四川大学硕士论文-电信运营企业网络信息安全管理体系研究(4)

ＡｕｄｉｔａｎｄＣｏｎｔｒｏｌＳｙｓｔｅｍｓＡｓｓｏｃｉａｔｉｏｎ（ＩＳＡＣＡ）出版，最早在１９９６年发布。ＣＯＢＩＴ架构由３４个高层控制目标和３１８个细节控制目标组成，通过定义这些目标，可以帮助维护企业业务对ＩＴ的有效控制。该标准比较完善，所有的ＣＯＢＩＴ文档集合口丁以在线获得，包括ｅｘｅｃｕｔｉｖｅｓｕｍｍａｒｙ、架构、控制目标、审计指引、管理指引和实现指引ｌ刎。

ＣＯＢＩＴ主要致力于对信息和信息技术的管理与控制。它基于的理论前提是，一个组织需要使用信息来达成它的目标，并且需要用一套自然分类的ＩＴ过秸！来对其ＩＴ资源进行

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业霸络信息安全管理体系研究管理。它们被标识并分成４个领域，分别是“计划制定和组织机构（ｐｌａｎｎｉｎｇ＆ｏｒｇａｎｉｚａｔｉｏｎ）”、“获得与执行（ａｃｑｕｉｓｉｔｉｏｎ＆ｉｍｐｌｅｍｅｎｔａｔｉｏｎ）”、“交付与支持（ｄｅｌｉｖｅｒｙ＆ｓｕｐｐｏｒｔ）”以及“监控（ｍｏｎｉｔｏｒｉｎｇ）”。进一步细分为３４个ＩＴ处理流程【２１】。

ＣＯＢＩＴ标准为ＩＴ、安全、审计经理和用户提供了一套完整的参考框架，为企业ＩＴ应用的治理、安全与控制提供了一个一般适用的公认标准，可以辅助管理层进行ＩＴ治理，以满足法规遵从的一些要求。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险１２２Ｊ。

３．２．５各种标准的比较

ＣＯＢＩＴ和ＩＴＩＬ均设计并详细说明了ＩＴ安全的需要，但它们并未就实际的ＩＴ安全及控制构架做出具体的指导。ＣＯＢＩＴ和ＩＴＩＬ都没有就信息安全给出详细、明确的解释，无法满足企业在这方面的要求。但是ＣｏＢＩＴ重点落实了控制目标，ＩＴＩＬ重点落实了流程。

各个标准和ＩＴ管理要素的映射表【２３１。

表３—４各个标准与管理要素映射表

ＩＴＩＬＣＯＢＩＴＢＳ７７９９

结构和角色

量度一

过程

技术

控制

３．２．６信息安全实施方法一ＰＤＣＡ过程●●●●●●●●●

ＰＤＣＡ（Ｐ１ａｎ、Ｄｏ、Ｃｈｅｃｋ和Ａｃｔ）是管理学惯用的一个过程模型，最早是由休哈特（ＷａｌｔｅｒＳｈｅｗｈａｒｔ）于１９世纪３０年代构想的，后来被戴明（ＥｄｗａｒｄｓＤｅｍｉｎｇ）采纳、宣传并运用ｆ持续改善产品质量的过程当中。随着全面质量管理理念的深入发展，ＰＤＣＡ最终得以普及。美国福特公司的工程师ＱＵＯＴ曾经说过：戴明先生明白，质量管理并不像拧开水龙头那样一蹴而就，它是一种文化，是一个公司的生活方式【２“。

在各种信息安全管理标准中，信息安全管理体系的建立、实施和改进的过程中也引用了ＰＤＣＡ模型，按照ＰＤＣＡ模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和｝５评估四个子过程，特别介绍了基于ＰＤＣＡ模型的过程管理方法，并在附录中１６

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业网络信息安全管理体系研究为解释或采用新版标准提供了指南，如下图所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。ＰＤＣＡ模型的主要过程如下：

１．计划（ＰＬＡＮ）：定义信息安全管理体系的范围，鉴别和评估业务风险

２．实施（Ｄｏ）：实施同意的风险治理活动以及适当的控制

３．检查（ＣＨＥＣＫ）：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计‘４．改进（ＡｃＴＩｏＮ）：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化ｐＪ。

３．２．７信息安全管理体系的ＨＴＰ方法

信息安全的建设是一个系统工程，任何环节上的安全缺陷都会对系统构成威胁。ＨＴＰ方法引用木桶理论，即：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量取决于最短的木板。同理一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看，我们认为信息安全可以由以下ＨＴＰ模型来描述：人员与管理（Ｈｕｍａｎａｎｄｍａｎａｇｅｍｅｎｔ）、技术与产品（Ｔｅｃｈｎｏｌｏｇｙａｎｄｐｒｏｄｕｃｔｓ）、流程与体系（ＰｒｏｃｅｓｓａｎｄＦｒａｍｅｗｏｒｋ）【硐。

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业网络信息安全管理体系研究霉。妻整域溉卷发潮羚

４．１信息安全安全域概念的引出

“不断扩大的连接等于广泛存在的被攻击的弱点”是节选自美国总统ＩＴ顾问委员会

ＰＩＴＡＣ（Ｐｒｅｓｉｄｅｎｔ’ｓＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙＡｄｖｉｓｏｒｙＣｏｍｍｉｔｔｅｅ）２００５年的报告。

面对一个宽广的信息系统实体，通过消息的物理隔离来保障网络安全是行不通的。即使有效的物理割接仍无法有效面对来自内部的攻击。在实施信息安全的过程中，根据ＩＳｍＳ建立的一般方法，通常会将信息资产分类，并确定信息资产的保护方法和等级。面对一个庞大复杂的信息系统，对每个主机实现分别的信息资产等级划分是非常复杂巨大的工作。实际上常常由于疏忽或错误导致安全漏洞。但将内部系统使用同一种安全防护等级措施，则缺乏对内部风险的控制，且网络信息安全缺乏层次。

在提供某种服务的计算机网络单元中（比如电信运营商的计费网络），通常可以分为接入域：（计费信息采集设备的集合），互连区域：（包括由路由设备和交换机设备组成的连接网络），服务区域：通常是（计费信息核心数据库主机及其备份主机等），支撑域（在计费网络中的检测设备、防病毒设备等的集合）。这个网络单元中有独立的安全策略。但如果另外一个网路单元（比如办公自动化网络）与计费网络属于结构相同或类似，安全等级和策略相近，且属于相互信任的网络，则可以将两个网络单元的相应的域通过互连区域连接在一起。使之成为拓扑上的一个域，使用相同的安全策略和安全机制。

４．２信息安全域的概念

安全域就是由实施共同安全策略的主体和客体组成的集合【，３ｌ。同一个安全域在物理上可以是分布在不同的地理区域。在安全域中的所有对象的活动都按照同种或相似的安全规则进行工作。一个安全域具有比较明确的边界，也就是说，安全域之间的通信有且只能有一个”扼流点”，所有的域间通信必须通过这个扼流点的检查。

４．３安全域的划分原则

本文依据安全域的定义结合电信企业网 …… 此处隐藏：2297字，全部文档内容请下载后查看。喜欢就下载吧 ……