電信網(wǎng)安全保障能力評(píng)價(jià)模型與方法淺析

其余三個(gè)能力指標(biāo)安全組織體系水平、安全運(yùn)作體系水平和安全技術(shù)保障措施建設(shè)水平成熟度計(jì)算方案以此類推。

(3)體系成效考量評(píng)價(jià)矩陣

針對IT安全保障體系建設(shè)成效，建立IT安全保障體系成熟度衡量標(biāo)準(zhǔn)和指標(biāo)，具體如表1所示。

3　安全能力評(píng)估實(shí)踐

在以上安全能力成熟度模型基礎(chǔ)上，通過建立一套可操作的能力達(dá)標(biāo)評(píng)價(jià)標(biāo)準(zhǔn)-安全基線(Security BaseLine)，考量IT安全保障體系建設(shè)成效，實(shí)現(xiàn)保障體系水平真正可量化評(píng)價(jià)。中國電信IT安全基線考評(píng)方法描述了CTG-MBOSS系統(tǒng)最基本的安全要求，通過安全基線考核指標(biāo)，實(shí)現(xiàn)對企業(yè)各IT系統(tǒng)安全建設(shè)成效和管理水平的動(dòng)態(tài)管理, 促進(jìn)IT安全管理能力提升。

中國電信IT安全基線達(dá)標(biāo)標(biāo)準(zhǔn)，從管理和技術(shù)兩個(gè)維度對如何考察安全建設(shè)能力給出了詳細(xì)的達(dá)標(biāo)評(píng)比辦法，將安全能力分為C級(jí)、B級(jí)、A級(jí)。分為組織架構(gòu)管理、人員安全管理、運(yùn)維安全管理、應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、審計(jì)安全管理七大項(xiàng)。一個(gè)完整的安全基線保障體系應(yīng)該是將安全管理和安全技術(shù)手段相結(jié)合，通過各種安全管理制度、安全組織機(jī)構(gòu)和安全運(yùn)維制度等方面的建設(shè)，并在網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層采取各種安全技術(shù)手段建立多層保護(hù)的深度防御保障體系。從安全基線可操作性的角度出發(fā)，在安全管理層面應(yīng)將組織架構(gòu)管理要求、人員安全管理要求和運(yùn)維安全管理要求等三部分作為IT系統(tǒng)安全的基線考評(píng)要求，在安全技術(shù)層面應(yīng)將應(yīng)用安全要求、主機(jī)安全要求、網(wǎng)絡(luò)安全要求和安全審計(jì)要求等4部分作為IT系統(tǒng)安全的基線考評(píng)要求，通過建立健全I(xiàn)T系統(tǒng)管理與技術(shù)防護(hù)體系，逐步提升IT系統(tǒng)整體安全防護(hù)能力。IT安全基線評(píng)分標(biāo)準(zhǔn)如圖2所示。

圖2　IT 安全基線指標(biāo)分解示例圖

在實(shí)際操作中，IT安全基線達(dá)標(biāo)測評(píng)采取打分的方式進(jìn)行量化操作，對每一個(gè)檢測項(xiàng)打分，屬于判斷結(jié)果為“是”或“否”的檢測項(xiàng)，結(jié)果為“是”則評(píng)1分，為“否”則評(píng)0分。根據(jù)各項(xiàng)總分?jǐn)?shù)對IT系統(tǒng)的安全評(píng)測結(jié)果分別進(jìn)行等級(jí)化評(píng)定，IT安全基線能力基線視圖和判定方法如圖3所示。

圖3　IT安全基線達(dá)標(biāo)考核示例圖

圖3中的連線為IT安全達(dá)標(biāo)能力的基本水平線，也真正體現(xiàn)了能力“基線”的真正意義。

4　結(jié)束語

綜上所述，本文在IT安全保障體系模型框架基礎(chǔ)上，闡述了一個(gè)可持續(xù)改進(jìn)的IT安全保障體系能力成熟度模型，從IT安全規(guī)劃建設(shè)、運(yùn)作、技術(shù)保障、管理措施等幾個(gè)方面因素入手，找出一套合理的評(píng)價(jià)方法對安全保障體系建設(shè)成效進(jìn)行公正有效的考量和評(píng)價(jià)，給出了一個(gè)具有普遍性的具體可操作的安全基線達(dá)標(biāo)實(shí)踐方法，可指導(dǎo)企業(yè)開展IT安全建設(shè)能力評(píng)價(jià)工作。