近年來���,在國家信息化戰(zhàn)略的指引下��,越來越多的企業(yè)核心數(shù)據(jù)承載在網(wǎng)絡(luò)環(huán)境中����,IT網(wǎng)絡(luò)環(huán)境下的信息安全問題成為信息管理者關(guān)注的問重點,如何構(gòu)建信息安全保障體系���,同時如何建立一套科學有效的評價標準�����,考量系統(tǒng)的IT保障體系建設(shè)能力水平,一直是學術(shù)界和企業(yè)共同關(guān)注的焦點����。
作為國內(nèi)最大的固網(wǎng)電信運營商來說,隨著中國電信全業(yè)務(wù)運營戰(zhàn)略的推進����,IT系統(tǒng)(即CTG-MBOSS系統(tǒng),由管理支撐系統(tǒng)MSS����,業(yè)務(wù)支撐系統(tǒng)BSS,運營支撐系統(tǒng)OSS和企業(yè)數(shù)據(jù)架構(gòu)EDA組成) 已經(jīng)成為電信生產(chǎn)環(huán)節(jié)中不可或缺的一部分���,IT系統(tǒng)的安全問題也日趨重要����。
中國電信IT安全保障體系以CTG-MBOSS信息化架構(gòu)為基礎(chǔ),是支撐企業(yè)IT安全建設(shè)和管理的基礎(chǔ)架構(gòu)���,整個體系以IT安全戰(zhàn)略為指導���,將組織、策略���、運行���、技術(shù)等安全各方面要素結(jié)合起來,通過安全管理制度的逐一落實�,安全防護措施的統(tǒng)一部署,循序漸進的構(gòu)建一個科學全面的信息安全保障體系�。體系建設(shè)和實施路線遵循“管技結(jié)合、預防為主���、注重長效��、循序漸進”十六字方針�,按照“職責明晰����、預防為主�����、有效識別����;主動防御�����、及時響應�����、集中管控�;體系完善�����、流程通暢��、全員參與” 的路線向“可管����、可控�����、可信”三個階段能力目標演進�,最終實現(xiàn)可信賴的IT安全運營環(huán)境愿景����,整體安全保障體系框架如圖1所示。
圖 1 中國電信IT安全保障體系框架圖
其中��,安全策略體系總述了中國電信IT安全的總體方針政策�����、演進策略���、標準和指南�、以及各類實施細則組成�����。
安全組織體系定義了保障IT安全策略有效執(zhí)行需要的角色和職責,為安全策略能夠貫徹實施的組織保障的保證�,從職能上分為決策、管理和執(zhí)行類別�。
安全運行體系從IT系統(tǒng)生命周期和安全風險管控流程出發(fā),從開發(fā)��、建設(shè)�、維護、響應和核查五個階段提出安全風險管控的要點�����,明確了不同階段安全防護的具體要求����,涵蓋了風險管理、系統(tǒng)開發(fā)建設(shè)��、運行維護�����、事件響應�、安全監(jiān)控和安全檢查等內(nèi)容���。
技術(shù)體系是實現(xiàn)IT安全保障體系的重要手段���,從物理安全�、網(wǎng)絡(luò)安全�����、系統(tǒng)安全�、應用安全、數(shù)據(jù)安全和終端安全六個方面實現(xiàn)安全檢測與識別���、安全防護�、安全審計與恢復三大保障能力�。
2 安全能力成熟度模型
為了保證電信網(wǎng)IT安全保障體系建設(shè)有序推進并完成建設(shè)目標,需要一套合理的評價模型和方法對安全保障體系建設(shè)成效進行公正有效的考量和評價����。而且該模型和方法要能夠適應復雜的實際建設(shè)情況,能夠包含量化評估的方法�、模型和流程,是一個全面科學的�、可量化的考評體系。
當前國內(nèi)外關(guān)于信息安全評估的標準和考評方法形成了幾種流派�,其中國標GB-T2027對安全建設(shè)能力成熟度評價做了基本的定義���,描述了5個級別的安全保障能力定義,分別為:未實施級�����;基本執(zhí)行級���;計劃和跟蹤級����;充分定義級��;量化控制級�;持續(xù)改進級等五個級別,上述5個能力級別對能力特征進行了充分的定義����,但沒有給出具體的操作細則。
在結(jié)合了國家標準和電信實際現(xiàn)狀后���,結(jié)合其他行業(yè)最佳實踐和中國電信實際情況�����,從考核指標量化入手���,圍繞五級能力成熟度模型,形成一個可持續(xù)改進的IT安全保障體系能力成熟度模型和評價方法���,模型從IT安全規(guī)劃建設(shè)����、運作����、技術(shù)保障、管理措施等幾個方面因素入手�,建立一種普遍適應的評價準則,對安全能力建設(shè)做出評價�����,指導企業(yè)開展安全建設(shè)工作����。
2.1 考量指標
評估IT安全保障體系能力成熟度通過上述安全保障體系策略、組織����、運行和技術(shù)四個層次來進行����,每一個層次包含不同的內(nèi)容�,對應著不同的標準和考核指標。在每一個層次中�����,有關(guān)鍵指標�����,圍繞關(guān)鍵指標�,有相應的具體流程和活動,能力評估就是根據(jù)這些關(guān)鍵指標和相應流程合活動的情況合狀態(tài)來進行的�。在IT安全保障體系能力成熟度模型中,會有對每個層次的不同級別的關(guān)鍵指標�����、標準流程的詳細定義和描述�,同時會有能力不足的措施說明等。
IT安全保障體系能力水平��,包括四大體系的能力成熟度因素:
(1)策略體系:安全策略相關(guān)的企業(yè)安全戰(zhàn)略、安全滾動規(guī)劃����、安全建設(shè)資金投入���、安全資源保障的健全程度��。
(2)組織體系:安全組織和人員配置程度�,安全組織的運作和執(zhí)行效能���,全員安全素質(zhì)水平�����,對人員的安全管理水平����。
(3)運作體系:圍繞IT系統(tǒng)生命周期�,從設(shè)計、建設(shè)和運維幾個層面執(zhí)行安全管控的規(guī)范化和標準化程度�,安全管理的成熟度和水平。
(4)技術(shù)體系:針對安全技術(shù)保障措施和防護手段的建設(shè)完善程度�。
評估能力成熟度主要依據(jù)目前的能力狀態(tài)是否達到規(guī)定的要求而進行劃分�����,能力不達標則能力成熟度低���,反之則高。因此����,評估模型對IT安全保障體系能力成熟度劃分等級進行分值評估,在每個層次的能力成熟度模型中有詳細的關(guān)鍵指標��,還有詳細的標準流程和活動指標��,再根據(jù)指標的等級和關(guān)鍵程度可以設(shè)置權(quán)重�����,最后再計算總分���。最后���,針對所有的關(guān)鍵指標或者所有的標準指標的累計分數(shù)整個IT安全保障體系能力成熟度進行總分評定,成熟度評估具體執(zhí)行中將采取調(diào)查、調(diào)研��、訪談�����、效果跟蹤等方法進行�����。
2.2 計算方法
(1)體系成效考量計算方法
IT安全保障體系的建設(shè)成效= 安全策略體系水平*α+安全組織體系水平*β+安全運作體系水平*γ+安全技術(shù)保障措施建設(shè)水平*δ�����。
α����、β��、γ����、δ分別表示IT安全策略體系、安全組織體系水平����、安全運作體系水平和安全技術(shù)保障措施建設(shè)水平的重要性賦值所占的權(quán)重���,其中α≥0,β≥0����,γ≥0,δ≥0且α+β+γ+δ=1�。
(2)體系水平成熟度計算方法
安全策略體系水平=α1*策略指標項1+α2*策略指標項2+α3*策略指標項3+α4*策略指標項4+… …。
其中�����,α1����、α2、α3����、α4等分別為各個指標項的加權(quán)因子, =1���,安全策略指標項分值和權(quán)重因子數(shù)值由細則另行定義����。
其余三個能力指標安全組織體系水平、安全運作體系水平和安全技術(shù)保障措施建設(shè)水平成熟度計算方案以此類推�。
(3)體系成效考量評價矩陣
針對IT安全保障體系建設(shè)成效,建立IT安全保障體系成熟度衡量標準和指標�����,具體如表1所示��。
3 安全能力評估實踐
在以上安全能力成熟度模型基礎(chǔ)上�,通過建立一套可操作的能力達標評價標準-安全基線(Security BaseLine)��,考量IT安全保障體系建設(shè)成效�,實現(xiàn)保障體系水平真正可量化評價。中國電信IT安全基線考評方法描述了CTG-MBOSS系統(tǒng)最基本的安全要求����,通過安全基線考核指標,實現(xiàn)對企業(yè)各IT系統(tǒng)安全建設(shè)成效和管理水平的動態(tài)管理, 促進IT安全管理能力提升��。
中國電信IT安全基線達標標準����,從管理和技術(shù)兩個維度對如何考察安全建設(shè)能力給出了詳細的達標評比辦法,將安全能力分為C級、B級�����、A級����。分為組織架構(gòu)管理、人員安全管理����、運維安全管理、應用安全����、主機安全、網(wǎng)絡(luò)安全���、審計安全管理七大項���。一個完整的安全基線保障體系應該是將安全管理和安全技術(shù)手段相結(jié)合,通過各種安全管理制度�、安全組織機構(gòu)和安全運維制度等方面的建設(shè),并在網(wǎng)絡(luò)層����、主機層����、應用層采取各種安全技術(shù)手段建立多層保護的深度防御保障體系���。從安全基線可操作性的角度出發(fā)�����,在安全管理層面應將組織架構(gòu)管理要求�、人員安全管理要求和運維安全管理要求等三部分作為IT系統(tǒng)安全的基線考評要求�,在安全技術(shù)層面應將應用安全要求、主機安全要求��、網(wǎng)絡(luò)安全要求和安全審計要求等4部分作為IT系統(tǒng)安全的基線考評要求���,通過建立健全IT系統(tǒng)管理與技術(shù)防護體系,逐步提升IT系統(tǒng)整體安全防護能力����。IT安全基線評分標準如圖2所示。
圖2 IT 安全基線指標分解示例圖
在實際操作中��,IT安全基線達標測評采取打分的方式進行量化操作,對每一個檢測項打分�����,屬于判斷結(jié)果為“是”或“否”的檢測項�����,結(jié)果為“是”則評1分��,為“否”則評0分�����。根據(jù)各項總分數(shù)對IT系統(tǒng)的安全評測結(jié)果分別進行等級化評定����,IT安全基線能力基線視圖和判定方法如圖3所示。
圖3 IT安全基線達標考核示例圖
圖3中的連線為IT安全達標能力的基本水平線����,也真正體現(xiàn)了能力“基線”的真正意義。
4 結(jié)束語
綜上所述���,本文在IT安全保障體系模型框架基礎(chǔ)上�,闡述了一個可持續(xù)改進的IT安全保障體系能力成熟度模型,從IT安全規(guī)劃建設(shè)���、運作�、技術(shù)保障���、管理措施等幾個方面因素入手����,找出一套合理的評價方法對安全保障體系建設(shè)成效進行公正有效的考量和評價���,給出了一個具有普遍性的具體可操作的安全基線達標實踐方法��,可指導企業(yè)開展IT安全建設(shè)能力評價工作�。
