電信運(yùn)營商信息安全建設(shè)規(guī)劃.pdf

1、越來越多的單位、團(tuán)體、公司開始依賴因特網(wǎng)完成辦公、管理、商務(wù)、通信和協(xié)作。與過去相比，現(xiàn)在敏感信息的保密性、完整性和可用性與在線通信日臻重要。對病毒和黑客做出反映是任何網(wǎng)絡(luò)管理工作的一個重要職責(zé)。作為當(dāng)前經(jīng)濟(jì)生活所不可或缺的通信業(yè)務(wù)提供商，電信運(yùn)營商的網(wǎng)絡(luò)和業(yè)務(wù)是我們整個國家關(guān)鍵基礎(chǔ)設(shè)施的不可分割的一部分。對它的保護(hù)是企業(yè)自身業(yè)務(wù)的要求，也是維護(hù)國家安全而應(yīng)盡的義務(wù)。 本文描述了電信運(yùn)營商信息安全建設(shè)的現(xiàn)狀及特點，通過對電信運(yùn)營

2、商信息安全建設(shè)的分析指出，目前電信運(yùn)營信息安全建設(shè)往往由安全事件引出，缺乏主動性及定量的系統(tǒng)分析，同時安全建設(shè)、評估、和管理工作未采用BS7799、OCTAVE、SSE-CMM、GB/Z信息安全風(fēng)險評估指南等方法系統(tǒng)地開展。通過對BS7799提出的信息安全管理體系(information security management system，簡稱ISMS)建設(shè)思路的闡述并結(jié)合電信運(yùn)營商現(xiàn)狀，提出了電信運(yùn)營商信息安全的建設(shè)基本思路，即采用

3、PDCA模型循環(huán)滾動建設(shè)。 在ISMS設(shè)計階段，鑒于目前電信運(yùn)營商弱點評估的現(xiàn)狀特點，即弱點評估工作均由廠家承擔(dān)，而且評估結(jié)果多為定性分析，缺少定量分析，這樣系統(tǒng)是否安全，弱點改善時的順序如何，基本均由評估廠家甚至是廠家的產(chǎn)品決定，帶有一定的主觀性，提出了在風(fēng)險評估中引入CVSS(Common Vulnerability Scoring System，通用弱點評價體系)作為弱點評估定量分析的依據(jù)，弱點(vulnerabiliti

4、es)是網(wǎng)絡(luò)安全中的一個重要因素，在多種安全產(chǎn)品(如漏洞掃描、入侵檢測、防病毒、補(bǔ)丁管理等)中涉及到對弱點及其可能造成的影響的評價，但是目前業(yè)界并沒有通用統(tǒng)一的評價體系標(biāo)準(zhǔn)，而CVSS是由NIAC開發(fā)、FIRST‘維護(hù)的一個開放并且能夠被產(chǎn)品廠商免費采用的標(biāo)準(zhǔn)，此種標(biāo)準(zhǔn)的引用為運(yùn)營商安全評估中弱點的定量分析提供了一種新方法，使其在弱點分析時具備一定的主動性，更容易貼合運(yùn)營商自身的安全需求。 在ISMS實施階段，本文結(jié)合電信運(yùn)營商

5、與其它企業(yè)的不同點，即安全域劃分的不同，提出了符合電信運(yùn)營商自身特點的安全加固實施步驟，即先實施安全域的劃分，然后實施邊界防護(hù)，最后實施安全加固，總結(jié)了運(yùn)營商安全加固過程中應(yīng)注意的問題和解決辦法。在管理方面，鑒于電信運(yùn)營商網(wǎng)絡(luò)中存在大量的系統(tǒng)及安全設(shè)備，存在維護(hù)工作量大、難于有效的管理及應(yīng)急事件反映效率不高的特點，本文通過描述安全管理中心(Security Operation Center，簡稱SOC)的結(jié)構(gòu)、職能和功能等，提出了建設(shè)安