信息安全管理企業轉型研究

前言：尋找寫作靈感？中文期刊網用心挑選的信息安全管理企業轉型研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1加強安全管理，助力企業轉型

在國際信息安全環境日趨惡劣，國家全面倡導信息安全的大環境下，為了確保信息安全工作的可持續性開展及業務信息系統的穩定運行，依據集團總部《關于建立集團公司網絡與信息安全組織保障體系的通知》、鄂通信局發[2013]127號《關于進一步落實基礎電信企業網絡與信息安全責任考核及有關工作的意見》等相關文件精神，同時參考《GA/T708-2007信息安全技術-信息系統安全等級保護體系框架》、《GB/T22239-2008信息安全技術-信息系統安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統安全管理要求》、《GB/T0984-2007信息安全技術-信息安全風險評估規范》等國家標準，制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規范》規范等，率先在企業內建立并實施該體系，全面倡導企業向信息安全生產經營轉型，同時積極引導合作伙伴樹立信息安全意識，規范自身的生產及合作行為，明確安全風險責任、細化管理要求，立足自身，兼顧第三方，共同打造信息安全的綠色長城，確保企業長足健康發展。通過該安全管理體系的實施，從中全面深入地挖掘現有安全體系的不足之處，并針對現有業務系統中的各類安全隱患制定了有效的整改方案并予以實施、預警，確保了移動互聯網業務的可持續性發展及業務信息系統的穩定運行。首先，組織完成企業的自有業務信息系統和合作業務信息系統的安全等級劃分工作，將平臺安全管理工作落實到具體的責任人，并簽署責任狀，從而樹立全員安全責任意識，實現人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術對業務信息系統進行安全掃描、安全審計，并應用HIVE、Waka、PIG、Mahout等工具對海量日志、數據進行分析和審核，發現相關漏洞與脆弱點，并針對自有及合作業務信息系統編寫了整改建議和系統層面的加固方案。通過持續對自有及合作信息系統的檢查，共發現自有業務信息系統存在各類安全漏洞攻擊39處，合作業務信息系統存在各類安全漏洞14處，目前這些漏洞已經全部整改與加固完畢，消除了安全隱患。其次，以信息安全管理為導向，組建了由電信營運商、合作伙伴、專業公司三方共同構成的一支業務信息系統安全管理團隊，通過從合作業務管理規范的建立到合作伙伴安全技能培訓，從信息安全制度宣貫到系統安全處罰辦法的落實執行，從系統安全的定期評估到系統漏洞的及時加固等一系列舉措，最終創建一套業務信息系統全新的安全管理模型，提高業務信息系統運行質量和服務能力，提升創新業務品牌形象。從安全管理模型啟用至今，未發生一起信息安全事故，這樣強化了合作伙伴的信息安全概念，督促合作伙伴在發展業務的同時也重點關注信息安全問題，極大地降低了由于合作系統的信息安全漏洞導致的中病毒或木馬、假冒網站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發生概率，此類原因造成創新業務投訴比率和往年相比降低了15%，改變了用戶對創新業務的固有印象，建立了良好的創新業務服務品牌形象。此模型具備良好的可復制性，可指導通信領域運營企業開展信息安全工作。在全國率先打造這套移動互聯網業務安全管理體系，包含一系列業務系統信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規范等相關業務系統管理制度及規范，業務系統安全管理體系的先進性和時效性在通信行業內名列前茅，同時通過近兩年的安全理論研究和安全評估加固實踐，針對當前企業業務平臺系統在信息安全監管中面臨的一些問題，對當前主流關聯分析技術進行研究的基礎上，提出了一種新的安全事件關聯分析技術。該技術涉及到多源數據預處理、報警聚合、關聯分析、大數據分析和安全狀況態勢評估等相關技術。此技術運用到電信行業的信息安全監管上，就能夠對監控設備收集的日志及安全設備產生的告警進行關聯分析和挖掘，從包含大量冗余信息的數據中提取出盡可能多的隱藏的安全信息，通過對此類信息的統計、濃縮、總結、關聯和分類，抽象出利于進行判斷和比較的特征庫，并智能地學習和維護其特征庫，從而在提高安全事件報警準確率的情況下保證極高的識別效率。同時該安全管理體系成功應用到與百度公司合作開發的愛奇藝視頻業務系統、與騰訊科技公司聯合開發的微信平臺、與奇虎科技公司共同開發的安全衛士手機應用系統，得到部分在美國納斯達克上市的中國互聯網精英公司的高度認可和贊許，并表示今后與電信運營商共同開發產品都依照此安全管理規范和體系，確保產品的各項安全性能指標。

2創新點

為順應移動互聯網時代，運營商從基礎通信運營向流量運營轉型的新趨勢，湖北移動確定了“業務轉型，安全先行”的發展思路，堅持“以安全保發展、以發展促安全”。在已有的網絡與信息安全管理辦法的基礎上，積極開展適應移動互聯網時代安全管理體系建設，不斷推進科學的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規劃，突出體系建設，促進職責高效履行。制定下發安全標準化管理與評價體系建設計劃，內容涵蓋安全工作方針目標、安全目標、各方職責、安全管理體系和模式、安全設施和機房環境保護設施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應急準備和響應等方面。嚴格按計劃有序開展體系建設工作；嚴格按體系文件要求開展業務或系統試運行工作；加強保證與監督體系的建設。（2）注重文化建設，突出信息安全特色，促進習慣養成。以人為本，加強企業安全文化建設，促使安全文化落地，提高員工安全與風險防范意識。（3）注重教育培訓，突出行業特色，達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓方式，組織各單位安全管理人員開展安全教育和培訓工作：一是安排專家和行業資深人士進行專題講座；二是在專題培訓的基礎上，做好網絡與信息安全專項工作如何開展的培訓。（4）注重設備管理，突出針對特色，實現安全管理精細化。首先，網絡設備較多，加強網絡安全管理提高設備安全可靠性是首要任務，為此各維護單位對每臺設備均建立了安全技術臺帳，臺帳包括運行記錄、檢查保養記錄和定期檢驗記錄。其次，組織精干力量先后兩次對所有設備、流程、機房進行全面的安全評估工作。第三，使隱患排查整改形成機制。（5）注重安全投入，突出專用特色，合理使用安全生產費用。認真落實安全管理費用投入長效機制，加大安全費用的管理，做到?？顚Ｓ?，確保安全生產費用規范化、合理化和足額投入。并加強安全生產保證金的管理，建立安全生產保證金并實行年底考核的機制，有效促進了安全管理工作。（6）注重應急預案，突出超前特色，安全管理贏在主動。在安全管理中，把預防工作落到實處，建立健全了應急處置機構，將應急處置工作進一步制度化，規范化，形成了完整的安全事故預防體系。同時，開展形式多樣、符合實際的應急演練。

3結語

全新的移動互聯網業務安全管理體系具備創新性、可復制性，對此領域企業具備示范和指導意義。目前已經被省公司相關專業部門采納，計劃結合信安部工作在全國范圍內進行推廣，同時在移動互聯網行業領域，成為行業巨頭制定與電信運營商合作開發產品的管理規范。此安全管理體系在企業應用范圍涵蓋的業務生產中，帶來了巨大經濟效益和社會效益，通過持續對自有及合作信息系統的檢查，共發現自有業務信息系統存在各類安全漏洞攻擊67處，合作業務信息系統存在各類安全漏洞30處，成功處理異常安全入侵26次，避免了平臺業務收入的損失。

作者：彭敏 廖振松 單位：湖北移動政企分公司湖北移動網管中心