進行梳理管理調度，為上層應用提供標準安全能力。安全運營業務應用包括資產管理、威脅監測、溯源研判、應急響應、智能風險評估等模塊，其中智能風險評估聚焦風險度量，對安全防護能力的有效性進行持續驗證，通過攻擊場景構造和攻擊向量編排技術，實現控制措施及過程的驗證和風險態勢的度量。運營商安全解決方案 -藍皮書 -

35、2024中國移動篇2221方案價值業界領先大數據處理及威脅分析能力采用業界領先的大數據分析處理架構，支持分析計算能力的縱、橫向擴展，可適應業務增長。平臺基于IPDR集中管理安全能力，支持多種設備聯動協同能力，基于 ATT&CK、大數據、AI 智能分析技術發現高級威脅，具備12+X場景化事件聚合，支持200+字段任意聚合，自由靈活。無損化、實戰化的自動化風險評估支持外部入侵攻擊模擬、內網橫移攻擊模擬、主機側攻擊模擬。并支持對安全設備有效性、漏洞可利用性、企業縱深安全防御體系、容器安全、人員安全意識、攻擊編排等場景開展可用及有效性的風險評估。在整個攻擊模擬過程中探針作為攻擊的源頭和目標，不對業務產

36、生影響。有效提升企業安全感知能力與安全評估水平通過BAS從實戰視角排查企業安全防御體系存在的風險及不足，提升事前感知能力。并且聚合了安全實驗室的專家能力，通過自動化平臺對企業安全防御體系的有效性進行安全評估，解決了傳統依靠人工滲透測試存在的時間、范圍、效果有限等問題。安全資源池方案中國移動安全解決方案方案背景隨著社會數智化轉型的深入，算力網絡出現爆發式增長，電信運營商充分發揮央企主力軍作用，積極構建“連接+算力+能力”新型信息服務體系，致力于構筑算力網絡安全防護屏障，滿足云、IDC、專線用戶對算網安全的需求。在上述業務需求以及運營商云網融合的技術驅動下，安恒提出并建設云網安一體化的安全能力資源

37、池，與算力網絡進行融合，由算網大腦統一編排和調度，作為電信運營商的安全算力服務對外賦能，實現數智化安全運營。解決方案安全能力資源池基于邊緣云技術自動化云端部署安全防護能力，通過軟件化、服務化的方式為用戶提供靈活定制的算網安全防護能力。通過算網安全能力底座對安全能力進行編排，利用云原生、虛擬化和容器技術，將安全原子能力的邏輯設計、部署流程進行深度融合，形成標準化的網絡安全服務能力，實現安全原子能力的的自動化部署和按需調用，實現流量調度和服務鏈編排。方案支持多級部署模式，可在總部建設管理中心，負責集中運維和管理；各分節點可構建二級管理中心，在地市側建設安全資源池節點，其中安全資源提供的安全能力按服

38、務類型的角度可以劃分為等保合規型、數據安全型、增強安全型和密碼安全型等四大類。從安全能力部署方式的角度，可以劃分為流量型、探針型、路由型等三大類。運營商安全解決方案 -藍皮書 -2024中國移動篇2423方案價值多種類型安全原子能力網元的集成：安全資源池整合了多種類型的安全原子能力網元，包括流量型和非流量型，資源池能夠對外提供多樣化的安全服務，包括但不限于流量監控、威脅檢測、入侵防御等，滿足不同安全需求。第三方安全網關的統一納管：安全資源池支持第三方安全網元的納管，通過開發適配中間件的方式實現對第三方安全網元的兼容定制和適配性。增強了資源池的兼容性和靈活性，促進了第三方安全產品的集成和利用，擴

39、大了安全資源池的功能范圍。算網內生安全原子能力的靈活調度：安全資源池具備多種安全原子能力網元調度能力，包括探針型、流量型和路由型，安全資源池能夠適應不同的算力網絡環境和需求，提供靈活的安全服務。例如，探針型調度能力允許直接在目標服務器安裝探針，無需復雜的流量引導；流量型調度通過算力網絡SRv6封裝和IP工作臺編排實現精確的流量轉發。運營商安全解決方案 -藍皮書 -2024中國移動篇25中國移動典型案例運營商安全解決方案 -藍皮書 -2024第二章28中國移動篇27某移動高級持續性威脅監測分析項目中國移動典型案例項目背景某移動積極發揮運營商在國家網絡安全中的作用與擔當，需要建設業界領先的APT監

40、測分析能力，實現對境外APT攻擊組織的持續跟蹤分析、APT威脅監測與深度挖掘能力，筑牢現有技術手段在APT風險快速發現、深度分析和及時處置等能力方面存在的不足。項目價值建設業界領先的APT監測分析能力：建設業界領先的APT監測分析能力，實現對境外尤其是歐美APT攻擊組織的持續跟蹤分析及威脅監測能力。建設全網APT攻擊事件的深度挖掘能力：利用移動公司網絡及數據優勢，實現全網APT攻擊事件的深度挖掘、關聯分析及全鏈條監測。生成專業APT威脅研究分析報告：發現隱匿復雜的APT威脅和攻擊事件，結合專家分析生成專業威脅研究分析報告，具備核心競爭力。項目構建全流量采集、威脅檢測、溯源取證、聯動響應等能力，

41、實現高級威脅監測分析及溯源取證，實時發現網絡已知與未知威脅，提升安全事件感知能力，助力溯源分析及事件取證，滿足合規要求，并建立業界領先的APT監測分析及溯源取證能力。解決方案中國聯通篇運營商安全解決方案 -藍皮書 -20243029全國工業和信息化工作會議對運營商2024年的工作提出了四點要求：“穩增長、促改革、惠民生、保安全”，其中“保安全”特別強調加強網絡和數據安全管理，持續提升應急通信能力。同時工信部、國資委、信通院等對運營商的考核要求越來越高，圍繞網絡和數據安全事件、網絡安全技術手段、重要數據安全管理、關鍵信息基礎設施防護以及新技術新業務展開重點建設工作。在戰略性新興產業領域，中國聯通

42、積極布局前沿創新領域，在面向未來的重點領域從未停止探索的腳步，2024年，中國聯通將在AI大模型領域，新一代移動通信領域，智算中心和算力網安全領域，工業互聯網領域等創新領域方向投入更多的探索。中國聯通作為運營商的中堅力量，已成為推動整個信息行業進步和提升核心競爭力的關鍵所在。2023年11月21日，中國聯通網絡安全現代產業鏈共鏈行動計劃正式啟動，為下一步產業鏈共鏈提供行動指引，中國聯通積極擔負網絡安全現代產業鏈“鏈長”，為布局戰新產業和未來產業發展邁出重要一步。以“安全薈”產業鏈安全云市場為載體，以“墨攻”安全運營服務平臺為平臺，在產業鏈整合中起到至關重要的作用，共同推動行業的發展。中國聯通通

43、過共鏈行動在行業努力推動共鏈行動、構建安全生態，安恒信息同樣積極擁抱網絡安全現代產業鏈，與中國聯通成功聯合共創眾多合作領域。中國聯通篇中國聯通場景化聚焦方案運營商安全解決方案 -藍皮書 -2024第一章32中國聯通篇315G+工業安全方案中國聯通安全解決方案方案背景中國聯通利用5G專網賦能智慧制造等工業互聯網企業，以智能工廠為載體，以關鍵制造環節智能化為核心，以端到端數據流為基礎，以5G網絡為支撐，實現5G+工業互聯網領域的創新應用。目前主要面臨四個方面安全威脅：5G智能泛終端安全威脅及網絡安全威脅：5G接入設備數量龐大，類型眾多，容易被實施分布式拒絕服務攻擊，邊緣計算節點部署位置下沉，攻擊者

44、可通過非法連接訪問網絡端口，獲取網絡傳輸的數據。5G工業控制專網安全威脅：工業控制系統用于封閉的生產業務需求，由于自身的高可用和穩定性要求，沒有內生安全，存在著大量的脆弱性，5G將工業生產網絡暴漏在互聯網的攻擊面下，帶來了巨大的生產安全風險。5GMEC平臺安全威脅：邊緣云計算平臺MEP基于虛擬化基礎設施部署，攻擊者對MEP服務接口進行非授權訪問，攔截或篡改MEP與APP之間的通信數據，對MEP實施DDoS攻擊。攻擊者可通過惡意應用訪問MEP上的敏感數據，竊取、篡改和刪除用戶的敏感數據。5G+工業互聯網應用安全威脅：5G+工業互聯應用給業務帶來便利性的同時也帶了大的網絡安全威脅。例如，未經身份認

45、證和訪問控制帶來的非法訪問，以及對MEP的DDos攻擊，降低了系統可用性帶來的業務風險；數據傳輸和使用過程中的被篡改或泄露的風險，特別是控制指令在傳輸過程中被篡改帶來的生產安全問題。解決方案安恒信息打造5G+工業互聯網安全解決方案，覆蓋了端、管、云、邊下的應用場景方案，實現了可信端、可監管、可控云、可防邊的部署架構，具體網絡安全場景包括：5G泛終端內生安全能力感知、網絡切片流量安全檢測、MEC云安全資源池以及構筑縱深防御體系的工業控制系統信息安全。終端接入安全工業互聯網企業用戶數據安全網絡隔離安全邊緣計算安全運營商安全服務平臺Internet行業私有云能源電力 制造工廠 園區辦公 車聯網RAN

46、5GC邊緣云PCFUPFAPP1APP2N6N4MEC平臺AMFAUSFSMFNSSFUPF承載網數據安全方案中國聯通安全解決方案方案背景伴隨著數字化轉型的高速發展，數據成為了數字經濟發展的核心關鍵，數據要素存在巨大價值和潛能。國家對于數據安全愈加重視，各項法律法規及行業規范對數據安全工作提出明確監管和考核要求，數據安全已經上升到國家戰略層面。隨著中國聯通生態產業鏈的持續發展及技術革新，數據量急速增加且種類龐雜、業務復雜多變，數據安全工作面臨巨大挑戰。另外由于中國聯通數據安全防護能力的建設起步較早，通常采購了不同數據安全廠商的諸多工具及平臺類產品，存在能力多樣且碎、數據孤島且散、效力覆蓋面不足

47、、技術防御手段滯后、技術支撐與管理運營割裂等問題，未能實現數據安全集中管理和運營機制。解決方案針對運營商行業面臨的數據安全立體化防護、智能化管理、體系化運營等需求，面向中國聯通，安恒數盾數據安全解決方案以恒腦大模型為技術底座，以CAPE能力模型（風險核查Check數據梳理Assort數據保護Protect監控預警Examine”）為核心思想，圍繞讓數據應用可信、安全流通、智能防護為目標，整體協同各項數據安全能力，對數據資源合理使用提供全場景、全鏈路、全生命周期的感知保護，并建立“數據安全運營”的全過程自適應安全支撐能力，最終實現整體智治的安全目標。運營商安全解決方案 -藍皮書 -2024中國聯

48、通篇3433方案價值5G泛終端內生安全能力感知：通過在5G智能終端內部配置可信輕量級SDK軟件，完成5G泛終端的安全監測、內核級進程文件防護、數據采集、數據加密、異常分析和5G泛終端大數據智能分析和態勢感知等。MEC云安全覆蓋：云平臺上的安全措施由安全資源池提供，安全管理員通過云安全管理中心界面統一管理云安全資源池組件，同時監控邊緣云安全資源池的占用率、邊緣云安全資源一鍵分配和整個邊緣云平臺的安全情況等功能。云安全資源池組件包括了：下一代防云火墻、云綜合日志審計、云堡壘機、云WEB應用防火墻、網頁防篡改、云服務深度防御系統軟件等。工業控制系統信息安全：工業控制系統專網，依據工業控制系統自身業務

49、特性，建立以白名單技術和UEBA（用戶行為分析）技術為核心、以縱向分層、橫向分區為理念，構建以生產安全為目的的縱深防御體系。5G安全編排與自動化運營能力：5G泛終端產生大量的安全數據，通過手工、人工智能分析后進行分類，通過編排技術，將編排的結果按照一系列預案執行。執行過程中可使用類似工單的技術驅動責任人與狀態的流轉，執行結果可保存為知識庫、案例庫；然后通過自動化聯動安全防護設備進行處置，執行包括但不限于：通過與外部設備/系統的集成，自動化完成安全事件上下文豐富化、持續追蹤、聯動處置。集團可使用SOAR 集成工具來數字化的定義事件分析與響應工作流程。比如蠕蟲爆發處理流程、挖礦病毒告警處理流程、疑

50、似釣魚郵件處理流程等等，數字化管理起來形成預案。CAPECAPE數據安全能力框架風險核查Check通 過 風 險 核 查 讓 數 據 資產 管 理 員 全 面 了 解 數 據庫 資 產 運 行 環 境 是 否 存在安全風險。數據保護Examine基 于 數 據 使 用 場 景 需 求 制定 并 實 施 相 應 的 安 全 保 護技 術 措 施，以 確 保 敏 感 數據全生命周期內的安全。數 據 開 發 人 員B I分析人員測試庫科 研 教 學 人 員中華人民共和國數據安全法中華人民共和國個人信息保護法全場景、全鏈路、全生命周期數據安全數據安全管控平臺數據分類分級風險事件溯源以身份為中心合規知識

51、庫運營工單管理數據鏈路測繪實體行為分析以數據為中心檢查指標模型安全風險處置訪問熱度分析數據安全態勢動態權限策略自查督查協同安全事件處置生產區共享開放區報 表 系 統數 據 分 析 師數 據 挖 掘 工 程 師API 接口共享庫運維管理區應用區數據要素安全流通區“可用不可見”“可用不可取”數 據 集 加 密 上 傳授 權“數 據 模 型 運 營 方”的 數 據 集 申 請授 權“結 果 獲 益 方”結 果 集 下 載區塊鏈行為審計行業指引基礎電信企業數據分類分級方法金融數據安全 數據生命周期安全規范汽車數據安全管理若干規定（試行）CA智 能 化、體 系 化EP數據采集數據傳輸數據存儲數據處理數據

52、交換數據銷毀安全能力運維審計與風險控制系統（堡壘機）DAS-USMAPI網關API風險監測數據安全島AiLand數據防泄漏系統AiDLP數據脫敏系統AiMask數據安全咨詢與服務數據安全網關AiGate用戶與實體行為分析系統AiThink零信任AiTrust數據安全管控平臺數據庫審計系統DBAuditor數據安全分級與風險評估系統AiSortAiGate數據庫安全網關AiTrust TAM零信任身份服務中心AiThink/UEBA用戶與實體行為分析系統AiSort數據安全分級與風險評估系統藍圖繪制級別判定路線設計國家法律中華人民共和國網絡安全法AiDLP數據防泄漏（網絡&終端）AiTTE透明傳

53、輸加密信息安全技術個人信息安全影響評估指南信息安全技術大數據服務安全能力要求信息安全技術數據安全能力成熟度模型數據安全風險持續評估監測全局性可視化制度設計規范制定意識培養元 數 據 與 主 數 據 管 理數據庫漏洞開發測試環節數據泄露數據資產底數不清數據稽核難過度授權特權賬號終端數據泄露風險重要數據明文存儲運維人員篡改拖庫風險數據泄露無法取證溯源合規解讀流程設計戰略定位組織設計AiTrust API 代理網關（應用身份鑒別、接口敏感信息識別、API 訪問控制、API 動態脫敏）DAS-USM運維審計與風險控制系統（堡壘機）數據梳理Assort數據梳理階段，包含以身份為中心的身份認證和設備識別、

54、以數據為中心的識別與分 類 分 級、賬 號 權 限 的 梳理、形成數據目錄。AiMask數據脫敏系統（靜態脫敏、數據溯源）分類分級分級保護策略設計架構設計數據要素市場公共數據授權運營政務數據共享交換遠程辦公關鍵信息基礎設施API 安全大數據交易中心東數西算智慧城市數據上云數據中臺終端安全專題庫主題庫基礎庫業務系統數據安全要素設計差距分析風險識別影響評估AiMask 數據脫敏系統（靜態脫敏、水印溯源）非結構化數據接口配置可 信 執 行 環 境，M P C，聯 邦 學 習,同 態 加 密，P S I，差 分 隱 私 等多 種 隱 私 計 算 前 沿 技 術）DBAuditor數據庫審計結構化數據庫

55、業務表業務表AiTrust API 代理網關（應用身份鑒別、接口敏感信息識別、API 訪問控制、API 動態脫敏）攻擊防護運維審批動態脫敏數據安全運營運營指標制定數據提供方數據模型運營方結果獲益方安全能力提升安全基線梳理數據安全合規AiGate（動態脫敏、訪問控制、漏洞防護、運維管控）數據資產地圖數據風險感知動態權限管理AiTrust 應用代理網關（用戶身份鑒別、應用訪問控制、頁面水?。祿踩稍兣c服務AiSort（數據發現、分類分級、風險評估）安全評估通 過 全 方 位 監 控 數 據 的 使用 和 流 動，最 終 形 成 數 據安全態勢感知。AiMask（ETL、靜態脫敏、水印溯源）貫

56、穿 數 據 流 通 全 生 命 周 期 的 用 戶 行為審計業務卡點設計安全流程制定數據安全場景測試開發區DBAuditor（數據庫審計）數據治理數據目錄動態鑒權訪問控制賬號準入多因子認證身份與訪問管理業務應用C業務應用A業務應用B國家標準AiTDE（透明數據加密）可用可管可信AiLand數據安全島第 三 方 開 發 人 員.脫 機 文 件頂層規劃建設評估持續運營前 置 庫監控預警應 用 生 產 庫模 型 開 發 調 試 執 行下 載 加 密 結 果 集數 據 倉 庫數據湖/數據中臺權責分配目標制定API 接 口API 接 口API 接 口開放庫風險評估數據發現主機風險數據風險分類分級賬號風險

57、WEB端后期前期中期Protect庫表文件全 面 覆 蓋立 體 化 防 護以 身 份 和數 據 雙 中 心APP文件.密碼安全中國聯通安全解決方案運營商安全解決方案 -藍皮書 -2024中國聯通篇3635方案價值以身份和數據為雙中心安恒數盾數據安全解決方案同時從訪問者“身份”和訪問對象“數據”兩個方向進行切入，阻止未授權用戶的非法訪問/操作，采用零信任機制建立動態訪問控制。并以數據為中心，基于敏感級別提供靈活適配的防護策略及手段，建立階梯化數據安全防護模式。提供多元化、體系化的能力生態提供平臺、原子能力、咨詢服務、風險評估等能力類型，支持與第三方數據安全能力的生態構筑。橫向覆蓋數據生命周期各環

58、節及開發/測試/運維場景，縱向打通數據梳理、風險評估、管理策略、威脅監測等能力子域，并結合監管考核、保障組織、人員、流程，自上而下建立立體化數據安全防護體系。提供智能化、可落地的防護手段基于恒腦大模型實現數據安全能力的躍遷，顯著增強敏感數據自動分類和預測、敏感內容自識別的能力及精準度，并實現未知風險監測及預警。方案背景密碼技術是運營商保障網絡與信息安全的核心技術和基礎支撐，密碼法及相關法律法規明確了商用密碼應用與安全性評估的法定要求。2021年3月9日，國家市場監管總局、國家標準化管理委員會正式發布國家標準GB/T39786-2021信息安全技術信息系統密碼應用基本要求，已于2021年10月1

59、日起實施?；疽蠼Y合近年來商用密碼應用與安全性評估工作實踐，按照信息系統安全等級分別提出了相應的密碼應用要求。解決方案密碼服務平臺是一種全新的密碼功能交付模式，是云計算技術與身份認證、授權訪問、傳輸加密、存儲加密等密碼技術的深度融合。密碼服務提供商按照云計算技術架構的要求整合密碼產品、密碼使用策略、密碼服務接口和服務流程，將密碼系統設計、部署、運維、管理、計費等組合成一種服務,來解決用戶的密碼應用需求。用戶可不再“購買”密碼硬件或密碼系統等密碼產品,而是以“租用”的方式使用云中提供的各種密碼功能。方案價值滿足密評合規要求安恒所有密碼產品均按照國家/行業標準設計實現，采用國密SM2/SM3/S

60、M4算法實現加解密能力，具備商用密碼產品認證證書，幫助用戶滿足密碼安全合規要求。避免系統二次開發改造安恒具有無需信息系統集成改造的透明傳輸加密、透明存儲加密等產品，能夠應對多樣化的信息系統，滿足不同應用在密評上的需求，減少系統二次改造的成本。密碼安全一站合規通過密碼資源池通過“ECS承載應用+調用VSM虛擬密碼機”進行國密運算。密碼資源池支持以服務目錄的方式向租戶提供商密能力，能夠像訂購等保產品一樣訂購商密服務。方案價值數字化助力精準運營，全面匯聚安全運營數據“一個池”形成匯聚數據采集管理、數據存儲監控、數據共享監測、業務合規監管、數據使用管理等全方位要素安全“數據池”，為數據安全運營管理決策

61、提供有力的數據支撐，形成數據采集、存儲、加工、共享、使用等場景下的數據安全趨勢分析，為數據安全運營決策提供研判支撐，通過數據安全管理運營平臺，形成全環節、全流程、全要素信息“閉環”，實現“數”戰速決?？梢暬Ω咝н\營，率先啟用數據安全運營“一張圖”整合安全工具資源，助力客戶打牢涵蓋全域資產的數據安全網，打造數據安全運營“一張圖”，實時監控數據安全態勢，高效調配安全防御能力與風險處置能力，大幅提升安全運營管理效率，建設“高位安全監管-中位監測分析-低位合規檢查”三位一體數據安全監管支撐體系。中國聯通典型案例運營商安全解決方案 -藍皮書 -2024第二章38中國聯通篇37某省聯通產互數據安全中國

62、聯通典型案例方案背景當前以數字經濟為代表的新經濟已經成為經濟增長新引擎，數據作為核心生產要素成為了基礎戰略資源，對數據安全的保護成為國策。中國聯通具有數據資產規模大、數據增長快、數據種類多、數據資產臺賬不夠清晰等特點，導致在對數據進行存儲應用時會容易遭遇各種內外部風險。此外，中國聯通支撐某省探索政務數據管理新模式，需要協助政數領域的管理者建立合法合規的數據安全管理平臺，健全數據安全防御體系，以應對接踵而至的安全挑戰。解決方案通過統一、高效的管理大數據中心的安全能力，建設滿足數據安全全生命周期管理新要求，實現數據流向全流程、自動化管理。從安全管理體系、運營體系、技術體系出發，通過平臺化管理，實現

63、資產梳理、分類分級，形成數據資產地圖，并進行多層級管理、流程審批、運營監管、安全產品納管、態勢感知和告警展示等，打造完整的數據安全管理生態鏈。數據安全風險生態合作篇運營商安全解決方案 -藍皮書 -202405中國聯通網絡安全發展趨勢第一章 3940一體化云安全合作方案生態合作解決方案方案背景在數字化中國的國家戰略引領下，云網融合成為運營商的重點工作，中國聯通投資了大量云基礎設施建設，除了自用外，還為政企眾多行業客戶提供云計算能力。這意味著運營商具備多云、多IDC的IT環境，同時具有龐大的租戶群體，云、IDC基礎設施及龐大的租戶群體都有著多樣性的云上安全需求，包括云等保、云密評、云數據安全、容器

64、安全等能力。云上各類安全能力往往采用“拼湊式”的方式補齊，能力割裂過于碎片化，難以現成統一的運營機制。解決方案針對運營商面臨的云安全能力一體化輸出、安全建設成本控制、多云安全的統一管理等個性化需求，面向中國聯通，安恒信息提供一體化的云安全解決方案安恒信息天池一體化云安全平臺集成網絡安全、數據安全、密碼安全、容器安全等安全原子能力于一身，統一管理、統一彈性授權，為云平臺和云租戶提供一站式云安全綜合解決方案。在部署方式上支持融云部署，融合云管統一運營，授權彈性靈活可回收。數據安全風險生態合作篇數據安全中國移動解決方案運營商安全解決方案 -藍皮書 -2024生態合作篇4241聯合政企運營中心方案生態

65、合作解決方案方案背景運營商有著豐富的云、網、IDC等基礎設施，承載著政府、教育、醫療、金融、企業等眾多行業客戶的業務系統及數據。在網絡安全形勢越來越嚴峻和國家越來越重視網絡安全的背景下，運營商需要將社會責任與政企市場的拓展有機地結合起來，積極把握數字中國建設中的機遇。當前，政府類單位作為運營商政企業務的重要客戶，受限于財政資金緊張的現狀，在數字化能力建設上的投資管控非常嚴格，以某省政府2024年的信息化投資規劃來看，當年不新增IT項目立項，IT服務費用壓縮50%。這必然也要求運營商提供更加經濟、高效的安全服務方式。充分利用運營商的云網資源提供服務化的安全能力，是當下運營商面向政企安全市場的適用

66、的解決方案，但運營商作為非專業安全廠商，介入政企安全市場相對較晚，安全能力、產品建設、服務能力、人員團隊等缺乏全面規劃，存在機會拓展難、交付體驗差、持續運營難等一系列問題，需要協同專業的安全廠商一起快速建立起相應的能力。解決方案首先，構建覆蓋云、網的安全監測和防護能力，如安全云盒、天池云安全資源池、APT/XDR探針等，以及租戶級的態勢感知能力。其次，構建MSS安全托管運營能力，建設安全托管運營服務平臺和打造安全服務團隊。此外，充分利用生成式AI在安全運營領域的應用，通過建設恒腦安全垂域大模型，賦能托管運營團隊，提高運營效率。方案價值全棧能力，一站式滿足云上各類安全需求：一體化平臺將多種維度安

67、全能力以及多云環境場景下的云安全能力，無需多次投資重復建設，即可實現多合一安全資源池。融云部署，助力運營商補齊融云安全能力：支持融云部署，平臺支持隱藏化模塊化，無需額外管理投入，助力運營商快速滿足各類云安全能力補足需求。靈活訂閱，聯合打造共創生態盈利新模式：面向租戶能力按需訂購，自主配置。租戶可自助式服務按需選擇，自動化完成部署激活及使用。安恒信息擁有最豐富的云安全生態經驗，愿與運營商攜手探索共贏創收新模式。運營商安全解決方案 -藍皮書 -2024生態合作篇4443聯合工業互聯網安全平臺方案生態合作解決方案方案背景作為新一代信息技術與工業經濟深度融合的產物，工業互聯網連續多年被寫入了政府工作報

68、告，并在各工業領域的應用逐漸走向縱深。工業互聯網的安全關系到各工業企業生產系統的穩定運行和生產數據的安全性，是穩定工業體系建設的基礎。近年來國家工信部十分重視工業互聯網安全的建設，并出臺一系列措施鼓勵運營商建設本地工業互聯網安全平臺。解決方案中國聯通省公司通過建立工業互聯網安全綜合服務平臺，協助支撐省通管局/工信廳建立面向地方工業企業的安全預警與協同應急管理能力，并向上實現與工信部國家平臺對接。同時中國聯通也可以利用此平臺為工業企業提供公共服務，滿足工業企業的合規要求，進而帶動運營商省公司為當地工業企業提供安全服務和安全能力。方案價值滿足運營商積極響應政策安恒信息協助中國聯通省公司實現與工信部

69、側的國家工業互聯網平臺的數據上報和接口對接滿足考核要求；支撐國家平臺建立與部平臺的常態化安全運營支撐能力，充分發揮運營商自身優勢，為今后更多賦能建立基礎；賦能地方主管單位為地方省通管局或信/經信廳提供數據與安全運營支撐，為運營商擴展更多面向企業的公共服務能力。方案價值能力融通打造新服務：該方案可以充分的發揮運營商的云、網資源和安全廠家的安、服資源，在此基礎上打造覆蓋云安全、專線安全、合規安全、監管安全、安全托管運營的安全服務能力。多維提升成就強隊伍：以安恒、運營商組成的安全團隊，共同支撐產品包裝、服務交付、應急響應等工作，相互促進；通過培訓賦能，針對性的快速提升運營隊伍的理論和技術能力；通過運

70、營實踐，提升運營人員的實戰能力，并逐步篩選出L1、L2、L3梯隊人員。AI大模型賦能智運營：省級運營商安全托管運營中心，將面對千行百業的客戶、海量的安全告警，恒腦可以在告警分析、事件分級、處置建議、運營報告等多維度賦能運營工作，提升運營效率。運營商安全解決方案 -藍皮書 -2024生態合作篇46455G態勢感知方案生態合作解決方案方案背景為強化關鍵信息基礎設施保護的系列重要指示精神，落實網絡安全法關鍵信息基礎設施保護條例關于保護關鍵信息基礎設施運行安全的要求，做好國家標準的落地實施，不斷提升關鍵信息基礎設施安全保護能力。5GC作為關鍵信息基礎設施之一，它的安全防護目前還比較薄弱，需對標GB/T

71、 392042022信息安全技術 關鍵信息基礎設施安全保護要求的安全能力進行建設，本方案構建5G態勢感知平臺，旨在解決5G安全分析、安全防護、檢測評估、監測預警、主動防御、事件處置能力不足問題，需要進行優化與升級，以實現更為準確、豐富的安全監測場景，對標國標關基要求進行補齊。方案價值5G態勢感知系統不僅有效展示了全面的態勢感知能力，還通過融合第三方系統的5G告警數據，進一步豐富了安全威脅監測場景，顯著增強了安全防護的精準性和及時性。該系統具備對5G協議的深度解析能力，包括GTP、PFCP、NGAP等關鍵協議，從而能夠全面洞察網絡流量中的安全威脅。同時，5G態勢感知可成功接入網絡安全態勢感知平臺

72、，實現了對5G專網安全告警數據的集中監測、研判、處置和直觀展示。這一舉措極大地提升了5G態勢的可視化感知能力，使得安全管理人員能夠更直觀、更高效地把握網絡的安全狀況，及時應對各類安全挑戰?？傮w而言，5G態勢感知系統通過其強大的態勢感知、協議解析和告警數據集成能力，為5G網絡的安全防護提供了有力支持，是保障5G網絡安全不可或缺的重要工具。解決方案5G網絡安全態勢感知系統是為5G網絡量身打造的安全監測與分析工具，它能夠深入分析網絡場景，提供精準的安全態勢感知與展示功能。這一系統可以是完整的外掛產品、系統或平臺，也可以作為功能組件內生于5G網元系統中。其核心功能涵蓋了數據管理、安全分析、安全評估、預

73、警與處置以及可視化展示等多個方面。在數據采集方面，系統通過集成流量采集探針、資產安全管理平臺、日志平臺和安全設備等多元化數據源，并結合與公共漏洞發布平臺的對接，實時獲取最新的漏洞和威脅情報。這確保了數據的全面性和時效性，為后續的安全分析提供了堅實基礎。數據管理模塊則負責數據的采集、處理與存儲。通過高效的數據清洗、整合和存儲策略，系統能夠確保數據的準確性和可靠性，為安全分析提供有力的數據支持。在安全分析層面，系統針對5G網絡的脆弱性進行深入分析，包括漏洞掃描、配置合規性檢查以及弱口令檢測等。同時，結合5G網絡的具體架構和場景，系統還提供了對5G RAN、承載、5G MEC、5G核心網以及運維操作

74、的安全分析檢測，全面覆蓋5G網絡的安全風險點。為了對5G網絡的安全狀況進行量化評估，系統建立了科學的評估模型和指標體系。通過對各項安全指標的綜合分析，系統能夠客觀評價網絡的安全水平，為安全決策提供有力依據。在安全態勢預警及處置方面，系統采用先進的預警機制，能夠實時監測網絡狀態并發現潛在威脅。一旦發生安全事件，系統能夠迅速觸發預警并生成應急處置建議，幫助管理人員快速響應并降低安全風險。此外，系統還支持安全威脅溯源和檢索查詢功能，便于管理人員定位和處理安全問題。在可視化展示方面，系統采用直觀易懂的視圖形式，全面展示5G網絡的整體安全態勢、專題安全態勢以及區域安全態勢。這有助于管理人員快速了解網絡的

75、安全狀況，及時發現潛在風險并采取相應措施。為確保系統的安全可靠運行，系統從多個方面進行了安全設計。包括加強標識與鑒別、訪問控制、通信安全、安全審計、數據保護以及系統升級等方面的安全防護措施。這些措施共同構成了系統的安全防線，有效保障了系統的穩定性和數據的安全性。綜上所述，5G網絡安全態勢感知系統是一個功能全面、安全可靠的解決方案，能夠為5G網絡的安全管理提供有力支持。通過實時感知網絡安全態勢、深度分析安全風險并直觀展示安全信息，系統有助于提升5G網絡的安全防護能力并降低安全風險。創新方案篇運營商安全解決方案 -藍皮書 -202405中國聯通網絡安全發展趨勢第一章 4748AI大模型賦能安全運營

76、方案創新安全解決方案方案背景運營商網絡作為關鍵的信息基礎設施，國家和主管單位對運營商網絡的安全提出了很高的要求，從多個維度提出了相應的考核目標。運營商的云、網、通信系統、業務應用，存在架構多樣、規模龐大、技術復雜等特點，導致圍繞這些設施、業務展開的安全監測與防護手段，存在攻擊面管理難、安全告警多、處置難度高等困難。運營商安全管理部門需要圍繞關鍵信息基礎設施、云網業務應用系統，在安全管理崗位和安全專業技術人員有限的現狀下，規范網絡安全運營體系，打造高效敏捷的安全運營能力，做深做廣做強網絡安全運營場景，從而更好的應對復雜的網絡空間環境。解決方案在現有安全運營平臺的基礎上，建設基于恒腦安全垂域大模型

77、的本地化人機協同系統，實現企業安全運營效能的提升。恒腦安全垂域大模型系統作為本地化安全運營場景中的AI Copilot，輔助運營團隊，構建全面的脆弱性評估能力、提升受保護目標的安全韌性、提升安全事件研判與分析效能，全面實現安全運營新目標。數據安全風險創新方案篇密碼安全運營商安全解決方案 -藍皮書 -2024創新方案篇5049方案價值運營提效基于恒腦安全垂域大模型系統的智能安全運營能夠自動解析和解讀輔助的告警日志數據，并提供智能研判告警信息的能力。通過輔助駕駛模式，將恒腦大模型系統融入到日常安全運營中，為安全團隊提供實時的輔助決策，推薦最佳的響應方案，實現高效的人機協同，進一步增強安全防御的智能

78、化與時效能力。全天候安全值守通過大模型技術固化安全專家專業知識，以數字身份扮演安全運營角色，基于授權策略，可以確保安全運營的連續性，7*24小時即時響應和處置安全事件。（1）告警日志獲?。河善脚_將日志進行匯聚，恒腦大模型系統可通過接口主動獲取告警日志，可進行全量、增量的周期性獲取。（2）告警降噪：對告警日志按條件進行聚合，形成告警聚合組；按照攻擊者、受害者、告警類型、告警名稱這4個字段完全一致進行告警聚合，將業務強相關策略，在降噪過程中進行；在降噪過程中進一步使用威脅情報進行碰撞，對威脅情報命中的告警進行打標。（3）告警解讀：將單個告警聚合組的攻擊者IP、受害者IP、告警類型、告警名稱、告警時

79、間等字段作為輸入，通過模板的方式對上下文進行解讀。調用IP地址的威脅問答能力獲取攻擊者IP對應的威脅研判結果。結合大模型對HTTP報文進行分析，包括攻擊方式、攻擊意圖、攻擊載荷等信息。（4）輔助決策：安全垂域大模型輔助開展安全監測、威脅感知、決策分析等工作。利用其強大的自然語言處理、邏輯推理等能力自動化加強安全預警和響應的速度和準確度，提高安全感知和識別的效率及安全運營的效能。供應鏈安全方案創新安全解決方案方案背景由于國內數字化經濟的高速發展，給運營商及廣大企業帶來了前所未有的發展機遇，軟件供應鏈根據軟件生命周期的各個環節，基于傳統供應鏈擴展而來，具有較強的互聯網特性。而基于軟件價值鏈的不斷延

80、展，促進了軟件供應鏈的長鏈化、復雜化和多樣化，對于管理軟件供應鏈的安全問題帶來了更大的威脅和挑戰。解決方案供應鏈全生命周期可分為采購階段、集成開發、軟件交付和運營維護4個階段。安恒信息為運營商提供供應鏈安全所需要的流程規范咨詢和專業技術工具，包括面向整體供應鏈周期依據DevSecOps理念設計的安全開發一體化平臺，針對軟件成分開源組件管理的有效工具，以及針對代碼的多維度的安全測試分析工具。供應鏈安全管理的另一個目標是對于供應鏈人員終端的安全管控。供應商人員往往會攜帶自己的終端進入單位內部網絡，這對于運營商系統而言是一個極大的不確定性因素。安恒信息提供面向供應鏈人員管理的一體化工具，實現集終端安

81、全、DLP數據防泄漏、零信任身份安全、終端行為審計于一體的一站式管控平臺。供應商資質審查與可信分級供應商安全監督管理規范供應商安全考核指標供應流程風險分析供應商服務與應急處置安全開發一體化平臺-供應鏈安全管理模塊身份管理認證管理權限策略管理暴露面收縮入網準入與隔離訪問傳輸加密敏感文件識別敏感文件發現文件分級分類文件外發管控文件外發審批文件外發審計圖片敏感信息識別軟硬件監控賬戶監控啟動項監控進程服務監控開關機監控文件操作審計多系統監控移動存儲管控打印管控刻錄審計主機連接監控違規外聯防護主機流量監控共享監控資產盤點遠程桌面消息推送遠程運維組織架構管理外設管控彈窗防護病毒查殺實時防護挖礦防御勒索防御

82、沙箱分析屏幕水印應用水印截屏水印打印水印隱形水印文字水印圖片水印漏洞掃描補丁管理基線檢查文件落地加密文件透明解密加密權限控制安全開發一體化平臺軟件成分分析工具SCA靜態安全審計工具SAST應用交互式測試工具IAST威脅建模分析工具黑盒安全掃描工具DAST軟件成分分析工具SCA靜態安全審計工具SAST應用交互式測試工具IAST黑盒安全掃描工具DAST容器環境安全檢測工具零信任身份安全管理終端一站式管控平臺應用安全防護系統RASP安恒全鏈路安全運營工具套裝采購軟件安全驗收規范軟件安全部署規范安全運營體系建設外包人員開發管理規范開發環境和工具安全管理規范安全開發管理體系安全開發流程建設安全開發知識體

83、系建設安全開發訓練體系建設供應鏈風險管理指南云計算服務安全能力要求信息系統安全等級保護基本要求信息技術產品供應方行為安全準則軟件供應鏈安全開發評估服務供應鏈安全評估服務軟件供應鏈專家咨詢服務運營商安全解決方案 -藍皮書 -2024創新方案篇52515G雙域安全零信任方案創新安全解決方案方案背景隨著5G應用的推廣，在政務、警務、企業及校園場景利用5G網絡訪問企業內部應用已經成為普遍性的需求，通過5G網絡替代或協同企業已有的Wi-Fi網絡，在實現企業員工（如在校師生或政務人員等）使用個人手機正常訪問互聯網的同時，可以滿足員工在企業園區內問企業應用的數據流不出企業內網的需求，實現2C和2B業務的雙跨

84、與共融，從而助力運營商提升集團成員粘性，引導集團成員攜轉，支撐政企信息化業務拓展?？蛻魧?G專網接入企業內網的安全要求較高，比如政務外網承載業務量大，業務種類多，承載各級政府關鍵信息，在確保網絡體驗的同時，須確保安全性、可靠性?？蛻衄F有應用為增加安全接入和安全防護能力，需進行相應的改造，在一定程度上影響用戶體驗，從而阻礙5G專網的大規模應用推廣。解決方案采用“可信訪問，持續鑒權、智能運營”的理念，通過終端身份認證、終端環境安全評估、業務資產訪問控制等核心能力，幫助用戶實現流量身份化、權限最小化、信任度量化、業務安全訪問的新一代網絡安全架構轉型。方案價值滿足合規滿足網絡安全法、數據安全法、個人信

85、息保護法、關基條例、等保等合規要求，同時滿足國家對于電信企業供應商安全管理技術的要求。加快響應速度提供針對BSSMSSOSS三級定級系統的關鍵基礎設施和應用供應商全鏈路實時告警等能力，加快違規行為和敏感數據泄漏事件響應速度。提高監管能力覆蓋供應商安全管理的設計、采購、建設、運行、維護等重點環節人員和軟件安全保障措施，提升數據安全監管能力，降低數據泄漏幾率。解決追責難題通過軟件供應鏈安全能力、零信任系統和敏感數據監測等技術手段精準定責、準確溯源、數據稽核。結束語在網絡安全形勢日益嚴峻的時代，運營商以堅定的決心和有力的措施，繼續堅持創新，蓬勃發展。本藍皮書旨在為各運營商集團、各運營商省公司及各專業

86、子公司用戶提供有參考價值的建設思路和技術路線，以幫助運營商應對不斷變化的網絡安全威脅，同時促進行業合作和知識共享。安恒信息認識到，網絡安全在于技術創新，更在于合作共贏。安恒信息愿與運營商攜手，融匯生態產業，普惠政企客戶，共建網絡安全新格局。最后，我們要感謝所有為本藍皮書做出貢獻的人員和組織。我們希望這份藍皮書能夠為運營商行業提供有價值的參考，并在網絡和數據安全領域推動進一步的發展。運營商安全解決方案 -藍皮書 -2024創新方案篇53在5G雙域專網上引入零信任體系，建設零信任服務中心、零信任應用代理、UEBA分析引擎等安全能力，對接入園區的用戶按角色進行細粒度訪問控制，并進行持續化、動態化的用

87、戶行為分析和管控。完成零信任身份服務中心和園區UPF的對接適配，完成零信任身份服務中心和企業側身份、權限數據的同步。等有新的用戶會話到達園區的UPF時，觸發園區UPF向零信任身份服務中心發起用戶信息注冊流程。園區UPF通過RADIUS消息，將相關用戶的IP地址、手機號等信息同步給零信任身份服務中心。當園區內用戶發起對內部應用訪問時，相關訪問信息到達零信任應用代理。零信任應用代理將訪問用戶的相關信息發給零信任身份服務中心進行鑒權。鑒權通過后，合法用戶將獲得對應權限的應用系統列表，進入正常訪問環節。UEBA分析引擎根據用戶在訪問過程中的行為數據進行分析，發現不正常的操作行為時，及時聯動零信任應用代

88、理阻斷用戶訪問通道。方案價值 無感認證：對使用用戶的身份信息（手機號）進行實名認證，形成身份標簽，不需要在用戶手機上部署插件，用戶也不需要進行登錄內網的人工認證。權限控制：園區管理者按照用戶的身份信息分配訪問的應用系統權限，做到最小權限訪問原則。風險響應：根據用戶訪問行為、基線、風險評分等信息，計算用戶信任度量值，預設規則執行連接停止、用戶鎖定等動作。流量控制：針對用戶訪問請求消息進行流量控制，基于請求的內容大小、速度、連接數等進行檢查，當超過預設的條件閾值時即自動實時流量控制措施。訪問審計：對應用系統的訪問行為進行日志記錄和審計，包括身份、時間、目標應用、流量等，為用戶單位提供有效的回溯依據。安恒信息 行業行銷專家部為您定制運營商行業安全解決方案方案咨詢