電信網(wǎng)安全保障能力評價(jià)模型與方法淺析

近年來(lái)，在國家信息化戰略的指引下，越來(lái)越多的企業(yè)核心數據承載在網(wǎng)絡(luò )環(huán)境中，IT網(wǎng)絡(luò )環(huán)境下的信息安全問(wèn)題成為信息管理者關(guān)注的問(wèn)重點(diǎn)，如何構建信息安全保障體系，同時(shí)如何建立一套科學(xué)有效的評價(jià)標準，考量系統的IT保障體系建設能力水平，一直是學(xué)術(shù)界和企業(yè)共同關(guān)注的焦點(diǎn)。

作為國內最大的固網(wǎng)電信運營(yíng)商來(lái)說(shuō)，隨著(zhù)中國電信全業(yè)務(wù)運營(yíng)戰略的推進(jìn)，IT系統(即CTG-MBOSS系統，由管理支撐系統MSS，業(yè)務(wù)支撐系統BSS，運營(yíng)支撐系統OSS和企業(yè)數據架構EDA組成) 已經(jīng)成為電信生產(chǎn)環(huán)節中不可或缺的一部分，IT系統的安全問(wèn)題也日趨重要。

中國電信IT安全保障體系以CTG-MBOSS信息化架構為基礎，是支撐企業(yè)IT安全建設和管理的基礎架構，整個(gè)體系以IT安全戰略為指導，將組織、策略、運行、技術(shù)等安全各方面要素結合起來(lái)，通過(guò)安全管理制度的逐一落實(shí)，安全防護措施的統一部署，循序漸進(jìn)的構建一個(gè)科學(xué)全面的信息安全保障體系。體系建設和實(shí)施路線(xiàn)遵循“管技結合、預防為主、注重長(cháng)效、循序漸進(jìn)”十六字方針，按照“職責明晰、預防為主、有效識別;主動(dòng)防御、及時(shí)響應、集中管控;體系完善、流程通暢、全員參與” 的路線(xiàn)向“可管、可控、可信”三個(gè)階段能力目標演進(jìn)，最終實(shí)現可信賴(lài)的IT安全運營(yíng)環(huán)境愿景，整體安全保障體系框架如圖1所示。

圖 1　中國電信IT安全保障體系框架圖

其中，安全策略體系總述了中國電信IT安全的總體方針政策、演進(jìn)策略、標準和指南、以及各類(lèi)實(shí)施細則組成。

安全組織體系定義了保障IT安全策略有效執行需要的角色和職責，為安全策略能夠貫徹實(shí)施的組織保障的保證，從職能上分為決策、管理和執行類(lèi)別。

安全運行體系從IT系統生命周期和安全風(fēng)險管控流程出發(fā)，從開(kāi)發(fā)、建設、維護、響應和核查五個(gè)階段提出安全風(fēng)險管控的要點(diǎn)，明確了不同階段安全防護的具體要求，涵蓋了風(fēng)險管理、系統開(kāi)發(fā)建設、運行維護、事件響應、安全監控和安全檢查等內容。

技術(shù)體系是實(shí)現IT安全保障體系的重要手段，從物理安全、網(wǎng)絡(luò )安全、系統安全、應用安全、數據安全和終端安全六個(gè)方面實(shí)現安全檢測與識別、安全防護、安全審計與恢復三大保障能力。

2　安全能力成熟度模型

為了保證電信網(wǎng)IT安全保障體系建設有序推進(jìn)并完成建設目標，需要一套合理的評價(jià)模型和方法對安全保障體系建設成效進(jìn)行公正有效的考量和評價(jià)。而且該模型和方法要能夠適應復雜的實(shí)際建設情況，能夠包含量化評估的方法、模型和流程，是一個(gè)全面科學(xué)的、可量化的考評體系。

當前國內外關(guān)于信息安全評估的標準和考評方法形成了幾種流派，其中國標GB-T2027對安全建設能力成熟度評價(jià)做了基本的定義，描述了5個(gè)級別的安全保障能力定義，分別為：未實(shí)施級;基本執行級;計劃和跟蹤級;充分定義級;量化控制級;持續改進(jìn)級等五個(gè)級別，上述5個(gè)能力級別對能力特征進(jìn)行了充分的定義，但沒(méi)有給出具體的操作細則。

在結合了國家標準和電信實(shí)際現狀后，結合其他行業(yè)最佳實(shí)踐和中國電信實(shí)際情況，從考核指標量化入手，圍繞五級能力成熟度模型，形成一個(gè)可持續改進(jìn)的IT安全保障體系能力成熟度模型和評價(jià)方法，模型從IT安全規劃建設、運作、技術(shù)保障、管理措施等幾個(gè)方面因素入手，建立一種普遍適應的評價(jià)準則，對安全能力建設做出評價(jià)，指導企業(yè)開(kāi)展安全建設工作。

2.1　考量指標

評估IT安全保障體系能力成熟度通過(guò)上述安全保障體系策略、組織、運行和技術(shù)四個(gè)層次來(lái)進(jìn)行，每一個(gè)層次包含不同的內容，對應著(zhù)不同的標準和考核指標。在每一個(gè)層次中，有關(guān)鍵指標，圍繞關(guān)鍵指標，有相應的具體流程和活動(dòng)，能力評估就是根據這些關(guān)鍵指標和相應流程合活動(dòng)的情況合狀態(tài)來(lái)進(jìn)行的。在IT安全保障體系能力成熟度模型中，會(huì )有對每個(gè)層次的不同級別的關(guān)鍵指標、標準流程的詳細定義和描述，同時(shí)會(huì )有能力不足的措施說(shuō)明等。

IT安全保障體系能力水平，包括四大體系的能力成熟度因素：

(1)策略體系：安全策略相關(guān)的企業(yè)安全戰略、安全滾動(dòng)規劃、安全建設資金投入、安全資源保障的健全程度。

(2)組織體系：安全組織和人員配置程度，安全組織的運作和執行效能，全員安全素質(zhì)水平，對人員的安全管理水平。

(3)運作體系：圍繞IT系統生命周期，從設計、建設和運維幾個(gè)層面執行安全管控的規范化和標準化程度，安全管理的成熟度和水平。

(4)技術(shù)體系：針對安全技術(shù)保障措施和防護手段的建設完善程度。

評估能力成熟度主要依據目前的能力狀態(tài)是否達到規定的要求而進(jìn)行劃分，能力不達標則能力成熟度低，反之則高。因此，評估模型對IT安全保障體系能力成熟度劃分等級進(jìn)行分值評估，在每個(gè)層次的能力成熟度模型中有詳細的關(guān)鍵指標，還有詳細的標準流程和活動(dòng)指標，再根據指標的等級和關(guān)鍵程度可以設置權重，最后再計算總分。最后，針對所有的關(guān)鍵指標或者所有的標準指標的累計分數整個(gè)IT安全保障體系能力成熟度進(jìn)行總分評定，成熟度評估具體執行中將采取調查、調研、訪(fǎng)談、效果跟蹤等方法進(jìn)行。

2.2　計算方法

(1)體系成效考量計算方法

IT安全保障體系的建設成效= 安全策略體系水平*α+安全組織體系水平*β+安全運作體系水平*γ+安全技術(shù)保障措施建設水平*δ。

α、β、γ、δ分別表示IT安全策略體系、安全組織體系水平、安全運作體系水平和安全技術(shù)保障措施建設水平的重要性賦值所占的權重，其中α≥0，β≥0，γ≥0，δ≥0且α+β+γ+δ=1。

(2)體系水平成熟度計算方法

安全策略體系水平=α1*策略指標項1+α2*策略指標項2+α3*策略指標項3+α4*策略指標項4+… …。

其中，α1、α2、α3、α4等分別為各個(gè)指標項的加權因子，　=1，安全策略指標項分值和權重因子數值由細則另行定義。