电信it安全保障能力评价模型与基线达标体系研究-信息通信学术期刊网.pdf

电信 科 学 2012 年第 4 期 研 究与开发 电信 IT 安全保障能力评价模型与基线达标体 系研究 * 华汪 明 ，张新跃 ，黄礼 莲 ，高儒 振 （中国电信 集 团公 司 北京 100035 ） 摘 要 首 先 分 析 了 电信 运 营商 内部 业 务 运 营支 撑 系 统 亟 需 解 决 的安 全 问题 ， 围绕 建 立 健 全 IT 安 全 保 障体 系建 设 目标 ，设 计 了基 于 能 力 成 熟 度 的安 全 能 力 评 价 模 型 ，并 给 出 了模 型 实 现 的安 全 基 线 达 标 体 系 标 准 实 践 的具 体 标 准 和方 案 。 关键 词 CTG-MBOSS ；保 障体 系 ；成 熟 度 模 型 ； 安 全 基 线 主 、注 重 长 效 、循 序 渐 进 ” 16 字 方 针 ，最 终 实 现 可 信 赖 的 1 电信 IT 安全概 况 IT 安 全 运 营 环 境 愿 景 ， 整 体 安 全 保 障 体 系 框 架 如 图 1 近 年 来 ，在 国家 信 息 化 战 略 的指 引 下 ，越 来 越 多 的生 所 示 。 产 系 统 和 企 业 核 心 数 据 承 载 在 网 络 环 境 中 ，IT 网 络 环 境 其 中 ， 安 全 策 略 体 系 介 绍 了 中 国 电 信 IT 安 全 的 总 下 的信 息 安 全 问题 成 为 每 一 位 信 息 管 理 者 都 关 注 的 问题 ， 体 方 针 政 策 、演 进 策 略 、标 准 和 指 南 以 及 各 类 实 施 细 则 ， 如 何 构 建 信 息 安 全 保 障体 系［1 2］ ，同时建 立 一 套 科 学 有 效 的 组 成 。 安 全 保 障能 力 评 价 标 准 ，一 直 是 学 术 界 和 企 业 共 同关 注 的 安 全 组 织 体 系定 义 了保 障 IT 安 全 策 略 有 效 执 行 需 要 焦 点 。 的角 色 和 职 责 ，为 安 全 策 略 能 够 贯 彻 实 施 的组 织 从 职 能 上 随着 IT 信 息 技 术 的发 展 和 管 理 水 平 技 术 的进 一 步 提 分 为 决 策 、管 理 和执 行 类 别 。 高 ，人 们 逐 渐 认 识 到 ，构 建 完 备 的安 全 保 障体 系 需 要 从 各 安 全 运 行 体 系从 IT 系 统 生 命 周 期 和 安 全 风 险 管 控 流 方 面入 手 ，只有 将 组 织 、策 略 、运 行 和技 术 等 各 方 面 紧 密 结 程 出发 ，从 开 发 、建 设 、维 护 、响 应 和 核 查 5 个 阶段 提 出安 合 ，构 成 全 方 位 一 体 化 的 防 护 体 系 ，才 能 真 正 保 障企 业 核 全 风 险 管 控 的要 点 ， 明确 了不 同 阶段 安 全 防 护 的具 体 要 心 资 产 的安 全 。 中 国 电信 IT 安 全 保 障体 系 以 CTG-MBOSS 求 ，涵 盖 了风 险管 理 、系统 开 发 建 设 、运 行 维 护 、事 件 响应 、