电信IT安全保障能力评价模型与基线达标体系研究

doi:10.3969/j.issn.1000-0801.2012.04.012

电信科学 ›› 2012, Vol. 28 ›› Issue (4): 67-71.doi: 10.3969/j.issn.1000-0801.2012.04.012

电信IT安全保障能力评价模型与基线达标体系研究

华汪明,张新跃,黄礼莲,高儒振

中国电信集团公司北京 100035

出版日期:2012-04-15 发布日期:2017-06-14
基金资助:
国家发展和改革委员会重大信息安全专项基金资助项目

Research of Telecom IT Security Capabilities and Baseline Compliance Assessment Model System

Wangming Hua,Xinyue Zhang,Lilian Huang,Ruzhen Gao

China Telecom Co., Ltd., Beijing 100035, China

Online:2012-04-15 Published:2017-06-14

摘要/Abstract

摘要：

首先分析了电信运营商内部业务运营支撑系统亟需解决的安全问题，围绕建立健全IT安全保障体系建设目标，设计了基于能力成熟度的安全能力评价模型，并给出了模型实现的安全基线达标体系标准实践的具体标准和方案。

关键词: CTG-MBOSS, 保障体系, 成熟度模型, 安全基线

Abstract:

This paper analyzes the telecom operators within the business operation support system needed to solve current security issues surrounding the establishment of a sound IT security system objectives, design based on the capability maturity model for evaluation of security capabilities, and gives the model to achieve security baseline system standard practice standard specific standards and programs.

Key words: CTG-MBOSS, security system, maturity model, security baseline

华汪明,张新跃,黄礼莲,高儒振. 电信IT安全保障能力评价模型与基线达标体系研究[J]. 电信科学, 2012, 28(4): 67-71.

Wangming Hua,Xinyue Zhang,Lilian Huang,Ruzhen Gao. Research of Telecom IT Security Capabilities and Baseline Compliance Assessment Model System[J]. Telecommunications Science, 2012, 28(4): 67-71.

图/表 4

图1

表1

IT安全保障体系成效考量表"

级别	级别描述
初始级	单位IT安全保障工作未开展，安全管理能力不足，安全防护能力低下
可管级（充分定义级）	处于IT安全保障体系的初期建设阶段，已经开展IT安全保障体系建设工作，具体特征如下：
	· 安全体系标识了目标和方法，架构定义清楚，有章可循；
	· 安全技术体系架构是安全战略规划和预算过程的综合组成部分，充分考虑了成本收益；
	· 安全体系技术部分架构合理，可配置、结构化，重点完成了风险识别能力建设；
	· 安全体系管理部分过程的大部分内容得到了执行；
	· 差距分析、移植计划、技术参考模型、标准轮廓得以完成；
	· 定期提供了培训和意识教育
可控级（量化控制级）	已经建立了较完备的安全保障体系，各类安全管理能力和安全防护措施基本合理有效。在这个级别中，安全技术体系架构过程在组织机构中是可管理和可测量。
	· 安全体系架构已用于指导开发和采购；
	· 安全体系的管理部分已经固化到IT管理中，设计基于某种可重复的、半形式化的方法；
	· 安全技术体系架构定期进行升级以更新安全体系架构的内容，并且基于所得到的反馈和经验；
	· 持续地调整战略规划和预算过程；
	· 同安全技术体系架构过程相关的质量度量是可以观察和测量的，这些度量包括生产安全技术架构新版本的周期时间、技术环境的稳定性以及实施新安全系统、升级应用或系统安全的时间；
	· 组织机构人员充分理解安全体系架构及其使用
可信级（持续改进）	已经建立了较完备的安全保障体系，各类安全管理能力和安全防护措施全面完整
	· 安全技术体系架构的设计基于某种形式化的方法；
	· 在安全体系架构中，安全技术体系架构的度量可以充分度量，可以用于驱动持续的过程改进

表1

图2

图3

参考文献 11

1	王娜，方滨兴，罗建中等． “5432战略”国家信息安全保障体系框架研究．通信学报， 2004（7）
2	张新跃，华汪明，黄礼莲等．电信IT安全保障体系研究与设计．现代电信科技， 2011（9）
3	白云，张凤鸣，黄浩等．信息系统安全体系结构发展研究．空军工程大学学报（自然科学版）， 2010（5）
4	中国电信〔2007〕10号文件．中国电信CTG-MBOSS安全规范V1.0, 2007
5	GB-T20274．信息安全技术-信息系统安全保障评估框架准则， 2006
6	郭建东，秦志光，刘乃琦．组织安全保障体系与智能 ISMS 模型．电子科技大学学报， 2007（5）
7	中国电信〔2010〕92号文件．中国电信 CTG-MBOSS 安全基线规范 V1.0, 2010
8	张新跃，沈树群．策略驱动的网络安全管理模型．计算机应用研究， 2005（1）
9	GB 17859-1999．计算机信息系统安全保护等级划分准则， 1999
10	YD/T 1728-2008．电信网和互联网安全防护管理指南， 2008
11	YD/T 1736-2008．工业和信息化部支撑网安全防护要求， 2008

[1]	李姗姗, 许建宏, 李涛, 赵永建, 刘志飞. 运营商数字孪生网络能力成熟度模型研究[J]. 电信科学, 2023, 39(6): 149-158.
[2]	周静,刘国军,胡紫巍,卢利峰,张威. 智能电网互操作成熟度模型[J]. 电信科学, 2015, 31(Z1): 239-242.
[3]	何明,沈军. 云计算安全测评体系研究[J]. 电信科学, 2014, 30(Z2): 99-103.
[4]	薛尽飞,王丹. 基于BSC的IT能力成熟度评估模型构建与应用[J]. 电信科学, 2009, 25(7): 19-24.

电信IT安全保障能力评价模型与基线达标体系研究

Research of Telecom IT Security Capabilities and Baseline Compliance Assessment Model System

在线阅读

PDF下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 11

相关文章 4

Metrics

推荐阅读 0