新闻中心

EEPW首页 > 手机与无线通信 > 设计应用 > 电信网安全保障能力评价模型与方法浅析

电信网安全保障能力评价模型与方法浅析

作者:时间:2012-09-03来源:网络收藏

近年来,在国家信息化战略的指引下,越来越多的企业核心数据承载在网络环境中,IT网络环境下的信息问题成为信息管理者关注的问重点,如何构建信息体系,同时如何建立一套科学有效的标准,考量系统的IT体系建设水平,一直是学术界和企业共同关注的焦点。

本文引用地址:http://www.eepw.com.cn/article/154002.htm

作为国内最大的固网电信运营商来说,随着中国电信全业务运营战略的推进,IT系统(即CTG-MBOSS系统,由管理支撑系统MSS,业务支撑系统BSS,运营支撑系统OSS和企业数据架构EDA组成) 已经成为电信生产环节中不可或缺的一部分,IT系统的问题也日趋重要。

中国电信IT安全体系以CTG-MBOSS信息化架构为基础,是支撑企业IT安全建设和管理的基础架构,整个体系以IT安全战略为指导,将组织、策略、运行、技术等安全各方面要素结合起来,通过安全管理制度的逐一落实,安全防护措施的统一部署,循序渐进的构建一个科学全面的信息安全保障体系。体系建设和实施路线遵循“管技结合、预防为主、注重长效、循序渐进”十六字方针,按照“职责明晰、预防为主、有效识别;主动防御、及时响应、集中管控;体系完善、流程通畅、全员参与” 的路线向“可管、可控、可信”三个阶段目标演进,最终实现可信赖的IT安全运营环境愿景,整体安全保障体系框架如图1所示。

图 1 中国电信IT安全保障体系框架图

图 1 中国电信IT安全保障体系框架图

其中,安全策略体系总述了中国电信IT安全的总体方针政策、演进策略、标准和指南、以及各类实施细则组成。

安全组织体系定义了保障IT安全策略有效执行需要的角色和职责,为安全策略能够贯彻实施的组织保障的保证,从职能上分为决策、管理和执行类别。

安全运行体系从IT系统生命周期和安全风险管控流程出发,从开发、建设、维护、响应和核查五个阶段提出安全风险管控的要点,明确了不同阶段安全防护的具体要求,涵盖了风险管理、系统开发建设、运行维护、事件响应、安全监控和安全检查等内容。

技术体系是实现IT安全保障体系的重要手段,从物理安全、网络安全、系统安全、应用安全、数据安全和终端安全六个方面实现安全检测与识别、安全防护、安全审计与恢复三大保障

2 安全能力成熟度

为了保证IT安全保障体系建设有序推进并完成建设目标,需要一套合理的对安全保障体系建设成效进行公正有效的考量和。而且该要能够适应复杂的实际建设情况,能够包含量化评估的、模型和流程,是一个全面科学的、可量化的考评体系。

当前国内外关于信息安全评估的标准和考评方法形成了几种流派,其中国标GB-T2027对安全建设能力成熟度评价做了基本的定义,描述了5个级别的安全保障能力定义,分别为:未实施级;基本执行级;计划和跟踪级;充分定义级;量化控制级;持续改进级等五个级别,上述5个能力级别对能力特征进行了充分的定义,但没有给出具体的操作细则。

在结合了国家标准和电信实际现状后,结合其他行业最佳实践和中国电信实际情况,从考核指标量化入手,围绕五级能力成熟度模型,形成一个可持续改进的IT安全保障体系能力成熟度模型和评价方法,模型从IT安全规划建设、运作、技术保障、管理措施等几个方面因素入手,建立一种普遍适应的评价准则,对安全能力建设做出评价,指导企业开展安全建设工作。

2.1 考量指标

评估IT安全保障体系能力成熟度通过上述安全保障体系策略、组织、运行和技术四个层次来进行,每一个层次包含不同的内容,对应着不同的标准和考核指标。在每一个层次中,有关键指标,围绕关键指标,有相应的具体流程和活动,能力评估就是根据这些关键指标和相应流程合活动的情况合状态来进行的。在IT安全保障体系能力成熟度模型中,会有对每个层次的不同级别的关键指标、标准流程的详细定义和描述,同时会有能力不足的措施说明等。

IT安全保障体系能力水平,包括四大体系的能力成熟度因素:

(1)策略体系:安全策略相关的企业安全战略、安全滚动规划、安全建设资金投入、安全资源保障的健全程度。

(2)组织体系:安全组织和人员配置程度,安全组织的运作和执行效能,全员安全素质水平,对人员的安全管理水平。

(3)运作体系:围绕IT系统生命周期,从设计、建设和运维几个层面执行安全管控的规范化和标准化程度,安全管理的成熟度和水平。

(4)技术体系:针对安全技术保障措施和防护手段的建设完善程度。

评估能力成熟度主要依据目前的能力状态是否达到规定的要求而进行划分,能力不达标则能力成熟度低,反之则高。因此,评估模型对IT安全保障体系能力成熟度划分等级进行分值评估,在每个层次的能力成熟度模型中有详细的关键指标,还有详细的标准流程和活动指标,再根据指标的等级和关键程度可以设置权重,最后再计算总分。最后,针对所有的关键指标或者所有的标准指标的累计分数整个IT安全保障体系能力成熟度进行总分评定,成熟度评估具体执行中将采取调查、调研、访谈、效果跟踪等方法进行。

2.2 计算方法

(1)体系成效考量计算方法

IT安全保障体系的建设成效= 安全策略体系水平*α+安全组织体系水平*β+安全运作体系水平*γ+安全技术保障措施建设水平*δ。

α、β、γ、δ分别表示IT安全策略体系、安全组织体系水平、安全运作体系水平和安全技术保障措施建设水平的重要性赋值所占的权重,其中α≥0,β≥0,γ≥0,δ≥0且α+β+γ+δ=1。

(2)体系水平成熟度计算方法

安全策略体系水平=α1*策略指标项1+α2*策略指标项2+α3*策略指标项3+α4*策略指标项4+… …。

其中,α1、α2、α3、α4等分别为各个指标项的加权因子, =1,安全策略指标项分值和权重因子数值由细则另行定义。


上一页 1 2 下一页

评论


相关推荐

技术专区

关闭