在安全技术体系中,将多种安全技术相结合,首先从技术体系划分上,各类安全技术控制模块可以被分为7个大类:准备、预防、检测、保护、响应、监控、评价等,在整个安全系统运转中,各司其职。进而结合阶段性维度,根据不同业务系统的特点,分解到“基本保护阶段”、“中度保护阶段”、“深度保护阶段”,从而明确划分了技术手段的同时,也针对不同建设的阶段需求,提供有计划的、持续深入的技术保护。
4.6 安全管理建设
安全管理建设包括组织、流程、制度等方面的内容,建立专职的安全队伍,从事具体的安全工作,在集团层面设置安全主管机构,各省级公司设置专职的安全部门和安全专员员。结合电信运营商的运维体系,梳理安全工作流程,将安全工作体现在网络与信息系统生命周期中的规划、设计、开发等各个阶段,保证安全工作的最终落地。
遵循和参考国际国内信息安全管理标准、国家法律法规和行业规范的基础上,阐述安全管理体系建设的目的、适用范围、安全定义、体系结构、安全原则、关键性成功因素和声明等内容,在技术和管理各方面的安全工作具有通用指导性。完善安全管理制度,根据电信运营商的业务正常运行和发展需求,综合各方面的有关要求,提出公司的信息安全策略、方针,对信息安全保障体系建设和完善提供指引。
五. 移动网络安全建设实践
目前运营商移动网络的建设正如火如荼,市场营销部门紧迫的希望将业务尽早推向市场,可是在业务和网络建设过程中也不可忽视安全方面的建设,在系统规划和建设阶段同步考虑安全问题可以很大程度上降低系统上线后的整体安全风险和运维成本。
为了保障业务的平稳安全运营,电信运营商开展了大量的安全建设,下面我们介绍一下某运营商移动网络建设的思路。该运营商在接收移动网络以后展开了大量的业务系统的扩容建设工作,对业务系统的承载网络实现了割接,利用单一IP承载网实现多个业务系统的承载,利用VPN隧道将多个业务系统进行隔离。安全建设工作与网络和业务系统的建设同步开展,安全建设的首要工作是安全评估,通过评估了解网络和业务系统的安全状况,评估主要内容包括:识别关键业务、关键业务流程;通过技术手段、调研访谈等形式识别系统所存在的各种技术、管理以及架构上的脆弱性,从而识别可能被各种威胁源利用的弱点;在脆弱性识别和分析的基础上,对可能面临的威胁进行可能性分析;分析业务和信息资产遭到破坏后所造成的影响。在安全评估的基础上,对业务网和支撑网进行安全域划分和边界整合,并且利用相应的安全技术防护手段进一步增强系统的安全性。.
分页: [1] [2] [3]
TAG: 网络安全 运营商 思路 探讨 建设