當(dāng)前位置:首頁 > 通信技術(shù) > 通信技術(shù)
[導(dǎo)讀] 近年來,在國家信息化戰(zhàn)略的指引下,越來越多的企業(yè)核心數(shù)據(jù)承載在網(wǎng)絡(luò)環(huán)境中,IT網(wǎng)絡(luò)環(huán)境下的信息安全問題成為信息管理者關(guān)注的問重點(diǎn),如何構(gòu)建信息安全保障體系,同時如何建立一套科學(xué)有效的評價標(biāo)準(zhǔn),考量系統(tǒng)的

 近年來,在國家信息化戰(zhàn)略的指引下,越來越多的企業(yè)核心數(shù)據(jù)承載在網(wǎng)絡(luò)環(huán)境中,IT網(wǎng)絡(luò)環(huán)境下的信息安全問題成為信息管理者關(guān)注的問重點(diǎn),如何構(gòu)建信息安全保障體系,同時如何建立一套科學(xué)有效的評價標(biāo)準(zhǔn),考量系統(tǒng)的IT保障體系建設(shè)能力水平,一直是學(xué)術(shù)界和企業(yè)共同關(guān)注的焦點(diǎn)。

作為國內(nèi)最大的固網(wǎng)電信運(yùn)營商來說,隨著中國電信全業(yè)務(wù)運(yùn)營戰(zhàn)略的推進(jìn),IT系統(tǒng)(即CTG-MBOSS系統(tǒng),由管理支撐系統(tǒng)MSS,業(yè)務(wù)支撐系統(tǒng)BSS,運(yùn)營支撐系統(tǒng)OSS和企業(yè)數(shù)據(jù)架構(gòu)EDA組成) 已經(jīng)成為電信生產(chǎn)環(huán)節(jié)中不可或缺的一部分,IT系統(tǒng)的安全問題也日趨重要。

中國電信IT安全保障體系以CTG-MBOSS信息化架構(gòu)為基礎(chǔ),是支撐企業(yè)IT安全建設(shè)和管理的基礎(chǔ)架構(gòu),整個體系以IT安全戰(zhàn)略為指導(dǎo),將組織、策略、運(yùn)行、技術(shù)等安全各方面要素結(jié)合起來,通過安全管理制度的逐一落實(shí),安全防護(hù)措施的統(tǒng)一部署,循序漸進(jìn)的構(gòu)建一個科學(xué)全面的信息安全保障體系。體系建設(shè)和實(shí)施路線遵循“管技結(jié)合、預(yù)防為主、注重長效、循序漸進(jìn)”十六字方針,按照“職責(zé)明晰、預(yù)防為主、有效識別;主動防御、及時響應(yīng)、集中管控;體系完善、流程通暢、全員參與” 的路線向“可管、可控、可信”三個階段能力目標(biāo)演進(jìn),最終實(shí)現(xiàn)可信賴的IT安全運(yùn)營環(huán)境愿景,整體安全保障體系框架如圖1所示。

圖 1 中國電信IT安全保障體系框架圖

其中,安全策略體系總述了中國電信IT安全的總體方針政策、演進(jìn)策略、標(biāo)準(zhǔn)和指南、以及各類實(shí)施細(xì)則組成。

安全組織體系定義了保障IT安全策略有效執(zhí)行需要的角色和職責(zé),為安全策略能夠貫徹實(shí)施的組織保障的保證,從職能上分為決策、管理和執(zhí)行類別。

安全運(yùn)行體系從IT系統(tǒng)生命周期和安全風(fēng)險管控流程出發(fā),從開發(fā)、建設(shè)、維護(hù)、響應(yīng)和核查五個階段提出安全風(fēng)險管控的要點(diǎn),明確了不同階段安全防護(hù)的具體要求,涵蓋了風(fēng)險管理、系統(tǒng)開發(fā)建設(shè)、運(yùn)行維護(hù)、事件響應(yīng)、安全監(jiān)控和安全檢查等內(nèi)容。

技術(shù)體系是實(shí)現(xiàn)IT安全保障體系的重要手段,從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全和終端安全六個方面實(shí)現(xiàn)安全檢測與識別、安全防護(hù)、安全審計(jì)與恢復(fù)三大保障能力。

2 安全能力成熟度模型

為了保證電信網(wǎng)IT安全保障體系建設(shè)有序推進(jìn)并完成建設(shè)目標(biāo),需要一套合理的評價模型和方法對安全保障體系建設(shè)成效進(jìn)行公正有效的考量和評價。而且該模型和方法要能夠適應(yīng)復(fù)雜的實(shí)際建設(shè)情況,能夠包含量化評估的方法、模型和流程,是一個全面科學(xué)的、可量化的考評體系。

當(dāng)前國內(nèi)外關(guān)于信息安全評估的標(biāo)準(zhǔn)和考評方法形成了幾種流派,其中國標(biāo)GB-T2027對安全建設(shè)能力成熟度評價做了基本的定義,描述了5個級別的安全保障能力定義,分別為:未實(shí)施級;基本執(zhí)行級;計(jì)劃和跟蹤級;充分定義級;量化控制級;持續(xù)改進(jìn)級等五個級別,上述5個能力級別對能力特征進(jìn)行了充分的定義,但沒有給出具體的操作細(xì)則。

在結(jié)合了國家標(biāo)準(zhǔn)和電信實(shí)際現(xiàn)狀后,結(jié)合其他行業(yè)最佳實(shí)踐和中國電信實(shí)際情況,從考核指標(biāo)量化入手,圍繞五級能力成熟度模型,形成一個可持續(xù)改進(jìn)的IT安全保障體系能力成熟度模型和評價方法,模型從IT安全規(guī)劃建設(shè)、運(yùn)作、技術(shù)保障、管理措施等幾個方面因素入手,建立一種普遍適應(yīng)的評價準(zhǔn)則,對安全能力建設(shè)做出評價,指導(dǎo)企業(yè)開展安全建設(shè)工作。

2.1 考量指標(biāo)

評估IT安全保障體系能力成熟度通過上述安全保障體系策略、組織、運(yùn)行和技術(shù)四個層次來進(jìn)行,每一個層次包含不同的內(nèi)容,對應(yīng)著不同的標(biāo)準(zhǔn)和考核指標(biāo)。在每一個層次中,有關(guān)鍵指標(biāo),圍繞關(guān)鍵指標(biāo),有相應(yīng)的具體流程和活動,能力評估就是根據(jù)這些關(guān)鍵指標(biāo)和相應(yīng)流程合活動的情況合狀態(tài)來進(jìn)行的。在IT安全保障體系能力成熟度模型中,會有對每個層次的不同級別的關(guān)鍵指標(biāo)、標(biāo)準(zhǔn)流程的詳細(xì)定義和描述,同時會有能力不足的措施說明等。

IT安全保障體系能力水平,包括四大體系的能力成熟度因素:

(1)策略體系:安全策略相關(guān)的企業(yè)安全戰(zhàn)略、安全滾動規(guī)劃、安全建設(shè)資金投入、安全資源保障的健全程度。

(2)組織體系:安全組織和人員配置程度,安全組織的運(yùn)作和執(zhí)行效能,全員安全素質(zhì)水平,對人員的安全管理水平。

(3)運(yùn)作體系:圍繞IT系統(tǒng)生命周期,從設(shè)計(jì)、建設(shè)和運(yùn)維幾個層面執(zhí)行安全管控的規(guī)范化和標(biāo)準(zhǔn)化程度,安全管理的成熟度和水平。

(4)技術(shù)體系:針對安全技術(shù)保障措施和防護(hù)手段的建設(shè)完善程度。

評估能力成熟度主要依據(jù)目前的能力狀態(tài)是否達(dá)到規(guī)定的要求而進(jìn)行劃分,能力不達(dá)標(biāo)則能力成熟度低,反之則高。因此,評估模型對IT安全保障體系能力成熟度劃分等級進(jìn)行分值評估,在每個層次的能力成熟度模型中有詳細(xì)的關(guān)鍵指標(biāo),還有詳細(xì)的標(biāo)準(zhǔn)流程和活動指標(biāo),再根據(jù)指標(biāo)的等級和關(guān)鍵程度可以設(shè)置權(quán)重,最后再計(jì)算總分。最后,針對所有的關(guān)鍵指標(biāo)或者所有的標(biāo)準(zhǔn)指標(biāo)的累計(jì)分?jǐn)?shù)整個IT安全保障體系能力成熟度進(jìn)行總分評定,成熟度評估具體執(zhí)行中將采取調(diào)查、調(diào)研、訪談、效果跟蹤等方法進(jìn)行。

2.2 計(jì)算方法

(1)體系成效考量計(jì)算方法

IT安全保障體系的建設(shè)成效= 安全策略體系水平*α+安全組織體系水平*β+安全運(yùn)作體系水平*γ+安全技術(shù)保障措施建設(shè)水平*δ。

α、β、γ、δ分別表示IT安全策略體系、安全組織體系水平、安全運(yùn)作體系水平和安全技術(shù)保障措施建設(shè)水平的重要性賦值所占的權(quán)重,其中α≥0,β≥0,γ≥0,δ≥0且α+β+γ+δ=1。

(2)體系水平成熟度計(jì)算方法

安全策略體系水平=α1*策略指標(biāo)項(xiàng)1+α2*策略指標(biāo)項(xiàng)2+α3*策略指標(biāo)項(xiàng)3+α4*策略指標(biāo)項(xiàng)4+… …。

其中,α1、α2、α3、α4等分別為各個指標(biāo)項(xiàng)的加權(quán)因子, =1,安全策略指標(biāo)項(xiàng)分值和權(quán)重因子數(shù)值由細(xì)則另行定義。

其余三個能力指標(biāo)安全組織體系水平、安全運(yùn)作體系水平和安全技術(shù)保障措施建設(shè)水平成熟度計(jì)算方案以此類推。

(3)體系成效考量評價矩陣

針對IT安全保障體系建設(shè)成效,建立IT安全保障體系成熟度衡量標(biāo)準(zhǔn)和指標(biāo),具體如表1所示。

3 安全能力評估實(shí)踐

在以上安全能力成熟度模型基礎(chǔ)上,通過建立一套可操作的能力達(dá)標(biāo)評價標(biāo)準(zhǔn)-安全基線(Security BaseLine),考量IT安全保障體系建設(shè)成效,實(shí)現(xiàn)保障體系水平真正可量化評價。中國電信IT安全基線考評方法描述了CTG-MBOSS系統(tǒng)最基本的安全要求,通過安全基線考核指標(biāo),實(shí)現(xiàn)對企業(yè)各IT系統(tǒng)安全建設(shè)成效和管理水平的動態(tài)管理, 促進(jìn)IT安全管理能力提升。

中國電信IT安全基線達(dá)標(biāo)標(biāo)準(zhǔn),從管理和技術(shù)兩個維度對如何考察安全建設(shè)能力給出了詳細(xì)的達(dá)標(biāo)評比辦法,將安全能力分為C級、B級、A級。分為組織架構(gòu)管理、人員安全管理、運(yùn)維安全管理、應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、審計(jì)安全管理七大項(xiàng)。一個完整的安全基線保障體系應(yīng)該是將安全管理和安全技術(shù)手段相結(jié)合,通過各種安全管理制度、安全組織機(jī)構(gòu)和安全運(yùn)維制度等方面的建設(shè),并在網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層采取各種安全技術(shù)手段建立多層保護(hù)的深度防御保障體系。從安全基線可操作性的角度出發(fā),在安全管理層面應(yīng)將組織架構(gòu)管理要求、人員安全管理要求和運(yùn)維安全管理要求等三部分作為IT系統(tǒng)安全的基線考評要求,在安全技術(shù)層面應(yīng)將應(yīng)用安全要求、主機(jī)安全要求、網(wǎng)絡(luò)安全要求和安全審計(jì)要求等4部分作為IT系統(tǒng)安全的基線考評要求,通過建立健全I(xiàn)T系統(tǒng)管理與技術(shù)防護(hù)體系,逐步提升IT系統(tǒng)整體安全防護(hù)能力。IT安全基線評分標(biāo)準(zhǔn)如圖2所示。

圖2 IT 安全基線指標(biāo)分解示例圖

在實(shí)際操作中,IT安全基線達(dá)標(biāo)測評采取打分的方式進(jìn)行量化操作,對每一個檢測項(xiàng)打分,屬于判斷結(jié)果為“是”或“否”的檢測項(xiàng),結(jié)果為“是”則評1分,為“否”則評0分。根據(jù)各項(xiàng)總分?jǐn)?shù)對IT系統(tǒng)的安全評測結(jié)果分別進(jìn)行等級化評定,IT安全基線能力基線視圖和判定方法如圖3所示。

圖3 IT安全基線達(dá)標(biāo)考核示例圖

圖3中的連線為IT安全達(dá)標(biāo)能力的基本水平線,也真正體現(xiàn)了能力“基線”的真正意義。

4 結(jié)束語

綜上所述,本文在IT安全保障體系模型框架基礎(chǔ)上,闡述了一個可持續(xù)改進(jìn)的IT安全保障體系能力成熟度模型,從IT安全規(guī)劃建設(shè)、運(yùn)作、技術(shù)保障、管理措施等幾個方面因素入手,找出一套合理的評價方法對安全保障體系建設(shè)成效進(jìn)行公正有效的考量和評價,給出了一個具有普遍性的具體可操作的安全基線達(dá)標(biāo)實(shí)踐方法,可指導(dǎo)企業(yè)開展IT安全建設(shè)能力評價工作。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉