行业需求
由于电信行业有着超过其他行业的业务系统数量,以及对业务系统实时可用性的超高要求,所以对于安全建设的需求更加迫切。根据东软多年对于信息安全的研究,我们认为安全建设首先要对于安全技术体系、信息安全管理体系和运维体系进行整体规划、论证,而后落实论证后的安全保障措施及管理制度,技术措施和管理制度必须要同时落实,才能将安全建设提高到一个新的高度,从而真正提高电信行业客户的安全现况,从根本上促进整个行业信息安全的发展。
解决方案
信息资产基础设施是整个安全体系的基础和保护目标,安全管理体系明确了组织高层安全策略和指导方针,安全技术体系是信息系统的安全技术保障,是安全管理体系中部分管理要求的落地与实现;安全管理体系中的管理要求通过安全运维体系有效落实到信息系统基础设施和安全技术体系当中,从而达到组织信息安全保障的整体目标。详细信息安全建设规划目标如下图所示:
安全管理体系、安全技术体系、安全运维体系是一个动态、循环的过程:安全管理体系需要周期性的进行管理评审和持续改进;安全技术体系需要在新技术和新威胁出现,信息系统基础设施进行变更时,进行动态更新;安全运维体系需要周期性的通过安全服务将安全管理体系的管理目标通过安全技术、安全培训等措施进行有效的落地与实现。
体系架构划分
而整体信息安全技术体系又能分为安全域整合、网元基础安全、技术防护措施、统一安全管理这四个架构层面进行整体规划。
安全体系建设成果
- 通过对安全域划分及边界整合层策略的论证、建设,可以保证业务系统中各区域的职责,通过职责能够更好的制定各区域的策略。
- 通过对网元自身安全层策略的要求保证了业务系统中网元设备本身系统不存在漏洞,配置不存在违规。
- 通过对技术防护措施层的建设,能够使用各类安全技术产品(防火墙、IPS等),整体保障业务系统的安全。
- 通过对统一安全管理层的建设,能够将信息安全提高的新的高度,建立以风险为核心的整体