中国电信IT安全保障体系研究与设计.pdfVIP

中国电信 IT 安全保障体系研究与设计 张新跃 华汪明 黄礼莲 高儒振 2012-3-5 11:09:56 来源：《现代电信科技》 2011 年第 09 期 摘要：文章首先分析了全业务运营形势下中国电信 IT 支撑系统面临的安全新挑战， 从多个角度出发， 阐述了电信运营商 CTG-MBOSS 支撑系统安全现状和当下亟需解决的安全问题， 在分析和比较了当前国际最先进的安全保障体系模型， 基于多年来电信在 IT 安全管理 方面的实践，结合了行业最佳实践，设计了适用于中国电信全业务支撑要求的安全保障体系模型框架，并给出了安全保障体系建设路 线规划和演进策略。 1 IT 安全概况 近年来，在国家信息化战略的指引下，越来越多的生产系统和企业核心数据承载在网络环境中， IT 网络环境下的信息安全问题成 为每一位信息管理者都关注的问题，如何构建信息安全保障体系 [1-3] ，保障企业核心系统安全稳定运行，企业核心数据不丢失，一直 是学术界和企业共同关注的焦点。 根据中国电信企业信息化战略规范 IT-SP2.0 ，以及中国电信的 CTG-MBOSS安全规范， 由管理支撑系统 (MSS)、业务支撑系统 (BSS)、 运营支撑系统 (OSS)和企业数据架构 (EDA)组成。伴随着中国电信深度转型战略背景下， 如何加强 IT 系统的统一管理， 提高信息化支撑 能力成为电信 IT 工作的主要目标，而 IT 系统的安全性将直接影响电信业务的开展。一方面，移动互联网、终端智能化、物联网和云 计算等新技术的发展对 IT 系统的安全提出了新的挑战；另一方面，随着全网 IP 化技术的演进， IT 系统由封闭转向开放，业务运营模 式的变化带来安全管控点的增多， 系统的安全风险也随之增大； 同时，由于运营商 IT 支撑系统数据的大集中增加了提高系统架构的复 杂程度，安全事件带来的经济损失也将随之加大。但是， IT 系统的安全建设滞后于系统建设的事实一直困扰着 IT 系统管理者。 因此，从基础网络环境入手，以安全域为切入点，构建全方位多层次的综合 IT 安全保障体系，实现 IT 资产对象可管可控的安全 运行环境，为企业全业务运营保驾护航，成为 IT 安全工作追求的目标。 2 安全保障体系框架 近年来，随着信息技术的进一步发展，人们逐渐认识到，构建安全保障体系必须从各个方商进行综合考虑，只有将组织、策略、 运行和技术等各方面紧密结合，构成全方位一体化的安全保障体系，才能真正保障企业核心资产的安全。 一个完整的 IT 安全架构，需要从总体上进行统筹规划，逐一落实每项安全管理制度，统一部署安全防护措施，循序渐进地构建一 个科学全面的安全保障体系。 从管理和技术层面执行严格的管控措施， 使之能够抵御来自外部和内部的各种安全威胁。 中国电信 IT 安 全保障体系是支撑企业 IT 安全建设和管理的基础架构，是指导企业进行安全规划与建设的依据，整体安全保障体系框架如图 1 所示。 中国电信 IT 安全保障体系以 CTG-MBOSS信息化架构为基础， 以 IT 安全战略为指导， 实现可管、 可控和可信的三个 IT 安全阶段目 标目标。体系建设遵循“管技结合、预防为主、注重长效、循序渐进”十六字方针，最终实现可信赖的 IT 安全运营环境愿景。 IT 安全保障体系的三个阶段目标特征定义如下：可管阶段的特征是“职责明晰、预防为主、有效识别”，可控阶段的特征是“主 动防御、及时响应、集中管控”，可信阶段的特征是“体系完善、流程通畅、全员参与”。 整个 IT 安全保障体系由安全管理体系和安全技术体系两个重要部分组成。 图 1 中国电信 IT 安全保障体系框架图 2.1 IT 安全管理体系 管理在整个体系中占有重要的地位，包括安全策略、安全组织和安全运行三大体系。 安全策略体系总述了中国电信 IT 安全的总