面向移動網絡生產與運營的安全管控系統(tǒng)研究及實現(xiàn).pdf

1、隨著計算機網絡技術飛速發(fā)展，通信網絡的基礎性、社會性和全局性地位日益凸顯，國家、社會和民眾對通信網的依賴度日益增強，通信網的安全已成為公司可持續(xù)發(fā)展的重要工作。中國移動面臨著越來越嚴格的信息安全監(jiān)管要求，并在國家、社會、客戶以及自身企業(yè)運營等多個方面遇到更為嚴峻的安全挑戰(zhàn)，特別是近年來信息安全已經成為整個公司最為重大的風險管控問題，目前信息安全存在諸多的不足之處：
　?。ㄒ唬┌踩贫炔唤∪艽a安全等沒形成統(tǒng)一標準、第三方安全管理

2、、安全意識教育等方面制度有缺失等；操作不規(guī)范，安全要求和規(guī)范沒能有效地傳遞給所有員工，既無法給予指導，也無法給予威懾。
　?。ǘ┍O(jiān)督缺乏資源和工具，面對龐大的檢查對象需要足夠的資源和系統(tǒng)化的工具才能實現(xiàn)有效的監(jiān)督；安全工作的好壞難以評價，沒有一個標準和方法能判斷安全工作的質量，能進一步支持安全決策。
　　（三）技術措施不健全，缺少對通信設施和 IT系統(tǒng)的安全漏洞防護措施，以及對網絡流量的安全清洗等防護措施。
　　本論

3、文正是針對上述問題，唯一的行之有效的解決之道就是根據信息安全管控框架，參考國際上的 GRC系統(tǒng)最佳實踐，同時從安全合規(guī)評價、風險評價兩方面進行量化評測方法研究，建立統(tǒng)一“信息安全管控”體系和“信息安全管控”信息化系統(tǒng)。實現(xiàn)制度全面管理、執(zhí)行全面落實、檢查全程跟蹤、結果全面評價。實現(xiàn)安全管控的體系化、統(tǒng)一化、系統(tǒng)化和高效化。
　　本課題主要參考ISO27001信息安全管理體系的PDCA模型，即計劃（Plan）、執(zhí)行（Do）、檢查（C

4、heck）、整改（Action）四個流程環(huán)節(jié)。結合中國移動自身實際，將信息安全管控系統(tǒng)主要功能設計為安全要求、管控執(zhí)行、安全檢查、安全評價、安全整改等幾個環(huán)節(jié)。其中，安全要求制定對應Plan,管控執(zhí)行對應Do，安全檢查和安全評價對應 Check，安全整改對應 Action。通過以上幾個階段工作的實施，實現(xiàn)了信息安全管控的閉環(huán)管理,最終將安全管理工作借助流程得以全面貫徹實施。
　　通過搭建中國移動信息安全管控系統(tǒng)，將不斷完善中國移動