電信網(wǎng)安全保障能力評價(jià)模型與方法淺析

其余三個(gè)能力指標安全組織體系水平、安全運作體系水平和安全技術(shù)保障措施建設水平成熟度計算方案以此類(lèi)推。

(3)體系成效考量評價(jià)矩陣

針對IT安全保障體系建設成效，建立IT安全保障體系成熟度衡量標準和指標，具體如表1所示。

3　安全能力評估實(shí)踐

在以上安全能力成熟度模型基礎上，通過(guò)建立一套可操作的能力達標評價(jià)標準-安全基線(xiàn)(Security BaseLine)，考量IT安全保障體系建設成效，實(shí)現保障體系水平真正可量化評價(jià)。中國電信IT安全基線(xiàn)考評方法描述了CTG-MBOSS系統最基本的安全要求，通過(guò)安全基線(xiàn)考核指標，實(shí)現對企業(yè)各IT系統安全建設成效和管理水平的動(dòng)態(tài)管理, 促進(jìn)IT安全管理能力提升。

中國電信IT安全基線(xiàn)達標標準，從管理和技術(shù)兩個(gè)維度對如何考察安全建設能力給出了詳細的達標評比辦法，將安全能力分為C級、B級、A級。分為組織架構管理、人員安全管理、運維安全管理、應用安全、主機安全、網(wǎng)絡(luò )安全、審計安全管理七大項。一個(gè)完整的安全基線(xiàn)保障體系應該是將安全管理和安全技術(shù)手段相結合，通過(guò)各種安全管理制度、安全組織機構和安全運維制度等方面的建設，并在網(wǎng)絡(luò )層、主機層、應用層采取各種安全技術(shù)手段建立多層保護的深度防御保障體系。從安全基線(xiàn)可操作性的角度出發(fā)，在安全管理層面應將組織架構管理要求、人員安全管理要求和運維安全管理要求等三部分作為IT系統安全的基線(xiàn)考評要求，在安全技術(shù)層面應將應用安全要求、主機安全要求、網(wǎng)絡(luò )安全要求和安全審計要求等4部分作為IT系統安全的基線(xiàn)考評要求，通過(guò)建立健全IT系統管理與技術(shù)防護體系，逐步提升IT系統整體安全防護能力。IT安全基線(xiàn)評分標準如圖2所示。

圖2　IT 安全基線(xiàn)指標分解示例圖

在實(shí)際操作中，IT安全基線(xiàn)達標測評采取打分的方式進(jìn)行量化操作，對每一個(gè)檢測項打分，屬于判斷結果為“是”或“否”的檢測項，結果為“是”則評1分，為“否”則評0分。根據各項總分數對IT系統的安全評測結果分別進(jìn)行等級化評定，IT安全基線(xiàn)能力基線(xiàn)視圖和判定方法如圖3所示。

圖3　IT安全基線(xiàn)達標考核示例圖

圖3中的連線(xiàn)為IT安全達標能力的基本水平線(xiàn)，也真正體現了能力“基線(xiàn)”的真正意義。

4　結束語(yǔ)

綜上所述，本文在IT安全保障體系模型框架基礎上，闡述了一個(gè)可持續改進(jìn)的IT安全保障體系能力成熟度模型，從IT安全規劃建設、運作、技術(shù)保障、管理措施等幾個(gè)方面因素入手，找出一套合理的評價(jià)方法對安全保障體系建設成效進(jìn)行公正有效的考量和評價(jià)，給出了一個(gè)具有普遍性的具體可操作的安全基線(xiàn)達標實(shí)踐方法，可指導企業(yè)開(kāi)展IT安全建設能力評價(jià)工作。