l             I      2  3  2  4  6  3  6  9  4  8  12    5  10   15
资
2      2  4  6  4  8  12   6  12   18   8  16   24   lO   20   30
产
3      3  6  9  6  12   18   9  18  27   12   24   36   15   30   45
价
4      4  8  12    8  16  24   12  24   36   16   32   48   20   40   60
值
6      5  lO   15   10  20  30   15  30  46  20  40  60   25   翮   佰

图2风险值计算方法

信息安全与通信保密·2。。9．9   l          1 41
学术研究
：≯≯“Academl c Re5ea rc h

 

 

 

从以上评估结果可以看出，贵州移动这些业务系统在
网络、主机和安全管理方面存在不同程度的风险。综合以 上风险睛况，可以得出贵州移动网管系统这些业务系统的整 体安全现状。根据风险评估和安全需求分析的结果，我们提 出了对这些系统进行安全风险控制的建议，并针对贵州移动 的安全需求和中国移动集团公司的安全要求，进行了解决方
案的总体设计，共计10项主要建设内容，如图4所示。
对于阶段性信息安全建设规划，由于涉及到较多的建设内
容，因而是一项长期的工作，贵州移动也已根据自身的实 际情况着手准备建设内容并分步实施。
1．2风险评估内容的模块化和过程的自动化 贵州移动业务系统具有网络规模大、用户数多、系统
全而复杂等特点，评估起来工作量非常大，为了更高效地
进行风险评估，贵州移动在实践过程中不只是对现有的标

表1风险级别 与风险值对应表
 
极鬲 ≥55 极高 O 极商 0   
高 40一54 高 0 高 129   
中 30一39 中 5 中 135   
低 ll一29 低 7 低 14l   
极低 O—lO 极低 8 极低 778 

风险级别风险值

，晦“、，

表2网络风险 评估结果
风险级别    数目

 

 

安全管理调查得分

表3主机风险 评估结果
风险级别    数目
准评估方法和流程的套用和拷贝，而是以他们作为参考，根 据贵州移动业务系统的特点，进行“基因”重组，定制个 性化的评估方法，使得评估服务具有可裁剪性和灵活性。贵 州移动通过一系列的工作，统一风险评估过程的输入，输 出文档，将整个评估内容模块化，同时为了满足中国移动 业务系统定期评估的要求，便于开展自评估，贵州移动对 评估工具进行了大量的定制开发，确保一般的维护人员可 以自评估。比如基础设施评估工具的定制开发：在进行服 务器、网络设备的评估过程中，采集基本信息是很重要的 一个环节，针对不同的系统、设备，针对一般维护人员没 有管理员权限等信息系统维护的特点，制定了适合的自动 化信息采集工具。在信息采集的基础上，制定出信息分析 的详细模板，可以更方便自动化地进行评估。
1．3风险评估队伍的建设
图3安全管理风险评估结果

图4贵州移动信息安全技术规划 根据系统的安全现状，并结合评估报告提出的解决方
人是信息安全的核心要素，通过项目的实践以及专项 的安全培训，增强信息系统使用人员，IT维护人员和安全 管理人员的安全意识、技能和知识。通过对不同层面人员 有针对性的培训，可以逐渐提高员工的安全意识和安全技 能，使之能够符合相关信息安全工作岗位的能力要求，降 低由于人为原因引发的安全风险。从而全面提高整体的信 息安全水平。随着人员水平的提升，将风险评估的部分工 作日常化，通过日常的安全运维工作，来切实提高业务系 统的安全性。

2   结语

随着信息技术的发展，不断有新的安全漏洞被发现， 也会不断出现新的安全威胁，因而信息安全也不可能一劳 永逸，风险评估与风险控制也将是一个长期持续的工作。通 过持续的风险管理，贵州移动必能长期保障信息系统的安 全稳定运行，为广大用户提供优质、高效的服务。
案建议，贵州移动对这些系统采取了必要的安全加固措施，         参考文献 从技术和管理方面进行了风险控制，从而极大地改善了系           【l】中华人民共和国国家标准GB／T  20984—2007，信息安全 统的安全状况，有效地保障了系统的安全稳定运行。同时，            技术一信息安全风险评估规范【s】．‘芑曼

 

(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）