在电信运营市场竞争日趋激烈,通信技术不断更新发展,客户及市场日渐成熟的新形式下,移动通信行业充分认识到需要加强企业信息化安全,狠抓企业内部的信息化安全建设,使它成为推动企业低成本、高效运营的重要基础,坚持集中化、标准化、集成化的原则,实现“以业务为导向、以客户为中心、以安全为保障”的服务模式。
在信息安全管理建设过程中,通信行业也面临着一些普遍的问题如:安全工作开展普遍着重于运维阶段,运维阶段的安全管理、安全运作、安全技术上都能得到较完善的支撑;但系统上线前缺乏有效的安全规划和管理,不仅使系统存在大量的缺陷与漏洞,还加大了后期运维工作的压力。
针对这一问题,通过加强系统开发生命周期的管理,在系统生命周期各个阶段都针对性的制定和开展安全管理和安全技术工作,建立完善系统运维前的安全保障过程,使安全工作前移,从而有效的缓解了运维的压力。
通信行业信息安全管理是一个长期的建设和改进过程,在这些过程中应遵循:
· 全面性:覆盖通信行业内信息安全管理的各个方面。
· 规范性::符合标准化工作的原则和规范。
· 可扩展性:充分考虑未来信息安全管理的新需求。
梵禅信息从事信息安全专业咨询,重点关注通信行业,先后为包括广东电信、北京电信、青海电信、天津电信、广东移动、上海移动、四川移动、深圳移动、汕头移动、北京联通、联通集团等机构提供过专业咨询服务,对通信行业实施IT治理、信息安全管理和IT服务管理有着深刻的理解,并为此专门提出一套解决方案。
我们认为,通信行业的信息安全管理的主要可以从基础安全、安全运维、安全制度三个维度来进行解读充分满足信息安全管理的全面性、规范性和可扩展性。
(1)基础安全
基础安全定义了信息安全框架中的五个核心的基础技术架构和相关服务:物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全是安全运维和管理的对象,其功能由各自的子系统提供保证。(见图1)