近年來,在國家信息化戰略的指引下,越來越多的企業核心數據承載在網絡環境中,IT網絡環境下的信息安全問題成為信息管理者關注的問重點,如何構建信息安全保障體系,同時如何建立一套科學有效的評價標準,考量系統的IT保障體系建設能力水平,一直是學術界和企業共同關注的焦點。
作為國內最大的固網電信運營商來說,隨著中國電信全業務運營戰略的推進,IT系統(即CTG-MBOSS系統,由管理支撐系統MSS,業務支撐系統BSS,運營支撐系統OSS和企業數據架構EDA組成) 已經成為電信生產環節中不可或缺的一部分,IT系統的安全問題也日趨重要。
中國電信IT安全保障體系以CTG-MBOSS信息化架構為基礎,是支撐企業IT安全建設和管理的基礎架構,整個體系以IT安全戰略為指導,將組織、策略、運行、技術等安全各方面要素結合起來,通過安全管理制度的逐一落實,安全防護措施的統一部署,循序漸進的構建一個科學全面的信息安全保障體系。體系建設和實施路線遵循“管技結合、預防為主、注重長效、循序漸進”十六字方針,按照“職責明晰、預防為主、有效識別;主動防御、及時響應、集中管控;體系完善、流程通暢、全員參與” 的路線向“可管、可控、可信”三個階段能力目標演進,最終實現可信賴的IT安全運營環境愿景,整體安全保障體系框架如圖1所示。
圖 1 中國電信IT安全保障體系框架圖
其中,安全策略體系總述了中國電信IT安全的總體方針政策、演進策略、標準和指南、以及各類實施細則組成。
安全組織體系定義了保障IT安全策略有效執行需要的角色和職責,為安全策略能夠貫徹實施的組織保障的保證,從職能上分為決策、管理和執行類別。
安全運行體系從IT系統生命周期和安全風險管控流程出發,從開發、建設、維護、響應和核查五個階段提出安全風險管控的要點,明確了不同階段安全防護的具體要求,涵蓋了風險管理、系統開發建設、運行維護、事件響應、安全監控和安全檢查等內容。
技術體系是實現IT安全保障體系的重要手段,從物理安全、網絡安全、系統安全、應用安全、數據安全和終端安全六個方面實現安全檢測與識別、安全防護、安全審計與恢復三大保障能力。
2 安全能力成熟度模型
為了保證電信網IT安全保障體系建設有序推進并完成建設目標,需要一套合理的評價模型和方法對安全保障體系建設成效進行公正有效的考量和評價。而且該模型和方法要能夠適應復雜的實際建設情況,能夠包含量化評估的方法、模型和流程,是一個全面科學的、可量化的考評體系。
當前國內外關于信息安全評估的標準和考評方法形成了幾種流派,其中國標GB-T2027對安全建設能力成熟度評價做了基本的定義,描述了5個級別的安全保障能力定義,分別為:未實施級;基本執行級;計劃和跟蹤級;充分定義級;量化控制級;持續改進級等五個級別,上述5個能力級別對能力特征進行了充分的定義,但沒有給出具體的操作細則。
在結合了國家標準和電信實際現狀后,結合其他行業最佳實踐和中國電信實際情況,從考核指標量化入手,圍繞五級能力成熟度模型,形成一個可持續改進的IT安全保障體系能力成熟度模型和評價方法,模型從IT安全規劃建設、運作、技術保障、管理措施等幾個方面因素入手,建立一種普遍適應的評價準則,對安全能力建設做出評價,指導企業開展安全建設工作。
2.1 考量指標
評估IT安全保障體系能力成熟度通過上述安全保障體系策略、組織、運行和技術四個層次來進行,每一個層次包含不同的內容,對應著不同的標準和考核指標。在每一個層次中,有關鍵指標,圍繞關鍵指標,有相應的具體流程和活動,能力評估就是根據這些關鍵指標和相應流程合活動的情況合狀態來進行的。在IT安全保障體系能力成熟度模型中,會有對每個層次的不同級別的關鍵指標、標準流程的詳細定義和描述,同時會有能力不足的措施說明等。
IT安全保障體系能力水平,包括四大體系的能力成熟度因素:
(1)策略體系:安全策略相關的企業安全戰略、安全滾動規劃、安全建設資金投入、安全資源保障的健全程度。
(2)組織體系:安全組織和人員配置程度,安全組織的運作和執行效能,全員安全素質水平,對人員的安全管理水平。
(3)運作體系:圍繞IT系統生命周期,從設計、建設和運維幾個層面執行安全管控的規范化和標準化程度,安全管理的成熟度和水平。
(4)技術體系:針對安全技術保障措施和防護手段的建設完善程度。
評估能力成熟度主要依據目前的能力狀態是否達到規定的要求而進行劃分,能力不達標則能力成熟度低,反之則高。因此,評估模型對IT安全保障體系能力成熟度劃分等級進行分值評估,在每個層次的能力成熟度模型中有詳細的關鍵指標,還有詳細的標準流程和活動指標,再根據指標的等級和關鍵程度可以設置權重,最后再計算總分。最后,針對所有的關鍵指標或者所有的標準指標的累計分數整個IT安全保障體系能力成熟度進行總分評定,成熟度評估具體執行中將采取調查、調研、訪談、效果跟蹤等方法進行。
2.2 計算方法
(1)體系成效考量計算方法
IT安全保障體系的建設成效= 安全策略體系水平*α+安全組織體系水平*β+安全運作體系水平*γ+安全技術保障措施建設水平*δ。
α、β、γ、δ分別表示IT安全策略體系、安全組織體系水平、安全運作體系水平和安全技術保障措施建設水平的重要性賦值所占的權重,其中α≥0,β≥0,γ≥0,δ≥0且α+β+γ+δ=1。
(2)體系水平成熟度計算方法
安全策略體系水平=α1*策略指標項1+α2*策略指標項2+α3*策略指標項3+α4*策略指標項4+… …。
其中,α1、α2、α3、α4等分別為各個指標項的加權因子, =1,安全策略指標項分值和權重因子數值由細則另行定義。
其余三個能力指標安全組織體系水平、安全運作體系水平和安全技術保障措施建設水平成熟度計算方案以此類推。
(3)體系成效考量評價矩陣
針對IT安全保障體系建設成效,建立IT安全保障體系成熟度衡量標準和指標,具體如表1所示。
3 安全能力評估實踐
在以上安全能力成熟度模型基礎上,通過建立一套可操作的能力達標評價標準-安全基線(Security BaseLine),考量IT安全保障體系建設成效,實現保障體系水平真正可量化評價。中國電信IT安全基線考評方法描述了CTG-MBOSS系統最基本的安全要求,通過安全基線考核指標,實現對企業各IT系統安全建設成效和管理水平的動態管理, 促進IT安全管理能力提升。
中國電信IT安全基線達標標準,從管理和技術兩個維度對如何考察安全建設能力給出了詳細的達標評比辦法,將安全能力分為C級、B級、A級。分為組織架構管理、人員安全管理、運維安全管理、應用安全、主機安全、網絡安全、審計安全管理七大項。一個完整的安全基線保障體系應該是將安全管理和安全技術手段相結合,通過各種安全管理制度、安全組織機構和安全運維制度等方面的建設,并在網絡層、主機層、應用層采取各種安全技術手段建立多層保護的深度防御保障體系。從安全基線可操作性的角度出發,在安全管理層面應將組織架構管理要求、人員安全管理要求和運維安全管理要求等三部分作為IT系統安全的基線考評要求,在安全技術層面應將應用安全要求、主機安全要求、網絡安全要求和安全審計要求等4部分作為IT系統安全的基線考評要求,通過建立健全IT系統管理與技術防護體系,逐步提升IT系統整體安全防護能力。IT安全基線評分標準如圖2所示。
圖2 IT 安全基線指標分解示例圖
在實際操作中,IT安全基線達標測評采取打分的方式進行量化操作,對每一個檢測項打分,屬于判斷結果為“是”或“否”的檢測項,結果為“是”則評1分,為“否”則評0分。根據各項總分數對IT系統的安全評測結果分別進行等級化評定,IT安全基線能力基線視圖和判定方法如圖3所示。
圖3 IT安全基線達標考核示例圖
圖3中的連線為IT安全達標能力的基本水平線,也真正體現了能力“基線”的真正意義。
4 結束語
綜上所述,本文在IT安全保障體系模型框架基礎上,闡述了一個可持續改進的IT安全保障體系能力成熟度模型,從IT安全規劃建設、運作、技術保障、管理措施等幾個方面因素入手,找出一套合理的評價方法對安全保障體系建設成效進行公正有效的考量和評價,給出了一個具有普遍性的具體可操作的安全基線達標實踐方法,可指導企業開展IT安全建設能力評價工作。
