淺析面向運(yùn)營(yíng)商安全業(yè)務(wù)的信息安全保障管理平臺(tái)論文

　　本文簡(jiǎn)單介紹了運(yùn)營(yíng)商安全管理中的問(wèn)題和需求，并引入面向運(yùn)營(yíng)商安全業(yè)務(wù)的信息安全保障管理平臺(tái)，可實(shí)現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化。

　　1 引言

　　在當(dāng)今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴(lài)性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使得信息安全管理成為企業(yè)管理越來(lái)越關(guān)鍵的一部分。

　　管理高層需要確保信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用信息技術(shù)的優(yōu)勢(shì)。

　　運(yùn)營(yíng)商對(duì)信息安全十分重視，在多年信息安全工作中安全保障水平不斷提升，在各級(jí)公司均成立部門(mén)和專(zhuān)職安全崗位從事信息安全管理;然而，信息安全管理的水平目前主要還是由相應(yīng)崗位人員管理水平和管理經(jīng)驗(yàn)決定;為了使信息安全管理流程化，知識(shí)傳承和經(jīng)驗(yàn)積累更能顯性體現(xiàn)，需要一個(gè)統(tǒng)一的信息安全管理平臺(tái)，實(shí)現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化，提高信息安全管理工作效率，促進(jìn)信息安全管理工作規(guī)范化，提高信息安全管理水平，降低信息安全對(duì)持續(xù)發(fā)展造成的風(fēng)險(xiǎn)，最終保障安全目標(biāo)得以實(shí)現(xiàn)。

　　2 安全管理的問(wèn)題與需求

　　隨著網(wǎng)絡(luò)建設(shè)和業(yè)務(wù)的不斷發(fā)展，企業(yè)對(duì)網(wǎng)絡(luò)安全也日益重視。尤其是電信運(yùn)營(yíng)商，為提升安全保障能力，對(duì)各系統(tǒng)采取了一定的安全防護(hù)措施，部署了防火墻，防病毒系統(tǒng)等安全設(shè)備，具有基本的安全管理制度和流程，也建設(shè)了一些專(zhuān)業(yè)安全系統(tǒng)，安全能力得到了一定提升。

　　但安全是一個(gè)系統(tǒng)性、全局性的問(wèn)題，目前仍有一些需要解決的問(wèn)題，列舉如下：

　　(1)缺乏統(tǒng)一的安全政策制定與執(zhí)行。企業(yè)的安全政策的制定和落實(shí)沒(méi)有統(tǒng)一的平臺(tái)，政策執(zhí)行的效果也無(wú)法得到全面清晰的反映。

　　(2)安全事件無(wú)法及時(shí)發(fā)現(xiàn)。沒(méi)有統(tǒng)一的安全事件收集、監(jiān)控平臺(tái)，安全事件無(wú)法及時(shí)發(fā)現(xiàn)、及時(shí)處理。

　　(3)安全事件無(wú)法準(zhǔn)確定位。安全事件發(fā)生以后，由于技術(shù)條件限制，無(wú)法準(zhǔn)確定位到發(fā)生的位置，也就無(wú)法有效的采取措施。

　　(4)缺乏統(tǒng)一的主動(dòng)作業(yè)質(zhì)量考核與被動(dòng)事件考核。沒(méi)有一套量化的安全工作評(píng)價(jià)機(jī)制，難以對(duì)下級(jí)單位、合作伙伴的安全工作作出考核，難以調(diào)動(dòng)安全人員的積極性。

　　(5)安全工作缺少統(tǒng)一展示的平臺(tái)。各級(jí)管理者和安全工作人員無(wú)法及時(shí)共享整個(gè)中心及各地市的安全工作信息，影響安全決策的準(zhǔn)確性、及時(shí)性。

　　3 平臺(tái)方案

　　面向安全業(yè)務(wù)的信息安全保障管理平臺(tái)首先實(shí)現(xiàn)信息安全管理制度流程的信息化，實(shí)現(xiàn)信息安全工作可管可控可視化，主要功能包括：

　　(1)安全決策中心：安全管控平臺(tái)的最高決策控制模塊，企業(yè)管理層對(duì)于安全控制的方向和力度通過(guò)該模塊進(jìn)行調(diào)控，它是整個(gè)安全管理平臺(tái)的核心。

　　(2)安全健康檢查：安全管控平臺(tái)的一項(xiàng)基礎(chǔ)功能，通過(guò)對(duì)每個(gè)資產(chǎn)的安全檢查，經(jīng)過(guò)安全專(zhuān)家的處理，從而得到整體業(yè)務(wù)系統(tǒng)的安全狀況，為管理層實(shí)時(shí)了解企業(yè)安全狀況提供依據(jù)。

　　(3)合規(guī)性管理：在合規(guī)性管理方面，可以在接到明確的制度、要求之下，輔助管理人員開(kāi)展一系列達(dá)標(biāo)活動(dòng)。

　　(4)關(guān)鍵安全事務(wù)管控：定義了事務(wù)之后，系統(tǒng)就自動(dòng)跟蹤整個(gè)事件的執(zhí)行及效果，并且在此事件執(zhí)行結(jié)束后，進(jìn)行審計(jì)以確認(rèn)執(zhí)行結(jié)果是否與審批完全相同。

　　(5)安全運(yùn)維管理：統(tǒng)一對(duì)系統(tǒng)內(nèi)所有設(shè)備、應(yīng)用進(jìn)行操作管理，人員操作行為進(jìn)行流程化管理。

　　(6)安全設(shè)備集中管理：對(duì)安全產(chǎn)品的集中管理、監(jiān)控及告警，管理的安全產(chǎn)品包括：UTM統(tǒng)一安全網(wǎng)關(guān)、防火墻、IPS、IDS、VPN、異常流量分析等。

　　在此基礎(chǔ)上，還可以對(duì)設(shè)備的安全策略進(jìn)行集中配置管理、分發(fā)和管理，協(xié)助管理員實(shí)時(shí)掌握設(shè)備工作狀態(tài)和安全狀況。

　　(7)安全項(xiàng)目進(jìn)度及生命周期安全管理：一方面可以協(xié)助管理人員對(duì)項(xiàng)目進(jìn)展進(jìn)行跟蹤，另一方面能夠監(jiān)控在項(xiàng)目的整個(gè)生命周期安全措施是否得到落實(shí)。

　　(8)安全公文管理：入網(wǎng)審批等公文的新建、處理批復(fù)、流轉(zhuǎn)、查閱等，可支持工作流定義。

　　(9)安全對(duì)象管理：資產(chǎn)類(lèi)型應(yīng)包括：主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息。

　　資產(chǎn)的表現(xiàn)形式為其屬性，包括通用屬性及特有屬性，通用屬性為所有資產(chǎn)具備基本屬性信息，特有屬性為特有資產(chǎn)具備屬性。

　　(10)安全例行工作：定期掃描(漏洞、基線(xiàn)、病毒)結(jié)果、加固工作、結(jié)果填報(bào)。

　　(11)安全數(shù)據(jù)采集：通過(guò)分布在各處的探針，收集原始的數(shù)據(jù)，并進(jìn)行系統(tǒng)自動(dòng)分析、處理，再經(jīng)過(guò)專(zhuān)家系統(tǒng)的過(guò)濾和人工規(guī)整，呈現(xiàn)給管理人員的是符合人閱讀習(xí)慣的可理解的安全事件。

　　(12)安全風(fēng)險(xiǎn)呈現(xiàn)：以安全對(duì)象為基礎(chǔ)，結(jié)合不斷更新的安全對(duì)象脆弱性、不斷產(chǎn)生的威脅事件，進(jìn)行持續(xù)性風(fēng)險(xiǎn)計(jì)算，并將最后的量化的風(fēng)險(xiǎn)顯示到用戶(hù)頁(yè)面中。

　　4 結(jié)語(yǔ)

　　本文介紹了面向運(yùn)營(yíng)商安全業(yè)務(wù)的信息安全管理平臺(tái)，可實(shí)現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化，提高信息安全管理工作效率，促進(jìn)信息安全管理工作規(guī)范化，也可供其他行業(yè)信息安全工作參考。

【淺析面向運(yùn)營(yíng)商安全業(yè)務(wù)的信息安全保障管理平臺(tái)論文】相關(guān)文章：

網(wǎng)絡(luò)通信中信息安全的保障措施淺析論文10-11

檔案信息安全平臺(tái)建設(shè)初探論文10-11

第三方支付平臺(tái)信息安全保障現(xiàn)狀分析論文10-10

在線(xiàn)信息安全實(shí)驗(yàn)教學(xué)平臺(tái)研究論文10-09

網(wǎng)絡(luò)通信信息安全保障優(yōu)化措施論文10-12

高職信息安全保障體系構(gòu)建與運(yùn)用論文10-09

信息安全管理論文07-29

淺析遠(yuǎn)程網(wǎng)絡(luò)信息安全策略論文10-09

有線(xiàn)數(shù)字電視播出平臺(tái)的信息安全研究論文10-11

淺談新技術(shù)新業(yè)務(wù)信息安全論文10-09