本文简单介绍了运营商安全管理中的问题和需求,并引入面向运营商安全业务的信息安全保障管理平台,可实现信息安全管理制度流程的信息化,使得信息安全工作可管可控可视化。
1 引言
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。
管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
运营商对信息安全十分重视,在多年信息安全工作中安全保障水平不断提升,在各级公司均成立部门和专职安全岗位从事信息安全管理;然而,信息安全管理的水平目前主要还是由相应岗位人员管理水平和管理经验决定;为了使信息安全管理流程化,知识传承和经验积累更能显性体现,需要一个统一的信息安全管理平台,实现信息安全管理制度流程的信息化,使得信息安全工作可管可控可视化,提高信息安全管理工作效率,促进信息安全管理工作规范化,提高信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障安全目标得以实现。
2 安全管理的问题与需求
随着网络建设和业务的不断发展,企业对网络安全也日益重视。尤其是电信运营商,为提升安全保障能力,对各系统采取了一定的安全防护措施,部署了防火墙,防病毒系统等安全设备,具有基本的安全管理制度和流程,也建设了一些专业安全系统,安全能力得到了一定提升。
但安全是一个系统性、全局性的问题,目前仍有一些需要解决的问题,列举如下:
(1)缺乏统一的安全政策制定与执行。企业的安全政策的制定和落实没有统一的平台,政策执行的效果也无法得到全面清晰的反映。
(2)安全事件无法及时发现。没有统一的安全事件收集、监控平台,安全事件无法及时发现、及时处理。
(3)安全事件无法准确定位。安全事件发生以后,由于技术条件限制,无法准确定位到发生的位置,也就无法有效的采取措施。
(4)缺乏统一的主动作业质量考核与被动事件考核。没有一套量化的安全工作评价机制,难以对下级单位、合作伙伴的安全工作作出考核,难以调动安全人员的积极性。
(5)安全工作缺少统一展示的平台。各级管理者和安全工作人员无法及时共享整个中心及各地市的安全工作信息,影响安全决策的准确性、及时性。
3 平台方案
面向安全业务的信息安全保障管理平台首先实现信息安全管理制度流程的信息化,实现信息安全工作可管可控可视化,主要功能包括:
(1)安全决策中心:安全管控平台的最高决策控制模块,企业管理层对于安全控制的方向和力度通过该模块进行调控,它是整个安全管理平台的核心。
(2)安全健康检查:安全管控平台的一项基础功能,通过对每个资产的安全检查,经过安全专家的处理,从而得到整体业务系统的安全状况,为管理层实时了解企业安全状况提供依据。
(3)合规性管理:在合规性管理方面,可以在接到明确的制度、要求之下,辅助管理人员开展一系列达标活动。
(4)关键安全事务管控:定义了事务之后,系统就自动跟踪整个事件的执行及效果,并且在此事件执行结束后,进行审计以确认执行结果是否与审批完全相同。
(5)安全运维管理:统一对系统内所有设备、应用进行操作管理,人员操作行为进行流程化管理。
(6)安全设备集中管理:对安全产品的集中管理、监控及告警,管理的安全产品包括:UTM统一安全网关、防火墙、IPS、IDS、VPN、异常流量分析等。
在此基础上,还可以对设备的安全策略进行集中配置管理、分发和管理,协助管理员实时掌握设备工作状态和安全状况。
(7)安全项目进度及生命周期安全管理:一方面可以协助管理人员对项目进展进行跟踪,另一方面能够监控在项目的整个生命周期安全措施是否得到落实。
(8)安全公文管理:入网审批等公文的新建、处理批复、流转、查阅等,可支持工作流定义。
(9)安全对象管理:资产类型应包括:主机、网络设备、安全设备、应用系统、数据和信息。
资产的表现形式为其属性,包括通用属性及特有属性,通用属性为所有资产具备基本属性信息,特有属性为特有资产具备属性。
(10)安全例行工作:定期扫描(漏洞、基线、病毒)结果、加固工作、结果填报。
(11)安全数据采集:通过分布在各处的探针,收集原始的数据,并进行系统自动分析、处理,再经过专家系统的过滤和人工规整,呈现给管理人员的是符合人阅读习惯的可理解的安全事件。
(12)安全风险呈现:以安全对象为基础,结合不断更新的安全对象脆弱性、不断产生的威胁事件,进行持续性风险计算,并将最后的量化的风险显示到用户页面中。
4 结语
本文介绍了面向运营商安全业务的信息安全管理平台,可实现信息安全管理制度流程的信息化,使得信息安全工作可管可控可视化,提高信息安全管理工作效率,促进信息安全管理工作规范化,也可供其他行业信息安全工作参考。
作者:郑东曦 陈辉 刘伟雄 吴潇 陈凌 来源:中国科技博览 2015年48期
