淺析面向運(yùn)營商安全業(yè)務(wù)的信息安全保障管理平臺論文

　　本文簡單介紹了運(yùn)營商安全管理中的問題和需求，并引入面向運(yùn)營商安全業(yè)務(wù)的信息安全保障管理平臺，可實現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化。

　　1 引言

　　在當(dāng)今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險、收益和機(jī)會，使得信息安全管理成為企業(yè)管理越來越關(guān)鍵的一部分。

　　管理高層需要確保信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用信息技術(shù)的優(yōu)勢。

　　運(yùn)營商對信息安全十分重視，在多年信息安全工作中安全保障水平不斷提升，在各級公司均成立部門和專職安全崗位從事信息安全管理;然而，信息安全管理的水平目前主要還是由相應(yīng)崗位人員管理水平和管理經(jīng)驗決定;為了使信息安全管理流程化，知識傳承和經(jīng)驗積累更能顯性體現(xiàn)，需要一個統(tǒng)一的信息安全管理平臺，實現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化，提高信息安全管理工作效率，促進(jìn)信息安全管理工作規(guī)范化，提高信息安全管理水平，降低信息安全對持續(xù)發(fā)展造成的風(fēng)險，最終保障安全目標(biāo)得以實現(xiàn)。

　　2 安全管理的問題與需求

　　隨著網(wǎng)絡(luò)建設(shè)和業(yè)務(wù)的不斷發(fā)展，企業(yè)對網(wǎng)絡(luò)安全也日益重視。尤其是電信運(yùn)營商，為提升安全保障能力，對各系統(tǒng)采取了一定的安全防護(hù)措施，部署了防火墻，防病毒系統(tǒng)等安全設(shè)備，具有基本的安全管理制度和流程，也建設(shè)了一些專業(yè)安全系統(tǒng)，安全能力得到了一定提升。

　　但安全是一個系統(tǒng)性、全局性的問題，目前仍有一些需要解決的問題，列舉如下：

　　(1)缺乏統(tǒng)一的安全政策制定與執(zhí)行。企業(yè)的安全政策的制定和落實沒有統(tǒng)一的平臺，政策執(zhí)行的效果也無法得到全面清晰的反映。

　　(2)安全事件無法及時發(fā)現(xiàn)。沒有統(tǒng)一的安全事件收集、監(jiān)控平臺，安全事件無法及時發(fā)現(xiàn)、及時處理。

　　(3)安全事件無法準(zhǔn)確定位。安全事件發(fā)生以后，由于技術(shù)條件限制，無法準(zhǔn)確定位到發(fā)生的位置，也就無法有效的采取措施。

　　(4)缺乏統(tǒng)一的主動作業(yè)質(zhì)量考核與被動事件考核。沒有一套量化的安全工作評價機(jī)制，難以對下級單位、合作伙伴的安全工作作出考核，難以調(diào)動安全人員的積極性。

　　(5)安全工作缺少統(tǒng)一展示的平臺。各級管理者和安全工作人員無法及時共享整個中心及各地市的安全工作信息，影響安全決策的準(zhǔn)確性、及時性。

　　3 平臺方案

　　面向安全業(yè)務(wù)的信息安全保障管理平臺首先實現(xiàn)信息安全管理制度流程的信息化，實現(xiàn)信息安全工作可管可控可視化，主要功能包括：

　　(1)安全決策中心：安全管控平臺的最高決策控制模塊，企業(yè)管理層對于安全控制的方向和力度通過該模塊進(jìn)行調(diào)控，它是整個安全管理平臺的核心。

　　(2)安全健康檢查：安全管控平臺的一項基礎(chǔ)功能，通過對每個資產(chǎn)的安全檢查，經(jīng)過安全專家的處理，從而得到整體業(yè)務(wù)系統(tǒng)的安全狀況，為管理層實時了解企業(yè)安全狀況提供依據(jù)。

　　(3)合規(guī)性管理：在合規(guī)性管理方面，可以在接到明確的制度、要求之下，輔助管理人員開展一系列達(dá)標(biāo)活動。

　　(4)關(guān)鍵安全事務(wù)管控：定義了事務(wù)之后，系統(tǒng)就自動跟蹤整個事件的執(zhí)行及效果，并且在此事件執(zhí)行結(jié)束后，進(jìn)行審計以確認(rèn)執(zhí)行結(jié)果是否與審批完全相同。

　　(5)安全運(yùn)維管理：統(tǒng)一對系統(tǒng)內(nèi)所有設(shè)備、應(yīng)用進(jìn)行操作管理，人員操作行為進(jìn)行流程化管理。

　　(6)安全設(shè)備集中管理：對安全產(chǎn)品的集中管理、監(jiān)控及告警，管理的安全產(chǎn)品包括：UTM統(tǒng)一安全網(wǎng)關(guān)、防火墻、IPS、IDS、VPN、異常流量分析等。

　　在此基礎(chǔ)上，還可以對設(shè)備的安全策略進(jìn)行集中配置管理、分發(fā)和管理，協(xié)助管理員實時掌握設(shè)備工作狀態(tài)和安全狀況。

　　(7)安全項目進(jìn)度及生命周期安全管理：一方面可以協(xié)助管理人員對項目進(jìn)展進(jìn)行跟蹤，另一方面能夠監(jiān)控在項目的整個生命周期安全措施是否得到落實。

　　(8)安全公文管理：入網(wǎng)審批等公文的新建、處理批復(fù)、流轉(zhuǎn)、查閱等，可支持工作流定義。

　　(9)安全對象管理：資產(chǎn)類型應(yīng)包括：主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息。

　　資產(chǎn)的表現(xiàn)形式為其屬性，包括通用屬性及特有屬性，通用屬性為所有資產(chǎn)具備基本屬性信息，特有屬性為特有資產(chǎn)具備屬性。

　　(10)安全例行工作：定期掃描(漏洞、基線、病毒)結(jié)果、加固工作、結(jié)果填報。

　　(11)安全數(shù)據(jù)采集：通過分布在各處的探針，收集原始的數(shù)據(jù)，并進(jìn)行系統(tǒng)自動分析、處理，再經(jīng)過專家系統(tǒng)的過濾和人工規(guī)整，呈現(xiàn)給管理人員的是符合人閱讀習(xí)慣的可理解的安全事件。

　　(12)安全風(fēng)險呈現(xiàn)：以安全對象為基礎(chǔ)，結(jié)合不斷更新的安全對象脆弱性、不斷產(chǎn)生的威脅事件，進(jìn)行持續(xù)性風(fēng)險計算，并將最后的量化的風(fēng)險顯示到用戶頁面中。

　　4 結(jié)語

　　本文介紹了面向運(yùn)營商安全業(yè)務(wù)的信息安全管理平臺，可實現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化，提高信息安全管理工作效率，促進(jìn)信息安全管理工作規(guī)范化，也可供其他行業(yè)信息安全工作參考。

【淺析面向運(yùn)營商安全業(yè)務(wù)的信息安全保障管理平臺論文】相關(guān)文章：

網(wǎng)絡(luò)通信中信息安全的保障措施淺析論文10-11

檔案信息安全平臺建設(shè)初探論文10-11

第三方支付平臺信息安全保障現(xiàn)狀分析論文10-10

在線信息安全實驗教學(xué)平臺研究論文10-09

網(wǎng)絡(luò)通信信息安全保障優(yōu)化措施論文10-12

高職信息安全保障體系構(gòu)建與運(yùn)用論文10-09

信息安全管理論文07-29

淺析遠(yuǎn)程網(wǎng)絡(luò)信息安全策略論文10-09

有線數(shù)字電視播出平臺的信息安全研究論文10-11

淺談新技術(shù)新業(yè)務(wù)信息安全論文10-09