湖南电信公司内网信息安全体系建设的研究

摘要

进入信息时代，企业的各种经营活动越来越强烈地依赖信息资源和信息网络，而网络在为企业带来利益、价值和方便的同时，也带来了巨大的风险和隐患，如何通过信息安全建设来消除和降低风险，实现信息安全保障目标已经成为全球企业共同关注的焦点问题。电信内网又称电信IT网络，是承载电信企业核心业务和机密信息的内部网络，其安全性关系到企业的生存发展，在内网建立起完善的信息安全保障体系也是湖南电信急需解决的重要课题。 论文从分析湖南电信外部环境及企业面临的萨班斯法案、战略转型、运营支撑系统集中化的信息安全建设的需求背景入手，按照风险评估方法，对湖南电信内网信息安全现状、面临的风险和安全建设中存在的主要问题进行了深入的剖析和研究，在风险评估的基础上，依据国内外公认的信息安全管理标准和典型信息安全模型，以信息安全管理理论为指导，借鉴国内外企业信息安全建设的最佳实践经验，对湖南电信内网的信息安全体系进行了总体架构，对四个要素：策略体系、组织体系、管理运作体系、技术体系的建设内容进行了详细规划。同时，制定了体系的建设流程，对建设中的关键问题：管理运作的方法、技术体系的建设给出了建议和实施方案，最后就体系的适宜性、充分性、有效性、可操作性和实现企业信息安全目标的可靠性进行了理性分析和综合评价。 研究结果表明：湖南电信内网的信息安全体系具有层次化的策略体系、完善的组织架构、基于风险管理的运作体系、纵深防御的技术体系、在管理模式上符合PDCA的信息安全管理模式，在实施流程上体现了持续性、动态性、不断改进的建设思想，尤其强调了在信息安全管理运作上融入先进的、科学的现代管理方法，研究提出用规范化命名方法解决管理制度混乱分散、无法形成制度体系的问题；用集中化管理和分权管理的结合解决数据集中情况下统一安全管理的复杂性问题；用柔性管理解决安全意识贯彻难的问题；用统一的安全运营平台解决大型企业安全事件管理难的问题。文中设计的湖南电信内网信息安全体系和提出的建设方法是充分、有效、科学的，既能满足企业内网信息安全保障目标和未来发展需求，又体现了行业特点，对其他大型企业的信息安全建设具有很强的示范性和参考价值。

目录

文摘

英文文摘

论文说明：图表目录

声明

第1章绪论

1.1研究背景

1.2研究意义

1.3文献综述

1.3.1信息及信息安全的定义

1.3.2信息安全的发展历程

1.3.3信息安全的目标

1.3.4信息安全的研究动态

1.4研究内容及论文框架

1.4.1研究方法

1.4.2研究思路与技术路线

1.4.3论文框架和章节安排

第2章湖南电信内网信息安全建设环境分析

2.1宏观环境分析

2.1.1外部网络环境因素

2.1.2政治法律因素

2.1.3经济因素

2.1.4科技因素

2.2微观环境分析

2.2.1企业内控体系

2.2.2企业战略转型

2.2.3集中化MBOSS系统建设

2.3内部资源和能力分析

2.3.1信息安全建设内部资源分析

2.3.2信息安全保障能力分析

2.4电信内网信息安全保障的内涵

2.4.1电信内部网络安全的内涵

2.4.2电信内网信息安全的内涵

第3章信息安全标准及最佳实践研究

3.1信息安全标准研究

3.1.1 BS 7799(ISO/IEC 17799)简介

3.1.2 BS7799的PDCA信息安全管理模式

3.1.3 ISO 13335(IT安全管理指南)简介

3.1.4 ISO 133335的风险管理理论

3.1.5 GB 17859(安全保护等级划分准则)

3.1.6其它较为重要的信息安全标准

3.2典型的信息安全体系模型

3.2.1 OSI安全体系结构

3.2.2 P2DR模型

3.2.3 HTP模型

3.2.4典型模型的评析

3.3企业信息安全体系化建设的最佳实践总结

第4章湖南省内网信息安全现状及风险评估

4.1电信企业信息安全建设的特点及问题

4.1.1电信内网面临的安全风险

4.1.2电信内网信息安全的特点

4.1.3电信企业内网安全建设存在的普遍问题

4.2湖南电信内网信息安全现状

4.2.1电信内网的定义及网络域的划分

4.2.2信息安全管理组织架构现状

4.2.3信息安全管理制度现状

4.2.4人员安全管理现状

4.2.5 IT系统建设管理现状

4.2.6 IT系统运维管理现状

4.2.7现有典型信息安全措施现状

4.3湖南电信内网信息安全风险评估

4.3.1资产分类原则

4.3.2内网面临的威胁识别

4.3.3内网的脆弱性识别

4.4湖南电信内网信息资产安全风险综合分析

4.4.1信息资产安全的层次划分

4.4.2网络层风险综合分析

4.4.3重要业务系统综合风险分析

4.4.4终端层综合风险分析

4.5湖南电信内网信息安全管理综合评估

4.5.1安全管理机构评估

4.5.2安全管理制度体系评估

4.5.3人员安全管理评估

4.5.4系统建设管理评估

4.5.5系统运维管理评估

4.6信息安全现状与PDCA管理模式的比较

4.7湖南电信内网信息安全现状等级评定

4.7.1国家信息系统安全等级保护的五个级别

4.7.2信息安全管理保障等级评定结果

4.7.3信息安全技术保障等级评定结果

4.8信息安全体系化建设需求

第5章湖南电信内网信息安全体系设计

5.1信息安全体系架构

5.1.1信息安全体系的总体目标

5.1.2信息安全体系模型

5.1.3信息安全体系结构

5.2信息安全策略体系

5.2.1策略体系架构

5.2.2总策略层

5.2.3安全框架策略层

5.2.4安全管理制度、规范层

5.3信息安全组织体系

5.3.1安全组织架构

5.3.2决策层组织架构及职责

5.3.3管理层行政、技术管理组织架构及职责

5.3.4执行层支撑组织架构及职责

5.4信息安全管理运作体系

5.4.1运作框架的构成

5.4.2信息安全管理的内涵

5.4.3信息安全管理运作流程

5.4.4等级化保护管理

5.4.5日常安全风险评估

5.5信息安全技术体系

5.5.1技术体系的目标和维度

5.5.2信息安全分层技术保障

5.5.3安全运营中心(SOC)平台

5.6体系对最佳实践模式的借鉴与自身特点

第6章湖南电信内网信息安全体系的建设与评价

6.1体系建设的总体原则

6.2体系的建设流程

6.3体系实施中应注意的关键问题

6.3.1安全管理运作体系的现代管理方法

6.3.2集中化管理与分权管理的结合

6.3.3管理的日常化与流程化的结合

6.3.4规范化、制度化管理与柔性管理的结合

6.3.5考核管理与激励机制的结合

6.3.6安全技术体系实施的建议

6.4对体系的总体评价

结论

参考文献

致谢

附录