面向運(yùn)營商安全業(yè)務(wù)的信息安全保障管理平臺

..面向運(yùn)營商安全業(yè)務(wù)的信息安全保障管理平臺[綱要]本文簡單介紹了運(yùn)營商安全管理中的問題和需求，并引入面向運(yùn)營商安全業(yè)務(wù)的信息安全保障管理平臺，可實現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化。[要點(diǎn)詞]信息安全；安全管理；安全管理平臺中圖分類號：TN929.5；TN915.08文件表記碼：A文章編號：1009-914X（2015）48-0048-01序言在此刻全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中獲取了真正的廣泛的應(yīng)用。好多組織對其信息系統(tǒng)不斷增添的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險、收益和機(jī)遇，使得信息安全管理成為企業(yè)管理越來越要點(diǎn)的一部分。管理高層需要保證信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也合適利用信息技術(shù)的優(yōu)勢。運(yùn)營商對信息安全十分重視，在多年信息安全工作中安全保障水平不斷提升，在各級企業(yè)均成立部門和專職安全崗位從事信息安全管理；可是，信息安全管理的水平目前主要還是由相應(yīng)崗位人員管理水平和word資料..管理經(jīng)驗決定；為了使信息安全管理流程化，知識傳承和經(jīng)驗積累更能顯性表現(xiàn)，需要一個一致的信息安全管理平臺，實現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化，提升信息安全管理工作效率，促進(jìn)信息安全管理工作規(guī)范化，提升信息安全管理水平，降低信息安全對連續(xù)發(fā)展造成的風(fēng)險，最后保障安全目標(biāo)得以實現(xiàn)。安全管理的問題與需求隨著網(wǎng)絡(luò)建設(shè)和業(yè)務(wù)的不斷發(fā)展，企業(yè)對網(wǎng)絡(luò)安全也日益重視。特別是電信運(yùn)營商，為提升安全保障能力，對各系統(tǒng)采用了必然的安全防范措施，部署了防火墻，防病毒系統(tǒng)等安全設(shè)備，擁有基本的安全管理制度和流程，也建設(shè)了一些專業(yè)安全系統(tǒng)，安全能力獲取了必然提升。但安所有是一個系統(tǒng)性、全局性的問題，目前仍有一些需要解決的問題，列舉以下：1）缺少一致的安全政策擬定與執(zhí)行。企業(yè)的安全政策的擬定和落實沒有一致的平臺，政策執(zhí)行的收效也無法獲取全面清楚的反響。2）安全事件無法實時發(fā)現(xiàn)。沒有一致的安全事件收集、監(jiān)控平臺，安全事件無法實時發(fā)現(xiàn)、實時辦理。3）安全事件無法正確定位。安全事件發(fā)生今后，word資料..由于技術(shù)條件限制，無法正確定位到發(fā)生的地址，也就無法有效的采用措施。4）缺少一致的主動作業(yè)質(zhì)量核查與被動事件核查。沒有一套量化的安全工作議論體系，難以對下級單位、合作伙伴的安全工作作出核查，難以調(diào)動安全人員的積極性。5）安全工作缺少一致顯現(xiàn)的平臺。各級管理者和安全工作人員無法實時共享整此中心及各地市的安全工作信息，影響安全決策的正確性、實時性。平臺方案面向安全業(yè)務(wù)的信息安全保障管理平臺第一實現(xiàn)信息安全管理制度流程的信息化，實現(xiàn)信息安全工作可管可控可視化，主要功能包括：（1）安全決策中心：安全管控平臺的最高決策控制模塊，企業(yè)管理層對于安全控制的方向和力度經(jīng)過該模塊進(jìn)行調(diào)控，它是整個安全管理平臺的中心。2）安全健康檢查：安全管控平臺的一項基礎(chǔ)功能，經(jīng)過對每個財富的安全檢查，經(jīng)過安全專家的辦理，從而獲取整體業(yè)務(wù)系統(tǒng)的安全狀況，為管理層實時認(rèn)識企業(yè)安全狀況供應(yīng)依據(jù)。3）合規(guī)性管理：在合規(guī)性管理方面，可以在接到明確的制度、要求之下，協(xié)助管理人員睜開一系列word資料..達(dá)標(biāo)活動。4）要點(diǎn)安全事務(wù)管控：定義了事務(wù)此后，系統(tǒng)就自動追蹤整個事件的執(zhí)行及收效，并且在此事件執(zhí)行結(jié)束后，進(jìn)行審計以確認(rèn)執(zhí)行結(jié)果可否與審批完好相同。5）安全運(yùn)維管理：一致對系統(tǒng)內(nèi)所有設(shè)備、應(yīng)用進(jìn)行操作管理，人員操作行為進(jìn)行流程化管理。6）安全設(shè)備集中管理：對安全產(chǎn)品的集中管理、監(jiān)控及告警，管理的安全產(chǎn)品包括：UTM一致安全網(wǎng)關(guān)、防火墻、IPS、IDS、VPN、異常流量解析等。在此基礎(chǔ)上，還可以對設(shè)備的安全策略進(jìn)行集中配置管理、發(fā)散和管理，協(xié)助管理員實時掌握設(shè)備工作狀態(tài)和安全狀況。（7）安全項目進(jìn)度及生命周期安全管理：一方面可以協(xié)助管理人員對項目進(jìn)展進(jìn)行追蹤，另一方面可以監(jiān)控在項目的整個生命周期安全措施可否獲取落實。8）安全公文管理：入網(wǎng)審批等公文的新建、辦理批復(fù)、流轉(zhuǎn)、查閱等，可支持工作流定義。9）安全對象管理：財富種類應(yīng)包括：主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息。財富的表現(xiàn)形式為其屬性，包括通用屬性及特有屬性，通用word資料..屬性為所有財富具備基本屬性信息，特有屬性為特有財富具備屬性。10）安全例行工作：如期掃描（漏洞、基線、病毒）結(jié)果、加固工作、結(jié)果填報。11）安全數(shù)據(jù)收集：經(jīng)過分布在各處的探針，收集原始的數(shù)據(jù)，并進(jìn)行系統(tǒng)自動解析、辦理，再經(jīng)過專家系統(tǒng)的過濾和人工規(guī)整，表現(xiàn)給管理人員的是吻合人閱讀習(xí)慣的可理解的安全事件。12）安全風(fēng)險表現(xiàn)：以安全對象為基礎(chǔ)，結(jié)合不斷更新的安全對象纖弱性、不斷產(chǎn)生的威脅事件，進(jìn)行連續(xù)性風(fēng)險計算，并將最后的量化的風(fēng)險顯示到用戶頁面中。結(jié)語本文介紹了面向運(yùn)營商安全業(yè)務(wù)的信息安全管理平臺，可實現(xiàn)信息安全管理制度流程的信息化，使得信息安全工作可管可控可視化，提升信息安全管理工作效率，促進(jìn)信息安全管理工作規(guī)范化，也可供其他行業(yè)信息安全工作參照。參照文件賴睿.運(yùn)營商IP網(wǎng)安全管理平臺SOC的設(shè)