湖南电信公司内网信息安全体系建设的研究

详细信息    本馆镜像全文|  推荐本文 |  |   获取CNKI官网全文

英文题名：Research on Information Security of IT Network of HuNan Telecommunication Co., Ltd 作者：梁军 论文级别：硕士 学科专业名称：工商管理 中文关键词：湖南电信 ; 内网信息安全 ; 信息安全体系 ; 信息安全建设 英文关键词：HuNan telecommunication ; IT network security ; information security architecture ; information security construction 学位年度：2007 导师：单汨源 学科代码：120202 学位授予单位：湖南大学 论文提交日期：2007-10-15 答辩委员会主席：马超群

摘要

进入信息时代,企业的各种经营活动越来越强烈地依赖信息资源和信息网络,而网络在为企业带来利益、价值和方便的同时,也带来了巨大的风险和隐患,如何通过信息安全建设来消除和降低风险,实现信息安全保障目标已经成为全球企业共同关注的焦点问题。电信内网又称电信IT网络,是承载电信企业核心业务和机密信息的内部网络,其安全性关系到企业的生存发展,在内网建立起完善的信息安全保障体系也是湖南电信急需解决的重要课题。
     论文从分析湖南电信外部环境及企业面临的萨班斯法案、战略转型、运营支撑系统集中化的信息安全建设的需求背景入手,按照风险评估方法,对湖南电信内网信息安全现状、面临的风险和安全建设中存在的主要问题进行了深入的剖析和研究,在风险评估的基础上,依据国内外公认的信息安全管理标准和典型信息安全模型,以信息安全管理理论为指导,借鉴国内外企业信息安全建设的最佳实践经验,对湖南电信内网的信息安全体系进行了总体架构,对四个要素:策略体系、组织体系、管理运作体系、技术体系的建设内容进行了详细规划。同时,制定了体系的建设流程,对建设中的关键问题:管理运作的方法、技术体系的建设给出了建议和实施方案,最后就体系的适宜性、充分性、有效性、可操作性和实现企业信息安全目标的可靠性进行了理性分析和综合评价。
     研究结果表明:湖南电信内网的信息安全体系具有层次化的策略体系、完善的组织架构、基于风险管理的运作体系、纵深防御的技术体系、在管理模式上符合PDCA的信息安全管理模式,在实施流程上体现了持续性、动态性、不断改进的建设思想,尤其强调了在信息安全管理运作上融入先进的、科学的现代管理方法,研究提出用规范化命名方法解决管理制度混乱分散、无法形成制度体系的问题;用集中化管理和分权管理的结合解决数据集中情况下统一安全管理的复杂性问题;用柔性管理解决安全意识贯彻难的问题;用统一的安全运营平台解决大型企业安全事件管理难的问题。文中设计的湖南电信内网信息安全体系和提出的建设方法是充分、有效、科学的,既能满足企业内网信息安全保障目标和未来发展需求,又体现了行业特点,对其他大型企业的信息安全建设具有很强的示范性和参考价值。
Come into information age, more and more operating activities of enterprises depend on information resource and network, it brings benefits and profits and facilities to enterprises, on the other wise, it brings huge risk and potential safety hazards. How to reduce or even eliminate the risk through strengthening information security construction is a focal subject discussed by numerous domestic and overseas enterprises. Telecommunication internal network, is also called IT network, it is the internal load-carrying net which sending important business and secret information for telecommunication enterprises, its safety influences enterprise development greatly, it is also an important subject for HuNan telecommunication to build a perfect information security system.
     This thesis begins with the research on analysis on external conditions and internal factors such as sox bill and strategy transformation and information system centralization how to impact on the enterprises information security to HuNan telecommunication, then it researched on current situation and risk and main problems on HuNan telecommunication internal network security according to risk appraisal methods. Guided by official information security management standards and typical models and information security management principle and related scientific theories, and drawing on the experiences from both home and abroad, the author has constructed the HuNan telecommunication internal network information security system and designed the four key elements as strategy system and organization system and management system and technology system in details .The thesis also includes the construction process of the information security system and suggestion on how to solve the key problem such as the effective methods of management and the construction plan of technology system. At last, the author has also conducted rational analysis and all-round evaluation on the suitability, sufficiency, effectiveness, maneuverability and sustainability of the whole system.
     Research result indicates HuNan telecommunication internal network information security system has the hierarchical policy system and perfect organization system and effective operation system based on risk management and solid technology system and the PDCA management mode adopted. HuNan telecommunication expresses the management idea of continuous improvement in information security work, especially; the author emphasizes using advanced, scientific, modern managements methods during the information security management. Research suggested use the formal name method to solve rules and regulations disordered problem, use centralization management combined with decentralization management to reduce the complexity of security management under data centralization situation, use flexible management to solve security idea put into practice difficultly, use unified security center to solve the large enterprise security events management. The information security system and construction method suggested in this thesis is advanced, scientific, effective and accordant to the development needs of the HunNan telecommunication and indicated IT industry features, can be recommended to other large enterprises.

引文

[1]威特曼,马特德著.齐立博译.信息安全原理.北京:清华大学出版社,2006:2-3
    [2]Larry Greenemeier.2006年全球安全调查:危机暗藏.信息周刊网络版,www.informationweek.com.cn/iarticle/20451.html.2006-10-13
    [3]信息产业部电信管理局.电信网络与信息安全管理.北京:人民邮电出版,2004:6-8,15-16
    [4]湖南电信有限公司.湖南电信2006年网络状况白皮书,2007:85-86
    [5]蒋耀平.保网络信息安全促信息产业发展.信息网络安全,2006,(1):6-7
    [6]王占波.电信网络安全迈向“下一代”.中国计算机用户,2006,(1):22
    [7]王东.“北京移动案”暴露信息安全管理软肋.中国新通信,2006,(6):16
    [8]孙强,陈伟,王东红.信息安全管理:全球最佳实务与实施指南.北京:清华大学出版社,2004,2-3,21-22,102-103
    [9]王胜航.IT系统安全白皮书.IBM中国技术支持中心.2004,16-17,23-24,74-75
    [10]Ronald L Krutz,Russell Dean Vines.The CISSP Prep Guide:Gold Edition.Boston:Addison Wesley Publishing Company,2005,1-3,45-47
    [11]陈星,胡啸,张建军.国际信息安全标准热点问题与发展趋势:信息技术与标准化,2006,(7):12-15
    [12]吴志刚,王立建,上官晓丽.我国信息安全管理标准情况综述及发展浅析.信息网络安全.2006,(6):15-16
    [13]公安部公共信息网络安全监察局.2006年全国信息网络安全状况与计算机病毒疫情调查分析报告.信息网络安全,2006,(9):5-6
    [14]吕欣.我国信息网络安全现状与趋势.信息安全与通信保密,2007,(2):9-11
    [15]辛勇飞.2006年前三季度我国电信业发展状况点评.电信技术,2006,(11):8-9
    [16]黎浩.固网运营商身陷困境出路何方.通信世界,2005,(10):29-30
    [17]信息产业部综合规划司.贯彻落实“十一五”规划加快建设信息产业强国——信息产业“十一五”规划解读.信息技术与信息化,2007,(2):2-3
    [18]冯登国.我国信息安全技术发展趋势的分析.信息网络安全,2006,(11):6-7
    [19]洪焕健,郑建华.简介BS7799信息安全管理标准.信息网络安全,2005,(9):12-13
    [20]友联时骏管理顾问编著.企业内部控制和风险管理:《萨班斯—奥克斯利法 案》释义.上海:复旦大学出版社,2005,25-27
    [21]胡世良.实现重点突破,营造竞争优势—中国电信实施战略转型解读.现代通信,2005,(5):5-6
    [22]陈建良,邢豫.中国电信CTG-MBOSS技术架构及其应用.每周电脑报,2006,(19)
    [23]范中平.基于省集中模式的湖南电信MBOSS建设.计算机系统应用,2006,(11):2-5
    [24]吴以四.ISO27001指导企业信息安全管理进入标准时代.信息系统工程.2006,(9):76-78
    [25]范红,冯登国.信息安全风险评估方法与应用.北京:清华大学出版社.2006,21-25
    [26]中国信息安全产品测评认证中心主编.信息安全标准与法律法规.北京:人民邮电出版社,2003,202-205
    [27]Christopher Alberts,Audrey Dorofee,Managing Information Security Risks:The OCTAVE Approach.Boston:Addison Wesley Publishing Company,2003:25-28
    [28]胡道元,闵京华.网络安全.北京:清华大学出版社,2004,15-16
    [29]孟学军,石岗.基于P2DR的网络安全体系结构.计算机工程,2004,(4):99-101
    [30]雷景,王冬梅.建立信息安全管理体系的HTP方法.电子科学技术评论,2005,(4):47-50
    [31]Microsoft 公司.微软安全风险管理指南.http://www.securitycn.net/img/uploadimg/20060224/MS_RiskManageGuide.doc:2006-09-24
    [32]杨义先,周亚建.SOC在电信网络安全中的应用.电信技术,2006,(5):16-18
    [33]陈颢明.信息安全产业发展中的SOC建设.信息网络安全,2007,(2):50-51
    [34]数据丢失成企业主要安全威胁.信息周刊网络版.http://www.informationweek.com.cn/iarticle/26071.html:2007-3-2
    [35]湖南电信有限公司.湖南电信IT专网规范.2004,2-3
    [36]中华人民共和国公安部.信息系统安全等级保护基本要求(试用稿).http://www.isra.infosec.org.cn/pgbz/RAstand/200604/1162.html.2006-04-29
    [37]公安部信息系统安全等级保护评估中心.信息系统安全等级保护测评准则.http://www.isra.infosec.org.cn/pgbz/RAstand/200604/1163.html.2006-04-29
    [38]阴志华,刘启诚.中国电信构建内控监督评价体系.通信世界,2006,(28):82
    [39]Peter F.Drucker.齐若兰译.管理的实践(第1版).北京:机械工业出版社:2006,3-5,102-104.
    [40]Stephen P.Robbins.Essentials of Organizational Behavior.Prentice Hall.2005
    [41]Stephen P.Robbins,Management.8th Edition.prentice Hall.2005
    [42]冯周卓.走向柔性管理.北京:中国社会科学出版社,2003,4-5
    [43]Peter M.senge.郭进隆译.第五项修炼:学习型组织的艺术与实务.上海三联出版社,2004,4-5