电信行业信息安全实施方法

一、前言

众所周知，电信行业的网络系统是以数据通信为基础的计算机综合信息网，实现了信息通信和资源共享，面向社会提供网络服务和信息服务。但是，随着企业电子商务和个人网络应用的发展，作为一个公共网络平台，电信行业的网络系统面临着如何保护企业和用户秘密，维护企业和用户一系列合法权益等一系列重要而棘手的问题。

二、电信行业信息安全面临的威胁

在电信行业的网络业务系统中，经过多年建设安全防护已经初具规模，但随着网络病毒和黑客的不断升级，现今的电信行业的安全体系已经不能满足以下的安全需求：

2.1网络业务系统大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX操作

系统。虽然，TCP/IP和UNIX都是以开放性著称的，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑，但只实现了基本安全控制功能，还存在一些许多的安全漏洞，对于病毒、黑客来说，网络协议的开放性使信息安全威胁的风险大为增加。

2.2电信的网络安全系统，虽然设计了防火墙系统，但该防火墙侧重在对通讯的源、目的地址和端口进行

限制，鉴于当前IT系统安全性的严重状况，黑客还是可以从许多地方访问关键服务器，数据包中很可能包含入侵攻击代码，并没有形成一套完整的防护体系。

2.3黑客的入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退

等几个步骤。因此，针对每一个黑客攻击的步骤，都需要制定相应的防范措施；而且其中具有技术部

分的内容，更加重要的是管理方面的，也就是安全策略的制定和实行。

2.4以前并没有对于项目范围内的重要信息数据（比如，技术文档、源程序、企业运行数据、电子邮件、

管理文档商业文档）的安全保护框架，以及承载这些数据的系统的安全保护框架进行全面的设计、评估。

显而易见，如果上述的安全需求得不到满足，由于信息安全威胁造成网络阻塞、应用中断（包括计费系统在内的关键应用），数据失窃都会对电信运营商带来严重的经济和形象上的损失。

三、电信行业信息安全面临的威胁的解决方案

华菱咨询顾问师团队先后为中国电信、中国移动等知名的电信运营商提供了专业信息安全风险评估以及ISO27001、ISO20000等管理体系的专业咨询服务,基于这些经验和基础,我们可为客户提供以下解决方案：

3.1通过ISO27001的信息安全管理体系建立，确保在管理制度有一套规范的制度作为电信运营的有效运行

体系。如建立系统、数据库漏洞扫描制度等，可能效的将信息安全风险降低到可接收的范围;

3.2通过ISO20000-1的IT服务管理体系建立，确保在管理制度有一套规范的制度作为电信运营的有效运

行体系。如通过风险评估来优化主机、操作系、数据库配置方案，可提前预知风险的存在;

3.3通过对风险评估和相关对策的制订，降低风险，如提升病毒防护系统等。

3.4通过建立完整的业务连续性计划，包括灾难恢复，来降低经营风险，提供企业的形象。