版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、中国电信IT安全保障体系研究与设计张新跃 华汪明 黄礼莲 高儒振2012-3-5 11:09:56来源:现代电信科技2011年第09期摘要:文章首先分析了全业务运营形势下中国电信IT支撑系统面临的安全新挑战,从多个角度出发,阐述了电信运营商CTG-MBOSS支撑系统安全现状和当下亟需解决的安全问题,在分析和比较了当前国际最先进的安全保障体系模型,基于多年来电信在IT安全管理方面的实践,结合了行业最佳实践,设计了适用于中国电信全业务支撑要求的安全保障体系模型框架,并给出了安全保障体系建设路线规划和演进策略。1 IT安全概况近年来,在国家信息化战略的指引下,越来越多的生产系统和企业核心数据承载在网
2、络环境中,IT网络环境下的信息安全问题成为每一位信息管理者都关注的问题,如何构建信息安全保障体系1-3,保障企业核心系统安全稳定运行,企业核心数据不丢失,一直是学术界和企业共同关注的焦点。根据中国电信企业信息化战略规范IT-SP2.0,以及中国电信的CTG-MBOSS安全规范,由管理支撑系统(MSS)、业务支撑系统(BSS)、运营支撑系统(OSS)和企业数据架构(EDA)组成。伴随着中国电信深度转型战略背景下,如何加强IT系统的统一管理,提高信息化支撑能力成为电信IT工作的主要目标,而IT系统的安全性将直接影响电信业务的开展。一方面,移动互联网、终端智能化、物联网和云计算等新技术的发展对IT系
3、统的安全提出了新的挑战;另一方面,随着全网IP化技术的演进,IT系统由封闭转向开放,业务运营模式的变化带来安全管控点的增多,系统的安全风险也随之增大;同时,由于运营商IT支撑系统数据的大集中增加了提高系统架构的复杂程度,安全事件带来的经济损失也将随之加大。但是,IT系统的安全建设滞后于系统建设的事实一直困扰着IT系统管理者。因此,从基础网络环境入手,以安全域为切入点,构建全方位多层次的综合IT安全保障体系,实现IT资产对象可管可控的安全运行环境,为企业全业务运营保驾护航,成为IT安全工作追求的目标。2 安全保障体系框架近年来,随着信息技术的进一步发展,人们逐渐认识到,构建安全保障体系必须从各个
4、方商进行综合考虑,只有将组织、策略、运行和技术等各方面紧密结合,构成全方位一体化的安全保障体系,才能真正保障企业核心资产的安全。一个完整的IT安全架构,需要从总体上进行统筹规划,逐一落实每项安全管理制度,统一部署安全防护措施,循序渐进地构建一个科学全面的安全保障体系。从管理和技术层面执行严格的管控措施,使之能够抵御来自外部和内部的各种安全威胁。中国电信IT安全保障体系是支撑企业IT安全建设和管理的基础架构,是指导企业进行安全规划与建设的依据,整体安全保障体系框架如图1所示。中国电信IT安全保障体系以CTG-MBOSS信息化架构为基础,以IT安全战略为指导,实现可管、可控和可信的三个IT安全阶段
5、目标目标。体系建设遵循“管技结合、预防为主、注重长效、循序渐进”十六字方针,最终实现可信赖的IT安全运营环境愿景。IT安全保障体系的三个阶段目标特征定义如下:可管阶段的特征是“职责明晰、预防为主、有效识别”,可控阶段的特征是“主动防御、及时响应、集中管控”,可信阶段的特征是“体系完善、流程通畅、全员参与”。整个IT安全保障体系由安全管理体系和安全技术体系两个重要部分组成。图1 中国电信IT安全保障体系框架图2.1 IT安全管理体系管理在整个体系中占有重要的地位,包括安全策略、安全组织和安全运行三大体系。安全策略体系总述了中国电信IT安全的总体方针政策、演进策略、标准和指南、以及各类实施细则组成
6、。它明确了企业IT安全的总体目标和建设任务,明确了演进路线和指导原则,是企业统一部署安全建设工作的总体纲领和依据。安全组织体系定义了保障IT安全策略有效执行需要的角色和职责,为安全策略能够贯彻实施的组织保障的保证,从职能上分为决策、管理和执行类别。该部分从管理制度的规定和落实上明确了信息安全职责与考核管理规定,从人员和组织上约定了主体和客体以及第三方安全管理规定。安全运行体系从IT系统生命周期和安全风险管控流程出发,从开发、建设、维护、响应和核查五个阶段提出安全风险管控的要点,明确了不同阶段安全防护的具体要求,涵盖了风险管理、系统开发建设、运行维护、事件响应、安全监控和安全检查等内容4-5。如
7、图2所示,在具体的执行过程中,安全管理体系在逻辑层面上又分为决策层、管理层和执行层三个层面,分别对应IT安全管理策略,制定安全管理规定及相应的安全管理细则、流程文件和操作手册提高IT安全保障能力。在决策层面,通过IT安全管理策略对信息安全方针进一步进行诠释和明确。包括了信息安全组织策略、人员信息安全管理策略、信息资产安全管理策略、物理环境安全管理策略、访问控制管理策略、IT系统建设管理策略、IT运维管理策略、法律法规复合型管理策略等。在管理层面,围绕电信IT安全管理策略,通过具体的各个管理制度,同时参考国际信息安全管理和信息技术服务最佳实践,明确集团层面对信息安全管理工作的各项具体要求,以全面
8、覆盖和满足外部法律法规、主管单位、监管机构、技术发展及相关合同协议的最新信息安全要求。执行层将管理层面的规定和要求进一步落实为具体的管理细则、操作流程及指南等,用以指导具体的信息安全操作行为。包含了物理环境操作、网络连接与准入、终端安全管理、文档与信息安全管理、账号与密码管理、应用系统开发与验收、安全维护作业流程、安全事件应急响应、连续性作业计划、合规性检查、安全基线达标管理等各种配套的操作指南。3 IT安全技术体系技术是实现IT安全保障体系的重要手段,从物理安全、网络安全、系统安全、应用安全、数据安全和终端安全六个方面实现安全检测与识别、安全防护、安全审计与恢复三大保障能力。其中,安全检测与
9、识别能力主要包含了威胁识别、入侵检测、漏洞扫描等内容;安全防护能力主要包含了身份认证、攻击防护、数据加密、访问控制、安全配置等内容;安全审计与恢复能力主要包含了操作审计、应急响应、灾备恢复等。图2 中国电信IT安全保障体系管理视图安全技术体系围绕中国电信IT安全目标和方针,遵循国家和工信部IT系统安全等级保护相关要求,结合IT技术发展现状和中国电信实际安全需求。通过定义安全对象和技术防护要求,确定IT安全集中管控目标,明确安全防护措施,制定通用安全配置和作业指南等,来提高整个企业的IT全网安全防护能力。安全技术体系在逻辑上分为“定义层”,“管控层”和“防护层”三个层面。中国电信IT安全保障体系
10、技术视图如图3所示。定义层明确了中国电信的IT信息安全防护对象等级和等级化的安全防护目标和要求,对不同安全等级的IT系统采取相应级别的IT安全保障技术措施和手段,提高安全防护能力。中国电信业务系统主体由MSS、BSS、OSS、EDA等4大系统组成,每个系统包含若干子系统。为了能够对各个子系统进行合理有效地安全防护,根据中国电信IT安全保障体系安全等级划分原则,对各个子系统进行等级划分,并且依照安全等级防护标准对IT系统进行安全防护。体系中对IT防护对象的安全等级划分满足国家等级保护和工信部“电信网和互联网安全等级”对电信网的要求6-8,并且做了相应的增强与扩充,将遭受攻击后“会对中国电信的正常
11、运行和企业合法权益包括(企业形象、经济运行)造成比较严重的损害,但尚未损害国家安全、社会秩序、经济运行和公共利益”的重要系统定义为2.2级,等级定义如表1如所示。防护层根据防护对象的安全等级,分别从网络、主机、终端、应用、数据、物理等6个方面,提出相应的安全防护要求。定义了网络、应用、数据和设备等IT基础设施的通用配置规范,同时依据中国电信IT系统的不同安全等级,明确和部署相应的安全防护措施,以提高中国电信信息安全防护能力和水平。它包括了IT系统安全防护措施和IT基础设施安全配置指南两大部分。其中IT系统安全防护措施从安全监测与识别、安全防护、安全审计与恢复三大类安全防护能力产品的功能与定义,
12、包括了以下三种。图3 中国电信IT安全保障体系建设规范技术视图(1)检测与识别类:身份认证、漏洞扫描和入侵检测;(2)安全防护类:网络防火墙、入侵防御、DDOS防护、VPN、数据库安全、恶意代码防护、网页防篡改、WEB防火墙、行为管理、终端安全、数据防泄露;(3)安全审计与恢复类:安全审计、堡垒主机、备份恢复。IT基础设施安全配置指南从网络、主机、数据、应用等几个层面制定了IT基础设施的安全配置要求。包括了网络设备安全配置、主机安全配置、数据库安全配置、终端安全配置、应用和中间件安全配置、网络安全域划分等具体内容。管控层主要包括集中用户认证管理和安全控制管理两个方面,定义了安全管控组件功能、接
13、口标准、实施与演进路线。其中集中用户认证管理主要功能是建立集中用户管理管理机制,进行账号管理、认证管理、授权管理与统一审计管理,实现IT系统“四实名”;安全控制管理的主要功能是建立安全运维管控机制,进行安全设备监控、安全日志审计、安全事件处理等管理行为,实现核心系统和数据操作可告警、可阻断、可审计、可追溯6。4 安全保障体系建设演进路线如图4所示,中国电信IT安全保障体系建设需要分阶段逐步建设实施,结合电信的实际安全需求和安全风险级别,规划出符合企业实际的安全实施和建设演进路线图。可管阶段的主要工作包括明确IT安全资产防护等级、建立安全组织架构、明确安全责任、编制企业安全策略和管理制度,引入安
14、全运维流程,以安全域为切入点,规划设计网络体系架构,全面部署安全监控与预警措施,对重要系统部署有针对性的安全防护措施。实现“职责明晰、预防为主、有效识别”的要求。可控阶段的主要工作包括细化安全管理流程,建立安全主动防御体系,部署全方位的安全防护措施,遵循纵深防御的防护思路,部署统一IT安全运维平台,实现对IT设备和系统的集中管理和维护;建立集中用户账号管理平台,实现用户账号统一认证、统一授和审计。实现“主动防御、及时响应、集中管控”的要求。可信阶段实现IT安全工作全员参与,将安全工作逐步融入到企业文化中;固化安全运维管理流程,建立可实现的IT安全考量体系,形成持续优化、不断演进的长效安全管理机
15、制;针对重要系统建立安全备份与恢复机制,逐步建设成“安全可信环境”,打造集预警、监控、响应、恢复为一体的全方位安全保障体系。图4 中国电信IT安全保障体系建设演进路线5 结语本文分析了中国电信在全业务运营环境下IT支撑系统面临的安全挑战,通过比较当前国际最先进的安全保障体系模型,结合中国电信业务保障需求,设计出了新的IT安全保障体系模型框架,给出了各个框架的功能和建设要求,阐述了安全保障体系如何建设路和实现的演进路线,对于指导未来整个电信运营商安全体系建设工作具有重要意义。作者简介:张新跃,中国电信集团系统集成有限责任公司高级工程师;华汪明,中国电信集团公司高级工程师;黄礼莲,中国电信集团公司企业信息化部高级工程师;高儒振,中国电信集团公司企业信息化部高级工程师。参考文献1王娜,方滨兴,罗建中,等.“5432战略”国家信息安全保障体系框架研究J.通信学报,2004(7).2方滨兴.建设网络应急体系,保障网络空间安全J.通信学报,2002(5).3白云,张凤鸣,黄浩,等.信息系统安全体系结构发展
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024工程税务管理中的黑白合同风险控制
- 2024专业展览馆场地租赁合同范本版B版
- 2024年定制门类产品销售合作合同范本版B版
- 2024年市集摊点租赁协议规范格式版B版
- 2024年度劳动合同标的为高级工程师的一年期工作2篇
- 2024年度员工安全生产责任与权益保障合同版B版
- 2024年室内瓦工施工合作协议样本版
- 2024全新员工聘用协议范本全面条款一
- 2024年原料供应协议规范版版B版
- 2024卫生人员聘用合同
- 药品进医院流程
- 煤炭国际贸易实务考核试卷
- 《律动 快乐小舞曲(简谱、五线谱)》课件
- 《辽宁阜新的转型与发展》高效备课课件
- 人教版高中数学A版选必第2册《第四章 数列》大单元整体教学设计
- 人口与人种课件-2024-2025学年七年级地理上学期(2024)人教版
- 2024至2030年中国水上乐园行业市场深度分析及发展趋势预测报告
- 青岛版四年级上册数学课程纲要
- 开荒保洁合同范本(2024版)
- 摄影摄像知识竞赛考试题库500题(含答案)
- DL∕T 1100.1-2018 电力系统的时间同步系统 第1部分:技术规范
评论
0/150
提交评论