电信行业信息安全实施方法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、前言
众所周知,电信行业的网络系统是以数据通信为基础的计算机综合信息网,实现了信息通信和资源共享,面向社会提供网络服务和信息服务。但是,随着企业电子商务和个人网络应用的发展,作为一个公共网络平台,电信行业的网络系统面临着如何保护企业和用户秘密,维护企业和用户一系列合法权益等一系列重要而棘手的问题。
二、电信行业信息安全面临的威胁
在电信行业的网络业务系统中,经过多年建设安全防护已经初具规模,但随着网络病毒和黑客的不断升级,现今的电信行业的安全体系已经不能满足以下的安全需求:
2.1网络业务系统大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX操作
系统。虽然,TCP/IP和UNIX都是以开放性著称的,系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑,但只实现了基本安全控制功能,还存在一些许多的安全漏洞,对于病毒、黑客来说,网络协议的开放性使信息安全威胁的风险大为增加。
2.2电信的网络安全系统,虽然设计了防火墙系统,但该防火墙侧重在对通讯的源、目的地址和端口进行
限制,鉴于当前IT系统安全性的严重状况,黑客还是可以从许多地方访问关键服务器,数据包中很可能包含入侵攻击代码,并没有形成一套完整的防护体系。
2.3黑客的入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退
等几个步骤。因此,针对每一个黑客攻击的步骤,都需要制定相应的防范措施;而且其中具有技术部
分的内容,更加重要的是管理方面的,也就是安全策略的制定和实行。
2.4以前并没有对于项目范围内的重要信息数据(比如,技术文档、源程序、企业运行数据、电子邮件、
管理文档商业文档)的安全保护框架,以及承载这些数据的系统的安全保护框架进行全面的设计、评估。
显而易见,如果上述的安全需求得不到满足,由于信息安全威胁造成网络阻塞、应用中断(包括计费系统在内的关键应用),数据失窃都会对电信运营商带来严重的经济和形象上的损失。
三、电信行业信息安全面临的威胁的解决方案
华菱咨询顾问师团队先后为中国电信、中国移动等知名的电信运营商提供了专业信息安全风险评估以及ISO27001、ISO20000等管理体系的专业咨询服务,基于这些经验和基础,我们可为客户提供以下解决方案:
3.1通过ISO27001的信息安全管理体系建立,确保在管理制度有一套规范的制度作为电信运营的有效运行
体系。如建立系统、数据库漏洞扫描制度等,可能效的将信息安全风险降低到可接收的范围;
3.2通过ISO20000-1的IT服务管理体系建立,确保在管理制度有一套规范的制度作为电信运营的有效运
行体系。如通过风险评估来优化主机、操作系、数据库配置方案,可提前预知风险的存在;
3.3通过对风险评估和相关对策的制订,降低风险,如提升病毒防护系统等。
3.4通过建立完整的业务连续性计划,包括灾难恢复,来降低经营风险,提供企业的形象。