CNTXJ.NET | 通信界-中国通信门户 | 通信圈 | 通信家 | 下载吧 | 说吧 | 人物 | 前瞻 | 智慧(区块链 | AI
 国际新闻 | 国内新闻 | 运营动态 | 市场动态 | 信息安全 | 通信电源 | 网络融合 | 通信测试 | 通信终端 | 通信政策
 专网通信 | 交换技术 | 视频通信 | 接入技术 | 无线通信 | 通信线缆 | 互联网络 | 数据通信 | 通信视界 | 通信前沿
 智能电网 | 虚拟现实 | 人工智能 | 自动化 | 光通信 | IT | 6G | 烽火 | FTTH | IPTV | NGN | 知本院 | 通信会展
您现在的位置: 通信界 >> 通信电源 >> 技术正文
 
电信网安全保障能力评价模型与方法浅析[图]
[ 通信界 | 佚名 | www.cntxj.net | 2012/10/20 16:58:29 ]
 

 

近年来,在国家信息化战略的指引下,越来越多的企业核心数据承载在网络环境中,IT网络环境下的信息安全问题成为信息管理者关注的问重点,如何构建信息安全保障体系,同时如何建立一套科学有效的评价标准,考量系统的IT保障体系建设能力水平,一直是学术界和企业共同关注的焦点。

作为国内最大的固网电信运营商来说,随着中国电信全业务运营战略的推进,IT系统(即CTG-MBOSS系统,由管理支撑系统MSS,业务支撑系统BSS,运营支撑系统OSS和企业数据架构EDA组成) 已经成为电信生产环节中不可或缺的一部分,IT系统的安全问题也日趋重要。

中国电信IT安全保障体系以CTG-MBOSS信息化架构为基础,是支撑企业IT安全建设和管理的基础架构,整个体系以IT安全战略为指导,将组织、策略、运行、技术等安全各方面要素结合起来,通过安全管理制度的逐一落实,安全防护措施的统一部署,循序渐进的构建一个科学全面的信息安全保障体系。体系建设和实施路线遵循“管技结合、预防为主、注重长效、循序渐进”十六字方针,按照“职责明晰、预防为主、有效识别;主动防御、及时响应、集中管控;体系完善、流程通畅、全员参与” 的路线向“可管、可控、可信”三个阶段能力目标演进,最终实现可信赖的IT安全运营环境愿景,整体安全保障体系框架如图1所示。

图 1 中国电信IT安全保障体系框架图

其中,安全策略体系总述了中国电信IT安全的总体方针政策、演进策略、标准和指南、以及各类实施细则组成。

安全组织体系定义了保障IT安全策略有效执行需要的角色和职责,为安全策略能够贯彻实施的组织保障的保证,从职能上分为决策、管理和执行类别。

安全运行体系从IT系统生命周期和安全风险管控流程出发,从开发、建设、维护、响应和核查五个阶段提出安全风险管控的要点,明确了不同阶段安全防护的具体要求,涵盖了风险管理、系统开发建设、运行维护、事件响应、安全监控和安全检查等内容。

技术体系是实现IT安全保障体系的重要手段,从物理安全、网络安全、系统安全、应用安全、数据安全和终端安全六个方面实现安全检测与识别、安全防护、安全审计与恢复三大保障能力。

2 安全能力成熟度模型

为了保证电信网IT安全保障体系建设有序推进并完成建设目标,需要一套合理的评价模型和方法对安全保障体系建设成效进行公正有效的考量和评价。而且该模型和方法要能够适应复杂的实际建设情况,能够包含量化评估的方法、模型和流程,是一个全面科学的、可量化的考评体系。

当前国内外关于信息安全评估的标准和考评方法形成了几种流派,其中国标GB-T2027对安全建设能力成熟度评价做了基本的定义,描述了5个级别的安全保障能力定义,分别为:未实施级;基本执行级;计划和跟踪级;充分定义级;量化控制级;持续改进级等五个级别,上述5个能力级别对能力特征进行了充分的定义,但没有给出具体的操作细则。

在结合了国家标准和电信实际现状后,结合其他行业最佳实践和中国电信实际情况,从考核指标量化入手,围绕五级能力成熟度模型,形成一个可持续改进的IT安全保障体系能力成熟度模型和评价方法,模型从IT安全规划建设、运作、技术保障、管理措施等几个方面因素入手,建立一种普遍适应的评价准则,对安全能力建设做出评价,指导企业开展安全建设工作。

2.1 考量指标

评估IT安全保障体系能力成熟度通过上述安全保障体系策略、组织、运行和技术四个层次来进行,每一个层次包含不同的内容,对应着不同的标准和考核指标。在每一个层次中,有关键指标,围绕关键指标,有相应的具体流程和活动,能力评估就是根据这些关键指标和相应流程合活动的情况合状态来进行的。在IT安全保障体系能力成熟度模型中,会有对每个层次的不同级别的关键指标、标准流程的详细定义和描述,同时会有能力不足的措施说明等。

IT安全保障体系能力水平,包括四大体系的能力成熟度因素:

(1)策略体系:安全策略相关的企业安全战略、安全滚动规划、安全建设资金投入、安全资源保障的健全程度。

(2)组织体系:安全组织和人员配置程度,安全组织的运作和执行效能,全员安全素质水平,对人员的安全管理水平。

(3)运作体系:围绕IT系统生命周期,从设计、建设和运维几个层面执行安全管控的规范化和标准化程度,安全管理的成熟度和水平。

(4)技术体系:针对安全技术保障措施和防护手段的建设完善程度。

评估能力成熟度主要依据目前的能力状态是否达到规定的要求而进行划分,能力不达标则能力成熟度低,反之则高。因此,评估模型对IT安全保障体系能力成熟度划分等级进行分值评估,在每个层次的能力成熟度模型中有详细的关键指标,还有详细的标准流程和活动指标,再根据指标的等级和关键程度可以设置权重,最后再计算总分。最后,针对所有的关键指标或者所有的标准指标的累计分数整个IT安全保障体系能力成熟度进行总分评定,成熟度评估具体执行中将采取调查、调研、访谈、效果跟踪等方法进行。

2.2 计算方法

(1)体系成效考量计算方法

IT安全保障体系的建设成效= 安全策略体系水平*α+安全组织体系水平*β+安全运作体系水平*γ+安全技术保障措施建设水平*δ。

α、β、γ、δ分别表示IT安全策略体系、安全组织体系水平、安全运作体系水平和安全技术保障措施建设水平的重要性赋值所占的权重,其中α≥0,β≥0,γ≥0,δ≥0且α+β+γ+δ=1。

(2)体系水平成熟度计算方法

安全策略体系水平=α1*策略指标项1+α2*策略指标项2+α3*策略指标项3+α4*策略指标项4+… …。

其中,α1、α2、α3、α4等分别为各个指标项的加权因子, =1,安全策略指标项分值和权重因子数值由细则另行定义。

其余三个能力指标安全组织体系水平、安全运作体系水平和安全技术保障措施建设水平成熟度计算方案以此类推。

(3)体系成效考量评价矩阵

针对IT安全保障体系建设成效,建立IT安全保障体系成熟度衡量标准和指标,具体如表1所示。

3 安全能力评估实践

在以上安全能力成熟度模型基础上,通过建立一套可操作的能力达标评价标准-安全基线(Security BaseLine),考量IT安全保障体系建设成效,实现保障体系水平真正可量化评价。中国电信IT安全基线考评方法描述了CTG-MBOSS系统最基本的安全要求,通过安全基线考核指标,实现对企业各IT系统安全建设成效和管理水平的动态管理, 促进IT安全管理能力提升。

中国电信IT安全基线达标标准,从管理和技术两个维度对如何考察安全建设能力给出了详细的达标评比办法,将安全能力分为C级、B级、A级。分为组织架构管理、人员安全管理、运维安全管理、应用安全、主机安全、网络安全、审计安全管理七大项。一个完整的安全基线保障体系应该是将安全管理和安全技术手段相结合,通过各种安全管理制度、安全组织机构和安全运维制度等方面的建设,并在网络层、主机层、应用层采取各种安全技术手段建立多层保护的深度防御保障体系。从安全基线可操作性的角度出发,在安全管理层面应将组织架构管理要求、人员安全管理要求和运维安全管理要求等三部分作为IT系统安全的基线考评要求,在安全技术层面应将应用安全要求、主机安全要求、网络安全要求和安全审计要求等4部分作为IT系统安全的基线考评要求,通过建立健全IT系统管理与技术防护体系,逐步提升IT系统整体安全防护能力。IT安全基线评分标准如图2所示。

图2 IT 安全基线指标分解示例图

在实际操作中,IT安全基线达标测评采取打分的方式进行量化操作,对每一个检测项打分,属于判断结果为“是”或“否”的检测项,结果为“是”则评1分,为“否”则评0分。根据各项总分数对IT系统的安全评测结果分别进行等级化评定,IT安全基线能力基线视图和判定方法如图3所示。

图3 IT安全基线达标考核示例图

图3中的连线为IT安全达标能力的基本水平线,也真正体现了能力“基线”的真正意义。

4 结束语

  综上所述,本文在IT安全保障体系模型框架基础上,阐述了一个可持续改进的IT安全保障体系能力成熟度模型,从IT安全规划建设、运作、技术保障、管理措施等几个方面因素入手,找出一套合理的评价方法对安全保障体系建设成效进行公正有效的考量和评价,给出了一个具有普遍性的具体可操作的安全基线达标实践方法,可指导企业开展IT安全建设能力评价工作。

 

1作者:佚名 来源:不详 编辑:顾北

 

声明:①凡本网注明“来源:通信界”的内容,版权均属于通信界,未经允许禁止转载、摘编,违者必究。经授权可转载,须保持转载文章、图像、音视频的完整性,并完整标注作者信息并注明“来源:通信界”。②凡本网注明“来源:XXX(非通信界)”的内容,均转载自其它媒体,转载目的在于传递更多行业信息,仅代表作者本人观点,与本网无关。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。③如因内容涉及版权和其它问题,请自发布之日起30日内与本网联系,我们将在第一时间删除内容。 
热点动态
普通新闻 中信科智联亮相2023中国移动全球合作伙伴大会
普通新闻 全球首个基于Data Channel的新通话商用网络呼叫成功拨通
普通新闻 中国联通:以优质通信服务 助力“一带一路”共建繁华
普通新闻 杨杰:未来五年,智算规模复合增长率将超过50%
普通新闻 长沙电信大楼火灾调查报告发布:系未熄灭烟头引燃,20余人被问责
普通新闻 邬贺铨:生态短板掣肘5G潜能发挥,AI有望成“破局之剑”
普通新闻 工信部:加大对民营企业参与移动通信转售等业务和服务创新的支持力
普通新闻 摩尔线程亮相2023中国移动全球合作伙伴大会,全功能GPU加速云电脑体
普通新闻 看齐微软!谷歌表示将保护用户免受人工智能版权诉讼
普通新闻 联想王传东:AI能力已成为推动产业升级和生产力跃迁的利刃
普通新闻 APUS李涛:中国的AI应用 只能生长在中国的大模型之上
普通新闻 外媒:在电池竞赛中,中国如何将世界远远甩在后面
普通新闻 三星电子预计其盈利能力将再次下降
普通新闻 报告称华为5G专利全球第1 苹果排名第12
普通新闻 党中央、国务院批准,工信部职责、机构、编制调整
普通新闻 荣耀Magic Vs2系列正式发布,刷新横向大内折手机轻薄纪录
普通新闻 GSMA首席技术官:全球连接数超15亿,5G推动全行业数字化转型
普通新闻 北京联通完成全球首个F5G-A“单纤百T”现网验证,助力北京迈向万兆
普通新闻 中科曙光亮相2023中国移动全球合作伙伴大会
普通新闻 最高补贴500万元!哈尔滨市制定工业互联网专项资金使用细则
通信视界
邬贺铨:移动通信开启5G-A新周期,云网融合/算
普通对话 中兴通讯徐子阳:强基慧智,共建数智热带雨
普通对话 邬贺铨:移动通信开启5G-A新周期,云网融合
普通对话 华为轮值董事长胡厚崑:我们正努力将5G-A带
普通对话 高通中国区董事长孟樸:5G与AI结合,助力提
普通对话 雷军发布小米年度演讲:坚持做高端,拥抱大
普通对话 闻库:算网融合正值挑战与机遇并存的关键阶
普通对话 工信部副部长张云明:我国算力总规模已居世
普通对话 邬贺铨:我国互联网平台企业发展的新一轮机
普通对话 张志成:继续加强海外知识产权保护工作 为助
普通对话 吴春波:华为如何突破美国6次打压的逆境?
通信前瞻
亨通光电实践数字化工厂,“5G+光纤”助力新一
普通对话 亨通光电实践数字化工厂,“5G+光纤”助力新
普通对话 中科院钱德沛:计算与网络基础设施的全面部
普通对话 工信部赵志国:我国算力总规模居全球第二 保
普通对话 邬贺铨院士解读ChatGPT等数字技术热点
普通对话 我国北方海区运用北斗三号短报文通信服务开
普通对话 华为云Stack智能进化,三大举措赋能政企深度
普通对话 孟晚舟:“三大聚力”迎接数字化、智能化、
普通对话 物联网设备在智能工作场所技术中的作用
普通对话 软银研发出以无人机探测灾害被埋者手机信号
普通对话 AI材料可自我学习并形成“肌肉记忆”
普通对话 北斗三号卫星低能离子能谱仪载荷研制成功
普通对话 为什么Wi-Fi6将成为未来物联网的关键?
普通对话 马斯克出现在推特总部 收购应该没有悬念了
普通对话 台积电澄清:未强迫员工休假或有任何无薪假
普通对话 新一代载人运载火箭发动机研制获重大突破
推荐阅读
Copyright @ Cntxj.Net All Right Reserved 通信界 版权所有
未经书面许可,禁止转载、摘编、复制、镜像