1.中國移動中央動漫是一種信息容量大、表現形式豐富的增值業務，將成為一種非常有前景的移動增值業務形式，但同時中央動漫平臺及業務本身面臨著眾多的安全威脅。為了有效防范信息安全方面的潛在風險，中國移動開展了中央動漫信息安全威脅分析工作，全面發掘平臺所面臨的信息安全威脅，定義安全防護要求，為日后的安全規劃和建設打下堅實的基礎。

安全威脅

中國移動中央動漫平臺安全可劃分為物理層安全、網絡層安全、系統層安全、應用層安全、內容安全等方面。

2.1物理層安全

物理層安全威脅主要集中在供電、攜帶靜電操作、電磁干擾、溫度及濕度異常等方面。在物理層安全部分，威脅較大的是攜帶靜電操作，其他威脅如機房配套設施故障、自然災害、人為災難、非授權訪問及操作等，雖發生概率較小，但大部分危害較大，應給予足夠關注。這些均對動漫平臺的可用性造成威脅。

2.2網絡層安全

動漫平臺面臨的網絡層安全威脅與其他基于IP的信息系統類似，主要集中在設備硬件故障、外部攻擊、網絡蠕蟲、信息泄露、不正確的運維操作等方面。

在網絡層安全部分，拒絕服務攻擊、網絡蠕蟲、信息泄露的威脅較大，設備失控風險發生概率較小，但危害嚴重，其他威脅如硬件故障、偽造IP接入、不正確的運維操作等威脅較小。

2.3系統層安全

動漫平臺采用通用的操作系統，面臨的安全威脅與其他信息系統類似，主要集中在常見的病毒、蠕蟲、后門、外部攻擊、權限濫用、非授權訪問、設備硬件故障、不正確的運維操作等方面。

在系統層安全部分，拒絕服務攻擊、病毒、蠕蟲、后門、非授權訪問的威脅較高，設備失控風險在限制不嚴格時也有不低的發生概率，其他威脅較小。

2.4應用層安全

動漫平臺在通用平臺上開發，并通過多種方式對外提供服務，由此帶來的安全問題是應用安全防護的重點。應用層安全威脅主要集中在常見的病毒、木馬、后門、外部攻擊、權限濫用、業務數據竊取、非授權訪問、抵賴、軟件故障、存儲故障、不正確的運維操作等方面。在應用安全部分，拒絕服務攻擊、病毒、木馬、后門、非授權訪問的威脅較高，信息泄露及應用中斷也會對動漫業務造成不小的影響，其他威脅較小。

2.5內容安全

中央動漫平臺內容方面主要面臨內容盜用與成為不良信息傳播平臺的風險。內容盜用包括未授權轉載、非法盜版以及作品被他方通過技術手段抄襲或相關版權信息被清除，影響動漫作品的完整性。不良信息傳播包含低俗、色情、暴力、欺詐、迷信、誹謗、網絡釣魚等擾亂社會秩序、破壞社會穩定、侵害他人合法權益的不良信息，通過中央動漫用戶展示平臺傳播。

此類安全威脅均有不小的危害，應格外關注。

安全防護措施在理解中央動漫平臺安全威脅的基礎上，關聯COBIT4.1和ISO/IEC27002提出平臺各個層次的安全功能和安全防護技術要求。

3.1物理層動漫平臺物理安全防護應嚴格遵循中國移動集團及相關部門制定并下發的機房安全管理制度，相關控制措施應覆蓋以下3方面。

(1)機房環境管理，應防塵、防靜電、防爆、防盜、防雷、防凍、防潮、溫度、濕度、防火、電力等。

(2)機房人員管理，應制定訪問控制、操作管理等。

(3)機房安全設施配備及保持，如UPS、滅火、門禁、巡檢等。

3.2網絡層

動漫平臺網絡結構并不復雜，其面臨的安全威脅與其他基于IP的信息系統類似。為處理其面臨的安全威脅，網絡層應提供如下安全防護。

(1)網絡訪問控制

在網絡邊界進行設備、鏈路冗余，網絡拓撲設計雙機冗余、網絡鏈路冗余，保障網絡可靠性。業務控制訪問策略最小化并進行網絡流量的監控。由于平臺安全特性要求，需要進一步在平臺內部劃分安全子域。接入層劃分為系統管理區及業務系統區兩個區域。安全子域之間及子域與外部網絡間應嚴格遵循最小服務開放策略，僅允許正常服務需要開放的端口在域間流轉。

采用IP+MAC+端口綁定的方式對非授權接入進行控制，或采用統一維護終端安全策略，嚴格控制漫游終端（包括廠商工程師現場接入終端、中國移動維護人員的辦公終端）接入，對未經許可接入網絡的計算機設備，立即報警并給予阻斷，并對終端接入行為進行審計。

對于使用IP進行遠程維護的設備，應配置SSH等加密協議。對網絡、安全設備管理地址，應進行源地址限制，只允許特定地址訪問；配置定時賬戶自動登出，登出后需再次登錄才能進入系統。運用審計系統對設備配置操作信息進行自動審計、記錄，可考慮實現集中賬號管理、集中認證、集中授權、集中審計。

(2)設備安全

應符合中國移動相關網絡設備安全基線規范要求。定期對網絡設備版本進行升級或者打補丁操作，如廠商已不再維護設備，需要及時更新版本或者退服。

(3)入侵、惡意代碼防范

使用入侵檢測系統依照一定的安全策略，對網絡的運行狀況進行監視，盡可能發現各種攻擊企圖、判斷是否有違規或者惡意行為發生并告知網絡管理員。通過對已發生安全事件的統計分析，協助網絡管理員了解平臺的內部狀況，為進一步的網絡安全建設提供決策依據。

使用入侵防御系統對發生在網絡中的深層攻擊行為進行準確地分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效地保護網絡的安全，降低網絡可用性損失。