構(gòu)建電信企業(yè)的信息安全保障體系.pdf

1、本文主要研究信息安全理論和技術(shù)在電信企業(yè)的信息網(wǎng)絡(luò)和系統(tǒng)中的應(yīng)用，即企業(yè)的信息安全問(wèn)題，并最終為之構(gòu)建企業(yè)信息安全保障體系。 首先,介紹和分析與本研究相關(guān)的主要信息安全理論與技術(shù)，其中信息安全理論有PPDR動(dòng)態(tài)安全模型、SSE-CMM系統(tǒng)安全工程－能力成熟度模型、PADMINEE信息安全生命周期工程模型、BS7799信息安全管理標(biāo)準(zhǔn)、信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則、IATF信息安全保障技術(shù)框架和木桶安全理論等；信息安全技術(shù)有防火墻

2、技術(shù)、入侵檢測(cè)技術(shù)、計(jì)算機(jī)病毒防治技術(shù)、漏洞掃描與評(píng)估技術(shù)、身份認(rèn)證技術(shù)和SOC技術(shù)等。 然后，研究電信企業(yè)的信息安全保障體系的設(shè)計(jì)問(wèn)題。在設(shè)計(jì)信息安全保障體系時(shí)，必須遵循信息安全木桶原則、網(wǎng)絡(luò)信息安全整體性原則、安全性評(píng)價(jià)與平衡原則、標(biāo)準(zhǔn)化與一致性原則、技術(shù)與管理相結(jié)合原則、統(tǒng)一規(guī)劃分步實(shí)施原則、等級(jí)劃分原則和可操作性原則。信息安全保障體系框架可分為安全管理框架和安全技術(shù)框架，安全管理框架包括安全策略、安全組織和安全運(yùn)作三個(gè)方

3、面，安全技術(shù)框架有鑒別和認(rèn)證（Identification & Authentication）、訪問(wèn)控制（Access Control）、內(nèi)容安全（Content Security）、冗余和恢復(fù)（Redundant & Recovery）和審計(jì)和響應(yīng)（Audit & Response）。為了系統(tǒng)地、完整地構(gòu)建企業(yè)信息安全保障體系，應(yīng)考慮技術(shù)體系和管理體系共同構(gòu)建。 最后，深入研究本企業(yè)的信息網(wǎng)絡(luò)和系統(tǒng)的信息安全保障體系，為企業(yè)信

4、息網(wǎng)絡(luò)和系統(tǒng)提出全面的信息安全解決方案，即以安全策略為核心，以信息安全理論與技術(shù)作為支撐，以信息安全管理和國(guó)家信息安全建設(shè)要求作為指導(dǎo)，通過(guò)安全培訓(xùn)加強(qiáng)全體員工的信息安全意識(shí)，逐步提高電信企業(yè)網(wǎng)絡(luò)和系統(tǒng)的信息安全防護(hù)水平，落實(shí)中發(fā)辦27號(hào)文件精神和信息產(chǎn)業(yè)部有關(guān)電信企業(yè)信息安全建設(shè)的要求，建立電信企業(yè)“積極防御、綜合防范”的信息安全保障體系，從而充分發(fā)揮信息系統(tǒng)在電信企業(yè)競(jìng)爭(zhēng)中的價(jià)值。 本文的研究以電信企業(yè)信息網(wǎng)為基礎(chǔ)，部分研究