四川大学硕士论文-电信运营企业网络信息安全管理体系研究(2)

１．２．１本文研究的对象和意义

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系，重点是在国内电信运营商现有信息体系的情况下，引出基于安全域的信息安全策略。对信息安全策略的研究对信息安全理论在信息安全管理体系模型具有积极的意义。一个好的安全策略能充分的融合现有标准，能体现标准在实际环境中的应用。可以使组织建立动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。能驱动信息安全管理体系的正常运转。基于安全域的信息安全策略和信息安全管理体系能普遍适用于国内电信运营商。

１．２．２本文完成的主要内容

在分析电信运营商信息安全发展现状、背景和电信运营商信息网络的特点的基础上，引出了基于安全域的信息安全策略和信息安全管理体系。

介绍信息安全管理相关概念，介绍了信息安全相关的萨班斯法案背景和ＣＯＳＯ内控模型，以及ＢＳ７７９９标准、ＣｏＢＩＴ标准ＩＴＩＬ等标准，典型的信息安全管理ＰＤＣＡ过程和ＨＴＰ实施方法。并对相关方法进行了比较分析。

针对需要遵从萨班斯法案的国内电信运营商提出提出基于安全域的管理信息安全策略和基于安全域的信息安全管理模型。分析了相关依据所研究的安全域信息安全管理模型，审计现行网络ＩＴ系统，得到薄弱环节从而验证结果。７

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业同络信息安全管理体系研究梦氆雨电信造警商的信息系统特点和背繁

随着信息产业的高速发展，信息资产的重要性和价值越来越高。信息安全保障能力成为２１世纪综合国力、经济竞争实力和生存能力的象征，是未来国际竞争的“杀手铜”【３１。组织和企业对信息安全投入了极大的关注，各项安全技术不断得到应用；信息安全问题虽然越来越受到重视，信息安全投入也越来越大，信息安全技术越来越强大，安全事故仍频频发生。

２．１国内电信运营商的信息安全基础薄弱

国内电信运营商均起源于传统的邮电行业。经过多年的发展和市场的割据。四大运营商（电信、联通、网通、移动）均发展了庞大的用户，形成了庞大且分布宽广的网络。在上市之前，由于传统国有企业文化与西方管理文化的差异等原因，国内运营商在企业管理上相对粗放，只注重目标考核，对过程缺乏控制。ＩＴ系统不分明，缺乏以预防为主的安全机制和统一的安全管理安排和规划。

国内各组织和企业的信息安全技术发展和信息安全管理水平普遍存在起步晚，发展滞后的情况。部分企业仍处在安装防病毒软件和设置防火墙为主要安全手段的阶段。各种威胁，包括病毒、黑客、计算机系统漏洞、管理漏洞、人员失职等各种因素对存储于计算机系统的信息资产造成越来越大的破坏，而且越来越隐蔽。信息安全技术也日趋成熟，包括入侵检测、漏洞扫描、日志管理、系统审计、备份及响应、身份认证等各种技术手段也逐步出现。随着信息安全技术的发展，在设计系统安全架构、建立安全的操作系统、采用先进的安全技术和设备等投入越来越多，可新建立的系统越无法面对急剧变化的环境。系统的安全缺陷、侵犯，信誉受损，以及灾难性事件的数量正随着时问的推移而增加。体现出“攻击成本越来越小，防御成本却越来越高”ｉ４Ｊ的特点。

经过近几年的高速发展和国内电信行业市场的不断发展和重新分配，企业ＩＴ系统安全问题越发平凡和严重。小至个人通话记录的非法泄漏，大到大量充值卡密码被盗取等事件不断发生。由于信息安全管理跟不上步伐，很多有效的技术资源无法整合，各种各样的资料都显示：各类令企业损失惨重的安全违规事件追究到最后大多数是人所造成的，并且发展成为物理安全和人员的问题【５１。同时随着新的市场格局的逐步稳定，企业的决策者不得不将全部注意力从获取更高的利润和更大的市场分散到安全问题上。随着几家运营商在美国上市和萨班斯法案的实行，企业客户数、ＡＰＲＵ值、网络指标以及各项财务指标的准确性和安全性落实到ＩＴ系统的准确性和安全性上。企业急需建立符合自身特点且满足萨班斯法案要求的信息安全体系。８

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业网络信息安全管理体系研究２．２相关法律法规和规范

早在１９９４年国家即出台了《中华人民共和国计算机信息系统安全保护条例》。自１９９４年至今，国家和机构一系列关于互联网络和信息安全的法律法规。在法律层面上对信息安全问题进行约束。在国际上，美国政府出台萨班斯法案，提出了在纳斯达克上市的公司遵循的信息安全要求。

在信息安全标准方面，国内有ＧＢ１７８５９—１９９９：计算机信息系统安全保护等级划分准则。国际上有比较流行的标准有英国提出的ＢＳ７７９９标准，ＩＴＩＬ标准；美国的ＣｏＢＩＴ标准等。信息安全标准是针对某种特定信息系统环境的通用信息安全实施办法。各种标准侧重的重点不同，各项措施和过程有交叉重叠部分，又有各自不同的部分。

２．３国内电信运营商的特点和信息安全策略分析的必要性

电信运营商内部的信息系统也有自身的特点。目前国内省级运营商拥有各自庞大的用户数量，和近几年来电信运营商在自身的基础建设上累计投入。就广泛而言，通常情况下，电信运营商系统内已经建成并投入运行的包括有网管、计费、数据和办公四大业务营运支撑系统，以及周边的一些业务系统，这些系统构成了庞大宽广网络应用系统，我们称之为巨系统的安全体系。

但是，通常这四大业务系统的安全建设从规划、设计、立项到实施却基本是以分系统各自为政进行建设的，并没有从巨系统全网的安全体系来进行总体规划，也没有对全网的业务应用系统进行总体的安全评估和规划，缺乏总体的安全风险监管体系的建设。伴随着业务系统的发展，其巨系统应用的日常维护形成了严重依赖于厂商的现状，这就不可避免的造成各系统的相关安全管理权限分散控制到各个厂商手里，省公司无法从整体上把握全应用系统的安全态势和风险情况，从而容易形成省网各业务系统之间安全保障的协调指挥失控，并会在系统的突发事件产生时无法及时预警及处理，这样会产生省网巨系统的应用在出现安全风险时发生失控的巨大风险。实际上，这样庞大网络的运营出现了大小各种安全事故。

随着对业务整合和集中化的经营要求，系统越来越趋于整合和网络化，对全网整体安全的重视也随之被提升到了一个前所未有的高度。因此必须做出一个不同于各网对设备漏洞的评估分析，确定这种网络特点下的信息安全策略和信息安全管理体系模型。以达到提高安全投资效率、提高全网安全体系建设的效果。９

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业眄络信息安全管理体系研究≈糟患安全程荚拣介绍和分祈

３．１信息安全管理体系相关概念

３．，．１信息安全和信息安全管理体系

国际标准化组织（Ｉ …… 此处隐藏：2547字，全部文档内容请下载后查看。喜欢就下载吧 ……