湖南电信公司互联网业务信息安全管理模式研究

摘要

在网络信息安全形势日益严峻的今天，随着电信运营商互联网业务领域（即时通信、媒体娱乐类等）与新型业务领域（云计算、大数据、移动支付等）以及行业应用业务领域（智慧城市、O2O等）融合化、社交化、开放化趋势的形成，互联网新业务新技术不断出现的同时，电信运营商原有的信息安全管理手段显得滞后，在网络数据资产保护、内容信息合规、用户信息保护等方面面临较大的安全风险。
　　本文依据国内外研究成果ISO/IEC27005等信息安全管理系列理论和标准，以信息安全风险管理理论为指导，结合国内外企业信息安全管理的实践经验，对湖南电信公司互联网业务信息安全管理模式进行研究，对涉及业务的网络数据资产、应用平台的信息内容、用户个人信息的脆弱性和可能的威胁进行分析，并在此基础上对互联网业务的上线、运营、下线三个阶段进行详细的安全规划和风险控制。同时，对管理组织架构设计、运营管理的方法以及相关技术系统的部署提出了建议和实施方案，最后就管理模式的可操作性、有效性和实现企业信息安全目标的可靠性进行了理性分析和综合评价。
　　随着互联网业务的飞速发展以及信息安全形势的变化，湖南电信公司现有的信息安全管理模式在网络层的安全防护变得滞后，在应用层和用户层的安全防护缺失，难以满足新形势下互联网业务发展的需要和信息安全管理的需求。本文提出的基于业务全周期的风险管理模式从业务的网络层，应用层，用户层三个层面入手，通过风险评估、风险控制和风险处理三个环节实现对互联网业务全方位的动态管理以解决企业互联网业务运营和发展在信息安全方面的需要，对其他电信运营商或互联网企业的信息安全建设具有较好的示范性和参考价值。

目录

声明

摘要

第一章 绪论

1．1 研究背景与意义

1．2 研究思路及内容

1．3 文献综述

1．3．1 国外信息安全管理模式研究综述

1．3．2 国内信息安全管理模式研究综述

第二章 信息安全相关理论

2．1 信息安全的内涵

2．1．1 运行安全

2．1．2 数据安全

2．1．3 内容安全

2．2 信息安全管理理论

2．2．1 ISMS信息安全管理体系标准

2．2．2 BS7799 PDCA信息安全管理模式

2．2．3 BS ISO／IEC 27005：2008信息安全风险管理理论

2．3 信息安全的特点

2．3．1 涉及复杂的人与网络的关系

2．3．2 防范对象难以控制

2．3．3 虚拟化的网络身份

2．3．4 网络的“即时效应”和互动性

2．4 信息安全的要素

第三章 湖南电信公司互联网业务信息安全需求

3．1 湖南电信公司情况介绍

3．1．2 互联网业务的发展已经成为电信运营商的生存问题

3．1．3 互联网业务信息安全对电信运营商的意义

3．2 外部网络环境对信息安全的需求

3．3 社会与经济因素对信息安全的需求

第四章 互联网业务信息安全风险分析与存在的问题

4．1 互联网业务现状调研

4．1．1 互联网业务概况

4．1．2 互联网业务信息安全资产的分类

4．2 互联网业务威胁识别及脆弱性识别

4．3 业务信息安全风险分析

4．3．1 业务网络层信息安全风险分析

4．3．2 业务应用层信息安全风险分析

4．3．3 业务用户信息安全风险分析

4．3．4 互联网业务信息安全风险综合分析

4．4 湖南电信公司现行信息安全管理模式存在的问题

4．4．1 湖南电信公司现行信息安全管理模式介绍

4．4．2 信息安全管理机构存在的问题

4．4．3 信息安全人员管理存在的问题

4．4．4 业务网络层信息安全管理存在的问题

4．4．5 业务应用层信息安全管理存在的问题

4．4．6 业务用户信息安全管理存在的问题

4．4．7 现行管理模式在互联网业务信息安全保障方面的不足

第五章 互联网业务信息安全管理模式优化方案

5．1 互联网业务信息安全管理模式优化的思路与目标

5．1．1 总体思路

5．1．2 总体目标

5．2 互联网业务信息安全风险管理模式

5．2．1 信息安全风险管理模型

5．2．2 业务上线前的信息安全风险分析和评估

5．2．3 业务运营中的风险控制

5．2．4 业务下线后风险的清理

第六章 信息安全风险管理模式实施中的保障措施

6．1 加强领导统筹，强化顶层设计

6．1．1 在信息安全策略管理方面

6．1．2 在信息安全组织管理方面

6．1．3 在信息安全技术管理方面

6．2 掌握业务发展趋势，强化业务关键环节管控

6．3 加强信息安全队伍建设，提高信息安全管理水平

6．4 完善信息安全考核体系和激励机制

结论

参考文献

致谢